Title: Isolation de domaine avec les stratgies de groupe et IPsec
1Isolation de domaine avec les stratégies de
groupe et IPsec
Cyril Voisin Chef de programme Sécurité Microsoft
France
2Notes
- Une mise à jour de cette présentation est
disponible depuis - http//www.microsoft.com/france/securite,
rubrique Événements - Pour une question frjms_at_microsoft.com
3Conditions préalables pour la session
- Expérience pratique de Windows 2000 ou de
Windows Server 2003 - Connaissance d'Active Directory et des stratégies
de groupe - Connaissance des concepts de sécurité des
systèmes Windows - Connaissance pratique des concepts relatifs au
protocole TCP/IP - Compréhension des concepts de base d'IPSec
(Internet Protocol Security)
Niveau 300
4Sommaire
- La problématique de la sécurité des réseaux
internes - Rappels sur IPsec
- Démarche de mise en uvre
- État des lieux du réseau
- Conception et planification des groupes
disolation - Création des politiques IPsec
- Déploiement
- Compléments
- Gestion dun environnement avec isolation IPsec
- Dépannage
- Performance
- Inconvénients
- Faiblesses
- Synthèse
5Sécurité sur les grands réseaux internes
- Les défis et la solution IPsec
6Problématique
- Les réseaux internes de grande taille ne
présentent pas le même environnement de confiance
- Impossibilité de contrôler qui/quoi se connecte
physiquement en interne - De nombreuses machines non gérées représentent
une menace dinfection - Besoin de se connecter avec les
partenaires/sous-traitants/clients tout en
limitant laccès - Un seul réseau mais plusieurs divisions,
entreprises, responsables IT - Le vol ou labus dutilisation des lettres de
crédance dun utilisateur non détectés
7Problématique
- Les réseaux internes de grande taille peuvent
avoir plusieurs chemins indépendants qui les
connectent à Internet - Le périmètre est mouvant et il est impossible de
tout contrôler à la frontière en pratique - La menace Internet a élu résidence quelque
part sur le réseau interne - La surface dattaque inclut tout le trafic IP sur
tous les ports TCP/UDP - Le filtrage de paquets (pare-feu classiques) aide
mais est insuffisant quand les client sont
répartis un peu partout sur le réseau - Besoin dune stratégie de défense en profondeur
pour prendre en compte la sécurité au niveau
applicatif
8Problématique
- Les données sensibles ou critiques ont besoin
dune protection à la hauteur de leur valeur - Protéger laccès réseau aux systèmes internes qui
stockent ou manipulent ces données - Protéger le trafic réseau qui transportent ces
données ou des informations dauthentification - En reconnaissant que lamélioration de la
sécurité des applications existantes elles-mêmes
peut prendre du temps et coûter cher
9Solution
- Isolation avec IPsec en mode transport
- Authentification des machines
- Protège tout le trafic TCP/IP entre des machines
de confiance - Intégrité et optionnellement chiffrement de
chaque datagramme - Politique personnalisable déployée dans un
domaine (pas de changement des applications
existantes)
10Comment l'isolation du réseau s'inscrit-elle dans
la sécurité du réseau ?
