Isolation de domaine avec les stratgies de groupe et IPsec

About This Presentation

Title:

Isolation de domaine avec les stratgies de groupe et IPsec

Description:

Approuvable indique la capacit tre approuv . Approuv signifie que la machine s'est authentifi e avec IKE et est autoris e communiquer ... – PowerPoint PPT presentation

Number of Views:86

Avg rating:3.0/5.0

Slides: 75

Provided by: cyrilv

Category:

more less

Transcript and Presenter's Notes

Title: Isolation de domaine avec les stratgies de groupe et IPsec

1
Isolation de domaine avec les stratégies de
groupe et IPsec
Cyril Voisin Chef de programme Sécurité Microsoft
France
2
Notes

Une mise à jour de cette présentation est
disponible depuis
http//www.microsoft.com/france/securite,
rubrique Événements
Pour une question frjms_at_microsoft.com

3
Conditions préalables pour la session

Expérience pratique de Windows 2000 ou de
Windows Server 2003
Connaissance d'Active Directory et des stratégies
de groupe
Connaissance des concepts de sécurité des
systèmes Windows
Connaissance pratique des concepts relatifs au
protocole TCP/IP
Compréhension des concepts de base d'IPSec
(Internet Protocol Security)

Niveau 300
4
Sommaire

La problématique de la sécurité des réseaux
internes
Rappels sur IPsec
Démarche de mise en uvre
État des lieux du réseau
Conception et planification des groupes
disolation
Création des politiques IPsec
Déploiement
Compléments
Gestion dun environnement avec isolation IPsec
Dépannage
Performance
Inconvénients
Faiblesses
Synthèse

5
Sécurité sur les grands réseaux internes

Les défis et la solution IPsec

6
Problématique

Les réseaux internes de grande taille ne
présentent pas le même environnement de confiance
Impossibilité de contrôler qui/quoi se connecte
physiquement en interne
De nombreuses machines non gérées représentent
une menace dinfection
Besoin de se connecter avec les
partenaires/sous-traitants/clients tout en
limitant laccès
Un seul réseau mais plusieurs divisions,
entreprises, responsables IT
Le vol ou labus dutilisation des lettres de
crédance dun utilisateur non détectés

7
Problématique

Les réseaux internes de grande taille peuvent
avoir plusieurs chemins indépendants qui les
connectent à Internet
Le périmètre est mouvant et il est impossible de
tout contrôler à la frontière en pratique
La menace Internet a élu résidence quelque
part sur le réseau interne
La surface dattaque inclut tout le trafic IP sur
tous les ports TCP/UDP
Le filtrage de paquets (pare-feu classiques) aide
mais est insuffisant quand les client sont
répartis un peu partout sur le réseau
Besoin dune stratégie de défense en profondeur
pour prendre en compte la sécurité au niveau
applicatif

8
Problématique

Les données sensibles ou critiques ont besoin
dune protection à la hauteur de leur valeur
Protéger laccès réseau aux systèmes internes qui
stockent ou manipulent ces données
Protéger le trafic réseau qui transportent ces
données ou des informations dauthentification
En reconnaissant que lamélioration de la
sécurité des applications existantes elles-mêmes
peut prendre du temps et coûter cher

9
Solution

Isolation avec IPsec en mode transport
Authentification des machines
Protège tout le trafic TCP/IP entre des machines
de confiance
Intégrité et optionnellement chiffrement de
chaque datagramme
Politique personnalisable déployée dans un
domaine (pas de changement des applications
existantes)

10
Comment l'isolation du réseau s'inscrit-elle dans
la sécurité du réseau ?

Fait partie de lapproche de défense en
profondeur
Se trouve dun point de vue logique entre les
couches réseau et machine
Consiste en la sécurisation de lhôte grâce au
contrôle des communications réseau

Stratégies, procédures et sensibilisation
Sécurité physique
Données
Application
Hôte
Isolation logique
Réseau interne
Périmètre
11
Rappels IPsec
12
IPsec

