2011 Hakim Benameurlaine 1

Transcription

1 Sommaire 1 IPSEC Introduction Modes de fonctionnement d IPSec Protocoles AH (Authentification Header) Protocole ESP (Encapsulating Security Payload) Exemple de configuration Hakim Benameurlaine 1

2 1 IPSEC 1.1 Introduction Le protocole IP V4 est non sécurisé à l origine. Afin de remédier à ce problème de sécurité, l organisation IETF (Internet Engineering Task Force) a rédigé la RFC 2401, abordant le problème de la sécurité sur un réseau IP en Permet de sécuriser les données entre deux machines dans le même réseau ou dans deux réseaux différents. Confidentialité (chiffrement) Authenticité (authentification mutuelle) IPSec est un standard qui peut être utilisé par différentes plateformes. IPSEC représente un complément à IP V4 IPSEC est intégré avec IP V6 Le rôle ou les tâches assuré par IPSEC : La confidentialité L'intégrité L'authentification Anti-relecture La confidentialité, l'intégrité, l anti-relecture et l'authentification des données entre deux hôtes est gérée par un ensemble de normes et protocoles. Le protocole IPSec rassemble toutes ces normes ouvertes. 1) La confidentialité Seules les deux entités peuvent lire le contenu. Deux algorithmes DES et 3DES peuvent être utilisés pour assurer le cryptage. DES = (Data Encryption Standard) IBM est à l origine de cette méthode de cryptage en DES = (Triple Data Encryption Standard) plus fiable mais plus lent que DES, car il utilise 3 fois le cryptage DES simple et génère donc 3 clés. 2) L'intégrité Pas d altération des données : les données sont authentiques. Consiste à ajouter à chaque paquet IP le résultat d'un calcul de hachage Hakim Benameurlaine 2

3 Les deux fonctions de hachage SHA-1 et MD5 peuvent être utilisées pour assurer l intégrité. Le calcul d'intégrité est réalisé par l'équipement source (en utilisant une fonction de hachage (SHA-1 ou MD5) qui est une sorte de transformation des données au niveau de la source) pour être systématiquement contrôlé par l'équipement destinataire (Le destinataire utilise la même fonction de hachage pour déterminer l empreinte). L empreinte est le résultat de hachage. 128 bits pour MD5 et 160 bits pour SHA-1. IPSec permet de s'assurer qu'aucun paquet n'a subit de modification quelconque (attaque dite active) durant son trajet. SHA-1 = est l'abréviation de Secure Hash Algorithm. MD5 = Message Digest five 3) L'authentification Approbation entre les entités en général des PC. Authentification IPSec Chaque règle de sécurité IPSEC définit une liste des méthodes d'authentification. Les deux homologues doivent avoir au moins une méthode d'authentification commune, sinon la communication échouera. En créant des méthodes d'authentification multiples, vous augmentez vos chances de trouver une méthode commune à deux ordinateurs. Les méthodes d authentification IPsec support trois méthodes d authentification : protocole de sécurité Kerberos est la méthode d'authentification utilisée par Active Directory. Cette méthode peut être utilisée pour n'importe quel client exécutant le protocole Kerberos membre d'un domaine approuvé. Un certificat peut être utilisé dans des situations impliquant des ordinateurs n'exécutant pas le protocole de sécurité Kerberos. Ceci requiert la configuration d'au moins une Autorité de certification de confiance Hakim Benameurlaine 3

4 Il est possible d utiliser un certificat dans un environnement Active Directory lorsque qu un niveau de sécurité accru est nécessaire. Une clé pré-partagée peut être spécifiée. Cette méthode est utilisée généralement dans les environnements de test. Il s'agit d'une clé secrète partagée par deux machines. L'utilisation de cette clé est rapide et ne requiert pas que le client exécute le protocole Kerberos ou dispose d'un certificat. Les deux parties doivent configurer manuellement IPSec de manière à utiliser cette clé pré-partagée. Notez que cette clé est destinée exclusivement à la protection par authentification. 4) L'anti-relecture Si un paquet est intercepté par une personne mal intentionnée, alors il ne sera pas possible de le réutiliser pour établir une nouvelle conne xion ou session. IPSec permet de se prémunir contre les attaques consistant à capturer un ou plusieurs paquets dans le but de les envoyer à nouveau (sans pour autant les avoir déchiffrés) pour bénéficier des mêmes avantages que l'envoyeur initial. Conclusion Avec le protocole AH, vous êtes sûr de «parler» à la bonne «personne» et vous êtes sûr que les données reçues sont bien les données envoyées, et vice versa. Ce qui est déjà mieux que le protocole IP. Avec le protocole ESP, les données sont chiffrées, mais l'algorithme utilisé dépend de la configuration effectuée sur les équipements. Cela peut être le protocole DES ou 3DES par exemple. Parfois, vous n'êtes pas maître de la négociation de choix des algorithmes effectuée, un peu comme quand vous vous connectez à un site web utilisant du SSL (si l'on contrôle les deux éléments à l'extrémité des tunnels, on est maître des algorithmes). Mais quoi qu'il en soit, les données ne circulent pas en clair, ce qui exigera beaucoup plus de temps, de moyen et de technicité à un pirate pour «écouter» vos «conversations» Hakim Benameurlaine 4

