isolation de domaine avec les stratégies de groupe et ipsec cyril voisin chef de programme...
TRANSCRIPT
Isolation de domaine avec Isolation de domaine avec les stratégies de groupe les stratégies de groupe
et IPsecet IPsec
Isolation de domaine avec Isolation de domaine avec les stratégies de groupe les stratégies de groupe
et IPsecet IPsec
Cyril VoisinCyril VoisinChef de programme Chef de programme SécuritéSécuritéMicrosoft FranceMicrosoft France
SommaireSommaire
La problématique de la sécurité des réseaux internesLa problématique de la sécurité des réseaux internesRappels sur IPsecRappels sur IPsecDémarche de mise en œuvreDémarche de mise en œuvre
État des lieux du réseauÉtat des lieux du réseauConception et planification des groupes d’isolationConception et planification des groupes d’isolationCréation des politiques IPsecCréation des politiques IPsecDéploiementDéploiement
ComplémentsComplémentsGestion d’un environnement avec isolation IPsecGestion d’un environnement avec isolation IPsecDépannageDépannagePerformancePerformanceInconvénientsInconvénientsFaiblessesFaiblesses
SynthèseSynthèse
Sécurité sur les grands Sécurité sur les grands réseaux internesréseaux internes
Sécurité sur les grands Sécurité sur les grands réseaux internesréseaux internes
Les défis et la solution IPsecLes défis et la solution IPsec
ProblématiqueProblématique
Les réseaux internes de grande taille ne Les réseaux internes de grande taille ne présentent pas le même environnement de présentent pas le même environnement de confiance :confiance :
Impossibilité de contrôler qui/quoi se connecte Impossibilité de contrôler qui/quoi se connecte physiquement en internephysiquement en interne
De nombreuses machines non gérées De nombreuses machines non gérées représentent une menace d’infectionreprésentent une menace d’infection
Besoin de se connecter avec les partenaires/sous-Besoin de se connecter avec les partenaires/sous-traitants/clients tout en limitant l’accèstraitants/clients tout en limitant l’accès
Un seul réseau mais plusieurs divisions, Un seul réseau mais plusieurs divisions, entreprises, responsables ITentreprises, responsables IT
Le vol ou l’abus d’utilisation des lettres de Le vol ou l’abus d’utilisation des lettres de crédance d’un utilisateur non détectéscrédance d’un utilisateur non détectés
ProblématiqueProblématique
Les réseaux internes de grande taille peuvent Les réseaux internes de grande taille peuvent avoir plusieurs chemins indépendants qui les avoir plusieurs chemins indépendants qui les connectent à Internetconnectent à Internet
Le périmètre est mouvant et il est impossible de Le périmètre est mouvant et il est impossible de tout contrôler à la frontière en pratiquetout contrôler à la frontière en pratiqueLa menace « Internet » a élu résidence quelque La menace « Internet » a élu résidence quelque part sur le réseau internepart sur le réseau interne
La surface d’attaque inclut tout le trafic IP sur La surface d’attaque inclut tout le trafic IP sur tous les ports TCP/UDPtous les ports TCP/UDP
Le filtrage de paquets (pare-feu classiques) aide Le filtrage de paquets (pare-feu classiques) aide mais est insuffisant quand les client sont répartis mais est insuffisant quand les client sont répartis un peu partout sur le réseauun peu partout sur le réseauBesoin d’une stratégie de défense en profondeur Besoin d’une stratégie de défense en profondeur pour prendre en compte la sécurité au niveau pour prendre en compte la sécurité au niveau applicatifapplicatif
ProblématiqueProblématique
Les données sensibles ou critiques ont Les données sensibles ou critiques ont besoin d’une protection à la hauteur de besoin d’une protection à la hauteur de leur valeurleur valeur
Protéger l’accès réseau aux systèmes internes Protéger l’accès réseau aux systèmes internes qui stockent ou manipulent ces donnéesqui stockent ou manipulent ces données
Protéger le trafic réseau qui transportent ces Protéger le trafic réseau qui transportent ces données ou des informations d’authentificationdonnées ou des informations d’authentification
En reconnaissant que l’amélioration de la En reconnaissant que l’amélioration de la sécurité des applications existantes elles-sécurité des applications existantes elles-mêmes peut prendre du temps et coûter chermêmes peut prendre du temps et coûter cher
SolutionSolution
Isolation avec IPsec en mode transportIsolation avec IPsec en mode transportAuthentification des machinesAuthentification des machines
Protège tout le trafic TCP/IP entre des Protège tout le trafic TCP/IP entre des machines de confiancemachines de confiance
Intégrité et optionnellement chiffrement de Intégrité et optionnellement chiffrement de chaque datagrammechaque datagramme
Politique personnalisable déployée dans un Politique personnalisable déployée dans un domaine (pas de changement des domaine (pas de changement des applications existantes) applications existantes)
Comment l'isolation du Comment l'isolation du réseau s'inscrit-elle dans réseau s'inscrit-elle dans la sécurité du réseau ?la sécurité du réseau ?
Stratégies, procédures et sensibilisationStratégies, procédures et sensibilisation
Sécurité physiqueSécurité physique
Application
Hôte
Réseau interne
Périmètre
Données
Isolation logiqueIsolation logique
Fait partie de Fait partie de l’approche de l’approche de défense en défense en profondeurprofondeur
Se trouve d’un point Se trouve d’un point de vue logique entre de vue logique entre les couches réseau et les couches réseau et machinemachine
Consiste en la Consiste en la sécurisation de l’hôte sécurisation de l’hôte grâce au contrôle des grâce au contrôle des communications communications réseauréseau
Rappels IPsecRappels IPsecRappels IPsecRappels IPsec
IPsecIPsec
Environnement constitué de normes ouvertes destiné Environnement constitué de normes ouvertes destiné à garantir la sécurité et la confidentialité des à garantir la sécurité et la confidentialité des communications sur les réseaux IP, au moyen de communications sur les réseaux IP, au moyen de services de sécurité reposant sur le chiffrement des services de sécurité reposant sur le chiffrement des données données Avantages : Avantages :
Transparent pour les utilisateurs et les applications (à part Transparent pour les utilisateurs et les applications (à part l’établissement de la négociation initiale de la sécurité)l’établissement de la négociation initiale de la sécurité)Accès restreint aux serveurs Accès restreint aux serveurs Configuration personnalisable de la sécurité Configuration personnalisable de la sécurité Administration centrale de la stratégie IPSec via Administration centrale de la stratégie IPSec via Active Directory Active Directory
Attention : IPsec ne remplace pas un pare-feu (pas Attention : IPsec ne remplace pas un pare-feu (pas Stateful Packet InspectionStateful Packet Inspection))
Une exemption statique pour un trafic sortant représente aussi Une exemption statique pour un trafic sortant représente aussi une exemption statique pour le trafic entrant correspondantune exemption statique pour le trafic entrant correspondantUtiliser un pare-feu pour contrôler les communications par port Utiliser un pare-feu pour contrôler les communications par port ou par protocoleou par protocole
IPsecIPsec
Comme son nom l’indique travail au niveau Comme son nom l’indique travail au niveau réseau (couche 3) et permet d’établir un canal réseau (couche 3) et permet d’établir un canal sécurisé pour échanger de manière protégée sécurisé pour échanger de manière protégée des données entre deux périphériques des données entre deux périphériques (machines, routeurs, …)(machines, routeurs, …)
Deux modesDeux modesMode tunnelMode tunnel
Sécurisation du trafic entre 2 réseaux (de routeur à routeur)Sécurisation du trafic entre 2 réseaux (de routeur à routeur)
Protection de l’entête et de la chargeProtection de l’entête et de la charge
Mode transportMode transportSécurisation du trafic entre 2 machines (de PC à PC en Sécurisation du trafic entre 2 machines (de PC à PC en passant par des routeurs)passant par des routeurs)
Protection de la charge seulementProtection de la charge seulement
IPsecIPsec
AH (IP Authentication Header) - RFC 2402AH (IP Authentication Header) - RFC 2402Authentification mutuelleAuthentification mutuelle
Intégrité des données et de l’adresse IP (sans Intégrité des données et de l’adresse IP (sans chiffrement)chiffrement)
Ne traverse pas le NATNe traverse pas le NAT
ESP (IP Encapsulating Security Payload) - RFC ESP (IP Encapsulating Security Payload) - RFC 24062406
Authentification mutuelle Authentification mutuelle
Intégrité et chiffrement des donnéesIntégrité et chiffrement des données
Traverse le NATTraverse le NAT
On utilise soit AH seul, soit ESP seul, soit AH et On utilise soit AH seul, soit ESP seul, soit AH et ESPESP
IPSec AH (Authentication Header)IPSec AH (Authentication Header)en mode Transporten mode Transport
DonnéesDonnéesEntête TCPEntête TCPEntête IP orig.Entête IP orig.