Environnement constitué de normes ouvertes
destiné à garantir la sécurité et la
confidentialité des communications sur les
réseaux IP, au moyen de services de sécurité
reposant sur le chiffrement des données
Avantages
Transparent pour les utilisateurs et les
applications (à part létablissement de la
négociation initiale de la sécurité)
Accès restreint aux serveurs
Configuration personnalisable de la sécurité
Administration centrale de la stratégie IPSec via
Active Directory
Attention IPsec ne remplace pas un pare-feu
(pas Stateful Packet Inspection)
Une exemption statique pour un trafic sortant
représente aussi une exemption statique pour le
trafic entrant correspondant
Utiliser un pare-feu pour contrôler les
communications par port ou par protocole

13
IPsec

Comme son nom lindique travail au niveau réseau
(couche 3) et permet détablir un canal sécurisé
pour échanger de manière protégée des données
entre deux périphériques (machines, routeurs, )
Deux modes
Mode tunnel
Sécurisation du trafic entre 2 réseaux (de
routeur à routeur)
Protection de lentête et de la charge
Mode transport
Sécurisation du trafic entre 2 machines (de PC à
PC en passant par des routeurs)
Protection de la charge seulement

14
IPsec

AH (IP Authentication Header) - RFC 2402
Authentification mutuelle
Intégrité des données et de ladresse IP (sans
chiffrement)
Ne traverse pas le NAT
ESP (IP Encapsulating Security Payload) - RFC
2406
Authentification mutuelle
Intégrité et chiffrement des données
Traverse le NAT
On utilise soit AH seul, soit ESP seul, soit AH
et ESP

15
IPSec AH (Authentication Header)en mode Transport
Données
Entête TCP
Entête IP orig.
Insertion
Données
Entête TCP
Couverture du hash pour lintégrité (sauf pour
les champs IP mutables)
Proch.Ent
Lgr charge
Rsrv
SecParamIndex
Keyed Hash
nSeq
24 octets au total
AH protocole IP 51
16
IPSec ESP (Encapsulating Security Payload)en
mode Transport
Data
TCP Hdr
Insertion
Ajout
Data
TCP Hdr
ESP Hdr
ESP Trailer
Usually encrypted
integrity hash coverage
SecParamIndex
Seq
InitVector
Keyed Hash
Padding
PadLength
NextHdr
22-36 bytes total
ESP is IP protocol 50
17
IPsec

Protocole IKE (Internet Key Exchange)
RFC 2409
En fait, 3 sous protocoles
ISAKMP (Internet Security Association Key
Management Protocol)
Oakley
SKEME
Négocie la méthode de sécurité qui sera employée
et fait léchange de clé (et établit une SA IKE,
ou main mode SA)

18
IPsec

Security Association (SA) IPsec
A chaque conversation protégée est associée une
SA IPsec qui est un enregistrement de la
configuration nécessaire au périphérique pour une
connexion IPsec donnée (liste les algorithmes
utilisés, les clés dauthentification et de
chiffrement, la durée de validité des clés, le
mode tunnel ou transport, adresse de destination,
numéros de séquence)
Une SA IPsec est négociée pour chaque flux
unidirectionnel
Security Parameter Index (SPI)
Les SA IPsec sont identifiées par un index (SPI)
La source indique valeur du SPI est dans lentête
du paquet IPsec

19
Vue de la pile TCP/IP dans le noyau de Windows
2000/XP/2003
RRAS Input/Output Interface Filters (SDK)
WinSock
Winsock Layered Service Providers (SDK)
NAT apis (SDK)
TDI API (DDK)/AFD.SYS
TCP/UDP/IP Connection UI Filters
TCP
Raw
ICMP
UDP
ICS-NAT/ICF (ipnat.sys)
Pile IP
IP Filter Hook (DDK)
IP Packet Filter driver (ipfltdrv.sys)
IPsec Filters, Encryption (ipsec.sys, fips.sys)
IP Frag/Reassembly
NDIS 5.0
Netmon driver (NMnt.sys)
PPTP
L2TP
Task offload miniport (DDK) TCP checksum, IPsec,
large TCP send
20
Processus de sécurité IPsec

