La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Isolation de domaine avec les stratégies de groupe et IPsec Cyril Voisin Chef de programme Sécurité Microsoft France.

Présentations similaires


Présentation au sujet: "Isolation de domaine avec les stratégies de groupe et IPsec Cyril Voisin Chef de programme Sécurité Microsoft France."— Transcription de la présentation:

1 Isolation de domaine avec les stratégies de groupe et IPsec Cyril Voisin Chef de programme Sécurité Microsoft France

2 Notes Une mise à jour de cette présentation est disponible depuis : rubrique Événements Pour une question :

3 Conditions préalables pour la session Expérience pratique de Windows 2000 ou de Windows Server 2003 Connaissance d'Active Directory et des stratégies de groupe Connaissance des concepts de sécurité des systèmes Windows Connaissance pratique des concepts relatifs au protocole TCP/IP Compréhension des concepts de base d'IPSec (Internet Protocol Security) Niveau 300

4 Sommaire La problématique de la sécurité des réseaux internes Rappels sur IPsec Démarche de mise en œuvre État des lieux du réseau Conception et planification des groupes disolation Création des politiques IPsec DéploiementCompléments Gestion dun environnement avec isolation IPsec DépannagePerformanceInconvénientsFaiblessesSynthèse

5 Sécurité sur les grands réseaux internes Les défis et la solution IPsec

6 Problématique Les réseaux internes de grande taille ne présentent pas le même environnement de confiance : Impossibilité de contrôler qui/quoi se connecte physiquement en interne De nombreuses machines non gérées représentent une menace dinfection Besoin de se connecter avec les partenaires/sous- traitants/clients tout en limitant laccès Un seul réseau mais plusieurs divisions, entreprises, responsables IT Le vol ou labus dutilisation des lettres de crédance dun utilisateur non détectés

7 Problématique Les réseaux internes de grande taille peuvent avoir plusieurs chemins indépendants qui les connectent à Internet Le périmètre est mouvant et il est impossible de tout contrôler à la frontière en pratique La menace « Internet » a élu résidence quelque part sur le réseau interne La surface dattaque inclut tout le trafic IP sur tous les ports TCP/UDP Le filtrage de paquets (pare-feu classiques) aide mais est insuffisant quand les client sont répartis un peu partout sur le réseau Besoin dune stratégie de défense en profondeur pour prendre en compte la sécurité au niveau applicatif

8 Problématique Les données sensibles ou critiques ont besoin dune protection à la hauteur de leur valeur Protéger laccès réseau aux systèmes internes qui stockent ou manipulent ces données Protéger le trafic réseau qui transportent ces données ou des informations dauthentification En reconnaissant que lamélioration de la sécurité des applications existantes elles-mêmes peut prendre du temps et coûter cher

9 Solution Isolation avec IPsec en mode transport Authentification des machines Protège tout le trafic TCP/IP entre des machines de confiance Intégrité et optionnellement chiffrement de chaque datagramme Politique personnalisable déployée dans un domaine (pas de changement des applications existantes)

10 Comment l'isolation du réseau s'inscrit-elle dans la sécurité du réseau ? Stratégies, procédures et sensibilisation Sécurité physique Application Hôte Réseau interne Périmètre Données Isolation logique Fait partie de lapproche de défense en profondeur Se trouve dun point de vue logique entre les couches réseau et machine Consiste en la sécurisation de lhôte grâce au contrôle des communications réseau

11 Rappels IPsec

12 IPsec Environnement constitué de normes ouvertes destiné à garantir la sécurité et la confidentialité des communications sur les réseaux IP, au moyen de services de sécurité reposant sur le chiffrement des données Avantages : Transparent pour les utilisateurs et les applications (à part létablissement de la négociation initiale de la sécurité) Accès restreint aux serveurs Configuration personnalisable de la sécurité Administration centrale de la stratégie IPSec via Active Directory Attention : IPsec ne remplace pas un pare-feu (pas Stateful Packet Inspection) Une exemption statique pour un trafic sortant représente aussi une exemption statique pour le trafic entrant correspondant Utiliser un pare-feu pour contrôler les communications par port ou par protocole

