Paramètres IPSec pris en charge
Cette rubrique présente les paramètres de configuration de la phase 1 (ISAKMP) et de la phase 2 (IPSec) pris en charge pour un RPV site à site. Oracle a choisi ces valeurs pour maximiser la sécurité et pour couvrir un large éventail d'appareils CPE. Si votre équipement local d'abonné ne figure pas dans la liste des appareils vérifiés, utilisez les informations de cette section pour configurer votre appareil.
Vous pouvez également utiliser l'application d'aide pour la configuration de l'équipement local d'abonné pour rassembler des informations utilisées par un ingénieur réseau lors de la configuration du CPE.
Oracle utilise un routage asymétrique dans les tunnels multiples qui constituent la connexion IPSec. Même si vous configurez un tunnel principal et un autre de secours, le trafic de votre réseau VCN vers votre réseau sur place peut utiliser n'importe quel tunnel "actif" sur votre unité. Configurez vos pare-feux en conséquence. Dans le cas contraire, les tests ping ou le trafic d'application sur la connexion ne fonctionneront pas de manière fiable.
Domaine de chiffrement ou ID mandataire pris en charge
Les valeurs du domaine de chiffrement (également appelé ID mandataire, indice de paramètre de sécurité (SPI) ou sélecteur de trafic) dépendent de la prise en charge éventuelle par votre CPE des tunnels basés sur des routes ou des tunnels basés sur des politiques. Pour plus d'informations sur les valeurs de domaine de chiffrement à utiliser, voir Domaine de chiffrement ou ID mandataire pris en charge.
Paramètres IKE et IPSec personnalisés
Lorsque vous utilisez des paramètres IKE (Internet Key Exchange) ou IPSec personnalisés, si vous sélectionnez des propositions de phase 1 personnalisées, le CPE doit être configuré pour accepter la proposition exacte. Une non-concordance empêche IKE de configurer l'association de sécurité de phase 1 du tunnel IPSec.
Pour les propositions de phase 2 IPSec personnalisées, attendez-vous au comportement suivant :
- Lorsqu'Oracle lance une nouvelle association de sécurité IPSec pour la phase 2, IKE ne propose que les valeurs personnalisées.
- Lorsque le CPE lance une nouvelle association de sécurité IPSec de phase 2, l'association est établie tant qu'Oracle prend en charge les paramètres.
Lancement d'IKE par Oracle et fragments d'adresse IP
Le jeu par défaut des propositions de paramètre IKE Oracle est trop volumineux pour tenir dans un seul paquet UDP. L'extrémité Oracle de la connexion IPSec fragmente donc la demande de lancement. Pour lancer une nouvelle association de sécurité IKE, tout pare-feu ou liste de sécurité entre l'adresse IP publique du RPV Oracle et le CPE doit autoriser les fragments d'adresse IP.
Paramètres pris en charge pour le nuage commercial
Cette section répertorie les paramètres pris en charge si votre RPV site à site est destiné au nuage commercial. Pour obtenir la liste des régions dans le nuage commercial, voir Régions et domaines de disponibilité.
Pour certains paramètres, Oracle prend en charge plusieurs valeurs. La valeur recommandée est indiquée.
Oracle prend en charge les paramètres suivants pour IKEv1 ou IKEv2. Consultez la documentation de votre équipement local d'abonné pour confirmer les paramètres pris en charge pour IKEv1 ou IKEv2.
Phase 1 (ISAKMP)
| Paramètre | Options |
|---|---|
| ISAKMP Protocol (Protocole ISAKMP) |
Version 1 |
| Exchange type (Type d'échange) |
Main mode (Mode principal) |
| Authentication method (Méthode d'authentification) |
Pre-shared keys (Clés prépartagées) * |
| Encryption algorithm (Algorithme de chiffrement) |
AES-256-CBC ( recommandé) AES-192-CBC AES-128-CBC |
| Authentication algorithm (Algorithme d'authentification) |
SHA-2 384 (recommandé) SHA-2 256 SHA-1 (également appelé SHA ou SHA1-96) ** |
| Diffie-Hellman group (Groupe Diffie-Hellman) |
groupe 2 (MODP 1 024 bits) groupe 5 (MODP 1 536 bits) groupe 14 (MODP 2 048 bits) groupe 19 (ECP 256 bits aléatoires) groupe 20 (ECP 384 bits aléatoires) (recommandé) |
| IKE session key lifetime (Durée de vie de la clé de session IKE) |
28 800 secondes (8 heures) |
|
* Seuls les chiffres, les lettres et les espaces sont permis dans les clés prépartagées. ** Oracle recommande fortement de ne pas utiliser SHA-1. Le NIST a officiellement abandonné l'utilisation de SHA-1 en 2011 et a interdit son utilisation pour les signatures numériques en 2013. |
|
Phase 2 (IPSec)
| Paramètre | Options |
|---|---|
| IPSec protocol (Protocole IPSec) |
ESP, mode tunnel (ESP, tunnel mode) |
| Encryption algorithm (Algorithme de chiffrement) |
AES-256-GCM AES-192-GCM AES-128-GCM AES-256-CBC AES-192-CBC AES-128-CBC |
| Authentication algorithm (Algorithme d'authentification) |
Si vous utilisez GCM, aucun algorithme d'authentification n'est requis car l'authentification est incluse au chiffrement GCM. Si vous n'utilisez pas GCM, les options suivantes sont prises en charge : HMAC-SHA-256-128 (recommandé) HMAC-SHA1-128 * |
| IPSec session key lifetime (Durée de vie de la clé de session IPSec) |
3 600 secondes (1 heure) |
| Perfect Forward Secrecy (Confidentialité persistante) (PFS) |
Activée, groupe 5 (par défaut, recommandée) Prend en charge les éléments activés et désactivés pour les groupes 2, 5, 14, 19, 20 et 24. |
|
* Oracle recommande fortement de ne pas utiliser SHA-1. Le NIST a officiellement abandonné l'utilisation de SHA-1 en 2011 et a interdit son utilisation pour les signatures numériques en 2013. |
|
Paramètres pris en charge pour le nuage gouvernemental
Cette section répertorie les paramètres pris en charge si votre RPV site à site est destiné au nuage gouvernemental. Pour plus d'informations, voir Pour tous les clients du nuage gouvernemental des États-Unis.