Un périphérique (initiator) demande une connexion
IPsec à un autre périphérique (responder)
Une politique de sécurité (IPsec policy) a été
définie, ensemble de règles qui déterminent
quelles actions à entreprendre (autoriser,
refuser, sécuriser) pour quels datagrammes
Une négociation a lieu pour déterminer les clés
et les algorithmes (SA IKE)
Une association de sécurité (SA IPsec) est
établie par chaque périphérique pour chaque
direction de la connexion (entrante et sortante)

21
Exemple dans Windows
3
22
Lenvoi de datagrammes déclenche une négociation
IKE
Serveur ou passerelle
Appli ou Service client
PiloteIPSec
PiloteIPSec
NIC
NIC

Internet Key Exchange (IKE)
Phase 1 Main Mode établit la SA IKE canal de
confiance entre les systèmes, la négociation
établit un canal chiffré, la confiance mutuelle,
et génère dynamiquement une clé secrète partagée
("clé maîtresse")
Phase 2 Quick Mode établit les SA IPSec pour
la protection des donées, une SA pour chaque
direction identifiée par le SPI (compris dans le
datagramme), algorithmes et formats de
datagrammes convenus, génère les clés de session
partagées dérivées de la clé maîtresse

23
Aperçu dune politique IPsec
La stratégie IPsec est appliquée via une
stratégie de groupe, et contiennent un ensemble
de règles et spécifient comment utiliser IKE
StratégieIPsec
Méthodes déchange de clés (IKE)

Méthodes dauthentification (Kerberos,
Certificats, Clés statiques)
Chaque règle associe une liste de filtres à une
action, et spécifie les méthodes
dauthentification
Règles
Méthodes de sécurité (Chiffrement, hashing, Durée
de vie des clés)
Liste de filtres
Action
Une liste de filtres est un ensemble de filtres
Une action désigne ce quil faut faire du trafic
qui correspond à une liste de filtres
Autoriser, Refuser, Négocier la sécurité
Un filtre décrit un type de trafic à identifier
(adresse IP, sous-réseau, port, et protocole pour
les deux extrémités dune connexion)
Filtres
24
Filtres IPsec

Attention une seule politique IPsec par machine
Liste de sous-réseaux connus et dadresses IP
dinfrastructure
Deux types de filtres
Mode principal IKE
Utilisent uniquement les adresses source et
destination
Mode rapide IKE
Adresses, protocoles, ports

25
Actions IPsec

Action de filtre (prérequis de sécurité
autoriser, refuser, négocier la sécurité)
Si négocier
Méthodes déchange des clés (liste ordonnée)
Accepter ou non le trafic entrant non sécurisé
Communication en clair ou non avec les machines
non IPsec
Renouvellement des clés

26
Les menaces prises en compte par IPsec

Modification des données en transit
Accès non authentifié à des systèmes approuvées
Y compris la propagation dun ver dune machine
non approuvée vers une machine approuvée
Attaques Man-in-the-middle
Usurpation
Écoute du réseau

27
Ce dont lisolation avec IPsec ne vous protège pas

Ingénierie sociale
Vulnérabilités applicatives
Attaques de systèmes approuvés ou utilisateurs
approuvés
Utilisateurs approuvés divulguant des données
critiques
Utilisateurs approuvés employant mal ou
abusivement leur statut d'utilisateur approuvé
Mise en péril des informations d'identification
des utilisateurs approuvés
Ordinateurs approuvés compromis accédant à
d'autres ordinateurs approuvés
Non-conformité des périphériques approuvés en
matière de sécurité
Ordinateurs non approuvés accédant à d'autres
ordinateurs non approuvés
Absence de protection physique

28
Démo

Configurer et attribuer une stratégie IPsec

29
La solution disolation
30
Définitions

Isolation de domaine
Seules les machines de confiance du domaine sont
autorisées à venir se connecter (inbound) avec
certains types daccès réseau
Toutes les machines de confiance peuvent accéder
les unes aux autres (sauf restriction comme
utilisation dun pare-feu)
Pour tout trafic TCP/IP excepté ICMP
Peut inclure de lisolation de serveur
Isolation de serveur
Autorise un sous-ensemble des machines de
confiance à venir se connecter
Pour tout trafic TCP/IP excepté ICMP
Autorisation accordée à un groupe de clients du
domaine authentifiés (Access This Computer From
the Network)

