Strat

1
Stratégie de sécurité IP sur ordinateur local
J. Calicis 27062005
2
Pourquoi appliquer une stratégie de sécurité IP
sur ordinateur local ?

• Du point de vue sécurité, il est toujours bon
  dappliquer plusieurs couches.
• Au cas où votre parefeu venait à être désactivé
  inopinément, par exemple suite à laction dun
  malware, et certains vers de courrier sont très
  habiles à ce petit jeu, vous resteriez malgré
  tout insensibles aux attaques extérieures,
  protégés par votre stratégie de sécurité IP.
• A linstallation de Windows 2000 qui ne possède
  pas de parefeu natif, il est pratiquement
  impossible de se connecter au Web en vue
  dappliquer les mises à jour de Windows Update
  sans subir les conséquences des vers de réseau
  Blaster ou Sasser. Aucun problème si vous avez
  appliqué une stratégie de sécurité IP AVANT la
  première connexion nautorisant le OUT que sur
  les ports 80 et 443 et une règle bloquant tout
  autre trafic.
• A la différence de votre pare-feu sil permet le
  mode furtif, certains ports apparaîtront
  cependant fermés et non cachés sans ajout dans le
  registre de quelques valeurs sous certaines clés,
  ce qui en soit noffre pas une moins grande
  sécurité, simplement vous ne passerez pas
  inaperçu lors dun balayage de ports par les
  scriptkiddies si votre pare-feu est désactivé.
• Une stratégie IP sur ordinateur local ne remplace
  pas un parefeu, cest une couche de protection
  supplémentaire.

3
IPsec, cest quoi ?

• IPsec (pour Internet Protocol Security) a été
  développé par Microsoft conjointement avec Cisco
  et lIETF (Internet Engineering Task Force) pour
  créer des connexions sécurisées entre différentes
  machines, même quand le logiciel qui communique
  ne supporte pas le cryptage. IPsec peut aussi
  être utilisé pour créer des règles pour filtrer
  le type de trafic IP que la machine acceptera, un
  peu à la façon dun parefeu basique.
• Cest le propos de cet exposé et non ses autres
  utilisations dont celles pour les OS serveurs ou
  les VPN. Le guide "Isolation de serveurs et de
  domaines à l'aide d'IPSec et de stratégies de
  groupe" traite très clairement ces points.
• Un parefeu simple permet daccepter ou de refuser
  le trafic vers un port ou une IP locaux.
• IPsec offre le même niveau de contrôle vous
  pouvez spécifier un port et/ou une adresse IP
  locale auxquels les règles choisies seront
  appliquées au trafic correspondant (autoriser,
  refuser, autoriser seulement aux connexions
  sécurisées, etc) mais permet aussi la même chose
  pour un port, une IP ou un sous-réseau distant.

4
IPsec versus Filtrage TCP/IP

• Chaque interface réseau offre la possibilité de
  filtrage TCP/IP à longlet avancé mais ceci a peu
  dutilité, cest un peu une version dépouillée
  dIPsec, les packets sont seulement vus du point
  de vue serveur et un autre désavantage majeur est
  la nécessité de redémarrer après chaque
  modification. IPsec permet une plus grande
  flexibilité vous pouvez autoriser le trafic
  depuis un port source ou à destination dun port
  et les règles sont prises en compte dès leur
  application.
• Il permet donc de filtrer par port, par IP ou
  sous-réseau et par protocole tant le trafic
  entrant que le trafic sortant.
• Par exemple, les IRC bots dont il existe des tas
  de variantes installés par un ver de courrier ne
  pourront communiquer vers lextérieur avec les
  règles de base puisque les ports quils utilisent
  (6667 entre autres) ne sont pas autorisés. De
  même que les chevaux de Troie/backdoors/keyloggers
  pas de phoning home possible pour la plupart
  puisque les ports de communication quils
  utilisent sont fermés.

