Procédure : utilisation d'IPSec pour le filtrage des ports et l'authentification

  • Article

Dernière mise à jour le 31 août 2004

Sur cette page

Objectifs
S'applique à
Comment utiliser ce module
Résumé
À savoir avant de commencer
Limitation des communications avec le serveur Web
Limitation des communications avec le serveur de base de données
Limitation des communications de serveur à serveur
Utilisation des outils IPSec
Informations complémentaires

Objectifs

Ce module vous permettra :

  • d'utiliser IPSec afin de limiter les protocoles et les ports utilisables par les clients pour se connecter à un serveur Web Internet Information Services (IIS) ;

  • d'utiliser IPSec afin de limiter les protocoles et les ports utilisables par les clients pour se connecter à SQL Server ;

  • d'utiliser IPSec pour l'authentification de serveur à serveur.

Haut de page

S'applique à

Ce module s'applique aux produits et technologies suivants :

  • système d'exploitation Microsoft® Windows® 2000 Server ou Windows Server™ 2003 ;

  • SQL Server 2000.

Haut de page

Comment utiliser ce module

Pour tirer le meilleur parti de ce module :

Haut de page

Résumé

Le protocole de sécurité Internet IPSec fournit des services de cryptage, d'intégrité et d'authentification applicables au trafic réseau sur IP. Comme IPSec offre une protection de serveur à serveur, il peut être utilisé pour contrer les menaces internes dirigées contre le réseau telles que l'écoute clandestine, la falsification, le détournement de session, l'usurpation d'adresse IP et d'autres types d'attaques à base de mots de passe. IPSec fonctionne de manière complètement transparente pour les autres applications, car ses services de cryptage, d'intégrité et d'authentification sont mis en œuvre au niveau de l'acheminement des données. Ceci signifie que les applications continuent à communiquer normalement les unes avec les autres à l'aide de ports TCP et UDP.

Ce module explique comment améliorer la sécurité des serveurs Web et de SQL Server à l'aide d'IPSec afin de limiter les protocoles et les ports utilisables pour communiquer avec les serveurs. Il indique également comment configurer IPSec pour fournir des services d'authentification entre deux serveurs.

Haut de page

À savoir avant de commencer

Avant de commencer à configurer IPSec, tenez compte des informations suivantes.

Identification des besoins en matière de protocoles et de ports

Avant de définir et d'appliquer des stratégies IPSec pour bloquer les ports et les protocoles, sachez quelles communications devront être sécurisées, notamment les ports et les protocoles utilisés au quotidien. Évaluez les besoins à satisfaire en matière de protocoles et de ports pour l'administration à distance, la communication entre applications et l'authentification.

IPSec ne sécurise pas toutes les communications

Plusieurs types de trafic IP sont exempts de filtrage. Pour plus d'informations, reportez-vous à l'article 253169 de la base de connaissances Microsoft, « Traffic That Can and Cannot Be Secured by IPSec », accessible à l'adresse : http://support.microsoft.com/default.aspx?scid=253169.

IPSec et les pare-feu

Si un pare-feu sépare deux hôtes qui utilisent IPSec pour sécuriser les communications, ce pare-feu doit ouvrir les ports suivants :

  • port TCP 50 pour le trafic IPSec EPS (Encapsulating Security Protocol) ;

  • port TCP 51 pour le trafic IPSec AH (Authentication header) ;

  • port UDP 500 pour le trafic IKE de négociation de clés de sécurité IP (Internet Key Exchange).

Filtres, actions de filtrage et règles

Une stratégie IPSec est constituée d'un ensemble de filtres, d'actions de filtrage et de règles.

  • Filtres

    Un filtre est utilisé pour l'examen du trafic. Il comprend les éléments suivants :

    • une adresse ou un ensemble d'adresses IP source ;

    • une adresse ou un ensemble d'adresses IP de destination ;

    • un protocole IP, tel que TCP, UDP ou « n'importe lequel » ;

    • des ports source et destination (uniquement pour TCP ou UDP).

    Remarque : une liste de filtres IP sert à regrouper plusieurs filtres afin que plusieurs adresses IP et protocoles puissent être associés dans un filtre unique.

  • Actions de filtrage

    Une action de filtrage définit les tâches à exécuter lors de l'invocation d'un filtre spécifique. Il peut s'agir d'une des opérations suivantes :

    • Autoriser. Le trafic n'est pas sécurisé ; l'envoi et la réception sont autorisés sans intervention.

    • Refuser. Le trafic n'est pas autorisé.

    • Négocier la sécurité. Les points finals doivent convenir d'une méthode sécurisée à utiliser pour communiquer. En cas de désaccord sur la méthode à appliquer, la communication ne peut pas se faire. En cas d'échec de la négociation, vous pouvez indiquer si toutes les communications non sécurisées doivent faire l'objet d'une autorisation ou d'un refus.

