Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec Table des matières Vue d'ensemble 1 Présentation du protocole IPSec 2 Implémentation du protocole IPSec 7 Configuration du protocole TCP/IP pour assurer la sécurité du réseau 21 Résolution des problèmes de sécurité des protocoles réseau 22 Atelier A : Configuration du protocole TCP/IP pour sécuriser les connexions à l'aide du protocole IPSec 24 Contrôle des acquis 29
Les informations contenues dans ce document pourront faire l'objet de modifications sans préavis. Sauf mention contraire, les sociétés, les noms et les données utilisés dans les exemples sont fictifs. L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur applicable dans son pays. Aucune partie de ce manuel ne peut être reproduite ou transmise à quelque fin ou par quelque moyen que ce soit, électronique ou mécanique, sans la permission expresse et écrite de Microsoft Corporation. Si toutefois, votre seul moyen d'accès est électronique, le présent document vous autorise une et une seule copie. Les produits mentionnés dans ce document peuvent faire l'objet de brevets, de dépôts de brevets en cours, de marques, de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de Microsoft. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets, marques, droits d'auteur ou autres droits de propriété intellectuelle. 2000 Microsoft Corporation. Tous droits réservés. Active Directory, BackOffice, FrontPage, IntelliMirror, NetShow, Microsoft, MS-DOS, Outlook, PowerPoint, Visual Studio, Windows, Windows Media et Windows NT sont soit des marques déposées de Microsoft Corporation, soit des marques de Microsoft Corporation, aux États-Unis d'amérique et/ou dans d'autres pays. Les autres noms de produit et de société mentionnés dans ce document sont des marques de leurs propriétaires respectifs. Chef de projet : Rick Selby Concepteurs pédagogiques : Victoria Fodale (ComputerPREP), Jose Mathews (NIIT), Barbara Pelletier (S&T OnSite) Directeurs de programme : Rodney Miller, Joern Wettern (Wettern Network Solutions) Responsable de programme : Thomas Willingham (Infotec) Graphistes : Kimberly Jackson (indépendante), Julie Stone (indépendante) Responsable d'édition : Lynette Skinner Éditrice : Jennifer Kerns (S&T OnSite) Correctrice : Shawn Jackson (S&T Consulting) Responsable de programme en ligne : Debbi Conger Responsable des publications en ligne : Arlo Emerson (Aditi) Assistance en ligne : David Myka (S&T OnSite) Responsables des tests : Jeff Clark, Jim Toland (ComputerPREP) Développeur des tests : Greg Stemp (S&T OnSite) Test du cours : Data Dimensions, Inc. Assistance à la production : Ed Casper (S&T Consulting) Responsable de la fabrication : Bo Galford Assistance à la fabrication : Rick Terek Responsable produit : Gerry Lang Directeur de l'unité produit : Robert Stewart Les simulations et les exercices interactifs ont été créés à l'aide de Macromedia Authorware.
iii Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec Notes de l'instructeur Présentation : 45 minutes Atelier : 45 minutes Ce module permet aux stagiaires d'acquérir les connaissances et les compétences nécessaires pour configurer la sécurité d'un réseau Microsoft Windows 2000 avec le protocole IPSec (Internet Protocol Security). À la fin de ce module, les stagiaires seront à même d'effectuer les tâches suivantes : décrire l'utilisation du protocole IPSec sur un réseau ; implémenter le protocole IPSec ; configurer le protocole IPSec pour assurer la sécurité du réseau ; résoudre les problèmes de sécurité des protocoles réseau. Documents de cours et préparation Cette section vous indique les éléments et la préparation nécessaires pour animer ce module. Documents de cours Pour animer ce module, vous devez disposer du fichier Microsoft PowerPoint 2172A_06.ppt. Préparation Pour préparer ce module, vous devez effectuer les tâches suivantes : lire tous les documents de cours relatifs à ce module ; réaliser l'atelier ; lire le guide Step-by-Step Guide to Internet Protocol Security (IPSec) disponible à l'adresse http://www.microsoft.com/windows2000/ library/technologies/security/default.asp ; lire le livre blanc IP Security for Microsoft Windows 2000 Server ; lire intégralement la section «Internet Protocol Security» dans le Kit de Ressources Techniques Microsoft Windows 2000 Server ; lire la RFC (Request for Comments) 2401, Security Architecture for the Internet Protocol ; lire la RFC 2411, IP Security Document Roadmap.
iv Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec Déroulement du module Présentez le module en vous appuyant sur les points détaillés ci-dessous. Présentation du protocole IPSec Présentez le protocole IPSec en étudiant les besoins en sécurité des réseaux privés et publics. Décrivez brièvement quelques-unes des attaques réseau les plus courantes. Utilisez la diapositive pour décrire les composants et les processus associés au protocole IPSec sur un réseau. Donnez des exemples de scénarios professionnels dans lesquels le protocole IPSec peut être utile. Implémentation du protocole IPSec Expliquez que le protocole IPSec est activé au moyen d'une configuration de stratégie et insistez sur le fait que les stratégies permettent aux administrateurs de configurer automatiquement les paramètres de sécurité. Expliquez l'utilité du protocole IPSec en modes transport et tunnel, et assurez-vous que les stagiaires saisissent bien la différence entre ces deux modes. Expliquez comment personnaliser les stratégies de sécurité IPSec, puis décrivez les composants des règles. Mentionnez brièvement les options de cryptage et renvoyez les stagiaires aux livres blancs appropriés pour plus d'informations. Expliquez comment tester les affectations de stratégies IPSec à l'aide d'une commande ping et d'un Moniteur de sécurité IP. Configuration du protocole TCP/IP pour assurer la sécurité du réseau Expliquez le rôle de l'activation du protocole IPSec pour la sécurité du réseau et montrez aux stagiaires comment affecter la stratégie Sécuriser le serveur. Résolution des problèmes de sécurité des protocoles réseau Expliquez la procédure de résolution des problèmes de sécurité des protocoles réseau et les méthodes à suivre pour vérifier la stratégie IPSec.
v Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec Informations sur la personnalisation Cette section identifie l'installation requise pour les ateliers d'un module et les modifications apportées à la configuration des ordinateurs des stagiaires au cours des ateliers. Ces informations sont données pour vous aider à dupliquer ou à personnaliser les cours MOC (Microsoft Official Curriculum). Important L'atelier de ce module dépend aussi de la configuration de la classe spécifiée dans la section «Informations sur la personnalisation» située à la fin du Guide de configuration de la classe du cours 2172A, Implémentation d'une infrastructure réseau Microsoft Windows 2000. Mise en place de l'atelier Aucune configuration requise pour l'atelier n'affecte la duplication ou la personnalisation. Résultats de l'atelier La liste ci-dessous décrit les installations requises pour l'atelier de ce module. Configuration requise L'atelier de ce module nécessite l'installation sur les ordinateurs des stagiaires d'un certificat pour utiliser le protocole IPSec. Les ordinateurs de chaque binôme de stagiaires doivent approuver le chemin d'accès de certification de l'autorité de certification (CA, Certificate Authority) qui a délivré le certificat. Pour préparer les ordinateurs, effectuez l'une des tâches ci-dessous. Réalisez le module 5, «Configuration de la sécurité du réseau à l'aide de l'infrastructure de clé publique», du cours 2172A, Implémentation d'une infrastructure réseau Microsoft Windows 2000. Effectuez manuellement les étapes ci-dessous. Pour des instructions détaillées, reportez-vous à l'atelier A, «Installation et configuration de services de certificats» du module 5 du cours 2172A, Implémentation d'une infrastructure réseau Microsoft Windows 2000. Sur l'ordinateur de l'instructeur ou d'un stagiaire, créez une Autorité de certification racine autonome. Sur l'ordinateur de chaque stagiaire, ajoutez l'autorité de certification en tant que racine approuvée. Sur l'ordinateur du stagiaire, demandez un certificat auprès de l'autorité de certification pour l'utiliser avec le protocole IPSec sur une page Web. Délivrez le certificat sur l'autorité de certification. Installez le certificat sur l'ordinateur du stagiaire.
This page is blank
Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec 1 Vue d'ensemble Objectif de la diapositive Donner une vue d'ensemble des sujets et des objectifs de ce module. Introduction Dans ce module, vous allez vous familiariser avec l'implémentation du protocole IPSec pour assurer la sécurité d'un réseau. Présentation du protocole IPSec Implémentation du protocole IPSec Configuration du protocole TCP/IP pour assurer la sécurité du réseau Résolution des problèmes de sécurité des protocoles réseau *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Comme la réussite d'une entreprise peut être compromise par la perte d'informations qui lui sont propres, elle doit pouvoir compter sur la sécurité et la fiabilité de son réseau, notamment pour les informations confidentielles comme les données sur les produits, les rapports financiers et les plans marketing. Le protocole IPSec (Internet Protocol Security) s'inscrit dans une structure de standards ouverts pour assurer la sécurité et la confidentialité des communications sur les réseaux utilisant le protocole Internet (IP, Internet Protocol) à l'aide de services de sécurité cryptographique. Vous pouvez implémenter le protocole IPSec sur un réseau Microsoft Windows 2000 pour authentifier les ordinateurs et crypter les données transmises entre les hôtes sur un réseau, un intranet ou un extranet, y compris les communications de station de travail à serveur et de serveur à serveur. À la fin de ce module, vous serez à même d'effectuer les tâches suivantes : décrire l'utilisation du protocole IPSec sur un réseau ; implémenter le protocole IPSec ; configurer le protocole IPSec pour assurer la sécurité du réseau ; résoudre les problèmes de sécurité des protocoles réseau.
2 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec Présentation du protocole IPSec Objectif de la diapositive Présenter les sujets portant sur le protocole IPSec. Introduction Les réseaux publics et privés non sécurisés sont exposés à une surveillance et des accès non autorisés. Identification des problèmes de sécurité liés aux réseaux Définition du rôle du protocole IPSec sur un réseau ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Les réseaux publics et privés non sécurisés sont exposés à une surveillance et des accès non autorisés. Une sécurité minimale ou inexistante peut être à l'origine d'attaques internes, alors que les risques externes au réseau privé proviennent de connexions à Internet et à des extranets. Le protocole IPSec protège les données privées dans un environnement public en fournissant une défense solide, basée sur la cryptographie, contre les attaques réseau. Remarque Le protocole IPSec est une proposition IETF (Internet Engineering Task Force), mais ne constitue pas encore un standard IETF. Pour plus d'informations sur le protocole IPSec, consultez les RFC (Request for Comments) 2411 et 2401 sous Lectures complémentaires sur le CD-ROM du stagiaire. Pour obtenir une liste plus complète des RFC appropriées, consultez la section «Sécurité du protocole Internet (IPSec)» du Kit de Ressources Techniques Microsoft Windows 2000 Server.
Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec 3 Identification des problèmes de sécurité liés aux réseaux Objectif de la diapositive Identifier les types d'attaques réseau les plus courantes. Introduction Les attaques réseau peuvent être passives ou actives. Types d'attaques réseau les plus courantes : Surveillance de réseau Modification des données Mots de passe Usurpation d'adresses Niveau application Intermédiaire Perturbation du service ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Que ce soit sur Internet, sur un intranet, entre des employés de succursale ou des collaborateurs à distance, des informations confidentielles sont échangées en permanence sur les réseaux. Le défi des administrateurs réseau est d'assurer que ces données n'encourent pas les risques suivants : être modifiées pendant qu'elles sont en transit ; être interceptées, visualisées ou copiées ; être accessibles à des tiers non authentifiés. Vous pouvez implémenter le protocole IPSec pour sécuriser vos communications sur un intranet et pour créer des solutions de réseau privé virtuel (VPN, Virtual Private Network) sur Internet. Le protocole IPSec peut protéger les communications établies entres les groupes de travail, les ordinateurs en réseau local (LAN, Local Area Network), les clients et les serveurs de domaine, les succursales distantes d'une entreprise, les extranets, les clients distants et l'administration à distance des ordinateurs.
