Isolation de serveurs et de domaines à l'aide d'IPSec et de stratégies de groupe
Chapitre 4 : Conception et planification de groupes d'isolation
Dernière mise à jour le 16-02-2005
Ce chapitre détaille la définition de groupes d'isolation répondant aux exigences de sécurité commerciale décrites dans le chapitre 2, « Présentation de l'isolation de serveurs et de domaines ». Cette solution utilise une combinaison de l'identité de l'ordinateur dans le domaine de service d'annuaire Active Directory®, de la stratégie IPSec pour authentifier cette identité et de la stratégie de sécurité Microsoft® Windows® pour définir et appliquer des groupes d'isolation. Les administrateurs informatiques peuvent utiliser le concept de groupes d'isolation pour gérer le trafic dans leurs réseaux internes de manière sécurisée transparente aux applications. Cette possibilité peut réduire sensiblement la menace de dommages provenant d'infections et d'attaques via le réseau.
Par le biais du scénario Woodgrove Bank, ce guide fournit les principaux détails sur la manière dont une organisation peut transformer ses exigences de sécurité en groupes d'isolation déployés. Il indique également comment IPSec peut être combiné à d'autres paramètres de sécurité pour élaborer une solution d'isolation de serveurs et de domaines détaillée, maniable et évolutive.
Chaque organisation devra élaborer la solution en fonction des exigences qui lui sont propres, et les modèles utilisés dans ce guide ne sont pas destinés à être suivis sans question ni modification. Les organisations utilisant ce guide devront déterminer ce qui est requis et possible dans leur propre environnement, et apporter les modifications appropriées à la conception du modèle de groupe d'isolation en vue de l'adapter au mieux aux exigences spécifiques de leur activité.
Sur cette page
Connaissances préalables requises pour ce chapitre
Création de la conception d'isolation de serveurs et de domaines
Méthodes d'implémentation de groupe
Implémentation des groupes pour Woodgrove Bank
Résumé
Connaissances préalables requises pour ce chapitre
Cette section contient des informations qui vous aideront à déterminer l'approche de votre organisation par rapport à la solution d'isolation de serveurs et de domaines. La réussite de la solution dépend des conditions préalables requises identifiées dans cette section.
Connaissances requises
Vous devez connaître les concepts et la terminologie associés à IPSec. Il est également important d'avoir des connaissances concernant Microsoft Windows Server™ 2003 dans les domaines suivants :
Stratégie et filtres IPSec, actions de filtrage et listes de filtres
Concepts relatifs à Active Directory (notamment la structure et les outils Active Directory, la manipulation des utilisateurs, des groupes et d'autres objets Active Directory, les services de résolution de noms et utilisation d'une stratégie de groupe)
Concepts d'authentification, comprenant le processus d'ouverture de session de Windows et le protocole Kerberos version 5
Sécurité du système Windows (concepts de sécurité tels que les utilisateurs, les groupes, l'audit et les listes de contrôle d'accès, l'utilisation des modèles de sécurité et l'application des modèles de sécurité à l'aide de la stratégie de groupe ou des outils de ligne de commande).
Avant de poursuivre la lecture de ce chapitre, vous devez avoir lu les chapitres précédents de ce guide.
Conditions requises pour l'organisation
Vous devez consulter les membres de votre organisation qui peuvent être impliqués dans l'implémentation de cette solution, notamment :
les cadres exécutifs ;
les personnes chargées de l'audit et de la sécurité ;
les ingénieurs, les administrateurs et les équipes opérationnelles Active Directory ;
les ingénieurs et les personnes chargées de l'administration et de l'exploitation du réseau et du DNS (Domain Name System).
Remarque : selon la structure de votre organisation informatique, ces rôles peuvent être remplis par plusieurs personnes, ou une même personne peut remplir plusieurs rôles. Cependant, il est important d'identifier un seul point de contact pour aider à coordonner les efforts des équipes d'organisation à travers les diverses phases du projet.
Ce chapitre suppose également que vous avez satisfait les exigences répertoriées dans le chapitre 2, « Présentation de l'isolation de serveurs et de domaines », et le chapitre 3, « Détermination de l'état actuel de votre infrastructure informatique », notamment la collecte d'informations à partir des hôtes, du réseau et d'Active Directory. Le recensement des exigences commerciales et l'obtention du support de la direction sont également abordés.
Enfin, vous devez disposer d'un plan en place pour former les divers personnels d'assistance et de support aux nouveaux concepts, terminologies et technologies de cette solution. Cette solution affectant de nombreux domaines de l'organisation, le personnel de support doit être formé pour gérer tout problème apparaissant durant le déploiement.
Configuration requise pour l'infrastructure informatique
Ce chapitre suppose l'existence de l'infrastructure informatique suivante :
- Un domaine Active Directory Windows Server 2003 fonctionnant en mode mixte ou natif. Cette solution utilise des groupes universels pour l'application de l'objet Stratégie de groupe. Si l'organisation ne fonctionne pas en mode mixte ou natif, il reste possible d'appliquer l'objet Stratégie de groupe à l'aide de groupes globaux et locaux standards. Cependant, cette option étant plus complexe à gérer, cette solution ne l'utilise pas.
Remarque : Windows Server 2003 a introduit un certain nombre d'améliorations qui affectent les stratégies IPSec. Aucune spécificité de cette solution ne l'empêche de fonctionner avec Windows 2000. Cependant, la solution n'a été testée qu'avec Windows Server 2003 Active Directory.
