Module 6 : Configuration

de la sécurité du réseau à
l'aide du protocole IPSec
Table des matières

Vue d'ensemble 1
Présentation du protocole IPSec 2
Implémentation du protocole IPSec 7
Configuration du protocole TCP/IP
pour assurer la sécurité du réseau 21
Résolution des problèmes de sécurité
des protocoles réseau 22
Atelier A : Configuration du protocole
TCP/IP pour sécuriser les connexions
à l'aide du protocole IPSec 24
Contrôle des acquis 29
Les informations contenues dans ce document pourront faire l'objet de modifications sans préavis.
Sauf mention contraire, les sociétés, les noms et les données utilisés dans les exemples sont fictifs.
L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur applicable dans son
pays. Aucune partie de ce manuel ne peut être reproduite ou transmise à quelque fin ou par
quelque moyen que ce soit, électronique ou mécanique, sans la permission expresse et écrite de
Microsoft Corporation. Si toutefois, votre seul moyen d'accès est électronique, le présent
document vous autorise une et une seule copie.

Les produits mentionnés dans ce document peuvent faire l'objet de brevets, de dépôts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de propriété intellectuelle.

 2000 Microsoft Corporation. Tous droits réservés.

Active Directory, BackOffice, FrontPage, IntelliMirror, NetShow, Microsoft, MS-DOS, Outlook,

PowerPoint, Visual Studio, Windows, Windows Media et Windows NT sont soit des marques
déposées de Microsoft Corporation, soit des marques de Microsoft Corporation, aux États-Unis
d'Amérique et/ou dans d'autres pays.

Les autres noms de produit et de société mentionnés dans ce document sont des marques de leurs
propriétaires respectifs.

Chef de projet : Rick Selby

Concepteurs pédagogiques : Victoria Fodale (ComputerPREP), Jose Mathews (NIIT),
Barbara Pelletier (S&T OnSite)
Directeurs de programme : Rodney Miller, Joern Wettern (Wettern Network Solutions)
Responsable de programme : Thomas Willingham (Infotec)
Graphistes : Kimberly Jackson (indépendante), Julie Stone (indépendante)
Responsable d'édition : Lynette Skinner
Éditrice : Jennifer Kerns (S&T OnSite)
Correctrice : Shawn Jackson (S&T Consulting)
Responsable de programme en ligne : Debbi Conger
Responsable des publications en ligne : Arlo Emerson (Aditi)
Assistance en ligne : David Myka (S&T OnSite)
Responsables des tests : Jeff Clark, Jim Toland (ComputerPREP)
Développeur des tests : Greg Stemp (S&T OnSite)
Test du cours : Data Dimensions, Inc.
Assistance à la production : Ed Casper (S&T Consulting)
Responsable de la fabrication : Bo Galford
Assistance à la fabrication : Rick Terek
Responsable produit : Gerry Lang
Directeur de l'unité produit : Robert Stewart

Les simulations et les exercices interactifs ont été créés à l'aide de Macromedia Authorware.
 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec 1

Vue d'ensemble

! Présentation du protocole IPSec

! Implémentation du protocole IPSec
! Configuration du protocole TCP/IP pour assurer la
sécurité du réseau
! Résolution des problèmes de sécurité des
protocoles réseau

Comme la réussite d'une entreprise peut être compromise par la perte

d'informations qui lui sont propres, elle doit pouvoir compter sur la sécurité et
la fiabilité de son réseau, notamment pour les informations confidentielles
comme les données sur les produits, les rapports financiers et les plans
marketing. Le protocole IPSec (Internet Protocol Security) s'inscrit dans une
structure de standards ouverts pour assurer la sécurité et la confidentialité des
communications sur les réseaux utilisant le protocole Internet (IP, Internet
Protocol) à l'aide de services de sécurité cryptographique.
Vous pouvez implémenter le protocole IPSec sur un réseau Microsoft®
Windows® 2000 pour authentifier les ordinateurs et crypter les données
transmises entre les hôtes sur un réseau, un intranet ou un extranet, y compris
les communications de station de travail à serveur et de serveur à serveur.
À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :
!" décrire l'utilisation du protocole IPSec sur un réseau ;
!" implémenter le protocole IPSec ;
!" configurer le protocole IPSec pour assurer la sécurité du réseau ;
!" résoudre les problèmes de sécurité des protocoles réseau.
2 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec

# Présentation du protocole IPSec

! Identification des problèmes de sécurité liés aux

réseaux
! Définition du rôle du protocole IPSec sur un
réseau

Les réseaux publics et privés non sécurisés sont exposés à une surveillance et
des accès non autorisés. Une sécurité minimale ou inexistante peut être à
l'origine d'attaques internes, alors que les risques externes au réseau privé
proviennent de connexions à Internet et à des extranets. Le protocole IPSec
protège les données privées dans un environnement public en fournissant une
défense solide, basée sur la cryptographie, contre les attaques réseau.

Remarque Le protocole IPSec est une proposition IETF (Internet Engineering

Task Force), mais ne constitue pas encore un standard IETF. Pour plus
d'informations sur le protocole IPSec, consultez les RFC (Request for
Comments) 2411 et 2401 sous Lectures complémentaires sur le CD-ROM du
stagiaire.
Pour obtenir une liste plus complète des RFC appropriées, consultez la section
« Sécurité du protocole Internet (IPSec) » du Kit de Ressources Techniques
Microsoft Windows 2000 Server.
 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec 3

Identification des problèmes de sécurité liés aux réseaux

Types d'attaques réseau les plus courantes :

! Surveillance de réseau
! Modification des données
! Mots de passe
! Usurpation d'adresses
! Niveau application
! Intermédiaire
! Perturbation du service

Que ce soit sur Internet, sur un intranet, entre des employés de succursale ou
des collaborateurs à distance, des informations confidentielles sont échangées
en permanence sur les réseaux. Le défi des administrateurs réseau est d'assurer
que ces données n'encourent pas les risques suivants :
!" être modifiées pendant qu'elles sont en transit ;
!" être interceptées, visualisées ou copiées ;
!" être accessibles à des tiers non authentifiés.

