La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Stratégie de sécurité IP sur ordinateur local

Publié parViolette Levy Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "Stratégie de sécurité IP sur ordinateur local"— Transcription de la présentation:

1 Stratégie de sécurité IP sur ordinateur local
J. Calicis

2 Pourquoi appliquer une stratégie de sécurité IP sur ordinateur local ?
Du point de vue sécurité, il est toujours bon d’appliquer plusieurs couches. Au cas où votre parefeu venait à être désactivé inopinément, par exemple suite à l’action d’un malware, et certains vers de courrier sont très habiles à ce petit jeu, vous resteriez malgré tout insensibles aux attaques extérieures, protégés par votre stratégie de sécurité IP. A l’installation de Windows 2000 qui ne possède pas de parefeu natif, il est pratiquement impossible de se connecter au Web en vue d’appliquer les mises à jour de Windows Update sans subir les conséquences des vers de réseau Blaster ou Sasser. Aucun problème si vous avez appliqué une stratégie de sécurité IP AVANT la première connexion n’autorisant le OUT que sur les ports 80 et 443 et une règle bloquant tout autre trafic. A la différence de votre pare-feu s’il permet le mode furtif, certains ports apparaîtront cependant fermés et non cachés sans ajout dans le registre de quelques valeurs sous certaines clés, ce qui en soit n’offre pas une moins grande sécurité, simplement vous ne passerez pas inaperçu lors d’un balayage de ports par les scriptkiddies si votre pare-feu est désactivé. Une stratégie IP sur ordinateur local ne remplace pas un parefeu, c’est une couche de protection supplémentaire.

3 IPsec, c’est quoi ? IPsec (pour Internet Protocol Security) a été développé par Microsoft conjointement avec Cisco et l’IETF (Internet Engineering Task Force) pour créer des connexions sécurisées entre différentes machines, même quand le logiciel qui communique ne supporte pas le cryptage. IPsec peut aussi être utilisé pour créer des règles pour filtrer le type de trafic IP que la machine acceptera, un peu à la façon d’un parefeu basique. C’est le propos de cet exposé et non ses autres utilisations dont celles pour les OS serveurs ou les VPN. Le guide "Isolation de serveurs et de domaines à l'aide d'IPSec et de stratégies de groupe" traite très clairement ces points. Un parefeu simple permet d’accepter ou de refuser le trafic vers un port ou une IP locaux. IPsec offre le même niveau de contrôle : vous pouvez spécifier un port et/ou une adresse IP locale auxquels les règles choisies seront appliquées au trafic correspondant (autoriser, refuser, autoriser seulement aux connexions sécurisées, etc…) mais permet aussi la même chose pour un port, une IP ou un sous-réseau distant.

4 IPsec versus Filtrage TCP/IP
Chaque interface réseau offre la possibilité de filtrage TCP/IP à l’onglet avancé mais ceci a peu d’utilité, c’est un peu une version dépouillée d’IPsec, les packets sont seulement vus du point de vue serveur et un autre désavantage majeur est la nécessité de redémarrer après chaque modification. IPsec permet une plus grande flexibilité : vous pouvez autoriser le trafic depuis un port source ou à destination d’un port et les règles sont prises en compte dès leur application. Il permet donc de filtrer par port, par IP ou sous-réseau et par protocole tant le trafic entrant que le trafic sortant. Par exemple, les IRC bots dont il existe des tas de variantes installés par un ver de courrier ne pourront communiquer vers l’extérieur avec les règles de base puisque les ports qu’ils utilisent (6667 entre autres) ne sont pas autorisés. De même que les chevaux de Troie/backdoors/keyloggers : pas de phoning home possible pour la plupart puisque les ports de communication qu’ils utilisent sont fermés.

5 Le fonctionnement des règles IPsec
L’approche est très simple : Une stratégie comprend plusieurs règles, la règle la plus proche concernant le packet détermine son traitement, ignorant toutes les autres, indépendamment du service ou de l’application. En cas de règles contradictoires, la règle «Refuser» prime. Une règle peut comprendre plusieurs filtres mais l’action de tous les filtres est la même pour la règle concernée : «Accepter», «Refuser» (négocier la sécurité et autres options ne nous concernent pas dans le cas présent) . Un filtre comprend : • une adresse IP source ou une plage d'adresses • une adresse IP de destination ou une plage d'adresses • un protocole IP, tel que TCP, UDP, n'importe lequel, etc… • des ports source et de destination (uniquement pour TCP ou UDP). Il est possible de créer plusieurs stratégies mais une seule peut être attribuée à la fois.