Pour plus d'informations sur les améliorations apportées à IPSec dans Windows Server 2003, reportez-vous à la page New features for IPSec .gif "site en anglais")
(Nouvelles fonctionnalités d'IPSec) sur le site Web de Microsoft à l'adresse www.microsoft.com/resources/documentation/
WindowsServ/2003/standard/proddocs/en-us/ipsec_whatsnew.asp.
Création de la conception d'isolation de serveurs et de domaines
La conception de la solution dépend largement des exigences de l'entreprise et des informations collectées dans les chapitres précédents. Le chapitre 2, « Présentation de l'isolation de serveurs et de domaines », et l'annexe D, « Catégories de menaces informatiques », décrivent les composants de la solution et identifient les menaces auxquelles elle peut ou non répondre. Le chapitre 3, « Détermination de l'état actuel de votre infrastructure informatique », fournit des informations sur la manière de collecter des données de planification, telles que l'architecture réseau actuelle et les ressources d'hôtes sur le réseau. Ce chapitre utilise les informations et exigences collectées pour Woodgrove Bank, qui sont enregistrées en détail dans le fichier Business_Requirements.xls (disponible dans le dossier Tools and Templates). Reportez-vous à ce fichier durant le processus de conception détaillé dans ce chapitre pour mieux comprendre les choix effectués pour la conception de la solution. Le processus de conception de la solution implique les principales tâches suivantes :
Modélisation de groupes de base
Planification des groupes d'ordinateurs et d'accès au réseau
Création de groupes d'isolation supplémentaires
Modélisation des exigences de trafic réseau
Affectation de membres au groupe d'ordinateurs et au groupe d'accès réseau
Les sections suivantes expliquent chacune de ces tâches.
Modélisation de groupes de base
Pour la plupart des implémentations, il est recommandé de se baser sur un point de départ commun pour les groupes d'isolation initiaux. L'illustration suivante présente les deux groupes d'isolation initiaux à envisager.
.gif "Figure 4.1 Groupes d'isolation de base")
Figure 4.1 Groupes d'isolation de base
Les groupes de base offrent des conteneurs logiques constituant un excellent point de départ pour la conception de groupes d'isolation.
Systèmes non approuvés
Conceptuellement, le mieux est de commencer par les ordinateurs non détenus, ni gérés, voire ceux dont l'existence est inconnue du service informatique de l'organisation. Ces ordinateurs sont généralement désignés comme hôtes non approuvés ou non gérés et sont les premiers systèmes à identifier dans la conception. Ils ne feront pas partie de la solution car ils ne seront pas en mesure d'utiliser les stratégies IPSec affectées par le domaine.
Exemples d'ordinateurs rattachés à ce groupe :
Ordinateurs et périphériques non Windows. Les stations de travail Macintosh et UNIX ainsi que les assistants numériques personnels (PDA) peuvent ne pas disposer de fonctionnalités IPSec prêtes à l'emploi.
Anciennes versions du système d'exploitation Windows. Les ordinateurs exploitant Microsoft Windows NT® version 4.0 et Windows 9x ne peuvent pas utiliser IPSec basé sur une stratégie de groupe.
Ordinateurs Windows non rattachés à un domaine approuvé. Les ordinateurs autonomes ne seront pas en mesure de s'authentifier à l'aide d'une approbation de domaine Kerberos dans Internet Key Exchange (IKE). Un ordinateur rattaché à un domaine non approuvé par la forêt utilisée comme limite sécurisée pour l'authentification IKE ne sera pas en mesure de participer à la solution d'isolation de domaines ou de serveurs.
Autres clients VPN ou d'accès distant non Microsoft. Si un client de réseau privé virtuel (VPN) IPSec non Microsoft est utilisé pour une solution d'accès distant d'une organisation, l'installation a probablement désactivé le service IPSec Windows natif. Si le service IPSec Windows natif ne peut pas être utilisé, l'hôte ne pourra pas participer à cette solution.
Même si le service IPSec Windows natif est actif, le client VPN doit permettre la communication IKE et IPSec de bout en bout via la connexion de tunnel VPN. Si IPSec de bout en bout ne fonctionne pas via la connexion VPN, il est possible de créer une exemption pour tous les sous-réseaux IP utilisés pour l'accès distant. Lorsque ce client distant se reconnecte au réseau interne, il peut à nouveau participer à la solution d'isolation.
Domaine d'isolation
Le domaine d'isolation offre le premier conteneur logique pour les hôtes approuvés. Les hôtes de ce groupe utilisent une stratégie IPSec pour contrôler les communications entrantes et sortantes autorisées. Le terme domaine est utilisé dans ce contexte pour représenter une zone de confiance plutôt que pour suggérer un domaine Windows. Dans cette solution, les deux constructions sont très similaires car l'authentification de domaine Windows (Kerberos) est requise pour accepter les connexions entrantes d'hôtes approuvés. Cependant, de nombreux domaines (ou forêts) Windows peuvent être liés à des relations de confiance pour fournir un seul domaine d'isolation logique. Ils ne doivent donc pas être confondus.
L'objectif des caractéristiques de communications du domaine d'isolation est de fournir les règles « normales » ou standards pour la majorité des ordinateurs de l'organisation. Ainsi, pour la plupart des implémentations, un domaine d'isolation contiendra le plus grand nombre d'ordinateurs. D'autres groupes d'isolation peuvent être créés pour la solution si leurs exigences de communication sont différentes de celles du domaine d'isolation. Conceptuellement, un domaine d'isolation est juste un type de groupe d'isolation.
