Isolation de domaine avec les stratégies de groupe et IPsec Cyril Voisin Chef de programme Sécurité Microsoft France

Notes Une mise à jour de cette présentation est disponible depuis : http://www.microsoft.com/france/securite, rubrique Événements Pour une question : frjms@microsoft.com

Conditions préalables pour la session Expérience pratique de Windows 2000 ou de Windows Server 2003 Connaissance d'Active Directory et des stratégies de groupe Connaissance des concepts de sécurité des systèmes Windows Connaissance pratique des concepts relatifs au protocole TCP/IP Compréhension des concepts de base d'IPSec (Internet Protocol Security) Niveau 300

Sommaire La problématique de la sécurité des réseaux internes Rappels sur IPsec Démarche de mise en œuvre État des lieux du réseau Conception et planification des groupes d’isolation Création des politiques IPsec Déploiement Compléments Gestion d’un environnement avec isolation IPsec Dépannage Performance Inconvénients Faiblesses Synthèse

Sécurité sur les grands réseaux internes Les défis et la solution IPsec

Problématique Les réseaux internes de grande taille ne présentent pas le même environnement de confiance : Impossibilité de contrôler qui/quoi se connecte physiquement en interne De nombreuses machines non gérées représentent une menace d’infection Besoin de se connecter avec les partenaires/sous-traitants/clients tout en limitant l’accès Un seul réseau mais plusieurs divisions, entreprises, responsables IT Le vol ou l’abus d’utilisation des lettres de crédance d’un utilisateur non détectés

Problématique Les réseaux internes de grande taille peuvent avoir plusieurs chemins indépendants qui les connectent à Internet Le périmètre est mouvant et il est impossible de tout contrôler à la frontière en pratique La menace « Internet » a élu résidence quelque part sur le réseau interne La surface d’attaque inclut tout le trafic IP sur tous les ports TCP/UDP Le filtrage de paquets (pare-feu classiques) aide mais est insuffisant quand les client sont répartis un peu partout sur le réseau Besoin d’une stratégie de défense en profondeur pour prendre en compte la sécurité au niveau applicatif

Problématique Les données sensibles ou critiques ont besoin d’une protection à la hauteur de leur valeur Protéger l’accès réseau aux systèmes internes qui stockent ou manipulent ces données Protéger le trafic réseau qui transportent ces données ou des informations d’authentification En reconnaissant que l’amélioration de la sécurité des applications existantes elles-mêmes peut prendre du temps et coûter cher

Solution Isolation avec IPsec en mode transport Authentification des machines Protège tout le trafic TCP/IP entre des machines de confiance Intégrité et optionnellement chiffrement de chaque datagramme Politique personnalisable déployée dans un domaine (pas de changement des applications existantes)

Stratégies, procédures et sensibilisation Comment l'isolation du réseau s'inscrit-elle dans la sécurité du réseau ? Fait partie de l’approche de défense en profondeur Se trouve d’un point de vue logique entre les couches réseau et machine Consiste en la sécurisation de l’hôte grâce au contrôle des communications réseau Stratégies, procédures et sensibilisation Sécurité physique Données Application Hôte Isolation logique Réseau interne Périmètre

Rappels IPsec

IPsec Environnement constitué de normes ouvertes destiné à garantir la sécurité et la confidentialité des communications sur les réseaux IP, au moyen de services de sécurité reposant sur le chiffrement des données Avantages : Transparent pour les utilisateurs et les applications (à part l’établissement de la négociation initiale de la sécurité) Accès restreint aux serveurs Configuration personnalisable de la sécurité Administration centrale de la stratégie IPSec via Active Directory Attention : IPsec ne remplace pas un pare-feu (pas Stateful Packet Inspection) Une exemption statique pour un trafic sortant représente aussi une exemption statique pour le trafic entrant correspondant Utiliser un pare-feu pour contrôler les communications par port ou par protocole

IPsec Comme son nom l’indique travail au niveau réseau (couche 3) et permet d’établir un canal sécurisé pour échanger de manière protégée des données entre deux périphériques (machines, routeurs, …) Deux modes Mode tunnel Sécurisation du trafic entre 2 réseaux (de routeur à routeur) Protection de l’entête et de la charge Mode transport Sécurisation du trafic entre 2 machines (de PC à PC en passant par des routeurs) Protection de la charge seulement

