Paramètres IPSec pris en charge
Cette rubrique répertorie les paramètres de configuration de phase 1 (ISAKMP) et de phase 2 (IPSec) pris en charge pour le VPN site à site. Oracle a choisi ces valeurs pour optimiser la sécurité et couvrir un large éventail de dispositifs CPE. Si votre dispositif CPE ne figure pas dans la liste des dispositifs vérifiés, utilisez les présentes informations pour le configurer.
Vous pouvez également utiliser l'application d'aide de configuration de CPE pour collecter les informations employées par l'ingénieur réseau lors de la configuration du dispositif CPE.
Oracle utilise un routage asymétrique sur les différents tunnels qui constituent la connexion IPSec. Même si vous configurez un tunnel en tant que tunnel principal et un autre en tant que tunnel de sauvegarde, le trafic de votre réseau cloud virtuel vers votre réseau sur site peut utiliser n'importe quel tunnel démarré sur le dispositif. Configurez les pare-feu en conséquence. Sinon, les tests ping ou le trafic d'application sur la connexion ne fonctionneront pas de façon fiable.
Domaine de cryptage ou ID de proxy pris en charge
Les valeurs du domaine de cryptage (également appelé ID de proxy, index de paramètre de sécurité ou sélecteur de trafic) varient selon que le CPE prend en charge les tunnels basés sur un routage ou ceux basés sur une stratégie. Pour plus d'informations sur les valeurs de domaine de cryptage correctes à utiliser, reportez-vous à Domaine de cryptage ou ID de proxy pris en charge.
Paramètres IKE et IPSec personnalisés
Lors de l'utilisation de paramètres IKE (Internet Key Exchange) ou IPSec personnalisés, si vous sélectionnez des propositions de phase 1 personnalisées, le CPE doit être configuré pour accepter la proposition exacte. En cas de non-concordance, IKE ne peut pas configurer l'association de sécurité de phase 1 du tunnel IPSec.
Pour les propositions IPSec de phase 2 personnalisées, vous pouvez constater le comportement suivant :
- Lorsqu'Oracle lance une nouvelle association de sécurité IPSec de phase 2, IKE propose uniquement les valeurs personnalisées.
- Lorsque le CPE lance une nouvelle association de sécurité IPSec de phase 2, cette association est établie à condition qu'Oracle prenne en charge les paramètres.
Lancement IKE par Oracle et fragments IP
L'ensemble par défaut des propositions de paramètre IKE Oracle est trop volumineux pour tenir dans un seul paquet UDP. Par conséquent, l'extrémité Oracle de la connexion IPSec fragmente la demande de lancement. Pour lancer une nouvelle association de sécurité IKE, tout pare-feu ou liste de sécurité entre l'adresse IP publique du VPN Oracle et le CPE doit autoriser les fragments IP.
Paramètres pris en charge pour le cloud commercial
Cette section répertorie les paramètres pris en charge si votre VPN site à site est destiné au cloud commercial. Pour obtenir la liste des régions du cloud commercial, reportez-vous à Régions et domaines de disponibilité.
Pour certains paramètres, Oracle prend en charge plusieurs valeurs. La valeur recommandée est indiquée.
Oracle prend en charge les paramètres suivants pour IKEv1 ou IKEv2. Consultez la documentation propre à votre CPE afin de vérifier les paramètres qu'il prend en charge pour IKEv1 ou IKEv2.
Phase 1 (ISAKMP)
| Paramètre | Options |
|---|---|
| Protocole ISAKMP |
Version 1 |
| Type d'échange |
Mode principal |
| Méthode d'authentification |
Clés prépartagées * |
| Algorithme de cryptage |
AES-256-CBC (recommandé) AES-192-CBC AES-128-CBC |
| Algorithme d'authentification |
SHA-2 384 (recommandé) SHA-2 256 SHA-1 (également appelé SHA ou SHA1-96) ** |
| Groupe Diffie-Hellman |
Groupe 2 (MODP 1 024 bits) Groupe 5 (MODP 1 536 bits) Groupe 14 (MODP 2 048 bits) Groupe 19 (ECP 256 bits, aléatoire) Groupe 20 (ECP 384 bits, aléatoire) (recommandé) |
| Durée de vie de la clé de session IKE |
28 800 secondes (8 heures) |
|
* Seuls les chiffres, les lettres et les espaces sont autorisés dans les clés prépartagées. **Oracle recommande vivement de ne pas utiliser SHA-1. Le NIST a officiellement abandonné l'utilisation de SHA-1 en 2011 et interdit son utilisation pour les signatures numériques en 2013. |
|
Phase 2 (IPSec)
| Paramètre | Options |
|---|---|
| Protocole IPSec |
ESP, mode tunnel |
| Algorithme de cryptage |
AES-256-GCM (recommandé) AES-192-GCM AES-128-GCM AES-256-CBC AES-192-CBC AES-128-CBC |
| Algorithme d'authentification |
Si vous utilisez GCM, aucun algorithme d'authentification n'est requis car l'authentification est incluse dans le cryptage GCM. Si vous n'utilisez pas GCM, les choix suivants sont pris en charge : HMAC-SHA-256-128 (recommandé) HMAC-SHA1-128 * |
| Durée de vie de la clé de session IPSec |
3 600 secondes (1 heure) |
| Confidentialité persistante |
Activé, groupe 5 (valeur par défaut, recommandée) Prend en charge les options Désactivé et Activé pour les groupes 2, 5, 14, 19, 20 et 24. |
|
*Oracle recommande vivement de ne pas utiliser SHA-1. Le NIST a officiellement abandonné l'utilisation de SHA-1 en 2011 et interdit son utilisation pour les signatures numériques en 2013. |
|
Paramètres pris en charge pour Government Cloud
Cette section répertorie les paramètres pris en charge si votre VPN site à site est destiné à Government Cloud. Pour plus d'informations, reportez-vous à Pour tous les clients US Government Cloud.
