isolation de domaine avec les stratégies de groupe et ipsec cyril voisin chef de programme...

Isolation de domaine avec Isolation de domaine avec les stratégies de groupe les stratégies de groupe

et IPsecet IPsec

Isolation de domaine avec Isolation de domaine avec les stratégies de groupe les stratégies de groupe

et IPsecet IPsec

Cyril VoisinCyril VoisinChef de programme Chef de programme SécuritéSécuritéMicrosoft FranceMicrosoft France

SommaireSommaire

La problématique de la sécurité des réseaux internesLa problématique de la sécurité des réseaux internesRappels sur IPsecRappels sur IPsecDémarche de mise en œuvreDémarche de mise en œuvre

État des lieux du réseauÉtat des lieux du réseauConception et planification des groupes d’isolationConception et planification des groupes d’isolationCréation des politiques IPsecCréation des politiques IPsecDéploiementDéploiement

ComplémentsComplémentsGestion d’un environnement avec isolation IPsecGestion d’un environnement avec isolation IPsecDépannageDépannagePerformancePerformanceInconvénientsInconvénientsFaiblessesFaiblesses

SynthèseSynthèse

Sécurité sur les grands Sécurité sur les grands réseaux internesréseaux internes

Sécurité sur les grands Sécurité sur les grands réseaux internesréseaux internes

Les défis et la solution IPsecLes défis et la solution IPsec

ProblématiqueProblématique

Les réseaux internes de grande taille ne Les réseaux internes de grande taille ne présentent pas le même environnement de présentent pas le même environnement de confiance :confiance :

Impossibilité de contrôler qui/quoi se connecte Impossibilité de contrôler qui/quoi se connecte physiquement en internephysiquement en interne

De nombreuses machines non gérées De nombreuses machines non gérées représentent une menace d’infectionreprésentent une menace d’infection

Besoin de se connecter avec les partenaires/sous-Besoin de se connecter avec les partenaires/sous-traitants/clients tout en limitant l’accèstraitants/clients tout en limitant l’accès

Un seul réseau mais plusieurs divisions, Un seul réseau mais plusieurs divisions, entreprises, responsables ITentreprises, responsables IT

Le vol ou l’abus d’utilisation des lettres de Le vol ou l’abus d’utilisation des lettres de crédance d’un utilisateur non détectéscrédance d’un utilisateur non détectés


Les réseaux internes de grande taille peuvent Les réseaux internes de grande taille peuvent avoir plusieurs chemins indépendants qui les avoir plusieurs chemins indépendants qui les connectent à Internetconnectent à Internet

Le périmètre est mouvant et il est impossible de Le périmètre est mouvant et il est impossible de tout contrôler à la frontière en pratiquetout contrôler à la frontière en pratiqueLa menace « Internet » a élu résidence quelque La menace « Internet » a élu résidence quelque part sur le réseau internepart sur le réseau interne

La surface d’attaque inclut tout le trafic IP sur La surface d’attaque inclut tout le trafic IP sur tous les ports TCP/UDPtous les ports TCP/UDP

Le filtrage de paquets (pare-feu classiques) aide Le filtrage de paquets (pare-feu classiques) aide mais est insuffisant quand les client sont répartis mais est insuffisant quand les client sont répartis un peu partout sur le réseauun peu partout sur le réseauBesoin d’une stratégie de défense en profondeur Besoin d’une stratégie de défense en profondeur pour prendre en compte la sécurité au niveau pour prendre en compte la sécurité au niveau applicatifapplicatif


Les données sensibles ou critiques ont Les données sensibles ou critiques ont besoin d’une protection à la hauteur de besoin d’une protection à la hauteur de leur valeurleur valeur

Protéger l’accès réseau aux systèmes internes Protéger l’accès réseau aux systèmes internes qui stockent ou manipulent ces donnéesqui stockent ou manipulent ces données

Protéger le trafic réseau qui transportent ces Protéger le trafic réseau qui transportent ces données ou des informations d’authentificationdonnées ou des informations d’authentification

En reconnaissant que l’amélioration de la En reconnaissant que l’amélioration de la sécurité des applications existantes elles-sécurité des applications existantes elles-mêmes peut prendre du temps et coûter chermêmes peut prendre du temps et coûter cher

SolutionSolution

Isolation avec IPsec en mode transportIsolation avec IPsec en mode transportAuthentification des machinesAuthentification des machines

Protège tout le trafic TCP/IP entre des Protège tout le trafic TCP/IP entre des machines de confiancemachines de confiance

Intégrité et optionnellement chiffrement de Intégrité et optionnellement chiffrement de chaque datagrammechaque datagramme

Politique personnalisable déployée dans un Politique personnalisable déployée dans un domaine (pas de changement des domaine (pas de changement des applications existantes) applications existantes)

Comment l'isolation du Comment l'isolation du réseau s'inscrit-elle dans réseau s'inscrit-elle dans la sécurité du réseau ?la sécurité du réseau ?

Stratégies, procédures et sensibilisationStratégies, procédures et sensibilisation

Sécurité physiqueSécurité physique

Application

Hôte

Réseau interne

Périmètre

Données

Isolation logiqueIsolation logique

Fait partie de Fait partie de l’approche de l’approche de défense en défense en profondeurprofondeur

Se trouve d’un point Se trouve d’un point de vue logique entre de vue logique entre les couches réseau et les couches réseau et machinemachine

Consiste en la Consiste en la sécurisation de l’hôte sécurisation de l’hôte grâce au contrôle des grâce au contrôle des communications communications réseauréseau

Rappels IPsecRappels IPsecRappels IPsecRappels IPsec

IPsecIPsec

Environnement constitué de normes ouvertes destiné Environnement constitué de normes ouvertes destiné à garantir la sécurité et la confidentialité des à garantir la sécurité et la confidentialité des communications sur les réseaux IP, au moyen de communications sur les réseaux IP, au moyen de services de sécurité reposant sur le chiffrement des services de sécurité reposant sur le chiffrement des données données Avantages : Avantages :

Transparent pour les utilisateurs et les applications (à part Transparent pour les utilisateurs et les applications (à part l’établissement de la négociation initiale de la sécurité)l’établissement de la négociation initiale de la sécurité)Accès restreint aux serveurs Accès restreint aux serveurs Configuration personnalisable de la sécurité Configuration personnalisable de la sécurité Administration centrale de la stratégie IPSec via Administration centrale de la stratégie IPSec via Active Directory Active Directory

Attention : IPsec ne remplace pas un pare-feu (pas Attention : IPsec ne remplace pas un pare-feu (pas Stateful Packet InspectionStateful Packet Inspection))

Une exemption statique pour un trafic sortant représente aussi Une exemption statique pour un trafic sortant représente aussi une exemption statique pour le trafic entrant correspondantune exemption statique pour le trafic entrant correspondantUtiliser un pare-feu pour contrôler les communications par port Utiliser un pare-feu pour contrôler les communications par port ou par protocoleou par protocole

IPsecIPsec

Comme son nom l’indique travail au niveau Comme son nom l’indique travail au niveau réseau (couche 3) et permet d’établir un canal réseau (couche 3) et permet d’établir un canal sécurisé pour échanger de manière protégée sécurisé pour échanger de manière protégée des données entre deux périphériques des données entre deux périphériques (machines, routeurs, …)(machines, routeurs, …)