5
Le fonctionnement des règles IPsec

• Lapproche est très simple Une stratégie
  comprend plusieurs règles, la règle la plus
  proche concernant le packet détermine son
  traitement, ignorant toutes les autres,
  indépendamment du service ou de lapplication.
  En cas de règles contradictoires, la règle
  Refuser prime.
• Une règle peut comprendre plusieurs filtres mais
  laction de tous les filtres est la même pour la
  règle concernée Accepter, Refuser (négocier
  la sécurité et autres options ne nous concernent
  pas dans le cas présent) .
• Un filtre comprend
• une adresse IP source ou une plage d'adresses
• une adresse IP de destination ou une plage
  d'adresses
• un protocole IP, tel que TCP, UDP, n'importe
  lequel, etc
• des ports source et de destination (uniquement
  pour TCP ou UDP).
• Il est possible de créer plusieurs stratégies
  mais une seule peut être attribuée à la fois.

6
Le fonctionnement des règles IPsec (suite)

• A linverse des pare-feux logiciels, il ny donc
  a pas dordre à respecter pour la disposition des
  règles qui seront simplement classées par ordre
  alphabétique et lordre est sans effet sur leur
  prise en compte, les règles nétant pas
  interprétées de haut en bas.
• Par exemple, si vous navez que deux règles,
  lune dinterdiction de tout trafic TCP et
  lautre dacceptation du trafic HTTP client (TCP
  OUT port 80) , votre machine bloquera tout trafic
  en entrée et en sortie non destiné au port
  distant 80. Ni IN ni OUT FTP, HTTP (via proxy
  sur un port autre que le port 80), HTTPS, SMTP,
  POP, IMAP, NNTP .
• Dans la stratégie de base proposée, tout ce qui
  nest pas explicitement autorisé est interdit,
  quel que soit le protocole, tant en entrée quen
  sortie.
• A linverse de la plupart des pare-feux, il ny a
  pas de mode apprentissage ni de boîte de dialogue
  offrant la possibilité de créer une règle ou un
  filtre en cas de blocage par une règle en place.

7
La mise en place de votre stratégie

• Sous Windows XP Pro il suffit de se rendre dans
  les outils dadministration, de cliquer sur
  Stratégie de locale (ou en ligne de commande
  secpol.msc) , de créer une nouvelle stratégie et
  dajouter vos règles en utilisant lassistant,
  cest assez fastidieux et nécessite de bonnes
  connaissances des protocoles TCP/IP.
• Heureusement, il existe des stratégies prêtes à
  lemploi qui nécessiteront simplement lajout de
  quelques règles propres aux applications que vous
  utilisez, les règles pour le trafic sortant et
  entrant étant déjà configurées et activées pour
  les navigateurs et les logiciels de courrier.
• Le set de Règles IP sur PC que jai édité vous
  permet de mettre en place votre stratégie en
  quelques minutes et comprend déjà des règles (non
  activées) pour des applications ou services tels
  les serveurs personnels Web, FTP, SMTP, MSN
  Messenger, lassistance et le bureau à distance,
  le partage de fichiers et dimprimantes, lUPnP
  etc.
• Sous Windows XP Home le plus simple est
  dinstaller gpedit et secpol en copiant les
  fichiers nécessaires depuis un Windows XP Pro ou
  depuis divers sites dont le mien, ils ne sont pas
  présents dans Windows XP Home.
• Par défaut, seuls la navigation (HTTP, HTTPS et
  FTP), lenvoi et la réception de courrier/news
  ainsi que la mise à lheure sont autorisés.

Titre2 Titre2 Titre2 Titre2 Titre2 Titre2 Titre2
M
8
Ajouter le Moniteur de sécurité IP

• Ajouter le composant logiciel enfichable Moniteur
  de sécurité IP permet de visualiser ses règles à
  tout moment et de consulter les statistiques.
• Toute la procédure dinstallation dune stratégie
  de sécurité IP sur Ordinateur local et du
  Moniteur est détaillée dans lanimation flash qui
  suivra cette courte présentation.
• Il permet de voir comment la stratégie interprète
  vos règles et rajoute les règles miroir
  nécessaires à son fonctionnement.

