[ Sécurisation des canaux de communication

Documents pareils
Exercices Active Directory (Correction)

Le rôle Serveur NPS et Protection d accès réseau

Restriction sur matériels d impression

Windows Server Chapitre 4 : Active Directory Gestion des utilisateurs, des ordinateurs et des groupes

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Chapitre 2 Rôles et fonctionnalités

Module 8 : Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats

SECURITE DES DONNEES 1/1. Copyright Nokia Corporation All rights reserved. Ver. 1.0

Module 8 : Planification d'ipsec et résolution des problèmes

Sécurisation du réseau

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Serveur FTP. 20 décembre. Windows Server 2008R2

GENERALITES. COURS TCP/IP Niveau 1

Catalogue & Programme des formations 2015

Sécurité GNU/Linux. Virtual Private Network

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Module 8. Protection des postes de travail Windows 7

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Sage CRM. 7.2 Guide de Portail Client

Windows Server Chapitre 3 : Le service d annuaire Active Directory: Concepts de base

Devoir Surveillé de Sécurité des Réseaux

Guide d'administration

Microsoft infrastructure Systèmes et Réseaux

Service de certificat

État Réalisé En cours Planifié

Transmission de données

Module 0 : Présentation de Windows 2000

Authentification dans ISA Server Microsoft Internet Security and Acceleration Server 2006

1. Présentation de WPA et 802.1X

STRA TEGIES DE GROUPE ET LOCALE

Préparer la synchronisation d'annuaires

Mettre en place un accès sécurisé à travers Internet

Guide d'initiation aux. certificats SSL. Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en ligne. Document technique

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Guide d'installation et. de configuration. BlackBerry Enterprise Server pour IBM Lotus Domino. Version: 5.0 Service Pack: 4

LIVRE BLANC SECURITE DES PERIPHERIQUES KYOCERA VERSION /09/2014

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

Sécurité et protection contre les vulnérabilités dans Google Apps : une étude détaillée. Livre blanc Google - Février 2007

CA ARCserve Backup Patch Manager pour Windows

Les stratégies de groupe (GPO) sous Windows Server 2008 et 2008 R2 Implémentation, fonctionnalités, dépannage [2ième édition]

Responsabilités du client

Le protocole SSH (Secure Shell)

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Configuration Et Résolution Des Problèmes Des Services De Domaine Active Directory Windows Server Référence Cours : 6238B

Standard. Manuel d installation

Déploiement, administration et configuration

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Figure 1a. Réseau intranet avec pare feu et NAT.

SQL Server 2014 Administration d'une base de données transactionnelle avec SQL Server Management Studio

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Module 10 : Implémentation de modèles d'administration et d'une stratégie d'audit

DISTANT ACESS. Emna TRABELSI (RT3) Chourouk CHAOUCH (RT3) Rabab AMMAR (RT3) Rania BEN MANSOUR (RT3) Mouafek BOUZIDI (RT3)

SafeGuard Enterprise Aide administrateur. Version du produit : 5.60

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Guide d'installation et. de configuration. BlackBerry Enterprise Server pour Novell GroupWise. Version: 5.0 Service Pack: 4

IIS, c est quoi? Installation de IIS Gestion de base de IIS Méthodes d authentification. Edy Joachim,

Fiche de l'awt La sécurité informatique

Aménagements technologiques

Présentation de Active Directory

Cours 10219A: Configuration, Gestion Et Résolution Des Problèmes De Microsoft Exchange Server 2010

Les menaces informatiques

Installation du point d'accès Wi-Fi au réseau

Guide de l'utilisateur vcloud Director

Exchange Server 2010 Exploitation d'une plateforme de messagerie

SafeGuard Enterprise Guide d'installation. Version du produit : 7

Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

Stratégie de groupe dans Active Directory

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Module 9 : Installation d'active Directory

Microsoft Internet Security and Acceleration Déploiement et gestion de Microsoft Internet Security and Acceleration Server 2000

Sécurité et «Cloud computing»

Configurer son courrier électrique avec votre compte Abicom

Installation d'un serveur DHCP sous Windows 2000 Serveur

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

Solutions Microsoft Identity and Access

L'intégration de Moodle à l'université Rennes 2 Haute Bretagne

WIFI sécurisé en entreprise (sur un Active Directory 2008)