Vous pouvez implémenter le protocole IPSec pour sécuriser vos

communications sur un intranet et pour créer des solutions de réseau privé
virtuel (VPN, Virtual Private Network) sur Internet. Le protocole IPSec peut
protéger les communications établies entres les groupes de travail, les
ordinateurs en réseau local (LAN, Local Area Network), les clients et les
serveurs de domaine, les succursales distantes d'une entreprise, les extranets, les
clients distants et l'administration à distance des ordinateurs.
4 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec

Types d'attaques réseau les plus courantes

Les données non sécurisées par des mesures et des contrôles de sécurité peuvent
être vulnérables à une attaque. Certaines attaques sont passives, c'est-à-dire
qu'un tiers inconnu surveille vos informations ; d'autres sont actives, c'est-à-dire
qu'un pirate modifie les informations avec l'intention d'endommager ou de
détruire les données ou le réseau proprement dit. La liste ci-dessous répertorie
les attaques réseau les plus courantes.
!" Surveillance de réseau. Une surveillance de réseau est une application ou un
dispositif qui peut observer et lire les paquets du réseau. Si les paquets ne
sont pas cryptés, un outil de surveillance de réseau fournit une vue complète
des données qu'ils contiennent. De telles applications sont très utiles pour
établir des diagnostics, mais elles peuvent être détournées de leur utilisation
normale pour obtenir un accès non autorisé aux données. Le Moniteur
réseau Microsoft est un exemple d'outil de surveillance de réseau.
!" Modification des données. Un pirate peut modifier un message en transit et
envoyer de fausses données, ce qui peut empêcher le récepteur de recevoir
les données correctes ou permettre au pirate d'obtenir des informations
sécurisées.
!" Mots de passe. Un pirate peut utiliser un mot de passe ou une clé volés, ou
tenter de déchiffrer le mot de passe s'il s'agit d'un mot de passe simple.
!" Usurpation d'adresses. Un pirate peut utiliser des programmes spéciaux
pour créer des paquets IP semblant provenir d'adresses valides à l'intérieur
du réseau fiable.
!" Niveau application. Cette attaque vise les serveurs d'applications en
exploitant les faiblesses du système d'exploitation et des applications du
serveur.
!" Intermédiaire. Ce type d'attaque intervient entre deux ordinateurs en cours
de communication : quelqu'un surveille, capture et contrôle les données de
manière transparente (le pirate peut par exemple rerouter un échange de
données).
!" Perturbation du service. Cette attaque vise à perturber l'utilisation normale
des ordinateurs ou des ressources réseau. Par exemple, des attaques de
perturbation de service peuvent se produire lorsque les comptes de
messagerie électronique sont submergés par un nombre plus important de
messages non sollicités que le système ne peut traiter, ce qui peut par la
suite arrêter le serveur.
 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec 5

Définition du rôle du protocole IPSec sur un réseau

Active
Active Directory
Directory

Stratégie
Stratégie IPSec
IPSec Stratégie
Stratégie IPSec
IPSec

Négociation
Négociation d'une
d'une
association
association de
de sécurité
sécurité

Niveau
Niveau TCP
TCP Niveau
Niveau TCP
TCP
IPSec
IPSec Driver
Pilote
Pilote Driver
IPSec
IPSec IPSec
IPSec Driver
Pilote
Pilote Driver
IPSec
IPSec
Paquets
Paquets IP
IP cryptés
cryptés

L'objectif principal du protocole IPSec est d'assurer la protection des paquets

IP. Le protocole IPSec est basé sur un modèle de sécurité de bout en bout, ce
qui signifie que les seuls hôtes qui doivent avoir connaissance de la protection
IPSec sont l'émetteur et le récepteur. Chaque ordinateur traite la sécurité de son
propre côté, partant du principe que le support de transmission des
communications n'est pas sécurisé. Les ordinateurs qui routent exclusivement
des données depuis la source jusqu'à la destination ne nécessitent pas de prise
en charge du protocole IPSec.

Sécurité de réseau renforcée

Le protocole IPSec améliore la sécurité des données en utilisant les moyens
suivants :
!" authentification mutuelle des ordinateurs avant tout échange de données ;
!" établissement d'une association de sécurité entre les deux ordinateurs ;
!" cryptage des données échangées.

Le protocole IPSec utilise des formats standard de paquets IP pour authentifier

ou crypter les données. Ainsi, les périphériques réseau intermédiaires, comme
les routeurs, n'ont pas à traiter les paquets IPSec différemment des paquets IP
standard.
6 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec

Stratégies IPSec
Le protocole IPSec est implémenté en utilisant une stratégie IPSec. Les
stratégies sont des paramètres de sécurité, ou des règles, qui définissent le
niveau de sécurité souhaité, ainsi que les adresses, les protocoles, les noms
DNS (Domain Name System), les sous-réseaux ou les types de connexions
auxquels s'appliqueront les paramètres de sécurité. Le pilote IPSec fait
correspondre chaque paquet entrant ou sortant aux paramètres de sécurité
définis dans la stratégie active IPSec. Vous pouvez appliquer les stratégies
IPSec aux ordinateurs locaux, aux membres de domaine, aux domaines ou à
plusieurs ordinateurs à l'aide d'un objet Stratégie de groupe dans le service
d'annuaire Active Directory™.

Remarque Plusieurs distributeurs travaillent sur l'implémentation du protocole

IPSec dans d'autres systèmes d'exploitation et périphériques réseau comme les
routeurs. Pour plus d'informations sur l'utilisation du protocole IPSec dans
Windows 2000, consultez le livre blanc, IP Security for Microsoft
Windows 2000 Server, sous Lectures complémentaires sur le CD-ROM du
stagiaire et le guide Step-by-Step Guide to Internet Protocol Security (IPSec)
disponible à l'adresse http://www.microsoft.com/windows2000/library/
technologies/security/default.asp
 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec 7

# Implémentation du protocole IPSec

! Mise en place de stratégies IPSec

! Configuration du protocole IPSec pour assurer la
sécurité entre ordinateurs
! Configuration du protocole IPSec pour assurer la
sécurité entre réseaux
! Personnalisation des stratégies IPSec
! Choix d'un modèle de cryptage IPSec
! Test d'une affectation de stratégie IPSec
! Optimisation des performances du protocole IPSec

