Strat - PowerPoint PPT Presentation

About This Presentation
Title:

Strat

Description:

Du point de vue s curit , il est toujours bon d'appliquer plusieurs couches. ... A l'installation de Windows 2000 qui ne poss de pas de parefeu natif, il est ... – PowerPoint PPT presentation

Number of Views:40
Avg rating:3.0/5.0
Slides: 16
Provided by: nomie
Category:

less

Transcript and Presenter's Notes

Title: Strat


1
Stratégie de sécurité IP sur ordinateur local
J. Calicis 27062005
2
Pourquoi appliquer une stratégie de sécurité IP
sur ordinateur local ?
  • Du point de vue sécurité, il est toujours bon
    dappliquer plusieurs couches.
  • Au cas où votre parefeu venait à être désactivé
    inopinément, par exemple suite à laction dun
    malware, et certains vers de courrier sont très
    habiles à ce petit jeu, vous resteriez malgré
    tout insensibles aux attaques extérieures,
    protégés par votre stratégie de sécurité IP.
  • A linstallation de Windows 2000 qui ne possède
    pas de parefeu natif, il est pratiquement
    impossible de se connecter au Web en vue
    dappliquer les mises à jour de Windows Update
    sans subir les conséquences des vers de réseau
    Blaster ou Sasser. Aucun problème si vous avez
    appliqué une stratégie de sécurité IP AVANT la
    première connexion nautorisant le OUT que sur
    les ports 80 et 443 et une règle bloquant tout
    autre trafic.
  • A la différence de votre pare-feu sil permet le
    mode furtif, certains ports apparaîtront
    cependant fermés et non cachés sans ajout dans le
    registre de quelques valeurs sous certaines clés,
    ce qui en soit noffre pas une moins grande
    sécurité, simplement vous ne passerez pas
    inaperçu lors dun balayage de ports par les
    scriptkiddies si votre pare-feu est désactivé.
  • Une stratégie IP sur ordinateur local ne remplace
    pas un parefeu, cest une couche de protection
    supplémentaire.

3
IPsec, cest quoi ?
  • IPsec (pour Internet Protocol Security) a été
    développé par Microsoft conjointement avec Cisco
    et lIETF (Internet Engineering Task Force) pour
    créer des connexions sécurisées entre différentes
    machines, même quand le logiciel qui communique
    ne supporte pas le cryptage. IPsec peut aussi
    être utilisé pour créer des règles pour filtrer
    le type de trafic IP que la machine acceptera, un
    peu à la façon dun parefeu basique.
  • Cest le propos de cet exposé et non ses autres
    utilisations dont celles pour les OS serveurs ou
    les VPN. Le guide "Isolation de serveurs et de
    domaines à l'aide d'IPSec et de stratégies de
    groupe" traite très clairement ces points.
  • Un parefeu simple permet daccepter ou de refuser
    le trafic vers un port ou une IP locaux.
  • IPsec offre le même niveau de contrôle vous
    pouvez spécifier un port et/ou une adresse IP
    locale auxquels les règles choisies seront
    appliquées au trafic correspondant (autoriser,
    refuser, autoriser seulement aux connexions
    sécurisées, etc) mais permet aussi la même chose
    pour un port, une IP ou un sous-réseau distant.

4
IPsec versus Filtrage TCP/IP
  • Chaque interface réseau offre la possibilité de
    filtrage TCP/IP à longlet avancé mais ceci a peu
    dutilité, cest un peu une version dépouillée
    dIPsec, les packets sont seulement vus du point
    de vue serveur et un autre désavantage majeur est
    la nécessité de redémarrer après chaque
    modification. IPsec permet une plus grande
    flexibilité vous pouvez autoriser le trafic
    depuis un port source ou à destination dun port
    et les règles sont prises en compte dès leur
    application.
  • Il permet donc de filtrer par port, par IP ou
    sous-réseau et par protocole tant le trafic
    entrant que le trafic sortant.
  • Par exemple, les IRC bots dont il existe des tas
    de variantes installés par un ver de courrier ne
    pourront communiquer vers lextérieur avec les
    règles de base puisque les ports quils utilisent
    (6667 entre autres) ne sont pas autorisés. De
    même que les chevaux de Troie/backdoors/keyloggers
    pas de phoning home possible pour la plupart
    puisque les ports de communication quils
    utilisent sont fermés.

