Délégation Centre-Auvergne-Limousin

- Home - News - Conseils - SécuritéMise à jour  -  Liens  -  Accès  -

Délégation Centre-Auvergne-Limousin
Article Microsoft

Administration de IPSec

Les stratégies IPSec sont utilisées à la place des API (interfaces de programmation d'application) ou des systèmes d'exploitation pour configurer des services de sécurité IPSec. Les stratégies offrent différents niveaux de protection pour la plupart des types de trafics dans la plupart des réseaux existants. Les stratégies IPSec peuvent être configurées pour répondre aux exigences de sécurité d'un utilisateur, d'un groupe, d'une application, d'un domaine, d'un site ou d'une entreprise globale.

 

Microsoft Windows 2000 comprend une interface d'administration appelée Gestion de la stratégie de sécurité du protocole IP pour définir des stratégies IPSec pour des ordinateurs au niveau de Active Directory pour tout membre d'un domaine, ou sur l'ordinateur local pour les non-membres de domaines.

Les stratégies IPSec peuvent être appliquées à des ordinateurs, des sites, des domaines ou à toute unité d'organisation créée dans Active Directory. Les stratégies IPSec doivent être basées sur les préconisations écrites d'une organisation pour que ses opérations soient sécurisées. à travers l'utilisation d'actions de sécurité appelées règles, une stratégie peut être appliquée à des groupes de sécurité hétérogènes d'ordinateurs ou d'unités d'organisation.

Il y a deux emplacements de stockage pour les stratégies IPSec :

  • Active Directory
  • Le Registre local pour les ordinateurs autonomes et les ordinateurs qui ne sont pas rattachés au domaine (quand l'ordinateur n'est temporairement pas rattaché à un domaine Microsoft Windows 2000 approuvé, les informations de la stratégie sont mises en mémoire cache dans le Registre local).

Chaque stratégie doit s'appliquer à un scénario envisagé dans un plan de sécurité établi pour une organisation. Des paramètres de configuration spéciaux peuvent s'appliquer si des stratégies sont affectées à un serveur DHCP, un système DNS (Domain Name System), un service WINS (Windows Internet Name Service), un protocole SNMP (Simple Network Management Protocol) ou à un serveur d'accès distant.

Sommaire

Création d'une stratégie IPSec

Microsoft Windows 2000 comprend trois stratégies de sécurité préinstallées de base, dont les niveaux vont de non sécurisé à fortement sécurisé. Cependant, les administrateurs de la sécurité souhaiteront probablement créer leur propre stratégie pour les faire correspondre à leurs besoins et leurs contraintes particulières. Un façon de créer une stratégie consiste à utiliser l'Assistant Stratégie de sécurité IP. L'Assistant Stratégie de sécurité IP peut être utilisé pour définir les éléments suivants :

Filtres : IPSec utilise une méthode de filtrage des paquets IP comme technique de base pour déterminer si la communication est autorisée, sécurisée ou bloquée, en fonction des plages d'adresses IP, des protocoles ou même de ports de protocoles spécifiques.

IPSec permet le contrôle d'accès en donnant à un administrateur la possibilité de concevoir des filtres et des actions de filtrage dans une stratégie IPSec. Deux types de contrôle d'accès sont proposés : filtrage de paquet IP simple et authentification réussie. De plus, les actions qui ont pour effet d'autoriser et de bloquer permettent un contrôle sur le type de paquets IP qu'un ordinateur peut envoyer ou recevoir, ou sur les adresses avec lesquelles un ordinateur peut communiquer.

Pilote IPSec : Le pilote IPSec, utilisant la Liste de filtres IP de la stratégie IPSec active, surveille les paquets IP sortants qui doivent être sécurisés et les paquets IP entrants qui doivent être vérifiés et décryptés.

Comme le montre le diagramme suivant, le pilote IPSec reçoit la liste de filtres IP de l'agent de stratégie IPSec. Le pilote IPSec surveille tous les paquets sortants de l'ordinateur et recherche s'ils correspondent à la liste de filtres IP stockée. Les paquets sortants initient la négociation pour la sécurité quand une correspondance se produit. Le pilote IPSec notifie à IKE (Internet Key Exchange) de commencer les négociations de sécurité.

Le pilote IPSec reçoit la liste de filtres IP de l'agent de stratégie IPSec

Règles : Des règles indiquent comment et quand une stratégie IPSec protège les communications. Une règle donne la possibilité de déclencher et de contrôler des communications sécurisées sur la base de la source, de la destination et du type de trafic IP.

