Outils pour utilisateurs

Outils du site


windows:ipsec

IPSEC : Configuration de la sécurité

La sécurité IPsec sert généralement à assurer la confidentialité, l'intégrité et l'authentification des données lors de leur transfert sur des canaux non sécurisés. Bien que son objectif, à l'origine, était de sécuriser le trafic sur les réseaux publics, la sécurité IPsec est aujourd'hui souvent implémentée pour renforcer la sécurité des réseaux privés. Cela vient du fait que les organisations ne souhaitent pas courir le risque de voir les points faibles de leurs propres réseaux privés faire l'objet d'une exploitation. Lorsqu'elle est correctement mise en place, la sécurité IPsec fournit un canal privé pour l'envoi et l'échange des données vulnérables, qu'il s'agisse de messages électroniques, du trafic FTP (File Transfer Protocol), d'échanges de News (discussion), de données relatives à des partenaires et à la chaîne logistique, de dossiers médicaux ou encore de tout autre type de données TCP/IP.

IPsecIPsec utilisation















Certains environnements réseau sont propices à l'utilisation de la sécurité IPsec comme solution de sécurité ; d'autres y sont moins disposés. Nous recommandons l'utilisation de la sécurité IPsec dans les situations suivantes :

  • Filtrage des paquets. La sécurité IPsec fournit des fonctions de pare-feu limitées pour les systèmes en fin de chaîne. Vous pouvez autoriser ou bloquer le trafic entrant ou sortant en utilisant la sécurité IPsec avec le composant Pare-feu de base/NAT (Network Address Translation) du service de routage et d'accès à distance. Vous pouvez également utiliser la sécurité IPsec avec le Pare-feu de connexion Internet pour bénéficier d'un filtrage avec état. Toutefois, pour assurer la bonne gestion IKE (Internet Key Exchange) des associations de sécurité IPsec, vous devez configurer le Pare-feu de connexion Internet de manière à autoriser le trafic ISAKMP (Internet Security Association and Key Management Protocol) UDP (User Datagram Protocol) sur le port 500.
  • Sécurisation du trafic d'hôte à hôte sur des chemins d'accès spécifiques. Vous pouvez utiliser la sécurité IPsec pour protéger le trafic entre serveurs ou d'autres adresses ou sous-réseaux IP statiques. Par exemple, la sécurité IPsec peut sécuriser le trafic entre des contrôleurs de domaine dans différents sites, ou entre des serveurs Web et des serveurs de base de données.
  • Sécurisation du trafic vers les serveurs. Vous pouvez exiger une protection IPsec pour tous les ordinateurs clients qui accèdent à un serveur. Vous pouvez également définir des restrictions quant aux ordinateurs qui sont autorisés à se connecter à un serveur exécutant Windows Server 2008.
  • Protocole L2TP (Layer 2 Tunneling Protocol)/IPsec pour les connexions VPN. Vous pouvez combiner le protocole L2TP et la sécurité IPsec (L2TP/IPsec) pour tous les scénarios VPN. Cela ne vous oblige pas à configurer et à déployer des stratégies IPsec.
  • Tunneling de site à site (de passerelle à passerelle). Vous pouvez utiliser la sécurité IPsec en mode de tunnel pour les tunnels de site à site (de passerelle à passerelle) lorsque vous souhaitez bénéficier d'une interopérabilité avec des routeurs, des passerelles ou des systèmes en fin de chaîne tiers qui ne prennent pas en charge les connexions L2TP/IPsec ou PPTP (Point-to-Point Tunneling Protocol).
  • Mise en œuvre de réseaux logiques (isolation du serveur/domaine). Dans un réseau Microsoft Windows, vous pouvez isoler logiquement les ressources du serveur et du domaine pour limiter l'accès aux ordinateurs authentifiés et autorisés. Par exemple, vous pouvez créer un réseau logique au sein du réseau physique existant où les ordinateurs ont des exigences communes en matière de communications sécurisées. Pour établir la connectivité, chaque ordinateur dans ce réseau isolé logiquement doit fournir des informations d'authentification aux autres ordinateurs.


