@rtduweb

La sécurité IPsec sert généralement à assurer la confidentialité, l'intégrité et l'authentification des données lors de leur transfert sur des canaux non sécurisés. Bien que son objectif, à l'origine, était de sécuriser le trafic sur les réseaux publics, la sécurité IPsec est aujourd'hui souvent implémentée pour renforcer la sécurité des réseaux privés. Cela vient du fait que les organisations ne souhaitent pas courir le risque de voir les points faibles de leurs propres réseaux privés faire l'objet d'une exploitation. Lorsqu'elle est correctement mise en place, la sécurité IPsec fournit un canal privé pour l'envoi et l'échange des données vulnérables, qu'il s'agisse de messages électroniques, du trafic FTP (File Transfer Protocol), d'échanges de News (discussion), de données relatives à des partenaires et à la chaîne logistique, de dossiers médicaux ou encore de tout autre type de données TCP/IP.

Une règle de sécurité de connexion force l'authentification entre deux ordinateurs homologues avant qu'ils ne puissent établir une connexion et transmettre des informations sécurisées. Le Pare-feu Windows avec fonctions avancées de sécurité utilise la sécurité IPsec pour mettre en œuvre ces règles.

Les points de terminaison sont les ordinateurs ou le groupe d'ordinateurs qui forment des homologues pour la connexion. Vous pouvez spécifier un ordinateur unique, un groupe d'ordinateurs (tel qu'un sous-réseau ou des ordinateurs dans une plage d'adresses IP) ou l'un des ordinateurs prédéfinis : passerelle par défaut, serveurs WINS (Windows Internet Name Service), serveurs DHCP, serveurs DNS (Domain Name System) ou le sous-réseau local. Le sous-réseau local est la collection de tous les ordinateurs accessibles à cet ordinateur, à l'exception des adresses IP publiques (interfaces). Il comprend les adresses du réseau local et les adresses sans fil.

Le mode de tunnel IPsec protège un paquet IP entier en le traitant comme une charge utile AH ou ESP. Avec le mode de tunnel, un paquet IP entier est encapsulé avec un en-tête AH ou ESP et un en-tête IP supplémentaire. Les adresses IP de l'en-tête IP externe sont les points de terminaison du tunnel, et les adresses IP de l'en-tête IP encapsulé sont les adresses source et de destination finales.

La protection ESP chiffre les paquets et applique un nouvel en-tête non chiffré pour faciliter le routage. Excepté le chiffrement, la protection ESP ne garantit pas l'authenticité des données de l'en-tête.

La protection ESP offre deux modes de fonctionnement. Leur utilisation est déterminée par les fonctionnalités requises et la capacité des hôtes ou des routeurs prenant en charge la sécurité IPsec :

• Mode de transport : la charge utile des données est chiffrée, mais les données de l'en-tête demeurent inchangées. Le mode de transport chiffre les données entre deux hôtes qui prennent en charge la sécurité IPsec et qui sont capables de déchiffrer directement les données de la charge utile.

• Mode de tunnel : le paquet entier d'origine est chiffré et devient la charge utile d'un nouveau paquet, qui est ensuite transmis entre les routeurs prenant en charge la sécurité IPsec. Le mode de tunnel permet aux routeurs prenant en charge la sécurité IPsec d'encapsuler et de chiffrer le trafic réseau en provenance d'hôtes ne prenant pas en charge la sécurité IPsec, de le transmettre via un réseau non sécurisé, puis de le déchiffrer afin qu'il puisse être utilisé sur le réseau de destination par d'autres hôtes ne prenant pas en charge la sécurité IPsec.

L'Assistant Nouvelle règle de sécurité de connexion comprend une page dans laquelle vous pouvez définir la méthode d'authentification pour configurer les informations d'authentification utilisées. Si la règle existe déjà, vous pouvez utiliser l'onglet Authentification de la boîte de dialogue Propriétés de Sécurité de la connexion de la règle à modifier.

Sélectionnez cette option pour utiliser la méthode d'authentification telle que configurée sous l'onglet Paramètres IPsec de la boîte de dialogue Propriétés de Pare-feu Windows avec fonctions avancées de sécurité.

Cette méthode utilise l'authentification de l'ordinateur et de l'utilisateur, ce qui signifie que vous pouvez demander ou exiger l'authentification de l'utilisateur et de l'ordinateur avant la poursuite des communications. Vous pouvez uniquement utiliser le protocole d'authentification Kerberos version 5 si les ordinateurs et les utilisateurs sont membres d'un domaine.

Cette méthode demande ou exige l'authentification de l'ordinateur au moyen du protocole d'authentification Kerberos version 5. Vous pouvez uniquement utiliser le protocole d'authentification Kerberos version 5 si les ordinateurs sont membres d'un domaine.

Cette méthode demande ou exige l'authentification de l'utilisateur au moyen du protocole d'authentification Kerberos version 5. Vous pouvez uniquement utiliser le protocole d'authentification Kerberos version 5 si l'utilisateur est le membre d'un domaine.

Cette méthode demande ou exige un certificat d'ordinateur valide pour l'authentification. Pour ce faire, vous devez posséder au moins une autorité de certification.

La méthode demande ou exige un certificat d'intégrité valide pour l'authentification. Les certificats d'intégrité déclarent qu'un ordinateur possède tous les logiciels et autres mises à jour que requiert l'accès réseau. Ces certificats sont distribués au cours du processus NAP.