Pour certains paramètres, Oracle prend en charge plusieurs valeurs. La valeur recommandée est mise en évidence en gras.
Oracle prend en charge les paramètres suivants pour IKEv1 ou IKEv2. Consultez la documentation propre à votre CPE afin de vérifier les paramètres qu'il prend en charge pour IKEv1 ou IKEv2.
Phase 1 (ISAKMP)
| Paramètre | Options |
|---|---|
| Protocole ISAKMP |
Version 1 |
| Type d'échange |
Mode principal |
| Méthode d'authentification |
Clés prépartagées * |
| Algorithme de cryptage |
AES-256-CBC (recommandé) AES-192-CBC AES-128-CBC |
| Algorithme d'authentification |
SHA-2 384 (recommandé) SHA-2 256 SHA-1 (également appelé SHA ou SHA1-96) |
| Groupe Diffie-Hellman |
groupe 14 (MODP 2048) groupe 19 (ECP 256) groupe 20 (ECP 384) (recommandé) |
| Durée de vie de la clé de session IKE |
28 800 secondes (8 heures) |
|
* Seuls les chiffres, les lettres et les espaces sont autorisés dans les clés prépartagées. |
|
Phase 2 (IPSec)
| Paramètre | Options |
|---|---|
| Protocole IPSec |
ESP, mode tunnel |
| Algorithme de cryptage |
AES-256-GCM (recommandé) AES-192-GCM AES-128-GCM AES-256-CBC AES-192-CBC AES-128-CBC |
| Algorithme d'authentification |
Si vous utilisez GCM (Galois/Counter Mode), aucun algorithme d'authentification n'est requis car l'authentification est incluse dans le cryptage GCM. Si vous n'utilisez pas GCM, employez HMAC-SHA-256-128. |
| Durée de vie de la clé de session IPSec |
3 600 secondes (1 heure) |
| Confidentialité persistante |
Activé, groupe 14 (valeur par défaut, recommandée) Prend en charge les options Désactivé et Activé pour les groupes 2, 5, 14, 19, 20 et 24. |
Références
Si vous n'êtes pas déjà familiarisé avec les paramètres mentionnés précédemment, des liens vers les normes pertinentes sont fournis dans les tableaux suivants.
| Option | Norme pertinente |
|---|---|
| AES (Advanced Encryption Standard) | Norme FIPS PUB 197 |
| CBC (Cipher block Chaining) | Norme SP 800-38A |
| SHA (Secure Hash Algorithm) | Norme FIPS PUB 180-4 |
| Groupes DH (Diffie-Hellman) |
RFC 2631 : méthode d'accord de clés Diffie-Hellman RFC 3526 : groupes Diffie-Hellman MODP (Modular Exponential) supplémentaires pour IKE (Internet Key Exchange) RFC 4306 : protocole IKEv2 (Internet Key Exchange) |
| Type de groupe DH : MODP (Modular Exponential) ou ECP (Elliptic Curve Prime) |
MODP - RFC 3526 : groupes Diffie-Hellman MODP (Modular Exponential) supplémentaires pour IKE (Internet Key Exchange) ECP - RFC 5114 : groupes Diffie-Hellman supplémentaires à utiliser avec les normes IETF |
| GCM (Galois/Counter Mode) | RFC 5288 : mécanismes de cryptage AES GCM (Galois/Counter Mode) pour TLS |
| Confidentialité persistante | RFC 2412 : protocole OAKLEY de détermination de clés |