Procédure : utilisation d'IPSec pour le filtrage des ports et l'authentification
Dernière mise à jour le 31 août 2004
Sur cette page
Objectifs
S'applique à
Comment utiliser ce module
Résumé
À savoir avant de commencer
Limitation des communications avec le serveur Web
Limitation des communications avec le serveur de base de données
Limitation des communications de serveur à serveur
Utilisation des outils IPSec
Informations complémentaires
Objectifs
Ce module vous permettra :
d'utiliser IPSec afin de limiter les protocoles et les ports utilisables par les clients pour se connecter à un serveur Web Internet Information Services (IIS) ;
d'utiliser IPSec afin de limiter les protocoles et les ports utilisables par les clients pour se connecter à SQL Server ;
d'utiliser IPSec pour l'authentification de serveur à serveur.
S'applique à
Ce module s'applique aux produits et technologies suivants :
système d'exploitation Microsoft® Windows® 2000 Server ou Windows Server™ 2003 ;
SQL Server 2000.
Comment utiliser ce module
Pour tirer le meilleur parti de ce module :
- Lisez le document « IP Security for Windows 2000 Server », accessible à l'adresse http://www.microsoft.com/windows2000/techinfo/howitworks/security/ip_security.asp. Il s'agit d'une introduction à IPSec.
Résumé
Le protocole de sécurité Internet IPSec fournit des services de cryptage, d'intégrité et d'authentification applicables au trafic réseau sur IP. Comme IPSec offre une protection de serveur à serveur, il peut être utilisé pour contrer les menaces internes dirigées contre le réseau telles que l'écoute clandestine, la falsification, le détournement de session, l'usurpation d'adresse IP et d'autres types d'attaques à base de mots de passe. IPSec fonctionne de manière complètement transparente pour les autres applications, car ses services de cryptage, d'intégrité et d'authentification sont mis en œuvre au niveau de l'acheminement des données. Ceci signifie que les applications continuent à communiquer normalement les unes avec les autres à l'aide de ports TCP et UDP.
Ce module explique comment améliorer la sécurité des serveurs Web et de SQL Server à l'aide d'IPSec afin de limiter les protocoles et les ports utilisables pour communiquer avec les serveurs. Il indique également comment configurer IPSec pour fournir des services d'authentification entre deux serveurs.
À savoir avant de commencer
Avant de commencer à configurer IPSec, tenez compte des informations suivantes.
Identification des besoins en matière de protocoles et de ports
Avant de définir et d'appliquer des stratégies IPSec pour bloquer les ports et les protocoles, sachez quelles communications devront être sécurisées, notamment les ports et les protocoles utilisés au quotidien. Évaluez les besoins à satisfaire en matière de protocoles et de ports pour l'administration à distance, la communication entre applications et l'authentification.
IPSec ne sécurise pas toutes les communications
Plusieurs types de trafic IP sont exempts de filtrage. Pour plus d'informations, reportez-vous à l'article 253169 de la base de connaissances Microsoft, « Traffic That Can and Cannot Be Secured by IPSec », accessible à l'adresse : http://support.microsoft.com/default.aspx?scid=253169.
IPSec et les pare-feu
Si un pare-feu sépare deux hôtes qui utilisent IPSec pour sécuriser les communications, ce pare-feu doit ouvrir les ports suivants :
port TCP 50 pour le trafic IPSec EPS (Encapsulating Security Protocol) ;
port TCP 51 pour le trafic IPSec AH (Authentication header) ;
port UDP 500 pour le trafic IKE de négociation de clés de sécurité IP (Internet Key Exchange).
Filtres, actions de filtrage et règles
Une stratégie IPSec est constituée d'un ensemble de filtres, d'actions de filtrage et de règles.
Filtres
Un filtre est utilisé pour l'examen du trafic. Il comprend les éléments suivants :
une adresse ou un ensemble d'adresses IP source ;
une adresse ou un ensemble d'adresses IP de destination ;
un protocole IP, tel que TCP, UDP ou « n'importe lequel » ;
des ports source et destination (uniquement pour TCP ou UDP).