- Fait partie de lapproche de défense en
profondeur - Se trouve dun point de vue logique entre les
couches réseau et machine - Consiste en la sécurisation de lhôte grâce au
contrôle des communications réseau
Stratégies, procédures et sensibilisation
Sécurité physique
Données
Application
Hôte
Isolation logique
Réseau interne
Périmètre
11Rappels IPsec
12IPsec
- Environnement constitué de normes ouvertes
destiné à garantir la sécurité et la
confidentialité des communications sur les
réseaux IP, au moyen de services de sécurité
reposant sur le chiffrement des données - Avantages
- Transparent pour les utilisateurs et les
applications (à part létablissement de la
négociation initiale de la sécurité) - Accès restreint aux serveurs
- Configuration personnalisable de la sécurité
- Administration centrale de la stratégie IPSec via
Active Directory - Attention IPsec ne remplace pas un pare-feu
(pas Stateful Packet Inspection) - Une exemption statique pour un trafic sortant
représente aussi une exemption statique pour le
trafic entrant correspondant - Utiliser un pare-feu pour contrôler les
communications par port ou par protocole
13IPsec
- Comme son nom lindique travail au niveau réseau
(couche 3) et permet détablir un canal sécurisé
pour échanger de manière protégée des données
entre deux périphériques (machines, routeurs, ) - Deux modes
- Mode tunnel
- Sécurisation du trafic entre 2 réseaux (de
routeur à routeur) - Protection de lentête et de la charge
- Mode transport
- Sécurisation du trafic entre 2 machines (de PC à
PC en passant par des routeurs) - Protection de la charge seulement
14IPsec
- AH (IP Authentication Header) - RFC 2402
- Authentification mutuelle
- Intégrité des données et de ladresse IP (sans
chiffrement) - Ne traverse pas le NAT
- ESP (IP Encapsulating Security Payload) - RFC
2406 - Authentification mutuelle
- Intégrité et chiffrement des données
- Traverse le NAT
- On utilise soit AH seul, soit ESP seul, soit AH
et ESP
15IPSec AH (Authentication Header)en mode Transport
Données
Entête TCP
Entête IP orig.
Insertion
Données
Entête TCP
Couverture du hash pour lintégrité (sauf pour
les champs IP mutables)
Proch.Ent
Lgr charge
Rsrv
SecParamIndex
Keyed Hash
nSeq
24 octets au total
AH protocole IP 51
16IPSec ESP (Encapsulating Security Payload)en
mode Transport
Data
TCP Hdr
Insertion
Ajout
Data
TCP Hdr
ESP Hdr
ESP Trailer
Usually encrypted
integrity hash coverage
SecParamIndex
Seq
InitVector
Keyed Hash
Padding
PadLength
NextHdr
22-36 bytes total
ESP is IP protocol 50
17IPsec
- Protocole IKE (Internet Key Exchange)
- RFC 2409
- En fait, 3 sous protocoles
- ISAKMP (Internet Security Association Key
Management Protocol) - Oakley
- SKEME
- Négocie la méthode de sécurité qui sera employée
et fait léchange de clé (et établit une SA IKE,
ou main mode SA)
18IPsec
- Security Association (SA) IPsec
- A chaque conversation protégée est associée une
SA IPsec qui est un enregistrement de la
configuration nécessaire au périphérique pour une
connexion IPsec donnée (liste les algorithmes
utilisés, les clés dauthentification et de
chiffrement, la durée de validité des clés, le
mode tunnel ou transport, adresse de destination,
numéros de séquence) - Une SA IPsec est négociée pour chaque flux
unidirectionnel - Security Parameter Index (SPI)
- Les SA IPsec sont identifiées par un index (SPI)
- La source indique valeur du SPI est dans lentête
du paquet IPsec
19Vue de la pile TCP/IP dans le noyau de Windows
2000/XP/2003
RRAS Input/Output Interface Filters (SDK)
WinSock
Winsock Layered Service Providers (SDK)
NAT apis (SDK)
TDI API (DDK)/AFD.SYS
TCP/UDP/IP Connection UI Filters
TCP
Raw
ICMP
UDP
ICS-NAT/ICF (ipnat.sys)
Pile IP
IP Filter Hook (DDK)
IP Packet Filter driver (ipfltdrv.sys)
IPsec Filters, Encryption (ipsec.sys, fips.sys)
IP Frag/Reassembly
NDIS 5.0
Netmon driver (NMnt.sys)
PPTP
L2TP
Task offload miniport (DDK) TCP checksum, IPsec,
large TCP send
20Processus de sécurité IPsec
- Un périphérique (initiator) demande une connexion
IPsec à un autre périphérique (responder) - Une politique de sécurité (IPsec policy) a été
définie, ensemble de règles qui déterminent
quelles actions à entreprendre (autoriser,
refuser, sécuriser) pour quels datagrammes - Une négociation a lieu pour déterminer les clés
et les algorithmes (SA IKE) - Une association de sécurité (SA IPsec) est
établie par chaque périphérique pour chaque
direction de la connexion (entrante et sortante)
21Exemple dans Windows
3
22Lenvoi de datagrammes déclenche une négociation
IKE
Serveur ou passerelle