31
Composants de la solution

Hôtes
Groupes disolation
Groupes daccès réseau (NAG Network Access
Groups)

32
Hôtes

Serveurs et stations
Initiators et responders
Répartition en états daprès le niveau de
confiance, basé sur le fait que la machine soit
Gérée
Membre du domaine
Au niveau minimum de sécurité requis
États
Non approuvés (hôtes de défiance)
Périphérique qui peut ne pas répondre aux
exigences de sécurité minimales, principalement
parce qu'il n'est pas géré ou contrôlé de manière
centrale
Approuvables (hôtes dignes de confiance)
Approuvés (hôtes de confiance)
Périphérique géré qui se trouve dans un état
connu et qui correspond aux exigences de sécurité
minimales

33
Létat est transitoire

Tous les systèmes commence dans létat non
approuvé
Approuvable indique la capacité à être approuvé
Approuvé signifie que la machine sest
authentifiée avec IKE et est autorisée à
communiquer
De laudit est nécessaire pour diminuer la
surface dattaque et assurer la conformité !

34
Groupes

Groupes disolation
Groupes de base
Groupes additionnels
Groupes daccès réseau (NAG Network Access
Groups)
Niveau supplémentaire dautorisation
Utilise des groupes dutilisateurs classiques
Contient des utilisateurs et des machines
Par défaut Tout le monde
On les places soit dans le droit ALLOW ou
DISALLOW dans la stratégie de groupe (ANAG DNAG)

35
Sans isolation

Authentification des utilisateurs
Autorisation basée sur cette authentification
Un exemple Sans isolation

36
Sans isolation

Autorisations de partage et d'accès

Étape 1 connexion à la machine
(Étape 2 machine autorisée ou non interdite)

Sans isolation
Autorisation d'accèsà la machine pour un
utilisateur (SMB, RPC, )
Autorisationd'accès à la machine pour une
autre machine
2
37
Sans isolation

Autorisations de partage et d'accès

Étape 1 connexion à la machine
(Étape 2 machine autorisée ou non interdite)
(Étape 3 Autorisations d'accès à l'hôte
vérifiées pour l'utilisateur (par défaut pas de
restriction))
Étape 4 Autorisations de partage et d'accès
vérifiées

Sans isolation
Autorisation d'accèsà la machine pour un
utilisateur (SMB, RPC, )
Stratégie de groupe
Autorisationd'accès à la machine pour une
autre machine
Pas de restriction par défaut
1
38
Isolation de domaine avec IPsec comment ça
marche ?

IPsec pour
Prendre en compte lauthentification du compte
machine
Assurer lintégrité des données
Fournir le chiffrement (si nécessaire)
Stratégies de groupe pour
Distribuer les politiques
Autoriser laccès à un utilisateur ou une machine
Exemple Avec lisolation de domaine et de
serveur en place

39
Contrôle de l'accès aux ordinateurs à l'aide des
groupes d'accès réseau et d'IPSec

Autorisations de partage et d'accès

Étape 1 L'utilisateur essaie d'accéder à un
partage sur un serveur
Étape 2 Mode principal de la négociation IKE
Étape 3 Négociation de la méthode de sécurité
IPSec

Isolation
Autorisation d'accèsà la machine pour un
utilisateur (SMB, RPC, )
Autorisationd'accès à la machine pour une
autre machine(IPsec)
3
40
Contrôle de l'accès aux hôtes à l'aide des
groupes d'accès réseau

Autorisations de partage et d'accès

Étape 1 L'utilisateur essaie d'accéder à un
partage sur un serveur
Étape 2 Négociation IKE en mode principal
Étape 3 Négociation de la méthode de sécurité
IPSec
Étape 4 Autorisations d'accès à l'hôte
vérifiées pour l'utilisateur
Étape 5 Autorisations de partage et d'accès
vérifiées