Groupe de limite
Presque toutes les organisations comprennent un certain nombre de stations de travail, ou serveurs, incapables de communiquer via IPSec. C'est par exemple probablement le cas des ordinateurs tels que les stations de travail Mac ou UNIX. Ces ordinateurs doivent souvent communiquer dans l'entreprise avec des hôtes approuvés du domaine d'isolation. Dans un monde idéal, tous les hôtes du réseau interne seraient en mesure d'être approuvés au même niveau et d'utiliser IPSec, et la conception serait plus simple. Cependant, dans la réalité, tous les systèmes d'exploitation n'offrent pas le même degré de prise en charge d'IPSec.
Dans cette situation, il est recommandé de créer un groupe d'isolation (désigné comme groupe de limite dans ce guide) contenant les hôtes qui seront autorisés à communiquer avec des systèmes non approuvés. Ces hôtes seront exposés à un niveau de risque supérieur, car ils peuvent recevoir des communications entrantes provenant directement d'ordinateurs non approuvés.
Les ordinateurs du groupe de limite sont des hôtes approuvés pouvant communiquer à la fois avec d'autres hôtes approuvés et avec des hôtes non approuvés. Les hôtes du groupe de limite tenteront de communiquer à l'aide d'IPSec en lançant une négociation IKE avec l'ordinateur d'origine. Si aucune réponse IKE n'est reçue dans les trois secondes, l'hôte communique en texte clair et tente alors d'établir des communications en texte clair sans IPSec. Les hôtes du groupe de limite peuvent avoir une adresse IP dynamique car ils utilisent une stratégie IPSec comme tout autre hôte approuvé du domaine d'isolation. Puisque ces hôtes du groupe de limite seront autorisés à communiquer avec des hôtes approuvés utilisant des communications réseau sécurisées par IPSec et des hôtes non approuvés utilisant les communications en texte clair, ils doivent être hautement sécurisés par d'autres moyens. La compréhension et l'atténuation de ce risque supplémentaire doivent constituer une part importante du processus de décision du placement éventuel d'un ordinateur dans le groupe de limite. Par exemple, la définition d'un processus de justification d'entreprise formel pour chaque ordinateur avant de convenir de le placer dans ce groupe peut aider à garantir que toutes les parties concernées comprennent pourquoi ce risque supplémentaire doit être pris. L'illustration suivante montre un exemple de processus pouvant faciliter une telle décision.
.gif "Dd491859.SGFG0402(fr-fr,TechNet.10).gif")
Figure 4.2 Organigramme décisionnel d'exemple de processus d'appartenance au groupe de limite
L'objectif de ce processus est de déterminer si le risque d'ajout d'un hôte au groupe de limite peut être atténué à un niveau acceptable pour l'organisation. En dernier ressort, il doit être supposé que si le risque ne peut pas être atténué, l'appartenance au groupe doit être refusée.
Création de listes d'exemptions
Les modèles de sécurité d'isolation de serveurs et de domaines subissent tous quelques contraintes lorsqu'ils sont implémentés dans un environnement réel. Les principaux serveurs d'infrastructure tels que les contrôleurs de domaine et les serveurs DNS et DHCP (Dynamic Host Configuration Protocol) sont généralement disponibles pour tous les systèmes du réseau interne. Il est évident qu'ils doivent être sécurisés au maximum contre les attaques réseau. Cependant, comme ils sont disponibles pour tous les systèmes du réseau, et non simplement les membres du domaine, ces services de serveur ne peuvent pas exiger IPSec pour l'accès entrant, ni profiter de l'utilisation de la protection du mode de transport IPSec pour tout leur trafic. Parce qu'un délai de basculement en clair de trois secondes pour accéder à ces services, en particulier DNS, aurait un sérieux impact sur les performances de tout l'accès au réseau interne, ils ne sont pas candidats pour le groupe de limite. De plus, les hôtes approuvés exigent un accès au serveur DHCP pour obtenir une adresse IP (Internet Protocol) durant le démarrage de l'ordinateur ou lorsque le câble ou la carte réseau est branché(e) sur un ordinateur portable. Les hôtes approuvés exigent également DNS pour localiser les contrôleurs de domaine afin de pouvoir se connecter au domaine et recevoir des informations d'identification Kerberos. Par conséquent, une liste de serveurs et de services (protocoles) exempts d'utiliser IPSec sera requise pour qu'IPSec fonctionne correctement, ainsi que pour permettre à tous les hôtes internes de partager l'infrastructure commune de réseau interne. La liste d'ordinateurs qui ne peuvent pas être sécurisés avec IPSec est appelée liste d'exemptions et est implémentée dans chaque stratégie IPSec conçue. Il peut également y avoir d'autres serveurs sur le réseau auxquels des hôtes approuvés ne peuvent pas accéder à l'aide d'IPSec, qui doivent être ajoutés à la liste d'exemptions. En général, un hôte doit figurer dans la liste d'exemptions s'il répond à l'une des conditions suivantes :
L'hôte est un ordinateur auquel des hôtes approuvés doivent accéder, mais qui ne possède pas d'implémentation IPSec compatible.
L'hôte fournit des services pour des hôtes non approuvés et approuvés, mais ne répond pas aux critères d'appartenance du groupe d'isolation de limite.
L'hôte est utilisé pour une application affectée par le délai de 3 secondes avant retour à la communication en clair ou par l'encapsulation IPSec du trafic de l'application.
L'hôte prend en charge plusieurs milliers de clients simultanément et il a été déterminé qu'IPSec ne pouvait pas être utilisé en raison de l'impact sur les performances.
