Les besoins en matière de sécurité de réseau, déjà considérables à l’heure actuelle, ne cessent d’augmenter. Mais il ne suffit pas de détenir des mécanismes d’authentification robustes et des coupe-feu parfaitement configurés pour être à l’abri. La sécurité IP nécessite également une protection contre toute interception ou modification des données échangées sur le réseau interne. En effet, n’importe quel utilisateur est maintenant capable d’utiliser un sniffer pour capturer les paquets d’informations correspondant à l’ensemble des sessions qui transitent par le réseau local. Une entreprise risque ainsi d’être extrêmement sensible face à une attaque menée depuis le réseau interne par des employés ou des sous-traitants. En outre, les coupe-feu ne protègent pas contre ce type d’attaques.Pour éviter cela, l’IETF (Internet Engineering Task Force) a conçu le protocole IPSec (IP Secure), qui prend en charge l’authentification, l’intégrité des données et leur chiffrement au niveau du réseau. Windows 2000 met en ?”uvre IPSec sous la couche de transport afin que les applications puissent bénéficier de manière transparente de ses services de sécurité sans nécessiter de modifications. IPSec s’insère au c?”ur de la sécurité inhérente à Windows 2000.Considérons, dans cet article, le scénario où vous ne voulez pas sécuriser tous les paquets transitant sur votre réseau avec IPSec, mais seulement le trafic échangé entre vos stations de travail et un certain nombre de serveurs sensibles, et entre ces serveurs eux-mêmes, tous étant sous Windows 2000. Ces serveurs sensibles peuvent être par exemple vos contrôleurs de domaine, qui s’échangent du trafic de réplication d’Active Directory contenant des données sur les comptes utilisateurs. Vous allez donc configurer chaque client pour qu’il accepte les connexions IPSec, et les serveurs sensibles pour qu’ils imposent l’établissement de connexions sécurisées par IPSec. Vous utiliserez pour cela les Stratégies de Groupe (ou GPO pour Group Policy Object) de votre domaine dans “Active Directory”.
1. Ouvrez la stratégie de groupe de vos stations de travail
Bien que tout système Windows 2000 ait sa propre GPO locale, il est déconseillé de l’utiliser pour configurer chaque machine, car toute autre GPO configurée dans “Active Directory” écrase, au moment où elle est appliquée, la GPO locale. Vous allez donc configurer vos GPO directement dans “Active Directory”.Pour configurer IPSec, placez-vous sur votre contrôleur de domaine et ouvrez l’outil d’administration “Utilisateurs et ordinateurs Active Directory”. Faites un clic droit sur le n?”ud correspondant à votre domaine, cliquez sur l’onglet “Stratégie de groupe”, sur “Default Domain Policy” puis sur le bouton “Modifier”. Une MMC intitulée “Stratégie de groupe” s’ouvre alors.
2. Configurez la stratégie IPSec des stations de travail
Naviguez jusqu’à “Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégie de sécurité IP sur Active Directory”. Vous obtenez alors la fenêtre présentée en figure 1. Trois stratégies prédéfinies sont présentes par défaut, mais aucune n’est activée. Si vous choisissez la stratégie “Client (Respond Only)”, le client communiquera sans IPSec, sauf si un serveur lui demande d’utiliser IPSec. Vous allez adapter cette stratégie et l’appliquer à l’ensemble des stations de travail du domaine. Pour cela, faites un clic droit sur la stratégie et choisissez “Attribuer”.
3. Choisissez la stratégie IPSec de vos serveurs
Pour l’instant, aucune machine du domaine n’utilise encore IPSec car aucune d’entre elles ne le réclame. Pour que ce soit le cas, il faut appliquer une stratégie IPSec différente au niveau des serveurs qui contiennent les informations sensibles évoquées plus haut. Vous pouvez leur appliquer les 2 autres stratégies : Secure Server (Require Security), qui impose l’utilisation d’IPSec et coupe la connexion en cas d’échec de négociation, ou Server (Request Security), qui demande l’utilisation d’IPSec, mais accepte de communiquer en clair en cas d’échec de négociation.Ces stratégies utilisent le noyau Kerberos pour l’authentification réciproque du client et du serveur. Au sein d’un domaine ou d’une forêt, cela ne pose pas de problème car tous les domaines d’une forêt bénéficient de relations d’approbation transitives et bidirectionnelles. En revanche, pour utiliser IPSec entre des machines n’appartenant pas à la même forêt, il sera nécessaire de créer des stratégies personnalisées qui utiliseront des clés partagées ou des certificats afin de permettre l’authentification. Pour que toutes les communications avec vos serveurs sensibles soient sécurisées par IPSec, vous allez choisir la stratégie Secure Server.
4. Configurez la stratégie IPSec de vos serveurs
Vous ne pouvez pas configurer la stratégie IPSec des serveurs au même endroit que la stratégie des stations de travail ci-dessus (dans “Default Domain Policy”). Vous ne pouvez pas davantage utiliser la stratégie de sécurité locale des serveurs, car celle-ci serait alors écrasée par la stratégie configurée précédemment (Respond Only). Vous allez donc être obligé d’assigner la stratégie Secure Server à une Unité organisationnelle (OU). Pour cela, dans l’outil d’administration “Utilisateurs et ordinateurs Active Directory”, créez une OU : faites un clic droit sur le n?”ud correspondant à votre domaine et choisissez “Nouveau/Unité d’organisation”. Entrez par exemple le nom “Ordinateurs sensibles”.Ensuite, déplacez-vous dans “Computers” et/ou “Domain Controllers”, cliquez sur les serveurs contenant des données sensibles et choisissez “Déplacer”. Sélectionnez alors “Ordinateurs sensibles” (voir figure 3). À l’issue de l’opération, tous les serveurs devant utiliser IPSec doivent se trouver dans cette même OU.
5. Créez la GPO de votre Unité organisationnelle
Pour cela, faites un clic droit sur “Ordinateurs sensibles”, choisissez “Propriétés” et cliquez sur l’onglet “Stratégie de groupe”. Activez alors le bouton “Nouveau”, entrez le nom de votre stratégie et cliquez sur “Modifier”. Vous retrouvez la fenêtre d’édition des GPO que vous avez utilisée lors de l’étape 1. Naviguez alors jusqu’à “Stratégie de sécurité IP sur Active Directory” comme précédemment, et activez la stratégie “Secure Server (Require Security)” par un clic droit.Ainsi, Windows 2000 appliquera la GPO par défaut à tous les ordinateurs, sauf les serveurs sensibles que vous avez réunis dans la même OU. IPSec est maintenant configuré sur votre réseau.
6. Contrôlez l’utilisation d’IPSec
Pour contrôler la bonne utilisation d’IPSec, utilisez l’outil IPSecMon : dans le menu “Démarrer”, choisissez “Exécutez” et saisissez “ipsecmon”. Il est possible de raccourcir le délai d’actualisation dans les options afin de suivre les stratégies utilisées (figure 4 ). Vous pouvez également recourir à un sniffer réseau pour vérifier que les paquets échangés entre vos clients et vos serveurs sensibles sont bien sécurisés, et que leur contenu est chiffré. Vous êtes assurés à présent qu’aucun utilisateur ne peut intercepter les mots de passe qui transitent d’habitude en clair sur votre réseau.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.