Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.



Documents pareils
Devoir Surveillé de Sécurité des Réseaux

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Administration de systèmes

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Sécurité des réseaux sans fil

Windows Server 2012 R2 Administration

LAB : Schéma. Compagnie C / /24 NETASQ

Mettre en place un accès sécurisé à travers Internet

Sécurité des réseaux IPSec

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

Sécurisation du réseau

WIFI sécurisé en entreprise (sur un Active Directory 2008)

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Table des matières Page 1

Le protocole SSH (Secure Shell)

2013 Microsoft Exchange 2007 OLIVIER D.

Sécurisation des accès au CRM avec un certificat client générique

Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

Mise en route d'un Routeur/Pare-Feu

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

Chapitre 1 Windows Server

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS

Figure 1a. Réseau intranet avec pare feu et NAT.

La sécurité dans les grilles

1. Présentation de WPA et 802.1X

La citadelle électronique séminaire du 14 mars 2002

PACK SKeeper Multi = 1 SKeeper et des SKubes

DISTANT ACESS. Emna TRABELSI (RT3) Chourouk CHAOUCH (RT3) Rabab AMMAR (RT3) Rania BEN MANSOUR (RT3) Mouafek BOUZIDI (RT3)

Spécialiste Systèmes et Réseaux

Service de certificat

Réseaux Privés Virtuels

INSTALLATION D UN PORTAIL CAPTIF PERSONNALISE PFSENSE

Sécurité WebSphere MQ V 5.3

DFL-210, DFL-800, DFL-1600, DFL-2500 Comment configurer une connexion VPN IPSec site à site

[ Sécurisation des canaux de communication

Un équipement (clé USB, disque dur, imprimante, etc.) est connecté au port USB.

Configurer ma Livebox Pro pour utiliser un serveur VPN

Fiche produit. Important: Disponible en mode SaaS et en mode dédié

«ASSISTANT SECURITE RESEAU ET HELP DESK»

TECHNICAL NOTE. Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée. Version 7.

Auditer une infrastructure Microsoft

Groupe Eyrolles, 2006, ISBN : X

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

Pare-feu VPN sans fil N Cisco RV120W

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte

Configuration de l'accès distant

Le rôle Serveur NPS et Protection d accès réseau

Errata partie 2 Kit de formation Configuration d une infrastructure Active Directory avec Windows Server 2008

Cours 14. Crypto. 2004, Marc-André Léger

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

La sécurité des Réseaux Partie 7 PKI

Transmission de données

Note technique. Recommandations de sécurité relatives à IPsec 1 pour la protection des flux réseau

iphone et ipad en entreprise Scénarios de déploiement

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Introduction aux services de domaine Active Directory

Cisco Certified Network Associate

Sécurité des réseaux wi fi

Windows Server 2012 Les bases indispensables pour administrer et configurer votre serveur

Microsoft Windows 2000 Implémentation d une infrastructure réseau Microsoft Windows 2000

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence :

Sécurité GNU/Linux. Virtual Private Network

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Virtual Private Network WAFA GHARBI (RT4) CYRINE MAATOUG (RT4) BOCHRA DARGHOUTH (RT4) SALAH KHEMIRI (RT4) MARWA CHAIEB (RT3) WIEM BADREDDINE (RT3)

Technicien Supérieur de Support en Informatique

Rôles serveur Notion de Groupe de Travail Active Directory Utilisation des outils d administration Microsoft Windows Server 2008

Eric DENIZOT José PEREIRA Anthony BERGER

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Protocole industriels de sécurité. S. Natkin Décembre 2000

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

Comment déployer l'active Directory sur Windows Server 2008 R2. Microsoft France Division DPE

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

TP LAN-WAN 2007/2008

Action Spécifique Sécurité du CNRS 15 mai 2002

Approfondissement Technique. Exia A5 VPN

Description des UE s du M2

Du 03 au 07 Février 2014 Tunis (Tunisie)

Windows 2000 Server Active Directory

CS REMOTE CARE - WEBDAV

Arkoon Security Appliances Fast 360


SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

Programme formation pfsense Mars 2011 Cript Bretagne

Contrôle d accès Centralisé Multi-sites

Fiche descriptive de module

Le protocole RADIUS Remote Authentication Dial-In User Service

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N

Transcription:

2013 Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Table des matières 1 Les architectures sécurisées... 3 2 La PKI : Autorité de certification... 6 3 Installation et déploiement d une PKI... 9 4 Ajout d un certificat côté client... 10 5 Coté serveur : dans la mmc autorité de certification... 11 6 Mise en œuvre de SSL... 12 7 Mise en œuvre d IPSec... 14 8 IPSec sur VPN... 16 D. Olivier http://www.entraide-info.fr 2

1 Les architectures sécurisées La forêt de ressources approuve la forêt de comptes Chaque forêt contient des entités de sécurité (utilisateur, ordinateur, groupe).chaque objet possède un ObjectSID Approbation : échange d identifiants de sécurité Domaine : relation de confiance des SID et Partage des ressources Lors d une approbation : Filtrage des SID : Activé : le filtrage empêche la migration du SID (mais permet d envoyer d autres infos). Désactivé : permet la migration des SID (attention à la sécurité) Authentification sélective (activé / non activé) : choix des ordinateurs sur lesquels on peut ouvrir des sessions (onglet sécurité de l objet ordi. > autorisé à authentifier) Outil de migration des objets d une forêt à l autre : ADMT (gratuit) Désactiver le filtrage des SID : Installer les support tools WS2003 / (domb ressources ; doma comptes) C:\> netdom trust domb /domain :doma /quarantine :no D. Olivier http://www.entraide-info.fr 3

1.1 Cas de la migration de SID Lors d une fusion d annuaire / upgrade de WS Première phase de migration de SID 1.2 Architecture de type d approbation Deuxième phase de migration de SID Méthode anciennement utilisée Si la DMZ est corrompue, il n y a aucun impact sur l annuaire de comptes Il faut protéger les comptes D. Olivier http://www.entraide-info.fr 4

Méthode plus actuelle 1.3 TP1 : Relation d approbation entre 2 domaines Créer une relation d approbation et tester un partage D. Olivier http://www.entraide-info.fr 5

2 La PKI : Autorité de certification PKI (public key infrastucture) : fournit des certificats mais n agit pas N utilise que la clé d autorité de certificat (qui signe tous les certificats délivrés par cette PKI) La PKI délivre les clés, peut les révoquer, mais ne les utilise pas! Buts : Confidentialité des données locales / en réseau Intégrité des données (assurer la non-modification des infos) Authentification émetteur / destinataire mais aussi des matériels (routeurs / ordinateurs) Non répudiation (ne pas pouvoir nier qu on a émis / reçu) des données État de santé du système : mécanismes NAP (Network Access Protection) 2.1 Mécanismes 2.1.1 Cryptage symétrique But du cryptage symétrique : cryptage Le cryptage et le décryptage sont faits avec la même clé (ex : EFS, IPSec, SSL ) Obtention d une clé auprès de la PKI puis utilisation au sein de la forêt Mécanismes de cryptages : 3DES, AES, MD5 sur 64 bits, 128, 256, 512 Les cryptages sont soumis à contrôle auprès de la DCSSI 2.1.2 Cryptage asymétrique But du cryptage asymétrique : intégrité 1 clé privée (qu on garde pour soi) 1 clé publique (qui est émise sur le réseau) Parfois, association de cryptage symétrique + cryptage asymétrique (ex : EFS) D. Olivier http://www.entraide-info.fr 6

2.1.3 Hachage irréversible But du hachage irréversible : intégrité 2.1.4 Hachage + signature numérique But : intégrité + non répudiation Envoi du message et du condensé puis comparaison Les données sont hachées (intégrité) et signées (non répudiation) D. Olivier http://www.entraide-info.fr 7

2.2 Service de certificats (PKI) Service spécialisé dans la gestion des clés utilisées dans un environnement PKI (public key infrastucture) : fournit des certificats mais n agit pas N utilise que la clé d autorité de certificat (qui signe tous les certificats délivrés par cette PKI) Il n y a qu une PKI pour la forêt! Il peut y avoir plusieurs esclaves mais une seule fait autorité absolue! 2.3 Contenu d un certificat Numéro de série Algorithme de signature Émetteur Date de validité Clé publique Empreinte numérique (quel PKI a signé) Utilité du certificat (rôles) 2.4 Autorité de certification PKI d entreprise : un seul pour la forêt (% LDAP) PKI autonome : sur un serveur en Workgroup PKI commercial : téléchargé et reconnu mondialement (payant). Ex. : Verisign PKI locale : PKI du système d exploitation. Reconnu localement L autorité de certification sert à délivrer des certificats D. Olivier http://www.entraide-info.fr 8