Remarque : une liste de filtres IP sert à regrouper plusieurs filtres afin que plusieurs adresses IP et protocoles puissent être associés dans un filtre unique.
Actions de filtrage
Une action de filtrage définit les tâches à exécuter lors de l'invocation d'un filtre spécifique. Il peut s'agir d'une des opérations suivantes :
Autoriser. Le trafic n'est pas sécurisé ; l'envoi et la réception sont autorisés sans intervention.
Refuser. Le trafic n'est pas autorisé.
Négocier la sécurité. Les points finals doivent convenir d'une méthode sécurisée à utiliser pour communiquer. En cas de désaccord sur la méthode à appliquer, la communication ne peut pas se faire. En cas d'échec de la négociation, vous pouvez indiquer si toutes les communications non sécurisées doivent faire l'objet d'une autorisation ou d'un refus.
Règles
Une règle associe un filtre à une action de filtrage et elle est définie par une stratégie IPSec.
Limitation des communications avec le serveur Web
L'exemple suivant vous montre comment utiliser IPSec pour limiter les communications avec un serveur Web au port 80 (pour le trafic HTTP) et au port 443 (pour le trafic HTTPS utilisant SSL.) Cette opération est fréquemment requise pour les serveurs Web exposés à Internet.
Remarque : après application de la procédure ci-dessous, les communications seront limitées aux ports 80 et 443. Dans le monde réel, vous aurez besoin d'autres canaux de communication, notamment pour l'administration à distance, l'accès aux bases de données et l'authentification. Dans un environnement de production, une stratégie IPSec complète inclura toutes les communications autorisées.
Création d'actions de filtrage
Démarrez le composant logiciel enfichable MMC (Microsoft Management Console) Stratégie de sécurité locale.
Cliquez avec le bouton droit de la souris sur Stratégies de sécurité IPSec sur l'ordinateur local, puis cliquez sur Gérer les listes de filtres IP et les actions de filtrage.
Cliquez sur l'onglet Gérer les actions de filtrage.
Cliquez sur Ajouter pour créer une nouvelle action de filtrage, puis sur Suivant pour vous déplacer après la boîte de dialogue d'introduction de l'Assistant.
Tapez MyPermit pour indiquer le nom de la nouvelle action de filtrage. Cette action de filtrage est utilisée pour autoriser le trafic.
Cliquez sur Suivant.
Sélectionnez Autoriser, cliquez sur Suivant, puis sur Terminer.
Créez une deuxième action de filtrage appelée « MyBlock » en répétant les étapes 4 à 8. Cette fois-ci, sélectionnez Refuser à l'invite de la boîte de dialogue Action de filtrage.
Cliquez sur Fermer pour fermer la boîte de dialogue Gérer les listes de filtres IP et les actions de filtrage.
Création de filtres et de listes de filtres IP
Cliquez avec le bouton droit de la souris sur Stratégies de sécurité IPSec sur l'ordinateur local, puis cliquez sur Gérer les listes de filtres IP et les actions de filtrage.
Cliquez sur Ajouter pour créer une nouvelle liste de filtres IP, puis tapez MatchAllTraffic pour indiquer son nom.
Cliquez sur Ajouter pour créer un nouveau filtre et continuez à renseigner les boîtes de dialogue de l'Assistant Filtre IP en sélectionnant les options par défaut. Cette opération crée un filtre adapté à tous les types de trafic.
Cliquez sur Fermer pour fermer la boîte de dialogue Liste de filtres IP.
Cliquez sur Ajouter pour créer une nouvelle liste de filtres IP, puis tapez MatchHTTPAndHTTPS pour indiquer son nom.
Cliquez sur Ajouter, puis sur Suivant pour vous déplacer après la boîte de dialogue d'introduction de l'Assistant.