Isolation
Autorisation d'accèsà la machine pour un
utilisateur (SMB, RPC, )
Stratégie de groupe
Autorisationd'accès à la machine pour une
autre machine(IPsec)
NAG Ordinateurs_Dépt
Stratégie IPSec
2
3
1
41
Mise en uvre

Les grandes étapes de mise en oeuvre

42
Comment sy prendre ?

Identifier les exigences métier
Faire un bilan de létat actuel
Machines, topologie réseau, structure Active
Directory, applications
Organiser les systèmes en groupes disolation
Daprès les exigences métier
Créer des politiques pour assurer les exigences
métier
Assigner les politiques aux groupes disolation
Assigner des droits Allow and Deny aux
politiques

43
Quelques conseils

Faire simple
Essayer tout dabord de se limiter aux groupes de
base
Établir un environnement de TEST
Tester tous les changements avant le déploiement
en production
Déployer en phases
Toujours avoir un plan de repli
Déployer les politiques sur de petits groupes
pilotes dans un premier temps, puis étendre à des
groupes ou des sites plus grands
Former votre équipe
Dépannage IPsec
Ne pas hésiter à se faire aider

44
Conception du modèle d'isolation

Conception des groupes de base
Création des listes d'exemptions
Planification des groupes d'ordinateurs et des
groupes d'accès réseau
Création de groupes d'isolation supplémentaires
Modélisation du trafic
Affectation de membres aux groupes d'ordinateurs
et aux groupes d'accès réseau

45
Les groupes de base

Groupes Non-IPsec
Systèmes de défiance
Groupe par défaut
Exemptions
Infrastructure de confiance
Groupes IPsec
Domaine disolation
Groupe de confiance par défaut
Limitrophe
Groupe de confiance à plus haut risque

Domaine d'isolation
Groupe d'isolation limitrophe
Systèmes non approuvés
46
Création des listes dexemptions

Un hôte répondant à l'une des conditions
suivantes sera susceptible d'être intégré à la
liste d'exemptions
Si l'hôte est un ordinateur auquel les hôtes
approuvés ont besoin d'accéder mais qui n'est pas
doté d'une implémentation IPSec compatible
Si l'hôte est utilisé pour une application
défavorablement affectée par le délai de retour à
une communication en texte clair de trois
secondes, ou par l'encapsulation du trafic
applicatif d'IPSec
Si l'hôte présente des problèmes qui ont un
impact sur ses performances
Si l'hôte est un contrôleur de domaine
Exemples DNS, DHCP, DC,
Maintenir petite la liste car
Réduction de lintérêt de lisolation
Fardeau de la gestion
Augmentation de la taille de la stratégie (et
donc temps de téléchargement, mémoire, CPU)
Conseil processus formel de justification
daffectation dune machine à la zone limitrophe

47
Planification des groupes d'ordinateurs et des
groupes d'accès réseau

Groupes d'ordinateurs
Utilisés pour contenir les membres d'un groupe
d'isolation spécifique
Permettent lattribution de stratégies de groupe
pour implémenter différents paramètres de
sécurité
Non nécessaires si on peut organiser les OU pour
refléter les groupes disolation
Attention ne pas placer une machine dans
plusieurs groupes
Groupes d'accès réseau
Peuvent être de deux types, Autoriser ou Refuser
Utilisés dans une stratégie de groupe afin de
contrôler l'accès Autoriser ou Refuser à une
machine
Limiter leur nombre (sinon la complexité à gérer
augmente)
Les droits utilisateurs Allow et Deny ne
fusionnent pas (donc viennent dune seule GPO)

48
Cartographie du trafic entre groupes de base

Schématiser toutes les communications autorisées
entre les groupes de base

49
Groupes disolation additionnels (si nécessaire)

Si les exigences métier le nécessitent
Exemples
Groupe disolation sans Fallback
Bloque les communications sortantes vers des
machines de défiance
Chiffrement nécessaire
Groupe de haute sécurité
Toutes les communications doivent utiliser le
chiffrement
Autres besoins relatifs au flux de trafic réseau
entrant ou sortant
Limitation de l'accès hôte ou utilisateur requise
au niveau du réseau