13 IPsec Comme son nom lindique travail au niveau réseau (couche 3) et permet détablir un canal sécurisé pour échanger de manière protégée des données entre deux périphériques (machines, routeurs, …) Deux modes Mode tunnel Sécurisation du trafic entre 2 réseaux (de routeur à routeur) Protection de lentête et de la charge Mode transport Sécurisation du trafic entre 2 machines (de PC à PC en passant par des routeurs) Protection de la charge seulement

14 IPsec AH (IP Authentication Header) - RFC 2402 Authentification mutuelle Intégrité des données et de ladresse IP (sans chiffrement) Ne traverse pas le NAT ESP (IP Encapsulating Security Payload) - RFC 2406 Authentification mutuelle Intégrité et chiffrement des données Traverse le NAT On utilise soit AH seul, soit ESP seul, soit AH et ESP

15 IPSec AH (Authentication Header) en mode Transport Données Entête TCP Entête IP orig. Données Entête TCP Entête AH Entête IP orig. Proch.Ent Lgr charge RsrvSecParamIndex Keyed Hash Couverture du hash pour lintégrité (sauf pour les champs IP mutables) n°Seq 24 octets au total AH = protocole IP 51 Insertion

16 IPSec ESP (Encapsulating Security Payload) en mode Transport Data TCP Hdr Orig IP Hdr Data TCP Hdr ESP Hdr Orig IP Hdr ESP Trailer ESP Auth Usually encrypted integrity hash coverage SecParamIndex Padding PaddingPadLengthNextHdr Seq# Keyed Hash bytes total InitVector ESP is IP protocol 50 Insertion Ajout

17 IPsec Protocole IKE (Internet Key Exchange) RFC 2409 En fait, 3 sous protocoles ISAKMP (Internet Security Association Key Management Protocol) OakleySKEME Négocie la méthode de sécurité qui sera employée et fait léchange de clé (et établit une SA IKE, ou main mode SA)

18 IPsec Security Association (SA) IPsec A chaque conversation protégée est associée une SA IPsec qui est un enregistrement de la configuration nécessaire au périphérique pour une connexion IPsec donnée (liste les algorithmes utilisés, les clés dauthentification et de chiffrement, la durée de validité des clés, le mode tunnel ou transport, adresse de destination, numéros de séquence) Une SA IPsec est négociée pour chaque flux unidirectionnel Security Parameter Index (SPI) Les SA IPsec sont identifiées par un index (SPI) La source indique valeur du SPI est dans lentête du paquet IPsec

19 Vue de la pile TCP/IP dans le noyau de Windows 2000/XP/2003 IP Packet Filter driver (ipfltdrv.sys) IP Filter Hook (DDK) TCPRawICMPUDP WinSock Winsock Layered Service Providers (SDK) IPsec Filters, Encryption (ipsec.sys, fips.sys) IP Frag/Reassembly PPTP L2TP NDIS 5.0 ICS-NAT/ICF (ipnat.sys) TCP/UDP/IP Connection UI Filters Pile IP Netmon driver (NMnt.sys) Netmon driver (NMnt.sys) TDI API (DDK)/AFD.SYS RRAS Input/Output Interface Filters (SDK) Task offload miniport (DDK): TCP checksum, IPsec, large TCP send NAT apis (SDK)

20 Processus de sécurité IPsec Un périphérique (initiator) demande une connexion IPsec à un autre périphérique (responder) Une politique de sécurité (IPsec policy) a été définie, ensemble de règles qui déterminent quelles actions à entreprendre (autoriser, refuser, sécuriser) pour quels datagrammes Une négociation a lieu pour déterminer les clés et les algorithmes (SA IKE) Une association de sécurité (SA IPsec) est établie par chaque périphérique pour chaque direction de la connexion (entrante et sortante)

21 Exemple : dans Windows Couche TCP Pilote IPSec Couche TCP Pilote IPSec Datagrammes IP chiffrés 3 3 Négociation IKE (Internet Key Exchange) 2 2 Stratégie IPSec 1 1 Active Directory

