Partager via


Paramètres de chiffrement par défaut pour le client VPN Microsoft L2TP/IPSec

Cet article décrit les paramètres de chiffrement par défaut du client de réseau privé virtuel (VPN) Microsoft L2TP/IPSec.

Applicabilité : Windows 10 - Toutes les éditions
Numéro de base de connaissances d’origine : 325158

Résumé

La liste suivante contient les paramètres de chiffrement par défaut du client de réseau privé virtuel Microsoft L2TP/IPSec pour les clients de version antérieure :

  • Data Encryption Standard
  • Secure Hash Algorithm
  • Diffie-hellman Medium
  • mode de transport
  • Encapsulation de la charge utile de sécurité

Le client ne prend pas en charge les paramètres suivants :

  • Mode tunnel
  • AH (en-tête d’authentification)

Ces valeurs sont codées en dur dans le client et vous ne pouvez pas les modifier.

Data Encryption Standard

Data Encryption Standard (3DES) assure la confidentialité. 3DES est la plus sécurisée des combinaisons DES et offre des performances un peu plus lentes. 3DES traite chaque bloc trois fois, en utilisant une clé unique chaque fois.

Secure Hash Algorithm

L’algorithme de hachage sécurisé 1 (SHA1), avec une clé 160 bits, fournit l’intégrité des données.

Diffie-Hellman Medium

Les groupes Diffie-Hellman déterminent la longueur des nombres premiers de base utilisés pendant l’échange de clés. La force de toute clé dérivée dépend en partie de la force du groupe Diffie-Hellman sur lequel les nombres premiers sont basés.

Le groupe 2 (moyen) est plus fort que le groupe 1 (faible). Le groupe 1 fournit 768 bits de matériel de clé et le groupe 2 fournit 1 024 bits. Si des groupes incompatibles sont spécifiés sur chaque homologue, la négociation ne réussit pas. Vous ne pouvez pas changer le groupe pendant la négociation.

Un groupe plus grand entraîne plus d’entropie et donc une clé qui est plus difficile à briser.

Mode de transport

Il existe deux modes d’opération pour IPSec :

  • Mode de transport : en mode transport, seule la charge utile du message est chiffrée.
  • Mode tunnel (non pris en charge) : en mode tunnel, la charge utile, l’en-tête et les informations de routage sont toutes chiffrées.

Protocoles de sécurité IPSec

  • Encapsulation de la charge utile de sécurité

    L’encapsulation de la charge utile de sécurité (ESP) fournit la confidentialité, l’authentification, l’intégrité et la relecture anti-relecture. ESP ne signe généralement pas le paquet entier, sauf si le paquet est en cours de tunnel. En règle générale, seules les données sont protégées, et non l’en-tête IP. ESP ne fournit pas d’intégrité pour l’en-tête IP (adressage).

  • En-tête d’authentification (non pris en charge)

    L’en-tête d’authentification (AH) fournit l’authentification, l’intégrité et la relecture du paquet entier (à la fois l’en-tête IP et les données transmises dans le paquet). AH signe l’ensemble du paquet. Il ne chiffre pas les données, de sorte qu’elles ne fournissent pas de confidentialité. Vous pouvez lire les données, mais vous ne pouvez pas les modifier. AH utilise des algorithmes HMAC pour signer le paquet.

References

Comment résoudre les problèmes d’une connexion cliente de réseau privé virtuel Microsoft L2TP/IPSec