- Démarrage
- Sécurité et conformité des données
- Organisations
- Authentification et sécurité
- Licences
- À propos des licences
- Tarification unifiée : infrastructure du plan de licence
- Activation de votre licence Enterprise
- Migrer de Test Suite vers Test Cloud
- Migration de licence
- Attribuer des licences aux locataires
- Attribuer des licences utilisateur
- Révocation des licences utilisateur
- Surveillance de l’attribution des licences
- Surallocation de licences
- Notifications d'attribution de licence
- Gestion des licences utilisateur
- Locataires et services
- Comptes et rôles
- AI Trust Layer
- Applications externes
- Notifications
- Journalisation
- Test dans votre organisation
- Résolution des problèmes
- Migrer vers Test Cloud
Guide de l'administrateur de Test Cloud
Politique IPSec/IKE par défaut
Les passerelles VPN UiPath sont créées avec une politique IPsec /IKE par défaut conçue pour une interopérabilité maximale avec un large éventail de périphériques VPN locaux. Les informations de cette section sont basées sur les stratégies par défaut de la passerelle VPN d'Azure.
Dans la plupart des scénarios, aucune stratégie IPsec / IKE personnalisée n'est requise. Vous devez configurer une stratégie personnalisée uniquement si votre périphérique VPN local applique des exigences cryptographiques strictes ou si vous ne parvenez pas à organiser un HTTP à l'aide de la stratégie par défaut.
Terminologie utilisée dans cette section
La terminologie suivante est utilisée tout au long de cette section :
- SAM: Association de sécurité
- Phase 1 IKE: Mode principal
- Phase 2 IKE: Mode rapide
Phase 1 IKE : paramètres par défaut
La phase 1 IKE établit le canal de contrôle sécurisé utilisé pour authentifier les pairs et protéger le trafic de négociation.
Table 1. Propriétés par défaut de la phase 1
| Propriété | Valeur (Value) |
|---|---|
| Version IKE | IKEv1 et IKEv2 |
| Groupe Diffie-Hellman | Groupe 2 (1024 bits) |
| Méthodes d'authentification SQL | Clé pré-partagée |
| Durée de vie SA | 28 800 secondes |
| Nombre de Sas en mode rapide | 100 |
Les passerelles VPN UiPath prennent en charge les combinaisons de chiffrement et d'intégrité suivantes dans le cadre de la stratégie par défaut :
- AES256, SHA1
- AES256, SHA256
- AES128, SHA1
- AES128, SHA256
- 3DES, SHA1
- 3DES, SHA256
Lors de la négociation, la passerelle sélectionne automatiquement la combinaison la plus solide mutuellement prise en charge entre UiPath et le périphérique VPN local.
Phase 2 IKE : paramètres par défaut
La phase 2 IKE établit les tunnels de données utilisés pour le trafic des applications.
Tableau 2. Propriétés de la phase 2 par défaut
| Propriété | Valeur (Value) |
|---|---|
| Version IKE | IKEv1 et IKEv2 |
| Durée de vie SA | 27 000 secondes |
| Durée de vie SA (octets) | 102 400 000 Ko |
| Détection des pairs à la date limite (DPD) | Pris en charge |
La stratégie par défaut prend en charge plusieurs combinaisons de chiffrement, d'intégrité et de PFS. La combinaison qui sera ensuite utilisée dépend de l'action dont la passerelle VPN UiPath sert d'initiateur ou de répondeur lors de la phase 2.
Ce comportement est attendu dans les implémentations IPsec et améliore la compatibilité avec un large éventail de périphériques VPN.
UiPath Gateway en tant qu'initiateur
Lorsque la passerelle VPN UiPath lance la négociation de la phase 2, elle prend en charge les combinaisons suivantes :
| Encryption | Authentification | PFS Group |
|---|---|---|
| GCM AES256 | GCM (AES256) | Aucun (None) |
| AES 256 | SHA1 | Aucun (None) |
| 3DES | SHA1 | Aucun (None) |
| AES 256 | SHA256 | Aucun (None) |
| AES 128 | SHA1 | Aucun (None) |
| 3DES | SHA256 | Aucun (None) |
UiPath Gateway en tant que répondeur (ensemble pris en charge complet)
Lorsque la passerelle VPN UiPath agit en tant que répondeur, elle prend en charge un plus large éventail de combinaisons, afin de maximiser l'interopérabilité :
| Encryption | Authentification | PFS Group |
|---|---|---|
| GCM AES256 | GCM (AES256) | Aucun (None) |
| AES 256 | SHA1 | Aucun (None) |
| 3DES | SHA1 | Aucun (None) |
| AES 256 | SHA256 | Aucun (None) |
| AES 128 | SHA1 | Aucun (None) |
| 3DES | SHA256 | Aucun (None) |
| DES | SHA1 | Aucun (None) |
| AES 256 | SHA1 | 1 |
| AES 256 | SHA1 | 2 |
| AES 256 | SHA1 | 14 |
| AES 128 | SHA1 | 1 |
| AES 128 | SHA1 | 2 |
| AES 128 | SHA1 | 14 |
| 3DES | SHA1 | 1 |
| 3DES | SHA1 | 2 |
| 3DES | SHA256 | 2 |
| AES 256 | SHA256 | 1 |
| AES 256 | SHA256 | 2 |
| AES 256 | SHA256 | 14 |
| AES 256 | SHA1 | 24 |
| AES 256 | SHA256 | 24 |
| AES 128 | SHA256 | Aucun (None) |
| AES 128 | SHA256 | 1 |
| AES 128 | SHA256 | 2 |
| AES 128 | SHA256 | 14 |
| 3DES | SHA1 | 14 |
Cette prise en charge étendue des répondeurs permet à la passerelle VPN UiPath d'interagir avec les anciens périphériques VPN, les pare-feu d'entreprise stricts et les appareils qui appliquent des exigences spécifiques au groupe PFS.
Erreur courante
La stratégie par défaut utilise une cryptographie faible.
C'est incorrect. La stratégie par défaut prend en charge plusieurs algorithmes cryptographiques, mais n’applique pas l’option la plus faible. Lors de la négociation, la combinaison la plus solide mutuellement prise en charge est toujours sélectionnée.
Points à retenir
La stratégie IPsec/IKE par défaut est conçue pour la compatibilité et doit être utilisée dans la mesure du possible. Définissez une politique personnalisée uniquement lorsqu’une exigence technique ou de conformité est claire.