Vous êtes sur la page 1sur 22

Module 9 :

Configuration de
la sécurité IPsec
Vue d'ensemble du module
• Vue d'ensemble de la sécurité IPsec

• Configuration des règles de sécurité de connexion

• Configuration de la contrainte de mise en conformité NAP IPsec


Leçon 1 : Vue d'ensemble de la sécurité IPsec
• Avantages de la sécurité IPsec

• Recommandations en matière d'utilisation de la sécurité IPsec

• Outils utilisés pour configurer la sécurité IPsec

• Que sont les règles de sécurité de connexion ?

• Démonstration : Configuration des paramètres IPsec généraux


Avantages de la sécurité IPsec

La sécurité IPsec correspond à une série de protocoles qui


permettent de transmettre des communications sécurisées
et chiffrées entre deux ordinateurs via un réseau non sécurisé

• La sécurité IPsec répond à deux objectifs : protéger les paquets IP


et offrir une ligne de défense contre les attaques réseau

• Le fait de configurer la sécurité IPsec sur les ordinateurs d'envoi


et de réception permet à ces deux ordinateurs de se transmettre
des données sécurisées

• La sécurité IPsec sécurise le trafic réseau grâce au chiffrement


et à la signature des données

• Une stratégie IPsec définit le type de trafic examiné par la


sécurité IPsec, la manière dont ce trafic est sécurisé et chiffré, et la
façon dont les homologues IPsec sont authentifiés
Recommandations en matière d'utilisation
de la sécurité IPsec

Utilisations recommandées de la sécurité IPsec :

• Authentification et chiffrement du trafic d'hôte à hôte


• Authentification et chiffrement du trafic aux serveurs
• Combinaison L2TP/IPsec pour les connexions VPN
• Tunneling entre sites
• Application de réseaux logiques
Outils utilisés pour configurer la sécurité IPsec

Pour configurer la sécurité IPsec, vous pouvez utiliser :

• Console MMC Pare-feu Windows avec fonctions avancées


de sécurité (utilisée pour Windows Server 2008 et
Windows Vista)
• Console MMC Stratégie de sécurité IP (utilisée pour les
environnements mixtes et pour configurer des stratégies qui
s'appliquent à toutes les versions de Windows)
• Outil en ligne de commande netsh
Que sont les règles de sécurité de connexion ?

Les règles de sécurité de connexion impliquent :


• L'authentification de deux ordinateurs avant
qu'ils ne puissent commencer à communiquer
• La sécurisation des informations envoyées entre
deux ordinateurs
• L'échange de clé, l'authentification, l'intégrité
des données et le chiffrement de données
(facultativement)

Lien entre les règles de pare-feu et les règles


de connexion :
• Les règles de Pare-feu autorisent le trafic à passer,
mais ne sécurisent pas ce trafic
• Les règles de sécurité de connexion peuvent
sécuriser le trafic, mais la création d'une règle
de sécurité de connexion n'autorise pas le trafic
à franchir le pare-feu
Démonstration : Configuration des paramètres Ipsec
généraux

Dans cette démonstration, vous allez voir comment


configurer les paramètres IPsec généraux dans le
Pare-feu Windows avec fonctions avancées de sécurité
Leçon 2 : Configuration des règles de sécurité
de connexion
• Choix d'un type de règle de sécurité de connexion

• Que sont les points de terminaison ?

• Choix des conditions d'authentification

• Méthodes d'authentification

• Détermination d'un profil d'utilisation

• Démonstration : Configuration d'une règle de sécurité


de connexion
Choix d'un type de règle de sécurité de connexion

Type de règle Description

Limite les connexions en fonction des critères


Isolation
d'authentification que vous définissez

• Exempte des ordinateurs spécifiques, ou un groupe


ou une plage d'adresses IP, de la nécessité de
Exemption s'authentifier
d'authentification • Accorde l'accès aux ordinateurs d'infrastructure
avec lesquels cet ordinateur doit communiquer
avant que l'authentification ne se produise

Authentifie deux ordinateurs spécifiques, deux groupes


Serveur à serveur d'ordinateurs, deux sous-réseaux ou un ordinateur
spécifique et un groupe d'ordinateurs ou un sous-réseau

Fournit des communications sécurisées entre


Tunnel deux ordinateurs homologues par le biais de points
de terminaison de tunnel (tunnels IPsec VPN ou L2TP)

Vous permet de créer une règle avec


Personnalisée
des paramètres spéciaux
Que sont les points de terminaison ?
Mode de transport ESP

HDR IP Données

HDR Données HDR HDR


HDR IP ESP Données ESP ESP

Mode de tunnel ESP

HDR IP Données

Nouveau HDR Données HDR HDR


HDR IP ESP chiffré ESP ESP
Choix des conditions d'authentification

Option Description
Demande que tout le trafic
Demander l'authentification
entrant/sortant soit authentifié,
des connexions entrantes
mais autorise la connexion
et sortantes
si l'authentification échoue
• Exige que le trafic entrant soit
Imposer l'authentification authentifié et, à défaut, bloqué
des connexions entrantes
et demander l'authentification • Le trafic sortant peut être
des connexions sortantes authentifié mais il est autorisé
si l'authentification échoue