Deux modesDeux modesMode tunnelMode tunnel

Sécurisation du trafic entre 2 réseaux (de routeur à routeur)Sécurisation du trafic entre 2 réseaux (de routeur à routeur)

Protection de l’entête et de la chargeProtection de l’entête et de la charge

Mode transportMode transportSécurisation du trafic entre 2 machines (de PC à PC en Sécurisation du trafic entre 2 machines (de PC à PC en passant par des routeurs)passant par des routeurs)

Protection de la charge seulementProtection de la charge seulement

IPsecIPsec

AH (IP Authentication Header) - RFC 2402AH (IP Authentication Header) - RFC 2402Authentification mutuelleAuthentification mutuelle

Intégrité des données et de l’adresse IP (sans Intégrité des données et de l’adresse IP (sans chiffrement)chiffrement)

Ne traverse pas le NATNe traverse pas le NAT

ESP (IP Encapsulating Security Payload) - RFC ESP (IP Encapsulating Security Payload) - RFC 24062406

Authentification mutuelle Authentification mutuelle

Intégrité et chiffrement des donnéesIntégrité et chiffrement des données

Traverse le NATTraverse le NAT

On utilise soit AH seul, soit ESP seul, soit AH et On utilise soit AH seul, soit ESP seul, soit AH et ESPESP

IPSec AH (Authentication Header)IPSec AH (Authentication Header)en mode Transporten mode Transport

DonnéesDonnéesEntête TCPEntête TCPEntête IP orig.Entête IP orig.

DonnéesDonnéesEntête TCPEntête TCPEntête Entête AHAH

Entête IP orig.Entête IP orig.

Proch.EntProch.Ent Lgr chargeLgr charge RsrvRsrv SecParamIndeSecParamIndexx

Keyed HashKeyed Hash

Couverture du hash pour l’intégrité Couverture du hash pour l’intégrité (sauf pour les champs IP mutables)(sauf pour les champs IP mutables)

n°Seqn°Seq

24 octets au totalAH = protocole IP 51

Insertion

IPSec ESP (Encapsulating Security IPSec ESP (Encapsulating Security Payload)Payload)en mode Transporten mode Transport

DataDataTCP HdrTCP HdrOrig IP HdrOrig IP Hdr

DataDataTCP HdrTCP HdrESP ESP HdrHdr

Orig IP HdrOrig IP Hdr ESP ESP TrailerTrailer

ESP AuthESP Auth

Usually encryptedUsually encrypted

integrity hash coverageintegrity hash coverage

SecParamIndexSecParamIndex

Padding Padding PadLengthPadLengthNextHdrNextHdr

Seq#Seq# Keyed HashKeyed Hash

22-36 bytes total

InitVectorInitVector

ESP is IP protocol 50

Insertion

Ajout

IPsecIPsec

Protocole IKE (Protocole IKE (Internet Key ExchangeInternet Key Exchange))RFC 2409RFC 2409

En fait, 3 sous protocolesEn fait, 3 sous protocolesISAKMP (ISAKMP (Internet Security Association Key Internet Security Association Key Management ProtocolManagement Protocol))

Oakley

SKEMESKEME

Négocie la méthode de sécurité qui sera Négocie la méthode de sécurité qui sera employée et fait l’échange de clé (et établit employée et fait l’échange de clé (et établit une SA IKE, ou une SA IKE, ou main mode SAmain mode SA))

IPsecIPsec

Security Association Security Association (SA) IPsec(SA) IPsecA chaque conversation protégée est associée une A chaque conversation protégée est associée une SA IPsec qui est un enregistrement de la SA IPsec qui est un enregistrement de la configuration nécessaire au périphérique pour une configuration nécessaire au périphérique pour une connexion IPsec donnée (liste les algorithmes connexion IPsec donnée (liste les algorithmes utilisés, les clés d’authentification et de utilisés, les clés d’authentification et de chiffrement, la durée de validité des clés, le mode chiffrement, la durée de validité des clés, le mode tunnel ou transport, adresse de destination, tunnel ou transport, adresse de destination, numéros de séquence)numéros de séquence)Une SA IPsec est négociée pour chaque flux Une SA IPsec est négociée pour chaque flux unidirectionnelunidirectionnel

Security Parameter IndexSecurity Parameter Index (SPI) (SPI)Les SA IPsec sont identifiées par un index (SPI)Les SA IPsec sont identifiées par un index (SPI)La source indique valeur du SPI est dans l’entête La source indique valeur du SPI est dans l’entête du paquet IPsecdu paquet IPsec

Vue de la pile TCP/IP dans Vue de la pile TCP/IP dans le noyau de Windows le noyau de Windows 2000/XP/20032000/XP/2003

IP Packet Filter driver (ipfltdrv.sys)IP Packet Filter driver (ipfltdrv.sys)IP Filter Hook (DDK)IP Filter Hook (DDK)

TCPTCP RawRawICMPICMPUDPUDP

WinSockWinSock

Winsock Layered Service Providers (SDK)Winsock Layered Service Providers (SDK)

IPsec Filters, Encryption (ipsec.sys, fips.sys)IPsec Filters, Encryption (ipsec.sys, fips.sys)

IP Frag/ReassemblyIP Frag/Reassembly

PPTPPPTP L2TPL2TP

NDIS 5.0NDIS 5.0

ICS-NAT/ICF (ipnat.sys)ICS-NAT/ICF (ipnat.sys)

TCP/UDP/IP Connection UI FiltersTCP/UDP/IP Connection UI Filters

Pile IPPile IP

Netmon driver (NMnt.sys)Netmon driver (NMnt.sys)

TDI API (DDK)/AFD.SYSTDI API (DDK)/AFD.SYS

RRAS Input/Output Interface Filters (SDK)RRAS Input/Output Interface Filters (SDK)

Task offload miniport Task offload miniport (DDK): TCP checksum, (DDK): TCP checksum, IPsec, large TCP sendIPsec, large TCP send

NAT apis (SDK)NAT apis (SDK)

Processus de sécurité IPsecProcessus de sécurité IPsec

Un périphérique (Un périphérique (initiatorinitiator) demande une ) demande une connexion IPsec à un autre périphérique connexion IPsec à un autre périphérique ((responderresponder))Une politique de sécurité (IPsec policy) a été Une politique de sécurité (IPsec policy) a été définie, ensemble de règles qui déterminent définie, ensemble de règles qui déterminent quelles actions à entreprendre (autoriser, quelles actions à entreprendre (autoriser, refuser, sécuriser) pour quels datagrammesrefuser, sécuriser) pour quels datagrammesUne négociation a lieu pour déterminer les Une négociation a lieu pour déterminer les clés et les algorithmes (SA IKE)clés et les algorithmes (SA IKE)Une association de sécurité (SA IPsec) est Une association de sécurité (SA IPsec) est établie par chaque périphérique pour chaque établie par chaque périphérique pour chaque direction de la connexion (entrante et direction de la connexion (entrante et sortante)sortante)

Exemple : dans WindowsExemple : dans Windows

Couche TCPCouche TCP

Pilote IPSecPilote IPSec

Couche TCPCouche TCP

Pilote IPSecPilote IPSec

Datagrammes IP chiffrésDatagrammes IP chiffrés33

Négociation IKE (Internet Key Exchange)

Négociation IKE (Internet Key Exchange)

22

Stratégie IPSecStratégie IPSecStratégie IPSecStratégie IPSec

11Active DirectoryActive Directory

L’envoi de datagrammes L’envoi de datagrammes déclenche une négociation IKEdéclenche une négociation IKE