Sélectionnez Toute adresse IP à partir de la liste déroulante Adresse source, puis cliquez sur Suivant.
Sélectionnez Mon adresse IP à partir de la liste déroulante Adresse destination, puis cliquez sur Suivant.
Sélectionnez TCP à partir de la liste déroulante Sélectionnez un type de protocole, puis cliquez sur Suivant.
Sélectionnez Vers ce port puis spécifiez port 80.
Cliquez sur Suivant, puis sur Terminer.
Cliquez sur Ajouter, puis répétez les étapes 9 à 14 pour créer un autre filtre autorisant le trafic sur le port 443. Utilisez les valeurs suivantes pour créer un filtre autorisant TCP sur le port 443 :
Adresse source : Toute adresse IP
Adresse destination : Mon adresse IP
Protocole : TCP
Du port : N'importe lequel
Vers le port : 443
Après avoir effectué ces opérations, votre liste de filtres IP doit être similaire à celle contenue dans la figure 1.
Figure 1 Boîte de dialogue Liste de filtres IP
Après la création des actions de filtrage et des listes de filtres, il vous faut créer une stratégie et deux règles pour associer les filtres aux actions de filtrage.
Création et application d'une stratégie IPSec
Dans la fenêtre principale du composant logiciel enfichable Stratégie de sécurité locale, cliquez avec le bouton droit de la souris sur Stratégies de sécurité IPSec sur l'ordinateur local, puis cliquez sur Créer une stratégie de sécurité IPSec.
Cliquez sur Suivant pour vous déplacer après la première boîte de dialogue de l'Assistant.
Tapez MyPolicy pour indiquer le nom de la stratégie IPSec et Stratégie IPSec pour un serveur Web qui accepte le trafic vers TCP/80 et TCP/443 issu de n'importe quelle source comme description, puis cliquez sur Suivant.
Désélectionnez la case Activer la règle de réponse par défaut, cliquez sur Suivant, puis sur Terminer.
La boîte de dialogue Propriétés MyPolicy s'affiche afin de vous permettre de modifier les propriétés de la stratégie.
Cliquez sur Ajouter pour démarrer l'Assistant Règle de sécurité, puis sur Suivant pour vous déplacer après la boîte de dialogue d'introduction de l'Assistant.
Sélectionnez Cette règle ne spécifie aucun tunnel, puis cliquez sur Suivant.
Sélectionnez Toutes les connexions réseau, puis cliquez sur Suivant.
Sélectionnez Valeurs par défaut de Windows 2000 (protocole Kerberos V5), puis cliquez sur Suivant.
Sélectionnez la liste de filtres MatchHTTPAndHTTPS, puis cliquez sur Suivant.
Sélectionnez l'action de filtrage MyPermit, cliquez sur Suivant, puis sur Terminer.
Créez une deuxième règle en répétant les étapes 5 à 10. Au lieu de sélectionner MatchHTTPAndHTTPS et MyPermit, sélectionnez MatchAllTraffic et MyBlock.
Après la création de la deuxième règle, la boîte de dialogue Propriétés MyPolicy doit être similaire à celle représentée dans la figure 2.
Figure 2 Boîte de dialogue Propriétés MyPolicy
Votre stratégie IPSec est maintenant prête à l'emploi. Pour activer la stratégie, cliquez avec le bouton droit sur MyPolicy, puis cliquez sur Attribuer.
Récapitulatif de ce que vous venez de faire
Dans les trois procédures précédentes, vous avez effectué les actions suivantes :
Vous avez commencé par créer deux actions de filtrage : l'une étant destinée à autoriser le trafic, et l'autre à le refuser.
Ensuite, vous avez créé deux listes de filtres IP. La liste appelée MatchAllTraffic examine l'ensemble du trafic, indépendamment des ports utilisés. La liste appelée MatchHTTPAndHTTPS contient deux filtres qui examinent le trafic TCP issu de n'importe quelle adresse source à destination des ports TCP 80 et 443.