DonnéesDonnéesEntête TCPEntête TCPEntête Entête AHAH
Entête IP orig.Entête IP orig.
Proch.EntProch.Ent Lgr chargeLgr charge RsrvRsrv SecParamIndeSecParamIndexx
Keyed HashKeyed Hash
Couverture du hash pour l’intégrité Couverture du hash pour l’intégrité (sauf pour les champs IP mutables)(sauf pour les champs IP mutables)
n°Seqn°Seq
24 octets au totalAH = protocole IP 51
Insertion
IPSec ESP (Encapsulating Security IPSec ESP (Encapsulating Security Payload)Payload)en mode Transporten mode Transport
DataDataTCP HdrTCP HdrOrig IP HdrOrig IP Hdr
DataDataTCP HdrTCP HdrESP ESP HdrHdr
Orig IP HdrOrig IP Hdr ESP ESP TrailerTrailer
ESP AuthESP Auth
Usually encryptedUsually encrypted
integrity hash coverageintegrity hash coverage
SecParamIndexSecParamIndex
Padding Padding PadLengthPadLengthNextHdrNextHdr
Seq#Seq# Keyed HashKeyed Hash
22-36 bytes total
InitVectorInitVector
ESP is IP protocol 50
Insertion
Ajout
IPsecIPsec
Protocole IKE (Protocole IKE (Internet Key ExchangeInternet Key Exchange))RFC 2409RFC 2409
En fait, 3 sous protocolesEn fait, 3 sous protocolesISAKMP (ISAKMP (Internet Security Association Key Internet Security Association Key Management ProtocolManagement Protocol))
Oakley
SKEMESKEME
Négocie la méthode de sécurité qui sera Négocie la méthode de sécurité qui sera employée et fait l’échange de clé (et établit employée et fait l’échange de clé (et établit une SA IKE, ou une SA IKE, ou main mode SAmain mode SA))
IPsecIPsec
Security Association Security Association (SA) IPsec(SA) IPsecA chaque conversation protégée est associée une A chaque conversation protégée est associée une SA IPsec qui est un enregistrement de la SA IPsec qui est un enregistrement de la configuration nécessaire au périphérique pour une configuration nécessaire au périphérique pour une connexion IPsec donnée (liste les algorithmes connexion IPsec donnée (liste les algorithmes utilisés, les clés d’authentification et de utilisés, les clés d’authentification et de chiffrement, la durée de validité des clés, le mode chiffrement, la durée de validité des clés, le mode tunnel ou transport, adresse de destination, tunnel ou transport, adresse de destination, numéros de séquence)numéros de séquence)Une SA IPsec est négociée pour chaque flux Une SA IPsec est négociée pour chaque flux unidirectionnelunidirectionnel
Security Parameter IndexSecurity Parameter Index (SPI) (SPI)Les SA IPsec sont identifiées par un index (SPI)Les SA IPsec sont identifiées par un index (SPI)La source indique valeur du SPI est dans l’entête La source indique valeur du SPI est dans l’entête du paquet IPsecdu paquet IPsec
Vue de la pile TCP/IP dans Vue de la pile TCP/IP dans le noyau de Windows le noyau de Windows 2000/XP/20032000/XP/2003
IP Packet Filter driver (ipfltdrv.sys)IP Packet Filter driver (ipfltdrv.sys)IP Filter Hook (DDK)IP Filter Hook (DDK)
TCPTCP RawRawICMPICMPUDPUDP
WinSockWinSock
Winsock Layered Service Providers (SDK)Winsock Layered Service Providers (SDK)
IPsec Filters, Encryption (ipsec.sys, fips.sys)IPsec Filters, Encryption (ipsec.sys, fips.sys)
IP Frag/ReassemblyIP Frag/Reassembly
PPTPPPTP L2TPL2TP
NDIS 5.0NDIS 5.0
ICS-NAT/ICF (ipnat.sys)ICS-NAT/ICF (ipnat.sys)
TCP/UDP/IP Connection UI FiltersTCP/UDP/IP Connection UI Filters
Pile IPPile IP
Netmon driver (NMnt.sys)Netmon driver (NMnt.sys)
TDI API (DDK)/AFD.SYSTDI API (DDK)/AFD.SYS
RRAS Input/Output Interface Filters (SDK)RRAS Input/Output Interface Filters (SDK)
Task offload miniport Task offload miniport (DDK): TCP checksum, (DDK): TCP checksum, IPsec, large TCP sendIPsec, large TCP send
NAT apis (SDK)NAT apis (SDK)
Processus de sécurité IPsecProcessus de sécurité IPsec
Un périphérique (Un périphérique (initiatorinitiator) demande une ) demande une connexion IPsec à un autre périphérique connexion IPsec à un autre périphérique ((responderresponder))Une politique de sécurité (IPsec policy) a été Une politique de sécurité (IPsec policy) a été définie, ensemble de règles qui déterminent définie, ensemble de règles qui déterminent quelles actions à entreprendre (autoriser, quelles actions à entreprendre (autoriser, refuser, sécuriser) pour quels datagrammesrefuser, sécuriser) pour quels datagrammesUne négociation a lieu pour déterminer les Une négociation a lieu pour déterminer les clés et les algorithmes (SA IKE)clés et les algorithmes (SA IKE)Une association de sécurité (SA IPsec) est Une association de sécurité (SA IPsec) est établie par chaque périphérique pour chaque établie par chaque périphérique pour chaque direction de la connexion (entrante et direction de la connexion (entrante et sortante)sortante)
Exemple : dans WindowsExemple : dans Windows
Couche TCPCouche TCP
Pilote IPSecPilote IPSec
Couche TCPCouche TCP
Pilote IPSecPilote IPSec
Datagrammes IP chiffrésDatagrammes IP chiffrés33
Négociation IKE (Internet Key Exchange)
Négociation IKE (Internet Key Exchange)
22
Stratégie IPSecStratégie IPSecStratégie IPSecStratégie IPSec
11Active DirectoryActive Directory
L’envoi de datagrammes L’envoi de datagrammes déclenche une négociation IKEdéclenche une négociation IKE
Internet Key Exchange (IKE) Internet Key Exchange (IKE) Phase 1 “Main Mode” établit la SA IKE – canal de confiance entre les systèmes, la Phase 1 “Main Mode” établit la SA IKE – canal de confiance entre les systèmes, la
négociation établit un canal chiffré, la confiance mutuelle, et génère dynamiquement négociation établit un canal chiffré, la confiance mutuelle, et génère dynamiquement une clé secrète partagée ("clé maîtresse")une clé secrète partagée ("clé maîtresse")
Phase 2 “Quick Mode” établit les SA IPSec– pour la protection des donées, une SA pour Phase 2 “Quick Mode” établit les SA IPSec– pour la protection des donées, une SA pour chaque direction identifiée par le SPI (compris dans le datagramme), algorithmes et chaque direction identifiée par le SPI (compris dans le datagramme), algorithmes et formats de datagrammes convenus, génère les clés de session partagées dérivées de la formats de datagrammes convenus, génère les clés de session partagées dérivées de la clé maîtresseclé maîtresse
NIC
TCP/IP
Serveur ou passerelle
PiloteIPSec
filtres
IPSecPolicyAgen
tIKE (ISAKMP)
PiloteIPSec
IPSecPolicyAgen
t IKE (ISAKMP)
NIC
TCP/IPfiltres
Appli ou Serviceclient
“IKE Responder”“IKE Initiator”
NégociationUDP port 500
1 IKE SA
2 SA IPSec
Protocole IP 50/51
Aperçu d’une politique IPsecAperçu d’une politique IPsec
Liste de filtres
Action
Règles
StratégieIPsec
Filtres
Méthodes d’échange de clés (IKE)
Méthodes d’authentification (Kerberos, Certificats, Clés
statiques)
Méthodes de sécurité (Chiffrement, hashing, Durée de vie des clés)