9
Astuces

• Il est très facile avec une stratégie de
  sécurité IP sur Ordinateur local de limiter
  laccès à un seul site ou un sous-réseau en le
  renseignant dans les propriétés du filtre HTTP
  client comme adresse de destination, ça peut être
  utile pour des PC dans une salle dattente ou
  dexposition ou permettre laccès à Internet en
  entreprise uniquement aux quelques sites
  indispensables au travail.
• Très simple également de lutiliser pour couper
  complètement tout accès au Web à des heures
  déterminées à un poste du réseau local mettre
  le service IPSEC sur manuel, créer deux tâches
  planifiées
• net start policyagent et net stop policyagent en
  décochant toutes les règles du kit sauf la règle
  dynamique et les règles Deny.
• Pendant la plage horaire où la stratégie sera
  appliquée, pas daccès possible, même la session
  en cours ne pourra continuer à avoir accès,
  tranquillité pour les parents.
• Des solutions plus élégantes existent à laide de
  ipsecpol et de ipseccmd.exe qui fait partie des
  Windows support tools fournis avec le SP2 en
  désactivant uniquement la règle http client et
  laissant la stratégie filtrante constamment
  active, ce qui permet de ne pas interrompre les
  téléchargements en cours sur dautres ports.

10
Tweaks

• - Par défaut le trafic TCP et UDP ayant pour port
  source 88 (kerberos -Key Distribution Center) et
  500 (isakmp - Internet Security Association and
  Key Management Protocol) outrepasse toutes les
  stratégies IP en place le port 88 apparaîtra
  donc fermé et non bloqué lors dun scan de ports
  bien que nous ne les utilisions pas dans le cas
  présent
• A la clé HKLM\SYSTEM\CurrentControlSet\Services\I
  PSEC\ créer une nouvelle valeur DWORD
  NoDefaultExempt Valeur 1
• Cette clé ne corrige pas tous les cas d'exception
  puisque les négociations IKE, les Broadcasts et
  les Multicasts restent exemptés de stratégie IP,
  mais c'est suffisant pour une stratégie sur
  Ordinateur local pour que ce port soit bloqué et
  napparaisse donc pas lors dun scan en ligne.
• - Lorsque le partage de fichiers et imprimantes
  est activé, les ICMP sont automatiquement
  autorisés dans Windows Firewall pour tout le
  réseau. La règle ICMP permit limite cette
  autorisation au sous-réseau que vous renseignez,
  par exemple 10.0.0.0/255.255.255.0.
• - Si vous nutilisez pas le partage de fichiers
  et dimprimantes, lajout à la clé
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic
  es\NetBT\Parameters dune nouvelle valeur DWORD
  SmbDeviceEnabled Valeur 0 désactivera lécoute
  sur le port 445.

11
Mini FAQ

• Une stratégie de sécurité IP sur Ordinateur local
  est-elle utile si on utilise un pare-feu ?
• Oui, particulièrement avec Windows Firewall qui
  ne filtre que le IN.
• Dans certains cas deux pare-feux peuvent poser
  des problèmes de compatibilité. Quid avec IPSEC
  ?
• Aucun problème, ce nest pas un pare-feu stricto
  sensu même sil en a certaines fonctionnalités.
• IPSEC présente-il des inconvénients pour
  lutilisation/configuration normale ?
• Oui. Par exemple, le client FTP devra être
  utilisé en mode actif pour uploader/downloader
  des fichiers sur/depuis un server. Le kit de
  règles ne couvre que lutilisation courante par
  lutilisateur lambda de son poste. Pour les
  applications communiquant sur des ports non
  standard, il faudra créer des règles spécifiques.
• Certaines applications sollicitant et répondant
  vers/depuis des ports aléatoires, il sera
  pratiquement impossible de créer une règle
  stricte. Plutôt que de créer une règle lâche, par
  exemple accepter le OUT TCP sur tous les ports,
  il est préférable de désactiver la stratégie le
  temps dutiliser lapplication concernée, le
  pare-feu continuant à jouer son rôle.