IPsec AH (IP Authentication Header) - RFC 2402 Authentification mutuelle Intégrité des données et de l’adresse IP (sans chiffrement) Ne traverse pas le NAT ESP (IP Encapsulating Security Payload) - RFC 2406 Intégrité et chiffrement des données Traverse le NAT On utilise soit AH seul, soit ESP seul, soit AH et ESP

IPSec AH (Authentication Header) en mode Transport Entête IP orig. Entête TCP Données Insertion Entête IP orig. Entête AH Entête TCP Données Couverture du hash pour l’intégrité (sauf pour les champs IP mutables) Proch.Ent Lgr charge Rsrv SecParamIndex n°Seq Keyed Hash AH = protocole IP 51 24 octets au total

IPSec ESP (Encapsulating Security Payload) en mode Transport Orig IP Hdr TCP Hdr Data Insertion Ajout Orig IP Hdr ESP Hdr TCP Hdr Data ESP Trailer ESP Auth Usually encrypted integrity hash coverage SecParamIndex Seq# InitVector Keyed Hash Padding PadLength NextHdr 22-36 bytes total ESP is IP protocol 50

IPsec Protocole IKE (Internet Key Exchange) RFC 2409 En fait, 3 sous protocoles ISAKMP (Internet Security Association Key Management Protocol) Oakley SKEME Négocie la méthode de sécurité qui sera employée et fait l’échange de clé (et établit une SA IKE, ou main mode SA)

IPsec Security Association (SA) IPsec Security Parameter Index (SPI) A chaque conversation protégée est associée une SA IPsec qui est un enregistrement de la configuration nécessaire au périphérique pour une connexion IPsec donnée (liste les algorithmes utilisés, les clés d’authentification et de chiffrement, la durée de validité des clés, le mode tunnel ou transport, adresse de destination, numéros de séquence) Une SA IPsec est négociée pour chaque flux unidirectionnel Security Parameter Index (SPI) Les SA IPsec sont identifiées par un index (SPI) La source indique valeur du SPI est dans l’entête du paquet IPsec

Vue de la pile TCP/IP dans le noyau de Windows 2000/XP/2003 RRAS Input/Output Interface Filters (SDK) WinSock Winsock Layered Service Providers (SDK) NAT apis (SDK) TDI API (DDK)/AFD.SYS TCP/UDP/IP Connection UI Filters TCP UDP ICMP Raw ICS-NAT/ICF (ipnat.sys) Pile IP IP Filter Hook (DDK) IP Packet Filter driver (ipfltdrv.sys) IPsec Filters, Encryption (ipsec.sys, fips.sys) Ici on constate que le pilote Netmon est en dessous d’IPsec. Donc on capturera des paquets chiffrés (illisibles) sauf si le chiffrement se fait par le matériel (bloc du bas :task offload) IP Frag/Reassembly NDIS 5.0 Netmon driver (NMnt.sys) PPTP L2TP Task offload miniport (DDK): TCP checksum, IPsec, large TCP send

Processus de sécurité IPsec Un périphérique (initiator) demande une connexion IPsec à un autre périphérique (responder) Une politique de sécurité (IPsec policy) a été définie, ensemble de règles qui déterminent quelles actions à entreprendre (autoriser, refuser, sécuriser) pour quels datagrammes Une négociation a lieu pour déterminer les clés et les algorithmes (SA IKE) Une association de sécurité (SA IPsec) est établie par chaque périphérique pour chaque direction de la connexion (entrante et sortante)

Négociation IKE (Internet Key Exchange) Datagrammes IP chiffrés Exemple : dans Windows Stratégie IPSec 1 Active Directory Couche TCP Pilote IPSec Négociation IKE (Internet Key Exchange) 2 Datagrammes IP chiffrés 3

