La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1 Stratégie de sécurité IP sur ordinateur local J. Calicis 27062005.

Présentations similaires


Présentation au sujet: "1 Stratégie de sécurité IP sur ordinateur local J. Calicis 27062005."— Transcription de la présentation:

1

2 1 Stratégie de sécurité IP sur ordinateur local J. Calicis

3 2 Pourquoi appliquer une stratégie de sécurité IP sur ordinateur local ? Du point de vue sécurité, il est toujours bon dappliquer plusieurs couches. Au cas où votre parefeu venait à être désactivé inopinément, par exemple suite à laction dun malware, et certains vers de courrier sont très habiles à ce petit jeu, vous resteriez malgré tout insensibles aux attaques extérieures, protégés par votre stratégie de sécurité IP. A linstallation de Windows 2000 qui ne possède pas de parefeu natif, il est pratiquement impossible de se connecter au Web en vue dappliquer les mises à jour de Windows Update sans subir les conséquences des vers de réseau Blaster ou Sasser. Aucun problème si vous avez appliqué une stratégie de sécurité IP AVANT la première connexion nautorisant le OUT que sur les ports 80 et 443 et une règle bloquant tout autre trafic. A la différence de votre pare-feu sil permet le mode furtif, certains ports apparaîtront cependant fermés et non cachés sans ajout dans le registre de quelques valeurs sous certaines clés, ce qui en soit noffre pas une moins grande sécurité, simplement vous ne passerez pas inaperçu lors dun balayage de ports par les scriptkiddies si votre pare-feu est désactivé. Une stratégie IP sur ordinateur local ne remplace pas un parefeu, cest une couche de protection supplémentaire.

4 3 IPsec, cest quoi ? IPsec (pour Internet Protocol Security) a été développé par Microsoft conjointement avec Cisco et lIETF (Internet Engineering Task Force) pour créer des connexions sécurisées entre différentes machines, même quand le logiciel qui communique ne supporte pas le cryptage. IPsec peut aussi être utilisé pour créer des règles pour filtrer le type de trafic IP que la machine acceptera, un peu à la façon dun parefeu basique. Cest le propos de cet exposé et non ses autres utilisations dont celles pour les OS serveurs ou les VPN. Le guide "Isolation de serveurs et de domaines à l'aide d'IPSec et de stratégies de groupe" traite très clairement ces points."Isolation de serveurs et de domaines à l'aide d'IPSec et de stratégies de groupe" Un parefeu simple permet daccepter ou de refuser le trafic vers un port ou une IP locaux. IPsec offre le même niveau de contrôle : vous pouvez spécifier un port et/ou une adresse IP locale auxquels les règles choisies seront appliquées au trafic correspondant (autoriser, refuser, autoriser seulement aux connexions sécurisées, etc…) mais permet aussi la même chose pour un port, une IP ou un sous-réseau distant.

5 4 IPsec versus Filtrage TCP/IP Chaque interface réseau offre la possibilité de filtrage TCP/IP à longlet avancé mais ceci a peu dutilité, cest un peu une version dépouillée dIPsec, les packets sont seulement vus du point de vue serveur et un autre désavantage majeur est la nécessité de redémarrer après chaque modification. IPsec permet une plus grande flexibilité : vous pouvez autoriser le trafic depuis un port source ou à destination dun port et les règles sont prises en compte dès leur application. Il permet donc de filtrer par port, par IP ou sous-réseau et par protocole tant le trafic entrant que le trafic sortant. Par exemple, les IRC bots dont il existe des tas de variantes installés par un ver de courrier ne pourront communiquer vers lextérieur avec les règles de base puisque les ports quils utilisent (6667 entre autres) ne sont pas autorisés. De même que les chevaux de Troie/backdoors/keyloggers : pas de phoning home possible pour la plupart puisque les ports de communication quils utilisent sont fermés.