4 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec Types d'attaques réseau les plus courantes Les données non sécurisées par des mesures et des contrôles de sécurité peuvent être vulnérables à une attaque. Certaines attaques sont passives, c'est-à-dire qu'un tiers inconnu surveille vos informations ; d'autres sont actives, c'est-à-dire qu'un pirate modifie les informations avec l'intention d'endommager ou de détruire les données ou le réseau proprement dit. La liste ci-dessous répertorie les attaques réseau les plus courantes. Expliquez que les outils de surveillance de réseau sont souvent appelés «détecteurs». Surveillance de réseau. Une surveillance de réseau est une application ou un dispositif qui peut observer et lire les paquets du réseau. Si les paquets ne sont pas cryptés, un outil de surveillance de réseau fournit une vue complète des données qu'ils contiennent. De telles applications sont très utiles pour établir des diagnostics, mais elles peuvent être détournées de leur utilisation normale pour obtenir un accès non autorisé aux données. Le Moniteur réseau Microsoft est un exemple d'outil de surveillance de réseau. Modification des données. Un pirate peut modifier un message en transit et envoyer de fausses données, ce qui peut empêcher le récepteur de recevoir les données correctes ou permettre au pirate d'obtenir des informations sécurisées. Mots de passe. Un pirate peut utiliser un mot de passe ou une clé volés, ou tenter de déchiffrer le mot de passe s'il s'agit d'un mot de passe simple. Usurpation d'adresses. Un pirate peut utiliser des programmes spéciaux pour créer des paquets IP semblant provenir d'adresses valides à l'intérieur du réseau fiable. Niveau application. Cette attaque vise les serveurs d'applications en exploitant les faiblesses du système d'exploitation et des applications du serveur. Intermédiaire. Ce type d'attaque intervient entre deux ordinateurs en cours de communication : quelqu'un surveille, capture et contrôle les données de manière transparente (le pirate peut par exemple rerouter un échange de données). Perturbation du service. Cette attaque vise à perturber l'utilisation normale des ordinateurs ou des ressources réseau. Par exemple, des attaques de perturbation de service peuvent se produire lorsque les comptes de messagerie électronique sont submergés par un nombre plus important de messages non sollicités que le système ne peut traiter, ce qui peut par la suite arrêter le serveur.
Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec 5 Définition du rôle du protocole IPSec sur un réseau Objectif de la diapositive Présenter les composants et les processus du protocole IPSec sur un réseau. Stratégie IPSec Active Directory Stratégie IPSec Introduction Le protocole IPSec établit des communications sécurisées entre des ordinateurs clients, des ordinateurs serveur et des réseaux, sans intervention de l'utilisateur. Niveau TCP Pilote IPSec Driver IPSec Négociation d'une association de sécurité Paquets IP cryptés Niveau TCP Pilote IPSec Driver IPSec ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Conseil pédagogique La diapositive de cette section comprend une animation. Cliquez sur l'icône située dans le coin inférieur gauche de la diapositive ou appuyez sur ESPACE pour faire avancer l'animation. L'objectif principal du protocole IPSec est d'assurer la protection des paquets IP. Le protocole IPSec est basé sur un modèle de sécurité de bout en bout, ce qui signifie que les seuls hôtes qui doivent avoir connaissance de la protection IPSec sont l'émetteur et le récepteur. Chaque ordinateur traite la sécurité de son propre côté, partant du principe que le support de transmission des communications n'est pas sécurisé. Les ordinateurs qui routent exclusivement des données depuis la source jusqu'à la destination ne nécessitent pas de prise en charge du protocole IPSec. Sécurité de réseau renforcée Le protocole IPSec améliore la sécurité des données en utilisant les moyens suivants : authentification mutuelle des ordinateurs avant tout échange de données ; établissement d'une association de sécurité entre les deux ordinateurs ; cryptage des données échangées. Le protocole IPSec utilise des formats standard de paquets IP pour authentifier ou crypter les données. Ainsi, les périphériques réseau intermédiaires, comme les routeurs, n'ont pas à traiter les paquets IPSec différemment des paquets IP standard.