La stratégie IPsec est appliquée via une stratégie de groupe, et contiennent un ensemble de règles et spécifient comment utiliser IKE
Chaque règle associe une liste de filtres à une action, et spécifie les méthodes d’authentification
Une liste de filtres est un ensemble de filtres
Un filtre décrit un type de trafic à identifier (adresse IP, sous-réseau, port, et protocole pour les deux extrémités d’une connexion)
Une action désigne ce qu’il faut faire du trafic qui correspond à une liste de filtres : Autoriser, Refuser, Négocier la sécurité
Filtres IPsecFiltres IPsec
Attention : une seule politique IPsec par Attention : une seule politique IPsec par machinemachine
Liste de sous-réseaux connus et Liste de sous-réseaux connus et d’adresses IP d’infrastructured’adresses IP d’infrastructure
Deux types de filtresDeux types de filtresMode principal IKEMode principal IKE
Utilisent uniquement les adresses source et Utilisent uniquement les adresses source et destinationdestination
Mode rapide IKEMode rapide IKEAdresses, protocoles, portsAdresses, protocoles, ports
Actions IPsecActions IPsec
Action de filtre (prérequis de sécurité : Action de filtre (prérequis de sécurité : autoriser, refuser, négocier la sécurité)autoriser, refuser, négocier la sécurité)
Si négocierSi négocierMéthodes d’échange des clés (liste ordonnée)Méthodes d’échange des clés (liste ordonnée)
Accepter ou non le trafic entrant non sécuriséAccepter ou non le trafic entrant non sécurisé
Communication en clair ou non avec les Communication en clair ou non avec les machines non IPsecmachines non IPsec
Renouvellement des clésRenouvellement des clés
Les menaces prises en compte Les menaces prises en compte par IPsecpar IPsec
Modification des données en transitModification des données en transitAccès non authentifié à des systèmes Accès non authentifié à des systèmes approuvéesapprouvées
Y compris la propagation d’un ver d’une Y compris la propagation d’un ver d’une machine non approuvée vers une machine machine non approuvée vers une machine approuvéeapprouvée
Attaques Man-in-the-middleAttaques Man-in-the-middleUsurpationUsurpationÉcoute du réseauÉcoute du réseau……
Ce dont l’isolation avec IPsec Ce dont l’isolation avec IPsec ne vous protège pasne vous protège pas
Ingénierie socialeIngénierie socialeVulnérabilités applicativesVulnérabilités applicativesAttaques de systèmes approuvés ou utilisateurs Attaques de systèmes approuvés ou utilisateurs approuvés :approuvés :
Utilisateurs approuvés divulguant des données critiques Utilisateurs approuvés divulguant des données critiques Utilisateurs approuvés employant mal ou abusivement leur Utilisateurs approuvés employant mal ou abusivement leur statut d'utilisateur approuvé statut d'utilisateur approuvé Mise en péril des informations d'identification des Mise en péril des informations d'identification des utilisateurs approuvésutilisateurs approuvésOrdinateurs approuvés compromis accédant à d'autres Ordinateurs approuvés compromis accédant à d'autres ordinateurs approuvésordinateurs approuvésNon-conformité des périphériques approuvés en matière de Non-conformité des périphériques approuvés en matière de sécuritésécurité
Ordinateurs non approuvés accédant à d'autres Ordinateurs non approuvés accédant à d'autres ordinateurs non approuvésordinateurs non approuvésAbsence de protection physiqueAbsence de protection physique
La solution d’isolationLa solution d’isolationLa solution d’isolationLa solution d’isolation
DéfinitionsDéfinitions
Isolation de domaineIsolation de domaineSeules les machines de confiance du domaine sont Seules les machines de confiance du domaine sont autorisées à venir se connecter (autorisées à venir se connecter (inboundinbound) avec ) avec certains types d’accès réseaucertains types d’accès réseau
Toutes les machines de confiance peuvent accéder les Toutes les machines de confiance peuvent accéder les unes aux autres (sauf restriction comme utilisation d’un unes aux autres (sauf restriction comme utilisation d’un pare-feu)pare-feu)Pour tout trafic TCP/IP excepté ICMPPour tout trafic TCP/IP excepté ICMPPeut inclure de l’isolation de serveurPeut inclure de l’isolation de serveur
Isolation de serveurIsolation de serveurAutorise un sous-ensemble des machines de Autorise un sous-ensemble des machines de confiance à venir se connecter confiance à venir se connecter
Pour tout trafic TCP/IP excepté ICMPPour tout trafic TCP/IP excepté ICMPAutorisation accordée à un groupe de clients du domaine Autorisation accordée à un groupe de clients du domaine authentifiés (“Access This Computer From the Network”)authentifiés (“Access This Computer From the Network”)
Composants de la solutionComposants de la solution
HôtesHôtes
Groupes d’isolationGroupes d’isolation
Groupes d’accès réseau (NAG – Groupes d’accès réseau (NAG – Network Access Groups)Network Access Groups)
HôtesHôtes
Serveurs et stationsServeurs et stationsInitiatorsInitiators et et respondersresponders
Répartition en états d’après le niveau de confiance, Répartition en états d’après le niveau de confiance, basé sur le fait que la machine soit :basé sur le fait que la machine soit :
GéréeGéréeMembre du domaineMembre du domaineAu niveau minimum de sécurité requisAu niveau minimum de sécurité requis
États :États :Non approuvés (hôtes de défiance)Non approuvés (hôtes de défiance)
Périphérique qui peut ne pas répondre aux exigences de Périphérique qui peut ne pas répondre aux exigences de sécurité minimales, principalement parce qu'il n'est pas géré ou sécurité minimales, principalement parce qu'il n'est pas géré ou contrôlé de manière centralecontrôlé de manière centrale
Approuvables (hôtes dignes de confiance) Approuvables (hôtes dignes de confiance) Approuvés (hôtes de confiance)Approuvés (hôtes de confiance)
Périphérique géré qui se trouve dans un état connu et qui Périphérique géré qui se trouve dans un état connu et qui correspond aux exigences de sécurité minimalescorrespond aux exigences de sécurité minimales
L’état est transitoireL’état est transitoire
Tous les systèmes commence dans l’état Tous les systèmes commence dans l’état “non approuv锓non approuvé”
Approuvable indique la capacité à être Approuvable indique la capacité à être approuvéapprouvé
Approuvé signifie que la machine s’est Approuvé signifie que la machine s’est authentifiée avec IKE et est autorisée à authentifiée avec IKE et est autorisée à communiquercommuniquer
De l’audit est nécessaire pour diminuer la De l’audit est nécessaire pour diminuer la surface d’attaque et assurer la conformité !surface d’attaque et assurer la conformité !