6 5 Le fonctionnement des règles IPsec Lapproche est très simple : Une stratégie comprend plusieurs règles, la règle la plus proche concernant le packet détermine son traitement, ignorant toutes les autres, indépendamment du service ou de lapplication. En cas de règles contradictoires, la règle «Refuser» prime. Une règle peut comprendre plusieurs filtres mais laction de tous les filtres est la même pour la règle concernée : «Accepter», «Refuser» (négocier la sécurité et autres options ne nous concernent pas dans le cas présent). Un filtre comprend : une adresse IP source ou une plage d'adresses une adresse IP de destination ou une plage d'adresses un protocole IP, tel que TCP, UDP, n'importe lequel, etc… des ports source et de destination (uniquement pour TCP ou UDP). Il est possible de créer plusieurs stratégies mais une seule peut être attribuée à la fois.

7 6 Le fonctionnement des règles IPsec (suite) A linverse des pare-feux logiciels, il ny donc a pas dordre à respecter pour la disposition des règles qui seront simplement classées par ordre alphabétique et lordre est sans effet sur leur prise en compte, les règles nétant pas interprétées de haut en bas. Par exemple, si vous navez que deux règles, lune dinterdiction de tout trafic TCP et lautre dacceptation du trafic HTTP client (TCP OUT port 80), votre machine bloquera tout trafic en entrée et en sortie non destiné au port distant 80. Ni IN ni OUT FTP, HTTP (via proxy sur un port autre que le port 80), HTTPS, SMTP, POP, IMAP, NNTP. Dans la stratégie de base proposée, tout ce qui nest pas explicitement autorisé est interdit, quel que soit le protocole, tant en entrée quen sortie. A linverse de la plupart des pare-feux, il ny a pas de mode apprentissage ni de boîte de dialogue offrant la possibilité de créer une règle ou un filtre en cas de blocage par une règle en place.

8 7 Titre2 Titre2 Titre2 Titre2 Titre2 Titre2 Titre2 M La mise en place de votre stratégie Sous Windows XP Pro : il suffit de se rendre dans les outils dadministration, de cliquer sur Stratégie de locale (ou en ligne de commande secpol.msc), de créer une nouvelle stratégie et dajouter vos règles en utilisant lassistant, cest assez fastidieux et nécessite de bonnes connaissances des protocoles TCP/IP. Heureusement, il existe des stratégies prêtes à lemploi qui nécessiteront simplement lajout de quelques règles propres aux applications que vous utilisez, les règles pour le trafic sortant et entrant étant déjà configurées et activées pour les navigateurs et les logiciels de courrier. Le set de Règles IP sur PC que jai édité vous permet de mettre en place votre stratégie en quelques minutes et comprend déjà des règles (non activées) pour des applications ou services tels les serveurs personnels Web, FTP, SMTP, MSN Messenger, lassistance et le bureau à distance, le partage de fichiers et dimprimantes, lUPnP etc….Règles IP sur PC Sous Windows XP Home : le plus simple est dinstaller gpedit et secpol en copiant les fichiers nécessaires depuis un Windows XP Pro ou depuis divers sites dont le mien, ils ne sont pas présents dans Windows XP Home. Par défaut, seuls la navigation (HTTP, HTTPS et FTP), lenvoi et la réception de courrier/news ainsi que la mise à lheure sont autorisés.

9 8 Ajouter le Moniteur de sécurité IP Ajouter le composant logiciel enfichable Moniteur de sécurité IP permet de visualiser ses règles à tout moment et de consulter les statistiques. Toute la procédure dinstallation dune stratégie de sécurité IP sur Ordinateur local et du Moniteur est détaillée dans lanimation flash qui suivra cette courte présentation. Il permet de voir comment la stratégie interprète vos règles et rajoute les règles miroir nécessaires à son fonctionnement.

