Isolation de serveurs et de domaines à l'aide d'IPSec et de stratégies de groupe
Chapitre 2 : Présentation de l'isolation de serveurs et de domaines
Dernière mise à jour le 16-02-2005
À l'époque où les réseaux locaux (LAN) devenaient la norme, les professionnels de l'informatique rivalisaient d'efforts pour proposer des services réactifs, hautement disponibles, tout en maintenant un niveau de sécurité adéquat. Un grand nombre de technologies ont été mises au point pour fonctionner avec TCP/IP, afin de répondre au problème de l'implémentation de la sécurité au niveau des couches réseau et de transport. Parmi ces technologies figurent notamment IPv6, 802.1X, les commutateurs réseau, la segmentation du réseau local virtuel (VLAN) et IPSec (Internet Protocol security).
Le résultat indirect de l'introduction de ces technologies n'est autre qu'une sécurité réseau basée sur plusieurs couches. Ces couches peuvent permettre de séparer, de segmenter ou d'isoler** **un ou plusieurs hôtes ou réseaux d'autres hôtes ou réseaux. L'objectif de ce chapitre consiste à organiser la couche de sécurité IPSec en fonction des autres couches et à expliquer son fonctionnement avec les stratégies de groupe dans une solution d'isolation gérable et évolutive dans un environnement à l'échelle de l'entreprise.
Sur cette page
Connaissances préalables requises pour ce chapitre
À qui s'adresse ce chapitre
Exigences au niveau de l'entreprise
Identifications des ordinateurs approuvés
Comment l'isolation de serveurs et de domaines s'intègre-t-elle dans ma stratégie de sécurité réseau globale ?
Rappel terminologique
Comment l'isolation de serveurs et de domaines peut-elle être mise en place ?
De quoi nous protège l'isolation de serveurs et domaines ?
Comment déployer l'isolation de serveurs et de domaines ?
Résumé
Connaissances préalables requises pour ce chapitre
Avant d'exploiter les informations fournies dans ce chapitre, vous devez parfaitement maîtriser les technologies et les concepts suivants. Vous pouvez tirer parti de ce guide sans ces connaissances préalables, mais si vous les maîtrisez, la réussite de l'implémentation sera pratiquement garantie.
Connaissances requises
Vous devez posséder des connaissances sur les éléments suivants de Microsoft® Windows Server™ 2003 :
concepts du service d'annuaire Active Directory® (notamment la structure et les outils Active Directory, manipulation d'utilisateurs, de groupes et d'autres objets Active Directory, et utilisation des stratégies de groupe) ;
concepts d'authentification, notamment l'utilisation du protocole Kerberos version 5 et de l'infrastructure de clés publiques (PKI) ;
sécurité du système Microsoft Windows® ; concepts de sécurité tels que les utilisateurs, les groupes, l'audit et les listes de contrôle d'accès (ACL) ; utilisation des modèles de sécurité ; concepts d'authentification mutuelle ; méthodes et concepts standards de résolution de noms tels que le système de noms de domaine (DNS, Domain Name System) et le service WINS (Windows Internet Naming Service) ; outils de diagnostic et concepts de dépannage standards Windows ; utilisation des stratégies de groupe ou des outils de ligne de commande pour appliquer des modèles de sécurité ;
protocole TCP/IP, notamment l'organisation des sous-réseaux, les masques réseau et le routage ; fonctionnalités de bas niveau, protocoles et termes tels que ICMP (Internet Control Message Protocol), ARP (Address Resolution Protocol) et unité maximale de transfert (MTU, Maximum Transmission Unit).
principes de gestion des risques de sécurité.
Remarque: le chapitre 6, « Deploying IPSec » (Déploiement d'IPSec) du Kit de déploiement de Windows Server 2003 présente des scénarios relatifs au mode de transport IPSec qui n'étaient auparavant pas recommandés. Toutefois, le travail réalisé par Microsoft dans le cadre de son propre déploiement interne d'IPSec et la disponibilité de conseils supplémentaires ont aujourd'hui permis de modifier ces recommandations. Le trafic de diffusion et de multidiffusion ne peut pas encore utiliser IPSec, mais tous les types de trafic IP monodiffusion peuvent être sécurisés via IPSec. Chaque client doit mesurer les avantages du déploiement d'IPSec dans des scénarios d'isolation de domaines ou de serveurs par rapport aux coûts, aux impacts et à d'autres compromis. Microsoft recommande et encourage désormais la généralisation de l'utilisation d'IPSec sur les réseaux de ses clients conformément à ce guide.
Conditions requises pour l'organisation
La planification de la sécurité d'une organisation ne peut pas être affectée à une seule personne. Les informations qui permettent de déterminer les exigences exactes d'une organisation proviennent souvent de plusieurs sources de l'organisation. Contactez d'autres personnes de votre entreprise susceptibles d'être concernées par la planification de l'isolation, notamment les personnes suivantes :
les dirigeants ;
Représentants de groupes d'utilisateurs
les personnes chargées de l'audit et de la sécurité ;
Groupe de gestion des risques
les ingénieurs, les administrateurs et les équipes opérationnelles Active Directory ;
Personnel technique, d'administration et des opérations DNS, du serveur Web et du réseau
**Remarque **: selon la structure de votre organisation informatique, plusieurs personnes peuvent occuper un même poste, ou une personne peut occuper plusieurs postes.
L'étendue d'un projet d'isolation de serveurs et de domaines nécessite l'intervention d'une équipe complète de personnes afin de bien cerner les exigences de l'entreprise, les problèmes techniques, l'impact sur les utilisateurs et le processus du projet dans son ensemble. Il peut être intéressant qu'une personne faisant preuve d'autorité joue le rôle de contact principal pour ce projet lorsque des observations à plus grande échelle sont requises, telles que celles du personnel de support ou des utilisateurs qui seront affectés au cours du déploiement. Une planification et une communication insuffisantes sont les deux principales causes d'échec des projets complexes. L'équipe de projet doit comprendre ces risques éventuels et s'assurer que des mesures ont été prises pour les limiter.
À qui s'adresse ce chapitre
Ce chapitre s'adresse aux architectes et décisionnaires techniques chargés de concevoir une solution personnalisée d'isolation de serveurs et de domaines pour une organisation. Pour exploiter au mieux ce chapitre, il est souhaitable de posséder de solides connaissances techniques sur les technologies abordées et sur l'infrastructure actuelle de l'entreprise.
Exigences au niveau de l'entreprise
Vous devez bien comprendre que ce sont les exigences de l'entreprise qui influent sur la solution. L'isolation peut être définie comme une séparation logique ou physique entre un ou plusieurs ordinateurs et d'autres ordinateurs, les empêchant ainsi de communiquer entre eux sur un réseau. Les restrictions de sécurité affecteront nécessairement le travail quotidien des employés au sein d'une organisation. Les modifications apportées dans le cadre de la solution modifieront la façon dont les ordinateurs communiquent les uns avec les autres et avec les ordinateurs non approuvés. Pour la conception de cette solution, l'équipe de projet a besoin de temps pour planifier et analyser la faisabilité de l'implémentation, le personnel de support informatique doit suivre une formation, et au moins un programme d'information des employés doit être mis en place. Les services de sécurité supplémentaires destinés au trafic réseau peuvent nécessiter de la mémoire serveur supplémentaire, voire des cartes réseau d'accélération matérielle. Il est également possible d'avoir recours à d'autres solutions pour atteindre ou les mêmes objectifs d'isolation ou des objectifs similaires. Par conséquent, il est important de déterminer l'impact financier de la solution sur l'entreprise.
Garantie du respect des réglementations
Plus les informations personnelles sont stockées dans les ordinateurs, plus l'intérêt pour la confidentialité des données est grand. Le contrôle de l'accès aux informations des clients et des employés n'est plus seulement une bonne pratique commerciale. Selon les lois en vigueur dans chaque pays, une entreprise qui ne respecte pas ses obligations en termes de protection des informations confidentielles devient vulnérable à des attaques financières et légales. Par exemple, les organisations travaillant aux États-Unis pourraient avoir à respecter (intégralement ou partiellement) les réglementations suivantes :
FISMA (Federal Information Security Management Act)
Sarbanes-Oxley Public Company Accounting Reform and Investor Protection Act
GLBA (Gramm-Leach-Bliley Financial Services Modernization Act)
HIPAA (Health Insurance Portability and Accountability Act)
La réglementation HIPAA comporte des directives strictes sur la façon dont les organismes de santé doivent gérer les informations médicales personnelles électroniques (ePHI). Elle n'oblige et ne recommande pas de technologie particulière ; elle indique simplement les caractéristiques requises pour être en conformité avec la protection des ePHI et comment limiter les risques. Considérez l'isolation de domaines ou de serveurs avec protection IPSec comme une mesure de protection technique pour répondre aux exigences des sections de l'HIPAA suivantes :
Contrôle d'accès 164.312(a)(1) : protéger l'accès réseau entrant vers des ordinateurs approuvés via des autorisations de stratégie de groupe et utiliser le chiffrement pour empêcher la divulgation des EPHI sur le trafic réseau.
Contrôles d'audit 164.312(b) : auditer les ordinateurs qui communiquent entre eux.
Intégrité 164.312(c)(1) : limiter l'accès réseau entrant vers des ordinateurs abritant des ePHI uniquement à un groupe spécifique d'ordinateurs et d'utilisateurs autorisés et approuvés. Empêcher l'altération des ePHI lors des transmissions réseau en assurant l'intégrité et l'authenticité de tous les paquets réseau des connexions applicatives.
Authentification des personnes ou des entités164.312(d) : requérir l'authentification et l'autorisation des ordinateurs approuvés pour l'accès réseau entrant vers d'autres ordinateurs approuvés.
Sécurité des transmissions 164.312(e)(1) : assurer l'authenticité, l'intégrité et le chiffrement.
En général, vous pouvez répondre à ces exigences en utilisant le protocole SSL (Secure Sockets Layer) et TLS (Transport Layer Security). Pour être en conformité avec les réglementations de sécurité de l'HIPAA, les applications peuvent, par exemple, avoir recours à la technologie Microsoft .NET avec SSL/TLS. Pour plus d'informations, reportez-vous au Livre blanc « Healthcare Without Boundaries: Integration
Technology for the New Healthcare Economy .gif)
» à l'adresse suivante : www.microsoft.com/Resources/Healthcare/
HealthcareEconomy.aspx.
Les communications entre applications doivent toutefois intégrer correctement les contrôles d'algorithme et l'utilisation de SSL/TLS. Les principaux avantages d'une solution d'isolation IPSec sont les suivants : une protection de toutes les applications et du système d'exploitation des ordinateurs hôtes, et une sécurité du trafic réseau pour les applications existantes, sans avoir à les modifier. Pour plus d'informations, reportez-vous à la section « Comparaison entre SSL/TLS et IPSec », plus loin dans ce chapitre.
Conformité de cette solution avec les réglementations du gouvernement américain
Le 16 décembre 2003, l'Office of Management and Budget (OMB) du gouvernement américain a publié un mémorandum sur l'« E-Authentication Guidance for Federal Agencies », disponible à l'adresse suivante : http://www.whitehouse.gov/omb/memoranda/fy04/
m04-04.pdf. Ce mémorandum indique que le niveau de risque d'une altération de l'authentification correspond au niveau auquel l'authentification électronique (e-authentification) est requise.
La publication spéciale 800-63 du NIST (National Institute of Standards and Technology) « Electronic Authentication Guideline: Recommendations of the National Institute of Standards and Technology » (Guide de l'authentification électronique : recommandations du NIST), identifie les exigences techniques des niveaux d'authentification 1-4. Dans de nombreux cas, les niveaux élevés (3 et 4) d'authentification de l'utilisateur requièrent une réécriture ou un remplacement des applications. Si les risques de sécurité peuvent être réduits dans leur ensemble, vous pouvez utiliser une solution d'authentification de l'utilisateur moins onéreuse pour assurer l'accès aux informations très sensibles de votre organisation. Sur la plate-forme Windows, les solutions d'isolation de serveurs et de domaines ajoutent une première couche d'authentification des ordinateurs approuvés, de contrôle d'accès, d'authentification du trafic réseau et de chiffrement, en amont de l'authentification de l'utilisateur au niveau de la couche application. Ainsi, l'utilisation d'une solution d'isolation de serveurs peut permettre de réduire ou de temporiser les modifications d'application requises et contribuer à répondre aux obligations en matière de gestion des risques.
