Configuration des communications IP sécurisées

Introduction à IPsec

L'IETF (Internet Engineering Task Force) a conçu et développé un ensemble ouvert de protocoles IPsec () qui privatisent et sécurisent les sessions de communication IP. Les algorithmes d'authentification et de chiffrement IPsec requièrent des clés cryptographiques définies par l'utilisateur, qui traitent les paquets de communication pendant une session IPsec.

NOTE : Pour plus d'informations sur IPsec, consultez le site web de l'IETF à l'adresse www.IETF.org.

Avant de commencer

Configurez manuellement IPsec pour chaque PC prenant en charge IPsec :

Ces instructions s'appliquent aux PC sous Windows 7 ou Windows 10.
Exécutez Control Expert avec IPsec 12.0 et le DTM 3.8.x (ou version ultérieure).
Confirmez que vous disposez des droits d'administrateur requis pour configurer IPsec.
Renforcez le PC sur lequel réside le client IPsec afin de réduire les risques d'attaque et d'appliquer le concept de défense en profondeur. Reportez-vous aux recommandations de Schneider Electric pour renforcer votre PC pour qu'il soit moins vulnérable.

NOTE : Lorsqu'IPsec est activé, le module de communication Ethernet BMENOC0301/11 ne prend pas en charge les communications initiées par le client. Il est alors impossible d'établir des communications poste à poste entre les modules BMENOC0301/11.

Présentation du processus

Voici la procédure de configuration d'IPsec :

Etape	Description
1	Configurez IPsec dans le DTM Control Expert.
2	Configurez le pare-feu Windows pour pouvoir utiliser IPsec.
3	Vérifiez la validité de la connexion.

Configuration du DTM Control Expert

Configurez IPsec dans le Control Expert :

Etape	Action
1	Ouvrez votre projet Control Expert.
2	Ouvrez le Navigateur de DTM (Outils → Navigateur de DTM).
3	Dans le Navigateur de DTM, double-cliquez sur le nom que vous avez attribué au module BMENOC0301/11 pour ouvrir la fenêtre de configuration. NOTE : vous pouvez également cliquer avec le bouton droit de la souris sur le module et sélectionner Ouvrir pour ouvrir la fenêtre de configuration.
4	Sélectionnez Sécurité dans l'arborescence de navigation pour afficher les options de configuration.
5	Dans le menu IPsec, sélectionnez Activé.
6	Cochez les cases appropriées :	Activer DH 2048	Activer la confidentialité	Niveau de sécurité
				performances supérieures
			✔	...
		✔		...
		✔	✔	sécurité renforcée
7	Dans le champ Clé pré-partagée, saisissez les 16 caractères de la clé pré-partagée. Les mots de passe valides comportent au moins un caractère de chacune des catégories suivantes : Caractère majuscule de l'alphabet latin classique (A…Z) Caractère minuscule de l'alphabet latin classique (a…z) Chiffre en base 10 (0…9) Caractère spécial (~, !, @, $, %, ^, &, *, _, +, -, =, `, \|, \, (, ), [, ], :, “, ‘, <, >) NOTE : Pour garantir la cybersécurité, veillez à modifier le mot de passe avec les modules équipés du micrologiciel V1.05 ou version ultérieure. Vous ne pourrez pas rétablir les paramètres d'usine si vous perdez le mot de passe.
	NOTE : Les caractères suivants ne sont pas autorisés dans la clé pré-partagée :		{
			}
			;
			#
8	Cliquez sur Appliquer pour enregistrer la configuration.
9	Regénérez le projet et téléchargez l'application pour appliquer ces paramètres au module BMENOC0301/11.

Configuration du pare-feu Windows

Configurez la stratégie de sécurité IP du pare-feu Windows en fonction des options sélectionnées dans le DTM Control Expert.

NOTE :

Pour chaque commande de configuration de la procédure suivante, la réponse du système d'exploitation Windows varie selon la validité de la commande :

correcte : lorsqu'une commande valide est acceptée, Windows renvoie OK.
incorrecte : lorsqu'une commande n'est pas valide, Windows renvoie des instructions. Vous devez alors revoir la structure et la syntaxe de la commande.