5
Le fonctionnement des règles IPsec
  • Lapproche est très simple Une stratégie
    comprend plusieurs règles, la règle la plus
    proche concernant le packet détermine son
    traitement, ignorant toutes les autres,
    indépendamment du service ou de lapplication.
    En cas de règles contradictoires, la règle
    Refuser prime.
  • Une règle peut comprendre plusieurs filtres mais
    laction de tous les filtres est la même pour la
    règle concernée Accepter, Refuser (négocier
    la sécurité et autres options ne nous concernent
    pas dans le cas présent) .
  • Un filtre comprend
  • une adresse IP source ou une plage d'adresses
  • une adresse IP de destination ou une plage
    d'adresses
  • un protocole IP, tel que TCP, UDP, n'importe
    lequel, etc
  • des ports source et de destination (uniquement
    pour TCP ou UDP).
  • Il est possible de créer plusieurs stratégies
    mais une seule peut être attribuée à la fois.

6
Le fonctionnement des règles IPsec (suite)
  • A linverse des pare-feux logiciels, il ny donc
    a pas dordre à respecter pour la disposition des
    règles qui seront simplement classées par ordre
    alphabétique et lordre est sans effet sur leur
    prise en compte, les règles nétant pas
    interprétées de haut en bas.
  • Par exemple, si vous navez que deux règles,
    lune dinterdiction de tout trafic TCP et
    lautre dacceptation du trafic HTTP client (TCP
    OUT port 80) , votre machine bloquera tout trafic
    en entrée et en sortie non destiné au port
    distant 80. Ni IN ni OUT FTP, HTTP (via proxy
    sur un port autre que le port 80), HTTPS, SMTP,
    POP, IMAP, NNTP .
  • Dans la stratégie de base proposée, tout ce qui
    nest pas explicitement autorisé est interdit,
    quel que soit le protocole, tant en entrée quen
    sortie.
  • A linverse de la plupart des pare-feux, il ny a
    pas de mode apprentissage ni de boîte de dialogue
    offrant la possibilité de créer une règle ou un
    filtre en cas de blocage par une règle en place.

7
La mise en place de votre stratégie
  • Sous Windows XP Pro il suffit de se rendre dans
    les outils dadministration, de cliquer sur
    Stratégie de locale (ou en ligne de commande
    secpol.msc) , de créer une nouvelle stratégie et
    dajouter vos règles en utilisant lassistant,
    cest assez fastidieux et nécessite de bonnes
    connaissances des protocoles TCP/IP.
  • Heureusement, il existe des stratégies prêtes à
    lemploi qui nécessiteront simplement lajout de
    quelques règles propres aux applications que vous
    utilisez, les règles pour le trafic sortant et
    entrant étant déjà configurées et activées pour
    les navigateurs et les logiciels de courrier.
  • Le set de Règles IP sur PC que jai édité vous
    permet de mettre en place votre stratégie en
    quelques minutes et comprend déjà des règles (non
    activées) pour des applications ou services tels
    les serveurs personnels Web, FTP, SMTP, MSN
    Messenger, lassistance et le bureau à distance,
    le partage de fichiers et dimprimantes, lUPnP
    etc.
  • Sous Windows XP Home le plus simple est
    dinstaller gpedit et secpol en copiant les
    fichiers nécessaires depuis un Windows XP Pro ou
    depuis divers sites dont le mien, ils ne sont pas
    présents dans Windows XP Home.
  • Par défaut, seuls la navigation (HTTP, HTTPS et
    FTP), lenvoi et la réception de courrier/news
    ainsi que la mise à lheure sont autorisés.

Titre2 Titre2 Titre2 Titre2 Titre2 Titre2 Titre2
M
8
Ajouter le Moniteur de sécurité IP
  • Ajouter le composant logiciel enfichable Moniteur
    de sécurité IP permet de visualiser ses règles à
    tout moment et de consulter les statistiques.
  • Toute la procédure dinstallation dune stratégie
    de sécurité IP sur Ordinateur local et du
    Moniteur est détaillée dans lanimation flash qui
    suivra cette courte présentation.
  • Il permet de voir comment la stratégie interprète
    vos règles et rajoute les règles miroir
    nécessaires à son fonctionnement.

