Navigation
Nouveautés
La sécurité IPsec sert généralement à assurer la confidentialité, l'intégrité et l'authentification des données lors de leur transfert sur des canaux non sécurisés. Bien que son objectif, à l'origine, était de sécuriser le trafic sur les réseaux publics, la sécurité IPsec est aujourd'hui souvent implémentée pour renforcer la sécurité des réseaux privés. Cela vient du fait que les organisations ne souhaitent pas courir le risque de voir les points faibles de leurs propres réseaux privés faire l'objet d'une exploitation. Lorsqu'elle est correctement mise en place, la sécurité IPsec fournit un canal privé pour l'envoi et l'échange des données vulnérables, qu'il s'agisse de messages électroniques, du trafic FTP (File Transfer Protocol), d'échanges de News (discussion), de données relatives à des partenaires et à la chaîne logistique, de dossiers médicaux ou encore de tout autre type de données TCP/IP.
Une règle de sécurité de connexion force l'authentification entre deux ordinateurs homologues avant qu'ils ne puissent établir une connexion et transmettre des informations sécurisées. Le Pare-feu Windows avec fonctions avancées de sécurité utilise la sécurité IPsec pour mettre en œuvre ces règles.
Les points de terminaison sont les ordinateurs ou le groupe d'ordinateurs qui forment des homologues pour la connexion. Vous pouvez spécifier un ordinateur unique, un groupe d'ordinateurs (tel qu'un sous-réseau ou des ordinateurs dans une plage d'adresses IP) ou l'un des ordinateurs prédéfinis : passerelle par défaut, serveurs WINS (Windows Internet Name Service), serveurs DHCP, serveurs DNS (Domain Name System) ou le sous-réseau local. Le sous-réseau local est la collection de tous les ordinateurs accessibles à cet ordinateur, à l'exception des adresses IP publiques (interfaces). Il comprend les adresses du réseau local et les adresses sans fil.
Le mode de tunnel IPsec protège un paquet IP entier en le traitant comme une charge utile AH ou ESP. Avec le mode de tunnel, un paquet IP entier est encapsulé avec un en-tête AH ou ESP et un en-tête IP supplémentaire. Les adresses IP de l'en-tête IP externe sont les points de terminaison du tunnel, et les adresses IP de l'en-tête IP encapsulé sont les adresses source et de destination finales.
La protection ESP chiffre les paquets et applique un nouvel en-tête non chiffré pour faciliter le routage. Excepté le chiffrement, la protection ESP ne garantit pas l'authenticité des données de l'en-tête.
La protection ESP offre deux modes de fonctionnement. Leur utilisation est déterminée par les fonctionnalités requises et la capacité des hôtes ou des routeurs prenant en charge la sécurité IPsec :
L'Assistant Nouvelle règle de sécurité de connexion comprend une page dans laquelle vous pouvez définir la méthode d'authentification pour configurer les informations d'authentification utilisées. Si la règle existe déjà, vous pouvez utiliser l'onglet Authentification de la boîte de dialogue Propriétés de Sécurité de la connexion de la règle à modifier.
Sélectionnez cette option pour utiliser la méthode d'authentification telle que configurée sous l'onglet Paramètres IPsec de la boîte de dialogue Propriétés de Pare-feu Windows avec fonctions avancées de sécurité.
Cette méthode utilise l'authentification de l'ordinateur et de l'utilisateur, ce qui signifie que vous pouvez demander ou exiger l'authentification de l'utilisateur et de l'ordinateur avant la poursuite des communications. Vous pouvez uniquement utiliser le protocole d'authentification Kerberos version 5 si les ordinateurs et les utilisateurs sont membres d'un domaine.
Cette méthode demande ou exige l'authentification de l'ordinateur au moyen du protocole d'authentification Kerberos version 5. Vous pouvez uniquement utiliser le protocole d'authentification Kerberos version 5 si les ordinateurs sont membres d'un domaine.
Cette méthode demande ou exige l'authentification de l'utilisateur au moyen du protocole d'authentification Kerberos version 5. Vous pouvez uniquement utiliser le protocole d'authentification Kerberos version 5 si l'utilisateur est le membre d'un domaine.