6 Le fonctionnement des règles IPsec (suite)
A l’inverse des pare-feux logiciels, il n’y donc a pas d’ordre à respecter pour la disposition des règles qui seront simplement classées par ordre alphabétique et l’ordre est sans effet sur leur prise en compte, les règles n’étant pas interprétées de haut en bas. Par exemple, si vous n’avez que deux règles, l’une d’interdiction de tout trafic TCP et l’autre d’acceptation du trafic HTTP client (TCP OUT port 80) , votre machine bloquera tout trafic en entrée et en sortie non destiné au port distant 80. Ni IN ni OUT FTP, HTTP (via proxy sur un port autre que le port 80), HTTPS, SMTP, POP, IMAP, NNTP . Dans la stratégie de base proposée, tout ce qui n’est pas explicitement autorisé est interdit, quel que soit le protocole, tant en entrée qu’en sortie. A l’inverse de la plupart des pare-feux, il n’y a pas de mode apprentissage ni de boîte de dialogue offrant la possibilité de créer une règle ou un filtre en cas de blocage par une règle en place.

7 La mise en place de votre stratégie
Sous Windows XP Pro : il suffit de se rendre dans les outils d’administration, de cliquer sur Stratégie de locale (ou en ligne de commande secpol.msc) , de créer une nouvelle stratégie et d’ajouter vos règles en utilisant l’assistant, c’est assez fastidieux et nécessite de bonnes connaissances des protocoles TCP/IP. Heureusement, il existe des stratégies prêtes à l’emploi qui nécessiteront simplement l’ajout de quelques règles propres aux applications que vous utilisez, les règles pour le trafic sortant et entrant étant déjà configurées et activées pour les navigateurs et les logiciels de courrier. Le set de Règles IP sur PC que j’ai édité vous permet de mettre en place votre stratégie en quelques minutes et comprend déjà des règles (non activées) pour des applications ou services tels les serveurs personnels Web, FTP, SMTP, MSN Messenger, l’assistance et le bureau à distance, le partage de fichiers et d’imprimantes, l’UPnP etc…. Sous Windows XP Home : le plus simple est d’installer gpedit et secpol en copiant les fichiers nécessaires depuis un Windows XP Pro ou depuis divers sites dont le mien, ils ne sont pas présents dans Windows XP Home. Par défaut, seuls la navigation (HTTP, HTTPS et FTP), l’envoi et la réception de courrier/news ainsi que la mise à l’heure sont autorisés. Titre2 Titre2 Titre2 Titre2 Titre2 Titre2 Titre2 M

8 Ajouter le Moniteur de sécurité IP
Ajouter le composant logiciel enfichable Moniteur de sécurité IP permet de visualiser ses règles à tout moment et de consulter les statistiques. Toute la procédure d’installation d’une stratégie de sécurité IP sur Ordinateur local et du Moniteur est détaillée dans l’animation flash qui suivra cette courte présentation. Il permet de voir comment la stratégie interprète vos règles et rajoute les règles miroir nécessaires à son fonctionnement.

9 Astuces Il est très facile avec une stratégie de sécurité IP sur Ordinateur local de limiter l’accès à un seul site ou un sous-réseau en le renseignant dans les propriétés du filtre HTTP client comme adresse de destination, ça peut être utile pour des PC dans une salle d’attente ou d’exposition ou permettre l’accès à Internet en entreprise uniquement aux quelques sites indispensables au travail. Très simple également de l’utiliser pour couper complètement tout accès au Web à des heures déterminées à un poste du réseau local : mettre le service IPSEC sur manuel, créer deux tâches planifiées : net start policyagent et net stop policyagent en décochant toutes les règles du kit sauf la règle dynamique et les règles Deny. Pendant la plage horaire où la stratégie sera appliquée, pas d’accès possible, même la session en cours ne pourra continuer à avoir accès, tranquillité pour les parents. Des solutions plus élégantes existent à l’aide de ipsecpol et de ipseccmd.exe qui fait partie des Windows support tools fournis avec le SP2 en désactivant uniquement la règle http client et laissant la stratégie filtrante constamment active, ce qui permet de ne pas interrompre les téléchargements en cours sur d’autres ports.