Imposer l'authentification
Exige que tout le trafic entrant/sortant
des connexions entrantes
soit authentifié ou, à défaut, bloqué
et sortantes
Méthodes d'authentification
Méthode Points clés

Utilise la méthode d'authentification configurée sous l'onglet


Par défaut
Paramètres IPsec

Ordinateur Demande ou exige l'authentification de l'utilisateur


et utilisateur et de l'ordinateur avant la poursuite des communications ;
(Kerberos V5) l'appartenance à un domaine est requise

Demande ou exige l'authentification de l'ordinateur en utilisant


Ordinateur Kerberos V5
(Kerberos V5)
Appartenance à un domaine requise

Utilisateur Demande ou exige l'authentification de l'utilisateur en utilisant


(Kerberos V5) Kerberos V5 ; l'appartenance à un domaine est requise

• Demande ou exige un certificat d'ordinateur valide ;


requiert au moins une autorité de certification
Certificat
d'ordinateur • N'accepte que les certificats d'intégrité : demande ou
exige un certificat d'intégrité valide pour l'authentification ;
exige la protection d'accès réseau IPsec

Possibilité de configurer n'importe quelle méthode disponible ;


Avancée vous pouvez spécifier les méthodes à utiliser pour la Première
authentification et la Seconde authentification
Détermination d'un profil d'utilisation

Les paramètres de sécurité peuvent changer dynamiquement


selon le type d'emplacement réseau

Windows prend en charge trois types de réseaux, et les


programmes peuvent utiliser ces emplacements pour appliquer
automatiquement les options de configuration appropriées :
• Domaine : sélectionné lorsque l'ordinateur est membre
d'un domaine
• Privé : réseaux approuvés par l'utilisateur (réseau domestique
ou de petite entreprise)
• Public : valeur par défaut pour les réseaux nouvellement détectés ;
en général, les paramètres les plus restrictifs sont attribués en
raison des risques de sécurité présents sur les réseaux publics

Le type d'emplacement réseau est très utile sur les ordinateurs


portables qui sont susceptibles de passer d'un réseau à un autre
Démonstration : Configuration d'une règle
de sécurité de connexion

Dans cette démonstration, vous allez voir comment


configurer une règle de sécurité de connexion
Leçon 3 : Configuration de la contrainte de mise
en conformité NAP IPsec
• Contrainte de mise en conformité IPsec pour
les réseaux logiques
• Processus de contrainte de mise en conformité NAP IPsec

• Conditions requises pour déployer la contrainte de mise


en conformité NAP IPsec
Contrainte de mise en conformité IPsec pour
les réseaux logiques
HRA Serveur d'administration NAP
VPN Stratégies de réseau Stratégies
802.1X de contrôle d'intégrité NAP
Agents d'intégrité DHCP Stratégies de demande de
système Agent NAP Proxy NPS connexion Programmes de
Clients de contrainte de validation d'intégrité système
mise en conformité NAP

Agents d'intégrité
système Agent NAP
Serveurs de Serveurs NPS Clients de contrainte de
Client NAP contrainte de mise mise en conformité NAP
non conforme en conformité NAP
Services de certificats
Serveurs de messagerie
Serveurs de stratégie NAP
Client NAP
conforme
Client non Serveurs
compatible NAP Serveurs sécurisés
de mise à jour

Réseau de Réseau de Réseau sécurisé


délimitation délimitation
Processus de contrainte de mise
en conformité NAP IPsec
La contrainte de mise
en conformité NAP IPsec
comprend :
• Validation de stratégies
Serveur VPN
• Contrainte de mise Périphériques
en conformité NAP Active
Directory
IEEE 802.1X
• Restriction du réseau
• Mise à jour
• Analyse continue
de la conformité

Autorité HRA

Internet
Serveur
Serveur de stratégie
Réseau DHCP Intranet de contrôle
de périmètre d'intégrité NAP

Réseau
restreint

Serveurs de
Client NAP avec
mise à jour
accès limité
Conditions requises pour déployer la contrainte
de mise en conformité NAP IPsec

Conditions requises pour déployer la contrainte


de mise en conformité NAP IPsec :

 Active Directory

 Services de certificats Active Directory

 Serveur NPS

 Autorité HRA
Atelier pratique : Configuration de la contrainte
de mise en conformité NAP IPsec
• Exercice 1 : Préparation de l'environnement réseau pour
la contrainte de mise en conformité NAP IPsec
• Exercice 2 : Configuration et évaluation de la contrainte
de mise en conformité NAP IPsec

Informations d'ouverture de session


Ordinateurs NYC-DC1, NYC-CL1,
virtuels NYC-CL2

Nom d'utilisateur Administrateur


Mot de passe Pa$$w0rd

Durée approximative : 60 minutes


Révision de l'atelier pratique
• Que se passe-t-il si vous avez des ordinateurs de groupe
de travail qui doivent être conformes à la protection d'accès
réseau et que vous installez le serveur de certificats en
tant qu'autorité de certification d'entreprise et non en tant
qu'autorité de certification autonome ?
• Dans quelles circonstances l'exemption d'authentification
peut-elle être utile dans une règle de sécurité de connexion ?
Révision du module et éléments à retenir
• Questions de révision

• Idées fausses couramment répandues sur la sécurité IPsec

• Avantages de la sécurité IPsec

• Outils