L’envoi de datagrammes déclenche une négociation IKE Appli ou Service client Serveur ou passerelle Négociation UDP port 500 1 IKE SA IPSec PolicyAgent IPSec PolicyAgent IKE (ISAKMP) IKE (ISAKMP) 2 SA IPSec Pilote IPSec TCP/IP Pilote IPSec TCP/IP Protocole IP 50/51 filtres filtres NIC NIC “IKE Responder” “IKE Initiator” Internet Key Exchange (IKE) Phase 1 “Main Mode” établit la SA IKE – canal de confiance entre les systèmes, la négociation établit un canal chiffré, la confiance mutuelle, et génère dynamiquement une clé secrète partagée ("clé maîtresse") Phase 2 “Quick Mode” établit les SA IPSec– pour la protection des donées, une SA pour chaque direction identifiée par le SPI (compris dans le datagramme), algorithmes et formats de datagrammes convenus, génère les clés de session partagées dérivées de la clé maîtresse

Aperçu d’une politique IPsec La stratégie IPsec est appliquée via une stratégie de groupe, et contiennent un ensemble de règles et spécifient comment utiliser IKE Stratégie IPsec Méthodes d’échange de clés (IKE) Méthodes d’authentification (Kerberos, Certificats, Clés statiques) Chaque règle associe une liste de filtres à une action, et spécifie les méthodes d’authentification Règles Méthodes de sécurité (Chiffrement, hashing, Durée de vie des clés) Liste de filtres Action Une liste de filtres est un ensemble de filtres Une action désigne ce qu’il faut faire du trafic qui correspond à une liste de filtres : Autoriser, Refuser, Négocier la sécurité Un filtre décrit un type de trafic à identifier (adresse IP, sous-réseau, port, et protocole pour les deux extrémités d’une connexion) Filtres

Filtres IPsec Attention : une seule politique IPsec par machine Liste de sous-réseaux connus et d’adresses IP d’infrastructure Deux types de filtres Mode principal IKE Utilisent uniquement les adresses source et destination Mode rapide IKE Adresses, protocoles, ports

Actions IPsec Action de filtre (prérequis de sécurité : autoriser, refuser, négocier la sécurité) Si négocier Méthodes d’échange des clés (liste ordonnée) Accepter ou non le trafic entrant non sécurisé Communication en clair ou non avec les machines non IPsec Renouvellement des clés

Les menaces prises en compte par IPsec Modification des données en transit Accès non authentifié à des systèmes approuvées Y compris la propagation d’un ver d’une machine non approuvée vers une machine approuvée Attaques Man-in-the-middle Usurpation Écoute du réseau …

Ce dont l’isolation avec IPsec ne vous protège pas Ingénierie sociale Vulnérabilités applicatives Attaques de systèmes approuvés ou utilisateurs approuvés : Utilisateurs approuvés divulguant des données critiques Utilisateurs approuvés employant mal ou abusivement leur statut d'utilisateur approuvé Mise en péril des informations d'identification des utilisateurs approuvés Ordinateurs approuvés compromis accédant à d'autres ordinateurs approuvés Non-conformité des périphériques approuvés en matière de sécurité Ordinateurs non approuvés accédant à d'autres ordinateurs non approuvés Absence de protection physique

Configurer et attribuer une stratégie IPsec Démo Configurer et attribuer une stratégie IPsec

La solution d’isolation

Définitions Isolation de domaine Isolation de serveur Seules les machines de confiance du domaine sont autorisées à venir se connecter (inbound) avec certains types d’accès réseau Toutes les machines de confiance peuvent accéder les unes aux autres (sauf restriction comme utilisation d’un pare-feu) Pour tout trafic TCP/IP excepté ICMP Peut inclure de l’isolation de serveur Isolation de serveur Autorise un sous-ensemble des machines de confiance à venir se connecter Autorisation accordée à un groupe de clients du domaine authentifiés (“Access This Computer From the Network”)

Composants de la solution Hôtes Groupes d’isolation Groupes d’accès réseau (NAG – Network Access Groups)

Hôtes Serveurs et stations Initiators et responders Répartition en états d’après le niveau de confiance, basé sur le fait que la machine soit : Gérée Membre du domaine Au niveau minimum de sécurité requis États : Non approuvés (hôtes de défiance) Périphérique qui peut ne pas répondre aux exigences de sécurité minimales, principalement parce qu'il n'est pas géré ou contrôlé de manière centrale Approuvables (hôtes dignes de confiance) Approuvés (hôtes de confiance) Périphérique géré qui se trouve dans un état connu et qui correspond aux exigences de sécurité minimales

L’état est transitoire Tous les systèmes commence dans l’état “non approuvé” Approuvable indique la capacité à être approuvé Approuvé signifie que la machine s’est authentifiée avec IKE et est autorisée à communiquer De l’audit est nécessaire pour diminuer la surface d’attaque et assurer la conformité !