Appli ou Service client
PiloteIPSec
PiloteIPSec
NIC
NIC
- Internet Key Exchange (IKE)
- Phase 1 Main Mode établit la SA IKE canal de
confiance entre les systèmes, la négociation
établit un canal chiffré, la confiance mutuelle,
et génère dynamiquement une clé secrète partagée
("clé maîtresse") - Phase 2 Quick Mode établit les SA IPSec pour
la protection des donées, une SA pour chaque
direction identifiée par le SPI (compris dans le
datagramme), algorithmes et formats de
datagrammes convenus, génère les clés de session
partagées dérivées de la clé maîtresse
23Aperçu dune politique IPsec
La stratégie IPsec est appliquée via une
stratégie de groupe, et contiennent un ensemble
de règles et spécifient comment utiliser IKE
StratégieIPsec
Méthodes déchange de clés (IKE)
Méthodes dauthentification (Kerberos,
Certificats, Clés statiques)
Chaque règle associe une liste de filtres à une
action, et spécifie les méthodes
dauthentification
Règles
Méthodes de sécurité (Chiffrement, hashing, Durée
de vie des clés)
Liste de filtres
Action
Une liste de filtres est un ensemble de filtres
Une action désigne ce quil faut faire du trafic
qui correspond à une liste de filtres
Autoriser, Refuser, Négocier la sécurité
Un filtre décrit un type de trafic à identifier
(adresse IP, sous-réseau, port, et protocole pour
les deux extrémités dune connexion)
Filtres
24Filtres IPsec
- Attention une seule politique IPsec par machine
- Liste de sous-réseaux connus et dadresses IP
dinfrastructure - Deux types de filtres
- Mode principal IKE
- Utilisent uniquement les adresses source et
destination - Mode rapide IKE
- Adresses, protocoles, ports
25Actions IPsec
- Action de filtre (prérequis de sécurité
autoriser, refuser, négocier la sécurité) - Si négocier
- Méthodes déchange des clés (liste ordonnée)
- Accepter ou non le trafic entrant non sécurisé
- Communication en clair ou non avec les machines
non IPsec - Renouvellement des clés
26Les menaces prises en compte par IPsec
- Modification des données en transit
- Accès non authentifié à des systèmes approuvées
- Y compris la propagation dun ver dune machine
non approuvée vers une machine approuvée - Attaques Man-in-the-middle
- Usurpation
- Écoute du réseau
27Ce dont lisolation avec IPsec ne vous protège pas
- Ingénierie sociale
- Vulnérabilités applicatives
- Attaques de systèmes approuvés ou utilisateurs
approuvés - Utilisateurs approuvés divulguant des données
critiques - Utilisateurs approuvés employant mal ou
abusivement leur statut d'utilisateur approuvé - Mise en péril des informations d'identification
des utilisateurs approuvés - Ordinateurs approuvés compromis accédant à
d'autres ordinateurs approuvés - Non-conformité des périphériques approuvés en
matière de sécurité - Ordinateurs non approuvés accédant à d'autres
ordinateurs non approuvés - Absence de protection physique
28Démo
- Configurer et attribuer une stratégie IPsec
29La solution disolation
30Définitions
- Isolation de domaine
- Seules les machines de confiance du domaine sont
autorisées à venir se connecter (inbound) avec
certains types daccès réseau - Toutes les machines de confiance peuvent accéder
les unes aux autres (sauf restriction comme
utilisation dun pare-feu) - Pour tout trafic TCP/IP excepté ICMP
- Peut inclure de lisolation de serveur
- Isolation de serveur
- Autorise un sous-ensemble des machines de
confiance à venir se connecter - Pour tout trafic TCP/IP excepté ICMP
- Autorisation accordée à un groupe de clients du
domaine authentifiés (Access This Computer From
the Network)
31Composants de la solution
- Hôtes
- Groupes disolation
- Groupes daccès réseau (NAG Network Access
Groups)
32Hôtes
- Serveurs et stations
- Initiators et responders
- Répartition en états daprès le niveau de
confiance, basé sur le fait que la machine soit - Gérée
- Membre du domaine
- Au niveau minimum de sécurité requis
- États
- Non approuvés (hôtes de défiance)
- Périphérique qui peut ne pas répondre aux
exigences de sécurité minimales, principalement
parce qu'il n'est pas géré ou contrôlé de manière
centrale - Approuvables (hôtes dignes de confiance)
- Approuvés (hôtes de confiance)
- Périphérique géré qui se trouve dans un état
connu et qui correspond aux exigences de sécurité
minimales
33Létat est transitoire
- Tous les systèmes commence dans létat non
approuvé - Approuvable indique la capacité à être approuvé
- Approuvé signifie que la machine sest
authentifiée avec IKE et est autorisée à
communiquer - De laudit est nécessaire pour diminuer la
surface dattaque et assurer la conformité !