Chaque règle contient une liste de filtres IP et un ensemble d'actions de sécurité qui sont réalisées après une correspondance avec cette liste de filtres :

  • Actions de filtrage
  • Méthodes d'authentification
  • Paramètres de tunnel IP
  • Types de connexions

Chaque stratégie peut contenir une seule ou plusieurs règles, toutes pouvant être actives simultanément. Par exemple, les administrateurs de la sécurité peuvent souhaiter une seule stratégie pour un routeur de site, mais nécessitent différentes actions de sécurité pour les communications intranet et Internet. Une même stratégie peut être utilisée pour le routeur en créant plusieurs règles, une pour chaque scénario possible de communication.

Des règles par défaut sont fournies avec IPSec et englobent un grand nombre de communications basées sur le client et sur le serveur. Elles peuvent être utilisées comme telles ou modifiées pour répondre à des besoins spécifiques.

Filtrage de paquet IP : Une adresse IP identifie l'emplacement d'un ordinateur sur le réseau. Chaque adresse IP comprend deux parties, un ID de réseau et un ID d'ordinateur :

  • L'ID de réseau identifie un réseau unique dans un réseau TCP/IP plus vaste (c'est-à-dire un réseau de réseaux). Cet ID est également utilisé pour identifier chaque réseau de façon univoque au sein d'un réseau plus vaste.
  • L'ID d'ordinateur de chaque périphérique (comme une station de travail ou un routeur) identifie un système au sein de son réseau.

Les ordinateurs multi-hébergement ont plusieurs adresses IP, une pour chaque carte réseau.

Filtres : Une règle donne la possibilité de déclencher des négociations de sécurité pour des communications, sur la base de la source, de la destination ou du type de trafic IP, à l'aide d'un processus appelé filtrage de paquet IP. Ceci constitue un moyen de définir avec précision le trafic IP qui doit être sécurisé, bloqué ou laissé libre de passer (non sécurisé).

Chaque filtre d'une liste de filtres IP décrit un sous-ensemble particulier du trafic réseau à sécuriser, tant pour le trafic entrant que sortant :

  • Les filtres entrants s'appliquent au trafic reçu, permettant à l'ordinateur récepteur de faire correspondre le trafic avec la liste de filtres IP. Les filtres entrants répondent à des requêtes de communications sécurisées ou comparent le trafic à une Association de sécurité (SA) et traitent les paquets sécurisés.
  • Les filtres sortants s'appliquent au trafic émis par un ordinateur vers une destination et déclenchent une négociation de sécurité qui doit se dérouler avant que le trafic soit envoyé.

Un filtre doit être disponible pour couvrir tout trafic auquel une règle associée est appliquée. Par exemple, si un ordinateur A veut échanger des données de façon sécurisée avec un ordinateur B :

  • Pour pouvoir envoyer des données sécurisées à l'ordinateur B, la stratégie IPSec de l'ordinateur A doit disposer d'un filtre pour tous les paquets sortants qui vont vers l'ordinateur B.
  • Pour pouvoir recevoir des données sécurisées de l'ordinateur A, la stratégie IPSec de l'ordinateur B doit disposer d'un filtre pour tous les paquets entrants qui viennent de l'ordinateur A.

Un filtre contient les paramètres suivants :

  • L'adresse de la source et de la destination du paquet IP. Celles-ci peuvent être configurées selon un niveau qui va de très détaillé, comme une adresse IP unique, à global, englobant alors la totalité d'un sous-réseau ou d'un réseau.
  • Le protocole selon lequel le paquet va être transmis. Celui-ci couvre par défaut tous les protocoles de la suite de protocoles TCP/IP. Le filtre peut être configuré avec un niveau de protocole individuel pour satisfaire des besoins particuliers, comme des numéros de protocoles personnalisés ; ceci ne fait cependant pas partie de la configuration évaluée.

    Remarque   Les stratégies IPSec configurées pour être appliquées seulement au mode de transport des communications font partie de la configuration d'évaluation.

  • Le port du protocole de la source et de la destination pour TCP et UDP. Ceci couvre également par défaut tous les ports, mais peut être configuré pour être appliqué seulement aux paquets envoyés ou reçus sur un port de protocole spécifique.

Actions de filtrage : L'action de filtrage définit les éléments de sécurité requis pour la communication. Ces éléments requis sont spécifiés dans une liste de méthodes de sécurité contenue dans l'action de filtrage : les algorithmes, les protocoles de sécurité et les principales propriétés à utiliser.