Groupes Groupes d’isolation Groupes de base Groupes additionnels Groupes d’accès réseau (NAG – Network Access Groups) Niveau supplémentaire d’autorisation Utilise des groupes d’utilisateurs classiques Contient des utilisateurs et des machines Par défaut : Tout le monde On les places soit dans le droit ALLOW ou DISALLOW dans la stratégie de groupe (ANAG – DNAG)

Sans isolation Authentification des utilisateurs Autorisation basée sur cette authentification Un exemple… Sans isolation

Sans isolation 2 1 Étape 1 : connexion à la machine Autorisations de partage et d'accès Étape 1 : connexion à la machine (Étape 2 : machine autorisée ou non interdite) Sans isolation Le client contacte le serveur Négo IKE NAG vérifié pour la machine se connectant, IKE échoue ou réussit Autorisation d'accès à la machine pour un utilisateur (SMB, RPC, …) Stratégie de groupe Pas de restriction par défaut Autorisation d'accès à la machine pour une autre machine 1 2

Sans isolation 4 3 1 Étape 1 : connexion à la machine Autorisations de partage et d'accès Étape 1 : connexion à la machine (Étape 2 : machine autorisée ou non interdite) (Étape 3 : Autorisations d'accès à l'hôte vérifiées pour l'utilisateur (par défaut : pas de restriction)) Étape 4 : Autorisations de partage et d'accès vérifiées 4 Sans isolation Le client contacte le serveur Négo IKE NAG vérifié pour la machine se connectant, IKE échoue ou réussit Si IKE a réussi, vérif du NAG poru l’utilisateur 5. Permissions classiques Autorisation d'accès à la machine pour un utilisateur (SMB, RPC, …) 3 Tout le monde Stratégie de groupe Autorisation d'accès à la machine pour une autre machine Pas de restriction par défaut 1

Isolation de domaine avec IPsec : comment ça marche ? IPsec pour : Prendre en compte l’authentification du compte machine Assurer l’intégrité des données Fournir le chiffrement (si nécessaire) Stratégies de groupe pour : Distribuer les politiques Autoriser l’accès à un utilisateur ou une machine Exemple… Avec l’isolation de domaine et de serveur en place

Contrôle de l'accès aux ordinateurs à l'aide des groupes d'accès réseau et d'IPSec Autorisations de partage et d'accès Étape 1 : L'utilisateur essaie d'accéder à un partage sur un serveur Étape 2 : Mode principal de la négociation IKE Étape 3 : Négociation de la méthode de sécurité IPSec Isolation Le client contacte le serveur Négo IKE NAG vérifié pour la machine se connectant, IKE échoue ou réussit Autorisation d'accès à la machine pour un utilisateur (SMB, RPC, …) Stratégie de groupe NAG Ordinateurs_Dépt Autorisation d'accès à la machine pour une autre machine (IPsec) Stratégie IPSec 2 1 3

Contrôle de l'accès aux hôtes à l'aide des groupes d'accès réseau Autorisations de partage et d'accès Étape 1 : L'utilisateur essaie d'accéder à un partage sur un serveur Étape 2 : Négociation IKE en mode principal Étape 3 : Négociation de la méthode de sécurité IPSec Étape 4 : Autorisations d'accès à l'hôte vérifiées pour l'utilisateur Étape 5 : Autorisations de partage et d'accès vérifiées 5 Isolation Le client contacte le serveur Négo IKE NAG vérifié pour la machine se connectant, IKE échoue ou réussit Si IKE a réussi, vérif du NAG pour l’utilisateur 5. Permissions classiques Autorisation d'accès à la machine pour un utilisateur (SMB, RPC, …) 4 NAG Utilisateurs_Dépt Stratégie de groupe Autorisation d'accès à la machine pour une autre machine (IPsec) NAG Ordinateurs_Dépt Stratégie IPSec 2 3 1