3 Installation et déploiement d une PKI 3.1.1 Cas n 1 : un seul PKI (racine) au sein d une forêt 1) installation de la racine 2) demandes de certificats Les utilisateurs, ordinateurs et applications peuvent demander et obtenir des certificats 3.1.2 Cas n 2 : utilisation de PKI secondaires au sein d une forêt 1) installation de la racine 2) installation des PKI secondaires (subordonnés) 3) désactivation de la racine (arrêt du serveur) 4) demandes de certificats La PKI racine délègue son autorité puis est désactivée D. Olivier http://www.entraide-info.fr 9

3.2 TP2 : Autorité de Certificats d entreprise (p.538) Ajouter une autorité de certification ajout de fonctionnalité «certification» Ajouter un certificat à partir d un modèle existant mmc «autorité de certification» Faire une demande de certificat à partir d un client par le biais de la mmc Lire les propriétés du certificat obtenu 4 Ajout d un certificat côté client 4.1 Via la mmc certificats Sélectionner Ordinateur ou Utilisateur afin de sélectionner la portée du certificat à importer. 4.2 Via internet explorer Il faut qu IIS soit installé avant la PKI sur le serveur de PKI Se connecter sur http://adresse_ip_du_serveur_pki_iis/certsrv 4.3 Via une application L application doit être en mesure de demander un certificat (ex. : Outlook, IIS) L application recherche dans AD afin de savoir si un serveur PKI est défini 4.4 Exporter / transférer un certificat obtenu Exportation : Les certificats exportables permettent d exporter la clé privée. Transfert : Il est aussi possible d utiliser USMT afin d exporter un profil et donc les certificats D. Olivier http://www.entraide-info.fr 10

5 Coté serveur : dans la mmc autorité de certification 5.1 Les modèles de certificats Ce sont les certificats que les clients (ordinateurs / utilisateurs) pourront demander auprès de la PKI Il faut cependant faire attention à qui peut demander un certificat Inscrire : peut demander l obtention de ce modèle de certificat Inscription automatique : Ex. GPO des utilisateurs authentifiés La MMC «autorité de certification» Dupliquer un modèle permet d en créer un nouveau, avec des propriétés différentes Les propriétés du modèle de certificat Extension : permet d attribuer d autres rôles à un modèle de certificat Autoriser l exportation de la clé privée : permet l exportation du certificat obtenu (sauvegarde / déplacement) Penser à ajouter le modèle créé dans les modèles certificats disponibles après! D. Olivier http://www.entraide-info.fr 11

5.2 Révoquer un certificat C est une opération qui se fait au cas par cas. Les certificats révoqués sont publiés dans la liste CRL (liste de révocation de certificats) sur chaque client. AD publie régulièrement la liste CRL qui est mise à jour sur les clients MMC > certificats > autorités intermédiaires > liste de révocation de certificats Seul l admin PKI peut révoquer un certificat de la PKI Sur le client on peut enlever le certificat du magasin de certificats pour le révoquer Sur un client PKI : Télécharger un certificat d une autre PKI permet de faire confiance à la forêt de la PKI 5.3 Renouvellement de certificat (certificat perdu) Lors de la création du modèle : onglet traitement de la demande > archiver la clé privée Définir un agent de récupération des clés (agent KRA) administrateur Pour cela, rendre disponible le modèle de certificat «agent de récupération des clés» Récupérer le numéro de série du certificat perdu (dans certificats délivrés) L agent KRA peut entrer les commandes suivantes : C:\> certutil getkey <numéro de série> <fichier1> Crée un fichier.pkcs7 C:\> certutil recoverkey <fichier1> <fichier2.pfx> Réinscrit le certificat à partir du fichier.pfx 6 Mise en œuvre de SSL Agit au niveau de la couche 5 Permet : authentification, intégrité, confidentialité Lors d une connexion HTTPS, c est le serveur qui s authentifie D. Olivier http://www.entraide-info.fr 12

