|
Sommaire
Introduction
Présentation IPSec
Fiche technique IPSec
Le tunneling IPSec
Installation dans un domaine Windows 2000
Présentation de la Console
Création d’une stratégie IPSec
en 5 étapes
Création d’un filtre IP
Personnalisation des stratégies et règles IPSec
Monitoring
Introduction
Le développement des réseaux, qu’ils soient internes ou
externes, accroît la demande en sécurité.
Les données transitant sur un réseau
doivent être sécurisées et protégées contre toutes attaques extérieures,
écoutes réseaux, accès non
autorisés, interceptions de paquets IP, etc.
Afin de remédier à ce problème de sécurité, l’organisation
IETF (Internet Engineering Task Force) a rédigé la
RFC 2401, abordant le problème de la sécurité sur un réseau IP en 1998.
Présentation
La confidentialité, l'intégrité,
l'authentification des données entre deux hôtes est gérée par un ensemble de
normes et protocoles.
Le protocole IPSec
rassemble toutes ces normes ouvertes.
Le
principe de base d’IPSec :
L’hôte
A émet des données qu’il va chiffrer avant de les faire transiter sur le réseau
à destination de l’hôte B ; l’hôte B décode les données après
réception de celles-ci.
IPSec
fournit ces
services de sécurité à la couche d'IP; cette sécurité
au niveau de la couche réseau a pour avantage de protéger les protocoles de
couches supérieures TCP/IP, comme HTTP ou FTP.
Le tunneling IPSec peut être employé pour protéger un ou plusieurs flux de
données entre hôtes internes, accès distant ou tout autres connexions devant
être sécurisée.
Le tunneling ipsec :
Le tunneling IPSec peut être employé pour protéger un ou plusieurs flux
de données entre hôtes internes, accès distant ou tout autres connexions devant
être sécurisée.
Lorsqu’un paquet de données est envoyé sur le
réseau, le tunneling l’encapsule dans un autre
paquet, ainsi le paquet est sécurisé contre toutes attaques extérieures
(écoutes, rejeu…).
PPTP (Point-to-Point Protocol)
est un protocole de tunneling
standard dans l'industrie qui était pris en charge pour la première fois dans
Windows NT 4.0. PPTP est une extension du protocole PPP (Point-to-Point Protocol) s'appuie
sur les mécanismes d'authentification, de compression et de cryptage de ce
dernier.
L2TP/IPSec :
Gère tous les types de
trafic pour l’encapsulation des données et le tunneling.
IPSec et L2TP sont associés
pour assurer la sécurité et le tunneling des paquets
sur n'importe quel réseau IP.
L2TP encapsule les paquets d'origine dans une
trame PPP, en effectuant une compression si possible, puis encapsule de nouveau
dans un paquet UDP.
Le protocole IKE gère la sécurité du tunneling grâce à l’authentification du certificat par
défaut, l’authentification utilise les certificats d'ordinateur pour vérifier
que les ordinateurs source et de destination s'approuvent mutuellement. Si la
sécurité du transport IPSec est correctement établie,
L2TP négocie le tunnel, ainsi que la compression et les options
d'authentification de l'utilisateur, puis procède à un contrôle d'accès basé
sur l'identité de l'utilisateur.
L2TP/IPSec représente
une option de tunneling qui garantit la simplicité,
la souplesse d'utilisation, l'interaction et la sécurité.
Le
Tunneling Ipsec : L’utilisation du tunneling IPSec s’applique principalement
au routeurs, serveurs et autres composant réseau ne prenant pas en charge L2TP/IPSec ou PPTP VPN.Ce mode de tunneling ne peut pas être utiliser
pour les clients d’accès distants ainsi que pour le tunneling
de passerelle à passerelle.
Il y a 2 modes d’encapsualtion
dans le tunneling IPSec :
Mode AH (Authentication Header): Ce mode gère l’intégrité
des données, mais ne crypte pas le contenu du paquet IP.