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Guide détaillé pour Microsoft Windows Server Update Services 3.0 SP2

Présenté par : Ould Mohamed Lamine Ousmane Diouf

Les principes de la sécurité

Introduction aux services Active Directory

Adonya Sarl Organisme de Formation Professionnelle 75 Avenue Niel PARIS, France

Panda Managed Office Protection. Guide d'installation pour les clients de WebAdmin

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Sécurité des réseaux IPSec

College Du Chinchon. Torniké Sidamonidzé 3C. M. Brulé

Guide de mise à. niveau. BlackBerry Enterprise Server pour IBM Lotus Domino. Version: 5.0 Service Pack: 4

MS 2615 Implémentation et support Microsoft Windows XP Professionnel

terra CLOUD SaaS Exchange Manuel Version : 05/

Windows Server 2012 R2 Administration

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Transcription:

2014 ISTA HAY RIAD FORMATRICE BENSAJJAY FATIHA OFPPT [ Sécurisation des canaux de communication Protocole IPsec]

Table des matières 1. Utilisation du protocole IPsec... 2 2. Modes IPsec... 3 3. Stratégies IPsec prédéfinies... 4 4. Planification de l'authentification IPSec... 4 5. Filtres IPsec... 5 6. Utilisation des stratégies IPsec... 5 7. Etude de cas... 6 8. Contrôle des acquis... 10 1. Utilisation du protocole IPsec IPSec offre les types de sécurité ci-dessous. : Authenticité et intégrité des données Les en-têtes AH garantissent l'authentification, l'intégrité et la protection contre la retransmission à la fois pour l'en-tête IP et pour la charge de données que transporte le paquet. L'en-tête IP et les données sont lisibles, mais ils sont protégés contre les modifications pendant la transmission sur le réseau. Formatrice BENSAJJAY FATIHA Page 2

Le protocole IPSec assure l'authentification des ordinateurs impliqués dans une transmission de données, mais pas des utilisateurs qui transmettent les données. Cryptage des données Seul le protocole ESP assure la confidentialité des données par le cryptage du contenu du paquet IP. Ce protocole vous permet aussi d'assurer uniquement l'intégrité et l'authenticité (et non la confidentialité), ce qui en fait un protocole très semblable à AH. Il n'est pas en mesure de protéger l'en-tête IP contre une modification ; en revanche, AH protège au moins les informations d'adresse de l'en-tête IP. Vous pouvez utiliser le protocole ESP seul ou avec AH. Protection contre la retransmission et la modification d'adresses Les formats AH et ESP offrent, dans chaque paquet, des numéros de séquence qui sont vérifiés à la réception du paquet. Le destinataire sait alors que les paquets n'ont pas été capturés et ne sont pas retransmis par un pirate. Sans cette protection, certains ordinateurs et applications sont exposés à une attaque de retransmission, c'est-à-dire que le pirate tente d'y accéder à l'aide de paquets capturés lorsqu'un utilisateur légitime accède au système. 2. Modes IPsec Formatrice BENSAJJAY FATIHA Page 3

