Exporter (0) Imprimer
Développer tout

Règles de stratégies IPSec

Mis à jour: janvier 2005

S'applique à: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Règles de stratégie IPSec

Chaque stratégie IPSec se compose d'une ou de plusieurs règles qui déterminent le comportement de la sécurité IP (IPSec). La configuration des règles IPSec s'effectue au moyen de l'onglet Règles de la boîte de dialogue des propriétés d'une stratégie IPSec. Chaque règle IPSec contient les éléments de configuration suivants :

  • Liste de filtres

    Vous sélectionnez une seule liste de filtres composée d'un ou de plusieurs filtres de paquets prédéfinis décrivant les types de trafic auxquels s'applique l'action de filtrage associée à cette règle. La configuration des listes de filtres s'effectue au moyen de l'onglet Liste de filtres IP de la boîte de dialogue des propriétés d'une règle IPSec au sein d'une stratégie IPSec.

  • Action de filtrage

    Vous sélectionnez une seule action de filtrage constituée du type d'action (Autoriser, Bloquer ou Négocier la sécurité) à appliquer aux paquets correspondant à la liste de filtres. Dans le cas de l'action de filtrage Négocier la sécurité, les données de négociation contiennent une ou plusieurs méthodes de sécurité employées (par ordre de priorité) durant les négociations IKE, ainsi que d'autres paramètres IPSec. Chacune de ces méthodes détermine le protocole de sécurité (tel que AH ou ESP), les algorithmes cryptographiques et de hachage spécifiques, ainsi que les paramètres de régénération des clés de session à utiliser. La configuration de l'action de filtrage s'effectue au moyen de l'onglet Action de filtrage de la boîte de dialogue des propriétés d'une règle IPSec au sein d'une stratégie IPSec.

  • Méthodes d'authentification

    Vous pouvez configurer une ou plusieurs méthodes d'authentification (par ordre de préférence), qui seront utilisées pour l'authentification des homologues IPSec durant les négociations de mode principal. Les méthodes d'authentification disponibles sont le protocole Kerberos V5, l'utilisation d'un certificat émis par une Autorité de certification donnée ou une clé pré-partagée. La configuration des données de négociation s'effectue au moyen de l'onglet Méthodes d'authentification de la boîte de dialogue des propriétés d'une règle IPSec au sein d'une stratégie IPSec.

    Important

    • L'utilisation d'une authentification par clé pré-partagée est déconseillée dans la mesure où cette méthode d'authentification est relativement peu efficace. L'authentification par clé pré-partagée crée une clé principale moins sécurisée (qui peut produire une forme plus faible de cryptage) que les certificats ou que le protocole Kerberos V5. De plus, les clés pré-partagées sont stockées en texte en clair. Cette authentification est proposée à des fins d'interopérabilité et dans le but d'adhérer aux normes IPSec. Il est recommandé d'utiliser les clés pré-partagées à des fins de test uniquement et d'utiliser plutôt les certificats ou le protocole Kerberos V5 dans un environnement de production.

  • Point de terminaison du tunnel

    Indique si le trafic utilise le mode de tunnel et, si c'est le cas, l'adresse IP du point de terminaison du tunnel. Dans le cas du trafic sortant, ce point de terminaison est l'adresse IP de l'homologue du tunnel IPSec. Pour le trafic entrant, il s'agit d'une adresse IP locale. La configuration du point de terminaison du tunnel s'effectue au moyen de l'onglet Paramètres du tunnel de la boîte de dialogue des propriétés d'une règle IPSec au sein d'une stratégie IPSec. Pour plus d'informations, voir Mode Tunnel.

  • Type de connexion

    Indique si la règle s'applique à des connexions de réseau local (LAN, Local Area Network), d'accès à distance ou les deux. La configuration du type de connexion s'effectue au moyen de l'onglet Type de connexion de la boîte de dialogue des propriétés d'une règle IPSec au sein d'une stratégie IPSec.

Les règles d'une stratégie sont affichées dans Stratégies de sécurité IP par ordre alphabétique inverse, d'après le nom de la liste de filtres sélectionnée pour chaque règle. Il n'existe aucune méthode qui permette de spécifier l'ordre d'application des règles dans une stratégie. Le pilote IPSec organise automatiquement les règles de la liste de filtres de la plus spécifique à la moins spécifique. Ainsi, il applique une règle contenant une liste de filtres définissant des ports TCP et des adresses IP individuelles avant d'appliquer une règle comportant une liste de filtres qui définit toutes les adresses d'un sous-réseau.

Règle de réponse par défaut

La règle de réponse par défaut, qui peut être utilisée dans toutes les stratégies, présente comme paramètre de liste de filtres <Dynamique> et comme action de filtrage Réponse par défaut lorsque vous affichez la liste des règles à l'aide de la console Gestion de la stratégie de sécurité du protocole IP. La règle de réponse par défaut ne peut pas être supprimée, mais elle peut être désactivée. Elle est activée par défaut pour toutes les stratégies.

La règle de réponse par défaut sert à garantir que l'ordinateur répond aux demandes de communication sécurisée. Si aucune règle n'est définie dans la stratégie active d'un ordinateur qui demande une communication sécurisée, c'est la règle de réponse par défaut qui est appliquée et la sécurité est négociée. Par exemple, si l'ordinateur A communique de façon sécurisée avec l'ordinateur B et que, sur ce dernier, aucun filtre entrant n'est défini pour l'ordinateur A, c'est la règle de réponse par défaut qui est appliquée.

Vous pouvez configurer les méthodes de sécurité et les méthodes d'authentification de la règle de réponse par défaut. Le paramètre de liste de filtres <Dynamique> indique que la liste de filtres n'est pas configurée, mais que les filtres sont créés automatiquement suite à la réception des paquets de négociation IKE. L'action de filtrage Réponse par défaut indique que l'action du filtre (Autoriser, Bloquer ou Négocier la sécurité) ne peut pas être configurée. L'action Négocier la sécurité sera utilisée. Vous pouvez toutefois configurer les éléments suivants :

  • Les méthodes de sécurité et leur ordre de priorité sous l'onglet Méthodes de sécurité.

  • Les méthodes d'authentification et leur ordre de priorité sous l'onglet Méthodes d'authentification.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

Afficher:
© 2014 Microsoft