Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Transcription

1 2013 Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

2 Table des matières 1 Les architectures sécurisées La PKI : Autorité de certification Installation et déploiement d une PKI Ajout d un certificat côté client Coté serveur : dans la mmc autorité de certification Mise en œuvre de SSL Mise en œuvre d IPSec IPSec sur VPN D. Olivier 2

3 1 Les architectures sécurisées La forêt de ressources approuve la forêt de comptes Chaque forêt contient des entités de sécurité (utilisateur, ordinateur, groupe).chaque objet possède un ObjectSID Approbation : échange d identifiants de sécurité Domaine : relation de confiance des SID et Partage des ressources Lors d une approbation : Filtrage des SID : Activé : le filtrage empêche la migration du SID (mais permet d envoyer d autres infos). Désactivé : permet la migration des SID (attention à la sécurité) Authentification sélective (activé / non activé) : choix des ordinateurs sur lesquels on peut ouvrir des sessions (onglet sécurité de l objet ordi. > autorisé à authentifier) Outil de migration des objets d une forêt à l autre : ADMT (gratuit) Désactiver le filtrage des SID : Installer les support tools WS2003 / (domb ressources ; doma comptes) C:\> netdom trust domb /domain :doma /quarantine :no D. Olivier 3

4 1.1 Cas de la migration de SID Lors d une fusion d annuaire / upgrade de WS Première phase de migration de SID 1.2 Architecture de type d approbation Deuxième phase de migration de SID Méthode anciennement utilisée Si la DMZ est corrompue, il n y a aucun impact sur l annuaire de comptes Il faut protéger les comptes D. Olivier 4

5 Méthode plus actuelle 1.3 TP1 : Relation d approbation entre 2 domaines Créer une relation d approbation et tester un partage D. Olivier 5

6 2 La PKI : Autorité de certification PKI (public key infrastucture) : fournit des certificats mais n agit pas N utilise que la clé d autorité de certificat (qui signe tous les certificats délivrés par cette PKI) La PKI délivre les clés, peut les révoquer, mais ne les utilise pas! Buts : Confidentialité des données locales / en réseau Intégrité des données (assurer la non-modification des infos) Authentification émetteur / destinataire mais aussi des matériels (routeurs / ordinateurs) Non répudiation (ne pas pouvoir nier qu on a émis / reçu) des données État de santé du système : mécanismes NAP (Network Access Protection) 2.1 Mécanismes Cryptage symétrique But du cryptage symétrique : cryptage Le cryptage et le décryptage sont faits avec la même clé (ex : EFS, IPSec, SSL ) Obtention d une clé auprès de la PKI puis utilisation au sein de la forêt Mécanismes de cryptages : 3DES, AES, MD5 sur 64 bits, 128, 256, 512 Les cryptages sont soumis à contrôle auprès de la DCSSI Cryptage asymétrique But du cryptage asymétrique : intégrité 1 clé privée (qu on garde pour soi) 1 clé publique (qui est émise sur le réseau) Parfois, association de cryptage symétrique + cryptage asymétrique (ex : EFS) D. Olivier 6

7 2.1.3 Hachage irréversible But du hachage irréversible : intégrité Hachage + signature numérique But : intégrité + non répudiation Envoi du message et du condensé puis comparaison Les données sont hachées (intégrité) et signées (non répudiation) D. Olivier 7

8 2.2 Service de certificats (PKI) Service spécialisé dans la gestion des clés utilisées dans un environnement PKI (public key infrastucture) : fournit des certificats mais n agit pas N utilise que la clé d autorité de certificat (qui signe tous les certificats délivrés par cette PKI) Il n y a qu une PKI pour la forêt! Il peut y avoir plusieurs esclaves mais une seule fait autorité absolue! 2.3 Contenu d un certificat Numéro de série Algorithme de signature Émetteur Date de validité Clé publique Empreinte numérique (quel PKI a signé) Utilité du certificat (rôles) 2.4 Autorité de certification PKI d entreprise : un seul pour la forêt (% LDAP) PKI autonome : sur un serveur en Workgroup PKI commercial : téléchargé et reconnu mondialement (payant). Ex. : Verisign PKI locale : PKI du système d exploitation. Reconnu localement L autorité de certification sert à délivrer des certificats D. Olivier 8