22 Lenvoi de datagrammes déclenche une négociation IKE Internet Key Exchange (IKE) Internet Key Exchange (IKE) Phase 1 Main Mode établit la SA IKE – canal de confiance entre les systèmes, la négociation établit un canal chiffré, la confiance mutuelle, et génère dynamiquement une clé secrète partagée ("clé maîtresse") Phase 1 Main Mode établit la SA IKE – canal de confiance entre les systèmes, la négociation établit un canal chiffré, la confiance mutuelle, et génère dynamiquement une clé secrète partagée ("clé maîtresse") Phase 2 Quick Mode établit les SA IPSec– pour la protection des donées, une SA pour chaque direction identifiée par le SPI (compris dans le datagramme), algorithmes et formats de datagrammes convenus, génère les clés de session partagées dérivées de la clé maîtresse Phase 2 Quick Mode établit les SA IPSec– pour la protection des donées, une SA pour chaque direction identifiée par le SPI (compris dans le datagramme), algorithmes et formats de datagrammes convenus, génère les clés de session partagées dérivées de la clé maîtresse NIC TCP/IP Serveur ou passerelle Pilote IPSec filtres IPSec PolicyAgent IKE (ISAKMP) Pilote IPSec IPSec PolicyAgent IKE (ISAKMP) NIC TCP/IP filtres Appli ou Service client IKE Responder IKE Initiator Négociation UDP port IKE SA 2 SA IPSec Protocole IP 50/51

23 Aperçu dune politique IPsec Liste de filtres Action Règles Stratégie IPsec Filtres Méthodes déchange de clés (IKE) Méthodes dauthentification (Kerberos, Certificats, Clés statiques) Méthodes de sécurité (Chiffrement, hashing, Durée de vie des clés) La stratégie IPsec est appliquée via une stratégie de groupe, et contiennent un ensemble de règles et spécifient comment utiliser IKE Chaque règle associe une liste de filtres à une action, et spécifie les méthodes dauthentification Une liste de filtres est un ensemble de filtres Un filtre décrit un type de trafic à identifier (adresse IP, sous- réseau, port, et protocole pour les deux extrémités dune connexion) Une action désigne ce quil faut faire du trafic qui correspond à une liste de filtres : Autoriser, Refuser, Négocier la sécurité

24 Filtres IPsec Attention : une seule politique IPsec par machine Liste de sous-réseaux connus et dadresses IP dinfrastructure Deux types de filtres Mode principal IKE Utilisent uniquement les adresses source et destination Mode rapide IKE Adresses, protocoles, ports

25 Actions IPsec Action de filtre (prérequis de sécurité : autoriser, refuser, négocier la sécurité) Si négocier Méthodes déchange des clés (liste ordonnée) Accepter ou non le trafic entrant non sécurisé Communication en clair ou non avec les machines non IPsec Renouvellement des clés

26 Les menaces prises en compte par IPsec Modification des données en transit Accès non authentifié à des systèmes approuvées Y compris la propagation dun ver dune machine non approuvée vers une machine approuvée Attaques Man-in-the-middle Usurpation Écoute du réseau …

27 Ce dont lisolation avec IPsec ne vous protège pas Ingénierie sociale Vulnérabilités applicatives Attaques de systèmes approuvés ou utilisateurs approuvés : Utilisateurs approuvés divulguant des données critiques Utilisateurs approuvés employant mal ou abusivement leur statut d'utilisateur approuvé Mise en péril des informations d'identification des utilisateurs approuvés Ordinateurs approuvés compromis accédant à d'autres ordinateurs approuvés Non-conformité des périphériques approuvés en matière de sécurité Ordinateurs non approuvés accédant à d'autres ordinateurs non approuvés Absence de protection physique