Les différentes méthodes d’intégrité utilisées
dans ce mode sont :
-MD5 (Message Digest
5):
Ron Rivest l’un des
concepteur du cryptage RSA, est à l’origine de MD5 qui fait référence à la RFC
1321.
Il fonctionne avec des
blocs de 512 bits, ces blocs sont eux-mêmes tronqué en 16 blocs de 32 bits (16 mots)
et le résultat est représenté par un ensemble de 4 mots. Clé de 128 bits
-SHA-1 (Secure Hash Algorithme version
1): La National Security Agency
(NSA) et le National Institute of Standards and Technology (NIST) ont
développé cette méthode de hachage basé sur MD4 (réputé plus sûr que MD5).Il
fonctionne avec des blocs de 512 bits, Clé de 160 bits.
Mode ESP (Encapsulating Security
Payload): Ce mode gère l’intégrité
et le cryptage des données.
ESP utilise les méthodes d’intégrité MD5 et
SHA-1.
Les méthodes de cryptage ESP :
-DES (Data Encryption Standard): IBM est à l’origine de
cette méthode de cryptage en 1977.
DES est un algorithme à clé
symétrique, la même clé est utilisée pour chiffrer et déchiffrer les données.
De ce fait l’échange de clé entre les hôtes doit se faire de manière sécurisée.
C'est un système de chiffrement par blocs de 64 bits, le dernier octet fait le
test de parité. La clé est codée sur 64 bits et formée de 16 blocs de 4 bits.
Etant seulement 56 bits servent à chiffrer (64 bits – 8 bits parité), ce qui
représente t 256 possiblités de clés.
-3DES (Triple Data Encryption Standard): plus fiable mais plus
lent que DES, car il utilise 3 fois le cryptage DES simple et génére donc 3 clés.
IKE (Internet Key Exchange): Il est dérivé de plusieurs protocoles.
Il s'agit en fait d'une pile de protocoles permettant l'échange automatique de
clés.
IKE gére la négociation
des protocoles et des algorithmes basés sur la stratégie de sécurité locale,
pour produire les clés de chiffrage et l'authentification à employer par IPSec.
IPSec est un protocole
transparent pour les utilisateurs, alliant un faible coût avec un haut niveau
de sécurité.
Une
stratégie de déploiement IPSec permet de :
-Protéger les paquets IP transitant
sur le réseau
-Crypter des données
-Mettre en œuvre des liaisons point à point sécurisées
-Gérer un mode anti-rejeu
-Administrer des clés cryptographiques
Fiche
technique IPSec sous Windows 2000
IPSec
se sert essentiellement de 3 composants pour son fonctionnement :
L’agent de stratégie IPSec
L’agent de stratégie IPSec
est implanté sur chaque poste Windows 2000, il est chargé à chaque démarrage et
effectue les tâches suivantes :
- Lecture dans Active Directory de la stratégie IPSec à déployer sur l’ordinateur local.
- Si aucune stratégie n’est lue dans Active
Directory, il essaie de trouver une stratégie dans la base de registre.
- S’il y a une stratégie sur le serveur Active
Directory, alors les informations sont transférés sur
l’ordinateur par des services d’intégrité et de chiffrement de données.
- Les informations sont réparties entre le registre
de l’ordinateur, le pilote IPSec et le service
ISAKMP/Oakley.
Administration de clé ISAKMP/Oakley
Ce service utilise deux protocoles
ISAKMP et Oakley , il ne peut pas fonctionner si l’agent de stratégie IPSec n’est pas en cours d’exécution.
Ce service est implémenté sur chaque
poste Windows 2000, il permet lors de la communication IPSec
de générer des clés et il défini les propriétés de sécurité entre les deux hôtes.
Internet Security Association and Key Management Protocol
: Gère l’administration des associations de sécurité.
Le protocole Oakley :
Génère les clés qui permettront de chiffrer et de déchiffrer les données
transitant sur le canal sécurisé.
ISAKMP/Oakley crée un canal
sécurisé entre les deux hôtes en se servant de l’authentification des
ordinateurs, et fait l’échange de données qui permettra de créer
la clé secrète partagée, les ordinateurs utiliseront cette clé pour crypter et
décrypter le chiffrement des données envoyées sur le canal de communication.
