Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43

Plan du cours 1. Implémentation de la sécurité IPSec 2. Implémentation de la sécurité IPSec avec des certificats 3. Analyse de la sécurité IPSec

1. Implémentation de la sécurité IPSec  Qu'est-ce que la sécurité IPSec ?  De quelle manière la sécurité IPSec protège-t-elle le trafic ?  Qu'est-ce qu'une stratégie de sécurité IPSec ?  Fonctionnement conjoint des stratégies IPSec  Instructions pour équilibrer la sécurité et les performances  Comment attribuer ou supprimer l'attribution d'une stratégie IPSec sur un ordinateur

Rôle de la sécurité IPSec dans une infrastructure réseau

Qu'est-ce que la sécurité IPSec ?  Elle correspond à un ensemble de normes industrielles qui vérifient, authentifient et cryptent les données au niveau des paquets IP.  Elle permet de protéger les données lors de transmissions réseau  Elle correspond à un ensemble de normes industrielles qui vérifient, authentifient et cryptent les données au niveau des paquets IP.  Elle permet de protéger les données lors de transmissions réseau Authentification mutuelle avant et pendant les communications Confidentialité grâce au cryptage du trafic IP Intégrité du trafic IP en rejetant tout trafic modifié Protection contre les attaques de relecture Authentification mutuelle avant et pendant les communications Confidentialité grâce au cryptage du trafic IP Intégrité du trafic IP en rejetant tout trafic modifié Protection contre les attaques de relecture Avantages de la sécurité IPSec :

Fonctionnement de la sécurité IPSec Couche TCP Pilote IPSec Couche TCP Pilote IPSec Paquets IP cryptés ou/et signé 3 3 Négociation de l'association de sécurité (ISAKMP) 2 2 Stratégie IPSec 1 1 Active Directory La configuration IPSec est définie via une stratégie locale ou une stratégie de groupe dans le service d’annuaire Active Directory Les stratégies IPSec sont remises à tous les ordinateurs ciblés Les stratégies IPSec indique au pilote IPSec comment se comporter Les stratégies IPSec définit les associations de sécurité qui peuvent être établies (les protocoles de cryptage et les méthodes d’authentification) Les stratégies IPSec sont remises à tous les ordinateurs ciblés Les stratégies IPSec indique au pilote IPSec comment se comporter Les stratégies IPSec définit les associations de sécurité qui peuvent être établies (les protocoles de cryptage et les méthodes d’authentification) Le module IKE négocie l’association de sécurité. IKE combine 2 protocles: ISAKMP OAKLEY Key Determination Protocole Les associations de sécurité définissent: Les protocoles de cryptage et les méthodes d’authentification Le module IKE négocie l’association de sécurité. IKE combine 2 protocles: ISAKMP OAKLEY Key Determination Protocole Les associations de sécurité définissent: Les protocoles de cryptage et les méthodes d’authentification Le pilote IPSec analyse tout le trafic IP Le pilote compare le trafic aux filtres définis Le pilote crypte ou/et signe le trafic Le pilote IPSec analyse tout le trafic IP Le pilote compare le trafic aux filtres définis Le pilote crypte ou/et signe le trafic

Qu'est-ce qu'une stratégie de sécurité IPSec ? La sécurité IPSec utilise des règles et des stratégies pour protéger le trafic réseau Les règles comprennent les éléments suivants :  Un filtre: type de trafic (http, ftp,...)  Une action de filtrage: action à exécuter  Une méthode d'authentification: certificats, Kerberos, clé pré- partagée Les stratégies par défaut sont les suivantes :  Client (en réponse seule)  Serveur (demandez la sécurité)  Sécuriser le serveur (nécessite la sécurité) La sécurité IPSec utilise des règles et des stratégies pour protéger le trafic réseau Les règles comprennent les éléments suivants :  Un filtre: type de trafic (http, ftp,...)  Une action de filtrage: action à exécuter  Une méthode d'authentification: certificats, Kerberos, clé pré- partagée Les stratégies par défaut sont les suivantes :  Client (en réponse seule)  Serveur (demandez la sécurité)  Sécuriser le serveur (nécessite la sécurité)

Fonctionnement conjoint des stratégies IPSec Aucune stratégie attribuée Client (en réponse seule) Serveur (demandez la sécurité) Sécuriser le serveur (nécessite la sécurité) Aucune stratégie attribuée Sécurité IPSec inexistante Communication inexistante Client (en réponse seule) Sécurité IPSec inexistante Sécurité IPSec Serveur (demandez la sécurité) Sécurité IPSec inexistante Sécurité IPSec Sécuriser le serveur (nécessite la sécurité) Communication inexistante Sécurité IPSec