28 DémoDémo Configurer et attribuer une stratégie IPsec

29 La solution disolation

30 Définitions Isolation de domaine Seules les machines de confiance du domaine sont autorisées à venir se connecter (inbound) avec certains types daccès réseau Toutes les machines de confiance peuvent accéder les unes aux autres (sauf restriction comme utilisation dun pare-feu) Pour tout trafic TCP/IP excepté ICMP Peut inclure de lisolation de serveur Isolation de serveur Autorise un sous-ensemble des machines de confiance à venir se connecter Pour tout trafic TCP/IP excepté ICMP Autorisation accordée à un groupe de clients du domaine authentifiés (Access This Computer From the Network)

31 Composants de la solution Hôtes Groupes disolation Groupes daccès réseau (NAG – Network Access Groups)

32 Hôtes Serveurs et stations Initiators et responders Répartition en états daprès le niveau de confiance, basé sur le fait que la machine soit : Gérée Membre du domaine Au niveau minimum de sécurité requis États : Non approuvés (hôtes de défiance) Périphérique qui peut ne pas répondre aux exigences de sécurité minimales, principalement parce qu'il n'est pas géré ou contrôlé de manière centrale Approuvables (hôtes dignes de confiance) Approuvés (hôtes de confiance) Périphérique géré qui se trouve dans un état connu et qui correspond aux exigences de sécurité minimales

33 Létat est transitoire Tous les systèmes commence dans létat non approuvé Approuvable indique la capacité à être approuvé Approuvé signifie que la machine sest authentifiée avec IKE et est autorisée à communiquer De laudit est nécessaire pour diminuer la surface dattaque et assurer la conformité !

34 Groupes Groupes disolation Groupes de base Groupes additionnels Groupes daccès réseau (NAG – Network Access Groups) Niveau supplémentaire dautorisation Utilise des groupes dutilisateurs classiques Contient des utilisateurs et des machines Par défaut : Tout le monde On les places soit dans le droit ALLOW ou DISALLOW dans la stratégie de groupe (ANAG – DNAG)

35 Sans isolation Authentification des utilisateurs Autorisation basée sur cette authentification Un exemple… Sans isolation

36 Sans isolation Étape 1 : connexion à la machine (Étape 2 : machine autorisée ou non interdite) Sans isolation Autorisation d'accès à la machine pour une autre machine Autorisation d'accès à la machine pour un utilisateur (SMB, RPC, …) Autorisation d'accès à la machine pour un utilisateur (SMB, RPC, …) Autorisations de partage et d'accès Stratégie de groupe Pas de restriction par défaut

37 Sans isolation Étape 1 : connexion à la machine (Étape 2 : machine autorisée ou non interdite) (Étape 3 : Autorisations d'accès à l'hôte vérifiées pour l'utilisateur (par défaut : pas de restriction)) Étape 4 : Autorisations de partage et d'accès vérifiées Sans isolation Autorisation d'accès à la machine pour une autre machine Autorisation d'accès à la machine pour un utilisateur (SMB, RPC, …) Autorisation d'accès à la machine pour un utilisateur (SMB, RPC, …) 1 1 Stratégie de groupe Pas de restriction par défaut 3 3 Tout le monde Autorisations de partage et d'accès 4 4

38 Isolation de domaine avec IPsec : comment ça marche ? IPsec pour : Prendre en compte lauthentification du compte machine Assurer lintégrité des données Fournir le chiffrement (si nécessaire) Stratégies de groupe pour : Distribuer les politiques Autoriser laccès à un utilisateur ou une machine Exemple… Avec lisolation de domaine et de serveur en place

39 Contrôle de l'accès aux ordinateurs à l'aide des groupes d'accès réseau et d'IPSec Étape 1 : L'utilisateur essaie d'accéder à un partage sur un serveur Étape 2 : Mode principal de la négociation IKE Étape 3 : Négociation de la méthode de sécurité IPSec Isolation Autorisation d'accès à la machine pour une autre machine (IPsec) Autorisation d'accès à la machine pour un utilisateur (SMB, RPC, …) Autorisation d'accès à la machine pour un utilisateur (SMB, RPC, …) Stratégie IPSec 2 2 Autorisations de partage et d'accès Stratégie de groupe NAG Ordinateurs_Dépt