Ensuite, vous avez créé une stratégie IPSec en définissant une règle qui associe l'action de filtrage MyBlock à la liste de filtres MatchAllTraffic, et l'action de filtrage MyPermit à la liste de filtres MatchHTTPAndHTTPS. De ce fait, le serveur Web autorise uniquement le trafic TCP destiné au port 80 ou 443. Tout autre trafic fait l'objet d'un rejet.
Limitation des communications avec le serveur de base de données
Sur un serveur de base de données SQL Server dédié, il est souvent nécessaire de limiter les communications à un port SQL Server spécifique sur un protocole donné. Par défaut, SQL Server écoute le port TCP 1433, tandis que le port UDP 1434 est utilisé pour la négociation.
La procédure suivante limite les fonctions d'un serveur de base de données pour qu'il accepte uniquement les connexions entrantes sur les ports TCP 1433 et UDP 1434 :
Créez deux actions de filtrage : l'une étant destinée à autoriser le trafic, et l'autre à le refuser. Pour plus de détails, reportez-vous à la procédure de création d'actions de filtrage indiquée dans la rubrique « Limitation des communications avec le serveur Web », abordée précédemment dans ce module.
Créez deux listes de filtres : l'une examinant l'ensemble du trafic, et l'autre contenant deux filtres qui examinent le trafic TCP destiné au port 1433 et le trafic UDP destiné au port 1433. Pour plus de détails, reportez-vous à la rubrique « Création de filtres et de listes de filtres IP » de la section « Limitation des communications avec le serveur Web », abordée précédemment dans ce module. Les filtres requis sont récapitulés ci-dessous.
Saisissez les valeurs suivantes pour créer un filtre autorisant TCP sur le port 1433 :
Adresse source : Toute adresse IP
Adresse destination : Mon adresse IP
Protocole : TCP
Du port : N'importe lequel
Vers le port : 1433
Saisissez les valeurs suivantes pour créer un filtre autorisant UDP sur le port 1434 :
Adresse source : toute adresse IP
Adresse destination : mon adresse IP
Protocole : UDP
Du port : N'importe lequel
Vers le port : 1434
Créez et appliquez la stratégie IPSec en reprenant la procédure indiquée dans la rubrique « Limitation des communications avec le serveur Web », abordée précédemment dans ce module.
Limitation des communications de serveur à serveur
Vous pouvez également utiliser IPSec pour l'authentification des serveurs. Cette opération s'avère utile pour limiter la gamme de serveurs autorisés à se connecter à des serveurs d'application de couche intermédiaire ou à des serveurs de base de données. IPSec offre trois options d'authentification :
Kerberos
Pour utiliser Kerberos, les ordinateurs doivent :
faire partie d'un même domaine et d'une même arborescence ;
se trouver dans une plage spécifique d'adresses source ;
appartenir au même sous-réseau ;
utiliser des adresses IP statiques.
Clé privée pré-partagée
Pour bénéficier de l'authentification par clé privée pré-partagée, les deux ordinateurs doivent partager une clé de cryptage.
Authentification par certificat
Pour bénéficier de l'authentification par certificat, les deux ordinateurs doivent s'en remettre à une même autorité de certification (CA), à laquelle doit s'adresser le serveur qui effectue l'authentification pour obtenir et installer un certificat.
Dans cette section, vous allez mettre en place une authentification IPSec entre deux serveurs à l'aide d'une clé privée pré-partagée.
Pour effectuer une authentification de serveur à serveur
Démarrez le composant logiciel enfichable MMC Stratégie de sécurité locale.
Cliquez avec le bouton droit de la souris sur Stratégies de sécurité IPSec sur l'ordinateur local, puis cliquez sur Créer une stratégie de sécurité IP.
Tapez « MyAuthPolicy » pour en indiquer le nom, puis cliquez sur Suivant.
Désélectionnez la case Activer la règle de réponse par défaut.