Bien que des méthodes de sécurité plus puissante basées sur la cryptographie
soient devenues nécessaires pour protéger entièrement les communications,
l'implémentation de ces méthodes peut augmenter considérablement la charge
de travail administratif. Windows 2000 fournit des fonctionnalités
d'administration basée sur des stratégies, qui permettent d'implémenter les
services IPSec. Les stratégies permettent à l'administrateur de configurer
automatiquement les paramètres de sécurité. L'administrateur de la sécurité du
réseau peut configurer les stratégies IPSec pour répondre aux besoins de
sécurité d'un utilisateur, d'un groupe, d'un domaine, d'un site ou d'une
entreprise. Windows 2000 fournit une interface d'administration appelée
Gestion de la stratégie IPSec, qui sert à définir les stratégies IPSec pour les
ordinateurs au niveau d'Active Directory pour tout membre du domaine, ou sur
l'ordinateur local pour les non-membres du domaine.
8 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec

Mise en place de stratégies IPSec

Stratégies
Stratégies IPSec
IPSec
prédéfinies
prédéfinies

Vous contrôlez le protocole IPSec à l'aide d'une configuration de stratégies que

vous gérez dans le composant logiciel enfichable Gestion de la stratégie de
sécurité du protocole IP. Utilisez-le pour gérer les stratégies IPSec de manière
centralisée pour les clients Active Directory, locale pour l'ordinateur sur lequel
vous exécutez la console, ou à distance pour un ordinateur ou un domaine.

Remarque Pour configurer les stratégies IPSec pour des ordinateurs, vous
devez disposer des droits d'administrateur appropriés aux Stratégies de groupe
ou faire partie du groupe Administrateurs du système local.

Gestion des stratégies IPSec

Vous gérez les stratégies IPSec en ajoutant le composant logiciel enfichable
Gestion de la stratégie de sécurité du protocole IP dans une console MMC
(Microsoft Management Console). Après l'avoir ajouté dans la console,
sélectionnez l'ordinateur pour lequel vous souhaitez gérer les stratégies IPSec.
Pour Procédez comme suit
Gérer seulement l'ordinateur sur lequel la Cliquez sur Ordinateur local.
console s'exécute
Gérer des stratégies IPSec pour un membre Cliquez sur Gérer la stratégie de
du domaine quelconque domaine pour le domaine de cet
ordinateur.
Gérer des stratégies IPSec pour un domaine Cliquez sur Gérer la stratégie de
dont l'ordinateur qui exécute cette console domaine pour un autre domaine.
n'est pas membre
Gérer un ordinateur distant Cliquez sur Un autre ordinateur.

Vous pouvez alors enregistrer la console personnalisée pour qu'elle soit à

nouveau disponible à tout moment.
 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec 9

Utilisation des stratégies IPSec prédéfinies

Windows 2000 fournit un ensemble de stratégies IPSec prédéfinies. Par défaut,
toutes les stratégies prédéfinies sont conçues pour les ordinateurs membres d'un
domaine Windows 2000. Vous pouvez affecter des stratégies prédéfinies
directement, les modifier ou les utiliser comme des modèles pour définir des
stratégies personnalisées.

Client (en réponse seule)

Cette stratégie concerne les ordinateurs qui ne nécessitent pas de
communications sécurisées ; par exemple, les clients intranet qui n'utilisent la
sécurité IPSec que lorsqu'elle est demandée par un autre ordinateur. Cette
stratégie permet à l'ordinateur de donner une réponse appropriée aux demandes
de communications sécurisées. La stratégie contient une règle de réponse par
défaut qui permet la négociation avec les ordinateurs qui demandent le
protocole IPSec.

Serveur (demandez la sécurité)

Cette stratégie concerne les ordinateurs qui nécessitent la plupart du temps des
communications sécurisées, comme les serveurs qui transmettent des données
confidentielles. Cette stratégie permet à l'ordinateur d'accepter un trafic non
sécurisé, mais elle essaie toujours de sécuriser des communications
supplémentaires en demandant la sécurité auprès de l'émetteur initial. Cette
stratégie permet à toute la communication d'être non sécurisée si l'autre
ordinateur n'est pas activé pour la sécurité IPSec.

Sécuriser le serveur (nécessite la sécurité)

Cette stratégie concerne les ordinateurs qui nécessitent toujours des
communications sécurisées. Par exemple, la stratégie Sécuriser le serveur est
utile aux serveurs qui transmettent des données hautement confidentielles, ou à
une passerelle de sécurité qui protège l'intranet de l'extérieur. Cette stratégie
rejette les communications entrantes non sécurisées, et le trafic sortant est
toujours sécurisé. Les communications non sécurisées ne seront pas autorisées,
même si un homologue n'est pas activé IPSec.

Activation d'une stratégie IPSec

Pour activer une stratégie IPSec sur un ordinateur, exécutez la procédure
ci-dessous.
1. Dans le composant logiciel enfichable Gestion de la stratégie de sécurité du
protocole IP, cliquez sur Stratégies de sécurité IP sur ordinateur local.
2. Dans le volet de détails, cliquez avec le bouton droit sur la stratégie que
vous voulez affecter, puis cliquez sur Attribuer.

Remarque Vous pouvez également affecter une stratégie IPSec à un ordinateur

en utilisant la console Stratégie de groupe. Pour plus d'informations sur la
console Stratégie de groupe, consultez le module 7, « Implémentation d'une
stratégie de groupe » du cours 2174A, Implémentation et administration des
services d'annuaire Microsoft Windows 2000.
10 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec

Configuration du protocole IPSec pour assurer la sécurité entre

ordinateurs
! Utilisation du protocole IPSec en mode transport
$ Applique des stratégies IPSec pour le trafic généré
entre les systèmes
$ Prend en charge Windows 2000

$ Assure la sécurité de bout en bout

$ Est le mode par défaut pour IPSec

Sécurité entre
ordinateurs

Windows 2000 Windows 2000

Professionnel Server

Pour établir des communications sécurisées entre des ordinateurs exécutant

Windows 2000, configurez le protocole IPSec en mode transport.

Utilisation du protocole IPSec en mode transport

Le mode transport authentifie et crypte les échanges de données entre deux
ordinateurs exécutant Windows 2000. Ce mode sécurise le réseau et peut
prendre en charge une connexion sécurisée avec plusieurs autres ordinateurs. Le
mode transport est le mode par défaut du protocole IPSec.
Pour spécifier le mode transport, exécutez la procédure ci-dessous.
1. Ouvrez le composant logiciel enfichable Gestion de la stratégie de sécurité
du protocole IP.
2. Dans le volet de détails, cliquez avec le bouton droit sur la stratégie à
modifier, puis cliquez sur Propriétés.
3. Cliquez sur la règle que vous souhaitez modifier, puis sur Modifier.
4. Dans l'onglet Paramètre du tunnel, cliquez sur Cette règle ne spécifie
aucun tunnel IPSec.