3. Stratégies IPsec prédéfinies 4. Planification de l'authentification IPSec Formatrice BENSAJJAY FATIHA Page 4

5. Filtres IPsec 6. Utilisation des stratégies IPsec Formatrice BENSAJJAY FATIHA Page 5

7. Etude de cas Scénario1 Vous êtes consultant pour une grande entreprise dont le service de comptabilité est centralisé ; les consultants peuvent télécharger les feuilles de présence à l'aide d'une application Web. Tout le personnel du service de comptabilité communique avec le serveur du service à l'aide de divers logiciels, notamment, un logiciel de comptabilité, le logiciel Web pour les feuilles de présence, le partage des fichiers génériques de Windows. Configuration requise La direction souhaite que le trafic réseau soit protégé en cas de communication avec le serveur du service de comptabilité. Elle demande en particulier les éléments ci-dessous : _Toutes les informations des feuilles de présence des consultants doivent être cryptées pour les transmissions effectuées depuis les ordinateurs clients vers le serveur du service de comptabilité. _ Les consultants doivent pouvoir communiquer avec le serveur du service de comptabilité uniquement par l'intermédiaire de la page Web des feuilles de présence. Ils ne doivent pas être autorisés à se connecter au serveur du service de comptabilité à l'aide d'autres protocoles. _ Toutes les transmissions effectuées entre les ordinateurs du service de comptabilité et son serveur doivent être protégées par cryptage. Questions et réponses 1. Quel protocole IPSec devez-vous utiliser pour les communications du personnel du service de comptabilité avec le serveur de ce service? Utilisez le protocole ESP pour ces communications, parce qu'il faut crypter toutes les données circulant entre le service de comptabilité et le serveur de ce service. 2. Quelle structure d'unités d'organisation faut-il prévoir dans le service d'annuaire Active Directory pour réussir le déploiement IPSec souhaité? Deux unités d'organisation sont nécessaires : une pour le serveur Comptabilité et l'autre pour les ordinateurs du service de comptabilité. Attribuez la stratégie Sécuriser le serveur (nécessite la sécurité) à la première et la stratégie Client (en réponse seule) à la seconde. 3. Quelle méthode d'authentification garantirait que seuls les membres reconnus du domaine participent à la connexion IPSec et offrent un échange sécurisé d'informations d'identification, tout en exigeant un minimum de configuration? L'authentification Kerberos répondrait à ces exigences. L'authentification avec certificat répondrait également aux exigences de sécurité ; il faudrait toutefois distribuer des certificats d'ordinateur à tous les clients qui communiquent avec le serveur Comptabilité. 4. Quelle forme de cryptage devez-vous définir afin de répondre aux exigences de sécurité pour les consultants? Formatrice BENSAJJAY FATIHA Page 6

Les services Web du serveur Comptabilité doivent être configurés pour utiliser le protocole SSL en vue du cryptage de toutes les transmissions. 5. Quelle configuration IPSec devez-vous appliquer au serveur Comptabilité pour vous assurer que tous les clients ont accès au logiciel Web utilisé pour les feuilles de présence? Le serveur Comptabilité doit être configuré avec un filtre IPSec qui accepte le trafic HTTP ou HTTPS sans avoir recours au cryptage IPSec ESP. En effet, ce dernier mode de cryptage n'est pas nécessaire car le protocole SSL applique un cryptage au niveau de la couche Application. Scénario2 Objectif : Dans cet exercice, vous allez analyser le déploiement IPSec de l'entreprise afin de savoir s'il répond aux critères définis. Le service financier est protégé du reste du réseau de l'entreprise à l'aide d'un pare-feu interne. Ce pare-feu a été implémenté pour s'assurer qu'un accès limité est accordé au serveur de bases de données du service financier en raison de la nature confidentielle de toutes les données du service. Il limite le nombre d'ordinateurs autorisés à tenter de se connecter au serveur de fichiers du service financier. Le schéma ci-dessous représente le réseau. Actuellement, seul le personnel de l'équipe d'audit est autorisé à se connecter au serveur de bases de données du service financier à l'aide du pare-feu. Les clients utilisent un programme client SQL qui établit la connexion à Microsoft SQL Server grâce à une connexion au port TCP 1433. En raison des inquiétudes suscitées par les informations demandées par les vérificateurs, il a été décidé de crypter toutes les données qui traversent le pare-feu lorsque les connexions concernent le serveur de bases de données du service financier. Formatrice BENSAJJAY FATIHA Page 7

Dans le schéma précédent, tout le trafic réseau du segment du service financier est crypté par ESP IPSec. L'accès au bureau du service financier est protégé par un système de sécurité reposant sur des lectures de la rétine. Configuration proposée La configuration ci-dessous a été proposée afin d'assurer la sécurité de toutes les transmissions vers le segment de réseau du service financier ou provenant de celui-ci. - Le serveur de bases de données du service financier se trouve dans une unité d'organisation Active Directory dédiée. La stratégie de groupe est appliquée à l'unité d'organisation pour attribuer la stratégie IPSec suivante afin de protéger les transmissions provenant du segment de réseau du service financier : - Les ordinateurs du service financier se trouvent dans l'unité d'organisation dotée de la stratégie IPSec suivante définie au sein de la stratégie de groupe : - Les ordinateurs des vérificateurs se trouvent dans une unité d'organisation dotée de la stratégie IPSec suivante définie au sein de la stratégie de groupe : Formatrice BENSAJJAY FATIHA Page 8