12
Mini FAQ (suite)

• Est-ce que la stratégie permet dempêcher les ad-
  et spywares de faire du phoning home ?
• Non, ceux-ci communiquent généralement sur le
  port HTTP et il ny a aucun filtrage applicatif
  possible avec la stratégie. Par contre les
  serveurs trojans ou les keyloggers installés par
  des vers de courrier ne pourront communiquer, de
  même que les vers de réseaux ne pourront infecter
  la machine, les ports quils tentent dutiliser
  étant fermés (sauf si vous les avez explicitement
  autorisés pour une application) , ce qui nest
  pas le cas avec Windows Firewall .
• Pourquoi toutes ces règles miroir créées
  automatiquement ?
• Un filtre en miroir applique la même règle sur
  l'ordinateur client et serveur (avec les adresses
  source et de destination inversées). Elles ne
  sont pas toutes indispensables, leur création est
  proposée par défaut par lassistant. Il est plus
  simple de laisser lassistant les créer, elles ne
  présentent pas de risque et facilitent certains
  échanges pour des applications y ayant recours en
  évitant de devoir créer une règle supplémentaire.

13
Mini FAQ (fin)

• Existe-t-il des logiciels simples permettant de
  faire ces manipulations ?
• Dans le Reskit de Win2000 il existe ipsecpol et
  dans les Windows Support Tools de Windows XP SP2
  ipseccmd.exe qui permettent de créer, modifier
  les règles et/ou leurs filtres et dattribuer ou
  de supprimer lattribution de la stratégie en
  invite de commandes.
• En quoi ma sécurité est-elle améliorée puisque je
  dispose déjà dun routeur et/ou dun pare-feu
  applicatif ou de Windows Firewall ?
• Aucun système de protection nest infaillible,
  certains malwares peuvent également désactiver
  vos logiciels de sécurité (pare-feu, antivirus,
  antispyware, etc). Une stratégie de sécurité IP
  sur Ordinateur local offre une couche de
  protection supplémentaire simple, gratuite et
  aisée à mettre en place. Elle ne dispense
  évidemment pas de pratiquer le Safe Hex compte
  dutilisateur limité pour lusage courant, OS à
  jour, antivirus à jour fonctionnant IRT,
  antispyware à jour, pare-feu et last but not
  least une once de bon sens.

Basé sur les questions de WikiPierre 12 ans actif
dans les Communautés Microsoft
14
Bibliographie et divers
Titre2 Titre2 Titre2 Titre2 Titre2 Titre2 Titre2

• IPSEC and You http//www.analogx.com/contents/ar
  ticles/ipsec.htm
• IPSEC microsoft.com
• IPSEC, VPN and FIREWALL CONCEPTS
  http//www.cisco.com
• THE TCP/IP GUIDE http//www.tcpipguide.com
• Stratégie de sécurité IP sur Ordinateur local
  http//www.optimix.be.tf
• Ajouter gpedit et secpol à Windows XP Home
  Windows XP/2003 (jean-Claude Bellamy) Packs des
  fichiers nécessaires à linstallation
  gpedit.zip et secpol.rar
• Installeur automatique Gpedit Secpol
  pourWindows XP Home (réalisé par WikiPierre avec
  Install Creator) Optimix
• Moteur de recherche Google Microsoft google
  Microsoft
• Tutoriel flash et kit de règles Optimix
• En savoir plus loutil ipseccmd.exe et ipsecpol
• Autres sources multiples et en diverses
  langues, trop nombreuses à citer ici.

M
15
Mini Glossaire

• TCP/IP Transmission Control Protocol/Internet
  Protocol, le protocole gérant les transmissions
  de données sur les réseaux, y compris Internet.
• TCP Transmission Control Protocol orienté
  connexion gt Contrôle du bon acheminement des
  packets.
• UDP User Datagram Protocol non orienté
  connexion gt utilisé quand la performance
  l'emporte sur la fiabilité aucune garantie du
  bon acheminement des packets ni vérification.
  Utilisé par exemple pour le streaming audio et
  video.
• ICMP Internet Control Message Protocol non
  orienté connexion - Le protocole standard de
  message de contrôle et d'erreurs. L'usage le plus
  connu est la séquence Echo Request/Echo Reply
  utilisée pour le ping.
• Socket ltIP AddressgtltPort gt
• Paire de sockets ltIP Address ServergtltPortgt
  ltIP Address ClientgtltPortgt
• Unicast Messages adressés à une seule machine
  du réseau.
• Broadcast Messages adressés à toutes les
  machines du réseau.
• Multicast Messages un compromis entre les deux,
  adressés à certaines machines du réseau répondant
  à certains critères.