34Groupes
- Groupes disolation
- Groupes de base
- Groupes additionnels
- Groupes daccès réseau (NAG Network Access
Groups) - Niveau supplémentaire dautorisation
- Utilise des groupes dutilisateurs classiques
- Contient des utilisateurs et des machines
- Par défaut Tout le monde
- On les places soit dans le droit ALLOW ou
DISALLOW dans la stratégie de groupe (ANAG DNAG)
35Sans isolation
- Authentification des utilisateurs
- Autorisation basée sur cette authentification
- Un exemple Sans isolation
36Sans isolation
Autorisations de partage et d'accès
- Étape 1 connexion à la machine
- (Étape 2 machine autorisée ou non interdite)
Sans isolation
Autorisation d'accèsà la machine pour un
utilisateur (SMB, RPC, )
Autorisationd'accès à la machine pour une
autre machine
2
37Sans isolation
Autorisations de partage et d'accès
- Étape 1 connexion à la machine
- (Étape 2 machine autorisée ou non interdite)
- (Étape 3 Autorisations d'accès à l'hôte
vérifiées pour l'utilisateur (par défaut pas de
restriction)) - Étape 4 Autorisations de partage et d'accès
vérifiées
Sans isolation
Autorisation d'accèsà la machine pour un
utilisateur (SMB, RPC, )
Stratégie de groupe
Autorisationd'accès à la machine pour une
autre machine
Pas de restriction par défaut
1
38Isolation de domaine avec IPsec comment ça
marche ?
- IPsec pour
- Prendre en compte lauthentification du compte
machine - Assurer lintégrité des données
- Fournir le chiffrement (si nécessaire)
- Stratégies de groupe pour
- Distribuer les politiques
- Autoriser laccès à un utilisateur ou une machine
- Exemple Avec lisolation de domaine et de
serveur en place
39Contrôle de l'accès aux ordinateurs à l'aide des
groupes d'accès réseau et d'IPSec
Autorisations de partage et d'accès
- Étape 1 L'utilisateur essaie d'accéder à un
partage sur un serveur - Étape 2 Mode principal de la négociation IKE
- Étape 3 Négociation de la méthode de sécurité
IPSec
Isolation
Autorisation d'accèsà la machine pour un
utilisateur (SMB, RPC, )
Autorisationd'accès à la machine pour une
autre machine(IPsec)
3
40Contrôle de l'accès aux hôtes à l'aide des
groupes d'accès réseau
Autorisations de partage et d'accès
- Étape 1 L'utilisateur essaie d'accéder à un
partage sur un serveur - Étape 2 Négociation IKE en mode principal
- Étape 3 Négociation de la méthode de sécurité
IPSec - Étape 4 Autorisations d'accès à l'hôte
vérifiées pour l'utilisateur - Étape 5 Autorisations de partage et d'accès
vérifiées
Isolation
Autorisation d'accèsà la machine pour un
utilisateur (SMB, RPC, )
Stratégie de groupe
Autorisationd'accès à la machine pour une
autre machine(IPsec)
NAG Ordinateurs_Dépt
Stratégie IPSec
2
3
1
41Mise en uvre
- Les grandes étapes de mise en oeuvre
42Comment sy prendre ?