Remarque Vous pouvez également spécifier un mode transport lorsque vous

créez une règle à l'aide de l'Assistant Règle de sécurité.
 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec 11

Configuration du protocole IPSec pour assurer la sécurité entre

réseaux
! Utilisation du protocole IPSec en mode tunnel
$ Applique des stratégies IPSec pour l'ensemble du
trafic Internet
$ Prend principalement en charge les anciens
systèmes d'exploitation
$ Prend en charge la sécurité point à point

$ Spécifie le point de sortie du tunnel au niveau des

deux routeurs
Sécurité entre réseaux

Routeur
Routeur

Serveur/Routeur Serveur/Routeur
Windows 2000 Windows 2000

Pour établir des communications sécurisées entre des réseaux distants,

configurez le protocole IPSec en mode tunnel. L'avantage du mode tunnel
réside dans le fait que les données sont sécurisées entre les deux extrémités du
tunnel, quelle que soit leur destination finale. Lorsque vous configurez le
protocole IPSec en mode tunnel, toutes les communications établies entre les
réseaux sont sécurisées, sans qu'il soit nécessaire de configurer le protocole
IPSec sur chaque ordinateur. Le mode tunnel ne garantit pas la sécurité de
chacun des réseaux.

Utilisation du protocole IPSec en mode tunnel

Le mode tunnel du protocole IPSec authentifie et crypte les données échangées
à l'intérieur d'un tunnel IP créé entre deux routeurs. Windows 2000 requiert le
service Routage et accès distant pour implémenter le protocole IPSec en mode
tunnel.
Vous activez le mode tunnel dans la gestion IPSec. Lors de la configuration des
paramètres du mode tunnel, le protocole IPSEc requiert une adresse IP pour
chaque extrémité du tunnel.
12 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec

Pour spécifier un tunnel IPSec, exécutez la procédure ci-dessous.

1. Ouvrez le composant logiciel enfichable Gestion de la stratégie de sécurité
du protocole IP.
2. Dans le volet de détails, cliquez avec le bouton droit sur la stratégie à
modifier, puis cliquez sur Propriétés.
3. Cliquez sur la règle que vous souhaitez modifier, puis sur Modifier.
4. Dans l'onglet Paramètres du tunnel, cliquez sur Le point de sortie du
tunnel est spécifié par cette adresse IP, puis indiquez l'adresse IP du point
d'arrêt du tunnel.

Windows 2000 prend en charge plusieurs connexions en mode tunnel, mais un

seul tunnel à la fois. Chaque connexion à un tunnel nécessite une règle
distincte.

Remarque Vous pouvez également spécifier un tunnel IPSec lorsque vous

créez une règle à l'aide de l'Assistant Règle de sécurité.
 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec 13

Personnalisation des stratégies IPSec

! Composants des règles

$ Point de sortie
du tunnel Stratégie
Stratégie IPSec
IPSec
$ Type de réseau
$ Méthode Règle
Règle 11 Règle
Règle 22
d'authentification
$ Liste de filtres IP Filtre
Filtre 11 Filtre
Filtre 22 Filtre
Filtre 11 Filtre
Filtre 22

$ Action de filtrage Action

Action Action
Action Action
Action Action
Action
du
du filtre
filtre du
du filtre
filtre du
du filtre
filtre du
du filtre
filtre
! Règle de réponse
par défaut

Vous pouvez créer des stratégies IPSec personnalisées pour déterminer quels
ordinateurs nécessitent un cryptage, et les méthodes de sécurité à utiliser pour
ce cryptage. Les stratégies IPSec font appel à des règles qui déterminent le
moment et le mode de déclenchement d'une stratégie. Une règle permet de
démarrer et de contrôler des communications sécurisées en fonction de la
source, de la destination et du type de trafic IP.
Chaque stratégie IPSec peut contenir une ou plusieurs règles. Plusieurs règles
peuvent être activées simultanément. Des règles par défaut sont fournies. Elles
recouvrent une variété de communications basées sur des clients et des
serveurs. Vous pouvez créer des règles ou modifier les règles par défaut en
fonction des besoins de votre réseau.

Composants des règles

Une règle est constituée des composants décrits ci-dessous.
!" Point de sortie du tunnel. Définit l'ordinateur de tunneling le plus proche
de la destination du trafic IP, tel que spécifié par la liste des filtres IP
associés. Deux règles sont nécessaires pour définir un tunnel IPSec, une
pour chaque direction.
!" Type de réseau. S'applique aux connexions configurées dans Connexions
réseau et accès à distance. Sélectionnez l'une des options suivantes :
• Toutes les connexions réseau
• Réseau local (LAN)
• Accès distant
14 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec

!" Méthode d'authentification. Définit la méthode de vérification de l'identité

d'un utilisateur. Windows 2000 prend en charge trois méthodes
d'authentification.
• Valeurs par défaut de Windows 2000 (Protocole Kerberos V5).
Utilise le protocole de sécurité Kerberos V5 pour l'authentification.
Cette méthode peut être utilisée pour tous les ordinateurs clients qui
exécutent le protocole Kerberos V5 (qu'ils soient ou non des clients
Windows) et qui sont membres d'un domaine approuvé.
• Utiliser un certificat émis par cette Autorité de certification.
Nécessite la configuration d'une Autorité de certification approuvée.
Windows 2000 prend en charge les certificats X.509 version 3, y
compris les certificats générés par des Autorités de certification
commerciales.
• Utiliser cette chaîne pour protéger l'échange de clés (clé
pré-partagée). Indique une clé secrète partagée, définie d'un commun
accord et configurée manuellement par deux utilisateurs avant son
utilisation.
!" Liste de filtres IP. Définit le trafic sécurisé par cette règle. Vous pouvez
utiliser les filtres par défaut ou créer des filtres propres à la stratégie pour
certains types de trafic IP ou des sous-réseaux particuliers. Les filtres par
défaut incluent les éléments suivants :
• Tout le trafic ICMP (Internet Control Message Protocol)
• Tout le trafic IP
!" Action de filtrage. Répertorie les actions de sécurité qui sont exécutées
lorsque le trafic correspond à un filtre IP. L'action spécifie s'il faut autoriser
le trafic, le bloquer ou négocier la sécurité pour la connexion en question.
Vous pouvez spécifier une ou plusieurs actions de filtrage négociées. Les
actions de filtrage s'affichent sous la forme d'une liste dont la première
méthode est prioritaire. Si cette action de filtrage ne peut pas être négociée,
l'action suivante est entreprise.