Les grandes étapes de mise en oeuvre Mise en œuvre Les grandes étapes de mise en oeuvre

Comment s’y prendre ? Identifier les exigences métier Faire un bilan de l’état actuel Machines, topologie réseau, structure Active Directory, applications… Organiser les systèmes en groupes d’isolation D’après les exigences métier Créer des politiques pour assurer les exigences métier Assigner les politiques aux groupes d’isolation Assigner des droits “Allow and Deny” aux politiques

Quelques conseils Faire simple Établir un environnement de TEST Essayer tout d’abord de se limiter aux groupes de base Établir un environnement de TEST Tester tous les changements avant le déploiement en production Déployer en phases Toujours avoir un plan de repli Déployer les politiques sur de petits groupes pilotes dans un premier temps, puis étendre à des groupes ou des sites plus grands Former votre équipe Dépannage IPsec Ne pas hésiter à se faire aider

Conception du modèle d'isolation Conception des groupes de base Création des listes d'exemptions Planification des groupes d'ordinateurs et des groupes d'accès réseau Création de groupes d'isolation supplémentaires Modélisation du trafic Affectation de membres aux groupes d'ordinateurs et aux groupes d'accès réseau

Groupe d'isolation limitrophe Les groupes de base Groupes Non-IPsec Systèmes de défiance Groupe par défaut Exemptions Infrastructure de confiance Groupes IPsec Domaine d’isolation Groupe de confiance par défaut Limitrophe Groupe de confiance à plus haut risque Domaine d'isolation Groupe d'isolation limitrophe Systèmes non approuvés

Création des listes d’exemptions Un hôte répondant à l'une des conditions suivantes sera susceptible d'être intégré à la liste d'exemptions : Si l'hôte est un ordinateur auquel les hôtes approuvés ont besoin d'accéder mais qui n'est pas doté d'une implémentation IPSec compatible Si l'hôte est utilisé pour une application défavorablement affectée par le délai de retour à une communication en texte clair de trois secondes, ou par l'encapsulation du trafic applicatif d'IPSec Si l'hôte présente des problèmes qui ont un impact sur ses performances Si l'hôte est un contrôleur de domaine Exemples : DNS, DHCP, DC, … Maintenir petite la liste car Réduction de l’intérêt de l’isolation Fardeau de la gestion Augmentation de la taille de la stratégie (et donc temps de téléchargement, mémoire, CPU) Conseil : processus formel de justification d’affectation d’une machine à la zone limitrophe

Planification des groupes d'ordinateurs et des groupes d'accès réseau Utilisés pour contenir les membres d'un groupe d'isolation spécifique Permettent l’attribution de stratégies de groupe pour implémenter différents paramètres de sécurité Non nécessaires si on peut organiser les OU pour refléter les groupes d’isolation Attention : ne pas placer une machine dans plusieurs groupes Groupes d'accès réseau : Peuvent être de deux types, Autoriser ou Refuser Utilisés dans une stratégie de groupe afin de contrôler l'accès Autoriser ou Refuser à une machine Limiter leur nombre (sinon la complexité à gérer augmente) Les droits utilisateurs Allow et Deny ne fusionnent pas (donc viennent d’une seule GPO)

Cartographie du trafic entre groupes de base Schématiser toutes les communications autorisées entre les groupes de base ID From To Bidirectional IPsec Fallback Encrypt 1 Ex Yes No 2 BO 3 UN 4 EX 5 6 7

Groupes d’isolation additionnels (si nécessaire) Si les exigences métier le nécessitent Exemples : Groupe d’isolation sans “Fallback” Bloque les communications sortantes vers des machines de défiance Chiffrement nécessaire Groupe de haute sécurité Toutes les communications doivent utiliser le chiffrement Autres besoins relatifs au flux de trafic réseau entrant ou sortant Limitation de l'accès hôte ou utilisateur requise au niveau du réseau Domaine d'isolation Groupe d'isolation Chiffrement Groupe d'isolation Pas de retour au texte clair Groupe d'isolation limitrophe Systèmes non approuvés