Il crée ensuite une association de sécurité entre les
deux ordinateurs, la clé et l’association sont ensuite transmises au pilote IPSec.
Le pilote IPSec
IPSEC.SYS est
lui aussi présent sur chaque poste, il a pour but de contrôler les paquets IP,
il effectue les vérifications avec les stratégies de sécurité locale et les filtres IP mis en place.
Etude de cas : connexion d’égal à égal
L’hôte A est un utilisateur itinérant qui se connecte
via une liaison spécialisée vers l’hôte B qui est un serveur de base de donnée
interne à son entreprise.
Cette connexion pour des raisons de confidentialité
et de sécurité doit être protégée. La sécurité IPSec
est alors déployée pour :
- Crypter les données
- Authentifier les Hôtes A et B
Voici les étapes du fonctionnement d’IPSec dans cette étude de cas:
1-L’hôte
A lance une transaction vers le serveur FTP. L’hôte A upload
des données sur le serveur FTP hôte B. Le pilote IPSec
de l’hôte A signale au service ISAKMP/Oakley que la
communication requiert IPSec.Il faut alors utiliser
les stratégies déclarées dans la base de registre par l’agent de stratégie.
2-Le
service ISAKMP/Oakley des deux hôtes génère une clé
partagée et une association de sécurité
3-Les
pilotes IPSec des deux hôtes prennent chacun la clé
et l’association
4-Les
données envoyées par l’hôte A sont cryptées grâce à la clé, ce processus est
géré par le pilote IPSec
5-Le
serveur hôte B reçoit les données et les decryptes
grâce aux pilote IPSec qui
connaît la clé partagée et l’association de sécurité
6-Les
données sont ensuite transmises à la couche d’application (couche 7 du modèle
OSI)
Installation dans un domaine Windows
2000
Dans un environnement Windows 2000, la gestion des
stratégies IPSec est centralisée et accessible depuis
la console d’administration Active Directory.
Présentation de la console IPSec
Pour accéder au paramétrage IPSec
il faut créer une MMC incluant le snap-in Stratégie
de groupe ou gestion de la stratégie du protocole IP.
Les 3 types de stratégies :
La
stratégie Client (en réponse seule) : Elle autorise les communications en texte
clair, répond aux requêtes IPSec et essaie de
négocier la sécurité.
Cette
stratégie s’appuie sur l’authentification Kerberos V5
La
stratégie Serveur (demandez la sécurité): Elle essaie d’établir des connexions
sécurisées pour chaque sessions. Un client Non-IPSec aura tout de même le droit de se connecter.
La
stratégie Sécuriser le serveur (nécessite la sécurité): Elle oblige l’authentification Kerberos pour tous les datagrammes
IP, sauf les paquets de broadcast, Multicast, RSVP (Resource Reservation
Setup Protocol) et ISAKMP. Toutes communications non sécurisées avec les
clients sont interdites. Tous client se connectant à un serveur adoptant cette
stratégie doit être un client IPSec.
Création d’une stratégie IPSec en
5 étapes
Une
stratégie IPSec est un ensemble de règles et de
paramètres d’échange de clé. Une stratégie peut concerner un domaine complet ou
un ordinateur.
Un
ordinateur membre d’un domaine hérite automatiquement de la stratégie IPSec affectée à la stratégie de sécurité du domaine, quand
il ouvre une session sur le domaine.
Pour
déployer une nouvelle stratégie IPSec, faites un
click droit Propriétés sur le type de stratégie que vous souhaiter créer.
Dans cet
exemple nous choisissons la stratégie « Sécuriser le serveur » par
défaut, 3 filtres IP sont installés dans la stratégie Sécuriser le serveur.
Cliquez sur
Ajouter…
La fenêtre
d’assistant de règle de sécurité apparaît, mais notons que nous pouvons nous
passer de l’assistant en décochant la case « Utiliser l’assistant
d’ajout »
1/ Déclaration du point de sortie dans le cas d’une
communication VPN.