6 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec Stratégies IPSec Le protocole IPSec est implémenté en utilisant une stratégie IPSec. Les stratégies sont des paramètres de sécurité, ou des règles, qui définissent le niveau de sécurité souhaité, ainsi que les adresses, les protocoles, les noms DNS (Domain Name System), les sous-réseaux ou les types de connexions auxquels s'appliqueront les paramètres de sécurité. Le pilote IPSec fait correspondre chaque paquet entrant ou sortant aux paramètres de sécurité définis dans la stratégie active IPSec. Vous pouvez appliquer les stratégies IPSec aux ordinateurs locaux, aux membres de domaine, aux domaines ou à plusieurs ordinateurs à l'aide d'un objet Stratégie de groupe dans le service d'annuaire Active Directory. Remarque Plusieurs distributeurs travaillent sur l'implémentation du protocole IPSec dans d'autres systèmes d'exploitation et périphériques réseau comme les routeurs. Pour plus d'informations sur l'utilisation du protocole IPSec dans Windows 2000, consultez le livre blanc, IP Security for Microsoft Windows 2000 Server, sous Lectures complémentaires sur le CD-ROM du stagiaire et le guide Step-by-Step Guide to Internet Protocol Security (IPSec) disponible à l'adresse http://www.microsoft.com/windows2000/library/ technologies/security/default.asp
Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec 7 Implémentation du protocole IPSec Objectif de la diapositive Identifier les sujets portant sur l'implémentation du protocole IPSec. Introduction Windows 2000 fournit des fonctionnalités d'administration basée sur des stratégies qui permettent d'implémenter les services IPSec. Mise en place de stratégies IPSec Configuration du protocole IPSec pour assurer la sécurité entre ordinateurs Configuration du protocole IPSec pour assurer la sécurité entre réseaux Personnalisation des stratégies IPSec Choix d'un modèle de cryptage IPSec Test d'une affectation de stratégie IPSec Optimisation des performances du protocole IPSec ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Bien que des méthodes de sécurité plus puissante basées sur la cryptographie soient devenues nécessaires pour protéger entièrement les communications, l'implémentation de ces méthodes peut augmenter considérablement la charge de travail administratif. Windows 2000 fournit des fonctionnalités d'administration basée sur des stratégies, qui permettent d'implémenter les services IPSec. Les stratégies permettent à l'administrateur de configurer automatiquement les paramètres de sécurité. L'administrateur de la sécurité du réseau peut configurer les stratégies IPSec pour répondre aux besoins de sécurité d'un utilisateur, d'un groupe, d'un domaine, d'un site ou d'une entreprise. Windows 2000 fournit une interface d'administration appelée Gestion de la stratégie IPSec, qui sert à définir les stratégies IPSec pour les ordinateurs au niveau d'active Directory pour tout membre du domaine, ou sur l'ordinateur local pour les non-membres du domaine.
8 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec Mise en place de stratégies IPSec Objectif de la diapositive Présenter l'interface de configuration des stratégies IPSec. Introduction Vous gérez les stratégies IPSec dans la console MMC et les définissez dans Active Directory, sur l'ordinateur local ou sur un ordinateur distant. Stratégies IPSec prédéfinies ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Vous contrôlez le protocole IPSec à l'aide d'une configuration de stratégies que vous gérez dans le composant logiciel enfichable Gestion de la stratégie de sécurité du protocole IP. Utilisez-le pour gérer les stratégies IPSec de manière centralisée pour les clients Active Directory, locale pour l'ordinateur sur lequel vous exécutez la console, ou à distance pour un ordinateur ou un domaine. Remarque Pour configurer les stratégies IPSec pour des ordinateurs, vous devez disposer des droits d'administrateur appropriés aux Stratégies de groupe ou faire partie du groupe Administrateurs du système local. Gestion des stratégies IPSec Vous gérez les stratégies IPSec en ajoutant le composant logiciel enfichable Gestion de la stratégie de sécurité du protocole IP dans une console MMC (Microsoft Management Console). Après l'avoir ajouté dans la console, sélectionnez l'ordinateur pour lequel vous souhaitez gérer les stratégies IPSec. Pour Gérer seulement l'ordinateur sur lequel la console s'exécute Gérer des stratégies IPSec pour un membre du domaine quelconque Gérer des stratégies IPSec pour un domaine dont l'ordinateur qui exécute cette console n'est pas membre Gérer un ordinateur distant Procédez comme suit Cliquez sur Ordinateur local. Cliquez sur Gérer la stratégie de domaine pour le domaine de cet ordinateur. Cliquez sur Gérer la stratégie de domaine pour un autre domaine. Cliquez sur Un autre ordinateur. Vous pouvez alors enregistrer la console personnalisée pour qu'elle soit à nouveau disponible à tout moment.
Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec 9 Utilisation des stratégies IPSec prédéfinies Windows 2000 fournit un ensemble de stratégies IPSec prédéfinies. Par défaut, toutes les stratégies prédéfinies sont conçues pour les ordinateurs membres d'un domaine Windows 2000. Vous pouvez affecter des stratégies prédéfinies directement, les modifier ou les utiliser comme des modèles pour définir des stratégies personnalisées. Expliquez que les règles constituant les stratégies seront traitées plus loin dans le module. Client (en réponse seule) Cette stratégie concerne les ordinateurs qui ne nécessitent pas de communications sécurisées ; par exemple, les clients intranet qui n'utilisent la sécurité IPSec que lorsqu'elle est demandée par un autre ordinateur. Cette stratégie permet à l'ordinateur de donner une réponse appropriée aux demandes de communications sécurisées. La stratégie contient une règle de réponse par défaut qui permet la négociation avec les ordinateurs qui demandent le protocole IPSec. Serveur (demandez la sécurité) Cette stratégie concerne les ordinateurs qui nécessitent la plupart du temps des communications sécurisées, comme les serveurs qui transmettent des données confidentielles. Cette stratégie permet à l'ordinateur d'accepter un trafic non sécurisé, mais elle essaie toujours de sécuriser des communications supplémentaires en demandant la sécurité auprès de l'émetteur initial. Cette stratégie permet à toute la communication d'être non sécurisée si l'autre ordinateur n'est pas activé pour la sécurité IPSec. Indiquez aux stagiaires que l'implémentation d'une stratégie Sécuriser le serveur sera traitée plus loin dans le module et dans l'atelier. Sécuriser le serveur (nécessite la sécurité) Cette stratégie concerne les ordinateurs qui nécessitent toujours des communications sécurisées. Par exemple, la stratégie Sécuriser le serveur est utile aux serveurs qui transmettent des données hautement confidentielles, ou à une passerelle de sécurité qui protège l'intranet de l'extérieur. Cette stratégie rejette les communications entrantes non sécurisées, et le trafic sortant est toujours sécurisé. Les communications non sécurisées ne seront pas autorisées, même si un homologue n'est pas activé IPSec. Activation d'une stratégie IPSec Pour activer une stratégie IPSec sur un ordinateur, exécutez la procédure ci-dessous. 1. Dans le composant logiciel enfichable Gestion de la stratégie de sécurité du protocole IP, cliquez sur Stratégies de sécurité IP sur ordinateur local. 2. Dans le volet de détails, cliquez avec le bouton droit sur la stratégie que vous voulez affecter, puis cliquez sur Attribuer. Remarque Vous pouvez également affecter une stratégie IPSec à un ordinateur en utilisant la console Stratégie de groupe. Pour plus d'informations sur la console Stratégie de groupe, consultez le module 7, «Implémentation d'une stratégie de groupe» du cours 2174A, Implémentation et administration des services d'annuaire Microsoft Windows 2000.