Domaine d'isolation
Groupe d'isolation Chiffrement
Groupe d'isolation Pas de retour au texte clair
Systèmes non approuvés
50
Cartographie du trafic avec les groupes
additionnels

Schématiser toutes les communications autorisées
avec les groupes additionnels

51
Les groupes daccès réseau NAG (1)

Les groupes daccès réseau (NAG) sont utilisés
pour autoriser ou interdire explicitement laccès
à un système via le réseau
Les noms sont choisis daprès la fonction
ANAG Allow Network Access Group (autorisation)
DNAG Deny Network Access Group (interdiction)
Peut contenir des utilisateurs, des machines ou
des groupes
Utilisation de groupes locaux de domaines

52
Les groupes daccès réseau NAG (2)

Les groupes daccès réseau (NAG) sont identifiés
par le biais du processus de cartographie du
trafic
Les groupes dinterdiction daccès réseau (DNAG)
sont identifiés quand des utilisateurs ou des
machines dun ou plusieurs groupes disolation
IPsec ne permettent pas des communications
bidirectionnelles
Les groupes dautorisation daccès réseau (ANAG)
sont identifiés quand des sous ensembles
dutilisateurs ou de machines dans un ou
plusieurs groupes disolation IPsec doivent
obtenir laccès à une ressource

53
Affectation de membres aux groupes d'ordinateurs
ou aux groupes d'accès réseau

Dernières tâches de conception de groupes
d'isolation
Affectation à un groupe d'ordinateurs Placer
chaque ordinateur dans un groupe en fonction des
exigences de communication
Affectation à un groupe d'accès réseau Placer
les utilisateurs et les ordinateurs qui
requièrent des autorisations granulaires dans
chacun des groupes d'accès réseau (NAG)
précédemment identifiés

54
Les groupes daccès réseau pour le groupe
disolation Chiffrement

Naccepte pas les requêtes depuis le groupe
disolation Frontière
Les systèmes sont restreints à certains
utilisateurs et machines spécifiques

55
Aperçu dune politique IPsec
La stratégie IPsec est appliquée via une
stratégie de groupe, et contiennent un ensemble
de règles et spécifient comment utiliser IKE
StratégieIPsec
Méthodes déchange de clés (IKE)

Request Mode
Accepte un flux entrant en clair
Autorise un flux sortant en clair
Secure Request Mode
Autorise un flux sortant en clair
Full Require Mode
Require Encryption Mode
Chiffrement obligatoire

57
Application dune politique IPsec

Liée au niveau du domaine
La stratégie de groupe du domaine par défaut
sapplique en premier
La politique la plus restrictive devrait être la
dernière appliquée
Filtrage par groupe
Les machines de CG_NoIPsec_Computers nutilisent
jamais IPsec
Des groupes globaux et universels sont utilisés
Les utilisateurs authentifiés se voient accorder
les droits de lecture seulement

58
Démo

Groupes daccès réseau (NAG)
IPsec en action

59
Déploiement

Déploiement par construction
Au départ, la politique a des exemptions et
nexige pas IPsec pour tous les sous-réseaux à
sécuriser
Laction de filtre Request Mode est utilisée
pour les listes de filtres des sous-réseaux
sécurisés
Les sous-réseaux sont petit à petit ajoutés à la
liste des filtres des sous-réseaux sécurisés,
puis testés
Déploiement par groupe
La politique IPsec est définie et liée
Des groupes sont utilisés pour contrôler
lapplication de la stratégie (via des
permissions)

60
Autres points à prendre en considération

Le nombre maximal de connexions simultanées IPSec
aux serveurs, par hôte distinct
La taille de jeton maximale pour les hôtes
utilisant IPSec
Avant le déploiement
Périphériques saturés
Périphériques incompatibles
Adressage IP
Participation du client/serveur
Services qui doivent être isolés
Équilibrage de la charge réseau et mise en
cluster