40 Contrôle de l'accès aux hôtes à l'aide des groupes d'accès réseau Étape 1 : L'utilisateur essaie d'accéder à un partage sur un serveur Étape 2 : Négociation IKE en mode principal Étape 3 : Négociation de la méthode de sécurité IPSec Étape 4 : Autorisations d'accès à l'hôte vérifiées pour l'utilisateur Étape 5 : Autorisations de partage et d'accès vérifiées Isolation Autorisation d'accès à la machine pour une autre machine (IPsec) Autorisation d'accès à la machine pour un utilisateur (SMB, RPC, …) Autorisation d'accès à la machine pour un utilisateur (SMB, RPC, …) Stratégie IPSec Stratégie de groupe NAG Ordinateurs_Dépt 4 4 NAG Utilisateurs_Dépt Autorisations de partage et d'accès 5 5

41 Mise en œuvre Les grandes étapes de mise en oeuvre

42 Comment sy prendre ? Identifier les exigences métier Faire un bilan de létat actuel Machines, topologie réseau, structure Active Directory, applications… Organiser les systèmes en groupes disolation Daprès les exigences métier Créer des politiques pour assurer les exigences métier Assigner les politiques aux groupes disolation Assigner des droits Allow and Deny aux politiques

43 Quelques conseils Faire simple Essayer tout dabord de se limiter aux groupes de base Établir un environnement de TEST Tester tous les changements avant le déploiement en production Déployer en phases Toujours avoir un plan de repli Déployer les politiques sur de petits groupes pilotes dans un premier temps, puis étendre à des groupes ou des sites plus grands Former votre équipe Dépannage IPsec Ne pas hésiter à se faire aider

44 Conception du modèle d'isolation Conception des groupes de base Création des listes d'exemptions Planification des groupes d'ordinateurs et des groupes d'accès réseau Création de groupes d'isolation supplémentaires Modélisation du trafic Affectation de membres aux groupes d'ordinateurs et aux groupes d'accès réseau

45 Les groupes de base Groupes Non-IPsec Systèmes de défiance Groupe par défaut Exemptions Infrastructure de confiance Groupes IPsec Domaine disolation Groupe de confiance par défaut Limitrophe Groupe de confiance à plus haut risque Systèmes non approuvés Domaine d'isolation Groupe d'isolation limitrophe

46 Création des listes dexemptions Un hôte répondant à l'une des conditions suivantes sera susceptible d'être intégré à la liste d'exemptions : Si l'hôte est un ordinateur auquel les hôtes approuvés ont besoin d'accéder mais qui n'est pas doté d'une implémentation IPSec compatible Si l'hôte est utilisé pour une application défavorablement affectée par le délai de retour à une communication en texte clair de trois secondes, ou par l'encapsulation du trafic applicatif d'IPSec Si l'hôte présente des problèmes qui ont un impact sur ses performances Si l'hôte est un contrôleur de domaine Exemples : DNS, DHCP, DC, … Maintenir petite la liste car Réduction de lintérêt de lisolation Fardeau de la gestion Augmentation de la taille de la stratégie (et donc temps de téléchargement, mémoire, CPU) Conseil : processus formel de justification daffectation dune machine à la zone limitrophe

47 Planification des groupes d'ordinateurs et des groupes d'accès réseau Groupes d'ordinateurs : Utilisés pour contenir les membres d'un groupe d'isolation spécifique Permettent lattribution de stratégies de groupe pour implémenter différents paramètres de sécurité Non nécessaires si on peut organiser les OU pour refléter les groupes disolation Attention : ne pas placer une machine dans plusieurs groupes Groupes d'accès réseau : Peuvent être de deux types, Autoriser ou Refuser Utilisés dans une stratégie de groupe afin de contrôler l'accès Autoriser ou Refuser à une machine Limiter leur nombre (sinon la complexité à gérer augmente) Les droits utilisateurs Allow et Deny ne fusionnent pas (donc viennent dune seule GPO)

48 Cartographie du trafic entre groupes de base Schématiser toutes les communications autorisées entre les groupes de base IDFromToBidirectionalIPsecFallbackEncrypt 1IDExYesNoNoNo 2IDBOYesYesNoNo 3IDUNNoYesYesNo 4BOEXYesYesYesNo 5BOUNNoYesYesNo 6UNBONoNoNoNo 7UNEXYesNoNoNo