Pour modifier les propriétés d'une règle, cliquez sur la règle dans la boîte de
dialogue Propriétés d'une stratégie IPSec, puis sur Modifier. Pour modifier la
liste et les actions de filtrage IP par défaut, cliquez avec le bouton droit sur
Stratégies de sécurité IP, puis cliquez sur Gérer les listes de filtres IP et les
actions de filtrage.

Règle de réponse par défaut

Un ordinateur utilise la règle de réponse par défaut pour répondre aux
demandes de communications sécurisées. S'il n'existe pas de règle définie pour
les demandes de communications sécurisées, la règle de réponse par défaut
s'applique et la sécurité est négociée. Cette règle est conçue pour toutes les
stratégies définies, mais il se peut qu'elle ne soit pas active.
Lors de la création d'une stratégie, l'Assistant vous demande si vous souhaitez
utiliser la règle de réponse par défaut. Si cette réponse est activée, l'Assistant
permet à l'administrateur de définir la méthode d'authentification de la règle.
 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec 15

Vous pouvez restaurer les configurations d'origine prédéfinies si vous les

modifiez ou les supprimez en cas de modification ou de suppression
accidentelle. Toutes les modifications actuelles apportées aux stratégies et aux
règles par défaut seront perdues.
Pour rétablir les stratégies par défaut, exécutez la procédure ci-dessous.
1. Ouvrez le composant logiciel enfichable Gestion de la stratégie de sécurité
du protocole IP.
2. Dans l'arborescence de la console, cliquez sur Stratégies de sécurité IP
ordinateur local, cliquez avec le bouton droit, pointez sur Toutes les
tâches, cliquez sur Restaurer les stratégies par défaut, puis sur Oui.
16 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec

Choix d'un modèle de cryptage IPSec

Pour choisir un modèle d'authentification

et de cryptage :
! Cryptage des authentifications
$ SHA
$ MD5
! Cryptage des paquets
$ DES 56 bits
$ DES 40 bits
$ 3DES

La méthode choisie pour l'authentification et le cryptage des paquets peut varier

selon la confidentialité des informations et les divers standards autorisés au
niveau national. Le protocole IPSec fournit un grand choix d'algorithmes de
cryptage de données et d'authentification.
Pour afficher les méthodes de sécurité de cryptage, ouvrez les propriétés de la
stratégie sélectionnée, cliquez sur l'onglet Général, sur Avancé, puis sur
Méthodes.

Cryptage des authentifications

Le tableau suivant récapitule les choix de cryptage d'authentifications, à savoir
l'algorithme de hachage sécurisé (SHA, Secure Hash Algorithm) et le hachage
MD5 (Message Digest 5) :
Méthode Description
SHA Standard de traitement des informations fédérales (FIPS, Federal
Information Processing Standard), accepté aux États-Unis d'Amérique
pour les contrats avec le gouvernement. Cette méthode, hautement
sécurisée, utilise une clé de 160 bits.
MD5 Méthode la plus largement utilisée pour les applications commerciales.
Cette méthode, hautement sécurisée, utilise une clé unique de 128 bits et
constitue une moindre charge sur les performances.
 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec 17

Cryptage des paquets

Le tableau suivant récapitule décrit les choix de cryptage pour les données :
Méthode Description
DES 56 bits Méthode utilisée pour les applications les plus exportées et le trafic à
faible niveau de sécurité, comme les messages électroniques. Cette
méthode, faiblement sécurisée, utilise une seule clé de 56 bits.
DES 40 bits Méthode prise en charge pour les applications exportées vers la France.
Cette méthode, faiblement sécurisée, utilise une seule clé de 40 bits. Le
standard de cryptage des données (DES, Data Encryption Standard)
40 bits n'est pas conforme aux RFC.
3DES Méthode la plus sûre. Utilise trois clés de 56 bits. 3DES traite chaque
bloc à trois reprises, en utilisant à chaque fois une clé unique. Cette
méthode, hautement sécurisée, augmente l'utilisation du processeur d'un
facteur égal à environ 2,5 par rapport aux autres méthodes de cryptage
DES.
18 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec

Test d'une affectation de stratégie IPSec

! Utilisation de la commande ping pour vérifier la

validité d'une connexion réseau
! Utilisation du Moniteur de sécurité IP pour vérifier
l'affectation d'une stratégie

Avant d'échanger des données sécurisées, une association de sécurité (SA,

Security Association) doit être établie entre les deux ordinateurs. Dans une
association de sécurité, les deux ordinateurs négocient l'échange et la protection
des informations. L'ordinateur demandeur envoie une liste d'offre de niveaux de
sécurité potentiels aux homologues répondeurs. Le répondeur envoie une
réponse qui accepte l'offre, ou la rejette en renvoyant un message indiquant
qu'aucune offre n'a été retenue. Si les stratégies actives permettent d'établir des
communications non sécurisées avec des ordinateurs incapables d'utiliser le
protocole IPSec, une association de sécurité logicielle est établie. Si les
stratégies actives sont compatibles, une association de sécurité sécurisée ou
matérielle est établie.
Pour assurer l'établissement d'une association de sécurité et la réussite de la
communication sécurisée par le protocole IPSec, utilisez la commande ping
pour vérifier la validité de la connexion réseau. Pour vérifier la validité de
l'affectation de la stratégie, utilisez un Moniteur de sécurité IP.

Utilisation de la commande ping pour vérifier la validité

d'une connexion réseau
Lorsque vous testez l'affectation d'une stratégie IPSec, utilisez la commande
ping pour vérifier la validité de la connexion réseau. Ce faisant, vous pouvez
distinguer les problèmes de réseau et ceux liés au protocole IPSec.
Pour vérifier la validité d'une connexion réseau, exécutez la procédure
ci-dessous.
Ouvrez une invite, tapez ping adresse IP, où adresse IP représente l'adresse IP
de l'ordinateur avec lequel vous essayez de communiquer, puis appuyez sur
ENTRÉE.
 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec 19

S'il existe une connexion réseau valide, vous devez recevoir quatre réponses à
la commande ping. Cela vérifie qu'une communication avec l'adresse IP de
destination est possible. Le protocole IPSec ne bloque pas la commande ping si
vous utilisez les stratégies par défaut telles quelles.
Si vous rencontrez des problèmes pour établir un canal sécurisé, la réponse
« Négociation de la sécurité IP » s'affiche. Attendez-vous à cette réponse
pendant l'établissement du canal sécurisé. Cependant, les résultats suivants de la
commande ping doivent inclure des réponses de l'hôte distant.