Cartographie du trafic avec les groupes additionnels Schématiser toutes les communications autorisées avec les groupes additionnels ID From To Bidirectional IPsec Fallback Encrypt 8 EN EX Yes No 9 10 NF 11 BO 12 13 14

Les groupes d’accès réseau NAG (1) Les groupes d’accès réseau (NAG) sont utilisés pour autoriser ou interdire explicitement l’accès à un système via le réseau Les noms sont choisis d’après la fonction ANAG – Allow Network Access Group (autorisation) DNAG – Deny Network Access Group (interdiction) Peut contenir des utilisateurs, des machines ou des groupes Utilisation de groupes locaux de domaines

Les groupes d’accès réseau NAG (2) Les groupes d’accès réseau (NAG) sont identifiés par le biais du processus de cartographie du trafic Les groupes d’interdiction d’accès réseau (DNAG) sont identifiés quand des utilisateurs ou des machines d’un ou plusieurs groupes d’isolation IPsec ne permettent pas des communications bidirectionnelles Les groupes d’autorisation d’accès réseau (ANAG) sont identifiés quand des sous ensembles d’utilisateurs ou de machines dans un ou plusieurs groupes d’isolation IPsec doivent obtenir l’accès à une ressource

Affectation de membres aux groupes d'ordinateurs ou aux groupes d'accès réseau Dernières tâches de conception de groupes d'isolation : Affectation à un groupe d'ordinateurs : Placer chaque ordinateur dans un groupe en fonction des exigences de communication Affectation à un groupe d'accès réseau : Placer les utilisateurs et les ordinateurs qui requièrent des autorisations granulaires dans chacun des groupes d'accès réseau (NAG) précédemment identifiés

Les groupes d’accès réseau pour le groupe d’isolation Chiffrement N’accepte pas les requêtes depuis le groupe d’isolation Frontière Les systèmes sont restreints à certains utilisateurs et machines spécifiques

Aperçu d’une politique IPsec La stratégie IPsec est appliquée via une stratégie de groupe, et contiennent un ensemble de règles et spécifient comment utiliser IKE Stratégie IPsec Méthodes d’échange de clés (IKE) Méthodes d’authentification (Kerberos, Certificats, Clés statiques) Chaque règle associe une liste de filtres à une action, et spécifie les méthodes d’authentification Règles Méthodes de sécurité (Chiffrement, hashing, Durée de vie des clés) Liste de filtres Action Une liste de filtres est un ensemble de filtres Une action désigne ce qu’il faut faire du trafic qui correspond à une liste de filtres : Autoriser, Refuser, Négocier la sécurité Un filtre décrit un type de trafic à identifier (adresse IP, sous-réseau, port, et protocole pour les deux extrémités d’une connexion) Filtres

Les actions de filtre IPsec Request Mode Accepte un flux entrant en clair Autorise un flux sortant en clair Secure Request Mode Full Require Mode Require Encryption Mode Chiffrement obligatoire

Application d’une politique IPsec Liée au niveau du domaine La stratégie de groupe du domaine par défaut s’applique en premier La politique la plus restrictive devrait être la dernière appliquée Filtrage par groupe Les machines de CG_NoIPsec_Computers n’utilisent jamais IPsec Des groupes globaux et universels sont utilisés Les utilisateurs authentifiés se voient accorder les droits de lecture seulement

Groupes d’accès réseau (NAG) IPsec en action Démo Groupes d’accès réseau (NAG) IPsec en action

Déploiement Déploiement par construction Déploiement par groupe Au départ, la politique a des exemptions et n’exige pas IPsec pour tous les sous-réseaux à sécuriser L’action de filtre “Request Mode” est utilisée pour les listes de filtres des sous-réseaux sécurisés Les sous-réseaux sont petit à petit ajoutés à la liste des filtres des sous-réseaux sécurisés, puis testés Déploiement par groupe La politique IPsec est définie et liée Des groupes sont utilisés pour contrôler l’application de la stratégie (via des permissions)