49 Groupes disolation additionnels (si nécessaire) Si les exigences métier le nécessitent Exemples : Groupe disolation sans Fallback Bloque les communications sortantes vers des machines de défiance Chiffrement nécessaire Groupe de haute sécurité Toutes les communications doivent utiliser le chiffrement Autres besoins relatifs au flux de trafic réseau entrant ou sortant Limitation de l'accès hôte ou utilisateur requise au niveau du réseau Domaine d'isolation Groupe d'isolation limitrophe Groupe d'isolation Chiffrement Groupe d'isolation Pas de retour au texte clair Systèmes non approuvés

50 Cartographie du trafic avec les groupes additionnels Schématiser toutes les communications autorisées avec les groupes additionnels IDFromToBidirectionalIPsecFallbackEncrypt 8ENEXYesNoNoNo 9ENIDYesYesNoYes 10ENNFYesYesNoYes 11ENBONoYesNoYes 12NFIDYesYesNoNo 13NFEXYesNoNoNo 14NFBOYesYesNoNo

51 Les groupes daccès réseau NAG (1) Les groupes daccès réseau (NAG) sont utilisés pour autoriser ou interdire explicitement laccès à un système via le réseau Les noms sont choisis daprès la fonction ANAG – Allow Network Access Group (autorisation) DNAG – Deny Network Access Group (interdiction) Peut contenir des utilisateurs, des machines ou des groupes Utilisation de groupes locaux de domaines

52 Les groupes daccès réseau NAG (2) Les groupes daccès réseau (NAG) sont identifiés par le biais du processus de cartographie du trafic Les groupes dinterdiction daccès réseau (DNAG) sont identifiés quand des utilisateurs ou des machines dun ou plusieurs groupes disolation IPsec ne permettent pas des communications bidirectionnelles Les groupes dautorisation daccès réseau (ANAG) sont identifiés quand des sous ensembles dutilisateurs ou de machines dans un ou plusieurs groupes disolation IPsec doivent obtenir laccès à une ressource

53 Affectation de membres aux groupes d'ordinateurs ou aux groupes d'accès réseau Dernières tâches de conception de groupes d'isolation : Affectation à un groupe d'ordinateurs : Placer chaque ordinateur dans un groupe en fonction des exigences de communication Affectation à un groupe d'accès réseau : Placer les utilisateurs et les ordinateurs qui requièrent des autorisations granulaires dans chacun des groupes d'accès réseau (NAG) précédemment identifiés

54 Les groupes daccès réseau pour le groupe disolation Chiffrement Naccepte pas les requêtes depuis le groupe disolation Frontière Les systèmes sont restreints à certains utilisateurs et machines spécifiques

55 Aperçu dune politique IPsec Liste de filtres Action Règles Stratégie IPsec Filtres Méthodes déchange de clés (IKE) Méthodes dauthentification (Kerberos, Certificats, Clés statiques) Méthodes de sécurité (Chiffrement, hashing, Durée de vie des clés) La stratégie IPsec est appliquée via une stratégie de groupe, et contiennent un ensemble de règles et spécifient comment utiliser IKE Chaque règle associe une liste de filtres à une action, et spécifie les méthodes dauthentification Une liste de filtres est un ensemble de filtres Un filtre décrit un type de trafic à identifier (adresse IP, sous- réseau, port, et protocole pour les deux extrémités dune connexion) Une action désigne ce quil faut faire du trafic qui correspond à une liste de filtres : Autoriser, Refuser, Négocier la sécurité

56 Les actions de filtre IPsec Request Mode Accepte un flux entrant en clair Autorise un flux sortant en clair Secure Request Mode Autorise un flux sortant en clair Full Require Mode Require Encryption Mode Chiffrement obligatoire