Internet Key Exchange (IKE) Internet Key Exchange (IKE) Phase 1 “Main Mode” établit la SA IKE – canal de confiance entre les systèmes, la Phase 1 “Main Mode” établit la SA IKE – canal de confiance entre les systèmes, la

négociation établit un canal chiffré, la confiance mutuelle, et génère dynamiquement négociation établit un canal chiffré, la confiance mutuelle, et génère dynamiquement une clé secrète partagée ("clé maîtresse")une clé secrète partagée ("clé maîtresse")

Phase 2 “Quick Mode” établit les SA IPSec– pour la protection des donées, une SA pour Phase 2 “Quick Mode” établit les SA IPSec– pour la protection des donées, une SA pour chaque direction identifiée par le SPI (compris dans le datagramme), algorithmes et chaque direction identifiée par le SPI (compris dans le datagramme), algorithmes et formats de datagrammes convenus, génère les clés de session partagées dérivées de la formats de datagrammes convenus, génère les clés de session partagées dérivées de la clé maîtresseclé maîtresse

NIC

TCP/IP

Serveur ou passerelle

PiloteIPSec

filtres

IPSecPolicyAgen

tIKE (ISAKMP)

PiloteIPSec

IPSecPolicyAgen

t IKE (ISAKMP)

NIC

TCP/IPfiltres

Appli ou Serviceclient

“IKE Responder”“IKE Initiator”

NégociationUDP port 500

1 IKE SA

2 SA IPSec

Protocole IP 50/51

Aperçu d’une politique IPsecAperçu d’une politique IPsec

Liste de filtres

Action

Règles

StratégieIPsec

Filtres

Méthodes d’échange de clés (IKE)

Méthodes d’authentification (Kerberos, Certificats, Clés

statiques)

Méthodes de sécurité (Chiffrement, hashing, Durée de vie des clés)

La stratégie IPsec est appliquée via une stratégie de groupe, et contiennent un ensemble de règles et spécifient comment utiliser IKE

Chaque règle associe une liste de filtres à une action, et spécifie les méthodes d’authentification

Une liste de filtres est un ensemble de filtres

Un filtre décrit un type de trafic à identifier (adresse IP, sous-réseau, port, et protocole pour les deux extrémités d’une connexion)

Une action désigne ce qu’il faut faire du trafic qui correspond à une liste de filtres : Autoriser, Refuser, Négocier la sécurité

Filtres IPsecFiltres IPsec

Attention : une seule politique IPsec par Attention : une seule politique IPsec par machinemachine

Liste de sous-réseaux connus et Liste de sous-réseaux connus et d’adresses IP d’infrastructured’adresses IP d’infrastructure

Deux types de filtresDeux types de filtresMode principal IKEMode principal IKE

Utilisent uniquement les adresses source et Utilisent uniquement les adresses source et destinationdestination

Mode rapide IKEMode rapide IKEAdresses, protocoles, portsAdresses, protocoles, ports

Actions IPsecActions IPsec

Action de filtre (prérequis de sécurité : Action de filtre (prérequis de sécurité : autoriser, refuser, négocier la sécurité)autoriser, refuser, négocier la sécurité)

Si négocierSi négocierMéthodes d’échange des clés (liste ordonnée)Méthodes d’échange des clés (liste ordonnée)

Accepter ou non le trafic entrant non sécuriséAccepter ou non le trafic entrant non sécurisé

Communication en clair ou non avec les Communication en clair ou non avec les machines non IPsecmachines non IPsec

Renouvellement des clésRenouvellement des clés

Les menaces prises en compte Les menaces prises en compte par IPsecpar IPsec

Modification des données en transitModification des données en transitAccès non authentifié à des systèmes Accès non authentifié à des systèmes approuvéesapprouvées

Y compris la propagation d’un ver d’une Y compris la propagation d’un ver d’une machine non approuvée vers une machine machine non approuvée vers une machine approuvéeapprouvée

Attaques Man-in-the-middleAttaques Man-in-the-middleUsurpationUsurpationÉcoute du réseauÉcoute du réseau……

Ce dont l’isolation avec IPsec Ce dont l’isolation avec IPsec ne vous protège pasne vous protège pas

Ingénierie socialeIngénierie socialeVulnérabilités applicativesVulnérabilités applicativesAttaques de systèmes approuvés ou utilisateurs Attaques de systèmes approuvés ou utilisateurs approuvés :approuvés :

Utilisateurs approuvés divulguant des données critiques Utilisateurs approuvés divulguant des données critiques Utilisateurs approuvés employant mal ou abusivement leur Utilisateurs approuvés employant mal ou abusivement leur statut d'utilisateur approuvé statut d'utilisateur approuvé Mise en péril des informations d'identification des Mise en péril des informations d'identification des utilisateurs approuvésutilisateurs approuvésOrdinateurs approuvés compromis accédant à d'autres Ordinateurs approuvés compromis accédant à d'autres ordinateurs approuvésordinateurs approuvésNon-conformité des périphériques approuvés en matière de Non-conformité des périphériques approuvés en matière de sécuritésécurité

Ordinateurs non approuvés accédant à d'autres Ordinateurs non approuvés accédant à d'autres ordinateurs non approuvésordinateurs non approuvésAbsence de protection physiqueAbsence de protection physique

La solution d’isolationLa solution d’isolationLa solution d’isolationLa solution d’isolation

DéfinitionsDéfinitions

Isolation de domaineIsolation de domaineSeules les machines de confiance du domaine sont Seules les machines de confiance du domaine sont autorisées à venir se connecter (autorisées à venir se connecter (inboundinbound) avec ) avec certains types d’accès réseaucertains types d’accès réseau

Toutes les machines de confiance peuvent accéder les Toutes les machines de confiance peuvent accéder les unes aux autres (sauf restriction comme utilisation d’un unes aux autres (sauf restriction comme utilisation d’un pare-feu)pare-feu)Pour tout trafic TCP/IP excepté ICMPPour tout trafic TCP/IP excepté ICMPPeut inclure de l’isolation de serveurPeut inclure de l’isolation de serveur

Isolation de serveurIsolation de serveurAutorise un sous-ensemble des machines de Autorise un sous-ensemble des machines de confiance à venir se connecter confiance à venir se connecter

Pour tout trafic TCP/IP excepté ICMPPour tout trafic TCP/IP excepté ICMPAutorisation accordée à un groupe de clients du domaine Autorisation accordée à un groupe de clients du domaine authentifiés (“Access This Computer From the Network”)authentifiés (“Access This Computer From the Network”)

Composants de la solutionComposants de la solution

HôtesHôtes

Groupes d’isolationGroupes d’isolation

Groupes d’accès réseau (NAG – Groupes d’accès réseau (NAG – Network Access Groups)Network Access Groups)

HôtesHôtes

Serveurs et stationsServeurs et stationsInitiatorsInitiators et et respondersresponders

Répartition en états d’après le niveau de confiance, Répartition en états d’après le niveau de confiance, basé sur le fait que la machine soit :basé sur le fait que la machine soit :

GéréeGéréeMembre du domaineMembre du domaineAu niveau minimum de sécurité requisAu niveau minimum de sécurité requis

États :États :Non approuvés (hôtes de défiance)Non approuvés (hôtes de défiance)

Périphérique qui peut ne pas répondre aux exigences de Périphérique qui peut ne pas répondre aux exigences de sécurité minimales, principalement parce qu'il n'est pas géré ou sécurité minimales, principalement parce qu'il n'est pas géré ou contrôlé de manière centralecontrôlé de manière centrale

Approuvables (hôtes dignes de confiance) Approuvables (hôtes dignes de confiance) Approuvés (hôtes de confiance)Approuvés (hôtes de confiance)

Périphérique géré qui se trouve dans un état connu et qui Périphérique géré qui se trouve dans un état connu et qui correspond aux exigences de sécurité minimalescorrespond aux exigences de sécurité minimales

L’état est transitoireL’état est transitoire

Tous les systèmes commence dans l’état Tous les systèmes commence dans l’état “non approuvé”“non approuvé”

Approuvable indique la capacité à être Approuvable indique la capacité à être approuvéapprouvé

Approuvé signifie que la machine s’est Approuvé signifie que la machine s’est authentifiée avec IKE et est autorisée à authentifiée avec IKE et est autorisée à communiquercommuniquer

De l’audit est nécessaire pour diminuer la De l’audit est nécessaire pour diminuer la surface d’attaque et assurer la conformité !surface d’attaque et assurer la conformité !