- Identifier les exigences métier
- Faire un bilan de létat actuel
- Machines, topologie réseau, structure Active
Directory, applications - Organiser les systèmes en groupes disolation
- Daprès les exigences métier
- Créer des politiques pour assurer les exigences
métier - Assigner les politiques aux groupes disolation
- Assigner des droits Allow and Deny aux
politiques
43Quelques conseils
- Faire simple
- Essayer tout dabord de se limiter aux groupes de
base - Établir un environnement de TEST
- Tester tous les changements avant le déploiement
en production - Déployer en phases
- Toujours avoir un plan de repli
- Déployer les politiques sur de petits groupes
pilotes dans un premier temps, puis étendre à des
groupes ou des sites plus grands - Former votre équipe
- Dépannage IPsec
- Ne pas hésiter à se faire aider
44Conception du modèle d'isolation
- Conception des groupes de base
- Création des listes d'exemptions
- Planification des groupes d'ordinateurs et des
groupes d'accès réseau - Création de groupes d'isolation supplémentaires
- Modélisation du trafic
- Affectation de membres aux groupes d'ordinateurs
et aux groupes d'accès réseau
45Les groupes de base
- Groupes Non-IPsec
- Systèmes de défiance
- Groupe par défaut
- Exemptions
- Infrastructure de confiance
- Groupes IPsec
- Domaine disolation
- Groupe de confiance par défaut
- Limitrophe
- Groupe de confiance à plus haut risque
Domaine d'isolation
Groupe d'isolation limitrophe
Systèmes non approuvés
46Création des listes dexemptions
- Un hôte répondant à l'une des conditions
suivantes sera susceptible d'être intégré à la
liste d'exemptions - Si l'hôte est un ordinateur auquel les hôtes
approuvés ont besoin d'accéder mais qui n'est pas
doté d'une implémentation IPSec compatible - Si l'hôte est utilisé pour une application
défavorablement affectée par le délai de retour à
une communication en texte clair de trois
secondes, ou par l'encapsulation du trafic
applicatif d'IPSec - Si l'hôte présente des problèmes qui ont un
impact sur ses performances - Si l'hôte est un contrôleur de domaine
- Exemples DNS, DHCP, DC,
- Maintenir petite la liste car
- Réduction de lintérêt de lisolation
- Fardeau de la gestion
- Augmentation de la taille de la stratégie (et
donc temps de téléchargement, mémoire, CPU) - Conseil processus formel de justification
daffectation dune machine à la zone limitrophe
47Planification des groupes d'ordinateurs et des
groupes d'accès réseau
- Groupes d'ordinateurs
- Utilisés pour contenir les membres d'un groupe
d'isolation spécifique - Permettent lattribution de stratégies de groupe
pour implémenter différents paramètres de
sécurité - Non nécessaires si on peut organiser les OU pour
refléter les groupes disolation - Attention ne pas placer une machine dans
plusieurs groupes - Groupes d'accès réseau
- Peuvent être de deux types, Autoriser ou Refuser
- Utilisés dans une stratégie de groupe afin de
contrôler l'accès Autoriser ou Refuser à une
machine - Limiter leur nombre (sinon la complexité à gérer
augmente) - Les droits utilisateurs Allow et Deny ne
fusionnent pas (donc viennent dune seule GPO)
48Cartographie du trafic entre groupes de base
- Schématiser toutes les communications autorisées
entre les groupes de base
49Groupes disolation additionnels (si nécessaire)
- Si les exigences métier le nécessitent
- Exemples
- Groupe disolation sans Fallback
- Bloque les communications sortantes vers des
machines de défiance - Chiffrement nécessaire
- Groupe de haute sécurité
- Toutes les communications doivent utiliser le
chiffrement - Autres besoins relatifs au flux de trafic réseau
entrant ou sortant - Limitation de l'accès hôte ou utilisateur requise
au niveau du réseau
Domaine d'isolation
Groupe d'isolation Chiffrement
Groupe d'isolation Pas de retour au texte clair