Dans le cas
d’une communication VPN , il est nécessaire d’indiquer
le point de sortie du tunnel.
2/ Sélection du type de réseau
Il faut choisir
sur cet écran le type de réseau sur
lequel la règle s’appliquera : toutes les connexions, ou uniquement
connexions distantes ou connexions locales
3/
Sélection de la méthode d’authentification
La méthode d’authentification
indique par quel moyen chaque hôte a la certitude d’être en communication avec
un autre membre ou plusieurs membres, et vérifie qu’il s’agit bien du bon
interlocuteur.
Il existe 3
méthodes d’authentification sous Windows 2000 :
KERBEROS
V5 : Il s’agit de la méthode appliquée par
défaut, elle se base sur l’émission de tickets virtuels. Méthode applicable à
tous clients Windows 2000 ou non exécutant KERBEROS V5 et étant approuver sur le domaine.
Certificats : Cette méthode se base l’authentification
sur les certificats X.509 version 3, il suffit de choisir le certificat dans la
liste présente sur le serveur
(Voir un articles du laboratoire sur
les certificats).
Clé pré-partagée : cette méthode est simple et rapide. Les hôtes doivent
configurer manuellement IPSece paramétrant la base de
registre pour implémenter la clé pré partagée.
Cette clé
est partagée et secrète, elle n’exige ni KERBEROS ni certificat, est doit
impérativement être installée sur les deux hôtes distants.
4/ Sélection d’un filtre IP
IPSec traite
les paquets sortant et entrant ; pendant l’émission et la réception des
données, les paquets sont comparés aux filtres mis en place.
En
fonctions des filtres installés, les paquets qui sont émis peuvent être
protégés, transmis en texte clair ou bloqués; les paquets qui sont reçus peuvent
être transmis au système ou bloqués.
Il faut
sélectionner un filtre présent dans votre liste.
5/ Sélection de l’action de filtrage IP
Autoriser: Permet à des paquets non sécurisés
d’être transmis.
Demandez
la sécurité (optionnel) : Accepte les communications non sécurisées, mais demande aux
clients d’établir des méthodes de sécurité et de confiance.
Les
communications avec les clients qui ne sont pas de confiance ne seront pas
sécurisées, s’ils ne répondent à la demande.
Exiger
la sécurité :
Accepte les communications non sécurisées, mais demande toujours aux clients
d’établir des méthodes de sécurité et de confiance.
AUCUNE
communication ne sera établie avec un client qui ne sera pas de confiance.
Création
d’un filtre IP
Nous
créerons dans cet exemple un nouveau filtre IP à l’aide de l’assistant de
filtre IP, pour les utilisateurs itinérants d’un réseau d’entreprise se
connectant au serveur FTP.
Pour créer
un nouveau filtre, cliquez sur /Ajouter… dans la fenêtre de listes de filtres IP.
Dans la
fenêtre qui apparaît, saisissez le nom du nouveau filtre, saisissez également
sa description.
Cliquez de
nouveau sur /Ajouter … pour ajouter un filtre à la liste.
L’assistant
nous demande de spécifiez les deux extrémités de la liaisons sécurisé, la
source et la destination.
Plusieurs
options d’adressage s’offre à nous :
- Mon adresse IP, adresse IP de la
machine locale
- N’importe quelle adresse IP,
Adresse de monodiffusion uniquement. IPSEc ne gère pas les adresses de broadcast.
- Une adresse IP spécifique, une
certaine adresse IP du réseau local ou d’Internet
- Un sous-réseau
spécifique, toutes les adresses IP d’un certain sous-réseau
Nous
sélectionnons ensuite le type de protocole IP utilisé entre les deux
extrémités.
