Isolation de serveurs et de domaines à l'aide d'IPSec et de stratégies de groupe
Annexe B : Résumé de stratégie IPSec
Dernière mise à jour le 16-02-2005
Cette annexe fournit une liste concise d'informations sur tous les paramètres de stratégie pour les groupes d'isolations utilisés dans cette solution.
Sur cette page
Configuration générale des stratégies
Stratégie de domaine d'isolation
Stratégie de groupe d'isolation sans basculement
Stratégie de groupe d'isolation de limite
Stratégie de groupe d'isolation de chiffrement
Configuration générale des stratégies
Les informations suivantes sont incluses dans toutes les stratégies définies dans cette solution.
Paramètres généraux de la stratégie :
Actualisation de la stratégie: 5 minutes pour le déploiement sur l'environnement de test. En production, cette valeur passe à 60 minutes. Après 60 minutes, l'hôte actualise sa stratégie depuis le service d'annuaire Microsoft Active Directory®. Cette fonctionnalité permet d'apporter des modifications à une stratégie IPSec déjà attribuée pour la déployer sur l'ensemble du réseau d'une organisation en une heure maximum et répondre ainsi à toute compromission du réseau.
Durée de vie du mode principal IKE: 3 heures.
Sessions par mode principal: de 0 à l'infini.
Clé principale PFS : inutilisée, cette fonction de Microsoft® Windows® Internet Key Association (IKE) a disparu en raison du manque de prise en charge par d'autres produits et pour éviter les fonctionnalités en double. Pour accomplir la même fonction, définissez Sessions par mode principal sur 1.
Méthodes de sécurité d'échange de clés du mode principal IKE: 3DES / SHA1 / Haute (2048), 3DES / SHA1 / Moyenne (2), 3DES / MD5 / Moyenne (2).
Remarque : la méthode Haute (2048) est uniquement prise en charge par Microsoft Windows Server™ 2003 et Windows XP SP2. Elle sera ignorée par Windows 2000 et par les versions précédentes de Windows XP. Utilisez la méthode Moyenne (2) pour assurer la compatibilité avec Windows 2000, Windows XP SP1 et les versions précédentes.
Règle de réponse par défaut = désactivée
Règle 1:
Liste de filtres: « IPSEC – Cluster VIP Exemption List » (Liste d'exemptions des VIP de cluster)
Filtre: Mon adresse IP <-> Adresse IP spécifique, en miroir – Actuellement vide
Description: « Adresses IP de tous les VIP de cluster de l'organisation »
Action de filtrage: IPSEC – Permit (Autoriser)
Authentification: Kerberos
Tunnel: Non
Type de connexion : TOUS
Règle 2:
Liste de filtres: « IPSEC – DHCP, Negotiation Traffic » (DHCP, trafic de négociation)
Filtre: Mon adresse IP <-> Toutes, UDP, SRC Port 68 à DST Port 67, en miroir
Description : « Autorise le trafic de négociation des serveurs DHCP »
Action de filtrage: IPSEC – Permit (Autoriser)
Authentification: Kerberos
Tunnel: Non
Type de connexion : TOUS
Règle 3:
Liste de filtres: « IPSEC – DNS Exemption List » (Liste d'exemptions DNS)
Filtre: Tous <-> 192.168.1.21, en miroir
Toutes <-> 192.168.1.22, en miroir
Description: « Adresses IP de tous les serveurs DNS de l'organisation »
Action de filtrage: IPSEC – Permit (Autoriser)
Authentification: Kerberos
Tunnel: Non
Type de connexion : ALL
Règle 4:
Liste de filtres: « IPSEC – Domain Controller Exemption List » (Liste d'exemptions de contrôleurs de domaine)
Filtre: Tous <-> 192.168.1.21, en miroir
Toutes <-> 192.168.1.22, en miroir
Description: « Adresses IP de tous les contrôleurs de domaine de l'organisation »
Action de filtrage: IPSEC – Permit (Autoriser)
Authentification: Kerberos
Tunnel: Non
Type de connexion : TOUS
Règle 5:
Liste de filtres: « IPSEC – WINS Exemption List » (Liste d'exemptions WINS)
Filtre: Toutes <-> 192.168.1.22, en miroir
Description: « Adresses IP de tous les serveurs WINS de l'organisation »
Action de filtrage: IPSEC – Permit (Autoriser)
Authentification: Kerberos
Tunnel: Non
Type de connexion : TOUS
Règle 6:
Liste de filtres: « IPSEC – LOB Application Servers Exemption List » (Liste d'exemptions de serveurs d'applications commerciales)
Filtre: Toutes <-> 192.168.1.10, en miroir
Description: « Adresses IP de tous les serveurs d'applications commerciales de l'organisation »
Action de filtrage: IPSEC – Permit (Autoriser)
Authentification: Kerberos
Tunnel: Non
Type de connexion : TOUS
Règle 7:
Liste de filtres: « IPSEC – ICMP, All Traffic » (ICMP, tout le trafic)
Filtre: Mon adresse IP <-> Toutes, ICMP, en miroir
Description : « Autorise le trafic ICMP »
Action de filtrage: IPSEC – Permit (Autoriser)
Authentification: Kerberos