  • Règles

    Une règle associe un filtre à une action de filtrage et elle est définie par une stratégie IPSec.

Haut de page

Limitation des communications avec le serveur Web

L'exemple suivant vous montre comment utiliser IPSec pour limiter les communications avec un serveur Web au port 80 (pour le trafic HTTP) et au port 443 (pour le trafic HTTPS utilisant SSL.) Cette opération est fréquemment requise pour les serveurs Web exposés à Internet.

Remarque : après application de la procédure ci-dessous, les communications seront limitées aux ports 80 et 443. Dans le monde réel, vous aurez besoin d'autres canaux de communication, notamment pour l'administration à distance, l'accès aux bases de données et l'authentification. Dans un environnement de production, une stratégie IPSec complète inclura toutes les communications autorisées.

  • Création d'actions de filtrage

    1. Démarrez le composant logiciel enfichable MMC (Microsoft Management Console) Stratégie de sécurité locale.

    2. Cliquez avec le bouton droit de la souris sur Stratégies de sécurité IPSec sur l'ordinateur local, puis cliquez sur Gérer les listes de filtres IP et les actions de filtrage.

    3. Cliquez sur l'onglet Gérer les actions de filtrage.

    4. Cliquez sur Ajouter pour créer une nouvelle action de filtrage, puis sur Suivant pour vous déplacer après la boîte de dialogue d'introduction de l'Assistant.

    5. Tapez MyPermit pour indiquer le nom de la nouvelle action de filtrage. Cette action de filtrage est utilisée pour autoriser le trafic.

    6. Cliquez sur Suivant.

    7. Sélectionnez Autoriser, cliquez sur Suivant, puis sur Terminer.

    8. Créez une deuxième action de filtrage appelée « MyBlock » en répétant les étapes 4 à 8. Cette fois-ci, sélectionnez Refuser à l'invite de la boîte de dialogue Action de filtrage.

    9. Cliquez sur Fermer pour fermer la boîte de dialogue Gérer les listes de filtres IP et les actions de filtrage.

  • Création de filtres et de listes de filtres IP

    1. Cliquez avec le bouton droit de la souris sur Stratégies de sécurité IPSec sur l'ordinateur local, puis cliquez sur Gérer les listes de filtres IP et les actions de filtrage.

    2. Cliquez sur Ajouter pour créer une nouvelle liste de filtres IP, puis tapez MatchAllTraffic pour indiquer son nom.

    3. Cliquez sur Ajouter pour créer un nouveau filtre et continuez à renseigner les boîtes de dialogue de l'Assistant Filtre IP en sélectionnant les options par défaut. Cette opération crée un filtre adapté à tous les types de trafic.

    4. Cliquez sur Fermer pour fermer la boîte de dialogue Liste de filtres IP.

    5. Cliquez sur Ajouter pour créer une nouvelle liste de filtres IP, puis tapez MatchHTTPAndHTTPS pour indiquer son nom.

    6. Cliquez sur Ajouter, puis sur Suivant pour vous déplacer après la boîte de dialogue d'introduction de l'Assistant.

    7. Sélectionnez Toute adresse IP à partir de la liste déroulante Adresse source, puis cliquez sur Suivant.

    8. Sélectionnez Mon adresse IP à partir de la liste déroulante Adresse destination, puis cliquez sur Suivant.

    9. Sélectionnez TCP à partir de la liste déroulante Sélectionnez un type de protocole, puis cliquez sur Suivant.

    10. Sélectionnez Vers ce port puis spécifiez port 80.

    11. Cliquez sur Suivant, puis sur Terminer.

    12. Cliquez sur Ajouter, puis répétez les étapes 9 à 14 pour créer un autre filtre autorisant le trafic sur le port 443. Utilisez les valeurs suivantes pour créer un filtre autorisant TCP sur le port 443 :

      • Adresse source : Toute adresse IP

      • Adresse destination : Mon adresse IP

      • Protocole : TCP

      • Du port : N'importe lequel

      • Vers le port : 443

Après avoir effectué ces opérations, votre liste de filtres IP doit être similaire à celle contenue dans la figure 1.

Figure 1 Boîte de dialogue Liste de filtres IP

Après la création des actions de filtrage et des listes de filtres, il vous faut créer une stratégie et deux règles pour associer les filtres aux actions de filtrage.

  • Création et application d'une stratégie IPSec

    1. Dans la fenêtre principale du composant logiciel enfichable Stratégie de sécurité locale, cliquez avec le bouton droit de la souris sur Stratégies de sécurité IPSec sur l'ordinateur local, puis cliquez sur Créer une stratégie de sécurité IPSec.