L'hôte gère des hôtes approuvés de différents domaines d'isolation ne s'approuvant pas mutuellement.
L'hôte est un contrôleur de domaine, car IPSec n'est actuellement pas pris en charge entre un contrôleur de domaine et un membre de domaine. Cependant, les contrôleurs de domaine satisfont d'autres critères de cette liste et offrent également la stratégie IPSec aux membres du domaine et l'authentification Kerberos sur laquelle est basé le concept d'isolation.
L'hôte gère des hôtes approuvés et non approuvés, mais il n'utilisera jamais IPSec pour sécuriser des communications avec des hôtes approuvés.
L'implémentation IPSec de Windows gère uniquement le filtrage statique, et non dynamique (ou avec état). Par conséquent, une exemption statique pour le trafic sortant est également une exemption statique pour le trafic entrant. Les hôtes exemptés disposent par conséquent d'un accès entrant non authentifié sur chaque hôte, approuvé ou non. Ainsi, le nombre d'hôtes exemptés doit être aussi restreint que possible, et ces hôtes doivent être gérés de près et renforcés autant que possible contre les attaques et infections. Pour aider à atténuer le risque d'attaques entrantes provenant d'hôtes de la liste d'exemptions, un pare-feu de filtrage avec état basé sur l'hôte, tel que le Pare-feu Windows, peut être utilisé. Windows XP Service Pack (SP) 2 a fourni des contrôles de stratégie de groupe basée sur le domaine pour la configuration du pare-feu. Le Pare-feu Windows prend également en charge la possibilité d'autoriser uniquement certains ordinateurs via le pare-feu lors de la protection par IPSec, à l'aide du paramètre de stratégie « Pare-feu Windows : autoriser à ignorer la sécurité IPSec authentifiée ». Woodgrove Bank a choisi de ne pas implémenter le Pare-feu Windows. Cependant, d'autres environnements peuvent trouver nécessaire d'atteindre des niveaux de sécurité élevés dans un domaine ou un groupe isolé. Pour plus d'informations, reportez-vous au livre blanc « Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2 » (Déploiement de paramètres du Pare-feu Windows pour Microsoft Windows XP avec Service Pack 2) depuis le centre de téléchargement de Microsoft à l'adresse https://go.microsoft.com/fwlink/?LinkId=23277.
Dans les organisations de taille importante, la liste d'exemptions peut s'allonger considérablement si toutes les exemptions sont implémentées par une stratégie IPSec pour l'ensemble du domaine ou pour toutes les forêts approuvées. Une longue liste produit un certain nombre d'effets indésirables sur chaque ordinateur recevant la stratégie, notamment :
Elle réduit l'efficacité globale de l'isolation.
Elle alourdit la charge de gestion (suite aux fréquentes mises à jour).
Elle augmente la taille de la stratégie, ce qui signifie qu'elle consomme plus de mémoire et de ressources processeur, ralentit le débit du réseau, et allonge le délai de téléchargement et d'application de la stratégie.
Pour maintenir le nombre d'exemptions aussi bas que possible, vous avez plusieurs possibilités :
N'utilisez pas d'exemption si les communications peuvent résister au délai de 3 secondes avant retour à la communication en clair. Cette option ne s'applique pas aux contrôleurs de domaine.
Considérez avec soin les exigences de communications de chaque groupe d'isolation, en particulier des groupes serveur uniquement. Ils peuvent ne pas avoir à communiquer avec chaque exemption de la stratégie de niveau domaine des clients.
Consolidez les fonctions de serveur. Si plusieurs services exempts peuvent résider sur la même adresse IP, le nombre de filtres sera réduit.
Consolidez des hôtes exemptés sur le même sous-réseau. Lorsque le volume de trafic réseau l'autorise, les serveurs peuvent résider sur un sous-réseau exempté, au lieu d'utiliser des exemptions pour chaque adresse IP.
Comme pour la définition du groupe de limite, un processus formel est souhaitable pour approuver les hôtes ajoutés à la liste d'exemptions. Reportez-vous à l'organigramme décisionnel de l'illustration précédente comme modèle pour le traitement des demandes d'exemptions.
Planification des groupes d'accès aux ordinateurs et au réseau
Le domaine d'isolation et chaque groupe d'isolation doivent avoir des spécifications claires et complètes des exigences de sécurité réseau. La feuille de calcul Business_Requirements.xls du dossier Tools and Templates fournit un modèle de la manière dont les exigences peuvent être référencées. Une fois les exigences entrantes et sortantes décrites, vous pouvez concevoir les mécanismes d'implémentation des contrôles d'accès.
À ce stade du processus, il est conseillé de commencer à recenser les nouveaux groupes Active Directory qui seront requis pour répondre aux exigences de groupe d'isolation. Pour chaque groupe d'isolation, vous devrez créer jusqu'à trois groupes Active Directory spécialisés. La section suivante explique le rôle de chacun de ces groupes.
Groupes d'ordinateurs
Chaque groupe d'isolation nécessitera la création d'un groupe d'ordinateurs qui sera utilisé pour contenir les membres du groupe d'isolation. Ceci est requis car les exigences de sécurité d'un groupe d'isolation sont remplies par plusieurs types de paramètres de sécurité dans des objets Stratégie de groupe affectés dans le domaine. Par exemple, cette solution utilise un filtrage de groupe de sécurité sur les objets Stratégie de groupe pour fournir une stratégie IPSec aux ordinateurs d'un groupe d'isolation particulier. Les comptes d'ordinateurs membres du groupe d'ordinateurs se verront affecter la stratégie IPSec associée lors du traitement de l'objet Stratégie de groupe. Ceci évite d'avoir à changer ou créer une nouvelle structure d'unité d'organisation (UO) basée sur l'appartenance à un groupe d'isolation pour appliquer les objets Stratégie de groupe corrects. Si la structure d'UO peut être modifiée pour refléter l'appartenance au groupe d'isolation, ces groupes de sécurité d'ordinateurs ne sont pas requis pour contrôler l'application de la stratégie de groupe.