Afin de demander au client de fournir un certificat, il faut activer le mappage des certificats clients Les certificats sont reconnus selon la PKI! (commercial, entreprise ) 6.1 TP 3 : Mise en place d un serveur SSL (P.552) Gestion de l ordinateur > IIS > page par défaut > propriétés Sécurité de répertoire : certificat de serveur demander un certificat SSL au serveur PKI (cas du bas de la page 7) afficher le certificat propriétés du certificat de serveur modifier passer en SSL : https://127.0.0.1 (requérir un canal sécurisé SSL) Tester : le client reçoit bien la clé publique du certificat du serveur IIS D. Olivier http://www.entraide-info.fr 13

7 Mise en œuvre d IPSec Agit au niveau de la couche 3 Utilisé avec : VPN / messagerie / réseau privé Permet : authentification, anti-relecture, confidentialité, intégrité 7.1 Modes d utilisation Mode transport : IPSec du client jusqu au serveur (adresse IP non-cryptée) Mode tunnel : IPSec entre deux adresses IP virtuelles dédiées (adresses IP cryptées) 7.2 Protocoles AH et ESP : AH : anti-relecture + forte intégrité (utilise hachage MD5 / SHA1) et/ou ESP : cryptage + intégrité faible (utilise algorithme DES / 3DES / AES) Nota : les protocoles AH et ESP consomment beaucoup de ressources réseau! IKE (Internet Key Exchange) : Ensemble de protocoles servant à la négociation IPSec (AH/ESP) Si les stratégies IPSec des 2 postes ne peuvent pas négocier pas d IPSec Association de sécurité (SA) qui négocie avec les clients SA en mode principal : génère une clé PFS renouvelée périodiquement) SA en mode rapide : communication des ordis entre eux (SA http, SA RPC ) IKE gère deux protocoles : ISAKMP : utilisé pour les SA + taille des clés (Diffie-Hellman) OAKLEY : rare 7.3 Authentification IPSec Protocoles IPSec lors d un échange réseau Avec AD (protocole Kerberos) : seulement dans la forêt Active Directory Avec PKI (autorité de certification) : postes nomades (à installer quand on est dans la forêt, ou installer un certificat commercial Avec secret partagé : à réserver à des solutions ponctuelles 7.4 Type de trafic pris en IPSec On peut choisir le type (TCP, etc.) et le numéro de port concernés par IPSec D. Olivier http://www.entraide-info.fr 14

7.5 TP 4 : création d une stratégie IPSec personnalisée (P.547) Sur le serveur PKI : Créer un modèle de certificat IPSec (penser à la sécurité inscrire) Sur chaque client : Faire une demande de certificat IPSec auprès de la PKI (les 2 clients doivent avoir la même PKI) Démarrer le service Telnet (services.msc) Configurer la même stratégie de sécurité : o TCP 23 en sortie o authentification auprès de la PKI o Tester : Démarrer Telnet et capturer les trames avec WireShark Copie de la capture des trames Wireshark. On remarque les trames ISAKMP (SA principal et SA rapide), et ESP D. Olivier http://www.entraide-info.fr 15

8 IPSec sur VPN Le fonctionnement en WAN est différent du fonctionnement en LAN LAN : - IPSec (couche 3) : authentification : certificat, secret partagé / Cryptage : AH, ESP, ISAKMP WAN : - L2TP (couche 3) : authentification IPSec / Cryptage IPSec - PPTP (couche 2) : authentification CHAP, EAP / Cryptage MPPE 8.1 Configuration d un VPN Les étapes de la configuration d un VPN Solutions VPN «gratuites» : WS (256 connexions simultanées) / Linux / Win7 (1 connexion entrante) Solutions VPN payantes : CISCO PIX ASA / ISA D. Olivier http://www.entraide-info.fr 16

8.2 TP 5 : Le client VPN et le serveur VPN Infrastructure VPN obtenue 1. Configurer le DC et ajouter le compte ClientVpn 2. Ajouter la fonctionnalité PKI Entreprise (autorité de certification) et créer un modèle de certificat IPSec 3. Dans l onglet «appel distant» : autoriser la connexion à ClientVpn 4. Pendant que le client VPN est dans le LAN, ajouter le certificat ordinateur IPSec 5. Sortir le Client du LAN 6. Configurer le serveur VPN «Routage et Accès distant» 7. Sur le client VPN, ajouter une connexion VPN, et configurer IPSec pour la connexion 8. Se connecter avec ClientVpn D. Olivier http://www.entraide-info.fr 17

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back