Configuration et règles de IPsec

Une règle de sécurité de connexion force l'authentification entre deux ordinateurs homologues avant qu'ils ne puissent établir une connexion et transmettre des informations sécurisées. Le Pare-feu Windows avec fonctions avancées de sécurité utilise la sécurité IPsec pour mettre en œuvre ces règles.

IPSEC configurationIPSEC règles














Console de Stratégie de sécurité IP

IPSEC stratégie de sécurité IP

Les points de terminaison

Les points de terminaison sont les ordinateurs ou le groupe d'ordinateurs qui forment des homologues pour la connexion. Vous pouvez spécifier un ordinateur unique, un groupe d'ordinateurs (tel qu'un sous-réseau ou des ordinateurs dans une plage d'adresses IP) ou l'un des ordinateurs prédéfinis : passerelle par défaut, serveurs WINS (Windows Internet Name Service), serveurs DHCP, serveurs DNS (Domain Name System) ou le sous-réseau local. Le sous-réseau local est la collection de tous les ordinateurs accessibles à cet ordinateur, à l'exception des adresses IP publiques (interfaces). Il comprend les adresses du réseau local et les adresses sans fil.

IPsec transport

Mode de tunnel IPsec

Le mode de tunnel IPsec protège un paquet IP entier en le traitant comme une charge utile AH ou ESP. Avec le mode de tunnel, un paquet IP entier est encapsulé avec un en-tête AH ou ESP et un en-tête IP supplémentaire. Les adresses IP de l'en-tête IP externe sont les points de terminaison du tunnel, et les adresses IP de l'en-tête IP encapsulé sont les adresses source et de destination finales.

La protection ESP chiffre les paquets et applique un nouvel en-tête non chiffré pour faciliter le routage. Excepté le chiffrement, la protection ESP ne garantit pas l'authenticité des données de l'en-tête.

Modes ESP

La protection ESP offre deux modes de fonctionnement. Leur utilisation est déterminée par les fonctionnalités requises et la capacité des hôtes ou des routeurs prenant en charge la sécurité IPsec :

  • Mode de transport : la charge utile des données est chiffrée, mais les données de l'en-tête demeurent inchangées. Le mode de transport chiffre les données entre deux hôtes qui prennent en charge la sécurité IPsec et qui sont capables de déchiffrer directement les données de la charge utile.
  • Mode de tunnel : le paquet entier d'origine est chiffré et devient la charge utile d'un nouveau paquet, qui est ensuite transmis entre les routeurs prenant en charge la sécurité IPsec. Le mode de tunnel permet aux routeurs prenant en charge la sécurité IPsec d'encapsuler et de chiffrer le trafic réseau en provenance d'hôtes ne prenant pas en charge la sécurité IPsec, de le transmettre via un réseau non sécurisé, puis de le déchiffrer afin qu'il puisse être utilisé sur le réseau de destination par d'autres hôtes ne prenant pas en charge la sécurité IPsec.

Conditions et méthodes d'authentification

L'Assistant Nouvelle règle de sécurité de connexion comprend une page dans laquelle vous pouvez définir la méthode d'authentification pour configurer les informations d'authentification utilisées. Si la règle existe déjà, vous pouvez utiliser l'onglet Authentification de la boîte de dialogue Propriétés de Sécurité de la connexion de la règle à modifier.

IPSEC conditionsIPSEC Methode














Par défaut

Sélectionnez cette option pour utiliser la méthode d'authentification telle que configurée sous l'onglet Paramètres IPsec de la boîte de dialogue Propriétés de Pare-feu Windows avec fonctions avancées de sécurité.

Ordinateur et utilisateur (Kerberos V5)

Cette méthode utilise l'authentification de l'ordinateur et de l'utilisateur, ce qui signifie que vous pouvez demander ou exiger l'authentification de l'utilisateur et de l'ordinateur avant la poursuite des communications. Vous pouvez uniquement utiliser le protocole d'authentification Kerberos version 5 si les ordinateurs et les utilisateurs sont membres d'un domaine.