Pour être conforme aux réglementations gouvernementales relatives aux produits d'assurance des informations, la société Microsoft s'est engagée à suivre plusieurs processus de certification. Windows 2000 est certifié conforme aux critères communs pour l'évaluation de la sécurité des technologies de l'information (Common Criteria for IT Security Evaluation) (norme ISO 15408) niveau d'assurance 4 (EAL4), avec ALC_FLR.3 (Systematic Flaw Remediation). Cette certification s'applique aux systèmes d'exploitation et aux catégories de protection des données sensibles.
Remarque: au moment de la rédaction de cet article, les plates-formes Windows XP et Windows Server 2003 étaient en cours de certification.
Les composants cryptographiques IPSec de Windows 2000, Windows XP et Windows Server 2003 sont certifiés et répondent aux exigences cryptographiques de la norme FIPS 140-1. Ainsi, les solutions d'isolation de serveurs et de domaines peuvent être utilisées pour des applications militaires ou gouvernementales et dans des environnements informatiques associés. Pour plus d'informations, reportez-vous aux liens suivants :
NSTISSP No. 11 Fact Sheet: National Information Assurance Acquisition Policy
, à l'adresse suivante : http://niap.nist.gov/cc-scheme/
nstissp_11_revised_factsheet.pdfValidated Products List (by Technology Type)
, à l'adresse suivante : http://niap.nist.gov/cc-scheme/vpl/vpl\_type.htmlOverview: Windows 2000 Common Criteria Certification
, à l'adresse suivante : www.microsoft.com/technet/security/prodtech/Windows2000/
w2kccwp.mspxFIPS 140 Evaluation
, à l'adresse suivante : www.microsoft.com/technet/archive/security/topics/
issues/fipseval.mspx
Les informations de cette section concernent uniquement les organisations basées aux États-Unis. Toutefois, des réglementations connexes voient le jour dans le monde entier, comme en témoignent des lois telles que la directive européenne sur la protection des données (1988) et la loi canadienne sur la protection des renseignements personnels et les documents électroniques (PIPEDA), qui imposent toutes deux des instructions strictes concernant la gestion des identités et la confidentialité des données.
Évaluation des risques liés à l'infrastructure informatique
L'évaluation des risques de l'entreprise consiste à identifier la dépendance entre l'entreprise et son infrastructure informatique. L'évaluation des risques de sécurité informatique consiste à identifier et à définir un ordre de priorité des risques liés à l'intégrité des informations et à la stabilité des services. L'évaluation des risques de sécurité doit justifier la nécessité de prévention de ces risques et évaluer les coûts liés à la non-anticipation de ces risques. Les évaluations des coûts jouent un rôle très important dans l'évaluation des différentes solutions techniques, et ce pour chaque problème. Étant donné qu'une seule solution ne permet pas d'éviter 100 % des risques, comparez les solutions et leurs différents coûts.
Les décisionnaires peuvent, par exemple, évaluer le coût d'une solution d'isolation en termes de réduction des risques liés à un service dégradé ou interrompu suite à l'attaque d'un virus ou d'un vers. Pour certaines organisations, lorsqu'un pirate parvient à accéder à leurs données stratégiques, l'impact et les coûts résultant de l'attaque peuvent être dramatiques.
Remarque: dans certains pays et dans certains états, la loi oblige les entreprises à informer leurs clients des violations de sécurité éventuelles dont ils pourraient être victimes. Pour obtenir des réponses aux questions juridiques relatives à votre organisation, contactez votre organisme public local ou un conseiller juridique.
Les catégories suivantes peuvent vous aider à évaluer le coût total d'un incident de sécurité :
Coût occasionné par une perte de service. Pour déterminer le coût total qu'occasionne une perte de service sur un serveur réseau, faites la somme des coûts suivants :
Temps de réponse requis par le personnel de support en cas d'incident
Manque à gagner suite à l'interruption de l'application
Perte de productivité interne
Coût occasionné par le vol d'informations. Pour déterminer le coût total qu'occasionne le vol d'informations enregistrées sur un serveur réseau interne, faites la somme des coûts suivants :
Perte de la propriété intellectuelle requise pour développer l'information
Perte des recettes à venir sur tous les produits, en raison d'une perte de confiance des clients (suite à la médiatisation du vol)
Perte de valeur marchande, en raison d'une perte de confiance des investisseurs (suite à la médiatisation du vol)
Temps de réponse requis en interne par les services de marketing et de développement
Perte de recettes éventuelles, en raison d'efforts de réponse en interne
Temps nécessaire pour limiter l'utilisation malveillante des informations à l'encontre de l'entreprise, des employés ou des clients
Coût occasionné par la compromission des informations d'identification d'administration sur le serveur. Pour déterminer le coût total qu'occasionne la compromission des informations d'identification d'administration sur un serveur réseau interne, faites la somme des coûts suivants :
Efforts requis en interne pour répondre à l'attaque et remplacer le serveur
Protection en interne des ordinateurs susceptibles d'être attaqués suite à la compromission des informations d'identification d'administration sur le serveur
Coût occasionné par des mesures de réglementation ou des actions juridiques ultérieures. Pour déterminer le coût total qu'occasionnent les exigences d'une action en justice, faites la somme des coûts suivants :
Coût d'une action en justice si l'attaquant a été identifié mais la décision de la cour vous est défavorable
Coût d'une action en justice si l'attaquant a été identifié et la décision de la cour vous est favorable, mais l'accusé est dans l'impossibilité de payer le montant des dommages
Coût des amendes, audits, restrictions et autres efforts visant à restaurer l'environnement de travail actuel
Investissement dans des solutions de sécurité des informations sur le long terme
La protection de l'accès au réseau (NAP, Microsoft Network Access Protection) constitue un moyen efficace de contrôler si les périphériques qui se connectent au réseau ou les uns aux autres sont conformes aux stratégies. La mise en quarantaine des accès à distance et l'isolation de serveurs et de domaines sont deux moyens allant en ce sens et pouvant désormais être implémentés sous Windows 2000 et des plates-formes ultérieures. En associant les atouts du périmètre et de l'isolation en interne, l'organisation est armée pour lutter contre les infections et tout autre type d'attaque lancés à partir d'ordinateurs non approuvés et découlant d'informations d'identification compromises.
Pour plus d'informations sur l'initiative NAP, reportez-vous à la page Network Access Protection du site Microsoft à l'adresse : www.microsoft.com/nap.
Pour plus d'informations sur les réseaux privés virtuels (VPN) et le contrôle d'accès des quarantaines, reportez-vous à la page Virtual Private Networks for Windows Server 2003 du site Microsoft à l'adresse : www.microsoft.com/vpn.
Dans les prochaines versions de Windows, Microsoft prévoit de proposer une protection d'accès réseau encore plus facile à gérer et plus complète. Pour plus d'informations, reportez-vous au Livre blanc « Introduction to Network Access Protection », à l'adresse : www.microsoft.com/windowsserver2003/techinfo/
overview/napoverview.mspx.
Identifications des ordinateurs approuvés
L'approbation et le fonctionnement de l'approbation avec les ordinateurs est un point important de l'isolation de serveurs et de domaines. L' isolation permet à n'importe quel hôte approuvé de définir les personnes autorisées à accéder au réseau. Quel que soit le type de connexion établi entre les ordinateurs distants et l'extrémité distante de la connexion (par exemple, une connexion sans fil, de réseau local ou Internet), l'ordinateur distant doit utiliser IPSec pour négocier l'approbation et sécuriser le trafic TCP/IP de bout en bout avec l'ordinateur de destination. Ce modèle de sécurité de bout en bout offre un niveau de protection des communications réseau que ne proposent pas les autres technologies de sécurité et de contrôle d'accès réseau (par exemple, VPN, 802.1x, 802.11 WEP). Pour empêcher le vol, l'altération ou l'utilisation malveillante des informations d'identification, il est primordial d'approuver d'abord l'ordinateur distant.
Dans le cadre de cette solution, l'approbation permet à une organisation d'être presque certaine qu'un ordinateur est dans un état connu et qu'il répond aux exigences minimales de sécurité définies par l'organisation. Ces exigences peuvent être d'ordre technique, axées sur la sécurité, liées à l'activité professionnelle de l'entreprise ou à plusieurs de ces points. Ces exigences déterminent également l'état dans lequel doit se trouver un ordinateur avant d'établir une communication avec d'autres ordinateurs. Microsoft recommande que la spécification des ordinateurs approuvés inclue une liste à jour des mises à jour de sécurité et des services packs requis. Dans l'idéal, vous devez gérer et appliquer ces mises à jour via un système de gestion des correctifs tel que le service Windows Update ou Microsoft Systems Management Server (SMS). La fréquence d'application de ces mises à jour dépend de la durée nécessaire à votre organisation pour tester et déployer chaque mise à jour. Cependant, pour une sécurité optimale, vous devez appliquer les mises à jour de votre environnement dès que possible.
Les ordinateurs non approuvés sont des ordinateurs susceptibles de ne pas répondre aux exigences de sécurité. En règle générale, un ordinateur n'est pas approuvé s'il n'est pas géré ou s'il n'est pas sécurisé.
L'isolation de serveur et de domaine vise à limiter les risques qu'encourent les ressources approuvées de l'entreprise, en implémentant des outils, des technologies et des processus chargés de les protéger. La solution garantit que :
seuls les ordinateurs approuvés (ceux qui répondent à des exigences de sécurité spécifiques) peuvent accéder à des ressources approuvées ;
les ordinateurs non approuvés n'ont pas accès aux ressources approuvées, sauf si une raison professionnelle précise justifie de courir le risque.
Vous devez autoriser, par défaut, l'accès réseau aux ressources approuvées uniquement à partir d'autres ressources approuvées. Par ailleurs, vous devez contrôler l'accès à la couche réseau, en utilisant les fonctions d'accord ou de refus d'autorisation et les listes de contrôle d'accès (ACL) pour des utilisateurs et des ordinateurs spécifiques au sein de l'environnement approuvé.
En créant cet environnement approuvé et en limitant les communications autorisées à l'intérieur et à l'extérieur de cet environnement, l'entreprise limite l'ensemble des risques qu'encourent ses données. Parmi les autres avantages métier figurent notamment les suivants :
grande compréhension du flux des données dans des zones spécifiques du réseau ;
meilleure adoption des programmes de sécurité utilisés pour obtenir le statut « approuvé » ;
création d'un inventaire, à jour, des hôtes et périphériques réseau.
Par exemple, dans le scénario Woodgrove Bank, les ordinateurs approuvés sont tous les ordinateurs qui exécutent Windows 2000 Service Pack (SP) 4, Windows XP SP2 ou une version ultérieure, ou Windows Server 2003 ou ultérieur dans l'un des domaines appartenant à la Woodgrove Bank et gérés par cette dernière. En outre, les ressources approuvées, notamment tous les ordinateurs (exécutant Windows 2000 ou une version ultérieure) qui utilisent des stratégies de groupe pour fournir des paramètres de sécurité, sont régulièrement examinées par le personnel informatique pour vérifier qu'elles restent conformes aux exigences minimales. Le personnel informatique examine également les ressources approuvées pour vérifier que l'installation et la configuration des logiciels de sécurité spécialisés (tel qu'un antivirus) sont contrôlées de façon centralisée selon les exigences de sécurité propres à la Woodgrove Bank. Pour plus d'informations sur l'identification des ordinateurs approuvés dans le cadre de la solution, reportez-vous à la section « Définition de l'approbation » du chapitre 3 « Détermination de l'état actuel de votre infrastructure informatique » de ce guide.