Tunnel: Non
Type de connexion : TOUS
Règle 8:
Liste de filtres: « IPSEC – Exempt Addresses » (Adresses exemptées)
Filtre: Toutes <-> Adresse IP spécifique, en miroir – Actuellement vide
Description: « Adresses IP spécifiques à exempter de communication IPSec »
Action de filtrage: IPSEC – Permit (Autoriser)
Authentification: Kerberos
Tunnel: Non
Type de connexion : TOUS
Règle 9:
Liste de filtres: « IPSEC – Exempt Subnets » (Sous-réseaux exemptés)
Filtre: Mon adresse IP <-> Sous-réseau IP spécifique, en miroir – Actuellement vide
Description: « Sous-réseaux à exempter de communication IPSec »
Action de filtrage: IPSEC – Permit (Autoriser)
Authentification: Kerberos
Tunnel: Non
Type de connexion : TOUS
Règle 10:
Liste de filtres: « IPSEC – Policy Version: (1.0.041001.1600) » (Version de stratégie : (1.0.041001.1600))
Filtre: 1.1.1.1 <-> 1.1.1.2, ICMP, en miroir
Description: « Il ne s'agit pas d'une véritable liste de filtres. Cette règle est utilisée pour identifier la version de la stratégie IPSec. »
Action de filtrage: IPSEC – Permit (Autoriser)
Authentification: Kerberos
Tunnel: Non
Type de connexion : TOUS
Explication du comportement des règles
Règle 1. Cette règle est nécessaire pour exempter les communications sortantes vers les VIP de cluster. Elle ne doit pas être incluse si ce serveur n'a pas besoin de communiquer avec les VIP de cluster.
Règle 2. Cette règle autorise l'utilisation de la négociation DHCP (Dynamic Host Configuration Protocol) non sécurisée par IPSec.
Règle 3. Cette règle autorise des communications non sécurisées par IPSec vers des systèmes DNS (Domain Name System) de la liste d'exemptions.
Règle 4. Cette règle autorise des communications non sécurisées par IPSec vers des systèmes de contrôleurs de domaine de la liste d'exemptions.
Règle 5. Cette règle autorise des communications non sécurisées par IPSec vers des systèmes WINS (Windows Internet Naming Service) de la liste d'exemptions.
Règle 6. Cette règle autorise des communications non sécurisées par IPSec vers les hôtes de la liste d'exemptions. Woodgrove Bank a créé cette liste de filtres pour sa ligne de serveurs d'application professionnels.
Règle 7. Cette règle autorise l'utilisation du trafic ICMP (Internet Control Message Protocol) non sécurisé par IPSec.
Règle 8. Cette règle autorise des communications non sécurisées par IPSec vers les hôtes de la liste d'exemptions. Elle ne doit pas être incluse dans les stratégies si la liste de filtres est vide.
Règle 9. Cette règle autorise des communications non sécurisées par IPSec vers les sous-réseaux de la liste d'exemptions. Elle n'est pas incluse dans les stratégies si la liste de filtres est vide.
Règle 10. Cette règle est utilisée uniquement pour obtenir des informations sur les versions de la stratégie. Le filtre utilisé pour mettre à jour la liste de filtres est fictif et est constitué de deux adresses IP autorisant le trafic ICMP. Le recours à un filtre fictif est nécessaire, car il est impossible d'ajouter un filtre vide à une stratégie.
Stratégie de domaine d'isolation
Cette section fournit le détail des filtres, des actions de filtrage, de la stratégie et des objets GPO (Group Policy Objects) utilisés pour créer le domaine d'isolation de la solution de Woodgrove Bank.
Règle 11:
Liste de filtres: IPSEC – Organizational Subnets (Sous-réseaux de l'organisation)
Filtre: Toutes <-> Sous-réseaux internes, tout le trafic, en miroir
Action de filtrage : « IPSEC – Secure Request Mode (Ignore Inbound, Allow Outbound) » (Mode de requête sécurisée (Ignorer le trafic entrant, Autoriser le trafic sortant))
Ordre de préférence des méthodes de sécurité: ESP-null / SHA1, ESP-null / MD5, ESP-3DES / SHA1, puis ESP-3DES / MD5
NE PAS accepter de communications non sécurisées
Autoriser une communication non sécurisée avec les hôtes qui n'utilisent pas IPSec
Authentification: Kerberos
Tunnel: Non
Type de connexion : TOUS
Tous les autres paramètres de stratégie sont les mêmes que ceux répertoriés plus haut dans la section « Configuration générale des stratégies » de la présente annexe.
Explication du comportement des règles
Règle 11. Cette règle est la règle la plus générale définie dans la stratégie. Elle correspond au trafic destiné à sécuriser les sous-réseaux et nécessite la négociation d'IPSec. Cette règle n'acceptera pas les communications non sécurisées des clients qui n'utilisent pas IPSec mais elle peut communiquer avec eux si c'est elle qui démarre la communication.