Tableau 4.1 : Groupes d'ordinateurs Woodgrove Bank
Nom du groupe d'ordinateurs |
Description |
|---|---|
CG_IsolationDomain_Computers |
Ce groupe universel contiendra tous les ordinateurs faisant partie du domaine d'isolation. |
CG_BoundaryIG_Computers |
Ce groupe contiendra tous les ordinateurs autorisés à accepter une communication de systèmes non approuvés. |
Groupes d'accès au réseau
L'utilisation d'IPSec et de Kerberos seuls fournit une limite d'authentification approuvée et non approuvée. Pour aider à différencier ce groupe de tout autre, ce guide désigne ces groupes en tant que groupes d'accès réseau.
Vous pouvez créer deux types de groupes d'accès réseau : Autoriser et Refuser. Ces groupes contrôlent la capacité d'autres systèmes approuvés à autoriser ou refuser explicitement l'accès. Ce contrôle est obtenu en utilisant le droit d'utilisateur « Interdire l'accès à cet ordinateur à partir du réseau » (REFUSER) ou « Accéder à cet ordinateur à partir du réseau » (AUTORISER) dans la stratégie de groupe.
Techniquement, ce contrôle d'accès par droit d'utilisateur s'applique uniquement aux services réseau recevant des informations d'identification de connexion pour authentifier le compte pour l'ouverture de session réseau. Le « compte » peut être un compte d'ordinateur, d'utilisateur ou de service. Lorsque la stratégie IPSec est configurée pour protéger tout le trafic, IKE confirmera que l'ordinateur distant possède un droit de connexion réseau. Par conséquent, le droit de connexion réseau contrôle désormais la possibilité pour un ordinateur distant d'établir des connexions protégées par IPSec. Une fois ce contrôle d'accès de niveau IP vérifié, les protocoles de niveau supérieur normaux (par exemple, le partage de fichiers) authentifient en général l'utilisateur, ce qui évalue à nouveau les droits de connexion réseau de l'identité d'utilisateur. Enfin, les autorisations spécifiques au service (telles que les listes de contrôle d'accès au partage de fichiers) sont évaluées à l'aide de l'identité de l'utilisateur. Pour plus d'informations, reportez-vous au diagramme Protection renforcée avec l'isolation logique dans le chapitre 2, « Présentation de l'isolation de serveurs et de domaines ».
Par défaut, le droit d'utilisateur AUTORISER contient le groupe Tout le monde, qui autorise tous les utilisateurs et ordinateurs authentifiés à accéder à l'ordinateur. Durant l'implémentation de cette solution, le groupe Tout le monde sera remplacé via l'affectation de droits d'utilisateur de stratégie de groupe par des groupes d'accès réseau contenant des ordinateurs ou utilisateurs et groupes spécifiques, selon les exigences de l'organisation. De même, le droit d'utilisateur REFUSER contiendra des ordinateurs non supposés disposer d'un accès entrant protégé par IPSec. Bien qu'il soit possible d'utiliser un seul groupe pour contenir les comptes d'utilisateurs et d'ordinateurs, Microsoft recommande l'utilisation de groupes distincts, un pour les utilisateurs et un pour les ordinateurs. Cette approche améliore la possibilité de gérer et prendre en charge ces stratégies et groupes en continu. La configuration de l'affectation des droits d'utilisateur AUTORISER et REFUSER complète les directives fournies par les guides de sécurité des plates-formes Windows antérieures, qui ne traitaient pas spécifiquement de l'authentification des ordinateurs exigée par IPSec.
Les groupes d'accès réseau peuvent implémenter les exigences suivantes :
Bloquer l'accès réseau aux serveurs sensibles à partir d'hôtes limites ou d'hôtes approuvés situés dans des zones publiques.
Limiter l'accès aux serveurs des cadres supérieurs aux seuls ordinateurs clients utilisés par ces cadres.
Isoler les hôtes approuvés d'un projet de recherche et développement de tous les autres hôtes approuvés du domaine.
Dans le scénario Woodgrove Bank, une exigence commerciale limite la quantité de nouveau matériel informatique pouvant être acheté au cours d'une année. Un serveur d'impression était requis pour permettre à la fois aux hôtes approuvés et non approuvés d'imprimer. Bien que Woodgrove aurait préféré acheter un nouveau serveur que seuls les ordinateurs non approuvés utiliseraient pour l'impression, il a été décidé qu'un seul serveur pourrait satisfaire les besoins des deux types d'hôtes. La société a par conséquent créé un serveur limite comme serveur d'impression. Le serveur d'impression étant soumis à un risque plus élevé d'infections et d'attaques d'ordinateurs non approuvés, le reste des hôtes approuvés devaient bloquer l'accès entrant à partir de ce serveur. Les hôtes approuvés devaient toujours pouvoir établir des connexions sortantes avec le serveur d'impression au besoin. En conséquence, Woodgrove a déterminé la nécessité d'un groupe d'accès réseau REFUSER pour implémenter cette exigence.