    2. Cliquez sur Suivant pour vous déplacer après la première boîte de dialogue de l'Assistant.

    3. Tapez MyPolicy pour indiquer le nom de la stratégie IPSec et Stratégie IPSec pour un serveur Web qui accepte le trafic vers TCP/80 et TCP/443 issu de n'importe quelle source comme description, puis cliquez sur Suivant.

    4. Désélectionnez la case Activer la règle de réponse par défaut, cliquez sur Suivant, puis sur Terminer.

      La boîte de dialogue Propriétés MyPolicy s'affiche afin de vous permettre de modifier les propriétés de la stratégie.

    5. Cliquez sur Ajouter pour démarrer l'Assistant Règle de sécurité, puis sur Suivant pour vous déplacer après la boîte de dialogue d'introduction de l'Assistant.

    6. Sélectionnez Cette règle ne spécifie aucun tunnel, puis cliquez sur Suivant.

    7. Sélectionnez Toutes les connexions réseau, puis cliquez sur Suivant.

    8. Sélectionnez Valeurs par défaut de Windows 2000 (protocole Kerberos V5), puis cliquez sur Suivant.

    9. Sélectionnez la liste de filtres MatchHTTPAndHTTPS, puis cliquez sur Suivant.

    10. Sélectionnez l'action de filtrage MyPermit, cliquez sur Suivant, puis sur Terminer.

    11. Créez une deuxième règle en répétant les étapes 5 à 10. Au lieu de sélectionner MatchHTTPAndHTTPS et MyPermit, sélectionnez MatchAllTraffic et MyBlock.

Après la création de la deuxième règle, la boîte de dialogue Propriétés MyPolicy doit être similaire à celle représentée dans la figure 2.

Figure 2 Boîte de dialogue Propriétés MyPolicy

Votre stratégie IPSec est maintenant prête à l'emploi. Pour activer la stratégie, cliquez avec le bouton droit sur MyPolicy, puis cliquez sur Attribuer.

Récapitulatif de ce que vous venez de faire

Dans les trois procédures précédentes, vous avez effectué les actions suivantes :

  • Vous avez commencé par créer deux actions de filtrage : l'une étant destinée à autoriser le trafic, et l'autre à le refuser.

  • Ensuite, vous avez créé deux listes de filtres IP. La liste appelée MatchAllTraffic examine l'ensemble du trafic, indépendamment des ports utilisés. La liste appelée MatchHTTPAndHTTPS contient deux filtres qui examinent le trafic TCP issu de n'importe quelle adresse source à destination des ports TCP 80 et 443.

  • Ensuite, vous avez créé une stratégie IPSec en définissant une règle qui associe l'action de filtrage MyBlock à la liste de filtres MatchAllTraffic, et l'action de filtrage MyPermit à la liste de filtres MatchHTTPAndHTTPS. De ce fait, le serveur Web autorise uniquement le trafic TCP destiné au port 80 ou 443. Tout autre trafic fait l'objet d'un rejet.

Haut de page

Limitation des communications avec le serveur de base de données

Sur un serveur de base de données SQL Server dédié, il est souvent nécessaire de limiter les communications à un port SQL Server spécifique sur un protocole donné. Par défaut, SQL Server écoute le port TCP 1433, tandis que le port UDP 1434 est utilisé pour la négociation.

La procédure suivante limite les fonctions d'un serveur de base de données pour qu'il accepte uniquement les connexions entrantes sur les ports TCP 1433 et UDP 1434 :

  • Créez deux actions de filtrage : l'une étant destinée à autoriser le trafic, et l'autre à le refuser. Pour plus de détails, reportez-vous à la procédure de création d'actions de filtrage indiquée dans la rubrique « Limitation des communications avec le serveur Web », abordée précédemment dans ce module.

  • Créez deux listes de filtres : l'une examinant l'ensemble du trafic, et l'autre contenant deux filtres qui examinent le trafic TCP destiné au port 1433 et le trafic UDP destiné au port 1433. Pour plus de détails, reportez-vous à la rubrique « Création de filtres et de listes de filtres IP » de la section « Limitation des communications avec le serveur Web », abordée précédemment dans ce module. Les filtres requis sont récapitulés ci-dessous.

    • Saisissez les valeurs suivantes pour créer un filtre autorisant TCP sur le port 1433 :

      • Adresse source : Toute adresse IP

      • Adresse destination : Mon adresse IP

      • Protocole : TCP

      • Du port : N'importe lequel

      • Vers le port : 1433

    • Saisissez les valeurs suivantes pour créer un filtre autorisant UDP sur le port 1434 :

      • Adresse source : toute adresse IP

      • Adresse destination : mon adresse IP

      • Protocole : UDP

      • Du port : N'importe lequel

      • Vers le port : 1434

  • Créez et appliquez la stratégie IPSec en reprenant la procédure indiquée dans la rubrique « Limitation des communications avec le serveur Web », abordée précédemment dans ce module.