9
Astuces
  • Il est très facile avec une stratégie de
    sécurité IP sur Ordinateur local de limiter
    laccès à un seul site ou un sous-réseau en le
    renseignant dans les propriétés du filtre HTTP
    client comme adresse de destination, ça peut être
    utile pour des PC dans une salle dattente ou
    dexposition ou permettre laccès à Internet en
    entreprise uniquement aux quelques sites
    indispensables au travail.
  • Très simple également de lutiliser pour couper
    complètement tout accès au Web à des heures
    déterminées à un poste du réseau local mettre
    le service IPSEC sur manuel, créer deux tâches
    planifiées
  • net start policyagent et net stop policyagent en
    décochant toutes les règles du kit sauf la règle
    dynamique et les règles Deny.
  • Pendant la plage horaire où la stratégie sera
    appliquée, pas daccès possible, même la session
    en cours ne pourra continuer à avoir accès,
    tranquillité pour les parents.
  • Des solutions plus élégantes existent à laide de
    ipsecpol et de ipseccmd.exe qui fait partie des
    Windows support tools fournis avec le SP2 en
    désactivant uniquement la règle http client et
    laissant la stratégie filtrante constamment
    active, ce qui permet de ne pas interrompre les
    téléchargements en cours sur dautres ports.

10
Tweaks
  • - Par défaut le trafic TCP et UDP ayant pour port
    source 88 (kerberos -Key Distribution Center) et
    500 (isakmp - Internet Security Association and
    Key Management Protocol) outrepasse toutes les
    stratégies IP en place le port 88 apparaîtra
    donc fermé et non bloqué lors dun scan de ports
    bien que nous ne les utilisions pas dans le cas
    présent
  • A la clé HKLM\SYSTEM\CurrentControlSet\Services\I
    PSEC\ créer une nouvelle valeur DWORD
    NoDefaultExempt Valeur 1
  • Cette clé ne corrige pas tous les cas d'exception
    puisque les négociations IKE, les Broadcasts et
    les Multicasts restent exemptés de stratégie IP,
    mais c'est suffisant pour une stratégie sur
    Ordinateur local pour que ce port soit bloqué et
    napparaisse donc pas lors dun scan en ligne.
  • - Lorsque le partage de fichiers et imprimantes
    est activé, les ICMP sont automatiquement
    autorisés dans Windows Firewall pour tout le
    réseau. La règle ICMP permit limite cette
    autorisation au sous-réseau que vous renseignez,
    par exemple 10.0.0.0/255.255.255.0.
  • - Si vous nutilisez pas le partage de fichiers
    et dimprimantes, lajout à la clé
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic
    es\NetBT\Parameters dune nouvelle valeur DWORD
    SmbDeviceEnabled Valeur 0 désactivera lécoute
    sur le port 445.

11
Mini FAQ
  • Une stratégie de sécurité IP sur Ordinateur local
    est-elle utile si on utilise un pare-feu ?
  • Oui, particulièrement avec Windows Firewall qui
    ne filtre que le IN.
  • Dans certains cas deux pare-feux peuvent poser
    des problèmes de compatibilité. Quid avec IPSEC
    ?
  • Aucun problème, ce nest pas un pare-feu stricto
    sensu même sil en a certaines fonctionnalités.
  • IPSEC présente-il des inconvénients pour
    lutilisation/configuration normale ?
  • Oui. Par exemple, le client FTP devra être
    utilisé en mode actif pour uploader/downloader
    des fichiers sur/depuis un server. Le kit de
    règles ne couvre que lutilisation courante par
    lutilisateur lambda de son poste. Pour les
    applications communiquant sur des ports non
    standard, il faudra créer des règles spécifiques.
  • Certaines applications sollicitant et répondant
    vers/depuis des ports aléatoires, il sera
    pratiquement impossible de créer une règle
    stricte. Plutôt que de créer une règle lâche, par
    exemple accepter le OUT TCP sur tous les ports,
    il est préférable de désactiver la stratégie le
    temps dutiliser lapplication concernée, le
    pare-feu continuant à jouer son rôle.