Voici la liste
des protocoles pouvant être implémenté dans les filtres:
|
N’importe lequel
|
Recouvre tous les protocoles
|
|
EGP
|
Exterior Gateway Protocol
|
|
HMP
|
Host Monitoring Protocol
|
|
ICMP
|
Internet Control Message Protocol
|
|
Autre
|
Protocole non spécifié, basé sur
un N°de protocole IP
|
|
RAW
|
Données brutes par-dessus IP
|
|
RDP
|
Reliable Datagram Protocol
|
|
RVD
|
MIT Remote
Virtual Disk
|
|
TCP
|
Transmission Control Protocol
|
|
UDP
|
User Datagram
Protocol
|
|
XNS-IDP
|
Xerox NS IDP
|
En fonction
du protocole sélectionné, l’assistant nous propose d’appliquer le filtre sur un
port en particulier ou sur tous les ports et cela pour les deux extrémités de la communication.
Le nouveau filtre
apparaît dans la liste de filtres pour les utilisateurs itinérants.
Notons
qu’il est tout a fait possible d’intégrer plusieurs filtres dans la liste, nous
pouvons également nous servir d’un filtre pour plusieurs stratégie IPSec.
Personnalisation
des stratégies et règles IPSec
Le niveau
de sécurité utilisé pour une communication est déterminé par les méthodes de
sécurité.
Pour
paramétrer les méthodes de sécurité, il faut entrer dans les propriétés du filtre
et sélectionnez l’onglet Action de filtrage.
Sélectionnez
ou créez une nouvelle action de filtrage et entrez dans ses propriétés.
Pour
personnaliser la nouvelle action de filtrage, choisissez l’option
« Négocier la sécurité »
Il faut à
présent choisir la méthode de sécurité à appliquer :
ESP - Elevée : Le protocole IP ESP fournit des services de
confidentialité, d’intégrité, d’authentification et de protection contre le rejeu.
AH –
Moyenne : Le
protocole IP AH fournit des services d’intégrité, d’authentification et de
protection, mais ne fournit pas de services de confidentialité.
Personnalisée : Nous pouvons paramétrer les
algorithmes d’authentification, d’intégrité et de confidentialité. La clé de
session est également paramétrable.
Algorithmes d’intégrité disponible pour le mode AH : MD5
et SHA1
Algorithmes d’intégrité disponible pour
le mode ESP : MD5 et SHA1
Algorithmes de cryptage disponible pour
le mode ESP : 3DES et DES
Fermer la
console et validez.
La nouvelle
stratégie IPSec est à présent opérationnelle.
Monitoring
Différents outils de surveillance et
de dépannage sont présents dans Windows 2000, ils nous permettent d'analyser le
flux et les alertes IPSec.
L'outils
principal de surveillance IPSec est le moniteur IPSec (IPSECMON.EXE), il se lance depuis l'invite de
commande.
Statistiques IPSec
-
Associations actives : Security
Association dit SA, méthode + clé.
-
Octets confidentiels envoyés/reçus : Total des octets émis et reçus qui
utilisent le protocole ESP.
-
Octets authentifiés envoyés/reçus : Total des octets émis et reçus qui
utilisent le protocole AH.
-
Paquets SPI erronés : le SPI (Security
Parameters Index ) est
contenu dans l’en-tête des paquets, il sert à comparer et vérifier les filtres.
-
Paquets non décryptés : Total des paquets pour lesquels
le déchiffrement n’a pu se faire.
-
Paquets non authentifiés : Total des paquets contenant des
données qui n’ont pu être vérifiées.
-
Ajout de clés :Total des clés qu’ISAKMP
a envoyées au pilote IPSec.
Statistiques ISAKMP/Oakley
-
Modes principaux Oakley : Total des associations de sécurité ISAKMP crées lors de négociation de Phase 1.
-
Modes rapides Oakley : Total des associations de sécurité
ISAKMP crées lors de négociation de Phase 2.
-
Associations logicielles : Total des négociations ayant abouti à
des accord en texte clair.
-
Echecs d’authentification : Total des échecs d’authentification
d’identité, que ce soit Kerberos,certificat
utilisateur,mots de passe manuel).
Vous pouvez à présent installer une
stratégie IPSec sur votre serveur Windows 2000.
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Présentation d'IPSEC dans un environnement Windows 2000
