IPsec

Dfinition : IPSec est un protocole dfini par l'IETF permettant de scuriser les changes au niveau de la couche rseau. Il s'agit en fait d'un protocole apportant des amliorations au niveau de la scurit au protocole IP afin de garantir : la confidentialit, l'intgrit l'authentification des changes.

IPsec
Intrt: crypter les donnes rseau en utilisant la scurit IPSec protection contre les interceptions dfinir ltendue du cryptage : Vous pouvez, par exemple, crypter toutes les communications rseau pour des clients spcifiques ou tous les clients dans un domaine.

IPsec avantages
1. un cryptage absolument transparent pour tous les protocoles, du modle OSI (couche3 et supr) 2. Authentification mutuelle avant et pendant les communications 3. Confidentialit grce au cryptage du trafic IP et lauthentification numrique des paquets:

IPsec avantages (2)

4. Intgrit du trafic IP en rejetant tout trafic modifi 5. Protection contre les attaques de relecture :

Les modes ESP et AH utilisent tous deux des numros de squence. Par consquent, tout paquet captur en vue dune relecture (rejeu) ultrieure possdera des numros hors squence.

IPsec
Ladministrateur dfinit une srie de rgles qui forment une stratgie IPSec. Ces rgles contiennent des filtres qui spcifient les types de trafic qui doivent tre crypts, signs numriquement ou les deux. NB : La scurit IPSec ne peut pas crypter
certains types de trafic, tels que les diffusions, les multidiffusions et les paquets de protocole Kerberos.

IPsec
Il existe deux modes pour IPSec : le mode transport permet de protger principalement les protocoles de niveaux suprieurs :IPSec encapsule le paquet TCP/UDP et le passe au protocole IP le mode tunnel permet d'encapsuler des datagrammes IP dans des datagrammes IPsec comportant une autre entte IP relle pour le transport sur Internet

IPsec
La scurit IPSec compte deux modes de protection : le mode ESP (Encapsulating Security Payload), qui crypte le trafic laide dun algorithme choisi parmi quelques-uns le mode AH (Authentication Header), qui signe le trafic sans le crypter.

Fonctionnement de la scurit IPSec

Fonctionnement de la scurit IPSec

1. Les stratgies IPSec sont remises tous les ordinateurs cibls : la stratgie indique au pilote IPSec comment se comporter et dfinit les associations de scurit qui peuvent tre tablies. Les associations de scurit dfinissent, dune part, les protocoles de cryptage qui sont utiliss avec les types de trafic et, dautre pat, les mthodes dauthentification qui sont ngocies. 2. Lassociation de scurit est ngocie : le module IKE ngocie lassociation de scurit. Le module IKE combine deux protocoles : le protocole ISAKMP (Internet Security Association and Key Management Protocol) et le protocole Oakley Key Determination Protocol. Rq1: Si un client requiert des certificats des fins dauthentification et que lautre client requiert le protocole Kerberos, le module IKE ne pourra pas tablir une association de scurit entre ces deux ordinateurs. Rq2 : Si vous examinez les paquets dans le Moniteur rseau, vous verrez des paquets ISAKMP, mais vous ne verrez pas les paquets AH ou ESP suivants.

Fonctionnement de la scurit IPSec (2)

3. Les paquets IP sont crypts : une fois que lassociation de scurit a t tablie, le pilote IPSec analyse tout le trafic IP, compare le trafic aux filtres dfinis et, sil en a t instruit, crypte ou signe le trafic.