Cette méthode demande ou exige un certificat d'ordinateur valide pour l'authentification. Pour ce faire, vous devez posséder au moins une autorité de certification.
La méthode demande ou exige un certificat d'intégrité valide pour l'authentification. Les certificats d'intégrité déclarent qu'un ordinateur possède tous les logiciels et autres mises à jour que requiert l'accès réseau. Ces certificats sont distribués au cours du processus NAP.
Vous pouvez configurer n'importe quelle méthode disponible, et vous pouvez spécifier des méthodes dans Première authentification et Seconde authentification. Les premières méthodes d'authentification comprennent la clé Kerberos de l'ordinateur, le certificat d'ordinateur et une clé prépartagée. Les secondes méthodes d'authentification comprennent la clé Kerberos de l'utilisateur, la clé NTLM (protocole de demande d'accès/réponse Windows NT), des certificats utilisateur et des certificats d'intégrité d'ordinateur.
Un profil de pare-feu est une manière de regrouper les paramètres, tels que les règles du pare-feu et de sécurité de connexion, qui sont appliqués à l'ordinateur selon l'endroit où l'ordinateur est connecté. Sur les ordinateurs qui exécutent la version actuelle de Windows actuelle, trois profils sont disponibles pour le Pare-feu Windows avec fonctions avancées de sécurité. Un seul de ces profils est appliqué à la fois.
Profil | Description |
Domaine | Est appliqué lorsqu'un ordinateur est connecté à un réseau où réside le compte de domaine de l'ordinateur. |
Privé | Est appliqué lorsqu'un ordinateur est connecté à un réseau où ne réside pas le compte de domaine de l'ordinateur, par exemple un réseau domestique. Les paramètres privés doivent être plus restrictifs que les paramètres du profil pour les domaines. |
Public | Est appliqué lorsqu'un ordinateur est connecté à un domaine via un réseau public, par exemple dans un aéroport ou dans un café. Les paramètres du profil public doivent être les plus restrictifs, et ce car l'ordinateur est connecté à un réseau public qui ne bénéficie pas d'une sécurité aussi stricte que dans un environnement informatique contrôlé. |
La contrainte de mise en conformité IPsec divise un réseau physique en trois réseaux logiques. Un ordinateur ne peut appartenir qu'à un seul réseau logique à la fois. Les réseaux logiques sont définis en fonction des ordinateurs qui possèdent des certificats d'intégrité et des ordinateurs qui exigent l'authentification IPsec avec des certificats d'intégrité pour les tentatives de communication entrantes. Les réseaux logiques autorisent des opérations d'accès réseau et de mise à jour limitées, et protègent les ordinateurs conformes contre les ordinateurs non conformes.
La contrainte de mise en conformité IPsec définit les réseaux logiques suivants :
Pour déployer la protection d'accès réseau avec la sécurité IPsec et l'autorité HRA, vous devez configurer les éléments suivants :
L'implémentation du moniteur de sécurité IP s'effectue comme celle d'un composant logiciel enfichable MMC. En outre, elle inclut des améliorations qui vous permettent d'afficher des détails à propos d'une stratégie IPsec active appliquée dans le domaine ou localement. Vous pouvez également afficher les statistiques des modes rapide et principal, ainsi que les associations de sécurité IPsec actives. Le moniteur de sécurité IP vous permet aussi de rechercher des filtres en mode principal ou rapide spécifiques. Pour résoudre les problèmes liés aux conceptions de stratégies IPsec complexes, vous pouvez utiliser le moniteur de sécurité IP pour rechercher toutes les occurrences de filtres qui correspondent à un type de trafic particulier.
Le Pare-feu Windows associé à la sécurité avancée constitue un pare-feu avec état, basé sur un hôte qui bloque les connexions entrantes et sortantes selon sa configuration. Alors que la configuration du Pare-feu Windows de l'utilisateur final typique s'effectue toujours à l'aide de l'outil du Panneau de configuration Pare-feu Windows, la configuration avancée a maintenant lieu à partir d'un composant logiciel enfichable MMC nommé Pare-feu Windows avec fonctions avancées de sécurité.