Ordinateurs non gérés
Un ordinateur non géré est un ordinateur dont les paramètres de sécurité ne sont pas contrôlés de façon centralisée par le service informatique. En outre, tout ordinateur qui ne présente pas les fonctionnalités de gestion de sécurité requises est également considéré comme non géré. Les ordinateurs non gérés sont considérés comme non approuvés car l'organisation ne peut pas garantir qu'ils répondent aux exigences de sécurité des ordinateurs approuvés auxquels ils essaient d'accéder.
Ordinateurs non sécurisés
Les ordinateurs non approuvés incluent également les ordinateurs qui exécutent un système d'exploitation qui n'est pas configuré, ou ne peut pas être configuré, pour atteindre le niveau de sécurité requis. Les ordinateurs non sécurisés peuvent entrer dans l'une des quatre catégories suivantes :
Faible niveau de sécurité du système d'exploitation. Cette catégorie inclut les ordinateurs qui exécutent un système d'exploitation ne possédant pas le niveau d'infrastructure de sécurité requis. Parmi ces systèmes d'exploitation figurent notamment : Windows 9x, Microsoft Windows NT® et Windows CE. En général, les fonctionnalités requises pour l'infrastructure de sécurité sont présentes dans les systèmes d'exploitation plus récents, comme Windows XP et Windows Server 2003. Ces fonctionnalités incluent : les contrôles d'accès (par exemple, les autorisations sur les fichiers), les fonctions de sécurité réseau de chiffrement des paquets, et d'authentification et d'autorisation renforcées, différents niveaux de privilège (utilisateur et administrateur), la prise en charge d'une gestion centralisée des paramètres de sécurité, la prise en charge permettant d'assurer la confidentialité et l'intégrité des données, et la prise en charge d'autres technologies de sécurité (comme le protocole d'authentification Kerberos et les services de certificats).
Configuration incorrecte. Même les systèmes d'exploitation les plus fiables peuvent être configurés de façon incorrecte, et donc à la merci d'une attaque. Ces ordinateurs doivent également être considérés comme des périphériques non sécurisés.
Absence d'un niveau de mise à jour requis. Comme la sécurité informatique est en constante évolution, la plupart des éditeurs de logiciels proposent des mises à jour logicielles pour corriger les vulnérabilités de leurs produits. Une organisation peut définir un niveau minimum de mise à jour pour considérer un hôte comme approuvé. Dans ce cas, les ordinateurs qui ne possèdent pas le niveau de mise à jour requis sont considérés comme des périphériques non sécurisés.
Ordinateurs approuvés pouvant être compromis. Il est possible qu'un ordinateur approuvé soit compromis, en général, par une personne malveillante à laquelle vous faisiez confiance. Lorsque la sécurité d'un ordinateur approuvé est compromise, l'ordinateur n'est plus considéré comme approuvé tant que cette situation de risque n'a pas été résolue. Comprenez bien que si vous n'avez pas confiance en l'utilisateur d'un ordinateur, vous ne pouvez pas avoir confiance en son ordinateur.
Les périphériques qui entrent dans l'une de ces quatre catégories sont considérés comme étant non approuvés car l'organisation n'a pas la certitude qu'ils n'ont pas été compromis d'une manière ou d'une autre. Ils représentent donc un risque significatif pour les ordinateurs approuvés auxquels ils tentent d'accéder.
Isolation de serveurs et de domaines : objectifs directement réalisables
Avant toute chose, l'isolation de serveurs et de domaines vise à limiter les risques d'accès non autorisé, lorsqu'un ordinateur non approuvé tente d'accéder à un ordinateur approuvé. Avec les plates-formes actuelles, l'isolation d'un ordinateur distant en limitant l'accès réseau entrant repose sur la possibilité d'authentifier avec succès un ordinateur comme membre du domaine par le biais du protocole de négociation de sécurité IKE (Internet Key Exchange) d'IPSec. L'authentification de l'utilisateur intervient uniquement une fois l'authentification de l'ordinateur réussie et lorsque les associations de sécurité IPSec protègent toutes les connexions d'applications et de protocoles de niveau supérieur entre deux ordinateurs. L'isolation de serveurs et de domaines vous permet donc d'atteindre les objectifs suivants :
Isoler les ordinateurs membres du domaine approuvé des périphériques non approuvés au niveau du réseau.
Vérifier que l'accès réseau entrant à un membre du domaine approuvé sur le réseau interne requiert l'utilisation d'un autre membre du domaine approuvé.
Autoriser les membres du domaine approuvé à limiter l'accès réseau entrant à un groupe spécifique d'ordinateurs membres du domaine.
Concentrer les risques d'attaque sur un petit nombre d'hôtes, constituant une barrière de protection du domaine approuvé, où les stratégies de minimisation des risques maximum (journalisation, surveillance, détection d'intrusion, etc.) peuvent être appliquées de façon plus efficace.
- Mettre l'accent et la priorité sur la surveillance proactive et les efforts de conformité avant toute attaque.
Se concentrer sur les efforts de réparation et de récupération, avant, pendant et après toute attaque, et être plus rapide sur ces points.
Améliorer la sécurité en ajoutant l'authentification mutuelle par paquet renforcée, l'intégrité, l'anti-relecture et le chiffrement, sans avoir à modifier les applications et les protocoles de niveau supérieur, tels que SMB (Server Message Block) ou NetBT.
L'isolation de serveurs et de domaines vise à protéger tous les services réseau sur l'hôte approuvé contre toute attaque ou accès réseau non approuvé. L'isolation de serveurs et de domaines rend les hôtes moins vulnérables aux failles et aux erreurs présentes dans d'autres types de sécurité réseau, et aux failles de protection des informations d'identification de l'utilisateur. Enfin, les solutions d'isolation de serveurs et de domaines permettent d'éviter des menaces réseau similaires, mais elles fournissent des niveaux de contrôle d'accès réseau et de protection du trafic différents de ceux des autres types de technologie de sécurité réseau. Par exemple, une solution d'isolation de serveurs et de domaines peut autoriser l'accès entrant à des ordinateurs hôtes approuvés spécifiques en fonction de l'identité du domaine de l'utilisateur et de l'hôte, ce qui garantit la protection de bout en bout de la communication autorisée. Les autres technologies de sécurité réseau, quant à elles, ne prennent généralement en charge que l'identité de l'utilisateur.
Isolation de serveurs et de domaines : risques évités
Le tout premier risque que permet d'éviter l'isolation de serveurs et de domaines est celui de l'accès non autorisé, lorsqu'un ordinateur non approuvé tente d'accéder à un ordinateur approuvé. La solution seule ne permet pas de limiter complètement tous les risques de sécurité. Si ces risques de sécurité ne sont pas pris en charge par des processus et technologies de sécurité complémentaires, il est possible que vous ne tiriez pas parti des avantages de la solution d'isolation. Il existe plusieurs risques de sécurité graves que cette solution ne permet pas d'éviter directement, par exemple :
Risque de vol ou de divulgation de données sensibles par des utilisateurs approuvés. La solution d'isolation permet de contrôler les communications des ordinateurs au sein du réseau interne, mais les administrateurs peuvent compromettre ce contrôle. Cette solution ne permet pas de réduire le risque qu'un utilisateur approuvé copie ou divulgue des données sensibles.
Risque de compromission des informations d'identification des utilisateurs approuvés. Pour protéger les informations de connexion réseau, un administrateur peut décider de chiffrer la plus grande partie du trafic IPSec, mais la protection IPSec du trafic d'ouverture de session utilisateur vers les contrôleurs de domaine n'est pas prise en charge. L'isolation de serveurs et de domaines peut obliger une personne malveillante à utiliser un hôte approuvé pour attaquer d'autres hôtes approuvés. Une personne malveillante peut également attaquer des hôtes approuvés en utilisant des informations d'identification compromise d'hôtes qui sont dispensés d'utiliser IPSec avec des hôtes approuvés (par exemple, des contrôleurs de domaine et des serveurs DNS) ou d'hôtes qui acceptent des connexions entrantes d'ordinateurs non approuvés. Un administrateur peut déterminer si les hôtes approuvés communiquent vers l'extérieur, vers des hôtes non approuvés, mais la solution ne permet pas de limiter le risque qu'un utilisateur approuvé perde ses informations d'identification en se laissant abuser par un attaquant l'ayant incité à divulguer son mot de passe.
Utilisateurs malveillants. Cette catégorie inclut les utilisateurs légitimes qui profitent de leurs droits d'accès. Par exemple, cette solution ne permet pas de réduire le risque qu'un utilisateur contrarié décide de voler des informations en utilisant les hôtes approuvés auxquels son poste dans l'entreprise lui donne accès. L'accès physique à un ordinateur hôte approuvé peut permettre à une personne malveillante d'obtenir un accès non autorisé et administratif à cet hôte. Comme les administrateurs peuvent désactiver la protection d'isolation de serveurs et de domaines, il est primordial de limiter l'accès et le nombre d'administrateurs (y compris les administrateurs de l'entreprise, les administrateurs de domaine et les administrateurs locaux sur des stations de travail ou des serveurs membres).
Risque que des ordinateurs non approuvés accèdent à d'autres ordinateurs non approuvés. Cette solution ne permet pas de limiter le risque que des ordinateurs non approuvés utilisés par une personne malveillante s'en prennent à d'autres ordinateurs non approuvés.
Risque que des ordinateurs non approuvés attaquent certains ordinateurs approuvés. Les solutions d'isolation de serveurs et de domaines sont conçues pour protéger les hôtes approuvés. Cependant, pour des raisons pratiques de déploiement, cette solution identifie les membres du domaine approuvés qui, pour diverses raisons, n'ont pas recours à IPSec pour négocier un accès approuvé à d'autres hôtes approuvés. Ces ordinateurs approuvés, mais non-IPSec, font partie d'une liste d'exemptions (par exemple, les contrôleurs de domaine). Cette solution identifie également des hôtes approuvés auxquels peuvent accéder des ordinateurs non approuvés pour fournir des services de limite pour le domaine d'isolation. Une personne malveillante qui parvient à obtenir le contrôle d'un hôte exempté ou d'un hôte de limite peut attaquer tous les autres hôtes approuvés se trouvant dans le domaine d'isolation.
Garantie que les hôtes approuvés sont conformes aux exigences de sécurité. Cette solution donne des conseils sur la définition de l'approbation des hôtes et requiert surtout qu'ils soient membres d'un domaine Windows 2000 ou Windows Server 2003. Cette solution dépend uniquement de la réussite de l'authentification IPSec IKE basée sur le domaine (Kerberos) pour établir l'approbation et la connectivité protégée par IPSec. Avec le temps, les hôtes approuvés peuvent, pour diverses raisons, ne plus répondre totalement aux critères exigés des hôtes approuvés mais être toujours en mesure de s'authentifier avec succès comme membres du domaine. Les systèmes et processus de gestion informatique de l'organisation doivent s'assurer que les membres du domaine sont conformes à la définition des hôtes approuvés.
Pour résoudre ces problèmes, les configurations et modèles recommandés de renforcement de la sécurité ont été appliqués à tous les systèmes dans l'environnement de laboratoire de la Woodgrove Bank. Pour plus d'informations sur les procédures de gestion et les technologies de sécurité de la plate-forme Windows, reportez-vous à la page TechNet Security Resource Center du site Web Microsoft, à l'adresse : www.microsoft.com/technet/security/.
Comment l'isolation de serveurs et de domaines s'intègre-t-elle dans ma stratégie de sécurité réseau globale ?