61
Compléments
62
Gestion dun environnement avec isolation IPsec

Chapitre 6
En raison des temps de réplication
Créer les objets dabord (GPO, stratégie IPsec)
Puis seulement après assigner la stratégie IPsec
dans la stratégie de groupe
En cas de remplacement dun filtre générique par
un filtre plus spécifique
Ajouter le filtre spécifique
Supprimer le filtre générique ensuite
Lordre des filtres na pas dimportance (le plus
spécifique sapplique dabord)
Les stratégies IPsec ne sont pas stockées dans
les stratégies de groupe (doù prudence lors de
la sauvegarde utiliser sauvegarde de létat du
système)

63
Dépannage

Chapitre 7
Diagrammes p167 et suivantes
Outils
ping
net view
srvinfo
netdiag
nltest
ipseccmd
netsh ipsec

64
Performance

Négociation IPsec 1 à 2 secondes
Usage CPU augmente si chiffrement
Chaque SA IKE prend 5ko de RAM
Déploiement MS en interne 1 à 3 de trafic
supplémentaire
Lutilisation de stratégies de groupe
supplémentaires augmentera le temps de démarrage
de machine et douverture de session
Pour les routeurs ou commutateurs ayant plus de
75 dutilisation, envisager une mise à jour

65
Inconvénients

Inspection du trafic potentiellement impossible
du fait de la protection IPsec
Pour le trafic IPsec avec authentification seule
(pas de chiffrement)
Nécessité de mettre à jour son logiciel
dinspection pour tenir compte de lentête IPsec
Pour le trafic chiffré IPsec
IDS réseau -gt IDS hôte
Filtres sur ports réseau -gt filtre sur pare-feu
hôte
Rapport sur le trafic par port -gt adresse IP
seulement
Courbe dapprentissage pour cette nouvelle
technologie qui change fondamentalement les
communications TCP/IP
Nécessité davoir une planification détaillée et
une bonne coordination pour lisolation de domaine

66
Faiblesses principales

Un administrateur local peut désactiver IPsec
Autorise laccès entrant depuis des machines de
défiance
Mais ne permettra pas à la machine de se
connecter à des machines de confiance
Un administrateur local peut changer la politique
locale dynamique (local dynamic policy)
Linspection réseau est limitée au trafic non
chiffré (avec un analyseur adéquat)
Tous les membres du domaine ne peuvent pas être
protégés (ex DC, DHCP)

67
Synthèse
68
Synthèse

Déployer IPSec pour fournir l'authentification et
le chiffrement
Combiner IPSec, les groupes de sécurité et les
stratégies de groupe pour l'isolation logique
Implémenter des groupes supplémentaires pour
isoler des ressources ou fournir les
fonctionnalités requises
Utiliser la zone Limitrophe comme point de
départ, lors du déploiement de groupes
d'isolation, à l'aide d'IPSec

69
Bénéfices principaux

Réduit la surface dattaque sur les machines
isolées
Microsoft avait de nombreux systèmes non gérés
sur son réseau
Augmente ladhésion au domaine
Fournit des protections supplémentaires contre
les vers et les virus
Remède plus rapide en cas dinfection
Propagation plus lente
Améliore la protection contre les attaques
internes
Lautorisation nécessite un compte utilisateur
autorisé ET ue machine digne de confiance
Audite les connexions
Isole les machines de confiance des autres
machines de confiance
Fournit un authentification et un chiffrement
pour le partage de fichiers (SMB/CIFS) et les
autres protocoles non sécurisés

70
Ensuite ?

Un peu de lecture
Domain and Server Isolation Using IPsec and Group
Policy Guide
Microsoft Solutions for Security Guide
Improving Security with Domain Isolation
Livre blanc sur le retour dexpérience interne de
Microsoft IT
Using Microsoft Windows IPsec to Help Secure an
Internal Corporate Network Server
Livre blanc conjoint de Microsoft et Foundstone
Documentation IPsec
Aide en ligne
Aide produit
Kit de déploiement Windows Server 2003
Un peu daction
Démarrer laudit de létat de votre réseau