57 Application dune politique IPsec Liée au niveau du domaine La stratégie de groupe du domaine par défaut sapplique en premier La politique la plus restrictive devrait être la dernière appliquée Filtrage par groupe Les machines de CG_NoIPsec_Computers nutilisent jamais IPsec Des groupes globaux et universels sont utilisés Les utilisateurs authentifiés se voient accorder les droits de lecture seulement

58 DémoDémo Groupes daccès réseau (NAG) IPsec en action

59 Déploiement Déploiement par construction Au départ, la politique a des exemptions et nexige pas IPsec pour tous les sous-réseaux à sécuriser Laction de filtre Request Mode est utilisée pour les listes de filtres des sous-réseaux sécurisés Les sous-réseaux sont petit à petit ajoutés à la liste des filtres des sous-réseaux sécurisés, puis testés Déploiement par groupe La politique IPsec est définie et liée Des groupes sont utilisés pour contrôler lapplication de la stratégie (via des permissions)

60 Autres points à prendre en considération Le nombre maximal de connexions simultanées IPSec aux serveurs, par hôte distinct La taille de jeton maximale pour les hôtes utilisant IPSec Avant le déploiement : Périphériques saturés Périphériques incompatibles Adressage IP Participation du client/serveur Services qui doivent être isolés Équilibrage de la charge réseau et mise en « cluster »

61 ComplémentsCompléments

62 Gestion dun environnement avec isolation IPsec Chapitre 6 En raison des temps de réplication Créer les objets dabord (GPO, stratégie IPsec…) Puis seulement après assigner la stratégie IPsec dans la stratégie de groupe En cas de remplacement dun filtre générique par un filtre plus spécifique Ajouter le filtre spécifique Supprimer le filtre générique ensuite Lordre des filtres na pas dimportance (le plus spécifique sapplique dabord) Les stratégies IPsec ne sont pas stockées dans les stratégies de groupe (doù prudence lors de la sauvegarde; utiliser sauvegarde de létat du système) …

63 Dépannage Chapitre 7 Diagrammes p167 et suivantes Outils : ping net view srvinfonetdiagnltestipseccmd netsh ipsec

64 Performance Négociation IPsec : 1 à 2 secondes Usage CPU augmente si chiffrement Chaque SA IKE prend 5ko de RAM Déploiement MS en interne : 1 à 3% de trafic supplémentaire Lutilisation de stratégies de groupe supplémentaires augmentera le temps de démarrage de machine et douverture de session Pour les routeurs ou commutateurs ayant plus de 75% dutilisation, envisager une mise à jour

65 Inconvénients Inspection du trafic potentiellement impossible du fait de la protection IPsec Pour le trafic IPsec avec authentification seule (pas de chiffrement) : Nécessité de mettre à jour son logiciel dinspection pour tenir compte de lentête IPsec Pour le trafic chiffré IPsec : IDS réseau -> IDS hôte Filtres sur ports réseau -> filtre sur pare-feu hôte Rapport sur le trafic par port -> adresse IP seulement Courbe dapprentissage pour cette nouvelle technologie qui change fondamentalement les communications TCP/IP Nécessité davoir une planification détaillée et une bonne coordination pour lisolation de domaine

66 Faiblesses principales Un administrateur local peut désactiver IPsec Autorise laccès entrant depuis des machines de défiance Mais ne permettra pas à la machine de se connecter à des machines de confiance Un administrateur local peut changer la politique locale dynamique (local dynamic policy) Linspection réseau est limitée au trafic non chiffré (avec un analyseur adéquat…) Tous les membres du domaine ne peuvent pas être protégés (ex : DC, DHCP)

67 SynthèseSynthèse

68 Synthèse Déployer IPSec pour fournir l'authentification et le chiffrement Combiner IPSec, les groupes de sécurité et les stratégies de groupe pour l'isolation logique Implémenter des groupes supplémentaires pour isoler des ressources ou fournir les fonctionnalités requises Utiliser la zone Limitrophe comme point de départ, lors du déploiement de groupes d'isolation, à l'aide d'IPSec