Autres points à prendre en considération Le nombre maximal de connexions simultanées IPSec aux serveurs, par hôte distinct La taille de jeton maximale pour les hôtes utilisant IPSec Avant le déploiement : Périphériques saturés Périphériques incompatibles Adressage IP Participation du client/serveur Services qui doivent être isolés Équilibrage de la charge réseau et mise en « cluster »

Compléments

Gestion d’un environnement avec isolation IPsec Chapitre 6 En raison des temps de réplication Créer les objets d’abord (GPO, stratégie IPsec…) Puis seulement après assigner la stratégie IPsec dans la stratégie de groupe En cas de remplacement d’un filtre générique par un filtre plus spécifique Ajouter le filtre spécifique Supprimer le filtre générique ensuite L’ordre des filtres n’a pas d’importance (le plus spécifique s’applique d’abord) Les stratégies IPsec ne sont pas stockées dans les stratégies de groupe (d’où prudence lors de la sauvegarde; utiliser sauvegarde de l’état du système) …

Dépannage Chapitre 7 Diagrammes p167 et suivantes Outils : ping net view srvinfo netdiag nltest ipseccmd netsh ipsec

Performance Négociation IPsec : 1 à 2 secondes Usage CPU augmente si chiffrement Chaque SA IKE prend 5ko de RAM Déploiement MS en interne : 1 à 3% de trafic supplémentaire L’utilisation de stratégies de groupe supplémentaires augmentera le temps de démarrage de machine et d’ouverture de session Pour les routeurs ou commutateurs ayant plus de 75% d’utilisation, envisager une mise à jour

Inconvénients Inspection du trafic potentiellement impossible du fait de la protection IPsec Pour le trafic IPsec avec authentification seule (pas de chiffrement) : Nécessité de mettre à jour son logiciel d’inspection pour tenir compte de l’entête IPsec Pour le trafic chiffré IPsec : IDS réseau -> IDS hôte Filtres sur ports réseau -> filtre sur pare-feu hôte Rapport sur le trafic par port -> adresse IP seulement Courbe d’apprentissage pour cette nouvelle technologie qui change fondamentalement les communications TCP/IP Nécessité d’avoir une planification détaillée et une bonne coordination pour l’isolation de domaine

Faiblesses principales Un administrateur local peut désactiver IPsec Autorise l’accès entrant depuis des machines de défiance Mais ne permettra pas à la machine de se connecter à des machines de confiance Un administrateur local peut changer la politique locale dynamique (local dynamic policy) L’inspection réseau est limitée au trafic non chiffré (avec un analyseur adéquat…) Tous les membres du domaine ne peuvent pas être protégés (ex : DC, DHCP)

Synthèse

Synthèse Déployer IPSec pour fournir l'authentification et le chiffrement Combiner IPSec, les groupes de sécurité et les stratégies de groupe pour l'isolation logique Implémenter des groupes supplémentaires pour isoler des ressources ou fournir les fonctionnalités requises Utiliser la zone Limitrophe comme point de départ, lors du déploiement de groupes d'isolation, à l'aide d'IPSec

Bénéfices principaux Réduit la surface d’attaque sur les machines isolées Microsoft avait de nombreux systèmes non gérés sur son réseau Augmente l’adhésion au domaine Fournit des protections supplémentaires contre les vers et les virus Remède plus rapide en cas d’infection Propagation plus lente Améliore la protection contre les attaques internes L’autorisation nécessite un compte utilisateur autorisé ET ue machine digne de confiance Audite les connexions Isole les machines de confiance des autres machines de confiance Fournit un authentification et un chiffrement pour le partage de fichiers (SMB/CIFS) et les autres protocoles non sécurisés

Ensuite ? “Un peu” de lecture “Un peu” d’action Domain and Server Isolation Using IPsec and Group Policy Guide Microsoft Solutions for Security Guide Improving Security with Domain Isolation Livre blanc sur le retour d’expérience interne de Microsoft IT Using Microsoft Windows IPsec to Help Secure an Internal Corporate Network Server Livre blanc conjoint de Microsoft et Foundstone Documentation IPsec Aide en ligne Aide produit Kit de déploiement Windows Server 2003 “Un peu” d’action Démarrer l’audit de l’état de votre réseau