9 3 Installation et déploiement d une PKI Cas n 1 : un seul PKI (racine) au sein d une forêt 1) installation de la racine 2) demandes de certificats Les utilisateurs, ordinateurs et applications peuvent demander et obtenir des certificats Cas n 2 : utilisation de PKI secondaires au sein d une forêt 1) installation de la racine 2) installation des PKI secondaires (subordonnés) 3) désactivation de la racine (arrêt du serveur) 4) demandes de certificats La PKI racine délègue son autorité puis est désactivée D. Olivier 9

10 3.2 TP2 : Autorité de Certificats d entreprise (p.538) Ajouter une autorité de certification ajout de fonctionnalité «certification» Ajouter un certificat à partir d un modèle existant mmc «autorité de certification» Faire une demande de certificat à partir d un client par le biais de la mmc Lire les propriétés du certificat obtenu 4 Ajout d un certificat côté client 4.1 Via la mmc certificats Sélectionner Ordinateur ou Utilisateur afin de sélectionner la portée du certificat à importer. 4.2 Via internet explorer Il faut qu IIS soit installé avant la PKI sur le serveur de PKI Se connecter sur Via une application L application doit être en mesure de demander un certificat (ex. : Outlook, IIS) L application recherche dans AD afin de savoir si un serveur PKI est défini 4.4 Exporter / transférer un certificat obtenu Exportation : Les certificats exportables permettent d exporter la clé privée. Transfert : Il est aussi possible d utiliser USMT afin d exporter un profil et donc les certificats D. Olivier 10

11 5 Coté serveur : dans la mmc autorité de certification 5.1 Les modèles de certificats Ce sont les certificats que les clients (ordinateurs / utilisateurs) pourront demander auprès de la PKI Il faut cependant faire attention à qui peut demander un certificat Inscrire : peut demander l obtention de ce modèle de certificat Inscription automatique : Ex. GPO des utilisateurs authentifiés La MMC «autorité de certification» Dupliquer un modèle permet d en créer un nouveau, avec des propriétés différentes Les propriétés du modèle de certificat Extension : permet d attribuer d autres rôles à un modèle de certificat Autoriser l exportation de la clé privée : permet l exportation du certificat obtenu (sauvegarde / déplacement) Penser à ajouter le modèle créé dans les modèles certificats disponibles après! D. Olivier 11

12 5.2 Révoquer un certificat C est une opération qui se fait au cas par cas. Les certificats révoqués sont publiés dans la liste CRL (liste de révocation de certificats) sur chaque client. AD publie régulièrement la liste CRL qui est mise à jour sur les clients MMC > certificats > autorités intermédiaires > liste de révocation de certificats Seul l admin PKI peut révoquer un certificat de la PKI Sur le client on peut enlever le certificat du magasin de certificats pour le révoquer Sur un client PKI : Télécharger un certificat d une autre PKI permet de faire confiance à la forêt de la PKI 5.3 Renouvellement de certificat (certificat perdu) Lors de la création du modèle : onglet traitement de la demande > archiver la clé privée Définir un agent de récupération des clés (agent KRA) administrateur Pour cela, rendre disponible le modèle de certificat «agent de récupération des clés» Récupérer le numéro de série du certificat perdu (dans certificats délivrés) L agent KRA peut entrer les commandes suivantes : C:\> certutil getkey <numéro de série> <fichier1> Crée un fichier.pkcs7 C:\> certutil recoverkey <fichier1> <fichier2.pfx> Réinscrit le certificat à partir du fichier.pfx 6 Mise en œuvre de SSL Agit au niveau de la couche 5 Permet : authentification, intégrité, confidentialité Lors d une connexion HTTPS, c est le serveur qui s authentifie D. Olivier 12