Ordinateur (Kerberos V5)

Cette méthode demande ou exige l'authentification de l'ordinateur au moyen du protocole d'authentification Kerberos version 5. Vous pouvez uniquement utiliser le protocole d'authentification Kerberos version 5 si les ordinateurs sont membres d'un domaine.

Utilisateur (Kerberos V5)

Cette méthode demande ou exige l'authentification de l'utilisateur au moyen du protocole d'authentification Kerberos version 5. Vous pouvez uniquement utiliser le protocole d'authentification Kerberos version 5 si l'utilisateur est le membre d'un domaine.

Certificat d'ordinateur

Cette méthode demande ou exige un certificat d'ordinateur valide pour l'authentification. Pour ce faire, vous devez posséder au moins une autorité de certification.

N'accepter que les certificats d'intégrité

La méthode demande ou exige un certificat d'intégrité valide pour l'authentification. Les certificats d'intégrité déclarent qu'un ordinateur possède tous les logiciels et autres mises à jour que requiert l'accès réseau. Ces certificats sont distribués au cours du processus NAP.

Avancée

Vous pouvez configurer n'importe quelle méthode disponible, et vous pouvez spécifier des méthodes dans Première authentification et Seconde authentification. Les premières méthodes d'authentification comprennent la clé Kerberos de l'ordinateur, le certificat d'ordinateur et une clé prépartagée. Les secondes méthodes d'authentification comprennent la clé Kerberos de l'utilisateur, la clé NTLM (protocole de demande d'accès/réponse Windows NT), des certificats utilisateur et des certificats d'intégrité d'ordinateur.

Détermination d'un profil de connexion

Un profil de pare-feu est une manière de regrouper les paramètres, tels que les règles du pare-feu et de sécurité de connexion, qui sont appliqués à l'ordinateur selon l'endroit où l'ordinateur est connecté. Sur les ordinateurs qui exécutent la version actuelle de Windows actuelle, trois profils sont disponibles pour le Pare-feu Windows avec fonctions avancées de sécurité. Un seul de ces profils est appliqué à la fois.

IPSEC conf profil

Profil Description
Domaine Est appliqué lorsqu'un ordinateur est connecté à un réseau où réside le compte de domaine de l'ordinateur.
Privé Est appliqué lorsqu'un ordinateur est connecté à un réseau où ne réside pas le compte de domaine de l'ordinateur, par exemple un réseau domestique. Les paramètres privés doivent être plus restrictifs que les paramètres du profil pour les domaines.
Public Est appliqué lorsqu'un ordinateur est connecté à un domaine via un réseau public, par exemple dans un aéroport ou dans un café. Les paramètres du profil public doivent être les plus restrictifs, et ce car l'ordinateur est connecté à un réseau public qui ne bénéficie pas d'une sécurité aussi stricte que dans un environnement informatique contrôlé.

Contrainte de mise en conformité IPsec pour les réseaux logiques

La contrainte de mise en conformité IPsec divise un réseau physique en trois réseaux logiques. Un ordinateur ne peut appartenir qu'à un seul réseau logique à la fois. Les réseaux logiques sont définis en fonction des ordinateurs qui possèdent des certificats d'intégrité et des ordinateurs qui exigent l'authentification IPsec avec des certificats d'intégrité pour les tentatives de communication entrantes. Les réseaux logiques autorisent des opérations d'accès réseau et de mise à jour limitées, et protègent les ordinateurs conformes contre les ordinateurs non conformes.