Ressources et références Server and Domain Isolation Using IPsec and Group Policy Guide : http://go.microsoft.com/fwlink/?linkid=33947 Improving Security with Domain Isolation (retour d’expérience de MS IT avec IPsec) : http://www.microsoft.com/technet/itsolutions/msit/security/IPsecdomisolwp.mspx TechNet Support Webcast for IPsec : http://support.microsoft.com/default.aspx?kbid=888266 Plus d’infos sur : http://www.microsoft.com/ipsec IPSec troubleshooting tools http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/ebcbc96d-b236-401d-a98b-91c965a3d18f.mspx

Le guide en français Disponible depuis le 13 juin 2005 http://www.microsoft.com/france/technet/securite/ipsec/default.mspx http://www.microsoft.com/france/technet/securite/ipsec/ipsecack.mspx http://www.microsoft.com/france/technet/securite/ipsec/ipsecapa.mspx http://www.microsoft.com/france/technet/securite/ipsec/ipsecapb.mspx http://www.microsoft.com/france/technet/securite/ipsec/ipsecapc.mspx http://www.microsoft.com/france/technet/securite/ipsec/ipsecapd.mspx http://www.microsoft.com/france/technet/securite/ipsec/ipsecch1.mspx http://www.microsoft.com/france/technet/securite/ipsec/ipsecch2.mspx http://www.microsoft.com/france/technet/securite/ipsec/ipsecch3.mspx http://www.microsoft.com/france/technet/securite/ipsec/ipsecch4.mspx http://www.microsoft.com/france/technet/securite/ipsec/ipsecch5.mspx http://www.microsoft.com/france/technet/securite/ipsec/ipsecch6.mspx http://www.microsoft.com/france/technet/securite/ipsec/ipsecch7.mspx

Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex www.microsoft.com/france 0 825 827 829 msfrance@microsoft.com

Compléments

IPsec dans Windows Plateformes concernées Windows 2000 SP4 Windows Server 2003 ou ultérieur Windows XP Service Pack 2 ou ultérieur Composants certifiés FIPS 140-1 Filtres : peuvent tenir compte des ports mais la solution ici utilise unique les adresses IP pour tout trafic sauf ICMP Pour des questions de simplicité, utiliser des groupes universels La taille maxi d’un jeton Kerberos : 1000 groupes par utilisateur

IPsec Ne protège pas les trafic multicast et broadcast Comparaison avec SSL Transparent par rapport aux applications Se situe au niveau 3 et donc ne peut pas vérifier que le nom de la machine à laquelle l’application se connecte est bien celui attendu (risque d’attaque sophistiquée MITM) Termes : Autoriser une communication non sécurisée avec des ordinateurs n’utilisant pas IPsec (Fall back to clear) Permet à un initiator à communiquer en TCP/IP classique s’il n’y a pas de réponse IKE du responder Accepter les communications non sécurisées mais toujours répondre en utilisant IPsec (Inbound passthrough) Permet à une machine capable d’IPsec d’accepter du trafic TCP/IP classique (ni IKE, ni IPsec) entrant depuis une machine distante et de répondre par une négociation IKE Attention : si on active cette option-ci mais pas celle-là alors le responder ne peut pas communiquer avec un initiator incapable d’IPsec

IPsec Activation de PMTU nécessaire pour un bon fonctionnement d’IPsec Envisager l’exemption des clusters et des machines en NLB IPsec est incompatible avec NLB en mode « sans affinité » Client VPN IPsec non Microsoft : Doivent autoriser la communication IKE et IPsec Sinon envisager de créer des exemptions pour le sous-réseau des clients VPN

Valeur de la solution Améliore la sécurité Fonctionne avec des mécanismes existants pour fournir une “défense en profondeur” Isole dans un compartiment les systèmes de confiance des autres systèmes de confiance Beaucoup moins cher que de l’isolation physique (sans la remplacer complètement) Protection des données sensibles Authentification mutuelle et (de manière facultative) chiffrement Contrôle d’accès plus précis