L'isolation de serveurs et de domaines est utilisée en complément d'autres mécanismes préventifs et réactifs pour protéger le réseau et les périphériques qui y connectés, y compris les ordinateurs. Comme la sécurité est un problème complexe nécessitant une protection à plusieurs couches, il peut être utile de rappeler en quoi consiste une protection renforcée, ainsi que les concepts importants qui y sont rattachés. Une stratégie de sécurité réseau complète applique les technologies appropriées pour réduire les risques les plus importants sans dépendance significative vis-à-vis des points de défaillance uniques. Par exemple, si le périmètre de sécurité échoue suite à une configuration incorrecte ou à l'intervention d'un employé malveillant, quelle autre couche de protection peut empêcher les hôtes approuvés internes de subir des infections et attaques réseau ? Qu'est-ce qui pourrait permettre de bloquer des attaques ciblant les hôtes approuvés d'Europe et d'Asie, alors que la personne malveillante est connecté à un port Ethernet, dans une salle de réunion de n'importe quel bureau américain ?
Protection renforcée
La protection renforcée peut être définie comme une approche par couche permettant de protéger un ordinateur, au lieu de se fier à un dispositif de protection unique. Pour mettre en place des couches de protection efficaces, il est indispensable d'identifier avant tout les sources d'infection et les adversaires susceptibles d'attaquer une organisation, ainsi que leurs cibles potentielles. Par exemple, un adversaire peut être un concurrent louant les services d'une société d'espionnage industriel pour subtiliser des informations sur un nouveau produit ou un nouveau service en cours de développement. Lorsque vous avez cerné vos adversaires potentiels et leurs cibles probables, vous devez appliquer des procédures de réponse aux incidents pour les ordinateurs susceptibles d'être compromis. L'authentification, l'autorisation, la confidentialité et la non-répudiation comptent notamment parmi ces méthodes. Une organisation qui respecte la pratique recommandée protection-détection-réaction prend conscience que des attaques peuvent survenir** **et comprend que la détection anticipée de ces attaques et la réduction des interruptions de service ou des pertes de données sont primordiales. Étant donné que les probabilités d'attaque sont élevées, la méthode protection-détection-réaction permet de comprendre qu'il est nécessaire de concentrer davantage les efforts sur la protection des données et des ressources plutôt que sur la prévention des attaques. En règle générale, il est plus rentable de se protéger d'une attaque que de réparer les dégâts qu'elle peut occasionner.
Tous les dispositifs de protection des informations mettent l'accent sur les personnes, les processus et les technologies. L'isolation tient compte de l'ensemble de ces trois facteurs : elle se réalise via une identification précise des risques, des exigences et des ressources à protéger. Cette identification englobe les facteurs « personnes » et « processus ». En outre, l'isolation requiert des connaissances sur l'état actuel du réseau et de ses périphériques, sur les exigences de communication qui définissent l'interaction entre ordinateurs, et sur les exigences de sécurité qui risquent de limiter les exigences visant à obtenir le parfait équilibre entre sécurité et communication.
Pour plus d'informations sur ce sujet reportez-vous au Livre blanc « Defense in Depth » (protection renforcée) de la NSA (National Security Agency), à l'adresse : http://www.nsa.gov/snac/support/defenseindepth.pdf.
Pour plus d'informations et des exemples pratiques pour l'exécution de ce processus, reportez-vous au chapitre Enterprise Design (Configuration entreprise) du guide Windows Server System Reference Architecture (Architecture de référence des systèmes de serveurs Windows) sur le site Web de Technet, à l'adresse www.microsoft.com/technet/itsolutions/wssra/
raguide/Security_Architecture_1.mspx.
La figure suivante illustre l'intégration d'une solution d'isolation logique dans une approche de protection renforcée utilisée dans l'architecture de référence des systèmes de serveurs Windows :
.gif)
Figure 2.1 Protection renforcée avec l'isolation logique
Dans cette figure, il est important de comprendre que la couche de sécurité de l'isolation logique sécurise directement l'ordinateur hôte via le contrôle des communications réseau. Il s'agit d'un rôle très similaire à celui d'un pare-feu pour hôte. Toutefois, au lieu d'autoriser et de bloquer les services sur les ports comme un pare-feu pour hôte, IPSec autorise et bloque les services et négocie les services d'accès réseau approuvés. Une fois l'accès accordé, IPSec peut sécuriser tous les paquets entre les deux ordinateurs. Comme indiqué dans le cadre de cette solution, une solution d'« isolation logique » telle que l'isolation de serveurs et de domaines :
ne sécurise pas les périphériques réseau, comme les routeurs ;
n'offre pas un contrôle d'accès réseau physique (ex. : définition des ordinateurs autorisés à établir une connexion VPN d'accès à distance) ou les protections que proposent les pare-feu réseau ;
ne sécurise pas les liaisons réseau, telles que 802.1x pour les contrôles d'accès et le chiffrement 802.11 WEP pour les liaisons sans fil. IPSec offre toutefois une protection de bout en bout sur toutes les liaisons réseau entre l'adresse IP source et l'adresse IP de destination ;
ne sécurise pas l'ensemble des hôtes sur le réseau, mais uniquement ceux qui sont inclus dans la solution d'isolation ;
ne sécurise pas les chemins du niveau application, tels que le chemin de bout en bout via lequel sont acheminés les messages électroniques et .NET, ni les requêtes HTTP (Hypertext Transmission Protocol) pouvant être en proxy à plusieurs reprises entre le client et la destination du serveur Web.
Vous devez considérer la sécurité au niveau de chaque couche comme une partie intégrante de l'analyse de réduction des risques de sécurité informatique. Par exemple, si un ordinateur n'est pas autorisé à accéder à un serveur au niveau de la couche d'isolation logique, l'utilisateur qui se connecte à cet ordinateur importe peu. Tous les utilisateurs, même les administrateurs, se verront refuser l'accès au serveur.
Comparaison entre SSL/TLS et IPSec
IPSec n'est pas destiné à remplacer la sécurité de niveau application, telle que SSL/TLS. L'un des principaux avantages d'IPSec est qu'il permet de sécuriser le trafic réseau pour les applications existantes, sans avoir à les modifier. L'utilisation d'IPSec dans des environnements dans lesquels des applications utilisent SSL/TLS offre les avantages suivants :
Il aide à protéger l'ensemble des applications et le système d'exploitation des attaques lancées depuis des ordinateurs non approuvés et d'autres périphériques.
Il met en place une protection renforcée contre toute utilisation inappropriée ou non conforme de SSL/TLS (par exemple, si toutes les données eHPI ne sont pas chiffrées et authentifiées).
Il contribue à empêcher la saisie des informations d'identification de l'utilisateur sur des ordinateurs non approuvés, car les utilisateurs ne sont pas invités à se connecter à un site Web SSL/TLS interne tant qu'IPSec établit une approbation mutuelle entre le client et le serveur.
Il offre une sécurité lorsque vous ne pouvez pas utiliser les paramètres du registre de Windows pour sélectionner des algorithmes SSL/TLS conformes à la réglementation. Windows 2000, Windows XP et Windows Server 2003 fournissent des contrôles de clé de registre pour les algorithmes SSL/TLS, présentés dans l'article 245030 « How to Restrict the Use of Certain Cryptographic Algorithms and Protocols in Schannel.dll
» (Comment limiter l'utilisation de certains protocoles et algorithmes de chiffrement dans Schannel.dll) de la Base de connaissances Microsoft, à l'adresse suivante : http://support.microsoft.com/?kbid=245030.Il offre une sécurité lorsque les certificats ne sont pas disponibles.
IPSec sécurise le trafic entre les adresses IP source et de destination. SSL/TLS peut sécuriser le trafic sur tout le chemin de l'application (par exemple, d'un navigateur Web, via un proxy Web, vers un serveur Web).
L'institut NIST (National Institute for Standards and Technology) développe actuellement un guide d'utilisation de TLS. La publication spéciale 800-52, « Guidelines on the Selection and Use of Transport Layer Security » (Guide de sélection et d'utilisation de TLS) est un guide sur l'implémentation de TLS dans un gouvernement fédéral. Pour plus d'informations sur ce guide, reportez-vous au site Web de la NIST Computer Security Division , à l'adresse http://csrc.nist.gov/publications/index.html. Il n'existe pas de guide similaire pour l'utilisation d'IPSec. Toutefois, la NSA a publié des guides sur l'utilisation d'IPSec avec Windows 2000. Ces guides sont disponibles sur le site Web de la NSA , à l'adresse http://nsa2.www.conxion.com/win2k/download.htm. Les organisations qui sont dans l'obligation de se conformer aux recommandations de la NSA doivent analyser cette solution et consulter les guides de la NSA.
IPSec avec l'authentification par certificat offre une protection similaire à SSL/TLS, à quelques différences près. Windows IPSec prend en charge un petit sous-ensemble des algorithmes de chiffrement gérés par TLS et recommandés dans la publication spéciale 800-52 de la NIST (par exemple, 3DES, SHA-1 et Diffie-Hellman éphémère 1024 bits). La solution présentée dans ce guide utilise les signatures de protocole Kerberos pour l'authentification IKE entre membres du domaine, et non les signatures basées sur les certificats. La négociation IKE Windows IPSec établit l'approbation mutuelle entre les ordinateurs qui utilisent le protocole Kerberos et l'authentification basée sur les certificats. Comme l'authentification IKE n'est pas intégrée dans les applications, elle ne peut pas vérifier si le nom de l'ordinateur de destination correspond bien à celui de l'ordinateur auquel doit se connecter l'application. De ce fait, une attaque du type « man-in-the-middle » lancée depuis un autre hôte approuvé peut avoir lieu. Mais comme l'application s'intègre à SSL/TLS, le nom de l'ordinateur de destination est authentifié (approuvé) et peut également être comparé au nom de l'ordinateur auquel doit se connecter l'application.
Rappel terminologique
Avant de poursuivre ce chapitre, il peut être intéressant de revoir certains termes qui sont souvent utilisés dans le cadre de cette solution. Si vous connaissez déjà la signification de ces termes, vous pouvez passer directement à la section suivante. En revanche, si vous ne connaissez pas vraiment ces termes, vous risquez de ne pas bien comprendre certaines explications fournies dans ce guide.
Termes relatifs à l'isolation
Les termes suivants sont uniquement employés pour le concept d'isolation logique. Assurez-vous de bien comprendre ces termes avant de poursuivre la lecture de ce chapitre :
Isolation. Séparation logique entre un ou plusieurs ordinateurs et d'autres ordinateurs.
Isolation de domaines. Ce terme définit le type d'isolation qui vise à séparer les ordinateurs approuvés des ordinateurs non approuvés. Pour être isolé, un ordinateur doit posséder des informations d'identification valides et être authentifié avec succès via IKE. Le domaine peut être n'importe quel domaine dans le chemin d'accès à l'approbation, accessible via une approbation bidirectionnelle entre les deux hôtes tentant de sécuriser leurs communications.
Isolation de serveurs. Ce terme définit la manière dont les serveurs peuvent limiter l'accès entrant à un groupe spécifique d'ordinateurs approuvés, en utilisant IPSec et l'autorisation « Accéder à cet ordinateur à partir du réseau ».
Isolation logique. Il s'agit d'un terme plus général utilisé pour les technologies d'isolation. Il peut notamment inclure l'isolation de domaines, l'isolation de serveurs et la protection de l'accès au réseau (NAP) pour isoler des ordinateurs au niveau de la couche réseau.
Groupe d'isolation. Regroupement logique d'ordinateurs hôtes approuvés partageant les mêmes stratégies de sécurité des communications, notamment et principalement les mêmes exigences en termes de trafic réseau entrant et sortant. Vous pouvez implémenter les contrôles d'accès entrant et sortant d'un groupe d'isolation à l'aide d'une stratégie IPSec en utilisant des actions autoriser/bloquer, ou en faisant en sorte qu'IPSec négocie la sécurité conjointement avec les droits de connexion réseau de la stratégie de groupe (et éventuellement avec d'autres paramètres de configuration ou de connexion réseau). Les applications, services réseau et protocoles doivent bénéficier d'une configuration spécifique pour répondre aux exigences de trafic au niveau de leur couche. Par exemple, un groupe de serveur Exchange requiert qu'un ordinateur client ou serveur soit membre du domaine pour établir une connexion TCP/IP entrante. Ce groupe, qui n'est pas autorisé à établir des connexions TCP/IP sortantes vers des membres n'appartenant pas au domaine (sauf certaines exceptions) est appelé groupe d'isolation Exchange Server.