12
Mini FAQ (suite)
  • Est-ce que la stratégie permet dempêcher les ad-
    et spywares de faire du phoning home ?
  • Non, ceux-ci communiquent généralement sur le
    port HTTP et il ny a aucun filtrage applicatif
    possible avec la stratégie. Par contre les
    serveurs trojans ou les keyloggers installés par
    des vers de courrier ne pourront communiquer, de
    même que les vers de réseaux ne pourront infecter
    la machine, les ports quils tentent dutiliser
    étant fermés (sauf si vous les avez explicitement
    autorisés pour une application) , ce qui nest
    pas le cas avec Windows Firewall .
  • Pourquoi toutes ces règles miroir créées
    automatiquement ?
  • Un filtre en miroir applique la même règle sur
    l'ordinateur client et serveur (avec les adresses
    source et de destination inversées). Elles ne
    sont pas toutes indispensables, leur création est
    proposée par défaut par lassistant. Il est plus
    simple de laisser lassistant les créer, elles ne
    présentent pas de risque et facilitent certains
    échanges pour des applications y ayant recours en
    évitant de devoir créer une règle supplémentaire.

13
Mini FAQ (fin)
  • Existe-t-il des logiciels simples permettant de
    faire ces manipulations ?
  • Dans le Reskit de Win2000 il existe ipsecpol et
    dans les Windows Support Tools de Windows XP SP2
    ipseccmd.exe qui permettent de créer, modifier
    les règles et/ou leurs filtres et dattribuer ou
    de supprimer lattribution de la stratégie en
    invite de commandes.
  • En quoi ma sécurité est-elle améliorée puisque je
    dispose déjà dun routeur et/ou dun pare-feu
    applicatif ou de Windows Firewall ?
  • Aucun système de protection nest infaillible,
    certains malwares peuvent également désactiver
    vos logiciels de sécurité (pare-feu, antivirus,
    antispyware, etc). Une stratégie de sécurité IP
    sur Ordinateur local offre une couche de
    protection supplémentaire simple, gratuite et
    aisée à mettre en place. Elle ne dispense
    évidemment pas de pratiquer le Safe Hex compte
    dutilisateur limité pour lusage courant, OS à
    jour, antivirus à jour fonctionnant IRT,
    antispyware à jour, pare-feu et last but not
    least une once de bon sens.

Basé sur les questions de WikiPierre 12 ans actif
dans les Communautés Microsoft
14
Bibliographie et divers
Titre2 Titre2 Titre2 Titre2 Titre2 Titre2 Titre2
  • IPSEC and You http//www.analogx.com/contents/ar
    ticles/ipsec.htm
  • IPSEC microsoft.com
  • IPSEC, VPN and FIREWALL CONCEPTS
    http//www.cisco.com
  • THE TCP/IP GUIDE http//www.tcpipguide.com
  • Stratégie de sécurité IP sur Ordinateur local
    http//www.optimix.be.tf
  • Ajouter gpedit et secpol à Windows XP Home
    Windows XP/2003 (jean-Claude Bellamy) Packs des
    fichiers nécessaires à linstallation
    gpedit.zip et secpol.rar
  • Installeur automatique Gpedit Secpol
    pourWindows XP Home (réalisé par WikiPierre avec
    Install Creator) Optimix
  • Moteur de recherche Google Microsoft google
    Microsoft
  • Tutoriel flash et kit de règles Optimix
  • En savoir plus loutil ipseccmd.exe et ipsecpol
  • Autres sources multiples et en diverses
    langues, trop nombreuses à citer ici.

M
15
Mini Glossaire
  • TCP/IP Transmission Control Protocol/Internet
    Protocol, le protocole gérant les transmissions
    de données sur les réseaux, y compris Internet.
  • TCP Transmission Control Protocol orienté
    connexion gt Contrôle du bon acheminement des
    packets.
  • UDP User Datagram Protocol non orienté
    connexion gt utilisé quand la performance
    l'emporte sur la fiabilité aucune garantie du
    bon acheminement des packets ni vérification.
    Utilisé par exemple pour le streaming audio et
    video.
  • ICMP Internet Control Message Protocol non
    orienté connexion - Le protocole standard de
    message de contrôle et d'erreurs. L'usage le plus
    connu est la séquence Echo Request/Echo Reply
    utilisée pour le ping.
  • Socket ltIP AddressgtltPort gt
  • Paire de sockets ltIP Address ServergtltPortgt
    ltIP Address ClientgtltPortgt
  • Unicast Messages adressés à une seule machine
    du réseau.
  • Broadcast Messages adressés à toutes les
    machines du réseau.
  • Multicast Messages un compromis entre les deux,
    adressés à certaines machines du réseau répondant
    à certains critères.
Write a Comment
User Comments (0)
About PowerShow.com