69 Bénéfices principaux Réduit la surface dattaque sur les machines isolées Microsoft avait de nombreux systèmes non gérés sur son réseau Augmente ladhésion au domaine Fournit des protections supplémentaires contre les vers et les virus Remède plus rapide en cas dinfection Propagation plus lente Améliore la protection contre les attaques internes Lautorisation nécessite un compte utilisateur autorisé ET ue machine digne de confiance Audite les connexions Isole les machines de confiance des autres machines de confiance Fournit un authentification et un chiffrement pour le partage de fichiers (SMB/CIFS) et les autres protocoles non sécurisés

70 Ensuite ? Un peu de lecture Domain and Server Isolation Using IPsec and Group Policy Guide Microsoft Solutions for Security Guide Improving Security with Domain Isolation Livre blanc sur le retour dexpérience interne de Microsoft IT Using Microsoft Windows IPsec to Help Secure an Internal Corporate Network Server Livre blanc conjoint de Microsoft et Foundstone Documentation IPsec Aide en ligne Aide produit Kit de déploiement Windows Server 2003 Un peu daction Démarrer laudit de létat de votre réseau

71 Ressources et références Server and Domain Isolation Using IPsec and Group Policy Guide : Improving Security with Domain Isolation (retour dexpérience de MS IT avec IPsec) : secdomisolwp.mspx secdomisolwp.mspx secdomisolwp.mspx TechNet Support Webcast for IPsec : Plus dinfos sur : IPSec troubleshooting tools r2003/library/ServerHelp/ebcbc96d-b d-a98b- 91c965a3d18f.mspx r2003/library/ServerHelp/ebcbc96d-b d-a98b- 91c965a3d18f.mspx r2003/library/ServerHelp/ebcbc96d-b d-a98b- 91c965a3d18f.mspx

72 Le guide en français Disponible depuis le 13 juin

73 Microsoft France 18, avenue du Québec Courtaboeuf Cedex

74 ComplémentsCompléments

75 IPsec dans Windows Plateformes concernées Windows 2000 SP4 Windows Server 2003 ou ultérieur Windows XP Service Pack 2 ou ultérieur Composants certifiés FIPS Filtres : peuvent tenir compte des ports mais la solution ici utilise unique les adresses IP pour tout trafic sauf ICMP Pour des questions de simplicité, utiliser des groupes universels La taille maxi dun jeton Kerberos : 1000 groupes par utilisateur

76 IPsec Ne protège pas les trafic multicast et broadcast Comparaison avec SSL Transparent par rapport aux applications Se situe au niveau 3 et donc ne peut pas vérifier que le nom de la machine à laquelle lapplication se connecte est bien celui attendu (risque dattaque sophistiquée MITM) Termes : Autoriser une communication non sécurisée avec des ordinateurs nutilisant pas IPsec (Fall back to clear) Permet à un initiator à communiquer en TCP/IP classique sil ny a pas de réponse IKE du responder Accepter les communications non sécurisées mais toujours répondre en utilisant IPsec (Inbound passthrough) Permet à une machine capable dIPsec daccepter du trafic TCP/IP classique (ni IKE, ni IPsec) entrant depuis une machine distante et de répondre par une négociation IKE Attention : si on active cette option-ci mais pas celle-là alors le responder ne peut pas communiquer avec un initiator incapable dIPsec

77 IPsec Activation de PMTU nécessaire pour un bon fonctionnement dIPsec Envisager lexemption des clusters et des machines en NLB IPsec est incompatible avec NLB en mode « sans affinité » Client VPN IPsec non Microsoft : Doivent autoriser la communication IKE et IPsec Sinon envisager de créer des exemptions pour le sous-réseau des clients VPN

78 Valeur de la solution Améliore la sécurité Fonctionne avec des mécanismes existants pour fournir une défense en profondeur Isole dans un compartiment les systèmes de confiance des autres systèmes de confiance Beaucoup moins cher que de lisolation physique (sans la remplacer complètement) Protection des données sensibles Authentification mutuelle et (de manière facultative) chiffrement Contrôle daccès plus précis


Télécharger ppt "Isolation de domaine avec les stratégies de groupe et IPsec Cyril Voisin Chef de programme Sécurité Microsoft France."

Présentations similaires


Annonces Google