GroupesGroupes

Groupes d’isolationGroupes d’isolationGroupes de baseGroupes de baseGroupes additionnelsGroupes additionnels

Groupes d’accès réseau (NAG – Groupes d’accès réseau (NAG – Network Access Groups)Network Access Groups)

Niveau supplémentaire d’autorisation Niveau supplémentaire d’autorisation Utilise des groupes d’utilisateurs classiquesUtilise des groupes d’utilisateurs classiques

Contient des utilisateurs et des machinesContient des utilisateurs et des machinesPar défaut : Tout le mondePar défaut : Tout le mondeOn les places soit dans le droit ALLOW ou On les places soit dans le droit ALLOW ou DISALLOW dans la stratégie de groupe (ANAG – DISALLOW dans la stratégie de groupe (ANAG – DNAG)DNAG)

Sans isolationSans isolation

Authentification des Authentification des utilisateursutilisateurs

Autorisation basée sur cette Autorisation basée sur cette authentificationauthentification

Un exemple… Sans isolationUn exemple… Sans isolation


Étape 1 : connexion à la Étape 1 : connexion à la machinemachine

(Étape 2 : machine autorisée ou (Étape 2 : machine autorisée ou non interdite)non interdite)


Autorisationd'accès à la machine pour une autre machine


Autorisation d'accèsà la machine pour un utilisateur(SMB, RPC, …)


Autorisations de partage et d'accès


1122

Stratégie de groupeStratégie

de groupe

Pas de restriction par défautPas de restriction par défaut


Étape 1 : connexion à la Étape 1 : connexion à la machinemachine

(Étape 2 : machine autorisée (Étape 2 : machine autorisée ou non interdite)ou non interdite)

(Étape 3 : Autorisations (Étape 3 : Autorisations d'accès à l'hôte vérifiées d'accès à l'hôte vérifiées pour l'utilisateur (par défaut : pour l'utilisateur (par défaut : pas de restriction))pas de restriction))

Étape 4 : Autorisations de Étape 4 : Autorisations de partage et d'accès vérifiéespartage et d'accès vérifiées






11


de groupe

Pas de restriction par défautPas de restriction par défaut

33

Tout le mondeTout le monde



44

Isolation de domaine avec Isolation de domaine avec IPsec : comment ça marche ?IPsec : comment ça marche ?

IPsec pour :IPsec pour :Prendre en compte l’authentification du Prendre en compte l’authentification du compte machinecompte machineAssurer l’intégrité des donnéesAssurer l’intégrité des donnéesFournir le chiffrement (si nécessaire)Fournir le chiffrement (si nécessaire)

Stratégies de groupe pour :Stratégies de groupe pour :Distribuer les politiquesDistribuer les politiquesAutoriser l’accès à un utilisateur ou une Autoriser l’accès à un utilisateur ou une machinemachine

Exemple… Avec l’isolation de domaine Exemple… Avec l’isolation de domaine et de serveur en placeet de serveur en place

Contrôle de l'accès aux Contrôle de l'accès aux ordinateurs à l'aide des ordinateurs à l'aide des groupes d'accès réseau et groupes d'accès réseau et d'IPSecd'IPSecÉtape 1 : L'utilisateur essaie

d'accéder à un partage sur un serveurÉtape 2 : Mode principal de la négociation IKEÉtape 3 : Négociation de la méthode de sécurité IPSec

IsolationIsolation

Autorisationd'accès à la machine pour une autre machine(IPsec)




Stratégie IPSec

Stratégie IPSec22



1133


de groupe

NAG Ordinateurs_DéptNAG Ordinateurs_Dépt

Contrôle de l'accès aux hôtes Contrôle de l'accès aux hôtes à l'aide des groupes d'accès à l'aide des groupes d'accès réseauréseau

Étape 1 : L'utilisateur essaie Étape 1 : L'utilisateur essaie d'accéder à un partage sur d'accéder à un partage sur un serveurun serveur

Étape 2 : Négociation IKE en Étape 2 : Négociation IKE en mode principalmode principal

Étape 3 : Négociation de la Étape 3 : Négociation de la méthode de sécurité IPSecméthode de sécurité IPSec

Étape 4 : Autorisations Étape 4 : Autorisations d'accès à l'hôte vérifiées d'accès à l'hôte vérifiées pour l'utilisateurpour l'utilisateur

Étape 5 : Autorisations de Étape 5 : Autorisations de partage et d'accès vérifiéespartage et d'accès vérifiées

IsolationIsolation





Stratégie IPSec

Stratégie IPSec22

1133


de groupe

NAG Ordinateurs_DéptNAG Ordinateurs_Dépt

44

NAG Utilisateurs_DéptNAG Utilisateurs_Dépt



55

Mise en œuvreMise en œuvreMise en œuvreMise en œuvre

Les grandes étapes de mise Les grandes étapes de mise en oeuvreen oeuvre

Comment s’y prendre ?Comment s’y prendre ?

Identifier les exigences métierIdentifier les exigences métier

Faire un bilan de l’état actuelFaire un bilan de l’état actuelMachines, topologie réseau, structure Active Machines, topologie réseau, structure Active Directory, applications…Directory, applications…

Organiser les systèmes en groupes d’isolationOrganiser les systèmes en groupes d’isolationD’après les exigences métierD’après les exigences métier

Créer des politiques pour assurer les exigences Créer des politiques pour assurer les exigences métiermétier

Assigner les politiques aux groupes d’isolationAssigner les politiques aux groupes d’isolation

Assigner des droits “Allow and Deny” aux politiquesAssigner des droits “Allow and Deny” aux politiques

Quelques conseilsQuelques conseils

Faire simpleFaire simpleEssayer tout d’abord de se limiter aux groupes de Essayer tout d’abord de se limiter aux groupes de basebase

Établir un environnement de TESTÉtablir un environnement de TESTTester tous les changements avant le déploiement Tester tous les changements avant le déploiement en productionen production

Déployer en phasesDéployer en phasesToujours avoir un plan de repliToujours avoir un plan de repliDéployer les politiques sur de petits groupes Déployer les politiques sur de petits groupes pilotes dans un premier temps, puis étendre à des pilotes dans un premier temps, puis étendre à des groupes ou des sites plus grandsgroupes ou des sites plus grands