Important Si vous créez des stratégies personnalisées sans tenir compte du

protocole ICMP utilisé par la commande ping, l'utilisation de cette commande
peut présenter des résultats erronés.

Utilisation du Moniteur de sécurité IP pour vérifier

l'affectation d'une stratégie
Le Moniteur de sécurité IP affiche les associations de sécurité actives sur les
ordinateurs locaux et distants. Par exemple, vous pouvez utiliser le Moniteur de
sécurité IP pour déterminer s'il existe un modèle d'authentification ou des
échecs d'associations de sécurité, indiquant éventuellement des paramètres de
sécurité incompatibles.
Pour démarrer le Moniteur de sécurité IP, exécutez la procédure ci-dessous.
• Cliquez sur Démarrer, puis sur Exécuter, puis tapez ipsecmon ordinateur,
où Ordinateur représente l'ordinateur que vous souhaitez surveiller.

Lorsque le Moniteur de sécurité IP s'ouvre, vous voyez s'afficher un message

dans le coin inférieur droit, indiquant si le protocole IPSec est activé sur
l'ordinateur. Pour activer le protocole IPSec, vous devez affecter une stratégie.
Cependant, aucune stratégie ne figure dans la liste des associations de sécurité
du Moniteur de sécurité IP, sauf si une association de sécurité avec un autre
ordinateur est actuellement active.
20 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec

Optimisation des performances du protocole IPSec

Pour garantir une haute disponibilité du service

IPSec, tenez compte des éléments suivants :
! Niveau de sécurité requis
! Critères de sécurité de l'ordinateur
! Nombre d'entrées de filtre de stratégie IPSec

Avant d'implémenter le protocole IPSec sur un réseau d'entreprise, vous devez

tenir compte des questions de performances décrites ci-dessous.

Niveau de sécurité requis

La confidentialité de la plupart des données sur de nombreux réseaux
d'entreprise peut ne pas nécessiter le niveau de sécurité fourni par le protocole
IPSec. Lorsque vous activez le protocole IPSec, l'utilisation du processeur, le
trafic et la taille des paquets IP augmentent. Avant d'implémenter le protocole
IPSec sur une plate-forme, vous devez déterminer si cet hôte donné bénéficie
suffisamment d'une sécurité améliorée.

Remarque Certains distributeurs proposent des cartes réseau qui effectuent les
tâches de cryptage IPSec sur la carte réseau. La réalisation du cryptage IPSec à
l'aide d'un matériel dédié peut augmenter sensiblement les performances.

Critères de sécurité de l'ordinateur

Certaines données peuvent être confidentielles, seul un petit groupe
d'ordinateurs du réseau y aura accès. Identifiez les ordinateurs serveur et clients
qui doivent avoir accès à ces données confidentielles, puis activez le protocole
IPSec uniquement sur ces ordinateurs.

Nombre d'entrées de filtre de stratégie IPSec

Le protocole IPSec peut bloquer les accès non autorisés en utilisant des filtres
IP et des stratégies de négociation. Utilisez les filtres génériques pour réduire le
nombre d'entrées du filtre IP. Les stratégies de négociation doivent être
suffisamment restrictives pour garantir que les ordinateurs autorisés peuvent
accéder, tandis que les ordinateurs non autorisés ne le peuvent pas. Vous
pouvez concevoir votre configuration de protocole IPSec avec des filtres IP, des
stratégies de négociation, ou les deux.
 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec 21

Configuration du protocole TCP/IP pour assurer la

sécurité du réseau

Au niveau du transport IP, le protocole IPSec assure la protection des services

et des applications de serveur, sans modifier les services et applications qui
utilisent le protocole IP pour le transport des données. Vous pouvez activer le
protocole IPSec pour assurer la sécurité des communications de bout en bout
d'un trafic IP sur un réseau privé ou sur Internet. Vous activez la sécurité IP
pour le protocole TCP/IP (Transmission Control Protocol/Internet Protocol) en
affectant la stratégie Sécuriser le serveur. La stratégie Sécuriser le serveur est
désactivée par défaut.
Pour activer la sécurité IP pour le protocole TCP/IP, exécutez la procédure
ci-dessous.
1. Ouvrez le composant logiciel enfichable Gestion de la stratégie de sécurité
du protocole IP.
2. Dans l'arborescence de la console, cliquez sur Stratégies de sécurité IP sur
Ordinateur local.
3. Dans le volet de détails, cliquez avec le bouton droit sur Sécuriser le
serveur (nécessite la sécurité), puis cliquez sur Attribuer.
22 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec

Résolution des problèmes de sécurité des protocoles

réseau
Err reur Recherchez
Recherchez les
les messages
messages d'erreur
d'erreur dans
dans
les
les journaux
journaux système
système et
et les
les journaux
journaux de
de sécurité
sécurité

Confirmez
Confirmez qu'une
qu'une association
association de
de sécurité
sécurité est
est
Err eur établie entre les ordinateurs
établie entre les ordinateurs

Err eur Vérifiez

Vérifiez que
que les
les stratégies
stratégies sont
sont affectées
affectées
aux
aux deux
deux ordinateurs
ordinateurs

Vérifiez
Vérifiez que
que les
les stratégies
stratégies sont
sont compatibles
compatibles
Err eur
entre
entre elles
elles

Err eur Vérifiez

Vérifiez que
que tous
tous les
les changements
changements sont
sont appliqués
appliqués

Que deux ou plusieurs ordinateurs configurés pour utiliser le protocole IPSec ne

puissent pas communiquer entre eux constitue le problème le plus courant
concernant la sécurité du protocole réseau. Lorsque vous essayez de résoudre
un problème de sécurité de protocole réseau, commencez par isoler le problème.

Isolement du problème
Lorsque vous essayez de résoudre des problèmes de sécurité IPSec, il est
important d'isoler le problème. Un problème de communication peut être dû à
une défaillance générale du réseau ou à un problème concernant les paramètres
de sécurité. Arrêtez l'agent de stratégie IPSec sur les deux ordinateurs, puis
vérifiez les communications entre les ordinateurs. Si le problème de
communication persiste après l'arrêt de l'agent de stratégie, il s'agit d'une
défaillance générale du réseau.
Pour arrêter l'agent de stratégie, exécutez la procédure ci-dessous.
1. Ouvrez Services à partir du menu Outils d'administration.
2. Dans l'arborescence de la console, cliquez avec le bouton droit sur Agent de
stratégie IPSec, puis cliquez sur Arrêt.