À ce stade du processus de conception, l'affectation de membres au groupe d'accès réseau n'est pas requise. Il convient juste d'identifier et de documenter les groupes d'accès réseau requis par la conception. Les concepteurs de Woodgrove Bank ont identifié la nécessité de créer le groupe d'accès réseau suivant :
Tableau 4.2 : Groupes d'accès réseau de Woodgrove Bank
Nom du groupe d'accès réseau |
Description |
|---|---|
DNAG_IsolationDomain_Computers |
Ce groupe comprend tout compte d'ordinateur de domaine non autorisé à établir des connexions entrantes protégées par IPSec avec tous les hôtes approuvés du domaine d'isolation. |
Création de groupes d'isolation supplémentaires
À ce stade du processus de conception, il existe deux groupes d'isolation : le groupe Domaine d'isolation et le groupe de limite.
Si les exigences commerciales de votre organisation peuvent être satisfaites par cette conception, vous pouvez passer à la section suivante de ce chapitre pour définir les modèles de trafic pour ces deux groupes d'isolation. Cependant, si votre organisation exige que certains hôtes approuvés disposent d'une protection du trafic ou de contrôles d'accès réseau entrant ou sortant différents, des groupes d'isolation seront requis pour chaque série d'exigences.
L'objectif de cette section est de vous aider à comprendre quand des groupes supplémentaires seront requis. La première chose à faire consiste à identifier les ordinateurs ayant des exigences de protection du trafic ou d'isolation spécifiques qui ne sont pas satisfaites par les paramètres du domaine d'isolation. L'objectif doit être de maintenir le nombre de ces hôtes aussi réduit que possible, car chaque nouveau groupe augmente la complexité de la conception globale, et complique par conséquent sa prise en charge et sa gestion.
Citons parmi les exemples types d'exigences pouvant mener à la création d'un nouveau groupe :
Exigences de chiffrement
Accès hôte ou utilisateur limité requis au niveau du réseau
Exigences de protection ou de flux de trafic réseau sortant ou entrant différentes du domaine d'isolation
Bien souvent, l'accès entrant aux serveurs contenant des données sensibles est limité à un sous-ensemble d'hôtes approuvés du domaine. Dans d'autres cas, les hôtes approuvés peuvent ne pas être autorisés à établir des connexions sortantes vers des ordinateurs non approuvés pour réduire le risque de fuite d'informations ou pour garantir le respect des réglementations en matière de protection du trafic réseau. Par exemple, dans le scénario Woodgrove Bank, les concepteurs ont identifié des exigences pouvant uniquement être satisfaites par la création des deux groupes d'isolation supplémentaires suivants :
Le groupe de chiffrement contenait un petit groupe de serveurs d'application contenant des données très sensibles et exigeant le niveau de protection maximal. Seul un sous-ensemble spécifique de clients approuvés seraient autorisés à effectuer une connexion entrante sur ces serveurs. Tout le trafic réseau avec ces serveurs exigeait un chiffrement de niveau 128 bits conforme aux réglementations fédérales américaines en matière de protection des données financières. Enfin, ces serveurs n'étaient pas autorisés à établir des connexions sortantes avec des hôtes non approuvés, ni à recevoir des connexions entrantes d'hôtes limites.
Le groupe Sans basculement était requis pour un certain nombre d'hôtes approuvés du domaine d'isolation dont les communications réseau avec des systèmes non approuvés devaient être restreintes.
Bien que le second groupe n'exige aucun basculement, il ne possède pas l'ensemble d'exigences complet des serveurs d'applications. Ainsi, ces deux séries d'exigences différentes indiquaient que deux groupes d'isolation supplémentaires étaient requis. Le nombre total de groupes pour Woodgrove Bank passait donc à quatre. L'illustration suivante montre comment ces groupes se présentaient dans la conception finale des groupes d'isolation de Woodgrove Bank :
.gif "Figure 4.3 Conception finale des groupes de Woodgrove Bank")
Figure 4.3 Conception finale des groupes de Woodgrove Bank
Les quatre groupes suivants exigent une stratégie pour atteindre les exigences de conception :
Domaine d'isolation. Il s'agit du groupe par défaut pour tous les ordinateurs approuvés.
Groupe d'isolation de limite. Ce groupe est affecté aux ordinateurs auxquels des hôtes non approuvés doivent pouvoir accéder.
Groupe d'isolation de chiffrement. Ce groupe autorise uniquement les communications via un chemin chiffré approuvé.
Groupe d'isolation sans basculement. Ce groupe contient des ordinateurs ayant une exigence de sécurité supérieure qui les empêche d'initier des communications avec des hôtes non approuvés directement.
Woodgrove Bank ayant identifié deux groupes supplémentaires exigeant des stratégies IPSec, elle a défini des groupes d'ordinateurs supplémentaires pour contrôler l'application de ces nouvelles stratégies.