5 1.2 Modes de fonctionnement d IPSec IPSec peut être utilisée en deux modes : Mode transport Mode tunnel Ces deux modes sont choisis en fonction des besoins dans l entreprise. Mode de transport Permet d appliquer une sécurité de bout en bout. C est à dire les deux extrémités prennent en charge IPSec et ce sont elles-mêmes qui font le cryptage et le décryptage des données. C est le mode par défaut Hakim Benameurlaine 5

6 Mode de tunnel (très rarement utilisé) Le protocole IPSec crypte tout le trafic entre deux passerelles, sur une section située entre les extrémités du tunnel. Ce mode permet de crypter les données d'une section non sécurisée d'un réseau. Par exemple, si deux entreprises associées veulent crypter toutes les données FTP entre leurs bureaux. Dans ce cas, il est possible de configurer IPSec pour crypter les données uniquement entre les pare-feu de chaque bureau. Ce mode est rarement utilisé car il est préférable de configurer un VPN à la place Hakim Benameurlaine 6

7 1.3 Protocoles AH (Authentification Header) Ce protocole est utilisé pour authentifier les machines source et destination. Ce protocole gère l intégrité (Hachage) des données, mais ne crypte pas le contenu du paquet IP. Il utilise : MD5 (Message Digest 5) : Ron Rivest l un des concepteurs du cryptage RSA, est à l origine de MD5 qui fait référence à la RFC SHA-1 (Secure Hash Algorithme version 1) : La National Security Agency (NSA) et le National Institute of Standards and Technology (NIST) ont développé cette méthode de hachage basé sur MD4 (réputé plus sûr que MD5).Il fonctionne avec des blocs de 512 bits, Clé de 160 bits Protocole ESP (Encapsulating Security Payload) Ce protocole gère l intégrité et le cryptage des données (payload). ESP utilise les méthodes d intégrité MD5 et SHA-1. Les méthodes de cryptage ESP : DES (Data Encryption Standard) 3DES (Triple Data Encryption Standard) La différence entre les deux modes de fonctionnement est le cryptage Hakim Benameurlaine 7

8 1.4 Exemple de configuration 1) Démarrez la console Local Security Policy. 2) Allez dans IP Security Policies on Local Computer Hakim Benameurlaine 8

9 3) Sélectionnez Create IP Security Policy. 4) L écran de bienvenue de l assistant IP Security Policy Wizard est démarré Hakim Benameurlaine 9

10 5) Spécifier le nom de la politique. 6) Activez la règle par défaut Hakim Benameurlaine 10

11 7) Spécifier la méthode d authentification. 8) Fin du wizard Hakim Benameurlaine 11

12 9) Cliquez sur Add pour ajouter une nouvelle règle Hakim Benameurlaine 12

13 10) L écran de bienvenue de l assistant Security Rule Wizard est démarré 11) Spécifiez le mode (tunnel ou transport) Hakim Benameurlaine 13

14 12) Spécifiez le type de réseau (local, distant ou les deux). 13) Ajouter un filtre Hakim Benameurlaine 14

15 14) L écran de bienvenue de l assistant IP Filter Wizard est démarré. 15) Spécifiez une description du filtre Hakim Benameurlaine 15

16 16) Spécifiez la source du trafic. 17) Spécifiez la destination du trafic 18) Spécifiez le type du protocole Hakim Benameurlaine 16

17 19) Spécifiez le port (source et destination). 20) Fin du Wizard Hakim Benameurlaine 17

18 21) Fermez la fenêtre IP Filter List. 22) Activez le filtre Hakim Benameurlaine 18

19 23) Ajoutez une action au filtre 24) L écran de bienvenue de l assistant IP Security Filter action Wizard est démarré Hakim Benameurlaine 19

20 25) Spécifiez le nom de l action. 26) Spécifiez le comportement de l action. 27) Ajoutez une deuxième action pour bloquer le trafic. 28) Spécifiez le comportement de l action Hakim Benameurlaine 20

21 29) Ajoutez une troisième action pour négocier. 30) Spécifiez le comportement de l action. 31) Spécifiez quoi faire lorsqu on communique avec une machine qui ne supporte pas IPsec Hakim Benameurlaine 21

22 32) Spécifiez la méthode de sécurité pour le trafic IP. 33) Spécifiez Custom Hakim Benameurlaine 22

23 34) Spécifiez les algorithmes pour l intégrité et le chiffrement. 35) Spécifiez l action du filtre Hakim Benameurlaine 23

24 36) Spécifiez la méthode d authentification Hakim Benameurlaine 24

25 37) Fin du Wizard Hakim Benameurlaine 25

26 38) Fermez la fenêtre de propriétés. 39) Assignez la nouvelle politique pour l activer Hakim Benameurlaine 26

27 40) Le flag change à Yes. 41) Vous pouvez aussi gérer les filtres et les actions Hakim Benameurlaine 27

28 42) Écran de gestion des filtres Hakim Benameurlaine 28

29 43) Écran de gestion des actions Hakim Benameurlaine 29