Une action de filtrage peut aussi être configurée avec les stratégies suivantes :

  • Stratégie directe. Elle n'offre pas de communications sécurisées. Dans ce cas, IPSec ignore simplement le trafic. Ceci convient pour du trafic qui ne peut pas être sécurisé parce que IPSec n'est pas activé sur l'ordinateur distant, parce que ce trafic n'est pas suffisamment critique pour nécessiter une protection ou parce que ce trafic gère sa propre sécurité.
  • Stratégie de blocage. Cette stratégie stoppe les communications d'une certaine adresse ou d'un certain groupe d'adresses.
  • Stratégie de négociation. Une stratégie qui négocie des éléments de sécurité, mais qui continue de laisser passer les communications avec des ordinateurs où IPSec n'est pas activé. Une action de filtrage peut être configurée pour utiliser une communication en texte clair. S'il est nécessaire de configurer une action de filtrage de cette façon, limitez au maximum la liste de filtres IP. Cette configuration doit cependant être utilisée avec une extrême attention. Toutes les communications affectées par cette stratégie peuvent aboutir à l'envoi de données sans aucune protection si la négociation échoue pour une raison quelconque. Si l'initiateur d'une négociation IKE reçoit une réponse de l'ordinateur interlocuteur, la négociation ne permet pas l'envoi d'une communication en texte clair.

Quelques recommandations pour les actions de filtrage :

  • S'il est nécessaire d'empêcher des communications avec des ordinateurs incontrôlables, vérifiez que la sécurité n'est pas négociée pour des données peu importantes ou, quand des homologues n'utilisent pas IPSec, utilisez des actions de filtrage comme des stratégies de blocage ou directes.
  • Quand vous configurez des méthodes de sécurité personnalisées, définissez seulement la sélection de la confidentialité ESP à Aucune quand un protocole d'une couche supérieure va assurer le cryptage des données.
  • Pour des scénarios de communications à distance (y compris le tunneling IPSec), envisagez une liste de méthodes de sécurité qui spécifie de hauts niveaux de sécurité, comme 3DES seulement, des durée de vie limitées pour les clés (moins de 50 Mo) et une confidentialité de transmission parfaite pour les clés principales et de session. Ceci aide à la protection contre des attaques à partir de clés qui seraient connues.

Listes de filtres IP : Voici quelques recommandations pour les listes de filtres IP :

  • Essayez d'utiliser des filtres généraux s'il faut protéger un groupe d'ordinateurs avec un seul filtre. Par exemple, dans la boîte de dialogue Propriétés du filtre, utilisez N'importe quelle adresse IP ou une adresse de sous-réseau IP au lieu d'indiquer une adresse IP source ou de destination d'un ordinateur spécifique.
  • Définissez des filtres qui permettent de grouper et de sécuriser le trafic pour des segments du réseau logiquement associés.
  • L'ordre dans lequel les filtres s'appliquent n'est pas lié à l'ordre de leur affichage quand la stratégie IPSec est visualisée. Tous les filtres sont extraits simultanément par l'agent de stratégie IPSec lors du démarrage du système, et sont traités et triés du plus spécifique au moins spécifique. Il n'est pas garanti qu'un filtre spécifique sera appliqué avant un filtre général jusqu'à ce que tous les filtres aient été traités ; ceci peut affecter certains comportements des communications lors du démarrage du système.

Créez une stratégie IPSec sur un contrôleur de domaine comme suit :

  1. Ouvrez l'Explorateur Windows ; cliquez sur Démarrer, pointez sur Programmes, pointez sur Outils d'administration, puis cliquez sur Stratégie de sécurité du contrôleur de domaine.
  2. Développez Paramètres de sécurité, cliquez avec le bouton droit sur Stratégies de sécurité IP sur Active Directory, puis cliquez sur Créer une stratégie de sécurité IP. L'Assistant Stratégie de sécurité IP apparaît.

Créer une stratégie de sécurité IP

Assistant stratégie de sécurité IP

  1. Cliquez sur Suivant.
  2. Tapez le nom de la stratégie, puis cliquez sur Suivant.
  3. Désactivez la case à cocher Activer la règle de réponse par défaut, puis cliquez sur Suivant.

