Documentation Oracle Cloud Infrastructure

Paramètres IPSec pris en charge

Cette rubrique répertorie les paramètres de configuration de phase 1 (ISAKMP) et de phase 2 (IPSec) pris en charge pour le VPN site à site. Oracle a choisi ces valeurs pour optimiser la sécurité et couvrir un large éventail de dispositifs CPE. Si le périphérique CPE ne figure pas dans la liste des périphériques vérifiés, utilisez les informations ici pour le configurer.

Vous pouvez également utiliser l'application d'aide de configuration de CPE pour collecter les informations employées par l'ingénieur réseau lors de la configuration du dispositif CPE.

Important

Oracle utilise un routage asymétrique sur les autres tunnels qui constituent la connexion IPSec. Même si vous configurez un tunnel comme principal et un autre comme sauvegarde, le trafic d'un VCN vers un réseau sur site peut utiliser n'importe quel tunnel démarré sur un périphérique. Configurez les pare-feu selon vos besoins. Sinon, les tests ping ou le trafic d'application sur la connexion ne fonctionnent pas de façon fiable.

Domaine de cryptage ou ID de proxy pris en charge

Les valeurs du domaine de cryptage ( également connu sous le nom d'ID de proxy, d'index de paramètre de sécurité ou de sélecteur de trafic) varient si un CPE prend en charge les tunnels basés sur un routage ou ceux basés sur une stratégie. Pour plus d'informations sur les valeurs de domaine de cryptage correctes à utiliser, reportez-vous à Domaine de cryptage ou ID de proxy pris en charge.

Paramètres IKE et IPSec personnalisés

Lors de l'utilisation de paramètres IKE (Internet Key Exchange) ou IPSec personnalisés, si vous sélectionnez des propositions de phase 1 personnalisées, le CPE doit être configuré pour accepter la proposition exacte. En cas de non-concordance, IKE ne peut pas configurer l'association de sécurité de phase 1 du tunnel IPSec.

Pour les propositions IPSec de phase 2 personnalisées, vous pouvez constater le comportement suivant :

  • Lorsqu'Oracle lance une nouvelle association IPSec de sécurité Phase 2, IKE propose uniquement les valeurs personnalisées.
  • Lorsque le CPE démarre une nouvelle association de sécurité IPSec de phase 2, l'association de sécurité de phase 2 est établie tant qu'Oracle prend en charge les paramètres.

Lancement IKE par Oracle et fragments IP

L'ensemble par défaut des propositions de paramètre IKE Oracle est trop volumineux pour tenir dans un seul paquet UDP. Par conséquent, l'extrémité Oracle de la connexion IPSec fragmente la demande de lancement. Pour démarrer une nouvelle association d'une sécurité IKE, tout pare-feu ou liste d'une sécurité entre l'adresse IP publique Oracle VPN et le CPE doit autoriser des fragments IP.

Paramètres pris en charge pour le cloud commercial

Cette section répertorie les paramètres pris en charge pour le VPN site à site dans le cloud commercial. Pour obtenir la liste des régions du cloud commercial, reportez-vous à Régions et domaines de disponibilité.

Pour certains paramètres, Oracle prend en charge plusieurs valeurs. La valeur recommandée est indiquée.

Oracle prend en charge les paramètres suivants pour IKEv1 ou IKEv2. Consultez la documentation d'un CPE donné afin de vérifier les paramètres qu'il prend en charge pour IKEv1 ou IKEv2.

Phase 1 (ISAKMP)

Paramètre Options
Protocole ISAKMP

Version 1
Type d'échange

Mode principal
Méthode d'authentification

Clés prépartagées *
Algorithme de cryptage

AES-256-CBC (recommandé)

AES-192-CBC

AES-128-CBC
Algorithme d'authentification

SHA-2 384 (recommandé)

SHA-2 256

SHA-1 (également appelé SHA ou SHA1-96) **

Groupe Diffie-Hellman

Groupe 2 (MODP 1 024 bits)

Groupe 5 (MODP 1 536 bits)

Groupe 14 (MODP 2 048 bits)

Groupe 19 (ECP 256 bits, aléatoire)

Groupe 20 (ECP 384 bits, aléatoire) (recommandé
Durée de vie de la clé de session IKE

28 800 secondes (8 heures)

* Seuls les chiffres, les lettres et les espaces sont autorisés dans les clés prépartagées.

** Nous recommandons de ne pas utiliser SHA-1. Le NIST a officiellement abandonné l'utilisation de SHA-1 en 2011 et interdit son utilisation pour les signatures numériques en 2013.

Phase 2 (IPSec)

Paramètre Options
Protocole IPSec

ESP, mode tunnel
Algorithme de cryptage

AES-256-GCM (recommandé)

AES-192-GCM

AES-128-GCM

AES-256-CBC

AES-192-CBC

AES-128-CBC
Algorithme d'authentification

Si vous utilisez GCM, aucun algorithme d'authentification n'est requis car l'authentification est incluse dans le cryptage GCM.

Si vous n'utilisez pas GCM, les choix suivants sont pris en charge :

HMAC-SHA-256-128 (recommandé)

HMAC-SHA1-128 *
Durée de vie de la clé de session IPSec

3 600 secondes (1 heure)
Confidentialité persistante

Activé, groupe 5 (valeur par défaut, recommandée)

Prend en charge les options Désactivé et Activé pour les groupes 2, 5, 14, 19, 20 et 24.

* Nous recommandons contre l'utilisation de SHA-1. Le NIST a officiellement abandonné l'utilisation de SHA-1 en 2011 et interdit son utilisation pour les signatures numériques en 2013.

Références

Si vous n'êtes pas déjà familiarisé avec les paramètres déjà mentionnés, des liens vers les normes pertinentes sont fournis dans les tableaux suivants.

Option Norme pertinente
AES (Advanced Encryption Standard) Norme FIPS PUB 197
CBC (Cipher block Chaining) Norme SP 800-38A
SHA (Secure Hash Algorithm) Norme FIPS PUB 180-4
Groupes DH (Diffie-Hellman)

RFC 2631 : méthode d'accord de clés Diffie-Hellman

RFC 3526 : groupes Diffie-Hellman MODP (Modular Exponential) supplémentaires pour IKE (Internet Key Exchange)

RFC 4306 : protocole IKEv2 (Internet Key Exchange)
Type de groupe DH : MODP (Modular Exponential) ou ECP (Elliptic Curve Prime)

MODP - RFC 3526 : groupes Diffie-Hellman MODP (Modular Exponential) supplémentaires pour IKE (Internet Key Exchange)

ECP - RFC 5114 : groupes Diffie-Hellman supplémentaires à utiliser avec les normes IETF
GCM (Galois/Counter Mode) RFC 5288 : mécanismes de cryptage AES GCM (Galois/Counter Mode) pour TLS
Confidentialité persistante RFC 2412 : protocole OAKLEY de détermination de clés