S41 Chapitre8 : Protection du trafic à l’aide de la sécurité IPSec et de certificats S41 Chapitre8 : Protection du trafic à l’aide de la sécurité IPSec

Chapitre8 : Protection du trafic à l’aide de la sécurité IPSec et de certificats

Chapitre 8 : Protection du trafic réseau à l'aide de la sécurité IPSec
et de certificats
8.1 Implémentation de la sécurité IPSec
8.1.1 Qu’est-ce que la sécurité IPSec ?
La sécurité IPSec correspond à un ensemble de normes industrielles qui vérifient,
authentifient et cryptent les données au niveau des paquets IP.
La sécurité IPSec permet de protéger les données lors de transmissions réseau.
L’administrateur définit une série de règles qui forment une stratégie IPSec. Ces règles
contiennent des filtres qui spécifient les types de trafic qui doivent être cryptés, signés
numériquement ou les deux. Ce processus est transparent pour l’utilisateur et les applications
qui initient la transmission des données.
La sécurité IPSec ne peut pas crypter certains types de trafic, tels que les diffusions, les
multidiffusions et les paquets de protocole Kerberos.
La sécurité IPSec présente également les avantages suivants :
• Authentification mutuelle avant et pendant les communications
• Confidentialité grâce au cryptage du trafic IP et à l’authentification numérique des
paquets
• Intégrité du trafic IP en rejetant tout trafic modifié
• Protection contre les attaques de relecture
8.1.2 De quelle manière la sécurité IPSec protège-t-elle le trafic ?
La configuration IPSec est définie via une stratégie locale ou une stratégie de groupe dans
le service d’annuaire Active Directory:
Les stratégies IPSec sont remises à tous les ordinateurs ciblés : la stratégie indique au pilote
IPSec comment se comporter et définit les associations de sécurité qui peuvent être établies.
Les associations de sécurité définissent, d’une part, les protocoles de cryptage qui sont utilisés
avec les types de trafic et, d’autre pat, les méthodes d’authentification qui sont négociées.
L’association de sécurité est négociée : le module IKE négocie l’association de sécurité. Le
module IKE combine deux protocoles : le protocole ISAKMP (Internet Security Association and
Key Management Protocol) et le protocole Oakley Key Determination Protocol. Si un client
requiert des certificats à des fins d’authentification et que l’autre client requiert le protocole
Kerberos, le module IKE ne pourra pas établir une association de sécurité entre ces deux
ordinateurs.
Les paquets IP sont cryptés : une fois que l’association de sécurité a été établi, le pilote IPSec
analyse tout le trafic IP, compare le trafic aux filtres définis et, s’il en a été instruit, crypte ou
signe le trafic.
8.1.3 Qu’est-ce qu’une stratégie de sécurité IPSec ?
Une stratégie de sécurité IPSec comprend une ou plusieurs règles qui déterminent le
comportement de la sécurité IPSec.
La sécurité IPSec s’implémente par le biais d’une stratégie. Chaque stratégie peut contenir
plusieurs règles, mais vous ne pouvez attribuer qu’une seule stratégie à la fois sur un
ordinateur quelconque. Vous devez combiner toutes les règles souhaitées dans une seule
stratégie. Chaque règle comprend les éléments suivants :
• Un filtre : le filtre spécifie à la stratégie le type de trafic auquel s’applique l’action de filtrage.
Par exemple, vous pouvez avoir un filtre qui identifie uniquement le trafic HTTP (Hypertext
Transfer Protocol) ou FTP (File Transfer Protocol).
• Une action de filtrage : l’action de filtrage spécifie à la stratégie la procédure à suivre si le
trafic correspond au filtre. Par exemple, vous pouvez spécifier à la sécurité IPSec de
bloquer tout le trafic FTP et forcer le cryptage de tout le trafic HTTP. L’action de filtrage peut
aussi spécifier à la stratégie les algorithmes de hachage et de cryptage à utiliser.
• Une méthode d’authentification : les trois méthodes d’authentification possibles sont les
certificats, le protocole Kerberos et une clé pré-partagée. Chaque règle peut spécifier
plusieurs méthodes d’authentification.
Dans Windows 2000 et versions ultérieures, trois stratégies configurées par défaut sont
disponibles :
• Client (en réponse seule) : si un ordinateur demande au client d’utiliser la sécurité IPSec,
il répondra avec la sécurité IPSec.
• Serveur (demandez la sécurité) : Cette stratégie essaie toujours d’utiliser la sécurité
IPSec mais peut revenir à des communications non sécurisées si un client n’est pas
configuré avec une stratégie IPSec.
• Sécuriser le serveur (nécessite la sécurité) : Si cette stratégie est attribué, l’ordinateur
peut uniquement communiquer via la sécurité IPSec et n’effectuera plus de
communications non sécurisées.
8.1.4 Fonctionnement conjoint des stratégies IPSec
Vous ne devez pas considérer les stratégies comme des entités individuelles. Les deux
ordinateurs qui négocient une association de sécurité doivent avoir des stratégies
complémentaires. Le tableau de la diapositive indique les résultats escomptés lorsque les
stratégies par défaut fonctionnent conjointement.
8.2 Implémentation de la sécurité IPSec avec des certificats
8.2.1 Qu’est-ce qu’un certificat ?
Un certificat X.509, parfois appelé certificat numérique, est une forme d’identification
électronique communément utilisée pour authentifier et protéger l’échange d’informations sur
des réseaux ouverts, tels qu’Internet, les extranets et les intranets.