Haut de page

Limitation des communications de serveur à serveur

Vous pouvez également utiliser IPSec pour l'authentification des serveurs. Cette opération s'avère utile pour limiter la gamme de serveurs autorisés à se connecter à des serveurs d'application de couche intermédiaire ou à des serveurs de base de données. IPSec offre trois options d'authentification :

  • Kerberos

    Pour utiliser Kerberos, les ordinateurs doivent :

    • faire partie d'un même domaine et d'une même arborescence ;

    • se trouver dans une plage spécifique d'adresses source ;

    • appartenir au même sous-réseau ;

    • utiliser des adresses IP statiques.

  • Clé privée pré-partagée

    Pour bénéficier de l'authentification par clé privée pré-partagée, les deux ordinateurs doivent partager une clé de cryptage.

  • Authentification par certificat

    Pour bénéficier de l'authentification par certificat, les deux ordinateurs doivent s'en remettre à une même autorité de certification (CA), à laquelle doit s'adresser le serveur qui effectue l'authentification pour obtenir et installer un certificat.

Dans cette section, vous allez mettre en place une authentification IPSec entre deux serveurs à l'aide d'une clé privée pré-partagée.

  • Pour effectuer une authentification de serveur à serveur

    1. Démarrez le composant logiciel enfichable MMC Stratégie de sécurité locale.

    2. Cliquez avec le bouton droit de la souris sur Stratégies de sécurité IPSec sur l'ordinateur local, puis cliquez sur Créer une stratégie de sécurité IP.

    3. Tapez « MyAuthPolicy » pour en indiquer le nom, puis cliquez sur Suivant.

    4. Désélectionnez la case Activer la règle de réponse par défaut.

    5. Cliquez sur Suivant, puis sur Terminer. La boîte de dialogue Propriétés MyAuthPolicy s'affiche pour vous permettre de modifier les propriétés de la stratégie.

    6. Cliquez sur Ajouter, puis cliquez trois fois sur Suivant.

    7. Dans la boîte de dialogue Méthode d'authentification, sélectionnez Utiliser cette chaîne pour protéger l'échange de clés (clé pré-partagée).

    8. Saisissez un jeu de caractères long quelconque dans la zone de texte, puis cliquez sur Suivant. La clé doit être copiée sur disquette ou sur CD. Elle est indispensable pour configurer le serveur communicant.

    9. Dans la boîte de dialogue Liste de filtres IP, sélectionnez Tout le trafic IP, puis cliquez sur Suivant.

    10. Dans la boîte de dialogue Action de filtrage, sélectionnez Demandez la sécurité (optionnel), puis cliquez sur Suivant.

    11. Cliquez sur Terminer.

    12. Testez votre application pour vérifier la configuration de la stratégie.

Haut de page

Utilisation des outils IPSec

Cette section présente deux outils de diagnostic IPSec utiles, qui sont disponibles dans le kit de ressources Windows 2000 :

  • Netdiag.exe

  • IPSecpol.exe

Netdiag.exe

Avant de créer une nouvelle stratégie, il convient de déterminer si votre système en dispose déjà. Vous pouvez pour cela appliquer la procédure suivante :

  • Pour vérifier l'existence d'une stratégie IPSec

    1. Pour installer Netdiag.exe, exécutez le programme Setup.exe à partir du dossier \Support\Tools sur le CD Windows 2000 Server. Les outils sont installés dans le dossier C:\Program Files\Resource kit.

    2. Exécutez la commande suivante à partir de la ligne de commande :

      netdiag /test:ipsec

      En cas d'absence de filtres, le message suivant s'affiche :

      IP Security test . . . . . . . . . : Passed IPSec policy service is active, 
but no policy is assigned.

IPSecpol.exe

L'outil Stratégies de sécurité du protocole Internet permet d'automatiser la création de stratégies dans des registres locaux et distants. L'outil prend en charge des paramètres identiques à ceux qui peuvent être configurés à l'aide du composant logiciel enfichable MMC.

Téléchargez l'outil à partir du site Web Microsoft Windows 2000, accessible à l'adresse : http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/ipsecpol-o.asp.

Pour avoir des exemples détaillés d'utilisation d'Ipsecpol.exe afin de créer et de manipuler des règles IPSec, reportez-vous à l'article 813878 de la base de connaissances Microsoft, « Comment faire pour bloquer des ports et protocoles réseau spécifiques à l'aide de IPSec », accessible à l'adresse : http://support.microsoft.com/kb/13878.

Haut de page

Informations complémentaires

Pour plus d'informations, consultez les ressources suivantes :

Haut de page