10 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec Configuration du protocole IPSec pour assurer la sécurité entre ordinateurs Objectif de la diapositive Identifier les caractéristiques d'une connexion IPSec point à point. Introduction Pour établir une connexion sécurisée entre des ordinateurs homologues exécutant Windows 2000, vous devez implémenter le protocole IPSec en mode transport. Utilisation du protocole IPSec en mode transport Applique des stratégies IPSec pour le trafic généré entre les systèmes Prend en charge Windows 2000 Assure la sécurité de bout en bout Est le mode par défaut pour IPSec Windows 2000 Professionnel Sécurité entre ordinateurs Windows 2000 Server ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Point clé Le mode transport établit une connexion sécurisée entre les ordinateurs exécutant Windows 2000. Pour établir des communications sécurisées entre des ordinateurs exécutant Windows 2000, configurez le protocole IPSec en mode transport. Utilisation du protocole IPSec en mode transport Le mode transport authentifie et crypte les échanges de données entre deux ordinateurs exécutant Windows 2000. Ce mode sécurise le réseau et peut prendre en charge une connexion sécurisée avec plusieurs autres ordinateurs. Le mode transport est le mode par défaut du protocole IPSec. Pour spécifier le mode transport, exécutez la procédure ci-dessous. 1. Ouvrez le composant logiciel enfichable Gestion de la stratégie de sécurité du protocole IP. 2. Dans le volet de détails, cliquez avec le bouton droit sur la stratégie à modifier, puis cliquez sur Propriétés. 3. Cliquez sur la règle que vous souhaitez modifier, puis sur Modifier. 4. Dans l'onglet Paramètre du tunnel, cliquez sur Cette règle ne spécifie aucun tunnel IPSec. Remarque Vous pouvez également spécifier un mode transport lorsque vous créez une règle à l'aide de l'assistant Règle de sécurité.
Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec 11 Configuration du protocole IPSec pour assurer la sécurité entre réseaux Objectif de la diapositive Identifier les caractéristiques d'une connexion IPSec de type routeur à routeur. Introduction Pour établir une connexion sécurisée entre deux routeurs Windows 2000, implémentez le protocole IPSec en mode tunnel. Utilisation du protocole IPSec en mode tunnel Applique des stratégies IPSec pour l'ensemble du trafic Internet Prend principalement en charge les anciens systèmes d'exploitation Prend en charge la sécurité point à point Spécifie le point de sortie du tunnel au niveau des deux routeurs Sécurité entre réseaux Routeur Routeur Serveur/Routeur Windows 2000 Serveur/Routeur Windows 2000 ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Point clé Le mode tunnel établit une connexion sécurisée entre des réseaux distants. Pour établir des communications sécurisées entre des réseaux distants, configurez le protocole IPSec en mode tunnel. L'avantage du mode tunnel réside dans le fait que les données sont sécurisées entre les deux extrémités du tunnel, quelle que soit leur destination finale. Lorsque vous configurez le protocole IPSec en mode tunnel, toutes les communications établies entre les réseaux sont sécurisées, sans qu'il soit nécessaire de configurer le protocole IPSec sur chaque ordinateur. Le mode tunnel ne garantit pas la sécurité de chacun des réseaux. Utilisation du protocole IPSec en mode tunnel Le mode tunnel du protocole IPSec authentifie et crypte les données échangées à l'intérieur d'un tunnel IP créé entre deux routeurs. Windows 2000 requiert le service Routage et accès distant pour implémenter le protocole IPSec en mode tunnel. Vous activez le mode tunnel dans la gestion IPSec. Lors de la configuration des paramètres du mode tunnel, le protocole IPSEc requiert une adresse IP pour chaque extrémité du tunnel.
12 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec Conseil pédagogique Montrez les étapes de configuration des paramètres du mode tunnel. Pour spécifier un tunnel IPSec, exécutez la procédure ci-dessous. 1. Ouvrez le composant logiciel enfichable Gestion de la stratégie de sécurité du protocole IP. 2. Dans le volet de détails, cliquez avec le bouton droit sur la stratégie à modifier, puis cliquez sur Propriétés. 3. Cliquez sur la règle que vous souhaitez modifier, puis sur Modifier. 4. Dans l'onglet Paramètres du tunnel, cliquez sur Le point de sortie du tunnel est spécifié par cette adresse IP, puis indiquez l'adresse IP du point d'arrêt du tunnel. Windows 2000 prend en charge plusieurs connexions en mode tunnel, mais un seul tunnel à la fois. Chaque connexion à un tunnel nécessite une règle distincte. Remarque Vous pouvez également spécifier un tunnel IPSec lorsque vous créez une règle à l'aide de l'assistant Règle de sécurité.
Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec 13 Personnalisation des stratégies IPSec Objectif de la diapositive Identifier les composants des règles de sécurité IPSec et présenter les relations entre les stratégies, les règles et les composants des règles. Introduction Personnalisez les stratégies IPSec lorsque les stratégies par défaut ne répondent pas aux besoins de sécurité de votre entreprise. Composants des règles Point de sortie du tunnel Type de réseau Méthode d'authentification Liste de filtres IP Action de filtrage Règle de réponse par défaut Règle 1 Filtre 1 Filtre 2 Action du filtre Stratégie IPSec Action du filtre Règle 2 Filtre 1 Filtre 2 Action du filtre Action du filtre ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Vous pouvez créer des stratégies IPSec personnalisées pour déterminer quels ordinateurs nécessitent un cryptage, et les méthodes de sécurité à utiliser pour ce cryptage. Les stratégies IPSec font appel à des règles qui déterminent le moment et le mode de déclenchement d'une stratégie. Une règle permet de démarrer et de contrôler des communications sécurisées en fonction de la source, de la destination et du type de trafic IP. Chaque stratégie IPSec peut contenir une ou plusieurs règles. Plusieurs règles peuvent être activées simultanément. Des règles par défaut sont fournies. Elles recouvrent une variété de communications basées sur des clients et des serveurs. Vous pouvez créer des règles ou modifier les règles par défaut en fonction des besoins de votre réseau. Conseil pédagogique Ouvrez l'assistant Règles et insistez sur chaque composant pendant que vous décrivez la règle. Composants des règles Une règle est constituée des composants décrits ci-dessous. Point de sortie du tunnel. Définit l'ordinateur de tunneling le plus proche de la destination du trafic IP, tel que spécifié par la liste des filtres IP associés. Deux règles sont nécessaires pour définir un tunnel IPSec, une pour chaque direction. Type de réseau. S'applique aux connexions configurées dans Connexions réseau et accès à distance. Sélectionnez l'une des options suivantes : Toutes les connexions réseau Réseau local (LAN) Accès distant
14 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec Méthode d'authentification. Définit la méthode de vérification de l'identité d'un utilisateur. Windows 2000 prend en charge trois méthodes d'authentification. Valeurs par défaut de Windows 2000 (Protocole Kerberos V5). Utilise le protocole de sécurité Kerberos V5 pour l'authentification. Cette méthode peut être utilisée pour tous les ordinateurs clients qui exécutent le protocole Kerberos V5 (qu'ils soient ou non des clients Windows) et qui sont membres d'un domaine approuvé. Utiliser un certificat émis par cette Autorité de certification. Nécessite la configuration d'une Autorité de certification approuvée. Windows 2000 prend en charge les certificats X.509 version 3, y compris les certificats générés par des Autorités de certification commerciales. Utiliser cette chaîne pour protéger l'échange de clés (clé pré-partagée). Indique une clé secrète partagée, définie d'un commun accord et configurée manuellement par deux utilisateurs avant son utilisation. Liste de filtres IP. Définit le trafic sécurisé par cette règle. Vous pouvez utiliser les filtres par défaut ou créer des filtres propres à la stratégie pour certains types de trafic IP ou des sous-réseaux particuliers. Les filtres par défaut incluent les éléments suivants : Tout le trafic ICMP (Internet Control Message Protocol) Tout le trafic IP Action de filtrage. Répertorie les actions de sécurité qui sont exécutées lorsque le trafic correspond à un filtre IP. L'action spécifie s'il faut autoriser le trafic, le bloquer ou négocier la sécurité pour la connexion en question. Vous pouvez spécifier une ou plusieurs actions de filtrage négociées. Les actions de filtrage s'affichent sous la forme d'une liste dont la première méthode est prioritaire. Si cette action de filtrage ne peut pas être négociée, l'action suivante est entreprise. Pour modifier les propriétés d'une règle, cliquez sur la règle dans la boîte de dialogue Propriétés d'une stratégie IPSec, puis sur Modifier. Pour modifier la liste et les actions de filtrage IP par défaut, cliquez avec le bouton droit sur Stratégies de sécurité IP, puis cliquez sur Gérer les listes de filtres IP et les actions de filtrage. Règle de réponse par défaut Un ordinateur utilise la règle de réponse par défaut pour répondre aux demandes de communications sécurisées. S'il n'existe pas de règle définie pour les demandes de communications sécurisées, la règle de réponse par défaut s'applique et la sécurité est négociée. Cette règle est conçue pour toutes les stratégies définies, mais il se peut qu'elle ne soit pas active. Lors de la création d'une stratégie, l'assistant vous demande si vous souhaitez utiliser la règle de réponse par défaut. Si cette réponse est activée, l'assistant permet à l'administrateur de définir la méthode d'authentification de la règle.
Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec 15 Vous pouvez restaurer les configurations d'origine prédéfinies si vous les modifiez ou les supprimez en cas de modification ou de suppression accidentelle. Toutes les modifications actuelles apportées aux stratégies et aux règles par défaut seront perdues. Pour rétablir les stratégies par défaut, exécutez la procédure ci-dessous. 1. Ouvrez le composant logiciel enfichable Gestion de la stratégie de sécurité du protocole IP. 2. Dans l'arborescence de la console, cliquez sur Stratégies de sécurité IP ordinateur local, cliquez avec le bouton droit, pointez sur Toutes les tâches, cliquez sur Restaurer les stratégies par défaut, puis sur Oui.