Former votre équipeFormer votre équipeDépannage IPsecDépannage IPsec

Ne pas hésiter à se faire aiderNe pas hésiter à se faire aider

Conception du modèle Conception du modèle d'isolationd'isolation

Conception des groupes de baseConception des groupes de baseCréation des listes d'exemptionsCréation des listes d'exemptionsPlanification des groupes d'ordinateurs Planification des groupes d'ordinateurs et des groupes d'accès réseauet des groupes d'accès réseauCréation de groupes d'isolation Création de groupes d'isolation supplémentaires supplémentaires Modélisation du trafic Modélisation du trafic Affectation de membres aux groupes Affectation de membres aux groupes d'ordinateurs et aux groupes d'accès d'ordinateurs et aux groupes d'accès réseauréseau

Les groupes de baseLes groupes de base

Groupes Non-IPsecGroupes Non-IPsec

Systèmes de défianceSystèmes de défianceGroupe par défautGroupe par défaut

ExemptionsExemptionsInfrastructure Infrastructure de confiancede confiance

Groupes IPsecGroupes IPsec

Domaine d’isolationDomaine d’isolationGroupe de confiance par défautGroupe de confiance par défaut

LimitropheLimitropheGroupe de confiance à plus haut risqueGroupe de confiance à plus haut risque

Systèmesnon approuvés

Domaine d'isolation

Groupe d'isolation limitrophe

Création des listes Création des listes d’exemptionsd’exemptions

Un hôte répondant à l'une des conditions suivantes sera Un hôte répondant à l'une des conditions suivantes sera susceptible d'être intégré à la liste d'exemptions :susceptible d'être intégré à la liste d'exemptions :

Si l'hôte est un ordinateur auquel les hôtes approuvés ont besoin Si l'hôte est un ordinateur auquel les hôtes approuvés ont besoin d'accéder mais qui n'est pas doté d'une d'accéder mais qui n'est pas doté d'une implémentation IPSec compatibleimplémentation IPSec compatibleSi l'hôte est utilisé pour une application défavorablement affectée Si l'hôte est utilisé pour une application défavorablement affectée par le délai de retour à une communication en texte clair de trois par le délai de retour à une communication en texte clair de trois secondes, ou par l'encapsulation du trafic applicatif d'IPSecsecondes, ou par l'encapsulation du trafic applicatif d'IPSecSi l'hôte présente des problèmes qui ont un impact sur ses Si l'hôte présente des problèmes qui ont un impact sur ses performancesperformancesSi l'hôte est un contrôleur de domaine Si l'hôte est un contrôleur de domaine

Exemples : DNS, DHCP, DC, …Exemples : DNS, DHCP, DC, …Maintenir petite la liste carMaintenir petite la liste car

Réduction de l’intérêt de l’isolationRéduction de l’intérêt de l’isolationFardeau de la gestionFardeau de la gestionAugmentation de la taille de la stratégie (et donc temps de Augmentation de la taille de la stratégie (et donc temps de téléchargement, mémoire, CPU)téléchargement, mémoire, CPU)

Conseil : processus formel de justification d’affectation d’une Conseil : processus formel de justification d’affectation d’une machine à la zone limitrophemachine à la zone limitrophe

Planification des groupes Planification des groupes d'ordinateurs et des groupes d'ordinateurs et des groupes d'accès réseaud'accès réseau

Groupes d'ordinateurs :Groupes d'ordinateurs :Utilisés pour contenir les membres d'un groupe d'isolation Utilisés pour contenir les membres d'un groupe d'isolation spécifique spécifique Permettent l’attribution de stratégies de groupe pour Permettent l’attribution de stratégies de groupe pour implémenter différents paramètres de sécurité implémenter différents paramètres de sécurité Non nécessaires si on peut organiser les OU pour refléter les Non nécessaires si on peut organiser les OU pour refléter les groupes d’isolationgroupes d’isolationAttention : ne pas placer une machine dans plusieurs Attention : ne pas placer une machine dans plusieurs groupesgroupes

Groupes d'accès réseau :Groupes d'accès réseau :Peuvent être de deux types, Autoriser ou Refuser Peuvent être de deux types, Autoriser ou Refuser Utilisés dans une stratégie de groupe afin de contrôler Utilisés dans une stratégie de groupe afin de contrôler l'accès Autoriser ou Refuser à une machinel'accès Autoriser ou Refuser à une machineLimiter leur nombre (sinon la complexité à gérer augmente)Limiter leur nombre (sinon la complexité à gérer augmente)Les droits utilisateurs Allow et Deny ne fusionnent pas (donc Les droits utilisateurs Allow et Deny ne fusionnent pas (donc viennent d’une seule GPO)viennent d’une seule GPO)

Cartographie du trafic entre Cartographie du trafic entre groupes de basegroupes de base

Schématiser toutes les Schématiser toutes les communications communications autorisées entre les autorisées entre les groupes de basegroupes de base

IDID FromFrom ToTo BidirectionaBidirectionall

IPsecIPsec FallbacFallbackk

EncrypEncryptt

11 IDID ExEx YesYes NoNo NoNo NoNo

22 IDID BOBO YesYes YesYes NoNo NoNo

33 IDID UUNN

NoNo YesYes YesYes NoNo

44 BOBO EXEX YesYes YesYes YesYes NoNo

55 BOBO UUNN

NoNo YesYes YesYes NoNo

66 UNUN BOBO NoNo NoNo NoNo NoNo

77 UNUN EXEX YesYes NoNo NoNo NoNo

Groupes d’isolation Groupes d’isolation additionnels additionnels (si nécessaire)(si nécessaire)

Si les exigences métier le Si les exigences métier le nécessitentnécessitentExemples :Exemples :

Groupe d’isolation sans “Fallback”Groupe d’isolation sans “Fallback”Bloque les communications Bloque les communications sortantes vers des machines sortantes vers des machines de défiancede défiance

Chiffrement nécessaireChiffrement nécessaireGroupe de haute sécuritéGroupe de haute sécuritéToutes les communications doivent Toutes les communications doivent utiliser le chiffrementutiliser le chiffrement

Autres besoins relatifs au flux de Autres besoins relatifs au flux de trafic réseau entrant ou sortant trafic réseau entrant ou sortant Limitation de l'accès hôte ou Limitation de l'accès hôte ou utilisateur requise au niveau du utilisateur requise au niveau du réseau réseau

Domaine d'isolation

Groupe d'isolation limitrophe

Groupe d'isolation

Chiffrement

Groupe d'isolation

Pas de retour au texte clair

Systèmesnon approuvés

Cartographie du trafic avec Cartographie du trafic avec les groupes additionnelsles groupes additionnels

Schématiser toutes les Schématiser toutes les communications communications autorisées avec les autorisées avec les groupes additionnelsgroupes additionnels

IDID FroFromm

ToTo BidirectionaBidirectionall

IPsecIPsec FallbacFallbackk

EncrypEncryptt

88 ENEN EXEX YesYes NoNo NoNo NoNo

99 ENEN IDID YesYes YesYes NoNo YesYes

1100

ENEN NFNF YesYes YesYes NoNo YesYes

1111

ENEN BOBO NoNo YesYes NoNo YesYes

1122

NFNF IDID YesYes YesYes NoNo NoNo

1133

NFNF EXEX YesYes NoNo NoNo NoNo

1144

NFNF BOBO YesYes YesYes NoNo NoNo

Les groupes d’accès réseau Les groupes d’accès réseau NAG (1)NAG (1)

