Vous êtes sur la page 1sur 2

S41 Chapitre8 : Protection du trafic à l’aide de la sécurité IPSec et de certificats S41 Chapitre8 : Protection du trafic à l’aide de la sécurité IPSec

Chapitre8 : Protection du trafic à l’aide de la sécurité IPSec et de certificats

• Un filtre : le filtre spécifie à la stratégie le type de trafic auquel s’applique l’action de filtrage.
Chapitre 8 : Protection du trafic réseau à l'aide de la sécurité IPSec Par exemple, vous pouvez avoir un filtre qui identifie uniquement le trafic HTTP (Hypertext
et de certificats Transfer Protocol) ou FTP (File Transfer Protocol).
• Une action de filtrage : l’action de filtrage spécifie à la stratégie la procédure à suivre si le
8.1 Implémentation de la sécurité IPSec trafic correspond au filtre. Par exemple, vous pouvez spécifier à la sécurité IPSec de
bloquer tout le trafic FTP et forcer le cryptage de tout le trafic HTTP. L’action de filtrage peut
8.1.1 Qu’est-ce que la sécurité IPSec ? aussi spécifier à la stratégie les algorithmes de hachage et de cryptage à utiliser.
La sécurité IPSec correspond à un ensemble de normes industrielles qui vérifient, • Une méthode d’authentification : les trois méthodes d’authentification possibles sont les
authentifient et cryptent les données au niveau des paquets IP. certificats, le protocole Kerberos et une clé pré-partagée. Chaque règle peut spécifier
plusieurs méthodes d’authentification.
La sécurité IPSec permet de protéger les données lors de transmissions réseau. Dans Windows 2000 et versions ultérieures, trois stratégies configurées par défaut sont
L’administrateur définit une série de règles qui forment une stratégie IPSec. Ces règles disponibles :
contiennent des filtres qui spécifient les types de trafic qui doivent être cryptés, signés
numériquement ou les deux. Ce processus est transparent pour l’utilisateur et les applications • Client (en réponse seule) : si un ordinateur demande au client d’utiliser la sécurité IPSec,
qui initient la transmission des données. il répondra avec la sécurité IPSec.
La sécurité IPSec ne peut pas crypter certains types de trafic, tels que les diffusions, les • Serveur (demandez la sécurité) : Cette stratégie essaie toujours d’utiliser la sécurité
multidiffusions et les paquets de protocole Kerberos. IPSec mais peut revenir à des communications non sécurisées si un client n’est pas
configuré avec une stratégie IPSec.
La sécurité IPSec présente également les avantages suivants :
• Sécuriser le serveur (nécessite la sécurité) : Si cette stratégie est attribué, l’ordinateur
• Authentification mutuelle avant et pendant les communications peut uniquement communiquer via la sécurité IPSec et n’effectuera plus de
• Confidentialité grâce au cryptage du trafic IP et à l’authentification numérique des communications non sécurisées.
paquets 8.1.4 Fonctionnement conjoint des stratégies IPSec
• Intégrité du trafic IP en rejetant tout trafic modifié Vous ne devez pas considérer les stratégies comme des entités individuelles. Les deux
• Protection contre les attaques de relecture ordinateurs qui négocient une association de sécurité doivent avoir des stratégies
8.1.2 De quelle manière la sécurité IPSec protège-t-elle le trafic ? complémentaires. Le tableau de la diapositive indique les résultats escomptés lorsque les
stratégies par défaut fonctionnent conjointement.
La configuration IPSec est définie via une stratégie locale ou une stratégie de groupe dans
le service d’annuaire Active Directory:
Les stratégies IPSec sont remises à tous les ordinateurs ciblés : la stratégie indique au pilote
IPSec comment se comporter et définit les associations de sécurité qui peuvent être établies.
Les associations de sécurité définissent, d’une part, les protocoles de cryptage qui sont utilisés
avec les types de trafic et, d’autre pat, les méthodes d’authentification qui sont négociées.
L’association de sécurité est négociée : le module IKE négocie l’association de sécurité. Le
module IKE combine deux protocoles : le protocole ISAKMP (Internet Security Association and
Key Management Protocol) et le protocole Oakley Key Determination Protocol. Si un client
requiert des certificats à des fins d’authentification et que l’autre client requiert le protocole
Kerberos, le module IKE ne pourra pas établir une association de sécurité entre ces deux
ordinateurs.
Les paquets IP sont cryptés : une fois que l’association de sécurité a été établi, le pilote IPSec
analyse tout le trafic IP, compare le trafic aux filtres définis et, s’il en a été instruit, crypte ou
signe le trafic.
8.1.3 Qu’est-ce qu’une stratégie de sécurité IPSec ?
Une stratégie de sécurité IPSec comprend une ou plusieurs règles qui déterminent le
comportement de la sécurité IPSec. 8.2 Implémentation de la sécurité IPSec avec des certificats
La sécurité IPSec s’implémente par le biais d’une stratégie. Chaque stratégie peut contenir
plusieurs règles, mais vous ne pouvez attribuer qu’une seule stratégie à la fois sur un 8.2.1 Qu’est-ce qu’un certificat ?
ordinateur quelconque. Vous devez combiner toutes les règles souhaitées dans une seule Un certificat X.509, parfois appelé certificat numérique, est une forme d’identification
stratégie. Chaque règle comprend les éléments suivants : électronique communément utilisée pour authentifier et protéger l’échange d’informations sur
des réseaux ouverts, tels qu’Internet, les extranets et les intranets.