10 9 Astuces - Il est très facile avec une stratégie de sécurité IP sur Ordinateur local de limiter laccès à un seul site ou un sous-réseau en le renseignant dans les propriétés du filtre HTTP client comme adresse de destination, ça peut être utile pour des PC dans une salle dattente ou dexposition ou permettre laccès à Internet en entreprise uniquement aux quelques sites indispensables au travail. - Très simple également de lutiliser pour couper complètement tout accès au Web à des heures déterminées à un poste du réseau local : mettre le service IPSEC sur manuel, créer deux tâches planifiées : net start policyagent et net stop policyagent en décochant toutes les règles du kit sauf la règle dynamique et les règles Deny. Pendant la plage horaire où la stratégie sera appliquée, pas daccès possible, même la session en cours ne pourra continuer à avoir accès, tranquillité pour les parents. Des solutions plus élégantes existent à laide de ipsecpol et de ipseccmd.exe qui fait partie des Windows support tools fournis avec le SP2 en désactivant uniquement la règle http client et laissant la stratégie filtrante constamment active, ce qui permet de ne pas interrompre les téléchargements en cours sur dautres ports.

11 10 Tweaks - Par défaut le trafic TCP et UDP ayant pour port source 88 (kerberos -Key Distribution Center) et 500 (isakmp - Internet Security Association and Key Management Protocol) outrepasse toutes les stratégies IP en place : le port 88 apparaîtra donc fermé et non bloqué lors dun scan de ports bien que nous ne les utilisions pas dans le cas présent : A la clé HKLM\SYSTEM\CurrentControlSet\Services\IPSEC\ créer une nouvelle valeur DWORD NoDefaultExempt Valeur 1 Cette clé ne corrige pas tous les cas d'exception puisque les négociations IKE, les Broadcasts et les Multicasts restent exemptés de stratégie IP, mais c'est suffisant pour une stratégie sur Ordinateur local pour que ce port soit bloqué et napparaisse donc pas lors dun scan en ligne. - Lorsque le partage de fichiers et imprimantes est activé, les ICMP sont automatiquement autorisés dans Windows Firewall pour tout le réseau. La règle ICMP «permit» limite cette autorisation au sous-réseau que vous renseignez, par exemple / Si vous nutilisez pas le partage de fichiers et dimprimantes, lajout à la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters dune nouvelle valeur DWORD SmbDeviceEnabled Valeur 0 désactivera lécoute sur le port 445.

12 11 Mini FAQ Une stratégie de sécurité IP sur Ordinateur local est-elle utile si on utilise un pare- feu ? Oui, particulièrement avec Windows Firewall qui ne filtre que le IN. Dans certains cas deux pare-feux peuvent poser des problèmes de compatibilité. Quid avec IPSEC ? Aucun problème, ce nest pas un pare-feu stricto sensu même sil en a certaines fonctionnalités. IPSEC présente-il des inconvénients pour lutilisation/configuration normale ? Oui. Par exemple, le client FTP devra être utilisé en mode actif pour uploader/downloader des fichiers sur/depuis un server. Le kit de règles ne couvre que lutilisation courante par lutilisateur lambda de son poste. Pour les applications communiquant sur des ports non standard, il faudra créer des règles spécifiques. Certaines applications sollicitant et répondant vers/depuis des ports aléatoires, il sera pratiquement impossible de créer une règle stricte. Plutôt que de créer une règle lâche, par exemple accepter le OUT TCP sur tous les ports, il est préférable de désactiver la stratégie le temps dutiliser lapplication concernée, le pare-feu continuant à jouer son rôle.