Les groupes d’accès réseau (NAG) sont Les groupes d’accès réseau (NAG) sont utilisés pour autoriser ou interdire utilisés pour autoriser ou interdire explicitement l’accès à un système via le explicitement l’accès à un système via le réseauréseau

Les noms sont choisis d’après la fonctionLes noms sont choisis d’après la fonctionANAG – Allow Network Access Group (autorisation)ANAG – Allow Network Access Group (autorisation)

DNAG – Deny Network Access Group (interdiction)DNAG – Deny Network Access Group (interdiction)

Peut contenir des utilisateurs, des machines ou Peut contenir des utilisateurs, des machines ou des groupesdes groupes

Utilisation de groupes locaux de domainesUtilisation de groupes locaux de domaines

Les groupes d’accès réseau Les groupes d’accès réseau NAG (2)NAG (2)

Les groupes d’accès réseau (NAG) sont Les groupes d’accès réseau (NAG) sont identifiés par le biais du processus de identifiés par le biais du processus de cartographie du traficcartographie du trafic

Les groupes d’interdiction d’accès réseau Les groupes d’interdiction d’accès réseau (DNAG) sont identifiés quand des utilisateurs (DNAG) sont identifiés quand des utilisateurs ou des machines d’un ou plusieurs groupes ou des machines d’un ou plusieurs groupes d’isolation IPsec ne permettent pas des d’isolation IPsec ne permettent pas des communications bidirectionnellescommunications bidirectionnellesLes groupes d’autorisation d’accès réseau Les groupes d’autorisation d’accès réseau (ANAG) sont identifiés quand des sous (ANAG) sont identifiés quand des sous ensembles d’utilisateurs ou de machines ensembles d’utilisateurs ou de machines dans un ou plusieurs groupes d’isolation dans un ou plusieurs groupes d’isolation IPsec doivent obtenir l’accès à une ressourceIPsec doivent obtenir l’accès à une ressource

Affectation de membres aux Affectation de membres aux groupes d'ordinateurs ou aux groupes d'ordinateurs ou aux groupes d'accès réseaugroupes d'accès réseau

Dernières tâches de conception de Dernières tâches de conception de groupes d'isolation :groupes d'isolation :

Affectation à un groupe d'ordinateurs : Affectation à un groupe d'ordinateurs : Placer chaque ordinateur dans un groupe Placer chaque ordinateur dans un groupe en fonction des exigences de en fonction des exigences de communicationcommunication

Affectation à un groupe d'accès réseau : Affectation à un groupe d'accès réseau : Placer les utilisateurs et les ordinateurs qui Placer les utilisateurs et les ordinateurs qui requièrent des autorisations granulaires requièrent des autorisations granulaires dans chacun des groupes d'accès réseau dans chacun des groupes d'accès réseau (NAG) précédemment identifiés(NAG) précédemment identifiés

Network Access Groups for Encryption Isolation Group

DNAG_EncryptionIG_Computers

Encryption IG Policy

Deny access to this computer

from the network

ANAG_EncryptedResourceAccess_Computers

ANAG_EncryptedResourceAccess_Users

Access this computer from

the network

CG_BoundaryIG_Computers

IPS-SQL-DFS-01

IPS-SQL-DFS-02

IPS-ST-XP-05

User7

{{

{

Les groupes d’accès réseau Les groupes d’accès réseau pour le groupe d’isolation pour le groupe d’isolation ChiffrementChiffrementN’accepte pas N’accepte pas les requêtes les requêtes depuis le groupe depuis le groupe d’isolation d’isolation FrontièreFrontière

Les systèmes Les systèmes sont restreints à sont restreints à certains certains utilisateurs et utilisateurs et machines machines spécifiquesspécifiques

Aperçu d’une politique IPsecAperçu d’une politique IPsec

Liste de filtres

Action

Règles

StratégieIPsec

Filtres

Méthodes d’échange de clés (IKE)

Méthodes d’authentification (Kerberos, Certificats, Clés

statiques)

Méthodes de sécurité (Chiffrement, hashing, Durée de vie des clés)

La stratégie IPsec est appliquée via une stratégie de groupe, et contiennent un ensemble de règles et spécifient comment utiliser IKE

Chaque règle associe une liste de filtres à une action, et spécifie les méthodes d’authentification

Une liste de filtres est un ensemble de filtres

Un filtre décrit un type de trafic à identifier (adresse IP, sous-réseau, port, et protocole pour les deux extrémités d’une connexion)

Une action désigne ce qu’il faut faire du trafic qui correspond à une liste de filtres : Autoriser, Refuser, Négocier la sécurité

Les actions de filtre IPsecLes actions de filtre IPsec

Request ModeRequest ModeAccepte un flux entrant en clairAccepte un flux entrant en clair

Autorise un flux sortant en clairAutorise un flux sortant en clair

Secure Request ModeSecure Request ModeAutorise un flux sortant en clairAutorise un flux sortant en clair

Full Require ModeFull Require Mode

Require Encryption ModeRequire Encryption ModeChiffrement obligatoireChiffrement obligatoire

Application d’une politique Application d’une politique IPsecIPsec

Liée au niveau du domaineLiée au niveau du domaineLa stratégie de groupe du La stratégie de groupe du domaine par défaut domaine par défaut s’applique en premiers’applique en premierLa politique la plus La politique la plus restrictive devrait être la restrictive devrait être la dernière appliquéedernière appliquée

Filtrage par groupeFiltrage par groupeLes machines de Les machines de CG_NoIPsec_Computers CG_NoIPsec_Computers n’utilisent jamais IPsecn’utilisent jamais IPsecDes groupes globaux et Des groupes globaux et universels sont utilisésuniversels sont utilisésLes utilisateurs authentifiés Les utilisateurs authentifiés se voient accorder les droits se voient accorder les droits de lecture seulementde lecture seulement

Encryption IG Policy

CG_NoIPsec_Computers

CG_EncryptionIG_Computers

{ : Deny Apply Group Policy

: Allow ReadAllow Apply Group Policy

Boundary IG Policy


CG_BoundaryIG_Computers



No Fallback IG Policy


CG_NoFallbackIG_Computers



Isolation Domain Policy


CG_IsolationDomain_Computers



Ord

er o

f Pol

icy

App

llica

tion

DéploiementDéploiement

Déploiement par constructionDéploiement par constructionAu départ, la politique a des exemptions et n’exige Au départ, la politique a des exemptions et n’exige pas IPsec pour tous les sous-réseaux à sécuriserpas IPsec pour tous les sous-réseaux à sécuriser

L’action de filtre “Request Mode” est utilisée pour L’action de filtre “Request Mode” est utilisée pour les listes de filtres des sous-réseaux sécurisésles listes de filtres des sous-réseaux sécurisés

Les sous-réseaux sont petit à petit ajoutés à la liste Les sous-réseaux sont petit à petit ajoutés à la liste des filtres des sous-réseaux sécurisés, puis testésdes filtres des sous-réseaux sécurisés, puis testés

Déploiement par groupeDéploiement par groupeLa politique IPsec est définie et liéeLa politique IPsec est définie et liée

Des groupes sont utilisés pour contrôler Des groupes sont utilisés pour contrôler l’application de la stratégie (via des permissions)l’application de la stratégie (via des permissions)

Autres points à prendre en Autres points à prendre en considérationconsidération

Le nombre maximal de connexions simultanées Le nombre maximal de connexions simultanées IPSec aux serveurs, par hôte distinct IPSec aux serveurs, par hôte distinct