Vous pouvez configurer n'importe quelle méthode disponible, et vous pouvez spécifier des méthodes dans Première authentification et Seconde authentification. Les premières méthodes d'authentification comprennent la clé Kerberos de l'ordinateur, le certificat d'ordinateur et une clé prépartagée. Les secondes méthodes d'authentification comprennent la clé Kerberos de l'utilisateur, la clé NTLM (protocole de demande d'accès/réponse Windows NT), des certificats utilisateur et des certificats d'intégrité d'ordinateur.

Un profil de pare-feu est une manière de regrouper les paramètres, tels que les règles du pare-feu et de sécurité de connexion, qui sont appliqués à l'ordinateur selon l'endroit où l'ordinateur est connecté. Sur les ordinateurs qui exécutent la version actuelle de Windows actuelle, trois profils sont disponibles pour le Pare-feu Windows avec fonctions avancées de sécurité. Un seul de ces profils est appliqué à la fois.

La contrainte de mise en conformité IPsec divise un réseau physique en trois réseaux logiques. Un ordinateur ne peut appartenir qu'à un seul réseau logique à la fois. Les réseaux logiques sont définis en fonction des ordinateurs qui possèdent des certificats d'intégrité et des ordinateurs qui exigent l'authentification IPsec avec des certificats d'intégrité pour les tentatives de communication entrantes. Les réseaux logiques autorisent des opérations d'accès réseau et de mise à jour limitées, et protègent les ordinateurs conformes contre les ordinateurs non conformes.

La contrainte de mise en conformité IPsec définit les réseaux logiques suivants :

• Réseau sécurisé. Il s'agit du groupe d'ordinateurs qui possèdent des certificats d'intégrité et qui exigent que les tentatives de communication entrantes utilisent des certificats d'intégrité pour l'authentification IPsec. Sur un réseau géré, la plupart des serveurs et des ordinateurs clients qui sont membres du domaine Active Directory se trouvent dans le réseau sécurisé.

• Réseau de délimitation. Il s'agit du groupe d'ordinateurs qui possèdent des certificats d'intégrité, mais qui n'exigent pas que les tentatives de communication entrantes utilisent des certificats d'intégrité pour l'authentification IPsec. Les ordinateurs dans le réseau de délimitation doivent être accessibles aux ordinateurs sur tout le réseau.

• Réseau restreint. Il s'agit du groupe d'ordinateurs qui ne possèdent pas de certificats d'intégrité. Ce groupe comprend notamment les ordinateurs clients NAP non conformes, les invités sur le réseau ou les ordinateurs qui ne sont pas compatibles avec la protection d'accès réseau, tels que les ordinateurs qui exécutent des versions de Windows qui ne prennent pas en charge la protection d'accès réseau, les ordinateurs Apple Macintosh ou les ordinateurs UNIX.

Pour déployer la protection d'accès réseau avec la sécurité IPsec et l'autorité HRA, vous devez configurer les éléments suivants :

• Dans le serveur NPS, configurez la stratégie de demande de connexion, la stratégie réseau et la stratégie de contrôle d'intégrité NAP. Vous pouvez configurer ces stratégies individuellement à l'aide de la console NPS, ou vous pouvez utiliser le nouvel Assistant Protection d'accès réseau.

• Activez le client de contrainte de mise en conformité IPsec NAP et le service NAP sur les ordinateurs clients compatibles avec la protection d'accès réseau.

• Installez l'autorité HRA sur l'ordinateur local ou sur un ordinateur distant.

• Installez et configurez les services de certificats Active Directory de certificats et les modèles de certificats.

• Configurez la stratégie de groupe et tous les autres paramètres nécessaires pour votre déploiement.

• Configurez le programme de validation d'intégrité de la sécurité Windows, ou installez et configurez d'autres agents d'intégrité système et d'autres programmes de validation d'intégrité système, en fonction de votre déploiement NAP.

• Si aucune autorité HRA n'est configurée sur l'ordinateur local, vous devez également configurer les éléments suivants :

• Installez le service NPS sur l'ordinateur qui exécute l'autorité HRA.

• Configurez le service NPS sur le serveur NPS d'autorité HRA distant en tant que proxy RADIUS pour transmettre les demandes de connexion au serveur NPS local.

L'implémentation du moniteur de sécurité IP s'effectue comme celle d'un composant logiciel enfichable MMC. En outre, elle inclut des améliorations qui vous permettent d'afficher des détails à propos d'une stratégie IPsec active appliquée dans le domaine ou localement. Vous pouvez également afficher les statistiques des modes rapide et principal, ainsi que les associations de sécurité IPsec actives. Le moniteur de sécurité IP vous permet aussi de rechercher des filtres en mode principal ou rapide spécifiques. Pour résoudre les problèmes liés aux conceptions de stratégies IPsec complexes, vous pouvez utiliser le moniteur de sécurité IP pour rechercher toutes les occurrences de filtres qui correspondent à un type de trafic particulier.

Le Pare-feu Windows associé à la sécurité avancée constitue un pare-feu avec état, basé sur un hôte qui bloque les connexions entrantes et sortantes selon sa configuration. Alors que la configuration du Pare-feu Windows de l'utilisateur final typique s'effectue toujours à l'aide de l'outil du Panneau de configuration Pare-feu Windows, la configuration avancée a maintenant lieu à partir d'un composant logiciel enfichable MMC nommé Pare-feu Windows avec fonctions avancées de sécurité.