Après avoir confirmé qu'il s'agit bien d'un problème de sécurité du réseau,
assurez-vous de redémarrer l'agent de stratégie IPSec pour poursuivre la
résolution du problème.
 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec 23

Vérification de la stratégie IPSec

Après avoir confirmé l'établissement de la communication avec l'ordinateur
distant, appliquez les méthodes ci-dessous pour cerner le problème.
!" Recherchez les messages d'erreur dans les journaux système et les journaux
de sécurité.
!" Utilisez le Moniteur de sécurité IP pour confirmer qu'une association de
sécurité est établie entre les ordinateurs pour assurer que la stratégie IPSec
est effective.
!" Utilisez le composant logiciel enfichable Gestion de la stratégie de sécurité
du protocole IP pour vous assurer que les stratégies ont été affectées aux
deux ordinateurs.
!" Utilisez le composant logiciel enfichable Gestion de la stratégie de sécurité
du protocole IP pour vérifier les stratégies sur les deux ordinateurs et vous
assurer qu'elles sont compatibles entre elles.
!" Redémarrez le Moniteur de sécurité IP pour vous assurer que tous les
changements apportés sont appliqués.

Remarque Pour plus d'informations sur la résolution des problèmes de sécurité

du protocole IPSec, consultez la rubrique « Résolution des problèmes de
sécurité IP » dans l'aide de Windows 2000.
24 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec

Atelier A : Configuration du protocole TCP/IP pour

sécuriser les connexions à l'aide du protocole IPSec

Objectifs
À la fin de cet atelier, vous serez à même d'effectuer les tâches suivantes :
!" configurer une stratégie IPSec ;
!" affecter une stratégie IPSec.

Conditions préalables
Avant de poursuivre, vous devez disposer de connaissances dans les domaines
suivants :
!" fonctionnement du protocole IPSec ;
!" rôle des stratégies IPSec dans la sécurisation du trafic réseau.

Mise en place de l'atelier

Pour le réaliser, vous devez disposer des éléments suivants :
!" un ordinateur exécutant Windows 2000 Advanced Server et configuré en
tant que contrôleur de domaine ;
!" un partenaire disposant d'un ordinateur configuré à l'identique ;
!" des certificats affectés à votre ordinateur et à l'ordinateur de votre partenaire
(les deux certificats doivent provenir d'Autorités de certification dans un
chemin d'accès d'Autorité de certification approuvé par les ordinateurs des
deux stagiaires) ;
!" l'adresse IP de l'ordinateur de l'instructeur.
 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec 25

Scénario
Votre entreprise travaille sur un projet qui inclut des partenaires professionnels.
Ce projet nécessite la plus grande confidentialité. Vos partenaires
professionnels accéderont aux données sur certains de vos serveurs en utilisant
Internet. Vous devez vous assurer que tout le trafic réseau généré entre les
ordinateurs de votre entreprise et ceux de vos partenaires professionnels est
crypté. Votre entreprise possède actuellement une infrastructure de clé publique
(PKI, Public Key Infrastructure) qui inclut des Autorités de certification. Vous
avez aussi délivré des certificats à tous les ordinateurs de votre entreprise
auxquels vos partenaires professionnels auront accès, et aux ordinateurs que vos
partenaires professionnels utiliseront pour accéder à vos serveurs.

Durée approximative de cet atelier : 45 minutes

26 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec

Exercice 1
Création et affectation d'une stratégie IPSec

Scénario
Dans le cadre d'un projet de développement commun avec un partenaire professionnel, vous devez
vous assurer du cryptage de tout le trafic réseau généré entre les serveurs de votre réseau et les
ordinateurs de vos partenaires. Pour ce faire, vous devez utiliser le protocole IPSec et les certificats
que vous avez délivrés à tous les ordinateurs.

Objectif
Dans cet exercice, vous allez travailler avec un partenaire pour configurer et tester une stratégie
IPSec pour vos deux ordinateurs à l'aide de certificats.

Tâche Détails

1. Utilisez l'utilitaire ping pour a. Ouvrez une session en tant

tester les communications
avec votre partenaire.
2. Ajoutez le composant
logiciel enfichable Gestion
de la stratégie de sécurité du
protocole IP dans une
console MMC.
Configurez la sécurité IP :
Point de sortie du tunnel :
pas de tunnel
Type de réseau : toutes les
connexions
Méthode d'authentification :
certificat provenant de la
même Autorité de
certification choisie par
votre partenaire
Liste de filtres IP : tout trafic
IP
Action de filtrage : nécessite
la sécurité
qu'administrateur@domaine.nwtraders.msft (où domaine représente le
nom de votre domaine), avec le mot de passe password.
b. À l'invite, tapez ping 192.168.z.y (où z représente le numéro affecté à la
classe, et y le numéro de stagiaire de votre partenaire), puis appuyez sur
ENTRÉE.
Vous devez recevoir quatre réponses de la part de l'ordinateur
de votre partenaire.
c. Réduisez l'invite.
a. Cliquez sur Démarrer, puis sur Exécuter.
b. Dans la zone Ouvrir, tapez mmc et cliquez sur OK.
c. Agrandissez la fenêtre Racine de la console.
d. Dans la fenêtre Console1 - [Racine de la console], dans le menu
Console, cliquez sur Ajouter/Supprimer un composant logiciel
enfichable.
e. Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel
enfichable, cliquez sur Ajouter.
f. Dans la boîte de dialogue Ajout d'un composant logiciel enfichable
autonome, cliquez sur Gestion de la stratégie de sécurité du
protocole IP, puis sur Ajouter.
g. Dans la boîte de dialogue Sélectionner un ordinateur, vérifiez que
Ordinateur local est sélectionné, puis cliquez sur Terminer.
h. Dans la boîte de dialogue Ajout d'un composant logiciel enfichable
autonome, cliquez sur Services, puis sur Ajouter.
i. Dans la boîte de dialogue Services, vérifiez que L'ordinateur local
est sélectionné, puis cliquez sur Terminer.
j. Cliquez sur Fermer pour fermer la boîte de dialogue Ajout d'un
composant logiciel enfichable autonome, puis sur OK pour fermer la
boîte de dialogue Ajouter/Supprimer un composant logiciel
enfichable.
 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec 27