Domaine d'isolation. Il s'agit d'un groupe d'isolation dans lequel les membres du groupe sont les mêmes que ceux du domaine Windows. Si le domaine possède des domaines approuvés bidirectionnels, les membres de ces domaines appartiennent au domaine d'isolation. Comme dans un groupe d'isolation, les exigences en termes de trafic réseau entrant et sortant sont simples : les connexions entrantes ne peuvent provenir que d'autres membres du domaine de l'hôte approuvé. Un serveur placé dans le groupe d'isolation de serveurs peut avoir des clients qui appartiennent au domaine isolé.
Groupe d'accès réseau. Ce terme fait référence au groupe de sécurité de domaine de Windows, utilisé pour contrôler l'accès réseau à un ordinateur, en utilisant des paramètres de sécurité de stratégie de groupe pour les droits de connexion réseau. Ces paramètres sont créés pour appliquer les exigences d'accès entrant pour les groupes d'isolation. Chaque groupe d'isolation peut comprendre un groupe d'accès réseau autorisé (ANAG, Allow network access group) et un groupe d'accès réseau refusé (DNAG, Deny network access group).
Approbation. Ce terme est utilisé pour définir le fait qu'un ordinateur accepte l'identité validée via le processus d'authentification. L'approbation de domaine implique que tous les membres du domaine approuvent le contrôleur de domaine pour établir l'identité et fournir correctement les informations d'appartenance au groupe à cette identité. L'approbation est nécessaire pour communiquer avec un ordinateur distant en utilisant IPSec. L'approbation signifie également qu'un utilisateur ou un ordinateur est considéré comme un élément avec lequel il est possible de communiquer et ne présentant vraisemblablement qu'un faible risque de menace.
Hôte de confiance. Ce terme désigne un ordinateur susceptible d'être configuré pour répondre aux exigences de sécurité minimales d'une organisation, mais pouvant être, ou non, un hôte approuvé. Il est primordial de connaître les ordinateurs dignes de confiance lors de la planification des membres d'un groupe d'isolation approuvé.
Hôte approuvé. Ce terme fait référence à une plate-forme exécutant Windows 2000, Windows XP ou Windows Server 2003, appartenant au moins à un domaine de sécurité de Windows 2000 et capable d'appliquer une stratégie IPSec. Les hôtes approuvés sont en général définis pour répondre à des exigences de gestion et de sécurité supplémentaires. La configuration de l'hôte est contrôlée de façon à ce que les risques de sécurité de l'hôte soient faibles et gérables. Les hôtes approuvés sont moins susceptibles d'être à l'origine d'une infection ou d'un acte malveillant. Pour plus d'informations à ce sujet, reportez-vous au chapitre 3 de ce guide « Détermination de l'état actuel de votre infrastructure informatique ».
Hôte non approuvé. Ordinateur hôte qui n'est pas un hôte approuvé. Cet ordinateur possède une configuration inconnue ou non gérée. Il ne peut être garanti que l'hôte (ou utilisateur de l'hôte) ne sera pas à l'origine d'une source d'infection ou d'un acte de malveillance en cas de connexion au réseau.
Hôte de limite. Hôte approuvé qui est exposé au trafic réseau d'hôtes approuvés et non approuvés. Il doit par conséquent faire l'objet d'une surveillance plus étroite et être doté de moyens de protection plus importants que les autres hôtes approuvés pour lutter contre les attaques. Il doit y avoir le minimum d'hôtes de limite possible car ces derniers constituent une menace importante pour les autres hôtes approuvés.
Exemption. Ordinateur faisant partie ou non d'un domaine et n'utilisant pas IPSec. Il existe deux types d'exemptions. Nous avons, d'une part, les ordinateurs qui utilisent une adresse IP statique dont les adresses sont incluses dans la « liste d'exemptions », de sorte que les hôtes approuvés n'utilisent pas IPSec avec ces ordinateurs. Et d'autre part, nous avons les ordinateurs exemptés d'utiliser la stratégie IPSec pour négocier des connexions sécurisées. Cette dernière catégorie peut apparaître ou non dans la liste d'exemptions. Une exemption peut répondre aux exigences d'un hôte approuvé, mais n'utilise pas la protection IPSec pour communiquer avec les autres hôtes approuvés du domaine d'isolation.
Termes relatifs à la sécurité
Assurez-vous de bien comprendre les termes suivants :
Autorisation. Il s'agit d'une autorisation accordée à une personne, un ordinateur, un processus ou un périphérique pour accéder à des informations, des services ou des fonctionnalités spécifiques. L'autorisation est octroyée selon l'identité de la personne, de l'ordinateur, du processus ou du périphérique demandant l'accès. Cette identité est vérifiée lors de l'authentification.
Authentification. Il s'agit d'un processus de validation des informations d'identification d'une personne, d'un processus informatique ou d'un périphérique. Pour être authentifié(e), la personne, le processus ou le périphérique effectuant cette requête doit fournir une représentation des informations permettant de prouver son identité. Les informations d'identification les plus courantes sont les clés privées pour les certificats numériques, un secret configuré par l'administrateur sur deux périphériques (clé pré-partagée), un mot de passe secret de connexion de l'utilisateur ou de l'ordinateur au domaine, ou un élément biologique tel qu'une empreinte digitale ou une analyse rétinienne.
Usurpation. Dans ce guide, l'usurpation désigne l'attaque consistant à usurper l'identité d'une adresse IP autorisée dans le but d'interrompre les communications ou d'intercepter des données.
Non-répudiation. Cette technique est utilisée pour garantir qu'une personne effectuant une action sur un ordinateur ne peut nier qu'elle a effectué cette action. La non-répudiation offre la preuve irréfutable qu'un utilisateur ou un périphérique a effectué une action spécifique comme un transfert d'argent, une autorisation d'achat ou l'envoi d'un message.
Texte chiffré. Il s'agit des données qui ont été chiffrées. Le texte chiffré est le résultat du processus de chiffrement. Il peut retrouver une forme lisible (en texte clair) grâce à la clé de déchiffrement appropriée.
Texte clair (ou texte en clair). Il s'agit des communications et des données dans leur format non chiffré.
Hachage. Il s'agit d'un résultat de taille fixe obtenu en appliquant une fonction mathématique unidirectionnelle (parfois appelée algorithme de hachage) à un volume arbitraire de données d'entrée. En cas de modification des données d'entrée, le hachage change. Les fonctions de hachage sont choisies de sorte que la probabilité que deux entrées produisent le même résultat de hachage soit extrêmement faible. Le hachage peut être utilisé dans de nombreuses opérations, notamment dans l'authentification et la signature numérique. Il est également appelé « résumé du message ».
Termes relatifs au réseau
Les termes suivants font référence aux éléments réseau de cette solution :
Initiateur. Ordinateur qui initialise la communication réseau avec un autre ordinateur.
Répondeur. Ordinateur qui répond à la demande de communication sur le réseau.
Chemin de communication. Chemin de connexion mis en place pour le trafic réseau qui a lieu entre un initiateur et un répondeur.
Termes relatifs aux stratégies de groupe
Les termes suivants sont associés aux stratégies de groupe de Windows :
GPO (ou objet de stratégie de groupe). Les paramètres de stratégie de groupe que vous créez se trouvent dans un objet de stratégie de groupe (GPO). En associant un GPO aux conteneurs système d'Active Directory sélectionnés (sites, domaines et unités d'organisation (UO)), vous pouvez appliquer les paramètres de stratégie de l'objet de stratégie de groupe aux utilisateurs et ordinateurs présents dans ces conteneurs Active Directory. Pour créer un GPO, utilisez l'Éditeur d'objets de stratégie de groupe, et la console de gestion des stratégies de groupe pour gérer les GPO au sein d'une entreprise.
Stratégie de domaine. Stratégie stockée de façon centralisée dans Active Directory.
Stratégie locale. Stratégie stockée sur un ordinateur.
Termes élémentaires relatifs à IPSec
Assurez-vous de bien comprendre les termes suivants :
Stratégie de sécurité IP. Ensemble des règles de sécurité permettant de traiter le trafic réseau au niveau de la couche IP. Une règle de sécurité contient des filtres de paquets associés aux actions autoriser, bloquer ou négocier. Lorsque la négociation est requise, la stratégie de sécurité IP contient des méthodes d'authentification et de sécurité qui lui permettent de négocier avec l'ordinateur homologue.
Stratégie de sécurité IP persistante. Type de sécurité IP introduit dans Windows XP et Windows Server 2003, permettant d'appliquer les paramètres de stratégie IPSec de façon persistante. La stratégie persistante s'applique d'abord au démarrage du service IPSec, afin de pouvoir remplacer les paramètres de la stratégie IPSec locale ou du domaine.
Négociation IKE. Processus qui a lieu au lancement d'une connexion réseau, pour déterminer si un ordinateur utilisant IPSec autorise la connexion.
Associations de sécurité. Accords définis entre deux hôtes concernant la façon d'utiliser IPSec pour communiquer et les divers paramètres qui définissent cette négociation.
Associations de sécurité en mode principal. Ces associations de sécurité sont établies avant les autres lors de la négociation IKE entre l'initiateur et le répondeur.
Associations de sécurité en mode rapide. Ces associations sont négociées une fois les associations de sécurité en mode principal établies pour chaque session de communication entre les hôtes.
Communiquer en texte clair. Cette option permet à un initiateur IKE d'autoriser un trafic TCP/IP normal (non-IKE ou non-IPSec) si le répondeur ne renvoie pas de réponse IKE. Il s'agit de l'option Autoriser une communication non sécurisée avec un ordinateur qui n'utilise pas IPSec disponible sur la page des propriétés des actions de filtrage de l'outil Gestion de stratégie IPSec.
Relais entrant. Cette option autorise un ordinateur IPSec à accepter un paquet entrant TCP/IP normal (non-IKE ou non-IPSec) d'un ordinateur distant. La réponse normale du protocole de niveau supérieur est un paquet sortant qui lance une initiation IKE vers l'ordinateur distant. Il s'agit de l'option Accepter les communications non sécurisées mais toujours répondre en utilisant IPSec, disponible sur la page des propriétés des actions de filtrage de l'outil Gestion de stratégie IPSec.
Remarque : Si le relais entrant est activé, mais que l'option Communiquer en texte clair n'est pas activée sur un répondeur, celui-ci ne parviendra pas à communiquer avec un initiateur qui n'utilise pas IPSec.
Il est également très important de comprendre les termes spécifiques aux éléments d'IPSec. L'annexe A, « Présentation des concepts relatifs à la stratégie IPSec », de ce guide définit les termes relatifs à IPSec et explique le processus IPSec global que les ordinateurs des groupes d'isolation créés dans cette solution vont utiliser.
Comment l'isolation de serveurs et de domaines peut-elle être mise en place ?
L'idée d'isoler les ordinateurs des risques n'a rien de nouveau. L'utilisation de pare-feu pour permettre la segmentation, la mise en place de filtres et de contrôles d'accès au niveau des routeurs et la segmentation physique du trafic réseau font partie des techniques qui fournissent un niveau d'isolation.
La solution présentée dans ce guide est conçue pour fonctionner avec les techniques et périphériques existants de votre infrastructure réseau. Pour implémenter l'isolation, il faut apporter des modifications au logiciel hôte existant dans Windows 2000 et sur des plates-formes ultérieures. Les technologies et procédures telles que la segmentation réseau, les réseaux locaux virtuels (VLAN), les contrôles d'accès au réseau de périmètre, la mise en quarantaine réseau et la détection d'intrusions dans le périmètre du réseau peuvent être mises en place en implémentant ou en modifiant la configuration des périphériques réseau. L'isolation de serveurs et de domaines complète l'ensemble de ces techniques existantes et offre un niveau de protection supplémentaire pour les membres du domaine Windows gérés. Les administrateurs du système informatique Windows peuvent implémenter l'isolation de serveurs et de domaines en ne modifiant que très peu, voire pas du tout, les méthodes de connexion et chemins d'accès existants, les applications, et avec une infrastructure de domaine Windows 2000 ou Windows Server 2003 existante.