16 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec Choix d'un modèle de cryptage IPSec Objectif de la diapositive Répertorier les algorithmes de cryptage relatifs à l'authentification et ceux relatifs aux données. Introduction La méthode choisie pour l'authentification et le cryptage des paquets peut varier selon la confidentialité des informations et les divers standards autorisés au niveau national. Pour choisir un modèle d'authentification et de cryptage : Cryptage des authentifications SHA MD5 Cryptage des paquets DES 56 bits DES 40 bits 3DES ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** La méthode choisie pour l'authentification et le cryptage des paquets peut varier selon la confidentialité des informations et les divers standards autorisés au niveau national. Le protocole IPSec fournit un grand choix d'algorithmes de cryptage de données et d'authentification. Expliquez que, sauf besoins de sécurité particuliers, ces méthodes sont habituellement conservées dans les paramètres par défaut. Pour afficher les méthodes de sécurité de cryptage, ouvrez les propriétés de la stratégie sélectionnée, cliquez sur l'onglet Général, sur Avancé, puis sur Méthodes. Cryptage des authentifications Le tableau suivant récapitule les choix de cryptage d'authentifications, à savoir l'algorithme de hachage sécurisé (SHA, Secure Hash Algorithm) et le hachage MD5 (Message Digest 5) : Méthode SHA MD5 Description Standard de traitement des informations fédérales (FIPS, Federal Information Processing Standard), accepté aux États-Unis d'amérique pour les contrats avec le gouvernement. Cette méthode, hautement sécurisée, utilise une clé de 160 bits. Méthode la plus largement utilisée pour les applications commerciales. Cette méthode, hautement sécurisée, utilise une clé unique de 128 bits et constitue une moindre charge sur les performances.
Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec 17 Cryptage des paquets Le tableau suivant récapitule décrit les choix de cryptage pour les données : Méthode DES 56 bits DES 40 bits 3DES Description Méthode utilisée pour les applications les plus exportées et le trafic à faible niveau de sécurité, comme les messages électroniques. Cette méthode, faiblement sécurisée, utilise une seule clé de 56 bits. Méthode prise en charge pour les applications exportées vers la France. Cette méthode, faiblement sécurisée, utilise une seule clé de 40 bits. Le standard de cryptage des données (DES, Data Encryption Standard) 40 bits n'est pas conforme aux RFC. Méthode la plus sûre. Utilise trois clés de 56 bits. 3DES traite chaque bloc à trois reprises, en utilisant à chaque fois une clé unique. Cette méthode, hautement sécurisée, augmente l'utilisation du processeur d'un facteur égal à environ 2,5 par rapport aux autres méthodes de cryptage DES.
18 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec Test d'une affectation de stratégie IPSec Objectif de la diapositive Identifier les outils de vérification d'affectation de stratégies IPSec. Introduction Avant d'échanger des données sécurisées, une association de sécurité doit être établie entre les deux ordinateurs. Utilisation de la commande ping pour vérifier la validité d'une connexion réseau Utilisation du Moniteur de sécurité IP pour vérifier l'affectation d'une stratégie ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Avant d'échanger des données sécurisées, une association de sécurité (SA, Security Association) doit être établie entre les deux ordinateurs. Dans une association de sécurité, les deux ordinateurs négocient l'échange et la protection des informations. L'ordinateur demandeur envoie une liste d'offre de niveaux de sécurité potentiels aux homologues répondeurs. Le répondeur envoie une réponse qui accepte l'offre, ou la rejette en renvoyant un message indiquant qu'aucune offre n'a été retenue. Si les stratégies actives permettent d'établir des communications non sécurisées avec des ordinateurs incapables d'utiliser le protocole IPSec, une association de sécurité logicielle est établie. Si les stratégies actives sont compatibles, une association de sécurité sécurisée ou matérielle est établie. Pour assurer l'établissement d'une association de sécurité et la réussite de la communication sécurisée par le protocole IPSec, utilisez la commande ping pour vérifier la validité de la connexion réseau. Pour vérifier la validité de l'affectation de la stratégie, utilisez un Moniteur de sécurité IP. Utilisation de la commande ping pour vérifier la validité d'une connexion réseau Lorsque vous testez l'affectation d'une stratégie IPSec, utilisez la commande ping pour vérifier la validité de la connexion réseau. Ce faisant, vous pouvez distinguer les problèmes de réseau et ceux liés au protocole IPSec. Pour vérifier la validité d'une connexion réseau, exécutez la procédure ci-dessous. La durée réelle peut être supérieure si vous utilisez un nom DNS. Ouvrez une invite, tapez ping adresse IP, où adresse IP représente l'adresse IP de l'ordinateur avec lequel vous essayez de communiquer, puis appuyez sur ENTRÉE.
Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec 19 S'il existe une connexion réseau valide, vous devez recevoir quatre réponses à la commande ping. Cela vérifie qu'une communication avec l'adresse IP de destination est possible. Le protocole IPSec ne bloque pas la commande ping si vous utilisez les stratégies par défaut telles quelles. Si vous rencontrez des problèmes pour établir un canal sécurisé, la réponse «Négociation de la sécurité IP» s'affiche. Attendez-vous à cette réponse pendant l'établissement du canal sécurisé. Cependant, les résultats suivants de la commande ping doivent inclure des réponses de l'hôte distant. Important Si vous créez des stratégies personnalisées sans tenir compte du protocole ICMP utilisé par la commande ping, l'utilisation de cette commande peut présenter des résultats erronés. Utilisation du Moniteur de sécurité IP pour vérifier l'affectation d'une stratégie Le Moniteur de sécurité IP affiche les associations de sécurité actives sur les ordinateurs locaux et distants. Par exemple, vous pouvez utiliser le Moniteur de sécurité IP pour déterminer s'il existe un modèle d'authentification ou des échecs d'associations de sécurité, indiquant éventuellement des paramètres de sécurité incompatibles. Pour démarrer le Moniteur de sécurité IP, exécutez la procédure ci-dessous. Cliquez sur Démarrer, puis sur Exécuter, puis tapez ipsecmon ordinateur, où Ordinateur représente l'ordinateur que vous souhaitez surveiller. Lorsque le Moniteur de sécurité IP s'ouvre, vous voyez s'afficher un message dans le coin inférieur droit, indiquant si le protocole IPSec est activé sur l'ordinateur. Pour activer le protocole IPSec, vous devez affecter une stratégie. Cependant, aucune stratégie ne figure dans la liste des associations de sécurité du Moniteur de sécurité IP, sauf si une association de sécurité avec un autre ordinateur est actuellement active.