Pour certains paramètres, Oracle prend en charge plusieurs valeurs. La valeur recommandée est mise en évidence en gras.
Oracle prend en charge les paramètres suivants pour IKEv1 ou IKEv2. Consultez la documentation de votre équipement local d'abonné pour confirmer les paramètres pris en charge pour IKEv1 ou IKEv2.
Phase 1 (ISAKMP)
| Paramètre | Options |
|---|---|
| ISAKMP protocol (Protocole ISAKMP) |
Version 1 |
| Exchange type (Type d'échange) |
Main mode (Mode principal) |
| Authentication method (Méthode d'authentification) |
Pre-shared keys (Clés prépartagées) * |
| Encryption algorithm (Algorithme de chiffrement) |
AES-256-CBC ( recommandé) AES-192-CBC AES-128-CBC |
| Authentication algorithm (Algorithme d'authentification) |
SHA-2 384 (recommandé) SHA-2 256 SHA-1 (également appelé SHA ou SHA1-96) |
| Diffie-Hellman group (Groupe Diffie-Hellman) |
groupe 14 (MODP 2048) groupe 19 (ECP 256) groupe 20 (ECP 384) (re recommandé) |
| IKE session key lifetime (Durée de vie de la clé de session IKE) |
28 800 secondes (8 heures) |
|
* Seuls les chiffres, les lettres et les espaces sont permis dans les clés prépartagées. |
|
Phase 2 (IPSec)
| Paramètre | Options |
|---|---|
| IPSec protocol (Protocole IPSec) |
ESP, mode tunnel (ESP, tunnel mode) |
| Encryption algorithm (Algorithme de chiffrement) |
AES-256-GCM AES-192-GCM AES-128-GCM AES-256-CBC AES-192-CBC AES-128-CBC |
| Authentication algorithm (Algorithme d'authentification) |
Si vous utilisez GCM (Galois/Counter Mode), aucun algorithme d'authentification n'est requis car l'authentification est incluse au chiffrement GCM. Si vous n'utilisez pas GCM, utilisez HMAC-SHA-256-128. |
| IPSec session key lifetime (Durée de vie de la clé de session IPSec) |
3 600 secondes (1 heure) |
| Perfect Forward Secrecy (Confidentialité persistante) (PFS) |
Activée, groupe 14 (par défaut, recommandée) Prend en charge les éléments activés et désactivés pour les groupes 2, 5, 14, 19, 20 et 24. |
Références
Si vous ne connaissez pas encore les paramètres mentionnés précédemment, des liens vers les normes pertinentes sont fournis dans les tableaux suivants.
| Option | Norme pertinente |
|---|---|
| Norme de chiffrement avancé (AES) | Norme FIPS PUB 197 |
| Enchaînement de blocs de chiffrement (CBC) | Norme SP 800-38A |
| Algorithme de hachage sécurisé (SHA) | Norme FIPS PUB 180-4 |
| Groupes Diffie-Hellman (DH) |
RFC 2631 : Méthode d'accord de clé Diffie-Hellman RFC 3526 : Groupes supplémentaires d’exponentiation modulaire (MODP) Diffie-Hellman pour l’échange de clés Internet (IKE) RFC 4306 : Protocole d'échange de clés sur Internet (IKEv2) |
| Type de groupe DH : Exponentiation modulaire (MODP) ou Courbe elliptique modulo un nombre premier (ECP) |
MODP RFC 3526 : Groupes supplémentaires d’exponentiation modulaire (MODP) Diffie-Hellman pour l’échange de clés Internet (IKE) ECP RFC 5114 : Groupes Diffie-Hellman supplémentaires à utiliser avec les normes de l'IETF |
| Mode de compteur de Galois (GCM) | RFC 5288 : Suites de chiffrement pour TLS en AES avec mode de compteur de Galois (GCM) |
| Perfect Forward Secrecy (Confidentialité persistante) (PFS) | RFC 2412 : Protocole OAKLEY de détermination de clés |