Composants de l'isolation de serveurs et de domaines
L'isolation de serveurs et de domaines intègre des composants importants qui, ensemble, constituent la solution. Les sous-sections ci-après présentent ces composants.
Hôtes approuvés
Les hôtes approuvés sont des ordinateurs que l'organisation informatique peut gérer pour répondre aux exigences minimales de sécurité. En général, vous pouvez obtenir le statut « approuvé » uniquement si l'ordinateur exécute un système d'exploitation fiable et géré, un antivirus et les mises à jour les plus récentes des applications et du système d'exploitation. Une fois l'ordinateur identifié comme « approuvé », le composant suivant de la solution est chargé de confirmer le statut de l'ordinateur, via l'authentification. Pour plus d'informations sur l'identification de l'état, reportez-vous au chapitre 3, « Détermination de l'état actuel de votre infrastructure informatique ».
Remarque: IPSec n'est pas capable de déterminer si un ordinateur est conforme aux critères d'un hôte donné. Une technologie de surveillance est requise pour déterminer la configuration élémentaire d'un ordinateur et signaler toute modification de cette configuration.
Authentification de l'hôte
Le mécanisme d'authentification de l'hôte permet de déterminer si l'ordinateur qui tente de lancer une session possède des informations d'authentification valides, telles que les informations d'identification du ticket Kerberos, un certificat ou une clé pré-partagée. À l'heure actuelle, deux technologies permettent de réaliser ce type d'authentification pour les ordinateurs Windows. Les sections ci-après présentent ces deux technologies.
Le protocole 802.1X
Le protocole 802.1X est un protocole d'authentification des utilisateurs et des périphériques basé sur des standards. Il autorise ou non la connexion via un port réseau de couche de liaison, tel qu'une connexion sans fil 802.11ou un port Ethernet 802.3. Il permet de contrôler les opérations des utilisateurs (à des fins de facturation), les autorisations et d'autres fonctions. Ce protocole requiert un ou plusieurs serveurs dédiés, par exemple, le service RADIUS (Remote Authentication Dial-In User Service), et une infrastructure réseau qui prend en charge le protocole. Le protocole 802.1X est conçu pour permettre de contrôler l'accès réseau et les clés de chiffrement pour le chiffrement WEP (Wired Equivalent Privacy) 802.11 du trafic sans fil entre le client et le point d'accès sans fil. Lorsque le périphérique est autorisé à accéder au réseau, il bénéficie en général d'un accès à l'ensemble du réseau interne. Les données sont déchiffrées au point d'accès sans fil, puis transférées au format TCP/IP normal en texte clair vers leur destination, susceptible d'être sécurisée par divers mécanismes de couche application.
La sécurité de la Woodgrove Bank requiert la protection de tous les hôtes approuvés contre les ordinateurs non approuvés du réseau interne. Le protocole 802.1X pourrait imposer que seuls les ordinateurs approuvés bénéficient d'un accès via une connexion sans fil ou filaire, mais les commutateurs utilisés pour la plupart des ports Ethernet 802.3 internes ne peuvent pas effectuer l'authentification 802.1X. Un coût non négligeable d'achat matériel et d'installation aurait pu être requis pour mettre à niveau toutes les prises LAN murales physiques et tous les bureaux répartis dans les différents pays. La Woodgrove Bank a décidé d'utiliser le protocole 802.1X pour la sécurité sans fil, mais pas pour les ports Ethernet câblés.
Une des autres exigences de sécurité de la Woodgrove Bank consistait à chiffrer le trafic de bout en bout entre les clients approuvés et les serveurs de chiffrement. Le protocole 802.1X n'a pas été mis au point pour permettre le chiffrement des connexions câblées, mais uniquement celui des connexions sans fil. Même lorsque les connexions sans fil sont chiffrées, les données ne sont pas protégées lorsque les paquets sont transférés sur le réseau local interne, après avoir été déchiffrés par le point d'accès sans fil. Par conséquent le protocole 802.1X ne permet pas de répondre à l'exigence de chiffrement de bout en bout.
Bien que le protocole 802.1X ne permette pas de répondre à l'ensemble des exigences de la Woodgrove Bank, il est toutefois utilisé pour la sécurité sans fil. Microsoft recommande d'utiliser le protocole 802.1X pour sécuriser les réseaux sans fil et permettre, lorsque cela est possible, un contrôle d'accès pour les réseaux filaires. Pour plus d'informations sur l'utilisation du protocole 802.1X, reportez-vous à la page Wi-Fi du site Web de Microsoft, à l'adresse http://www.microsoft.com/wifi.
IPSec
IPSec est le protocole de sécurité standard de l'IETF (Internet Engineering Task Force) pour le protocole IP. Il s'agit d'un mécanisme général de sécurité de couche IP basé sur des stratégies. Il convient parfaitement pour l'authentification hôte par hôte. Une stratégie IPSec possède des règles et paramètres de sécurité qui contrôlent sur un hôte le flux du trafic IP entrant et sortant. La stratégie peut être gérée de façon centralisée dans Active Directory en utilisant des objets de stratégie de groupe (GPO) pour l'attribution des stratégies aux membres du domaine. IPSec permet d'établir des communications sécurisées entre les hôtes. IPSec utilise le protocole de négociation IKE (Internet Key Exchange) pour négocier entre deux hôtes des options relatives à la communication sécurisée à l'aide d'IPSec. Les accords définis entre deux hôtes concernent la façon d'utiliser IPSec pour communiquer, et les divers paramètres qui définissent cette négociation constituent des associations de sécurité. La négociation IKE établit une association de sécurité en mode principal (également appelée association de sécurité ISAKMP) et une paire d'associations de sécurité en mode rapide (également appelées associations de sécurité IPSec), l'une pour le trafic entrant et l'autre pour le trafic sortant. IKE requiert une authentification mutuelle pour établir l'association de sécurité en mode principal. Windows IKE peut utiliser l'une des trois méthodes suivantes :
protocole d'authentification Kerberos version 5 ;
un certificat numérique X.509 avec la paire de clés RSA (Rivest, Shamir et Adleman) publique et privée correspondante ;
une clé pré-partagée (une phrase de passe, pas véritablement un mot de passe).
Bon nombre de personnes ne souhaitent pas déployer IPSec car elles estiment, à tort, qu'IPSec requiert des certificats d'infrastructure de clés publiques (PKI), souvent difficiles à déployer. Pour éviter d'avoir recours à une infrastructure de clés publiques, Microsoft a intégré l'authentification de domaine (Kerberos) de Windows 2000 dans le protocole de négociation IKE.
La négociation Windows IKE peut être configurée pour autoriser les communications avec un ordinateur ne répondant pas à la requête de négociation IKE. Cette caractéristique correspond à Communiquer en texte clair. Elle est d'une grande utilité lors du déploiement d'IPSec. Dans le cadre d'un fonctionnement normal, il est pratique de pouvoir autoriser des hôtes approuvés à communiquer avec des ordinateurs ou périphériques non approuvés, uniquement lorsque l'hôte approuvé lance la requête de connexion. IPSec utilise l'expression association de sécurité logicielle pour désigner une communication qu'IPSec ne peut pas protéger en utilisant les formats d'en-tête d'authentification (AH) ou d'encapsulation de charge utile de sécurité (ESP). IPSec enregistre cette communication dans le journal de sécurité comme audit de succès avec l'adresse IP de destination, et contrôle l'activité du trafic. Lorsque le trafic cesse après une durée d'inactivité (5 min par défaut) une nouvelle tentative de négociation de sécurité est requise lorsque de nouvelles connexions sortantes sont établies.
IPSec ne prend pas en charge le filtrage dynamique du trafic sortant, qu'il s'agisse du trafic dans une association de sécurité AH ou ESP, ou du trafic en texte clair impliqué dans une association de sécurité logicielle. Ainsi, lorsque vous utilisez les modèles de stratégie IPSec présentés dans ce guide pour l'isolation de domaines et de serveurs, l'hôte approuvé peut recevoir des connexions entrantes lancées depuis un ordinateur non approuvé sur n'importe quel port, par le biais de l'association de sécurité logicielle. Ceci constitue une vulnérabilité et par conséquent un point d'attaque potentiel. Mais il existe également un modèle prenant en charge des protocoles qui négocient les ports ouverts pour recevoir des connexions entrantes. Il est possible d'utiliser le filtrage dynamique des connexions sortantes pour compléter la protection IPSec, notamment à l'aide d'un pare-feu pour hôte tel que Pare-feu Windows. Le trafic réseau bénéficiant de la protection IPSec AH ou ESP sans chiffrement n'est pas considéré comme étant en texte clair car il n'est pas authentifié ni protégé contre l'usurpation et la modification.
Comme IPSec encapsule les paquets IP normaux dans un format sécurisé, les paquets n'apparaissent plus comme des paquets TCP (Transmission Control Protocol) et UDP (User Datagram Protocol) lorsqu'ils transitent sur le réseau. La tentative de déploiement d'IPSec dans le cas de la Woodgrove Bank a montré que la plupart des outils de gestion réseau considéraient que les applications pouvaient être directement identifiées par leur numéro de port TCP ou UDP (par exemple, le port 25 pour le trafic de la messagerie électronique et le port 80 pour le trafic Web). Lorsque vous utilisez IPSec, le trafic devient plus complexe et les routeurs et le système de détection des intrusions réseau ne parviennent ni à identifier les applications en cours d'utilisation ni à inspecter les données du paquet. Ce facteur crée un problème de gestion réseau, car il déprécie la valeur des outils actuellement utilisés pour surveiller le trafic, filtrer la sécurité, mettre en file d'attente de façon juste et pondérée, et classer la qualité des services.
Malheureusement, cette hypothèse sur la visibilité du trafic n'est pas tout à fait juste et devient même rapidement obsolète, même sans utiliser IPSec. La relation entre les numéros de port et les applications est de plus en plus fine. Il est par exemple possible d'exécuter un serveur Web sur un numéro de port arbitraire et d'indiquer le numéro de port dans l'URL du site. Il est également possible de contourner les efforts de filtrage de messagerie électronique entrepris par certains fournisseurs d'accès Internet (FAI), en exécutant un service de messagerie sur un numéro de port différent. Un grand nombre d'applications homologue-à-homologue (P2P) sont astucieuses dans la gestion des ports. Elles choisissent en réalité des numéros de port au hasard pour éviter d'être détectées. Les applications basées sur les services d'appel de procédure distante (RPC) sont également habiles dans la gestion des ports. En effet, les services RPC choisissent au hasard des numéros de port éphémères (supérieurs à 1024) pour différents services.
L'utilisation croissante de services Web va très probablement accélérer les problèmes d'identification du trafic, car le trafic pour ces services s'exécute au-dessus du protocole HTTP ou HTTPS, via le port 80 ou 443. Les clients et les serveurs utilisent ensuite l'URL HTTP pour identifier le trafic. Toutes les applications déplacées vers une architecture de services Web apparaissent comme un flux de données indifférencié unique pour les routeurs, car le trafic de ces services Web est exécuté sur un seul port ou sur un petit nombre de ports. Chaque application ou service n'est pas exécuté sur un numéro de port distinct. L'utilisation de SSL et de TLS pour les connexions HTTPS et le chiffrement RPC déprécie la valeur de l'inspection du réseau en tant que dispositif de défense contre les attaques. Comme les applications de gestion réseau étaient toujours capables d'analyser les adresses des paquets et qu'elles bénéficiaient d'une visibilité suffisante pour tous les autres trafics non protégés par IPSec, la Woodgrove Bank a décidé que la perte de certaines fonctionnalités de gestion réseau n'était pas suffisamment significative pour modifier les plans de ce projet. En outre, certains fournisseurs d'outils de gestion réseau souhaitaient modifier leurs outils pour analyser les formes non chiffrées de paquets IPSec.
