- Démarrage
- Sécurité et conformité des données
- Organisations
- Authentification et sécurité
- Licences
- À propos des licences
- Tarification unifiée : infrastructure du plan de licence
- Activation de votre licence Enterprise
- Migrer de Test Suite vers Test Cloud
- Migration de licence
- Attribuer des licences aux locataires
- Attribuer des licences utilisateur
- Révocation des licences utilisateur
- Surveillance de l’attribution des licences
- Surallocation de licences
- Notifications d'attribution de licence
- Gestion des licences utilisateur
- Locataires et services
- Comptes et rôles
- AI Trust Layer
- Applications externes
- Notifications
- Journalisation
- Test dans votre organisation
- Résolution des problèmes
- Migrer vers Test Cloud
Guide de l'administrateur de Test Cloud
Configuration des politiques IPsec et IKE
La stratégie IPsec /IKE définit la façon dont le Type VPN est sécurisé. Les deux côtés, la passerelle UiPath et votre périphérique VPN local, doivent utiliser des paramètres compatibles, sinon le tunnel ne pourra pas établir ou transmettre le trafic.
Cette section explique ce que signifient les paramètres, la manière dont les options UiPath correspondent à la terminologie commune du pare-feu, ainsi que les erreurs de configuration les plus courantes.
Vue d'ensemble (Overview)
Un VPN de site à site comporte deux phases de négociation :
- Phase 1 IKE
- Établit un canal de contrôle sécurisé.
- Utilisé pour authentifier les pairs et protéger le trafic de négociation.
- Phase 2 IKE (IPsec/Mode rapide)
- Établit des tunnels de données.
- Utilisé pour le trafic réel de l’application.
Les deux phases doivent être compatibles pour que le VPN fonctionne.
Quand avez-vous besoin d'une politique IPsec/IKE personnalisée ?
Les passerelles UiPath sont créées avec une stratégie par défaut sécurisée qui fonctionne avec les périphériques VPN les plus modernes.
Vous n'avez besoin de configurer une politique personnalisée que si :
- Votre appareil local a des exigences cryptographiques strictes.
- Vous devez vous conformer aux normes internes ou réglementaires.
- Vous correspondez à une configuration de pare-feu existante.
Si votre VPN fonctionne sans stratégie personnalisée, ne la modifiez pas.
Phase 1 IKE (canal de contrôle)
Les paramètres de phase 1 dans UiPath contrôlent la protection du canal de négociations.
| Paramètre | Description |
|---|---|
| Encryption | Comment le trafic de contrôle est chiffré. |
| Intégrité | Comment l'intégrité du trafic est vérifiée. |
| DH Group | Comment les clés sont échangées. |
Options de la phase 1 prises en charge :
- Encryption
- AES128, AES192, AES256
- GCMAES128, GCMAES256
- Intégrité
- SHA1, SHA256, SHA384
- MD5
- Groupes HD
- Groupe HD1
- Groupe HD2
- Groupe HD14
- Groupe HD 2048
- Groupe HD24
- EC256
- ECCP384
- Aucun (None)
Sur les interfaces utilisateur du pare-feu, elles sont souvent nommées Projet IKE ou Projet de phase 1.
Phase 2 IKE (IPsec/Mode rapide)
Les paramètres de la phase 2 contrôlent la protection du trafic des applications.
| Paramètre | Description |
|---|---|
| Chiffrement IPsec | Cryptage des données |
| Intégrité IPSec | Intégrité des données |
| PFS Group | Clé secrète de transfert parfaite |
| Durée de vie SA | Seuils de reclé |
Options de la phase 2 prise en charge :
- Chiffrement IPsec
- Aucun (None)
- AES128, AES192, AES256
- DES, DES3
- GCMAES128, GCMAES192, GCMAES256
- Intégrité IPSec
- SHA1, SHA256
- MD5
- GCMAES128, GCMAES192, GCMAES256
- Groupes PFS
- PFS1
- PFS2
- PFS 2048
- PFS 24
- EC256
- ECCP384
- Aucun (None)
Comprendre PFS
Sur de nombreux appareils locaux, PFS est une case à cocher combinée à une sélection de groupe HD. Dans UiPath, vous sélectionnez directement le groupe PFS.
Consultez le tableau suivant pour un mappage conceptuel.
| Appareil local | UiPath |
|---|---|
| PFS désactivé | Groupe PFS = Aucun |
| PFS activé avec le groupe HD 2 | PFS2 |
| PFS activé avec le groupe HD 14 | PFS 2048 |
| PFS activé avec le groupe HD 24 | PFS 24 |
| PFS activé avec ECDHE | ECP256 / ECP384 |
Pour obtenir des mappages détaillés, consultez la documentation Microsoft .
Règles critiques et cas particuliers
Un échec courant est l'incompatibilité GCMAES.
Si vous utilisez GCMAES pour le chiffrement IPSec, sélectionnez le même algorithme GCMAES et la même longueur de clé pour l'intégrité IPsec.
- Valide :
- Chiffrement :
GCMAES128 - Intégrité :
GCMAES128
- Chiffrement :
- Non valide :
- Chiffrement :
GCMAES128 - Intégrité :
SHA256
- Chiffrement :
Cette incompatibilité empêchera le tunnel de s’établir.
Aucun ne signifie pas être sécurisé par défaut. Phase 2 Intégrité = Aucun n'est valide uniquement lors de l'utilisation de GCMAES, car cela offre une protection d'intégrité intégrée.
Son utilisation avec un chiffrement non GCM entraîne un échec.
Les valeurs de durée de vie SA doivent être compatibles avec votre appareil sur site. Des durées de vie non correspondantes entraînent généralement des déconnexions périodiques plutôt qu’une défaillance immédiate.
Erreurs de configuration IPSec/IKE courantes
| Symptôme | Cause probable |
|---|---|
| Le tunnel ne s’aligne jamais | Non-correspondance de chiffrement ou d’intégrité |
| Développeurs de Page | Non-correspondance de durée de vie SA |
| Phase 1 vers le haut, phase 2 vers le bas | Incompatibilité PFS |
| Fonctionne brièvement, puis échoue | Incohérence de la reclé |
| Apparence correcte mais échoue | Règle GCMAES violée |
Approche recommandée
- Commencer par la stratégie par défaut.
- Introduisez une politique personnalisée uniquement si nécessaire.
- Correspond exactement à la phase 1 et à la phase 2.
- Faites particulièrement attention à :
- Mappage PFS
- Règles GCMAES
- Modifiez un paramètre à la fois.
Points à retenir
Les politiques IPsec/IKE doivent correspondre sur le plan conceptuel, pas seulement visuellement. Différents fournisseurs utilisent une terminologie différente pour les mêmes concepts de cryptographie. Une bonne compréhension du mappage permet d’éviter les échecs silencieux.