GroupesGroupes
Groupes d’isolationGroupes d’isolationGroupes de baseGroupes de baseGroupes additionnelsGroupes additionnels
Groupes d’accès réseau (NAG – Groupes d’accès réseau (NAG – Network Access Groups)Network Access Groups)
Niveau supplémentaire d’autorisation Niveau supplémentaire d’autorisation Utilise des groupes d’utilisateurs classiquesUtilise des groupes d’utilisateurs classiques
Contient des utilisateurs et des machinesContient des utilisateurs et des machinesPar défaut : Tout le mondePar défaut : Tout le mondeOn les places soit dans le droit ALLOW ou On les places soit dans le droit ALLOW ou DISALLOW dans la stratégie de groupe (ANAG – DISALLOW dans la stratégie de groupe (ANAG – DNAG)DNAG)
Sans isolationSans isolation
Authentification des Authentification des utilisateursutilisateurs
Autorisation basée sur cette Autorisation basée sur cette authentificationauthentification
Un exemple… Sans isolationUn exemple… Sans isolation
Sans isolationSans isolation
Étape 1 : connexion à la Étape 1 : connexion à la machinemachine
(Étape 2 : machine autorisée ou (Étape 2 : machine autorisée ou non interdite)non interdite)
Sans isolationSans isolation
Autorisationd'accès à la machine pour une autre machine
Autorisationd'accès à la machine pour une autre machine
Autorisation d'accèsà la machine pour un utilisateur(SMB, RPC, …)
Autorisation d'accèsà la machine pour un utilisateur(SMB, RPC, …)
Autorisations de partage et d'accès
Autorisations de partage et d'accès
1122
Stratégie de groupeStratégie
de groupe
Pas de restriction par défautPas de restriction par défaut
Sans isolationSans isolation
Étape 1 : connexion à la Étape 1 : connexion à la machinemachine
(Étape 2 : machine autorisée (Étape 2 : machine autorisée ou non interdite)ou non interdite)
(Étape 3 : Autorisations (Étape 3 : Autorisations d'accès à l'hôte vérifiées d'accès à l'hôte vérifiées pour l'utilisateur (par défaut : pour l'utilisateur (par défaut : pas de restriction))pas de restriction))
Étape 4 : Autorisations de Étape 4 : Autorisations de partage et d'accès vérifiéespartage et d'accès vérifiées
Sans isolationSans isolation
Autorisationd'accès à la machine pour une autre machine
Autorisationd'accès à la machine pour une autre machine
Autorisation d'accèsà la machine pour un utilisateur(SMB, RPC, …)
Autorisation d'accèsà la machine pour un utilisateur(SMB, RPC, …)
11
Stratégie de groupeStratégie
de groupe
Pas de restriction par défautPas de restriction par défaut
33
Tout le mondeTout le monde
Autorisations de partage et d'accès
Autorisations de partage et d'accès
44
Isolation de domaine avec Isolation de domaine avec IPsec : comment ça marche ?IPsec : comment ça marche ?
IPsec pour :IPsec pour :Prendre en compte l’authentification du Prendre en compte l’authentification du compte machinecompte machineAssurer l’intégrité des donnéesAssurer l’intégrité des donnéesFournir le chiffrement (si nécessaire)Fournir le chiffrement (si nécessaire)
Stratégies de groupe pour :Stratégies de groupe pour :Distribuer les politiquesDistribuer les politiquesAutoriser l’accès à un utilisateur ou une Autoriser l’accès à un utilisateur ou une machinemachine
Exemple… Avec l’isolation de domaine Exemple… Avec l’isolation de domaine et de serveur en placeet de serveur en place
Contrôle de l'accès aux Contrôle de l'accès aux ordinateurs à l'aide des ordinateurs à l'aide des groupes d'accès réseau et groupes d'accès réseau et d'IPSecd'IPSecÉtape 1 : L'utilisateur essaie
d'accéder à un partage sur un serveurÉtape 2 : Mode principal de la négociation IKEÉtape 3 : Négociation de la méthode de sécurité IPSec
IsolationIsolation
Autorisationd'accès à la machine pour une autre machine(IPsec)
Autorisationd'accès à la machine pour une autre machine(IPsec)
Autorisation d'accèsà la machine pour un utilisateur(SMB, RPC, …)
Autorisation d'accèsà la machine pour un utilisateur(SMB, RPC, …)
Stratégie IPSec
Stratégie IPSec22
Autorisations de partage et d'accès
Autorisations de partage et d'accès
1133
Stratégie de groupeStratégie
de groupe
NAG Ordinateurs_DéptNAG Ordinateurs_Dépt
Contrôle de l'accès aux hôtes Contrôle de l'accès aux hôtes à l'aide des groupes d'accès à l'aide des groupes d'accès réseauréseau
Étape 1 : L'utilisateur essaie Étape 1 : L'utilisateur essaie d'accéder à un partage sur d'accéder à un partage sur un serveurun serveur
Étape 2 : Négociation IKE en Étape 2 : Négociation IKE en mode principalmode principal
Étape 3 : Négociation de la Étape 3 : Négociation de la méthode de sécurité IPSecméthode de sécurité IPSec
Étape 4 : Autorisations Étape 4 : Autorisations d'accès à l'hôte vérifiées d'accès à l'hôte vérifiées pour l'utilisateurpour l'utilisateur
Étape 5 : Autorisations de Étape 5 : Autorisations de partage et d'accès vérifiéespartage et d'accès vérifiées
IsolationIsolation
Autorisationd'accès à la machine pour une autre machine(IPsec)
Autorisationd'accès à la machine pour une autre machine(IPsec)
Autorisation d'accèsà la machine pour un utilisateur(SMB, RPC, …)
Autorisation d'accèsà la machine pour un utilisateur(SMB, RPC, …)
Stratégie IPSec
Stratégie IPSec22
1133
Stratégie de groupeStratégie
de groupe
NAG Ordinateurs_DéptNAG Ordinateurs_Dépt
44
NAG Utilisateurs_DéptNAG Utilisateurs_Dépt
Autorisations de partage et d'accès
Autorisations de partage et d'accès
55
Mise en œuvreMise en œuvreMise en œuvreMise en œuvre
Les grandes étapes de mise Les grandes étapes de mise en oeuvreen oeuvre
Comment s’y prendre ?Comment s’y prendre ?