Instructions pour équilibrer la sécurité et les performances Évaluer le risque et déterminer le niveau de sécurité approprié Identifier les informations importantes Déterminer l'implémentation optimale des stratégies Vérifier que les exigences en termes de gestion et de technologies sont satisfaites Fournir aux utilisateurs un accès à la fois sécurisé et efficace Évaluer le risque et déterminer le niveau de sécurité approprié Identifier les informations importantes Déterminer l'implémentation optimale des stratégies Vérifier que les exigences en termes de gestion et de technologies sont satisfaites Fournir aux utilisateurs un accès à la fois sécurisé et efficace Pour équilibrer les niveaux de sécurité minimal, normal et élevé, vous devez effectuer les tâches suivantes :

Comment attribuer ou supprimer l'attribution d'une stratégie IPSec sur un ordinateur Ajouter une console Gestion des stratégies de sécurité IP, puis attribuer ou supprimer l'attribution d'une stratégie IPSec pour une stratégie d'ordinateur local

2. Implémentation de la sécurité IPSec avec des certificats  Qu'est-ce qu'un certificat ?  Utilisations courantes des certificats  Pourquoi utiliser des certificats avec la sécurité IPSec pour protéger le trafic réseau ?

Qu'est-ce qu'un certificat ? Les certificats sont des informations d'identification électroniques qui permettent d'authentifier un utilisateur sur Internet et des intranets Permettent de lier de manière sécurisée une clé publique à l'entité qui détient la clé privée correspondante Sont signés numériquement par l'Autorité de certification émettrice Vérifient l'identité d'un utilisateur, d'un ordinateur ou d'un service qui présente le certificat Contiennent des détails sur l'émetteur et le sujet Permettent de lier de manière sécurisée une clé publique à l'entité qui détient la clé privée correspondante Sont signés numériquement par l'Autorité de certification émettrice Vérifient l'identité d'un utilisateur, d'un ordinateur ou d'un service qui présente le certificat Contiennent des détails sur l'émetteur et le sujet

Utilisations courantes des certificats Authentification Internet Système de fichiers EFS Messagerie sécurisée Signature du code logiciel Ouverture de session par carte à puce Signatures numériques Sécurité IP

Pourquoi utiliser des certificats avec la sécurité IPSec pour protéger le trafic réseau ? Pour permettre à une entreprise de dialoguer avec d'autres organisations qui approuvent la même Autorité de certification Lorsque vous avez besoin d'un niveau de sécurité plus élevé que celui fourni par le protocole Kerberos ou les clés pré- partagées Pour les clients qui ne font pas partie d'une structure Active Directory ou qui ne prennent pas en charge le protocole Kerberos Pour permettre à une entreprise de dialoguer avec d'autres organisations qui approuvent la même Autorité de certification Lorsque vous avez besoin d'un niveau de sécurité plus élevé que celui fourni par le protocole Kerberos ou les clés pré- partagées Pour les clients qui ne font pas partie d'une structure Active Directory ou qui ne prennent pas en charge le protocole Kerberos Sécurité IP

3. Analyse de la sécurité IPSec  Moniteur de sécurité IP  Instructions relatives à l'analyse des stratégies IPSec

Moniteur de sécurité IP Détails d'une stratégie IPSec active  Nom  Description  Date de la dernière modification  Magasin  Chemin d'accès  Unité d'organisation et nom de l'objet Stratégie de groupe Statistiques du mode principal  Informations du module IKE Statistiques du mode rapide  Informations sur le pilote IPSec Détails d'une stratégie IPSec active  Nom  Description  Date de la dernière modification  Magasin  Chemin d'accès  Unité d'organisation et nom de l'objet Stratégie de groupe Statistiques du mode principal  Informations du module IKE Statistiques du mode rapide  Informations sur le pilote IPSec Vous pouvez utiliser le Moniteur de sécurité IP pour afficher les détails suivants des stratégies IPSec :

Instructions relatives à l'analyse des stratégies IPSec Arrêter l'Agent de stratégie IPSec sur les ordinateurs et utiliser la commande ping pour vérifier qu'ils communiquent correctement entre eux Redémarrer l'Agent de stratégie IPSec et utiliser le Moniteur de sécurité IP pour confirmer qu'une association de sécurité est établie entre les ordinateurs et que la stratégie est en vigueur Utiliser le composant logiciel enfichable Gestion des stratégies de sécurité IP pour :  S'assurer que les stratégies sont attribuées aux deux ordinateurs  Examiner les stratégies et vous assurer qu'elles sont compatibles entre elles  S'assurer que toutes les modifications sont appliquées Arrêter l'Agent de stratégie IPSec sur les ordinateurs et utiliser la commande ping pour vérifier qu'ils communiquent correctement entre eux Redémarrer l'Agent de stratégie IPSec et utiliser le Moniteur de sécurité IP pour confirmer qu'une association de sécurité est établie entre les ordinateurs et que la stratégie est en vigueur Utiliser le composant logiciel enfichable Gestion des stratégies de sécurité IP pour :  S'assurer que les stratégies sont attribuées aux deux ordinateurs  Examiner les stratégies et vous assurer qu'elles sont compatibles entre elles  S'assurer que toutes les modifications sont appliquées Pour vous aider à isoler la cause d'un problème de communication :