La taille de jeton maximale pour les hôtes La taille de jeton maximale pour les hôtes utilisant IPSec utilisant IPSec

Avant le déploiement :Avant le déploiement :Périphériques saturés Périphériques saturés

Périphériques incompatibles Périphériques incompatibles

Adressage IP Adressage IP

Participation du client/serveur Participation du client/serveur

Services qui doivent être isolés Services qui doivent être isolés

Équilibrage de la charge réseau et mise en « cluster Équilibrage de la charge réseau et mise en « cluster » »

ComplémentsComplémentsComplémentsCompléments

Gestion d’un environnement Gestion d’un environnement avec isolation IPsecavec isolation IPsec

Chapitre 6Chapitre 6En raison des temps de réplicationEn raison des temps de réplication

Créer les objets d’abord (GPO, stratégie IPsec…)Créer les objets d’abord (GPO, stratégie IPsec…)Puis seulement après assigner la stratégie IPsec dans la Puis seulement après assigner la stratégie IPsec dans la stratégie de groupestratégie de groupe

En cas de remplacement d’un filtre générique par un En cas de remplacement d’un filtre générique par un filtre plus spécifiquefiltre plus spécifique

Ajouter le filtre spécifiqueAjouter le filtre spécifiqueSupprimer le filtre générique ensuiteSupprimer le filtre générique ensuite

L’ordre des filtres n’a pas d’importance (le plus L’ordre des filtres n’a pas d’importance (le plus spécifique s’applique d’abord) spécifique s’applique d’abord) Les stratégies IPsec ne sont pas stockées dans les Les stratégies IPsec ne sont pas stockées dans les stratégies de groupe (d’où prudence lors de la stratégies de groupe (d’où prudence lors de la sauvegarde; utiliser sauvegarde de l’état du sauvegarde; utiliser sauvegarde de l’état du système)système)……

DépannageDépannage

Chapitre 7Chapitre 7Diagrammes p167 et suivantesDiagrammes p167 et suivantesOutils :Outils :pingpingnet viewnet viewsrvinfosrvinfonetdiagnetdiagnltestnltestipseccmdipseccmdnetsh ipsecnetsh ipsec

PerformancePerformance

Négociation IPsec : 1 à 2 secondesNégociation IPsec : 1 à 2 secondes

Usage CPU augmente si chiffrementUsage CPU augmente si chiffrement

Chaque SA IKE prend 5ko de RAMChaque SA IKE prend 5ko de RAM

Déploiement MS en interne : 1 à 3% de trafic Déploiement MS en interne : 1 à 3% de trafic supplémentairesupplémentaire

L’utilisation de stratégies de groupe L’utilisation de stratégies de groupe supplémentaires augmentera le temps de supplémentaires augmentera le temps de démarrage de machine et d’ouverture de démarrage de machine et d’ouverture de sessionsession

Pour les routeurs ou commutateurs ayant plus Pour les routeurs ou commutateurs ayant plus de 75% d’utilisation, envisager une mise à jourde 75% d’utilisation, envisager une mise à jour

InconvénientsInconvénients

Inspection du trafic potentiellement impossible Inspection du trafic potentiellement impossible du fait de la protection IPsecdu fait de la protection IPsec

Pour le trafic IPsec avec authentification seule (pas Pour le trafic IPsec avec authentification seule (pas de chiffrement) :de chiffrement) :

Nécessité de mettre à jour son logiciel d’inspection pour Nécessité de mettre à jour son logiciel d’inspection pour tenir compte de l’entête IPsectenir compte de l’entête IPsec

Pour le trafic chiffré IPsec :Pour le trafic chiffré IPsec :IDS réseau -> IDS hôteIDS réseau -> IDS hôteFiltres sur ports réseau -> filtre sur pare-feu hôteFiltres sur ports réseau -> filtre sur pare-feu hôteRapport sur le trafic par port -> adresse IP seulementRapport sur le trafic par port -> adresse IP seulement

Courbe d’apprentissage pour cette nouvelle Courbe d’apprentissage pour cette nouvelle technologie qui change fondamentalement les technologie qui change fondamentalement les communications TCP/IPcommunications TCP/IPNécessité d’avoir une planification détaillée et Nécessité d’avoir une planification détaillée et une bonne coordination pour l’isolation de une bonne coordination pour l’isolation de domainedomaine

Faiblesses principalesFaiblesses principales

Un administrateur local peut désactiver IPsecUn administrateur local peut désactiver IPsecAutorise l’accès entrant depuis des machines de Autorise l’accès entrant depuis des machines de défiancedéfiance

Mais ne permettra pas à la machine de se Mais ne permettra pas à la machine de se connecter à des machines de confianceconnecter à des machines de confiance

Un administrateur local peut changer la Un administrateur local peut changer la politique locale dynamique (politique locale dynamique (local dynamic local dynamic policypolicy))

L’inspection réseau est limitée au trafic non L’inspection réseau est limitée au trafic non chiffré (avec un analyseur adéquat…)chiffré (avec un analyseur adéquat…)

Tous les membres du domaine ne peuvent Tous les membres du domaine ne peuvent pas être protégés (ex : DC, DHCP)pas être protégés (ex : DC, DHCP)

SynthèseSynthèseSynthèseSynthèse

SynthèseSynthèse

Déployer IPSec pour fournir Déployer IPSec pour fournir l'authentification et le chiffrementl'authentification et le chiffrementCombiner IPSec, les groupes de sécurité Combiner IPSec, les groupes de sécurité et les stratégies de groupe pour et les stratégies de groupe pour l'isolation logiquel'isolation logiqueImplémenter des groupes Implémenter des groupes supplémentaires pour isoler des supplémentaires pour isoler des ressources ou fournir les fonctionnalités ressources ou fournir les fonctionnalités requises requises Utiliser la zone Limitrophe comme point Utiliser la zone Limitrophe comme point de départ, lors du déploiement de de départ, lors du déploiement de groupes d'isolation, à l'aide d'IPSecgroupes d'isolation, à l'aide d'IPSec

Bénéfices principauxBénéfices principaux

Réduit la surface d’attaque sur les machines isoléesRéduit la surface d’attaque sur les machines isoléesMicrosoft avait de nombreux systèmes non gérés sur son réseauMicrosoft avait de nombreux systèmes non gérés sur son réseau

Augmente l’adhésion au domaineAugmente l’adhésion au domaineFournit des protections supplémentaires contre les vers et les Fournit des protections supplémentaires contre les vers et les virusvirusRemède plus rapide en cas d’infectionRemède plus rapide en cas d’infectionPropagation plus lentePropagation plus lente

Améliore la protection contre les attaques internesAméliore la protection contre les attaques internesL’autorisation nécessite un compte utilisateur autorisé ET ue L’autorisation nécessite un compte utilisateur autorisé ET ue machine digne de confiancemachine digne de confianceAudite les connexionsAudite les connexionsIsole les machines de confiance des autres machines de Isole les machines de confiance des autres machines de confianceconfiance

Fournit un authentification et un chiffrement pour le Fournit un authentification et un chiffrement pour le partage de fichiers (SMB/CIFS) et les autres protocoles partage de fichiers (SMB/CIFS) et les autres protocoles non sécurisésnon sécurisés

Ensuite ?Ensuite ?