Identifier les exigences métierIdentifier les exigences métier
Faire un bilan de l’état actuelFaire un bilan de l’état actuelMachines, topologie réseau, structure Active Machines, topologie réseau, structure Active Directory, applications…Directory, applications…
Organiser les systèmes en groupes d’isolationOrganiser les systèmes en groupes d’isolationD’après les exigences métierD’après les exigences métier
Créer des politiques pour assurer les exigences Créer des politiques pour assurer les exigences métiermétier
Assigner les politiques aux groupes d’isolationAssigner les politiques aux groupes d’isolation
Assigner des droits “Allow and Deny” aux politiquesAssigner des droits “Allow and Deny” aux politiques
Quelques conseilsQuelques conseils
Faire simpleFaire simpleEssayer tout d’abord de se limiter aux groupes de Essayer tout d’abord de se limiter aux groupes de basebase
Établir un environnement de TESTÉtablir un environnement de TESTTester tous les changements avant le déploiement Tester tous les changements avant le déploiement en productionen production
Déployer en phasesDéployer en phasesToujours avoir un plan de repliToujours avoir un plan de repliDéployer les politiques sur de petits groupes Déployer les politiques sur de petits groupes pilotes dans un premier temps, puis étendre à des pilotes dans un premier temps, puis étendre à des groupes ou des sites plus grandsgroupes ou des sites plus grands
Former votre équipeFormer votre équipeDépannage IPsecDépannage IPsec
Ne pas hésiter à se faire aiderNe pas hésiter à se faire aider
Conception du modèle Conception du modèle d'isolationd'isolation
Conception des groupes de baseConception des groupes de baseCréation des listes d'exemptionsCréation des listes d'exemptionsPlanification des groupes d'ordinateurs Planification des groupes d'ordinateurs et des groupes d'accès réseauet des groupes d'accès réseauCréation de groupes d'isolation Création de groupes d'isolation supplémentaires supplémentaires Modélisation du trafic Modélisation du trafic Affectation de membres aux groupes Affectation de membres aux groupes d'ordinateurs et aux groupes d'accès d'ordinateurs et aux groupes d'accès réseauréseau
Les groupes de baseLes groupes de base
Groupes Non-IPsecGroupes Non-IPsec
Systèmes de défianceSystèmes de défianceGroupe par défautGroupe par défaut
ExemptionsExemptionsInfrastructure Infrastructure de confiancede confiance
Groupes IPsecGroupes IPsec
Domaine d’isolationDomaine d’isolationGroupe de confiance par défautGroupe de confiance par défaut
LimitropheLimitropheGroupe de confiance à plus haut risqueGroupe de confiance à plus haut risque
Systèmesnon approuvés
Domaine d'isolation
Groupe d'isolation limitrophe
Création des listes Création des listes d’exemptionsd’exemptions
Un hôte répondant à l'une des conditions suivantes sera Un hôte répondant à l'une des conditions suivantes sera susceptible d'être intégré à la liste d'exemptions :susceptible d'être intégré à la liste d'exemptions :
Si l'hôte est un ordinateur auquel les hôtes approuvés ont besoin Si l'hôte est un ordinateur auquel les hôtes approuvés ont besoin d'accéder mais qui n'est pas doté d'une d'accéder mais qui n'est pas doté d'une implémentation IPSec compatibleimplémentation IPSec compatibleSi l'hôte est utilisé pour une application défavorablement affectée Si l'hôte est utilisé pour une application défavorablement affectée par le délai de retour à une communication en texte clair de trois par le délai de retour à une communication en texte clair de trois secondes, ou par l'encapsulation du trafic applicatif d'IPSecsecondes, ou par l'encapsulation du trafic applicatif d'IPSecSi l'hôte présente des problèmes qui ont un impact sur ses Si l'hôte présente des problèmes qui ont un impact sur ses performancesperformancesSi l'hôte est un contrôleur de domaine Si l'hôte est un contrôleur de domaine
Exemples : DNS, DHCP, DC, …Exemples : DNS, DHCP, DC, …Maintenir petite la liste carMaintenir petite la liste car
Réduction de l’intérêt de l’isolationRéduction de l’intérêt de l’isolationFardeau de la gestionFardeau de la gestionAugmentation de la taille de la stratégie (et donc temps de Augmentation de la taille de la stratégie (et donc temps de téléchargement, mémoire, CPU)téléchargement, mémoire, CPU)
Conseil : processus formel de justification d’affectation d’une Conseil : processus formel de justification d’affectation d’une machine à la zone limitrophemachine à la zone limitrophe
Planification des groupes Planification des groupes d'ordinateurs et des groupes d'ordinateurs et des groupes d'accès réseaud'accès réseau
Groupes d'ordinateurs :Groupes d'ordinateurs :Utilisés pour contenir les membres d'un groupe d'isolation Utilisés pour contenir les membres d'un groupe d'isolation spécifique spécifique Permettent l’attribution de stratégies de groupe pour Permettent l’attribution de stratégies de groupe pour implémenter différents paramètres de sécurité implémenter différents paramètres de sécurité Non nécessaires si on peut organiser les OU pour refléter les Non nécessaires si on peut organiser les OU pour refléter les groupes d’isolationgroupes d’isolationAttention : ne pas placer une machine dans plusieurs Attention : ne pas placer une machine dans plusieurs groupesgroupes
Groupes d'accès réseau :Groupes d'accès réseau :Peuvent être de deux types, Autoriser ou Refuser Peuvent être de deux types, Autoriser ou Refuser Utilisés dans une stratégie de groupe afin de contrôler Utilisés dans une stratégie de groupe afin de contrôler l'accès Autoriser ou Refuser à une machinel'accès Autoriser ou Refuser à une machineLimiter leur nombre (sinon la complexité à gérer augmente)Limiter leur nombre (sinon la complexité à gérer augmente)Les droits utilisateurs Allow et Deny ne fusionnent pas (donc Les droits utilisateurs Allow et Deny ne fusionnent pas (donc viennent d’une seule GPO)viennent d’une seule GPO)
Cartographie du trafic entre Cartographie du trafic entre groupes de basegroupes de base
Schématiser toutes les Schématiser toutes les communications communications autorisées entre les autorisées entre les groupes de basegroupes de base
IDID FromFrom ToTo BidirectionaBidirectionall
IPsecIPsec FallbacFallbackk
EncrypEncryptt
11 IDID ExEx YesYes NoNo NoNo NoNo
22 IDID BOBO YesYes YesYes NoNo NoNo
33 IDID UUNN
NoNo YesYes YesYes NoNo
44 BOBO EXEX YesYes YesYes YesYes NoNo
55 BOBO UUNN
NoNo YesYes YesYes NoNo
66 UNUN BOBO NoNo NoNo NoNo NoNo
77 UNUN EXEX YesYes NoNo NoNo NoNo
Groupes d’isolation Groupes d’isolation additionnels additionnels (si nécessaire)(si nécessaire)
Si les exigences métier le Si les exigences métier le nécessitentnécessitentExemples :Exemples :
Groupe d’isolation sans “Fallback”Groupe d’isolation sans “Fallback”Bloque les communications Bloque les communications sortantes vers des machines sortantes vers des machines de défiancede défiance
Chiffrement nécessaireChiffrement nécessaireGroupe de haute sécuritéGroupe de haute sécuritéToutes les communications doivent Toutes les communications doivent utiliser le chiffrementutiliser le chiffrement
Autres besoins relatifs au flux de Autres besoins relatifs au flux de trafic réseau entrant ou sortant trafic réseau entrant ou sortant Limitation de l'accès hôte ou Limitation de l'accès hôte ou utilisateur requise au niveau du utilisateur requise au niveau du réseau réseau
Domaine d'isolation
Groupe d'isolation limitrophe
Groupe d'isolation
Chiffrement
Groupe d'isolation
Pas de retour au texte clair
Systèmesnon approuvés