Systèmes non approuvés
50Cartographie du trafic avec les groupes
additionnels
- Schématiser toutes les communications autorisées
avec les groupes additionnels
51Les groupes daccès réseau NAG (1)
- Les groupes daccès réseau (NAG) sont utilisés
pour autoriser ou interdire explicitement laccès
à un système via le réseau - Les noms sont choisis daprès la fonction
- ANAG Allow Network Access Group (autorisation)
- DNAG Deny Network Access Group (interdiction)
- Peut contenir des utilisateurs, des machines ou
des groupes - Utilisation de groupes locaux de domaines
52Les groupes daccès réseau NAG (2)
- Les groupes daccès réseau (NAG) sont identifiés
par le biais du processus de cartographie du
trafic - Les groupes dinterdiction daccès réseau (DNAG)
sont identifiés quand des utilisateurs ou des
machines dun ou plusieurs groupes disolation
IPsec ne permettent pas des communications
bidirectionnelles - Les groupes dautorisation daccès réseau (ANAG)
sont identifiés quand des sous ensembles
dutilisateurs ou de machines dans un ou
plusieurs groupes disolation IPsec doivent
obtenir laccès à une ressource
53Affectation de membres aux groupes d'ordinateurs
ou aux groupes d'accès réseau
- Dernières tâches de conception de groupes
d'isolation - Affectation à un groupe d'ordinateurs Placer
chaque ordinateur dans un groupe en fonction des
exigences de communication - Affectation à un groupe d'accès réseau Placer
les utilisateurs et les ordinateurs qui
requièrent des autorisations granulaires dans
chacun des groupes d'accès réseau (NAG)
précédemment identifiés
54Les groupes daccès réseau pour le groupe
disolation Chiffrement
- Naccepte pas les requêtes depuis le groupe
disolation Frontière - Les systèmes sont restreints à certains
utilisateurs et machines spécifiques
55Aperçu dune politique IPsec
La stratégie IPsec est appliquée via une
stratégie de groupe, et contiennent un ensemble
de règles et spécifient comment utiliser IKE
StratégieIPsec
Méthodes déchange de clés (IKE)
Méthodes dauthentification (Kerberos,
Certificats, Clés statiques)
Chaque règle associe une liste de filtres à une
action, et spécifie les méthodes
dauthentification
Règles
Méthodes de sécurité (Chiffrement, hashing, Durée
de vie des clés)
Liste de filtres
Action
Une liste de filtres est un ensemble de filtres
Une action désigne ce quil faut faire du trafic
qui correspond à une liste de filtres
Autoriser, Refuser, Négocier la sécurité
Un filtre décrit un type de trafic à identifier
(adresse IP, sous-réseau, port, et protocole pour
les deux extrémités dune connexion)
Filtres
56Les actions de filtre IPsec
- Request Mode
- Accepte un flux entrant en clair
- Autorise un flux sortant en clair
- Secure Request Mode
- Autorise un flux sortant en clair
- Full Require Mode
- Require Encryption Mode
- Chiffrement obligatoire
57Application dune politique IPsec
- Liée au niveau du domaine
- La stratégie de groupe du domaine par défaut
sapplique en premier - La politique la plus restrictive devrait être la
dernière appliquée - Filtrage par groupe
- Les machines de CG_NoIPsec_Computers nutilisent
jamais IPsec - Des groupes globaux et universels sont utilisés
- Les utilisateurs authentifiés se voient accorder
les droits de lecture seulement
58Démo
- Groupes daccès réseau (NAG)
- IPsec en action
59Déploiement
- Déploiement par construction
- Au départ, la politique a des exemptions et
nexige pas IPsec pour tous les sous-réseaux à
sécuriser - Laction de filtre Request Mode est utilisée
pour les listes de filtres des sous-réseaux
sécurisés - Les sous-réseaux sont petit à petit ajoutés à la
liste des filtres des sous-réseaux sécurisés,
puis testés - Déploiement par groupe
- La politique IPsec est définie et liée
- Des groupes sont utilisés pour contrôler