Cliquez sur Suivant, puis sur Terminer. La boîte de dialogue Propriétés MyAuthPolicy s'affiche pour vous permettre de modifier les propriétés de la stratégie.
Cliquez sur Ajouter, puis cliquez trois fois sur Suivant.
Dans la boîte de dialogue Méthode d'authentification, sélectionnez Utiliser cette chaîne pour protéger l'échange de clés (clé pré-partagée).
Saisissez un jeu de caractères long quelconque dans la zone de texte, puis cliquez sur Suivant. La clé doit être copiée sur disquette ou sur CD. Elle est indispensable pour configurer le serveur communicant.
Dans la boîte de dialogue Liste de filtres IP, sélectionnez Tout le trafic IP, puis cliquez sur Suivant.
Dans la boîte de dialogue Action de filtrage, sélectionnez Demandez la sécurité (optionnel), puis cliquez sur Suivant.
Cliquez sur Terminer.
Testez votre application pour vérifier la configuration de la stratégie.
Utilisation des outils IPSec
Cette section présente deux outils de diagnostic IPSec utiles, qui sont disponibles dans le kit de ressources Windows 2000 :
Netdiag.exe
IPSecpol.exe
Netdiag.exe
Avant de créer une nouvelle stratégie, il convient de déterminer si votre système en dispose déjà. Vous pouvez pour cela appliquer la procédure suivante :
Pour vérifier l'existence d'une stratégie IPSec
Pour installer Netdiag.exe, exécutez le programme Setup.exe à partir du dossier \Support\Tools sur le CD Windows 2000 Server. Les outils sont installés dans le dossier C:\Program Files\Resource kit.
Exécutez la commande suivante à partir de la ligne de commande :
netdiag /test:ipsec
En cas d'absence de filtres, le message suivant s'affiche :
IP Security test . . . . . . . . . : Passed IPSec policy service is active, but no policy is assigned.
IPSecpol.exe
L'outil Stratégies de sécurité du protocole Internet permet d'automatiser la création de stratégies dans des registres locaux et distants. L'outil prend en charge des paramètres identiques à ceux qui peuvent être configurés à l'aide du composant logiciel enfichable MMC.
Téléchargez l'outil à partir du site Web Microsoft Windows 2000, accessible à l'adresse : http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/ipsecpol-o.asp.
Pour avoir des exemples détaillés d'utilisation d'Ipsecpol.exe afin de créer et de manipuler des règles IPSec, reportez-vous à l'article 813878 de la base de connaissances Microsoft, « Comment faire pour bloquer des ports et protocoles réseau spécifiques à l'aide de IPSec », accessible à l'adresse : http://support.microsoft.com/kb/13878.
Informations complémentaires
Pour plus d'informations, consultez les ressources suivantes :
Step-by-Step guide to IPSec, accessible à l'adresse http://www.microsoft.com/windows2000/techinfo/planning/security/ipsecsteps.asp
IP Security for Windows 2000 Server, accessible à l'adresse http://www.microsoft.com/windows2000/techinfo/howitworks/security/ip_security.asp.
« How To: Use IPSec to Provide Secure Communication Between Two Servers », accessible à l'adresse : http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnnetsec/html/SecNetHT18.asp.
l'article 313190 de la base de connaissances Microsoft, « COMMENT FAIRE : Utiliser les listes de filtres IP IPSec dans Windows 2000 », accessible à l'adresse : http://support.microsoft.com/kb/313190.
L'article 813878 de la base de connaissances Microsoft, « Comment faire pour bloquer des ports et protocoles réseau spécifiques à l'aide de IPSec », accessible à l'adresse : http://support.microsoft.com/kb/813878.
l'article 313195 de la base de connaissances Microsoft, « How To: Use IPSec Monitor in Windows 2000 », accessible à l'adresse : http://support.microsoft.com/default.aspx?scid=313195.
remarques sur la sécurité IPSec à l'adresse : http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/winxppro/proddocs/sag_IPSECsec_con.asp?frame=true.