20 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec Optimisation des performances du protocole IPSec Objectif de la diapositive Décrire comment les performances du protocole IPSec peuvent être améliorées. Introduction Pour améliorer les performances du protocole IPSec, tenez compte des éléments ci-dessous. Pour garantir une haute disponibilité du service IPSec, tenez compte des éléments suivants : Niveau de sécurité requis Critères de sécurité de l'ordinateur Nombre d'entrées de filtre de stratégie IPSec ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Avant d'implémenter le protocole IPSec sur un réseau d'entreprise, vous devez tenir compte des questions de performances décrites ci-dessous. Niveau de sécurité requis La confidentialité de la plupart des données sur de nombreux réseaux d'entreprise peut ne pas nécessiter le niveau de sécurité fourni par le protocole IPSec. Lorsque vous activez le protocole IPSec, l'utilisation du processeur, le trafic et la taille des paquets IP augmentent. Avant d'implémenter le protocole IPSec sur une plate-forme, vous devez déterminer si cet hôte donné bénéficie suffisamment d'une sécurité améliorée. Remarque Certains distributeurs proposent des cartes réseau qui effectuent les tâches de cryptage IPSec sur la carte réseau. La réalisation du cryptage IPSec à l'aide d'un matériel dédié peut augmenter sensiblement les performances. Critères de sécurité de l'ordinateur Certaines données peuvent être confidentielles, seul un petit groupe d'ordinateurs du réseau y aura accès. Identifiez les ordinateurs serveur et clients qui doivent avoir accès à ces données confidentielles, puis activez le protocole IPSec uniquement sur ces ordinateurs. Nombre d'entrées de filtre de stratégie IPSec Le protocole IPSec peut bloquer les accès non autorisés en utilisant des filtres IP et des stratégies de négociation. Utilisez les filtres génériques pour réduire le nombre d'entrées du filtre IP. Les stratégies de négociation doivent être suffisamment restrictives pour garantir que les ordinateurs autorisés peuvent accéder, tandis que les ordinateurs non autorisés ne le peuvent pas. Vous pouvez concevoir votre configuration de protocole IPSec avec des filtres IP, des stratégies de négociation, ou les deux.
Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec 21 Configuration du protocole TCP/IP pour assurer la sécurité du réseau Objectif de la diapositive Présenter l'interface permettant de configurer le protocole TCP/IP pour assurer la sécurité du réseau. Introduction Au niveau du transport IP, le protocole IPSec assure la protection des services et des applications de serveur, sans modifier les services et applications qui utilisent le protocole IP pour le transport des données. ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Point clé Vous activez la sécurité IP pour le protocole TCP/IP en affectant la stratégie Sécuriser le serveur. Au niveau du transport IP, le protocole IPSec assure la protection des services et des applications de serveur, sans modifier les services et applications qui utilisent le protocole IP pour le transport des données. Vous pouvez activer le protocole IPSec pour assurer la sécurité des communications de bout en bout d'un trafic IP sur un réseau privé ou sur Internet. Vous activez la sécurité IP pour le protocole TCP/IP (Transmission Control Protocol/Internet Protocol) en affectant la stratégie Sécuriser le serveur. La stratégie Sécuriser le serveur est désactivée par défaut. Pour activer la sécurité IP pour le protocole TCP/IP, exécutez la procédure ci-dessous. 1. Ouvrez le composant logiciel enfichable Gestion de la stratégie de sécurité du protocole IP. 2. Dans l'arborescence de la console, cliquez sur Stratégies de sécurité IP sur Ordinateur local. 3. Dans le volet de détails, cliquez avec le bouton droit sur Sécuriser le serveur (nécessite la sécurité), puis cliquez sur Attribuer.
22 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec Résolution des problèmes de sécurité des protocoles réseau Objectif de la diapositive Identifier les tâches associées à la résolution des problèmes de sécurité des protocoles réseau. Introduction Que deux ou plusieurs ordinateurs configurés pour utiliser le protocole IPSec ne puissent pas communiquer entre eux constitue le problème le plus courant concernant la sécurité du protocole réseau. Errreur Erreur Erreur Erreur Erreur Recherchez les messages d'erreur dans les journaux système et les journaux de sécurité Confirmez qu'une association de sécurité est établie entre les ordinateurs Vérifiez que les stratégies sont affectées aux deux ordinateurs Vérifiez que les stratégies sont compatibles entre elles Vérifiez que tous les changements sont appliqués ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Que deux ou plusieurs ordinateurs configurés pour utiliser le protocole IPSec ne puissent pas communiquer entre eux constitue le problème le plus courant concernant la sécurité du protocole réseau. Lorsque vous essayez de résoudre un problème de sécurité de protocole réseau, commencez par isoler le problème. Expliquez que Services vous aide à gérer les services sur votre ordinateur, à configurer les actions de récupération en cas de défaillance d'un service, et à créer des noms et des descriptions personnalisés pour les services afin d'en faciliter l'identification. Isolement du problème Lorsque vous essayez de résoudre des problèmes de sécurité IPSec, il est important d'isoler le problème. Un problème de communication peut être dû à une défaillance générale du réseau ou à un problème concernant les paramètres de sécurité. Arrêtez l'agent de stratégie IPSec sur les deux ordinateurs, puis vérifiez les communications entre les ordinateurs. Si le problème de communication persiste après l'arrêt de l'agent de stratégie, il s'agit d'une défaillance générale du réseau. Pour arrêter l'agent de stratégie, exécutez la procédure ci-dessous. 1. Ouvrez Services à partir du menu Outils d'administration. 2. Dans l'arborescence de la console, cliquez avec le bouton droit sur Agent de stratégie IPSec, puis cliquez sur Arrêt. Après avoir confirmé qu'il s'agit bien d'un problème de sécurité du réseau, assurez-vous de redémarrer l'agent de stratégie IPSec pour poursuivre la résolution du problème.