71
Ressources et références

Server and Domain Isolation Using IPsec and Group
Policy Guide http//go.microsoft.com/fwlink/?li
nkid33947
Improving Security with Domain Isolation (retour
dexpérience de MS IT avec IPsec)
http//www.microsoft.com/technet/itsolutions/msi
t/security/IPsecdomisolwp.mspx
TechNet Support Webcast for IPsec
http//support.microsoft.com/default.aspx?kbid8
88266
Plus dinfos sur http//www.microsoft.com/ipsec
IPSec troubleshooting toolshttp//www.microsoft.c
om/technet/prodtechnol/windowsserver2003/library/S
erverHelp/ebcbc96d-b236-401d-a98b-91c965a3d18f.msp
x

72
Le guide en françaisDisponible depuis le 13 juin
2005

http//www.microsoft.com/france/technet/securite/i
psec/default.mspx
http//www.microsoft.com/france/technet/securite/i
psec/ipsecack.mspx
http//www.microsoft.com/france/technet/securite/i
psec/ipsecapa.mspx
http//www.microsoft.com/france/technet/securite/i
psec/ipsecapb.mspx
http//www.microsoft.com/france/technet/securite/i
psec/ipsecapc.mspx
http//www.microsoft.com/france/technet/securite/i
psec/ipsecapd.mspx
http//www.microsoft.com/france/technet/securite/i
psec/ipsecch1.mspx
http//www.microsoft.com/france/technet/securite/i
psec/ipsecch2.mspx
http//www.microsoft.com/france/technet/securite/i
psec/ipsecch3.mspx
http//www.microsoft.com/france/technet/securite/i
psec/ipsecch4.mspx
http//www.microsoft.com/france/technet/securite/i
psec/ipsecch5.mspx
http//www.microsoft.com/france/technet/securite/i
psec/ipsecch6.mspx
http//www.microsoft.com/france/technet/securite/i
psec/ipsecch7.mspx

73
Microsoft France 18, avenue du Québec 91 957
Courtaboeuf Cedex www.microsoft.com/france 0
825 827 829 msfrance_at_microsoft.com
74
Compléments
75
IPsec dans Windows

Plateformes concernées
Windows 2000 SP4
Windows Server 2003 ou ultérieur
Windows XP Service Pack 2 ou ultérieur
Composants certifiés FIPS 140-1
Filtres peuvent tenir compte des ports mais la
solution ici utilise unique les adresses IP pour
tout trafic sauf ICMP
Pour des questions de simplicité, utiliser des
groupes universels
La taille maxi dun jeton Kerberos 1000 groupes
par utilisateur

76
IPsec

Ne protège pas les trafic multicast et broadcast
Comparaison avec SSL
Transparent par rapport aux applications
Se situe au niveau 3 et donc ne peut pas vérifier
que le nom de la machine à laquelle lapplication
se connecte est bien celui attendu (risque
dattaque sophistiquée MITM)
Termes
Autoriser une communication non sécurisée avec
des ordinateurs nutilisant pas IPsec (Fall back
to clear)
Permet à un initiator à communiquer en TCP/IP
classique sil ny a pas de réponse IKE du
responder
Accepter les communications non sécurisées mais
toujours répondre en utilisant IPsec (Inbound
passthrough)
Permet à une machine capable dIPsec daccepter
du trafic TCP/IP classique (ni IKE, ni IPsec)
entrant depuis une machine distante et de
répondre par une négociation IKE
Attention si on active cette option-ci mais pas
celle-là alors le responder ne peut pas
communiquer avec un initiator incapable dIPsec

77
IPsec

Activation de PMTU nécessaire pour un bon
fonctionnement dIPsec
Envisager lexemption des clusters et des
machines en NLB
IPsec est incompatible avec NLB en mode sans
affinité
Client VPN IPsec non Microsoft
Doivent autoriser la communication IKE et IPsec
Sinon envisager de créer des exemptions pour le
sous-réseau des clients VPN

78
Valeur de la solution

Améliore la sécurité
Fonctionne avec des mécanismes existants pour
fournir une défense en profondeur
Isole dans un compartiment les systèmes de
confiance des autres systèmes de confiance
Beaucoup moins cher que de lisolation physique
(sans la remplacer complètement)
Protection des données sensibles
Authentification mutuelle et (de manière
facultative) chiffrement
Contrôle daccès plus précis