Cartographie du trafic avec Cartographie du trafic avec les groupes additionnelsles groupes additionnels
Schématiser toutes les Schématiser toutes les communications communications autorisées avec les autorisées avec les groupes additionnelsgroupes additionnels
IDID FroFromm
ToTo BidirectionaBidirectionall
IPsecIPsec FallbacFallbackk
EncrypEncryptt
88 ENEN EXEX YesYes NoNo NoNo NoNo
99 ENEN IDID YesYes YesYes NoNo YesYes
1100
ENEN NFNF YesYes YesYes NoNo YesYes
1111
ENEN BOBO NoNo YesYes NoNo YesYes
1122
NFNF IDID YesYes YesYes NoNo NoNo
1133
NFNF EXEX YesYes NoNo NoNo NoNo
1144
NFNF BOBO YesYes YesYes NoNo NoNo
Les groupes d’accès réseau Les groupes d’accès réseau NAG (1)NAG (1)
Les groupes d’accès réseau (NAG) sont Les groupes d’accès réseau (NAG) sont utilisés pour autoriser ou interdire utilisés pour autoriser ou interdire explicitement l’accès à un système via le explicitement l’accès à un système via le réseauréseau
Les noms sont choisis d’après la fonctionLes noms sont choisis d’après la fonctionANAG – Allow Network Access Group (autorisation)ANAG – Allow Network Access Group (autorisation)
DNAG – Deny Network Access Group (interdiction)DNAG – Deny Network Access Group (interdiction)
Peut contenir des utilisateurs, des machines ou Peut contenir des utilisateurs, des machines ou des groupesdes groupes
Utilisation de groupes locaux de domainesUtilisation de groupes locaux de domaines
Les groupes d’accès réseau Les groupes d’accès réseau NAG (2)NAG (2)
Les groupes d’accès réseau (NAG) sont Les groupes d’accès réseau (NAG) sont identifiés par le biais du processus de identifiés par le biais du processus de cartographie du traficcartographie du trafic
Les groupes d’interdiction d’accès réseau Les groupes d’interdiction d’accès réseau (DNAG) sont identifiés quand des utilisateurs (DNAG) sont identifiés quand des utilisateurs ou des machines d’un ou plusieurs groupes ou des machines d’un ou plusieurs groupes d’isolation IPsec ne permettent pas des d’isolation IPsec ne permettent pas des communications bidirectionnellescommunications bidirectionnellesLes groupes d’autorisation d’accès réseau Les groupes d’autorisation d’accès réseau (ANAG) sont identifiés quand des sous (ANAG) sont identifiés quand des sous ensembles d’utilisateurs ou de machines ensembles d’utilisateurs ou de machines dans un ou plusieurs groupes d’isolation dans un ou plusieurs groupes d’isolation IPsec doivent obtenir l’accès à une ressourceIPsec doivent obtenir l’accès à une ressource
Affectation de membres aux Affectation de membres aux groupes d'ordinateurs ou aux groupes d'ordinateurs ou aux groupes d'accès réseaugroupes d'accès réseau
Dernières tâches de conception de Dernières tâches de conception de groupes d'isolation :groupes d'isolation :
Affectation à un groupe d'ordinateurs : Affectation à un groupe d'ordinateurs : Placer chaque ordinateur dans un groupe Placer chaque ordinateur dans un groupe en fonction des exigences de en fonction des exigences de communicationcommunication
Affectation à un groupe d'accès réseau : Affectation à un groupe d'accès réseau : Placer les utilisateurs et les ordinateurs qui Placer les utilisateurs et les ordinateurs qui requièrent des autorisations granulaires requièrent des autorisations granulaires dans chacun des groupes d'accès réseau dans chacun des groupes d'accès réseau (NAG) précédemment identifiés(NAG) précédemment identifiés
Network Access Groups for Encryption Isolation Group
DNAG_EncryptionIG_Computers
Encryption IG Policy
Deny access to this computer
from the network
ANAG_EncryptedResourceAccess_Computers
ANAG_EncryptedResourceAccess_Users
Access this computer from
the network
CG_BoundaryIG_Computers
IPS-SQL-DFS-01
IPS-SQL-DFS-02
IPS-ST-XP-05
User7
{{
{
Les groupes d’accès réseau Les groupes d’accès réseau pour le groupe d’isolation pour le groupe d’isolation ChiffrementChiffrementN’accepte pas N’accepte pas les requêtes les requêtes depuis le groupe depuis le groupe d’isolation d’isolation FrontièreFrontière
Les systèmes Les systèmes sont restreints à sont restreints à certains certains utilisateurs et utilisateurs et machines machines spécifiquesspécifiques
Aperçu d’une politique IPsecAperçu d’une politique IPsec
Liste de filtres
Action
Règles
StratégieIPsec
Filtres
Méthodes d’échange de clés (IKE)
Méthodes d’authentification (Kerberos, Certificats, Clés
statiques)
Méthodes de sécurité (Chiffrement, hashing, Durée de vie des clés)
La stratégie IPsec est appliquée via une stratégie de groupe, et contiennent un ensemble de règles et spécifient comment utiliser IKE
Chaque règle associe une liste de filtres à une action, et spécifie les méthodes d’authentification
Une liste de filtres est un ensemble de filtres
Un filtre décrit un type de trafic à identifier (adresse IP, sous-réseau, port, et protocole pour les deux extrémités d’une connexion)
Une action désigne ce qu’il faut faire du trafic qui correspond à une liste de filtres : Autoriser, Refuser, Négocier la sécurité
Les actions de filtre IPsecLes actions de filtre IPsec
Request ModeRequest ModeAccepte un flux entrant en clairAccepte un flux entrant en clair
Autorise un flux sortant en clairAutorise un flux sortant en clair
Secure Request ModeSecure Request ModeAutorise un flux sortant en clairAutorise un flux sortant en clair
Full Require ModeFull Require Mode
Require Encryption ModeRequire Encryption ModeChiffrement obligatoireChiffrement obligatoire
Application d’une politique Application d’une politique IPsecIPsec
Liée au niveau du domaineLiée au niveau du domaineLa stratégie de groupe du La stratégie de groupe du domaine par défaut domaine par défaut s’applique en premiers’applique en premierLa politique la plus La politique la plus restrictive devrait être la restrictive devrait être la dernière appliquéedernière appliquée
Filtrage par groupeFiltrage par groupeLes machines de Les machines de CG_NoIPsec_Computers CG_NoIPsec_Computers n’utilisent jamais IPsecn’utilisent jamais IPsecDes groupes globaux et Des groupes globaux et universels sont utilisésuniversels sont utilisésLes utilisateurs authentifiés Les utilisateurs authentifiés se voient accorder les droits se voient accorder les droits de lecture seulementde lecture seulement
Encryption IG Policy
CG_NoIPsec_Computers
CG_EncryptionIG_Computers
{ : Deny Apply Group Policy
: Allow ReadAllow Apply Group Policy
Boundary IG Policy
CG_NoIPsec_Computers
CG_BoundaryIG_Computers
{ : Deny Apply Group Policy
: Allow ReadAllow Apply Group Policy
No Fallback IG Policy
CG_NoIPsec_Computers
CG_NoFallbackIG_Computers
{ : Deny Apply Group Policy
: Allow ReadAllow Apply Group Policy
Isolation Domain Policy
CG_NoIPsec_Computers
CG_IsolationDomain_Computers
{ : Deny Apply Group Policy
: Allow ReadAllow Apply Group Policy
Ord
er o
f Pol
icy
App
llica
tion
DéploiementDéploiement
Déploiement par constructionDéploiement par constructionAu départ, la politique a des exemptions et n’exige Au départ, la politique a des exemptions et n’exige pas IPsec pour tous les sous-réseaux à sécuriserpas IPsec pour tous les sous-réseaux à sécuriser
L’action de filtre “Request Mode” est utilisée pour L’action de filtre “Request Mode” est utilisée pour les listes de filtres des sous-réseaux sécurisésles listes de filtres des sous-réseaux sécurisés
Les sous-réseaux sont petit à petit ajoutés à la liste Les sous-réseaux sont petit à petit ajoutés à la liste des filtres des sous-réseaux sécurisés, puis testésdes filtres des sous-réseaux sécurisés, puis testés