Tableau 4.3 : Groupes d'ordinateurs Woodgrove Bank supplémentaires
Nom du groupe d'ordinateurs |
Description |
|---|---|
CG_NoFallbackIG_Computers |
Ce groupe contient tous les ordinateurs non autorisés à communiquer en clair. |
CG_EncryptionIG_Computers |
Ce groupe contient tous les ordinateurs devant utiliser un chiffrement. |
En conséquence, Woodgrove a déterminé que des groupes d'accès réseau seraient requis pour autoriser l'accès entrant dans le sous-ensemble d'hôtes approuvés. Les concepteurs de Woodgrove Bank ont créé les groupes d'accès réseau suivants :
Tableau 4.4 : Groupes d'accès réseau de Woodgrove Bank
Nom du groupe d'accès réseau |
Description |
|---|---|
ANAG_EncryptedResourceAccess_Users |
Ce groupe comprend tous les utilisateurs autorisés à accéder aux serveurs du groupe d'isolation de chiffrement. |
ANAG_EncryptedResourceAccess_Computers |
Ce groupe contient tous les ordinateurs autorisés à avoir un accès réseau entrant sur les serveurs du groupe d'isolation de chiffrement. |
DNAG_EncryptionIG_Computers |
Ce groupe comprend des groupes de comptes d'ordinateur dont l'accès doit être refusé sur les hôtes du groupe d'isolation de chiffrement. |
Collecte des exigences de trafic réseau
À ce stade du processus de conception, vous devez documenter les exigences de trafic de communications qui seront autorisées à passer entre les groupes, ainsi que la forme que prendront les communications. Il existe de nombreuses manières de documenter les exigences de trafic des groupes. Cependant, l'équipe de support informatique de Microsoft a découvert, avec l'expérience, que la création d'un diagramme constituait la méthode la plus efficace pour communiquer des exigences précises.
L'illustration suivante décrit les chemins de communications généralement autorisés entre les groupes de base, les hôtes non approuvés et les listes d'exemptions. Pour simplifier ce modèle, les listes d'exemptions figurent sous la forme d'un seul regroupement. C'est généralement le cas pour les services d'infrastructure, tels que les contrôleurs de domaine ou les serveurs DNS. Cependant, les groupes d'isolation peuvent avoir comme exigence commerciale d'exempter des ordinateurs spécifiques juste pour les ordinateurs de ce groupe. Dans ce cas, le groupe d'isolation contiendrait alors une liste d'exemptions supplémentaire des ordinateurs devant être exemptés en plus des exemptions communes. Microsoft recommande de restreindre au maximum les entrées de la liste d'exemptions, car elles exemptent explicitement des systèmes de participer à l'infrastructure IPSec. Dans l'illustration, toutes les flèches noires continues utilisent IPSec pour leurs communications ; les lignes en pointillés indiquent des communications autorisées sans IPSec. Une ligne en tirets gras indique qu'une stratégie IPSec est affectée aux ordinateurs de ce groupe.
.gif "Dd491859.SGFG0404(fr-fr,TechNet.10).gif")
Figure 4.4 Chemins de communications généralement autorisés pour les groupes d'isolation de base
Le tableau suivant répertorie les chemins de communications autorisés pour le trafic parmi les groupes de base, les systèmes non sécurisés et les listes d'exemptions :
Tableau 4.5 : Options de communication autorisées pour les groupes d'isolation de base
Chemin d'accès |
De |
À |
Bidirectionnel |
Essayer IKE/IPSec |
Basculement |
Chiffrer |
|---|---|---|---|---|---|---|
1 |
DI |
EX |
Oui |
Non |
Non |
Non |
2 |
DI |
LI |
Oui |
Oui |
Non |
Non |
3 |
DI |
NA |
Non |
Oui |
Oui |
Non |
4 |
LI |
EX |
Oui |
Non |
Non |
Non |
5 |
LI |
NA |
Non |
Oui |
Oui |
Non |
6 |
NA |
LI |
Non |
Non |
Non |
Non |
7 |
NA |
EX |
Oui |
Non |
Non |
Non |
Le tableau précédent enregistre les exigences de communications pour chaque chemin de communications autorisé dans la conception initiale de groupes d'isolation. La liste suivante décrit chaque colonne :
Chemin. Numéro affecté au chemin de communications illustré dans le diagramme de groupe.
De. Groupe contenant les initiateurs du trafic.
À. Groupe contenant les répondeurs qui seront contactés via le chemin de communication autorisé.
Bidirectionnel. Indique si le chemin autorise l'inversion des rôles de l'initiateur et du répondeur de sorte que le trafic peut partir du groupe De ou À.
Essayer IKE/IPSec. Indique si ce chemin tente d'utiliser IPSec pour sécuriser les communications.
Basculer. Indique si les communications peuvent renoncer à utiliser IPSec si la négociation IKE n'aboutit pas.
Chiffrer. Indique si ce chemin exige le chiffrement des communications à l'aide d'un algorithme défini dans la stratégie IPSec.
Les formes abrégées des noms de groupe ont été utilisées pour garder les informations du tableau aussi concises que possible. En utilisant cette forme de documentation, il est possible de créer une représentation très concise des communications de la solution. En supposant que tout le trafic réseau est rejeté s'il n'est pas spécifiquement identifié dans ce tableau, le processus d'identification du trafic qui sera protégé dans le cadre de la solution devient bien plus clair. L'exemple de l'illustration précédente décrit chacun des chemins autorisés suivants :
Les chemins de trafic 1, 4 et 7 illustrent les communications réseau spécifiquement autorisées pour tous les hôtes répertoriés par les listes d'exemptions de leur stratégie IPSec. Les exemptions spécifiques peuvent être différentes pour les groupes d'isolation.
Le chemin de trafic 2 représente les communications entre le domaine d'isolation et les groupes Limite. Ce chemin tente d'utiliser IPSec pour protéger le trafic. Le trafic peut exiger un chiffrement, selon les exigences de sécurité. Si la négociation IKE échoue, les communications échoueront car il n'y a pas d'option de communication en texte clair dans ce cas.
Le chemin 3 montre que les hôtes du domaine d'isolation sont en mesure d'initier des communications avec des hôtes non approuvés. Ceci est possible parce que la stratégie de ce groupe autorisera les hôtes du domaine d'isolation à communiquer en texte clair en l'absence de réponse à la demande de négociation IKE initiale. Les systèmes non approuvés qui tentent d'établir des connexions non IPSec avec des hôtes approuvés sont bloqués par les filtres entrants IPSec.