10 Tweaks - Par défaut le trafic TCP et UDP ayant pour port source 88 (kerberos -Key Distribution Center) et 500 (isakmp - Internet Security Association and Key Management Protocol) outrepasse toutes les stratégies IP en place : le port 88 apparaîtra donc fermé et non bloqué lors d’un scan de ports bien que nous ne les utilisions pas dans le cas présent : A la clé HKLM\SYSTEM\CurrentControlSet\Services\IPSEC\ créer une nouvelle valeur DWORD NoDefaultExempt Valeur 1 Cette clé ne corrige pas tous les cas d'exception puisque les négociations IKE, les Broadcasts et les Multicasts restent exemptés de stratégie IP, mais c'est suffisant pour une stratégie sur Ordinateur local pour que ce port soit bloqué et n’apparaisse donc pas lors d’un scan en ligne. - Lorsque le partage de fichiers et imprimantes est activé, les ICMP sont automatiquement autorisés dans Windows Firewall pour tout le réseau. La règle ICMP «permit» limite cette autorisation au sous-réseau que vous renseignez, par exemple / - Si vous n’utilisez pas le partage de fichiers et d’imprimantes, l’ajout à la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters d’une nouvelle valeur DWORD SmbDeviceEnabled Valeur 0 désactivera l’écoute sur le port 445.

11 Mini FAQ Une stratégie de sécurité IP sur Ordinateur local est-elle utile si on utilise un pare-feu ? Oui, particulièrement avec Windows Firewall qui ne filtre que le IN. Dans certains cas deux pare-feux peuvent poser des problèmes de compatibilité. Quid avec IPSEC ? Aucun problème, ce n’est pas un pare-feu stricto sensu même s’il en a certaines fonctionnalités. IPSEC présente-il des inconvénients pour l’utilisation/configuration normale ? Oui. Par exemple, le client FTP devra être utilisé en mode actif pour uploader/downloader des fichiers sur/depuis un server. Le kit de règles ne couvre que l’utilisation courante par l’utilisateur lambda de son poste. Pour les applications communiquant sur des ports non standard, il faudra créer des règles spécifiques. Certaines applications sollicitant et répondant vers/depuis des ports aléatoires, il sera pratiquement impossible de créer une règle stricte. Plutôt que de créer une règle lâche, par exemple accepter le OUT TCP sur tous les ports, il est préférable de désactiver la stratégie le temps d’utiliser l’application concernée, le pare-feu continuant à jouer son rôle.

12 Mini FAQ (suite) Est-ce que la stratégie permet d’empêcher les ad- et spywares de faire du phoning home ? Non, ceux-ci communiquent généralement sur le port HTTP et il n’y a aucun filtrage applicatif possible avec la stratégie. Par contre les serveurs trojans ou les keyloggers installés par des vers de courrier ne pourront communiquer, de même que les vers de réseaux ne pourront infecter la machine, les ports qu’ils tentent d’utiliser étant fermés (sauf si vous les avez explicitement autorisés pour une application) , ce qui n’est pas le cas avec Windows Firewall . Pourquoi toutes ces règles miroir créées automatiquement ? Un filtre en miroir applique la même règle sur l'ordinateur client et serveur (avec les adresses source et de destination inversées). Elles ne sont pas toutes indispensables, leur création est proposée par défaut par l’assistant. Il est plus simple de laisser l’assistant les créer, elles ne présentent pas de risque et facilitent certains échanges pour des applications y ayant recours en évitant de devoir créer une règle supplémentaire.