La plupart des applications basées sur l'hôte n'ont pas besoin d'être modifiées pour fonctionner correctement alors qu'IPSec sécurise l'ensemble du trafic entre les adresses IP. L'objectif de cette solution n'est pas d'utiliser IPSec uniquement pour des applications ou des protocoles spécifiques, car il existe des risques d'attaque réseau sur d'autres services réseau. Si des applications ne fonctionnent pas correctement avec IPSec, l'administrateur a la possibilité d'autoriser ce trafic sans la protection IPSec et en fonction des adresses IP utilisées pour les serveurs. Il n'est pas recommandé d'autoriser des applications en fonction d'un port connu car cela ouvre une brèche d'entrée statique aux personnes malveillantes qui peuvent ainsi établir des connexions entrantes sur n'importe quel port ouvert, annihilant de ce fait l'objectif de l'isolation. Les applications qui utilisent des ports alloués dynamiquement ne peuvent pas être autorisées sans protection IPSec. Les applications qui utilisent l'adressage IP de multidiffusion et de diffusion risquent de rencontrer des problèmes avec IPSec dans le cadre de l'isolation de serveurs et de domaines. Windows IPSec peut autoriser tout le trafic de multidiffusion et de diffusion, à l'exception de certains types. Si vous rencontrez des problèmes de compatibilité avec certaines applications, renseignez-vous auprès du fournisseur de l'application concernée pour savoir si un correctif ou une mise à niveau est disponible pour résoudre ce problème. Si l'application ne peut pas être mise à jour ou remplacée par une application qui serait compatible, les ordinateurs qui doivent utiliser cette application risquent de ne pas pouvoir être intégrés dans l'isolation de domaines ou de groupes.
Outre ses fonctionnalités d'authentification, IPSec offre également deux autres services très utiles de communication hôte : la vérification de l'intégrité des adresses et le chiffrement du trafic réseau.
Vérification de l'intégrité des adresses. IPSec peut utiliser des en-têtes d'authentification (AH) pour assurer l'intégrité des données et des adresses pour chaque paquet. Les AH de Windows utilisent un mécanisme de hachage avec clé dans le pilote Windows IPSec. L'utilisation des AH permet d'éviter que des attaques par relecture ne se produisent, et elle offre une intégrité renforcée en confirmant qu'aucun des paquets reçus n'a été modifié, de l'envoi à la réception effective. Un AH ne fonctionnera pas correctement s'il passe par un périphérique qui effectue une traduction d'adresses réseau (NAT), car la technologie NAT remplace l'adresse source dans l'en-tête IP, violant ainsi la sécurité mise en place par IPSec AH.
Chiffrement du trafic réseau. IPSec assure la confidentialité et l'intégrité des données grâce au chiffrement, en utilisant l'option d'encapsulation de charge utile de sécurité (ESP) pour le protocole IP. Bien que l'ESP n'assure pas l'intégrité des adresses (sauf lorsqu'elle est utilisée avec les AH), il est possible de faire en sorte qu'elle traverse avec succès un périphérique NAT en utilisant une encapsulation UDP. Si les réseaux internes sont segmentés avec des périphériques qui utilisent NAT, l'ESP est le choix logique qui s'impose car l'encapsulation de charge utile de sécurité n'impose pas le chiffrement des paquets. Windows IPSec prend en charge RFC 2410, qui définit l'utilisation de l'ESP avec chiffrement nul (ESP/null). ESP/null permet d'assurer l'authentification, l'intégrité et l'anti-relecture des données, sans requérir de chiffrement. Le Moniteur réseau de Windows Server 2003 est capable d'analyser une ESP non chiffrée pour exposer les protocoles de niveau supérieur TCP/IP normaux. Si le chiffrement ESP est utilisé, la surveillance des paquets n'est possible que si l'ordinateur utilise une carte réseau d'accélération matérielle IPSec, qui déchiffre d'abord les paquets entrants.
Remarque: l'ESP avec chiffrement ou utilisant le chiffrement null permet des relations poste à poste IPSec renforcées avec authentification, tout comme les en-têtes d'authentification. Elle offre également une protection contre les relectures et peut traverser correctement un périphérique NAT. Pour ces raisons, la Woodgrove Bank a choisi de ne pas implémenter d'en-tête d'authentification. Elle utilise uniquement ESP/null et ESP avec chiffrement sur son réseau d'entreprise.
IPSec peut fonctionner dans les deux modes suivants : le mode de tunnel et le mode de transport :
Mode de transport IPSec. Le mode de transport IPSec est l'option recommandée pour sécuriser le trafic entre des hôtes de bout en bout. Le pilote IPSec ajoute simplement un en-tête IPSec après l'en-tête IP d'origine. L'en-tête IP d'origine est conservé et les paquets restants sont sécurisés via un processus de chiffrement AH ou ESP. Les filtres IPSec contrôlent le trafic bloqué, autorisé ou encapsulé par IPSec. Les filtres IPSec spécifient les adresses IP (ou sous-réseaux) source et destination, le protocole (ICMP ou TCP, par exemple) et les ports source et de destination. Les filtres peuvent donc s'appliquer spécifiquement à un ordinateur ou à tous les protocoles et adresses de destination possibles. Le mode de transport avait été conçu pour les adresses IP dynamiques, en mettant à jour automatiquement les filtres configurés avec « Mon adresse IP ». Il est moins surchargé et, dans l'ensemble, plus simple à utiliser que le mode de tunnel IPSec. Le mode de transport de négociation IKE constitue un moyen efficace d'autorisatio n des co nnexions entrantes protégées par IPSec. Les problèmes liés à l'utilisation du mode de transport IPSec sont les suivants :
Délai initial. Il doit s'écouler de une à deux secondes avant qu'IKE ne puisse lancer et réaliser une négociation complète réussie. Alors que la communication est en cours, IKE tente d'actualiser les clés de chiffrement qui protègent automatiquement le trafic.
Ordre de priorité prédéfini des filtres. Les filtres de stratégie IPSec peuvent se chevaucher et ainsi suivre un ordre de priorité prédéfini, le plus spécifique en premier. Pour cela, les deux parties en communication doivent posséder, pour la négociation IKE, un ensemble de filtres de mode de transport IPSec compatibles. Par exemple, cette solution utilise un filtre plus général pour « tout le trafic » qui négocie la sécurité IPSec et un filtre plus spécifique pour autoriser uniquement le trafic ICMP plutôt que de sécuriser ce trafic avec IPSec.
Consommation importante de puissance de calcul. Le chiffrement du mode de transport ESP IPSec peut consommer énormément de puissance de calcul. La copie d'un fichier chiffré peut nécessiter l'utilisation de 80 à 100 % des ressources de processeur. Windows 2000, Windows XP et Windows Server 2003 possèdent des interfaces de cartes réseau qui permettent d'accélérer au niveau matériel les opérations de chiffrement IPSec.
Mode de tunnel IPSec. Le mode de tunnel IPSec est en général utilisé pour les tunnels VPN de passerelle à passerelle entre des adresses IP statiques de passerelles VPN. Le mode de tunnel crée un nouvel en-tête IP avec un en-tête IPSec. Le paquet d'origine doté de l'en-tête IP d'origine est encapsulé intégralement pour former un paquet tunnel. Dans les scénarios de l'isolation de serveurs et de domaines, le mode de tunnel peut être utilisé pour sécuriser le trafic d'un serveur IP statique vers un routeur prenant en charge IPSec. Cela peut même s'avérer nécessaire si l'hôte de destination ne prend pas en charge IPSec. La Woodgrove Bank n'a pas utilisé de scénario nécessitant l'utilisation du mode de tunnel.
Pour plus d'informations techniques sur le mode de transport et le mode de tunnel dans IPSec, reportez-vous à la section « Determining Your IPSec Needs » (Détermination de vos besoins IPSec) du chapitre « Deploying IPSec » (Déploiement d'IPSec) dans la partie « Deploying Network Services » (Déploiement de services réseau) du Kit de déploiement de Windows Server 2003, à l'adresse www.microsoft.com/resources/documentation/
WindowsServ/2003/all/deployguide/
en-us/dnsbj_ips_wclw.asp.
Autorisation de l'hôte
Lorsque l'hôte a déterminé que la communication qu'il reçoit provient d'une source vérifiable, il doit déterminer s'il doit ou non autoriser l'accès à l'ordinateur source et à l'utilisateur. Cela est très important car ce n'est pas parce qu'un périphérique peut être authentifié qu'il sera pour autant autorisé à accéder à un hôte donné.
L'approche que recommande Microsoft consiste à utiliser des groupes Windows standards afin de limiter les possibilités d'accès des utilisateurs et des ordinateurs aux ressources des autres ordinateurs de l'organisation. Cette méthode crée une nouvelle couche d'autorisation pour les comptes ordinateur et utilisateur au niveau de la couche réseau et application en utilisant les autorisations des attributions des droits de l'utilisateur de la stratégie locale sur l'hôte auquel l'accès doit être accordé. En utilisant les attributions des droits de l'utilisateur « Accéder à cet ordinateur à partir du réseau » (AUTORISER) et « Interdire l'accès à cet ordinateur à partir du réseau » (REFUSER), il est possible de restreindre l'accès d'un ordinateur ou d'un utilisateur à une ressource, même s'ils partagent des paramètres de stratégie IPSec communs et si l'utilisateur connecté possède le droit d'accéder à la ressource. Ce niveau de contrôle supplémentaire est fondamental dans l'approche de l'isolation présentée dans cette solution.
Les privilèges des groupes d'Active Directory classent les ordinateurs et les utilisateurs de telle sorte qu'il est possible d'assigner les niveaux d'autorisation requis de façon simple et évolutive. Pour faciliter la distinction entre les groupes créés spécifiquement pour obtenir l'autorisation d'accès à l'hôte et les groupes bénéficiant d'autorisations d'accès standard au partage, ce guide utilise le terme groupes d'accès réseau.
La figure suivante illustre les principales étapes du processus global d'autorisation hôte/utilisateur de la solution.
.gif)
Figure 2.2 Processus d'autorisation utilisateur/hôte
Le processus en cinq étapes (détaillées ci-après) illustré par la figure 2.2 est suivi pour toutes les communications réseau, une fois la solution d'isolation en place.
Un utilisateur tente d'accéder à un partage situé sur un serveur départemental. Un utilisateur connecté à l'ordinateur client tente d'accéder à un partage sur un hôte approuvé, dans la solution d'isolation logique. L'ordinateur client tente donc de se connecter à l'hôte approuvé en utilisant le protocole de partage de fichiers (en général, le protocole SMB, via le port de destination TCP 445). Dans le cadre de la solution, une stratégie IPSec est affectée au client. La requête de connexion TCP sortante lance une négociation IKE vers le serveur. Le client IKE obtient un ticket Kerberos lui permettant d'être authentifié par le serveur.
Négociation de mode principal IKE. Lorsque le serveur reçoit la requête de communication IKE initiale émise par l'ordinateur client, il procède à l'authentification du ticket Kerberos. Pendant le processus d'authentification, IKE vérifie que l'ordinateur client possède les droits d'accès à l'hôte requis, qui doivent être conformes aux droits d'utilisateurs AUTORISER ou REFUSER de la stratégie de groupe. Si l'ordinateur client possède l'attribution des droits utilisateur requise, la négociation IKE se termine et une association de sécurité en mode principal IPSec est établie.
Négociation de la méthode de sécurité IPSec. Une fois la négociation de l'association de sécurité en mode principal IKE terminée, les méthodes de sécurité de la stratégie IPSec sont vérifiées afin de négocier une connexion en utilisant les méthodes de sécurité des associations de sécurité IPSec acceptables par les deux hôtes.