13 Afin de demander au client de fournir un certificat, il faut activer le mappage des certificats clients Les certificats sont reconnus selon la PKI! (commercial, entreprise ) 6.1 TP 3 : Mise en place d un serveur SSL (P.552) Gestion de l ordinateur > IIS > page par défaut > propriétés Sécurité de répertoire : certificat de serveur demander un certificat SSL au serveur PKI (cas du bas de la page 7) afficher le certificat propriétés du certificat de serveur modifier passer en SSL : (requérir un canal sécurisé SSL) Tester : le client reçoit bien la clé publique du certificat du serveur IIS D. Olivier 13

14 7 Mise en œuvre d IPSec Agit au niveau de la couche 3 Utilisé avec : VPN / messagerie / réseau privé Permet : authentification, anti-relecture, confidentialité, intégrité 7.1 Modes d utilisation Mode transport : IPSec du client jusqu au serveur (adresse IP non-cryptée) Mode tunnel : IPSec entre deux adresses IP virtuelles dédiées (adresses IP cryptées) 7.2 Protocoles AH et ESP : AH : anti-relecture + forte intégrité (utilise hachage MD5 / SHA1) et/ou ESP : cryptage + intégrité faible (utilise algorithme DES / 3DES / AES) Nota : les protocoles AH et ESP consomment beaucoup de ressources réseau! IKE (Internet Key Exchange) : Ensemble de protocoles servant à la négociation IPSec (AH/ESP) Si les stratégies IPSec des 2 postes ne peuvent pas négocier pas d IPSec Association de sécurité (SA) qui négocie avec les clients SA en mode principal : génère une clé PFS renouvelée périodiquement) SA en mode rapide : communication des ordis entre eux (SA http, SA RPC ) IKE gère deux protocoles : ISAKMP : utilisé pour les SA + taille des clés (Diffie-Hellman) OAKLEY : rare 7.3 Authentification IPSec Protocoles IPSec lors d un échange réseau Avec AD (protocole Kerberos) : seulement dans la forêt Active Directory Avec PKI (autorité de certification) : postes nomades (à installer quand on est dans la forêt, ou installer un certificat commercial Avec secret partagé : à réserver à des solutions ponctuelles 7.4 Type de trafic pris en IPSec On peut choisir le type (TCP, etc.) et le numéro de port concernés par IPSec D. Olivier 14

15 7.5 TP 4 : création d une stratégie IPSec personnalisée (P.547) Sur le serveur PKI : Créer un modèle de certificat IPSec (penser à la sécurité inscrire) Sur chaque client : Faire une demande de certificat IPSec auprès de la PKI (les 2 clients doivent avoir la même PKI) Démarrer le service Telnet (services.msc) Configurer la même stratégie de sécurité : o TCP 23 en sortie o authentification auprès de la PKI o Tester : Démarrer Telnet et capturer les trames avec WireShark Copie de la capture des trames Wireshark. On remarque les trames ISAKMP (SA principal et SA rapide), et ESP D. Olivier 15

16 8 IPSec sur VPN Le fonctionnement en WAN est différent du fonctionnement en LAN LAN : - IPSec (couche 3) : authentification : certificat, secret partagé / Cryptage : AH, ESP, ISAKMP WAN : - L2TP (couche 3) : authentification IPSec / Cryptage IPSec - PPTP (couche 2) : authentification CHAP, EAP / Cryptage MPPE 8.1 Configuration d un VPN Les étapes de la configuration d un VPN Solutions VPN «gratuites» : WS (256 connexions simultanées) / Linux / Win7 (1 connexion entrante) Solutions VPN payantes : CISCO PIX ASA / ISA D. Olivier 16

17 8.2 TP 5 : Le client VPN et le serveur VPN Infrastructure VPN obtenue 1. Configurer le DC et ajouter le compte ClientVpn 2. Ajouter la fonctionnalité PKI Entreprise (autorité de certification) et créer un modèle de certificat IPSec 3. Dans l onglet «appel distant» : autoriser la connexion à ClientVpn 4. Pendant que le client VPN est dans le LAN, ajouter le certificat ordinateur IPSec 5. Sortir le Client du LAN 6. Configurer le serveur VPN «Routage et Accès distant» 7. Sur le client VPN, ajouter une connexion VPN, et configurer IPSec pour la connexion 8. Se connecter avec ClientVpn D. Olivier 17