Quest-ce quune stratgie de scurit IPSec

Une stratgie de scurit IPSec comprend une ou plusieurs rgles qui dterminent le comportement de la scurit IPSec NB : vous ne pouvez attribuer qu une seule stratgie la fois sur un ordinateur quelconque

Rgles de scurit IPSec

chaque rgle dfinie dans une stratgie IPsec comprend les lments suivants : Un filtre spcifiant le type de trafic auquel sapplique laction de filtrage (HTTP, FTP) Une action de filtrage : qui spcifie la procdure suivre si le trafic correspond au filtre (bloquer, forcer le cryptage ) Une mthode dauthentification : (certificats, Kerberos, cl prpartage)

stratgie de scurit IPSec prdfinies

Client (en rponse seule) : ninitie jamais la scurit IPSec toute seule. Cette stratgie ne contient quune rgle, appele la rgle de rponse par dfaut. Cette rgle permet lhte de rpondre une requte de protection ESP tant que les deux htes sont approuvs dans des domaines Active Directory. Serveur (demandez la scurit) : essaie toujours dutiliser la scurit IPSec mais peut revenir des communications non scurises si un client nest pas configur avec une stratgie IPSec. contient trois rgles, la premire tant la rgle de rponse par dfaut. La seconde rgle autorise le trafic ICMP (Internet Control Message Protocol). La troisime rgle demande la protection ESP pour tout le trafic IP. Scuriser le serveur (ncessite la scurit) : lordinateur peut uniquement communiquer via la scurit IPSec et neffectuera plus de communications non scurises. Cette stratgie contient galement trois rgles : la rgle de rponse par dfaut et la rgle dautorisation du trafic ICMP sont dcrites prcdemment. La troisime rgle exige que le trafic doit tre entirement crypt avec la protection ESP pour autoriser le serveur communiquer.

Fonctionnement conjoint des stratgies IPSec

Manipulation
Ajouter une console Gestion de scurit IP, puis attribuer ou supprimer lattribution dune stratgie IPSec pour une stratgie dordinateur local Cf. IPsec.doc Chap. 2.1.4

Implmentation de la scurit IPSec avec des certificats

DEFINITION Un certificat X.509, parfois appel certificat numrique, est une forme didentification lectronique Il lie de manire scurise une cl publique lentit qui dtient la cl prive correspondante.

Implmentation de la scurit IPSec avec des certificats

Utilisations courantes des certificats

Manip
configurer la scurit IPSec pour utiliser un certificat

Cf. IPsec.doc Chap. 3.2

Analyse de la scurit IPSec

Moniteur de scurit IP

Permet dafficher les informations suivantes: les dtails de la stratgie IPSec active Les filtres gnriques , les filtres spcifiques, les statistiques et les associations de scurit du mode principal (relatives au module IKE) et ceux du mode rapide (relatives au pilote IPsec)

Analyse de la scurit IPSec

instructions Pour isoler la cause dun problme de communication:

1. Arrtez lAgent de stratgie IPSec (services IPSec) sur les ordinateurs et utilisez la commande ping pour vrifier quils communiquent correctement entre eux. 2. Redmarrez lAgent de stratgie IPSec et utilisez le Moniteur de scurit IP pour confirmer quune association de scurit est tablie entre les ordinateurs. Assurez-vous que la stratgie IPSec est en place. 3. Utilisez le composant logiciel enfichable Gestion des stratgies de scurit IP pour vous assurer que les stratgies sont attribues aux deux ordinateurs. 4. Utilisez le composant logiciel enfichable Gestion des stratgies de scurit IP pour examiner les stratgies sur les ordinateurs et vous assurer quelles sont compatibles entre elles. 5. Redmarrez le Moniteur de scurit IP pour vous assurer que toutes les modifications apportes sont appliques.

Analyse de la scurit IPSec

Afficher les dtails de la stratgie active IPSec laide du Moniteur de scurit IP 1. Ouvrez la console MMC Moniteur de scurit IP. 2. Dveloppez Nom_Ordinateur, puis cliquez sur Stratgie active. 3. Dans le volet dinformations, examinez les dtails de la stratgie active.

Analyse de la scurit IPSec

Afficher les associations de scurit du mode principal: 1. ouvrez la console MMC Moniteur de scurit IP. 2. Dveloppez Mode principal, puis cliquez sur Associations de scurit. 3. Dans le volet dinformations, examinez les dtails des associations de scurit.

Analyse de la scurit IPSec

Commandes utiles :
Arrter/dmarrer le service Routage et accs distant
net stop | start remoteaccess Dmarre/arrter les services IPSec

net start |stop policyagent.