- Les règles suivantes ont été configurées sur le pare-feu interne en vue de protéger le trafic allant vers le réseau du service financier ou provenant de celui-ci : Critères de conception 1. Quels sont, en termes de sécurité, les risques de cette configuration? Tout le trafic provenant des ordinateurs d'audit et se dirigeant vers le serveur de bases de données du service financier est crypté à l'aide du protocole IPSec. Le cryptage de tout le trafic autorise toutes les connexions au serveur de bases de données du service financier par l'intermédiaire du pare-feu. En effet, ce dernier est configuré pour laisser passer toutes les transmissions IKE et ESP. Un autre risque potentiel est que toute personne qui utilise un ordinateur du service d'audit puisse se connecter au serveur de bases de données du service financier si les autorisations ne sont pas paramétrées pour restreindre l'accès en fonction de l'id de l'utilisateur. Cette situation est due au fait que la stratégie IPSec est attribuée à l'ordinateur et non pas à l'utilisateur. 2. Comment pouvez-vous vous assurer que seuls les protocoles voulus traversent le pare-feu en direction du serveur de bases de données du service financier? Le protocole du filtre de la stratégie IPSec de l'unité d'organisation du service d'audit doit être configuré sur TCP 1433 plutôt que pour fournir le cryptage à tous les protocoles. Avec cette configuration, le cryptage n'est appliqué qu'aux transmissions vers la base de données SQL du serveur de bases de données du service financier, et non à tous les protocoles. Formatrice BENSAJJAY FATIHA Page 9

3. Dans l'hypothèse où les transactions sur le serveur de bases de données du service financier sont nombreuses, comment pouvez-vous améliorer les performances du processeur de ce serveur? Les performances du serveur de bases de données du service financier peuvent être améliorées en installant une carte d'interface réseau qui prend en charge IPSec. Le cryptage IPSec est confié à la carte réseau, ce qui allège la tâche du processeur. 8. Contrôle des acquis 1. Citez certains coûts liés à l'implémentation du cryptage réseau. Voici certains coûts liés à l'implémentation du cryptage réseau : perte potentielle de productivité (en cas d'oubli de la carte à puce à la maison), conception et tests, diminution possible des performances, administration, formation des utilisateurs, service d'assistance, capacité réduite de filtrage des paquets des protocoles cryptés. 2. Quels certificats sont nécessaires pour garantir la sécurité des communications Web? Un certificat serveur est essentiel au serveur Web pour assurer la sécurité des communications Web. Les certificats clients peuvent également servir à l'authentification des utilisateurs qui accèdent à un site Web sécurisé. 3. Comment devez-vous déployer la stratégie IPSec pour vous assurer que tous les ordinateurs clients Windows 2000 utilisent le protocole IPSec sur demande? La stratégie Client (en réponse seule) doit être déployée au niveau du domaine pour garantir que tous les ordinateurs clients répondent à une demande IPSec. 4. Les stratégies IPSec ci-dessous ont été définies. Sur tous les sites, la stratégie Serveur (demandez la sécurité) a été attribuée. Dans le domaine, la stratégie Client (en réponse seule) a été attribuée. Dans l'unité d'organisation Domain Controllers, la stratégie Serveur (nécessite la sécurité) a été attribuée. Sur le contrôleur de domaine du service d'ingénierie, la stratégie Client IPSec (en réponse seule) a été attribuée à la stratégie locale. Quelle stratégie IPSec est attribuée au contrôleur de domaine du service d'ingénierie qui se trouve à l'emplacement par défaut? La stratégie IPSec Sécuriser le serveur (nécessite la sécurité) est attribuée au contrôleur de domaine du service d'ingénierie car toute la stratégie de groupe est attribuée dans l'ordre suivant : stratégie locale, stratégie de site, stratégie de domaine et stratégie d'unité d'organisation. Formatrice BENSAJJAY FATIHA Page 10

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back