Déploiement par groupeDéploiement par groupeLa politique IPsec est définie et liéeLa politique IPsec est définie et liée
Des groupes sont utilisés pour contrôler Des groupes sont utilisés pour contrôler l’application de la stratégie (via des permissions)l’application de la stratégie (via des permissions)
Autres points à prendre en Autres points à prendre en considérationconsidération
Le nombre maximal de connexions simultanées Le nombre maximal de connexions simultanées IPSec aux serveurs, par hôte distinct IPSec aux serveurs, par hôte distinct
La taille de jeton maximale pour les hôtes La taille de jeton maximale pour les hôtes utilisant IPSec utilisant IPSec
Avant le déploiement :Avant le déploiement :Périphériques saturés Périphériques saturés
Périphériques incompatibles Périphériques incompatibles
Adressage IP Adressage IP
Participation du client/serveur Participation du client/serveur
Services qui doivent être isolés Services qui doivent être isolés
Équilibrage de la charge réseau et mise en « cluster Équilibrage de la charge réseau et mise en « cluster » »
ComplémentsComplémentsComplémentsCompléments
Gestion d’un environnement Gestion d’un environnement avec isolation IPsecavec isolation IPsec
Chapitre 6Chapitre 6En raison des temps de réplicationEn raison des temps de réplication
Créer les objets d’abord (GPO, stratégie IPsec…)Créer les objets d’abord (GPO, stratégie IPsec…)Puis seulement après assigner la stratégie IPsec dans la Puis seulement après assigner la stratégie IPsec dans la stratégie de groupestratégie de groupe
En cas de remplacement d’un filtre générique par un En cas de remplacement d’un filtre générique par un filtre plus spécifiquefiltre plus spécifique
Ajouter le filtre spécifiqueAjouter le filtre spécifiqueSupprimer le filtre générique ensuiteSupprimer le filtre générique ensuite
L’ordre des filtres n’a pas d’importance (le plus L’ordre des filtres n’a pas d’importance (le plus spécifique s’applique d’abord) spécifique s’applique d’abord) Les stratégies IPsec ne sont pas stockées dans les Les stratégies IPsec ne sont pas stockées dans les stratégies de groupe (d’où prudence lors de la stratégies de groupe (d’où prudence lors de la sauvegarde; utiliser sauvegarde de l’état du sauvegarde; utiliser sauvegarde de l’état du système)système)……
DépannageDépannage
Chapitre 7Chapitre 7Diagrammes p167 et suivantesDiagrammes p167 et suivantesOutils :Outils :pingpingnet viewnet viewsrvinfosrvinfonetdiagnetdiagnltestnltestipseccmdipseccmdnetsh ipsecnetsh ipsec
PerformancePerformance
Négociation IPsec : 1 à 2 secondesNégociation IPsec : 1 à 2 secondes
Usage CPU augmente si chiffrementUsage CPU augmente si chiffrement
Chaque SA IKE prend 5ko de RAMChaque SA IKE prend 5ko de RAM
Déploiement MS en interne : 1 à 3% de trafic Déploiement MS en interne : 1 à 3% de trafic supplémentairesupplémentaire
L’utilisation de stratégies de groupe L’utilisation de stratégies de groupe supplémentaires augmentera le temps de supplémentaires augmentera le temps de démarrage de machine et d’ouverture de démarrage de machine et d’ouverture de sessionsession
Pour les routeurs ou commutateurs ayant plus Pour les routeurs ou commutateurs ayant plus de 75% d’utilisation, envisager une mise à jourde 75% d’utilisation, envisager une mise à jour
InconvénientsInconvénients
Inspection du trafic potentiellement impossible Inspection du trafic potentiellement impossible du fait de la protection IPsecdu fait de la protection IPsec
Pour le trafic IPsec avec authentification seule (pas Pour le trafic IPsec avec authentification seule (pas de chiffrement) :de chiffrement) :
Nécessité de mettre à jour son logiciel d’inspection pour Nécessité de mettre à jour son logiciel d’inspection pour tenir compte de l’entête IPsectenir compte de l’entête IPsec
Pour le trafic chiffré IPsec :Pour le trafic chiffré IPsec :IDS réseau -> IDS hôteIDS réseau -> IDS hôteFiltres sur ports réseau -> filtre sur pare-feu hôteFiltres sur ports réseau -> filtre sur pare-feu hôteRapport sur le trafic par port -> adresse IP seulementRapport sur le trafic par port -> adresse IP seulement
Courbe d’apprentissage pour cette nouvelle Courbe d’apprentissage pour cette nouvelle technologie qui change fondamentalement les technologie qui change fondamentalement les communications TCP/IPcommunications TCP/IPNécessité d’avoir une planification détaillée et Nécessité d’avoir une planification détaillée et une bonne coordination pour l’isolation de une bonne coordination pour l’isolation de domainedomaine
Faiblesses principalesFaiblesses principales
Un administrateur local peut désactiver IPsecUn administrateur local peut désactiver IPsecAutorise l’accès entrant depuis des machines de Autorise l’accès entrant depuis des machines de défiancedéfiance
Mais ne permettra pas à la machine de se Mais ne permettra pas à la machine de se connecter à des machines de confianceconnecter à des machines de confiance
Un administrateur local peut changer la Un administrateur local peut changer la politique locale dynamique (politique locale dynamique (local dynamic local dynamic policypolicy))
L’inspection réseau est limitée au trafic non L’inspection réseau est limitée au trafic non chiffré (avec un analyseur adéquat…)chiffré (avec un analyseur adéquat…)
Tous les membres du domaine ne peuvent Tous les membres du domaine ne peuvent pas être protégés (ex : DC, DHCP)pas être protégés (ex : DC, DHCP)
SynthèseSynthèseSynthèseSynthèse
SynthèseSynthèse
Déployer IPSec pour fournir Déployer IPSec pour fournir l'authentification et le chiffrementl'authentification et le chiffrementCombiner IPSec, les groupes de sécurité Combiner IPSec, les groupes de sécurité et les stratégies de groupe pour et les stratégies de groupe pour l'isolation logiquel'isolation logiqueImplémenter des groupes Implémenter des groupes supplémentaires pour isoler des supplémentaires pour isoler des ressources ou fournir les fonctionnalités ressources ou fournir les fonctionnalités requises requises Utiliser la zone Limitrophe comme point Utiliser la zone Limitrophe comme point de départ, lors du déploiement de de départ, lors du déploiement de groupes d'isolation, à l'aide d'IPSecgroupes d'isolation, à l'aide d'IPSec
Bénéfices principauxBénéfices principaux
Réduit la surface d’attaque sur les machines isoléesRéduit la surface d’attaque sur les machines isoléesMicrosoft avait de nombreux systèmes non gérés sur son réseauMicrosoft avait de nombreux systèmes non gérés sur son réseau
Augmente l’adhésion au domaineAugmente l’adhésion au domaineFournit des protections supplémentaires contre les vers et les Fournit des protections supplémentaires contre les vers et les virusvirusRemède plus rapide en cas d’infectionRemède plus rapide en cas d’infectionPropagation plus lentePropagation plus lente
Améliore la protection contre les attaques internesAméliore la protection contre les attaques internesL’autorisation nécessite un compte utilisateur autorisé ET ue L’autorisation nécessite un compte utilisateur autorisé ET ue machine digne de confiancemachine digne de confianceAudite les connexionsAudite les connexionsIsole les machines de confiance des autres machines de Isole les machines de confiance des autres machines de confianceconfiance
Fournit un authentification et un chiffrement pour le Fournit un authentification et un chiffrement pour le partage de fichiers (SMB/CIFS) et les autres protocoles partage de fichiers (SMB/CIFS) et les autres protocoles non sécurisésnon sécurisés
Ensuite ?Ensuite ?