lapplication de la stratégie (via des
permissions)
60Autres points à prendre en considération
- Le nombre maximal de connexions simultanées IPSec
aux serveurs, par hôte distinct - La taille de jeton maximale pour les hôtes
utilisant IPSec - Avant le déploiement
- Périphériques saturés
- Périphériques incompatibles
- Adressage IP
- Participation du client/serveur
- Services qui doivent être isolés
- Équilibrage de la charge réseau et mise en
cluster
61Compléments
62Gestion dun environnement avec isolation IPsec
- Chapitre 6
- En raison des temps de réplication
- Créer les objets dabord (GPO, stratégie IPsec)
- Puis seulement après assigner la stratégie IPsec
dans la stratégie de groupe - En cas de remplacement dun filtre générique par
un filtre plus spécifique - Ajouter le filtre spécifique
- Supprimer le filtre générique ensuite
- Lordre des filtres na pas dimportance (le plus
spécifique sapplique dabord) - Les stratégies IPsec ne sont pas stockées dans
les stratégies de groupe (doù prudence lors de
la sauvegarde utiliser sauvegarde de létat du
système)
63Dépannage
- Chapitre 7
- Diagrammes p167 et suivantes
- Outils
- ping
- net view
- srvinfo
- netdiag
- nltest
- ipseccmd
- netsh ipsec
64Performance
- Négociation IPsec 1 à 2 secondes
- Usage CPU augmente si chiffrement
- Chaque SA IKE prend 5ko de RAM
- Déploiement MS en interne 1 à 3 de trafic
supplémentaire - Lutilisation de stratégies de groupe
supplémentaires augmentera le temps de démarrage
de machine et douverture de session - Pour les routeurs ou commutateurs ayant plus de
75 dutilisation, envisager une mise à jour
65Inconvénients
- Inspection du trafic potentiellement impossible
du fait de la protection IPsec - Pour le trafic IPsec avec authentification seule
(pas de chiffrement) - Nécessité de mettre à jour son logiciel
dinspection pour tenir compte de lentête IPsec - Pour le trafic chiffré IPsec
- IDS réseau -gt IDS hôte
- Filtres sur ports réseau -gt filtre sur pare-feu
hôte - Rapport sur le trafic par port -gt adresse IP
seulement - Courbe dapprentissage pour cette nouvelle
technologie qui change fondamentalement les
communications TCP/IP - Nécessité davoir une planification détaillée et
une bonne coordination pour lisolation de domaine
66Faiblesses principales
- Un administrateur local peut désactiver IPsec
- Autorise laccès entrant depuis des machines de
défiance - Mais ne permettra pas à la machine de se
connecter à des machines de confiance - Un administrateur local peut changer la politique
locale dynamique (local dynamic policy) - Linspection réseau est limitée au trafic non
chiffré (avec un analyseur adéquat) - Tous les membres du domaine ne peuvent pas être
protégés (ex DC, DHCP)
67Synthèse
68Synthèse
- Déployer IPSec pour fournir l'authentification et
le chiffrement - Combiner IPSec, les groupes de sécurité et les
stratégies de groupe pour l'isolation logique - Implémenter des groupes supplémentaires pour
isoler des ressources ou fournir les
fonctionnalités requises - Utiliser la zone Limitrophe comme point de
départ, lors du déploiement de groupes
d'isolation, à l'aide d'IPSec
69Bénéfices principaux
- Réduit la surface dattaque sur les machines
isolées - Microsoft avait de nombreux systèmes non gérés
sur son réseau - Augmente ladhésion au domaine
- Fournit des protections supplémentaires contre
les vers et les virus - Remède plus rapide en cas dinfection
- Propagation plus lente
- Améliore la protection contre les attaques
internes - Lautorisation nécessite un compte utilisateur
autorisé ET ue machine digne de confiance - Audite les connexions
- Isole les machines de confiance des autres
machines de confiance - Fournit un authentification et un chiffrement
pour le partage de fichiers (SMB/CIFS) et les
autres protocoles non sécurisés
70Ensuite ?