IPSEC contrainte reseau

La contrainte de mise en conformité IPsec définit les réseaux logiques suivants :

  • Réseau sécurisé. Il s'agit du groupe d'ordinateurs qui possèdent des certificats d'intégrité et qui exigent que les tentatives de communication entrantes utilisent des certificats d'intégrité pour l'authentification IPsec. Sur un réseau géré, la plupart des serveurs et des ordinateurs clients qui sont membres du domaine Active Directory se trouvent dans le réseau sécurisé.
  • Réseau de délimitation. Il s'agit du groupe d'ordinateurs qui possèdent des certificats d'intégrité, mais qui n'exigent pas que les tentatives de communication entrantes utilisent des certificats d'intégrité pour l'authentification IPsec. Les ordinateurs dans le réseau de délimitation doivent être accessibles aux ordinateurs sur tout le réseau.
  • Réseau restreint. Il s'agit du groupe d'ordinateurs qui ne possèdent pas de certificats d'intégrité. Ce groupe comprend notamment les ordinateurs clients NAP non conformes, les invités sur le réseau ou les ordinateurs qui ne sont pas compatibles avec la protection d'accès réseau, tels que les ordinateurs qui exécutent des versions de Windows qui ne prennent pas en charge la protection d'accès réseau, les ordinateurs Apple Macintosh ou les ordinateurs UNIX.

Contrainte de mise en conformité NAP IPsec

Pour déployer la protection d'accès réseau avec la sécurité IPsec et l'autorité HRA, vous devez configurer les éléments suivants :

  • Dans le serveur NPS, configurez la stratégie de demande de connexion, la stratégie réseau et la stratégie de contrôle d'intégrité NAP. Vous pouvez configurer ces stratégies individuellement à l'aide de la console NPS, ou vous pouvez utiliser le nouvel Assistant Protection d'accès réseau.
  • Activez le client de contrainte de mise en conformité IPsec NAP et le service NAP sur les ordinateurs clients compatibles avec la protection d'accès réseau.
  • Installez l'autorité HRA sur l'ordinateur local ou sur un ordinateur distant.
  • Installez et configurez les services de certificats Active Directory de certificats et les modèles de certificats.
  • Configurez la stratégie de groupe et tous les autres paramètres nécessaires pour votre déploiement.
  • Configurez le programme de validation d'intégrité de la sécurité Windows, ou installez et configurez d'autres agents d'intégrité système et d'autres programmes de validation d'intégrité système, en fonction de votre déploiement NAP.
  • Si aucune autorité HRA n'est configurée sur l'ordinateur local, vous devez également configurer les éléments suivants :
  • Installez le service NPS sur l'ordinateur qui exécute l'autorité HRA.
  • Configurez le service NPS sur le serveur NPS d'autorité HRA distant en tant que proxy RADIUS pour transmettre les demandes de connexion au serveur NPS local.

IPSEC condition NAPIPSEC contrainte NAP













Monitoring de sécurité IP et firewall

L'implémentation du moniteur de sécurité IP s'effectue comme celle d'un composant logiciel enfichable MMC. En outre, elle inclut des améliorations qui vous permettent d'afficher des détails à propos d'une stratégie IPsec active appliquée dans le domaine ou localement. Vous pouvez également afficher les statistiques des modes rapide et principal, ainsi que les associations de sécurité IPsec actives. Le moniteur de sécurité IP vous permet aussi de rechercher des filtres en mode principal ou rapide spécifiques. Pour résoudre les problèmes liés aux conceptions de stratégies IPsec complexes, vous pouvez utiliser le moniteur de sécurité IP pour rechercher toutes les occurrences de filtres qui correspondent à un type de trafic particulier.

IPSEC securiteIPSEC monitoring















Le Pare-feu Windows associé à la sécurité avancée constitue un pare-feu avec état, basé sur un hôte qui bloque les connexions entrantes et sortantes selon sa configuration. Alors que la configuration du Pare-feu Windows de l'utilisateur final typique s'effectue toujours à l'aide de l'outil du Panneau de configuration Pare-feu Windows, la configuration avancée a maintenant lieu à partir d'un composant logiciel enfichable MMC nommé Pare-feu Windows avec fonctions avancées de sécurité.

Console Pare feu Windows avec fonctions avancées de sécurité

windows/ipsec.txt · Dernière modification: 15/04/2016 à 21:15 (modification externe)

Outils de la page