    Activer la règle de réponse par défaut

  4. Vérifiez que la case à cocher Modifier les propriétés est activée (elle l'est par défaut), puis cliquez sur Terminer.
  5. Dans la boîte de dialogue Propriétés de la stratégie qui vient d'être créée, vérifiez que la case à cocher Utiliser l'Assistant Ajout dans le coin inférieur droit est activée, puis cliquez sur Ajouter pour démarrer l'Assistant Règle de sécurité.

    Assistant Règle de sécurité

  6. Cliquez sur Suivant pour passer à l'étape suivante de l'Assistant Règle de sécurité.

    Assistant Règle de sécurité

  7. Sélectionnez Cette règle ne spécifie aucun tunnel (sélectionné par défaut), puis cliquez sur Suivant.

    Cette règle ne spécifie aucun tunnel

  8. Sélectionnez le bouton radio Toutes les connexions réseau (sélectionné par défaut), puis cliquez sur Suivant.

    Toutes les connexions réseau

  9. Pour la méthode d'authentification, sélectionnez Valeurs par défaut de Windows 2000 (Protocole Kerberos V5) et cliquez sur Suivant.

    Valeurs par défaut de Windows 2000 (Protocole Kerberos V5)

  10. Sélectionnez une liste de filtres IP et cliquez sur Suivant.

    Sélectionnez une liste de filtres IP

  11. Sélectionnez une action de filtrage et cliquez sur Suivant.

    Sélectionnez une action de filtrage

  12. Pour modifier la règle de sécurité, activez la case à cocher Modifier les propriétés et cliquez sur Terminer.

    Modifier les propriétés

Attribution de la stratégie

  1. Ouvrez l'Explorateur Windows ; cliquez sur Démarrer, pointez sur Programmes, pointez sur Outils d'administration, puis cliquez sur Stratégie de sécurité du contrôleur de domaine.
  2. Développez Paramètres de sécurité et cliquez sur Stratégies de sécurité IP sur Active Directory.
  3. Cliquez avec le bouton droit sur la stratégie à attribuer et choisissez Attribuer dans le menu.

Attribuer

  1. Cette action modifie le champ Stratégie attribuée dans la zone des informations en Oui.

Stratégie attribuée

Service Agent de stratégie IPSec

La fonction de cet agent de stratégie consiste à extraire des informations sur la stratégie IPSec et à les transférer aux autres mécanismes IPSec qui ont besoin de ces informations pour exécuter les services de sécurité, comme cela est montré ici.

Service Agent de stratégie IPSec

Agent de stratégie IPSec

L'agent de stratégie est un service IPSec résidant sur chaque ordinateur Windows 2000 et qui apparaît dans la liste des services système. L'agent de stratégie effectue les tâches suivantes :

  • Il extrait la stratégie IPSec appropriée (si une stratégie a été attribuée) de Active Directory si l'ordinateur est un membre de domaine ou du Registre local si l'ordinateur n'est pas rattaché à un domaine.
  • Il envoie les informations de la stratégie IPSec active au pilote IPSec.

La recherche de la stratégie se fait au démarrage du système, à l'intervalle spécifié dans la stratégie IPSec (si l'ordinateur est rattaché à un domaine), et à l'intervalle d'interrogation par défaut de Winlogon (s'il est rattaché à un domaine). Si les informations de stratégie IPSec sont configurées de façon centralisée pour les ordinateurs qui sont membres de domaines, elles sont stockées dans Active Directory et mises en mémoire cache dans le Registre local de l'ordinateur auquel elles s'appliquent.

  • Si l'ordinateur est temporairement non connecté au domaine et qu'il a des informations de stratégie en mémoire cache, quand l'ordinateur se reconnecte au domaine, les nouvelles informations de stratégie pour cet ordinateur remplacent les anciennes informations de stratégies en mémoire cache.
  • Si un ordinateur est autonome ou est membre d'un domaine qui n'utilise pas Active Directory pour le stockage de stratégie, la stratégie IPSec est stockée dans le Registre local.

L'agent de stratégie démarre automatiquement au moment où le système démarre. S'il n'y a pas de stratégies IPSec dans le service d'Annuaire ni dans le Registre, ou si l'agent de stratégie ne peut pas se connecter au service d'Annuaire, l'agent de stratégie attend qu'une stratégie soit attribuée ou activée.
 

Dernière mise à jour le mercredi 12 mars 2003

Page Up Updated 24 septembre, 2003 Hervé Chaudret
C.N.R.S.

-   Home   -  News   -   Conseils   -   Sécurité   -   Mise à jour   -   Liens   -   Accès   -

C.N.R.S.