Professeur : Halima HOUSNY Page 1 sur 4 Professeur : Halima HOUSNY Page 2 sur 4
S41 Chapitre8 : Protection du trafic à l’aide de la sécurité IPSec et de certificats S41 Chapitre8 : Protection du trafic à l’aide de la sécurité IPSec et de certificats

Un certificat lie de manière sécurisée une clé publique à l’entité qui détient la clé privée Clés pré-partagées : une clé pré-partagée est une chaîne de caractères aléatoires qui sert
correspondante. de mot de passe entre deux hôtes IPSec. Les clés pré-partagées n’offrent pas le même niveau
de sécurité que le protocole Kerberos ou les certificats car elles sont stockées en texte clair
La clé publique : Elle transite sur le segment de réseau non sécurisé (Internet) et permet au
dans la stratégie IPSec.
destinataire de vérifier la signature des données transmises.
La clé privée : Elle est confidentielle et permet à l’émetteur de signer le message à 8.3 Analyse de la sécurité IPSec
transmettre
Un émetteur de certificat, appelé Autorité de certification, signe numériquement les 8.3.1 Moniteur de sécurité IP
certificats. Les certificats peuvent être émis pour un utilisateur, un ordinateur ou un service, tel Le composant logiciel enfichable Moniteur de sécurité IP vous permet d’afficher des détails
que la sécurité IPSec. sur les stratégies IPSec locales et les stratégies attribuées au domaine.
Une Autorité de certification est chargée d’authentifier et de valider les clés de cryptage, de Vous pouvez par exemple afficher les informations suivantes : les détails de la stratégie
décryptage et d’authentification. Après avoir vérifié l’identité du propriétaire d’une clé, l’Autorité IPSec active, notamment le nom, la description, la date de la dernière modification, le magasin,
de certification distribue les clés publiques en émettant des certificats X.509. Ces derniers le chemin, l’unité d’organisation et le nom de l’objet Stratégie de groupe ; aussi les filtres
contiennent la clé publique et un ensemble d’attributs. génériques du mode principal et du mode rapide, les filtres spécifiques, les statistiques et les
Un certificat contient les informations suivantes : associations de sécurité.

• la clé cryptographique publique de la paire de clés publique et privée du sujet du 8.3.2 Comment arrêter et démarrer les services IPSec
certificat ; Pour arrêter les services IPSec en utilisant l’invite de commande, utilisez la commande net
• des informations sur le sujet qui a demandé le certificat ; stop policyagent.
• le nom unique X.500 de l’utilisateur ou de l’ordinateur ;
• l’adresse de messagerie du propriétaire du certificat ; Pour démarrer les services IPSec en utilisant l’invite de commande, utilisez la commande
• des détails sur l’Autorité de certification ; net start policyagent.
• les dates d’expiration ; Pour démarrer le service Routage et accès distant en utilisant l’invite de commande, utilisez
• le hachage du contenu du certificat pour garantir l’authenticité (signature numérique). la commande net start remoteaccess.
8.2.2 Utilisations courantes des certificats Pour arrêter le service Routage et accès distant en utilisant l’invite de commande, utilisez la
commande net stop remoteaccess.
Utilisations des certificats Description
Signature numérique Utilise la clé publique dans un certificat pour vérifier que les
données ont été signées avec la clé privée correspondante
Système de fichiers EFS Utilise la clé publique dans un certificat pour crypter les clés
(Encrypting File System) de cryptage
Authentification Internet Vérifie l’identité d’un serveur Web pour les clients Web. Les
serveurs Web peuvent aussi utiliser des certificats pour
vérifier l’identité des clients Web
Sécurité IP (IPSec) Vérifie l’identité des ordinateurs et crypte les données
lorsqu’elles sont transmises sur le réseau
Messagerie sécurisé Vérifie les messages électroniques signes et décrypte
les messages électroniques
Ouverture de session par carte Vérifie l’identité d’un utilisateur à l’ouverture de session par
à puce carte à puce. Protocole EAP-TLS
Signature du code logiciel Vérifie l’identité d’un éditeur de logiciels
En utilisant des certificats d’une Autorité de certification approuvée dans le but d’authentifier
deux hôtes IPSec, une entreprise peut dialoguer avec d’autres organisations qui approuvent la
même Autorité de certification. Vous pouvez aussi utiliser des certificats pour activer le service
Routage et accès distant de Windows et communiquer de manière sécurisée via Internet avec
un routeur tiers qui prend en charge la sécurité IPSec. Les deux autres méthodes permettant
d’authentifier deux hôtes IPSec sont les suivantes :
Protocole Kerberos : pour le trafic entre ordinateurs dans la même forêt, le protocole
Kerberos par défaut constitue la solution d’authentification la plus simple pour la sécurité IPSec
et ne nécessite aucune configuration.

Professeur : Halima HOUSNY Page 3 sur 4 Professeur : Halima HOUSNY Page 4 sur 4