Stratégie de groupe d'isolation sans basculement
Cette section fournit le détail des filtres, des actions de filtrage, de la stratégie et des objets GPO utilisés pour créer le groupe d'isolation sans basculement de la solution de Woodgrove Bank.
Règle 11:
Liste de filtres: IPSEC – Organizational Subnets (Sous-réseaux de l'organisation)
Filtre: Toutes <-> Sous-réseaux internes, tout le trafic, en miroir
Action de filtrage : « IPSEC – Full Require Mode (Ignore Inbound, Disallow Outbound) » (Mode requis complet (Ignorer le trafic entrant, Ne pas autoriser le trafic sortant))
Ordre de préférence des méthodes de sécurité: ESP-null / SHA1, ESP-null / MD5,
ESP-3DES / SHA1, puis ESP-3DES / MD5
NE PAS accepter de communications non sécurisées
NE PAS autoriser de communications non sécurisées avec les hôtes qui n'utilisent pas IPSec
Authentification: Kerberos
Tunnel: Non
Type de connexion : TOUS
Tous les autres paramètres de stratégie sont les mêmes que ceux répertoriés plus haut dans la section « Configuration générale des stratégies » de la présente annexe.
Explication du comportement des règles
Règle 11. Cette règle est la règle la plus générale définie dans la stratégie. Elle correspond au trafic destiné à sécuriser les sous-réseaux et nécessite la négociation d'IPSec. Elle n'autorise aucune communication avec des clients qui n'utilisent pas IPSec.
Stratégie de groupe d'isolation de limite
Cette section fournit le détail des filtres, des actions de filtrage, de la stratégie et des objets GPO utilisés pour créer le groupe d'isolation de limite de la solution de Woodgrove Bank.
L'hôte limite ne doit pas être mobile et peut donc utiliser des sous-réseaux pour définir son réseau. Il doit également être sécurisé presque comme un bastion du guide de sécurité Windows Server 2003. Il doit être extrêmement protégé contre les attaques provenant d'hôtes non autorisés. C'est pourquoi la stratégie IPSec doit être associée à des filtres réduisant la surface d'attaque lorsque c'est possible.
Paramètres généraux de la stratégie:
Durée de vie du mode principal IKE: 20 minutes
Règle 11:
Liste de filtres: IPSEC – Organizational Subnets (Sous-réseaux de l'organisation)
Filtre: Toutes <-> Sous-réseaux internes, tout le trafic, en miroir
Action de filtrage : « IPSEC – Request Mode (Accept Inbound, Allow Outbound) » (Mode de requête (Accepter le trafic entrant, Autoriser le trafic sortant))
Ordre de préférence des méthodes de sécurité: ESP-null / SHA1, ESP-null / MD5,
ESP-3DES / SHA1, puis ESP-3DES / MD5
Accepter les communications non sécurisées
Autoriser une communication non sécurisée avec les hôtes qui n'utilisent pas IPSec
Authentification: Kerberos
Tunnel: Non
Type de connexion : TOUS
Tous les autres paramètres de stratégie sont les mêmes que ceux répertoriés plus haut dans la section « Configuration générale des stratégies » de la présente annexe.
Explication du comportement des règles
Règle 11. Cette règle est la règle la plus générale définie dans la stratégie. Elle correspond au trafic destiné à sécuriser les sous-réseaux et nécessite la négociation d'IPSec. Elle acceptera le trafic en provenance des clients qui n'utilisent pas IPSec et lancera des communications vers des clients donnés.
Stratégie de groupe d'isolation de chiffrement
Cette section fournit le détail des filtres, des actions de filtrage, de la stratégie et des objets GPO utilisés pour créer le groupe d'isolation de chiffrement de la solution de Woodgrove Bank.
Règle 11:
Liste de filtres: IPSEC – Organizational Subnets (Sous-réseaux de l'organisation)
Filtre: Toutes <-> Sous-réseaux internes, tout le trafic, en miroir
Action de filtrage : « IPSEC – Require Encryption Mode (Ignore Inbound, Disallow
Outbound) » (Mode de chiffrement requis (Ignorer le trafic entrant, Ne pas autoriser le trafic sortant))
Ordre de préférence des méthodes de sécurité: ESP-3DES / SHA1, puis ESP-3DES / MD5
NE PAS accepter de communications non sécurisées
NE PAS autoriser de communications non sécurisées avec les hôtes qui n'utilisent pas IPSec
Authentification: Kerberos
Tunnel: Non
Type de connexion : TOUS
Tous les autres paramètres de stratégie sont les mêmes que ceux répertoriés plus haut dans la section « Configuration générale des stratégies » de la présente annexe.
Explication du comportement des règles
Règle 11. Cette règle est la règle la plus générale définie dans la stratégie. Elle correspond au trafic destiné à sécuriser les sous-réseaux et nécessite la négociation d'IPSec chiffré. Elle n'autorise aucune communication avec des clients qui n'utilisent pas IPSec.
Télécharger la solution complète
Isolation de serveurs et de domaines à l'aide d'IPSec et de stratégies de groupe .gif)