(suite)

Tâche Détails

2. (suite k. Dans l'arborescence de la console, cliquez sur Stratégies de sécurité

IP sur Ordinateur local.
l. Dans le volet de détails, cliquez avec le bouton droit sur Sécuriser le
serveur (nécessite la sécurité), puis cliquez sur Propriétés.
m. Dans la boîte de dialogue Propriétés de Sécuriser le serveur
(nécessite la sécurité), cliquez sur Ajouter.
n. Renseignez l'Assistant Règle de sécurité en utilisant les informations
ci-dessous. Acceptez les valeurs par défaut si aucune information n'est
fournie.
Page Point de sortie du tunnel : vérifiez que Cette règle ne spécifie
aucun tunnel est sélectionné.
Page Type de réseau : vérifiez que Toutes les connexions réseau est
sélectionné.
Page Méthode d'authentification : cliquez successivement sur
Utiliser un certificat provenant de cette Autorité de certification
(CA), sur Parcourir et sur serveur CA (où serveur représente le nom
d'un ordinateur qui dispose d'une Autorité de certification racine
approuvée, qui est en général votre ordinateur ou celui de votre
partenaire). Demandez à votre instructeur si vous avez des doutes sur
l'Autorité de certification à sélectionner.
Page Liste de filtres IP : cliquez sur Tout trafic IP.
Page Action du filtre : cliquez sur Exiger la sécurité.
o. Cliquez sur Terminer pour fermer l'Assistant.
Quatre règles s'affichent dans la zone Règles de sécurité IP.
p. Dans la boîte de dialogue Propriétés de Sécuriser le serveur
(nécessite la sécurité), désactivez les cases à cocher correspondant à
toutes les règles, sauf celle qui affiche Certificat dans la colonne
Méthodes d'authentification.
q. Cliquez sur Fermer pour fermer la boîte de dialogue Propriétés de
Sécuriser le serveur (nécessite la sécurité).
Remarque : Vous venez de créer une règle de sécurité pour la stratégie Sécuriser le serveur. La règle utilise
les paramètres par défaut à l'exception du certificat.

2. (suite) r. Dans le volet de détails, cliquez avec le bouton droit sur Sécuriser le
serveur (nécessite la sécurité), puis cliquez sur Attribuer.

Avant de commencer cette procédure, attendez que votre partenaire ait terminé celle qui précède.
28 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec

(suite)

Tâche Détails

3. Testez le protocole IPSec à
l'aide de la commande ping
et du Moniteur de sécurité IP.
4. Supprimez l'association de
sécurité.
a. Dans l'arborescence de la console, cliquez sur Services (local), puis
dans le volet de détails, cliquez avec le bouton droit sur Agent de
stratégie IPSEC, puis cliquez sur Redémarrer.
b. Réduisez la fenêtre Console1.
c. Restaurez l'invite, tapez ping 192.168.x.y (où x représente le numéro
de votre classe et y le numéro de stagiaire de votre partenaire), puis
appuyez sur ENTRÉE.
L'un ou les deux partenaires verront s'afficher les messages
« Négociation de la sécurité IP ».
Si vous recevez les messages « Négociation de la sécurité IP »,
répétez la commande ping jusqu'à ce que vous receviez des
réponses de l'ordinateur de votre partenaire.
d. À l'invite, exécutez plusieurs fois la commande ping sur l'adresse IP de
l'ordinateur de l'instructeur.
L'ordinateur de l'instructeur ne fournit aucune réponse, car
l'ordinateur n'est pas configuré avec le protocole IPSec.
e. À l'invite, tapez ipsecmon et appuyez sur ENTRÉE.
Le Moniteur de sécurité IP démarre en affichant l'activité du
protocole IPSec.
f. Dans le Moniteur de sécurité IP, cliquez sur Options.
g. Dans la boîte de dialogue Options du Moniteur de sécurité IP, dans
la zone Délai d'actualisation, tapez 1 puis cliquez sur OK.
h. Organisez les fenêtres de votre écran pour voir la zone Statistiques
IPSEC du Moniteur de sécurité IP et l'invite.
i. Exécutez encore quelques fois la commande ping sur l'ordinateur de
votre partenaire, tout en affichant les résultats dans la zone
Statistiques IPSec du Moniteur de sécurité IP.
Remarquez que la zone Statistiques IPSec affiche une association
active, et indique que le nombre d'octets
confidentiels et authentifiés envoyés et reçus augmente lorsque
que vous utilisez la commande ping.
j. Fermez le Moniteur de sécurité IP, puis l'invite et restaurez la fenêtre
Console1.
a. Dans l'arborescence de la console, cliquez sur Stratégies de sécurité
IP sur Ordinateur local, puis dans le volet de détails, cliquez avec le
bouton droit sur Sécuriser le serveur (nécessite la sécurité), puis
cliquez sur Supprimer l'attribution.
L'état Stratégie attribuée va passer de Oui à Non, indiquant qu'il
n'y a pas de stratégie de sécurité IP active.
b. Dans l'arborescence de la console, cliquez sur Services (Local), puis
dans le volet de détails, cliquez avec le bouton droit sur Agent de
stratégie IPSEC, puis cliquez sur Redémarrer.
c. Fermez la fenêtre Console1 sans enregistrer les changements, puis
fermez la session.
 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec 29

Contrôle des acquis

! Présentation du protocole IPSec

! Implémentation du protocole IPSec
! Configuration du protocole TCP/IP pour assurer la
sécurité du réseau
! Résolution des problèmes de sécurité des
protocoles réseau

1. Dans quelle mesure le protocole IPSec empêche-t-il des violations de

sécurité du réseau entraînées par la surveillance du réseau et une usurpation
d'adresses ?

2. En quoi diffèrent les stratégies prédéfinies Serveur (nécessite la sécurité) et

Serveur (demandez la sécurité) ?

3. Quand utilisez-vous le mode transport et le mode tunnel ?

30 Module 6 : Configuration de la sécurité du réseau à l'aide du protocole IPSec

4. Quelles méthodes d'authentification pouvez-vous utiliser avec le protocole

IPSec ?

5. Lors de la résolution de problèmes du protocole IPSec, comment

déterminez-vous si le problème est dû aux paramètres de sécurité ou à une
défaillance réseau générale ?