““Un peu” de lectureUn peu” de lectureDomain and Server Isolation Using IPsec and Group Policy Domain and Server Isolation Using IPsec and Group Policy GuideGuide
Microsoft Solutions for Security GuideMicrosoft Solutions for Security Guide
Improving Security with Domain Isolation Improving Security with Domain Isolation Livre blanc sur le retour d’expérience interne de Microsoft ITLivre blanc sur le retour d’expérience interne de Microsoft IT
Using Microsoft Windows IPsec to Help Secure an Internal Using Microsoft Windows IPsec to Help Secure an Internal Corporate Network Server Corporate Network Server
Livre blanc conjoint de Microsoft et FoundstoneLivre blanc conjoint de Microsoft et Foundstone
Documentation IPsecDocumentation IPsecAide en ligneAide en ligneAide produitAide produitKit de déploiement Windows Server 2003Kit de déploiement Windows Server 2003
““Un peu” d’actionUn peu” d’actionDémarrer l’audit de l’état de votre réseauDémarrer l’audit de l’état de votre réseau
Ressources et référencesRessources et références
Server and Domain Isolation Using IPsec and Group Server and Domain Isolation Using IPsec and Group Policy Guide Policy Guide : : http://go.microsoft.com/fwlink/?linkid=33947 http://go.microsoft.com/fwlink/?linkid=33947 Improving Security with Domain Isolation (retour Improving Security with Domain Isolation (retour d’expérience de MS IT avec IPsec) d’expérience de MS IT avec IPsec) ::http://www.microsoft.com/technet/itsolutions/msit/sehttp://www.microsoft.com/technet/itsolutions/msit/security/IPsecdomisolwp.mspx curity/IPsecdomisolwp.mspx TechNet Support Webcast for IPsec TechNet Support Webcast for IPsec ::http://support.microsoft.com/default.aspx?http://support.microsoft.com/default.aspx?kbid=888266 kbid=888266 Plus d’infos sur :Plus d’infos sur :http://www.microsoft.com/ipsechttp://www.microsoft.com/ipsecIPSec troubleshooting toolsIPSec troubleshooting toolshttp://www.microsoft.com/technet/prodtechnol/windohttp://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/ebcbc96d-b236-wsserver2003/library/ServerHelp/ebcbc96d-b236-401d-a98b-91c965a3d18f.mspx 401d-a98b-91c965a3d18f.mspx
Le guide en françaisLe guide en françaisDisponible depuis le 13 juin 2005Disponible depuis le 13 juin 2005
http://www.microsoft.com/france/technet/securite/ipsec/default.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/default.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecack.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecack.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecapa.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecapa.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecapb.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecapb.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecapc.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecapc.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecapd.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecapd.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecch1.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecch1.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecch2.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecch2.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecch3.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecch3.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecch4.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecch4.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecch5.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecch5.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecch6.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecch6.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecch7.mspxhttp://www.microsoft.com/france/technet/securite/ipsec/ipsecch7.mspx
Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec
91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 8290 825 827 829
[email protected]@microsoft.com
ComplémentsComplémentsComplémentsCompléments
IPsec dans Windows IPsec dans Windows
Plateformes concernées Plateformes concernées Windows 2000 SP4Windows 2000 SP4Windows Server 2003 ou ultérieurWindows Server 2003 ou ultérieurWindows XP Service Pack 2 ou ultérieurWindows XP Service Pack 2 ou ultérieur
Composants certifiés FIPS 140-1Composants certifiés FIPS 140-1
Filtres : peuvent tenir compte des ports mais la Filtres : peuvent tenir compte des ports mais la solution ici utilise unique les adresses IP pour tout solution ici utilise unique les adresses IP pour tout trafic sauf ICMPtrafic sauf ICMPPour des questions de simplicité, utiliser des groupes Pour des questions de simplicité, utiliser des groupes universelsuniversels
La taille maxi d’un jeton Kerberos : 1000 groupes par La taille maxi d’un jeton Kerberos : 1000 groupes par utilisateurutilisateur
IPsecIPsec
Ne protège pas les trafic Ne protège pas les trafic multicastmulticast et et broadcastbroadcastComparaison avec SSLComparaison avec SSL
Transparent par rapport aux applicationsTransparent par rapport aux applicationsSe situe au niveau 3 et donc ne peut pas vérifier que le nom Se situe au niveau 3 et donc ne peut pas vérifier que le nom de la machine à laquelle l’application se connecte est bien de la machine à laquelle l’application se connecte est bien celui attendu (risque d’attaque sophistiquée MITM)celui attendu (risque d’attaque sophistiquée MITM)
Termes : Termes : Autoriser une communication non sécurisée avec des Autoriser une communication non sécurisée avec des ordinateurs n’utilisant pas IPsec (ordinateurs n’utilisant pas IPsec (Fall back to clearFall back to clear))
Permet à un Permet à un initiator initiator à communiquer en TCP/IP classique s’il n’y à communiquer en TCP/IP classique s’il n’y a pas de réponse IKE du a pas de réponse IKE du responderresponder
Accepter les communications non sécurisées mais toujours Accepter les communications non sécurisées mais toujours répondre en utilisant IPsec (répondre en utilisant IPsec (Inbound passthroughInbound passthrough))
Permet à une machine capable d’IPsec d’accepter du trafic Permet à une machine capable d’IPsec d’accepter du trafic TCP/IP classique (ni IKE, ni IPsec) entrant depuis une machine TCP/IP classique (ni IKE, ni IPsec) entrant depuis une machine distante et de répondre par une négociation IKEdistante et de répondre par une négociation IKEAttention : si on active cette option-ci mais pas celle-là alors le Attention : si on active cette option-ci mais pas celle-là alors le responder responder ne peut pas communiquer avec un ne peut pas communiquer avec un initiator initiator incapable incapable d’IPsecd’IPsec
IPsecIPsec
Activation de PMTU nécessaire pour un Activation de PMTU nécessaire pour un bon fonctionnement d’IPsecbon fonctionnement d’IPsec
Envisager l’exemption des clusters et des Envisager l’exemption des clusters et des machines en NLBmachines en NLB
IPsec est incompatible avec NLB en mode IPsec est incompatible avec NLB en mode « sans affinité »« sans affinité »
Client VPN IPsec non Microsoft : Client VPN IPsec non Microsoft : Doivent autoriser la communication IKE et Doivent autoriser la communication IKE et IPsecIPsec
Sinon envisager de créer des exemptions Sinon envisager de créer des exemptions pour le sous-réseau des clients VPNpour le sous-réseau des clients VPN
Valeur de la solutionValeur de la solution
Améliore la sécuritéAméliore la sécuritéFonctionne avec des mécanismes existants pour Fonctionne avec des mécanismes existants pour fournir une “défense en profondeur”fournir une “défense en profondeur”
Isole dans un compartiment les systèmes de Isole dans un compartiment les systèmes de confiance des autres systèmes de confianceconfiance des autres systèmes de confiance
Beaucoup moins cher que de l’isolation Beaucoup moins cher que de l’isolation physique (sans la remplacer complètement)physique (sans la remplacer complètement)
Protection des données sensiblesProtection des données sensiblesAuthentification mutuelle et (de manière Authentification mutuelle et (de manière facultative) chiffrementfacultative) chiffrement
Contrôle d’accès plus précisContrôle d’accès plus précis