Professeur : Halima HOUSNY Page 1 sur 4 Professeur : Halima HOUSNY Page 2 sur 4
S41 Chapitre8 : Protection du trafic à l’aide de la sécurité IPSec et de certificats S41 Chapitre8 : Protection du trafic à l’aide de la sécurité IPSec et de certificats

Un certificat lie de manière sécurisée une clé publique à l’entité qui détient la clé privée
correspondante.
La clé publique : Elle transite sur le segment de réseau non sécurisé (Internet) et permet au
destinataire de vérifier la signature des données transmises.
La clé privée : Elle est confidentielle et permet à l’émetteur de signer le message à
transmettre
Un émetteur de certificat, appelé Autorité de certification, signe numériquement les
certificats. Les certificats peuvent être émis pour un utilisateur, un ordinateur ou un service, tel
que la sécurité IPSec.
Une Autorité de certification est chargée d’authentifier et de valider les clés de cryptage, de
décryptage et d’authentification. Après avoir vérifié l’identité du propriétaire d’une clé, l’Autorité
de certification distribue les clés publiques en émettant des certificats X.509. Ces derniers
contiennent la clé publique et un ensemble d’attributs.
Un certificat contient les informations suivantes :
Clés pré-partagées : une clé pré-partagée est une chaîne de caractères aléatoires qui sert
de mot de passe entre deux hôtes IPSec. Les clés pré-partagées n’offrent pas le même niveau
de sécurité que le protocole Kerberos ou les certificats car elles sont stockées en texte clair
dans la stratégie IPSec.
8.3 Analyse de la sécurité IPSec
8.3.1 Moniteur de sécurité IP
Le composant logiciel enfichable Moniteur de sécurité IP vous permet d’afficher des détails
sur les stratégies IPSec locales et les stratégies attribuées au domaine.
Vous pouvez par exemple afficher les informations suivantes : les détails de la stratégie
IPSec active, notamment le nom, la description, la date de la dernière modification, le magasin,
le chemin, l’unité d’organisation et le nom de l’objet Stratégie de groupe ; aussi les filtres
génériques du mode principal et du mode rapide, les filtres spécifiques, les statistiques et les
associations de sécurité.

• la clé cryptographique publique de la paire de clés publique et privée du sujet du 8.3.2 Comment arrêter et démarrer les services IPSec
certificat ; Pour arrêter les services IPSec en utilisant l’invite de commande, utilisez la commande net
• des informations sur le sujet qui a demandé le certificat ; stop policyagent.
• le nom unique X.500 de l’utilisateur ou de l’ordinateur ;
• l’adresse de messagerie du propriétaire du certificat ; Pour démarrer les services IPSec en utilisant l’invite de commande, utilisez la commande
• des détails sur l’Autorité de certification ; net start policyagent.
• les dates d’expiration ; Pour démarrer le service Routage et accès distant en utilisant l’invite de commande, utilisez
• le hachage du contenu du certificat pour garantir l’authenticité (signature numérique). la commande net start remoteaccess.
8.2.2 Utilisations courantes des certificats Pour arrêter le service Routage et accès distant en utilisant l’invite de commande, utilisez la
commande net stop remoteaccess.
Utilisations des certificats Description
Signature numérique Utilise la clé publique dans un certificat pour vérifier que les
données ont été signées avec la clé privée correspondante
Système de fichiers EFS Utilise la clé publique dans un certificat pour crypter les clés
(Encrypting File System) de cryptage
Authentification Internet Vérifie l’identité d’un serveur Web pour les clients Web. Les
serveurs Web peuvent aussi utiliser des certificats pour
vérifier l’identité des clients Web
Sécurité IP (IPSec) Vérifie l’identité des ordinateurs et crypte les données
lorsqu’elles sont transmises sur le réseau
Messagerie sécurisé Vérifie les messages électroniques signes et décrypte
les messages électroniques
Ouverture de session par carte Vérifie l’identité d’un utilisateur à l’ouverture de session par
à puce carte à puce. Protocole EAP-TLS
Signature du code logiciel Vérifie l’identité d’un éditeur de logiciels
En utilisant des certificats d’une Autorité de certification approuvée dans le but d’authentifier
deux hôtes IPSec, une entreprise peut dialoguer avec d’autres organisations qui approuvent la
même Autorité de certification. Vous pouvez aussi utiliser des certificats pour activer le service
Routage et accès distant de Windows et communiquer de manière sécurisée via Internet avec
un routeur tiers qui prend en charge la sécurité IPSec. Les deux autres méthodes permettant
d’authentifier deux hôtes IPSec sont les suivantes :
Protocole Kerberos : pour le trafic entre ordinateurs dans la même forêt, le protocole
Kerberos par défaut constitue la solution d’authentification la plus simple pour la sécurité IPSec
et ne nécessite aucune configuration.

Professeur : Halima HOUSNY Page 3 sur 4 Professeur : Halima HOUSNY Page 4 sur 4