- Un peu de lecture
- Domain and Server Isolation Using IPsec and Group
Policy Guide - Microsoft Solutions for Security Guide
- Improving Security with Domain Isolation
- Livre blanc sur le retour dexpérience interne de
Microsoft IT - Using Microsoft Windows IPsec to Help Secure an
Internal Corporate Network Server - Livre blanc conjoint de Microsoft et Foundstone
- Documentation IPsec
- Aide en ligne
- Aide produit
- Kit de déploiement Windows Server 2003
- Un peu daction
- Démarrer laudit de létat de votre réseau
71Ressources et références
- Server and Domain Isolation Using IPsec and Group
Policy Guide http//go.microsoft.com/fwlink/?li
nkid33947 - Improving Security with Domain Isolation (retour
dexpérience de MS IT avec IPsec)
http//www.microsoft.com/technet/itsolutions/msi
t/security/IPsecdomisolwp.mspx - TechNet Support Webcast for IPsec
http//support.microsoft.com/default.aspx?kbid8
88266 - Plus dinfos sur http//www.microsoft.com/ipsec
- IPSec troubleshooting toolshttp//www.microsoft.c
om/technet/prodtechnol/windowsserver2003/library/S
erverHelp/ebcbc96d-b236-401d-a98b-91c965a3d18f.msp
x
72Le guide en françaisDisponible depuis le 13 juin
2005
- http//www.microsoft.com/france/technet/securite/i
psec/default.mspx - http//www.microsoft.com/france/technet/securite/i
psec/ipsecack.mspx - http//www.microsoft.com/france/technet/securite/i
psec/ipsecapa.mspx - http//www.microsoft.com/france/technet/securite/i
psec/ipsecapb.mspx - http//www.microsoft.com/france/technet/securite/i
psec/ipsecapc.mspx - http//www.microsoft.com/france/technet/securite/i
psec/ipsecapd.mspx - http//www.microsoft.com/france/technet/securite/i
psec/ipsecch1.mspx - http//www.microsoft.com/france/technet/securite/i
psec/ipsecch2.mspx - http//www.microsoft.com/france/technet/securite/i
psec/ipsecch3.mspx - http//www.microsoft.com/france/technet/securite/i
psec/ipsecch4.mspx - http//www.microsoft.com/france/technet/securite/i
psec/ipsecch5.mspx - http//www.microsoft.com/france/technet/securite/i
psec/ipsecch6.mspx - http//www.microsoft.com/france/technet/securite/i
psec/ipsecch7.mspx
73Microsoft France 18, avenue du Québec 91 957
Courtaboeuf Cedex www.microsoft.com/france 0
825 827 829 msfrance_at_microsoft.com
74Compléments
75IPsec dans Windows
- Plateformes concernées
- Windows 2000 SP4
- Windows Server 2003 ou ultérieur
- Windows XP Service Pack 2 ou ultérieur
- Composants certifiés FIPS 140-1
- Filtres peuvent tenir compte des ports mais la
solution ici utilise unique les adresses IP pour
tout trafic sauf ICMP - Pour des questions de simplicité, utiliser des
groupes universels - La taille maxi dun jeton Kerberos 1000 groupes
par utilisateur
76IPsec
- Ne protège pas les trafic multicast et broadcast
- Comparaison avec SSL
- Transparent par rapport aux applications
- Se situe au niveau 3 et donc ne peut pas vérifier
que le nom de la machine à laquelle lapplication
se connecte est bien celui attendu (risque
dattaque sophistiquée MITM) - Termes
- Autoriser une communication non sécurisée avec
des ordinateurs nutilisant pas IPsec (Fall back
to clear) - Permet à un initiator à communiquer en TCP/IP
classique sil ny a pas de réponse IKE du
responder - Accepter les communications non sécurisées mais
toujours répondre en utilisant IPsec (Inbound
passthrough) - Permet à une machine capable dIPsec daccepter
du trafic TCP/IP classique (ni IKE, ni IPsec)
entrant depuis une machine distante et de
répondre par une négociation IKE - Attention si on active cette option-ci mais pas
celle-là alors le responder ne peut pas
communiquer avec un initiator incapable dIPsec
77IPsec
- Activation de PMTU nécessaire pour un bon
fonctionnement dIPsec - Envisager lexemption des clusters et des
machines en NLB - IPsec est incompatible avec NLB en mode sans
affinité - Client VPN IPsec non Microsoft
- Doivent autoriser la communication IKE et IPsec
- Sinon envisager de créer des exemptions pour le
sous-réseau des clients VPN
78Valeur de la solution
- Améliore la sécurité
- Fonctionne avec des mécanismes existants pour
fournir une défense en profondeur - Isole dans un compartiment les systèmes de
confiance des autres systèmes de confiance - Beaucoup moins cher que de lisolation physique
(sans la remplacer complètement) - Protection des données sensibles
- Authentification mutuelle et (de manière
facultative) chiffrement - Contrôle daccès plus précis