Instructions :

Etape	Action
1	Ouvrez une invite de commande DOS avec des droits d'administrateur. NOTE : Ces règles s'appliquent uniquement si le pare-feu Windows est actif. Reportez-vous à l'aide Windows pour savoir comment l'activer.
2	Exécutez cette commande de configuration avancée du pare-feu : netsh advfirewall set global mainmode mmkeylifetime 2879min,0sess
3	Exécutez cette commande de configuration avancée du pare-feu : netsh advfirewall set global mainmode mmsecmethods dh2048_variable Modifiez dh2048_variable en fonction du paramétrage de l'option Activer DH 2048 : non cochée : dhgroup2:aes128-sha256 cochée : dhgroup14:aes128-sha256
4	Exécutez cette commande de configuration avancée du pare-feu en précisant l'adresse IP et le sous-réseau de votre PC, ainsi que l'adresse IP, le sous-réseau et les paramètres IPSec de votre module BMENOC301/311 : netsh advfirewall consec add rule name="BMENOC0301_rule_xyz" endpoint1=xxx.xxx.xxx.xxx/xx endpoint2=yyy.yyy.yyy.yyy/yy action=requireinrequireout description="DH2048&confidentiality_state mode=transport enable=yes profile=public type=static protocol=any auth1=computerpsk auth1psk=YourPskGoesHere qmpfs=none qmsecmethods=confidentiality_variable Modifiez la commande comme suit : BMENOC0301_rule_xyz : modifiez cette information en fonction des besoins de l'application. xxx.xxx.xxx.xxx/xx : utilisez l'adresse IP de l'hôte Control Expert (PC ou équipement). yyy.yyy.yyy.yyy/yy : utilisez l'adresse IP du module BMENOC301/311. DH2048&confidentiality_state : modifiez cette information en fonction de l'état des cases à cocher (Activer DH 2048, Activer la confidentialité). YourPskGoesHere : utilisez la clé pré-partagée configurée dans le DTM. Modifiez confidentiality_variable en fonction du paramétrage de l'option Activer la confidentialité : non cochée : ah:sha256+1440min cochée : esp:sha256-aes128+1440min

Confirmation de la validité de la connexion IPsec

Après avoir configuré le DTM et configuré le pare-feu Windows, il vous reste à confirmer la validité de la connexion IPsec :

Etape	Action
1	Envoyez des commandes Ping régulières à partir du PC pour confirmer que la connexion IPsec est opérationnelle. NOTE : Les premières commandes Ping peuvent expirer tandis que la connexion est en train d'être établie.
2	Utilisez un analyseur de réseau (Wireshark, par exemple) ou la console de sécurité Windows pour vérifier que les requêtes et les réponses Ping sont bien sécurisées via IPsec.
3	Utilisez les outils de diagnostic IPsec standard de Windows 7 ou Windows 10 pour dépanner les communications IPsec. Par exemple, les étapes suivantes utilisent le service MMC (Microsoft Management Console) pour les applications de gestion. NOTE : Il est impossible de réinitialiser les valeurs. Pour actualiser les valeurs de comptage, relancez la console Microsoft Management Console.	a.	Sous Windows 7 ou Windows 10, créez une console Microsoft Management Console qui comprend les composants logiciels enfichables Moniteur de sécurité IP et Pare-feu Windows avec fonctions avancées de sécurité.
		b.	Dans le composant logiciel enfichable Pare-feu Windows avec fonctions avancées de sécurité, développez la section Analyse. Développez également la section Associations de sécurité pour afficher les connexions Mode principal et Mode rapide. Chaque connexion IPsec active apparaît alors dans la liste.
		c.	Dans le Moniteur de sécurité IP, développez la section Mode rapide et cliquez sur Statistiques pour afficher le nombre d'octets reçus et envoyés via les connexions sécurisées.