L'organigramme suivant illustre le processus complet de l'étape 2 à l'étape 3 :
.gif)
Figure 2.3 Processus de vérification des autorisations d'accès à l'hôte de l'ordinateur
Vérifications des autorisations d'accès à l'hôte de l'utilisateur. Une fois la communication protégée par IPSec établie, le protocole SMB procède à l'authentification en utilisant le compte utilisateur du client. Sur le serveur, le compte utilisateur est analysé pour vérifier qu'il bénéficie bien des autorisations d'accès à l'hôte requises, qui doivent être conformes aux droits d'utilisateurs AUTORISER et REFUSER de la stratégie de groupe pour l'hôte approuvé. Le diagramme suivant illustre ce processus :
.gif)
Figure 2.4 Processus de vérification des autorisations d'accès à l'hôte de l'utilisateur
Si le compte d'utilisateur bénéficie de l'attribution des droits utilisateur requise, le processus se termine et le jeton de connexion utilisateur est créé. Une fois ce processus terminé, les vérifications de sécurité de la solution d'isolation logique sont terminées.
Vérifications des autorisations d'accès aux fichiers et au partage. Enfin, le serveur vérifie les autorisations d'accès aux fichiers et au partage Windows standard pour contrôler que l'utilisateur est membre d'un groupe bénéficiant des autorisations requises pour accéder aux données demandées par l'utilisateur.
.gif)
.gif)
L'utilisation de groupes d'accès réseau permet de bénéficier d'un niveau de contrôle très élevé dans la solution.
Le scénario suivant donne un exemple pratique des étapes de la solution d'isolation logique :
Au cours d'une réunion, une sous-traitante connecte son ordinateur portable à un point de connexion d'une salle de réunion, pour copier des données sur un partage situé sur le serveur RH d'un employé. Dominique, membre du service des RH, indique au sous-traitant le chemin d'accès au partage du serveur RH. Comme l'ordinateur portable du sous-traitant n'est pas un hôte connu ou approuvé, le service informatique ne gère pas l'ordinateur et le niveau de sécurité mis en place dans l'ordinateur portable n'est pas connu. Par conséquent, il est possible que les fichiers contiennent un logiciel malveillant susceptible d'infecter les ordinateurs internes. Lorsque l'ordinateur du sous-traitant tente de se connecter au serveur RH, les ordinateurs échouent à l'étape 2 du processus. Les ordinateurs ne peuvent pas négocier une association de sécurité en mode principal IKE car l'ordinateur portable n'est pas en mesure de fournir le ticket Kerberos requis pour permettre la vérification des informations d'identification de l'ordinateur. L'ordinateur portable n'appartient pas à un domaine approuvé. Les exigences de la stratégie IPSec du groupe d'isolation auquel appartient le serveur RH n'autorisent pas le serveur à communiquer avec un hôte qui n'utilise pas IPSec. Par conséquent, toutes les tentatives de communication émises par cet ordinateur non approuvé sont bloquées. En résumé, la solution d'isolation logique aide à protéger l'infrastructure informatique des menaces que peuvent représenter des ordinateurs non approuvés et non gérés, même lorsque ceux-ci bénéficient d'un accès physique au réseau interne.
Cet exemple explique comment implémenter l'isolation selon une approche hôte par hôte. La proposition d'une isolation à des coûts administratifs réduits fait également partie des exigences importantes de la solution. Il est possible de regrouper des ordinateurs, tout comme cela est possible pour les utilisateurs, puis d'attribuer à ces groupes les droits d'utilisateur AUTORISER ou REFUSER dans toutes les stratégies locales des ordinateurs. Cette approche est toutefois difficile à gérer et n'évolue pas correctement sans utiliser la fonction de centralisation de la stratégie de groupe et d'Active Directory, et sans une compréhension solide des chemins de communication requis. En outre, cette approche seule ne permet pas de réaliser une authentification fiable ou de chiffrer les données. Lorsque ces autorisations d'accès à l'hôte sont associées à IPSec et que les hôtes sont organisés dans des groupes d'isolation, les relations entre les groupes sont plus claires et les chemins de communication, plus faciles à définir (une fois les exigences clairement répertoriées). Pour plus d'informations sur la configuration et la structure des groupes d'isolation, reportez-vous au chapitre 4, « Conception et planification de groupes d'isolation ».
De quoi nous protège l'isolation de serveurs et domaines ?
L'isolation de serveurs et de domaines consiste à mettre en place des limites de communication entre des ordinateurs et d'autres ordinateurs ou périphériques tentant d'établir les communications. Ces limites ou frontières permettent de limiter les communications en définissant le niveau auquel un périphérique est considéré comme approuvé. La mise en place de limites comme l'authentification, l'autorisation et l'emplacement réseau autour d'un hôte en utilisant une stratégie IPSec est un excellent moyen de réduire bon nombre de menaces. IPSec ne constitue pas une stratégie de sécurité complète mais ajoute une couche de protection supplémentaire dans une stratégie de sécurité globale.
La section suivante présente des menaces types et évoque brièvement la modélisation des menaces. Pour plus d'informations sur les périphériques approuvés dans le scénario de Woodgrove Bank et sur le processus de conception utilisé par la Woodgrove Bank pour identifier et classer les ordinateurs comme dignes de confiance, reportez-vous à la section « Définition de l'approbation » du chapitre 3 « Détermination de l'état actuel de votre infrastructure informatique ».
Modélisation et classification des menaces
Ces dernières années, les attaques ciblant les applications et serveurs réseau sont devenues de plus en plus fréquentes et complexes. Ce qui est intéressant, c'est que les styles et types d'attaque ainsi que les méthodes élémentaires permettant de les déjouer n'ont pas véritablement évolué. Certaines fonctions et méthodes d'implémentation de ces défenses sont toutefois différentes. Pour être en mesure de déterminer la planification que requiert une solution d'isolation de serveurs et de domaines, votre organisation doit d'abord entreprendre une analyse détaillée des risques de menace présents et comprendre comment déjouer ces risques en faisant appel à plusieurs technologies et processus.
Les processus permettant d'identifier, de classer et de répertorier les menaces encourues par une organisation sont à l'heure actuelle bien connus. Cette documentation présente une méthodologie pouvant être utilisée pour la modélisation des menaces commerciales, environnementales et techniques communes auxquelles doivent faire face les organisations. Pour la modélisation de la menace, Microsoft utilise la méthode STRIDE. STRIDE représente les catégories de menace contre lesquelles se protéger. Ces catégories sont les suivantes :
S usurpation
T falsification
R répudiation
I divulgation d'informations
D refus de service
E élévation de privilèges
Il est primordial de consacrer le temps et les ressources nécessaires à la définition, la plus précise possible, d'un modèle de menace, pour assurer la protection de toutes les ressources à protéger. Pour obtenir plus d'informations sur les menaces et attaques spécifiques que l'isolation de serveurs et de domaines aide à limiter, reportez-vous à l'annexe D, « Catégories de menaces informatiques », de ce guide. Pour une présentation détaillée des modèles de menace, reportez-vous au chapitre 2, « Defining the Security Landscape » (Définition du paysage de sécurité), de la solution Microsoft Solution for Securing Windows 2000 Server pouvant être téléchargée à l'adresse suivante : www.microsoft.com/technet/security/prodtech/
win2000/secwin2k/02defsls.mspx.
Comment déployer l'isolation de serveurs et de domaines ?
Lorsque vous avez pris connaissance des menaces auxquelles doit faire face votre organisation et que vous avez compris comment la solution permet de réduire ces risques, étudiez un déploiement possible de la solution. Cette section décrit le processus de déploiement.
Collecte d'informations
Avant même de commencer le processus de conception, vérifiez que vous disposez d'une représentation à jour et précise de l'état actuel du réseau de votre organisation, notamment des configurations des stations de travail et serveurs, et des chemins de communication. Il est impossible de développer une solution d'isolation logique efficace sans connaître de façon précise les éléments que la solution doit protéger.
Le chapitre 3, « Détermination de l'état actuel de votre infrastructure informatique », décrit de façon détaillée les moyens qui vous permettent d'obtenir des informations sur l'état actuel de votre réseau et sur les périphériques qui y sont connectés. Ce processus fournit toutes les informations requises dans les chapitres suivants de cette solution et offre un grand intérêt pour les autres projets entrepris dans l'organisation. Ce processus permet avant tout à l'organisation d'analyser et d'examiner avec soin les chemins de communication requis pour ses systèmes d'information et d'effectuer des choix judicieux quant aux compromis éventuels sur les risques, les exigences de communication et les exigences de l'entreprise.
Présentation du processus de déploiement d'IPSec
Lorsque vous avez choisi et créé une conception, vous devez mettre en place un processus d'implémentation de cette conception dans l'organisation, de sorte que l'implémentation soit gérable et qu'elle ait peu de répercutions sur les utilisateurs. Le chapitre 4, « Conception et planification de groupes d'isolation », présente de façon détaillée plusieurs approches dont vous pouvez vous inspirer. Le processus élémentaire peut être résumé comme suit :
Tester la conception et les stratégies IPSec dans un laboratoire de validation technique. Testez les stratégies IPSec envisagées dans un environnement hors production, isolé, pour vous assurer que la conception fonctionne comme prévu et pour tester les problèmes susceptibles de survenir dans les paramètres de la stratégie ou dans les mécanismes de déploiement.
Expérimenter la configuration testée et approuvée. Lorsque l'équipe est convaincue que la conception fonctionne comme prévu dans l'environnement du laboratoire, l'étape suivante du processus consiste à identifier dans un environnement de production un petit nombre d'ordinateurs à inclure dans un déploiement expérimental de la solution. Pour s'assurer que les problèmes susceptibles de survenir pendant le test auront le moins d'impact possible sur l'activité des utilisateurs, un support préventif doit être dispensé aux ordinateurs et aux utilisateurs identifiés.
Implémenter un déploiement progressif de la solution. La dernière étape du processus consiste à planifier le déploiement de la conception pour l'ensemble de l'organisation. Ce processus est très important ! Vous devez être extrêmement prudent lorsque vous planifiez cette étape. Il est possible de mettre en œuvre (après la simple modification d'un paramètre de la stratégie IPSec) une conception qui peut priver bon nombre d'ordinateurs de l'accès aux ressources réseau. Testez et organisez votre plan de déploiement pour que les modifications introduites par la solution soient implémentées de sorte qu'il soit possible de retrouver rapidement un état de fonctionnement satisfaisant, au cas où une erreur de conception ou de configuration n'aurait pas été détectée lors de la phase de test.
Le chapitre 4, « Conception et planification de groupes d'isolation », donne des informations détaillées sur le processus de conception de domaines d'isolation et présente des options de déploiement progressif de la solution.
Résumé
Ce chapitre décrit les objectifs et les processus de la solution présentée dans ce guide. Depuis de nombreuses années déjà, les professionnels de l'informatique ont compris les avantages d'IPSec, toutefois, en raison de la nature complexe de cette technologie, rares en sont les implémentations. L'implémentation d'IPSec peut entraîner de graves problèmes si la solution ne bénéficie pas d'une conception solide, d'un déploiement parfaitement planifié et d'une méthodologie de test fiable.
Les informations présentées dans ce chapitre montrent que l'isolation logique est une couche de sécurité supplémentaire qui exploite les techniques d'isolation de serveurs et de domaines, et les fonctions de la plate-forme Windows, d'IPSec, des stratégies de groupe et d'Active Directory pour constituer une solution d'entreprise gérable et évolutive, capable de réduire les risques auxquels sont exposées les données.
Les informations présentées dans les chapitres suivants mettent l'accent sur les étapes requises pour la planification et l'implémentation de la solution. Le chapitre 6, « Gestion d'un environnement d'isolation de serveurs et de domaines », présente des procédures à implémenter dans le cadre du fonctionnement quotidien d'un environnement d'exploitation utilisant l'isolation de serveurs et de domaines. Le chapitre 7, « Dépannage d'IPSec », contient des informations relatives à la prise en charge et au dépannage d'IPSec.
Télécharger la solution complète
Isolation de serveurs et de domaines à l'aide d'IPSec et de stratégies de groupe