““Un peu” de lectureUn peu” de lectureDomain and Server Isolation Using IPsec and Group Policy Domain and Server Isolation Using IPsec and Group Policy GuideGuide

Microsoft Solutions for Security GuideMicrosoft Solutions for Security Guide

Improving Security with Domain Isolation Improving Security with Domain Isolation Livre blanc sur le retour d’expérience interne de Microsoft ITLivre blanc sur le retour d’expérience interne de Microsoft IT

Using Microsoft Windows IPsec to Help Secure an Internal Using Microsoft Windows IPsec to Help Secure an Internal Corporate Network Server Corporate Network Server

Livre blanc conjoint de Microsoft et FoundstoneLivre blanc conjoint de Microsoft et Foundstone

Documentation IPsecDocumentation IPsecAide en ligneAide en ligneAide produitAide produitKit de déploiement Windows Server 2003Kit de déploiement Windows Server 2003

““Un peu” d’actionUn peu” d’actionDémarrer l’audit de l’état de votre réseauDémarrer l’audit de l’état de votre réseau

Ressources et référencesRessources et références

Server and Domain Isolation Using IPsec and Group Server and Domain Isolation Using IPsec and Group Policy Guide Policy Guide : : http://go.microsoft.com/fwlink/?linkid=33947 http://go.microsoft.com/fwlink/?linkid=33947 Improving Security with Domain Isolation (retour Improving Security with Domain Isolation (retour d’expérience de MS IT avec IPsec) d’expérience de MS IT avec IPsec) ::http://www.microsoft.com/technet/itsolutions/msit/sehttp://www.microsoft.com/technet/itsolutions/msit/security/IPsecdomisolwp.mspx curity/IPsecdomisolwp.mspx TechNet Support Webcast for IPsec TechNet Support Webcast for IPsec ::http://support.microsoft.com/default.aspx?http://support.microsoft.com/default.aspx?kbid=888266 kbid=888266 Plus d’infos sur :Plus d’infos sur :http://www.microsoft.com/ipsechttp://www.microsoft.com/ipsecIPSec troubleshooting toolsIPSec troubleshooting toolshttp://www.microsoft.com/technet/prodtechnol/windohttp://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/ebcbc96d-b236-wsserver2003/library/ServerHelp/ebcbc96d-b236-401d-a98b-91c965a3d18f.mspx 401d-a98b-91c965a3d18f.mspx

http://www.microsoft.com/ipsec

Le guide en françaisLe guide en françaisDisponible depuis le 13 juin 2005Disponible depuis le 13 juin 2005

http://www.microsoft.com/france/technet/securite/ipsec/default.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/default.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecack.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecack.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecapa.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecapa.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecapb.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecapb.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecapc.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecapc.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecapd.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecapd.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecch1.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecch1.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecch2.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecch2.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecch3.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecch3.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecch4.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecch4.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecch5.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecch5.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecch6.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecch6.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecch7.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecch7.mspx

Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec

91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex

www.microsoft.com/france

0 825 827 8290 825 827 829

[email protected]@microsoft.com

http://www.microsoft.com/france

ComplémentsComplémentsComplémentsCompléments

IPsec dans Windows IPsec dans Windows

Plateformes concernées Plateformes concernées Windows 2000 SP4Windows 2000 SP4Windows Server 2003 ou ultérieurWindows Server 2003 ou ultérieurWindows XP Service Pack 2 ou ultérieurWindows XP Service Pack 2 ou ultérieur

Composants certifiés FIPS 140-1Composants certifiés FIPS 140-1

Filtres : peuvent tenir compte des ports mais la Filtres : peuvent tenir compte des ports mais la solution ici utilise unique les adresses IP pour tout solution ici utilise unique les adresses IP pour tout trafic sauf ICMPtrafic sauf ICMPPour des questions de simplicité, utiliser des groupes Pour des questions de simplicité, utiliser des groupes universelsuniversels

La taille maxi d’un jeton Kerberos : 1000 groupes par La taille maxi d’un jeton Kerberos : 1000 groupes par utilisateurutilisateur

IPsecIPsec

Ne protège pas les trafic Ne protège pas les trafic multicastmulticast et et broadcastbroadcastComparaison avec SSLComparaison avec SSL

Transparent par rapport aux applicationsTransparent par rapport aux applicationsSe situe au niveau 3 et donc ne peut pas vérifier que le nom Se situe au niveau 3 et donc ne peut pas vérifier que le nom de la machine à laquelle l’application se connecte est bien de la machine à laquelle l’application se connecte est bien celui attendu (risque d’attaque sophistiquée MITM)celui attendu (risque d’attaque sophistiquée MITM)

Termes : Termes : Autoriser une communication non sécurisée avec des Autoriser une communication non sécurisée avec des ordinateurs n’utilisant pas IPsec (ordinateurs n’utilisant pas IPsec (Fall back to clearFall back to clear))

Permet à un Permet à un initiator initiator à communiquer en TCP/IP classique s’il n’y à communiquer en TCP/IP classique s’il n’y a pas de réponse IKE du a pas de réponse IKE du responderresponder

Accepter les communications non sécurisées mais toujours Accepter les communications non sécurisées mais toujours répondre en utilisant IPsec (répondre en utilisant IPsec (Inbound passthroughInbound passthrough))

Permet à une machine capable d’IPsec d’accepter du trafic Permet à une machine capable d’IPsec d’accepter du trafic TCP/IP classique (ni IKE, ni IPsec) entrant depuis une machine TCP/IP classique (ni IKE, ni IPsec) entrant depuis une machine distante et de répondre par une négociation IKEdistante et de répondre par une négociation IKEAttention : si on active cette option-ci mais pas celle-là alors le Attention : si on active cette option-ci mais pas celle-là alors le responder responder ne peut pas communiquer avec un ne peut pas communiquer avec un initiator initiator incapable incapable d’IPsecd’IPsec

IPsecIPsec

Activation de PMTU nécessaire pour un Activation de PMTU nécessaire pour un bon fonctionnement d’IPsecbon fonctionnement d’IPsec

Envisager l’exemption des clusters et des Envisager l’exemption des clusters et des machines en NLBmachines en NLB

IPsec est incompatible avec NLB en mode IPsec est incompatible avec NLB en mode « sans affinité »« sans affinité »

Client VPN IPsec non Microsoft : Client VPN IPsec non Microsoft : Doivent autoriser la communication IKE et Doivent autoriser la communication IKE et IPsecIPsec

Sinon envisager de créer des exemptions Sinon envisager de créer des exemptions pour le sous-réseau des clients VPNpour le sous-réseau des clients VPN

Valeur de la solutionValeur de la solution

Améliore la sécuritéAméliore la sécuritéFonctionne avec des mécanismes existants pour Fonctionne avec des mécanismes existants pour fournir une “défense en profondeur”fournir une “défense en profondeur”

Isole dans un compartiment les systèmes de Isole dans un compartiment les systèmes de confiance des autres systèmes de confianceconfiance des autres systèmes de confiance

Beaucoup moins cher que de l’isolation Beaucoup moins cher que de l’isolation physique (sans la remplacer complètement)physique (sans la remplacer complètement)

Protection des données sensiblesProtection des données sensiblesAuthentification mutuelle et (de manière Authentification mutuelle et (de manière facultative) chiffrementfacultative) chiffrement

Contrôle d’accès plus précisContrôle d’accès plus précis

isolation de domaine avec les stratégies de groupe et ipsec cyril voisin chef de programme...

Documents