13 12 Mini FAQ (suite) Est-ce que la stratégie permet dempêcher les ad- et spywares de faire du phoning home ? Non, ceux-ci communiquent généralement sur le port HTTP et il ny a aucun filtrage applicatif possible avec la stratégie. Par contre les serveurs trojans ou les keyloggers installés par des vers de courrier ne pourront communiquer, de même que les vers de réseaux ne pourront infecter la machine, les ports quils tentent dutiliser étant fermés (sauf si vous les avez explicitement autorisés pour une application), ce qui nest pas le cas avec Windows Firewall. Pourquoi toutes ces règles miroir créées automatiquement ? Un filtre en miroir applique la même règle sur l'ordinateur client et serveur (avec les adresses source et de destination inversées). Elles ne sont pas toutes indispensables, leur création est proposée par défaut par lassistant. Il est plus simple de laisser lassistant les créer, elles ne présentent pas de risque et facilitent certains échanges pour des applications y ayant recours en évitant de devoir créer une règle supplémentaire.

14 13 Mini FAQ (fin) Existe-t-il des logiciels «simples» permettant de faire ces manipulations ? Dans le Reskit de Win2000 il existe ipsecpol et dans les Windows Support Tools de Windows XP SP2 ipseccmd.exe qui permettent de créer, modifier les règles et/ou leurs filtres et dattribuer ou de supprimer lattribution de la stratégie en invite de commandes. En quoi ma sécurité est-elle améliorée puisque je dispose déjà dun routeur et/ou dun pare-feu applicatif ou de Windows Firewall ? Aucun système de protection nest infaillible, certains malwares peuvent également désactiver vos logiciels de sécurité (pare-feu, antivirus, antispyware, etc…). Une stratégie de sécurité IP sur Ordinateur local offre une couche de protection supplémentaire simple, gratuite et aisée à mettre en place. Elle ne dispense évidemment pas de pratiquer le Safe Hex : compte dutilisateur limité pour lusage courant, OS à jour, antivirus à jour fonctionnant IRT, antispyware à jour, pare-feu et last but not least une once de bon sens. Basé sur les questions de WikiPierre 12 ans actif dans les Communautés Microsoft

15 14 Titre2 Titre2 Titre2 Titre2 Titre2 Titre2 Titre2 M Bibliographie et divers IPSEC and You : IPSEC : microsoft.commicrosoft.com IPSEC, VPN and FIREWALL CONCEPTS : THE TCP/IP GUIDE : Stratégie de sécurité IP sur Ordinateur local : Ajouter gpedit et secpol à Windows XP Home : Windows XP/2003 (jean-Claude Bellamy) – Packs des fichiers nécessaires à linstallation : gpedit.zip et secpol.rarWindows XP/2003gpedit.zipsecpol.rar Installeur automatique Gpedit + Secpol pourWindows XP Home (réalisé par WikiPierre avec Install Creator) : OptimixOptimix Moteur de recherche Google Microsoft : google Microsoftgoogle Microsoft Tutoriel flash et kit de règles : OptimixOptimix En savoir plus : loutil ipseccmd.exe et ipsecpolipseccmd.exeipsecpol Autres sources : multiples et en diverses langues, trop nombreuses à citer ici.

16 15 Mini Glossaire TCP/IP : Transmission Control Protocol/Internet Protocol, le protocole gérant les transmissions de données sur les réseaux, y compris Internet. TCP : Transmission Control Protocol orienté connexion => Contrôle du bon acheminement des packets. UDP : User Datagram Protocol non orienté connexion => utilisé quand la performance l'emporte sur la fiabilité : aucune garantie du bon acheminement des packets ni vérification. Utilisé par exemple pour le streaming audio et video. ICMP : Internet Control Message Protocol non orienté connexion - Le protocole standard de message de contrôle et d'erreurs. L'usage le plus connu est la séquence Echo Request/Echo Reply utilisée pour le ping. Socket : : Paire de sockets : : + : Unicast Messages : adressés à une seule machine du réseau. Broadcast Messages : adressés à toutes les machines du réseau. Multicast Messages : un compromis entre les deux, adressés à certaines machines du réseau répondant à certains critères.


Télécharger ppt "1 Stratégie de sécurité IP sur ordinateur local J. Calicis 27062005."

Présentations similaires


Annonces Google