Paramètres IPSec pris en charge
Cette rubrique répertorie les paramètres de configuration de phase 1 (ISAKMP) et de phase 2 (IPSec) pris en charge pour le VPN site à site. Oracle a choisi ces valeurs pour optimiser la sécurité et couvrir un large éventail de dispositifs CPE. Si le périphérique CPE ne figure pas dans la liste des périphériques vérifiés, utilisez les informations ici pour le configurer.
Vous pouvez également utiliser l'application d'aide de configuration de CPE pour collecter les informations employées par l'ingénieur réseau lors de la configuration du dispositif CPE.
Oracle utilise un routage asymétrique sur les autres tunnels qui constituent la connexion IPSec. Même si vous configurez un tunnel comme principal et un autre comme sauvegarde, le trafic d'un VCN vers un réseau sur site peut utiliser n'importe quel tunnel démarré sur un périphérique. Configurez les pare-feu selon vos besoins. Sinon, les tests ping ou le trafic d'application sur la connexion ne fonctionnent pas de façon fiable.
Domaine de cryptage ou ID de proxy pris en charge
Les valeurs du domaine de cryptage ( également connu sous le nom d'ID de proxy, d'index de paramètre de sécurité ou de sélecteur de trafic) varient si un CPE prend en charge les tunnels basés sur un routage ou ceux basés sur une stratégie. Pour plus d'informations sur les valeurs de domaine de cryptage correctes à utiliser, reportez-vous à Domaine de cryptage ou ID de proxy pris en charge.
Paramètres IKE et IPSec personnalisés
Lors de l'utilisation de paramètres IKE (Internet Key Exchange) ou IPSec personnalisés, si vous sélectionnez des propositions de phase 1 personnalisées, le CPE doit être configuré pour accepter la proposition exacte. En cas de non-concordance, IKE ne peut pas configurer l'association de sécurité de phase 1 du tunnel IPSec.
Pour les propositions IPSec de phase 2 personnalisées, vous pouvez constater le comportement suivant :
- Lorsqu'Oracle lance une nouvelle association IPSec de sécurité Phase 2, IKE propose uniquement les valeurs personnalisées.
- Lorsque le CPE démarre une nouvelle association de sécurité IPSec de phase 2, l'association de sécurité de phase 2 est établie tant qu'Oracle prend en charge les paramètres.
Lancement IKE par Oracle et fragments IP
L'ensemble par défaut des propositions de paramètre IKE Oracle est trop volumineux pour tenir dans un seul paquet UDP. Par conséquent, l'extrémité Oracle de la connexion IPSec fragmente la demande de lancement. Pour démarrer une nouvelle association d'une sécurité IKE, tout pare-feu ou liste d'une sécurité entre l'adresse IP publique Oracle VPN et le CPE doit autoriser des fragments IP.
Paramètres pris en charge pour le cloud commercial
Cette section répertorie les paramètres pris en charge pour le VPN site à site dans le cloud commercial. Pour obtenir la liste des régions du cloud commercial, reportez-vous à Régions et domaines de disponibilité.
Pour certains paramètres, Oracle prend en charge plusieurs valeurs. La valeur recommandée est indiquée.
Oracle prend en charge les paramètres suivants pour IKEv1 ou IKEv2. Consultez la documentation d'un CPE donné afin de vérifier les paramètres qu'il prend en charge pour IKEv1 ou IKEv2.
Phase 1 (ISAKMP)
Paramètre | Options |
---|---|
Protocole ISAKMP |
Version 1 |
Type d'échange |
Mode principal |
Méthode d'authentification |
Clés prépartagées * |
Algorithme de cryptage |
AES-256-CBC (recommandé) AES-192-CBC AES-128-CBC |
Algorithme d'authentification |
SHA-2 384 (recommandé) SHA-2 256 SHA-1 (également appelé SHA ou SHA1-96) ** |
Groupe Diffie-Hellman |
Groupe 2 (MODP 1 024 bits) Groupe 5 (MODP 1 536 bits) Groupe 14 (MODP 2 048 bits) Groupe 19 (ECP 256 bits, aléatoire) Groupe 20 (ECP 384 bits, aléatoire) (recommandé |
Durée de vie de la clé de session IKE |
28 800 secondes (8 heures) |
* Seuls les chiffres, les lettres et les espaces sont autorisés dans les clés prépartagées. ** Nous recommandons de ne pas utiliser SHA-1. Le NIST a officiellement abandonné l'utilisation de SHA-1 en 2011 et interdit son utilisation pour les signatures numériques en 2013. |
Phase 2 (IPSec)
Paramètre | Options |
---|---|
Protocole IPSec |
ESP, mode tunnel |
Algorithme de cryptage |
AES-256-GCM (recommandé) AES-192-GCM AES-128-GCM AES-256-CBC AES-192-CBC AES-128-CBC |
Algorithme d'authentification |
Si vous utilisez GCM, aucun algorithme d'authentification n'est requis car l'authentification est incluse dans le cryptage GCM. Si vous n'utilisez pas GCM, les choix suivants sont pris en charge : HMAC-SHA-256-128 (recommandé) HMAC-SHA1-128 * |
Durée de vie de la clé de session IPSec |
3 600 secondes (1 heure) |
Confidentialité persistante |
Activé, groupe 5 (valeur par défaut, recommandée) Prend en charge les options Désactivé et Activé pour les groupes 2, 5, 14, 19, 20 et 24. |
* Nous recommandons contre l'utilisation de SHA-1. Le NIST a officiellement abandonné l'utilisation de SHA-1 en 2011 et interdit son utilisation pour les signatures numériques en 2013. |
Paramètres pour Government Cloud
Pour afficher les paramètres du VPN site à site dans US Government Cloud, accédez à Paramètres requis de VPN site à site pour Government Cloud.
Références
Si vous n'êtes pas déjà familiarisé avec les paramètres déjà mentionnés, des liens vers les normes pertinentes sont fournis dans les tableaux suivants.
Option | Norme pertinente |
---|---|
AES (Advanced Encryption Standard) | Norme FIPS PUB 197 |
CBC (Cipher block Chaining) | Norme SP 800-38A |
SHA (Secure Hash Algorithm) | Norme FIPS PUB 180-4 |
Groupes DH (Diffie-Hellman) |
RFC 2631 : méthode d'accord de clés Diffie-Hellman RFC 3526 : groupes Diffie-Hellman MODP (Modular Exponential) supplémentaires pour IKE (Internet Key Exchange) RFC 4306 : protocole IKEv2 (Internet Key Exchange) |
Type de groupe DH : MODP (Modular Exponential) ou ECP (Elliptic Curve Prime) |
MODP - RFC 3526 : groupes Diffie-Hellman MODP (Modular Exponential) supplémentaires pour IKE (Internet Key Exchange) ECP - RFC 5114 : groupes Diffie-Hellman supplémentaires à utiliser avec les normes IETF |
GCM (Galois/Counter Mode) | RFC 5288 : mécanismes de cryptage AES GCM (Galois/Counter Mode) pour TLS |
Confidentialité persistante | RFC 2412 : protocole OAKLEY de détermination de clés |