13 Mini FAQ (fin) Existe-t-il des logiciels «simples» permettant de faire ces manipulations ? Dans le Reskit de Win2000 il existe ipsecpol et dans les Windows Support Tools de Windows XP SP2 ipseccmd.exe qui permettent de créer, modifier les règles et/ou leurs filtres et d’attribuer ou de supprimer l’attribution de la stratégie en invite de commandes. En quoi ma sécurité est-elle améliorée puisque je dispose déjà d’un routeur et/ou d’un pare-feu applicatif ou de Windows Firewall ? Aucun système de protection n’est infaillible, certains malwares peuvent également désactiver vos logiciels de sécurité (pare-feu, antivirus, antispyware, etc…). Une stratégie de sécurité IP sur Ordinateur local offre une couche de protection supplémentaire simple, gratuite et aisée à mettre en place. Elle ne dispense évidemment pas de pratiquer le Safe Hex : compte d’utilisateur limité pour l’usage courant, OS à jour, antivirus à jour fonctionnant IRT, antispyware à jour, pare-feu et last but not least une once de bon sens. Basé sur les questions de WikiPierre 12 ans actif dans les Communautés Microsoft

14 Bibliographie et divers
Titre2 Titre2 Titre2 Titre2 Titre2 Titre2 Titre2 IPSEC and You : IPSEC : microsoft.com IPSEC, VPN and FIREWALL CONCEPTS : THE TCP/IP GUIDE : Stratégie de sécurité IP sur Ordinateur local : Ajouter gpedit et secpol à Windows XP Home : Windows XP/2003 (jean-Claude Bellamy) – Packs des fichiers nécessaires à l’installation : gpedit.zip et secpol.rar Installeur automatique Gpedit + Secpol pourWindows XP Home (réalisé par WikiPierre avec Install Creator) : Optimix Moteur de recherche Google Microsoft : google Microsoft Tutoriel flash et kit de règles : Optimix En savoir plus : l’outil ipseccmd.exe et ipsecpol Autres sources : multiples et en diverses langues, trop nombreuses à citer ici. M

15 Mini Glossaire TCP/IP : Transmission Control Protocol/Internet Protocol, le protocole gérant les transmissions de données sur les réseaux, y compris Internet. TCP : Transmission Control Protocol orienté connexion => Contrôle du bon acheminement des packets. UDP : User Datagram Protocol non orienté connexion => utilisé quand la performance l'emporte sur la fiabilité : aucune garantie du bon acheminement des packets ni vérification. Utilisé par exemple pour le streaming audio et video. ICMP : Internet Control Message Protocol non orienté connexion - Le protocole standard de message de contrôle et d'erreurs. L'usage le plus connu est la séquence Echo Request/Echo Reply utilisée pour le ping. Socket : <IP Address>:<Port > Paire de sockets : <IP Address Server>:<Port> + <IP Address Client>:<Port> Unicast Messages : adressés à une seule machine du réseau. Broadcast Messages : adressés à toutes les machines du réseau. Multicast Messages : un compromis entre les deux, adressés à certaines machines du réseau répondant à certains critères.

Télécharger ppt "Stratégie de sécurité IP sur ordinateur local"

Présentations similaires

Tutoriel - Les Ressources du BCH

Tutoriel - Les Ressources du BCH
Active Directory Windows 2003 Server

Active Directory Windows 2003 Server
Installer un serveur FTP

Installer un serveur FTP
Module 5 : Implémentation de l'impression

Module 5 : Implémentation de l'impression
GPO Group Policy Object

GPO Group Policy Object
GESTION D’IMPRISSION SOUS WINDOWS & LINUX

GESTION D’IMPRISSION SOUS WINDOWS & LINUX
Protection du réseau périphérique avec ISA 2004

Protection du réseau périphérique avec ISA 2004
Botnet, défense en profondeur

Botnet, défense en profondeur
VLC UMVF Fiche Veille Statut Logiciel gratuit, open source

VLC UMVF Fiche Veille Statut Logiciel gratuit, open source
D/ Partage et permission NTFS

D/ Partage et permission NTFS
Www.coursmix.com Serveur jeu Le serveur fait partie d'un logiciel de jeu en ligne multi joueur en architecture client serveur. Il répond à des demandes.

Serveur jeu Le serveur fait partie d'un logiciel de jeu en ligne multi joueur en architecture client serveur. Il répond à des demandes.
- ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs.

- ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs.
- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.

- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.
Firewall sous Linux Netfilter / iptables.

Firewall sous Linux Netfilter / iptables.
DUDIN Aymeric MARINO Andrès

DUDIN Aymeric MARINO Andrès
ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001

ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001
Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.

Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.
Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Implémentation de la sécurité IPSec
Réseaux Privés Virtuels

Réseaux Privés Virtuels
Cours Présenté par …………..

Cours Présenté par …………..

Présentations similaires

Annonces Google