Les chemins de trafic 5 et 6 décrivent les communications autorisées entre le groupe de limite et les systèmes non approuvés. Le chemin 4 montre que le groupe de limite est autorisé à établir des communications sortantes avec des hôtes non approuvés en clair. Si la négociation IKE ne reçoit pas de réponse, l'hôte revient à des communications en clair. Le chemin 5 couvre le trafic initié à partir des hôtes non approuvés vers le groupe de limite. Bien que cette flèche ressemble au chemin 4, les détails du tableau montrent que les hôtes non approuvés ne tentent pas de négociation IKE avec le groupe de limite. Ils utilisent des connexions TCP/IP en clair.
Une fois les communications de base documentées, des groupes supplémentaires peuvent être ajoutés au plan général et leurs exigences de communications enregistrées de la même manière. Par exemple, les deux groupes supplémentaires requis par le scénario Woodgrove Bank ont mené à un diagramme de communications plus complexe, comme le montre l'illustration suivante.
.gif "Dd491859.SGFG0405(fr-fr,TechNet.10).gif")
Figure 4.5 Chemins de communications autorisés par Woodgrove Bank pour les groupes d'isolation
Le tableau suivant répertorie les chemins de communications autorisés pour le trafic dans les groupes supplémentaires du scénario Woodgrove Bank.
Tableau 4.6 : Options de communication autorisées pour les groupes d'isolation supplémentaires
Chemin d'accès |
De |
À |
Bidirectionnel |
Essayer IKE/IPSec |
Basculement |
Chiffrer |
|---|---|---|---|---|---|---|
8 |
CR |
EX |
Oui |
Non |
Non |
Non |
9 |
CR |
DI |
Oui |
Oui |
Non |
Oui |
10 |
CR |
SB |
Oui |
Oui |
Non |
Oui |
11 |
CR |
LI |
Non |
Oui |
Non |
Oui |
12 |
SB |
DI |
Oui |
Oui |
Non |
Non |
13 |
SB |
EX |
Oui |
Non |
Non |
Non |
14 |
SB |
LI |
Oui |
Oui |
Non |
Non |
L'exemple de l'illustration précédente décrit dans le tableau explique chacun des chemins supplémentaires autorisés suivants :
Les chemins 8 et 13 correspondent aux communications en clair pour tout le trafic exempté.
Les chemins 9 et 10 montrent les communications IPSec chiffrées par ESP (Encapsulating Security Payload) requises entre les groupes Chiffrement, Sans basculement et Domaine d'isolation. Si la négociation IKE ne parvient pas à sécuriser la communication par chiffrement, la tentative de communication échoue.
Le trafic du chemin 11 est légèrement différent car il autorise uniquement que des communications soient initiées à partir du groupe de chiffrement vers le groupe de limite, et non l'inverse. Ceci est dû au fait que Woodgrove Bank a placé des données sensibles dans le groupe de chiffrement et ne veut pas que ces données soient exposées à des ordinateurs auxquels accèdent directement des ressources non approuvées.
Les chemins de trafic 12 et 14 pourraient être implémentés par le mode de transport IPSec AH ou IPSec ESP, qui est authentifié mais sans chiffrement (ESP-Null).
Comme le montre cet exemple, l'ajout de groupes peut avoir un impact exponentiel sur la complexité de la solution. C'est pourquoi il est recommandé de limiter autant que possible le nombre de groupes, en particulier durant les premières étapes d'un déploiement, lorsque la plupart des changements sont introduits.
Affectation de membres au groupe d'ordinateurs et au groupe d'accès réseau
Une fois les exigences de trafic détaillées et décrites dans la conception, la tâche suivante consiste à identifier les hôtes qui seront les membres des groupes d'ordinateurs ou des groupes d'accès réseau.
Comme mentionné précédemment, les groupes d'ordinateurs sont utilisés dans cette solution pour appliquer l'objet Stratégie de groupe contenant la stratégie IPSec associée. Une fois déterminé qu'un ordinateur doit appartenir à un groupe d'isolation donné, le compte de cet ordinateur est ajouté au groupe d'ordinateurs de ce groupe d'isolation. Pour le domaine d'isolation, cette étape n'est pas nécessaire, car tous les ordinateurs du domaine appartiennent implicitement au groupe d'ordinateurs du domaine d'isolation.
L'appartenance à un groupe d'accès réseau sera basée sur l'autorisation entrante que le groupe d'accès réseau implémente. Par exemple, s'il existe un groupe d'accès réseau pour limiter la communication d'un serveur donné vers un ensemble connu de clients, les comptes d'ordinateur client doivent être placés dans le groupe d'accès réseau approprié. Les groupes d'accès réseau ne sont créés qu'en fonction des besoins et ne possèdent par conséquent aucune configuration par défaut.
Appartenance au groupe d'ordinateurs
Il est important qu'un hôte ne soit pas représenté dans plusieurs groupes d'ordinateurs, car le groupe d'ordinateurs sert à définir les objets Stratégie de groupe applicables. Bien qu'il soit théoriquement possible de modifier les stratégies pour permettre à un hôte d'appartenir à plusieurs groupes d'ordinateurs, la complexité d'une telle approche rendrait rapidement la solution insoutenable.
La tâche de détermination des membres d'un groupe d'ordinateurs n'est généralement pas compliquée, mais elle peut être longue. Il est conseillé d'utiliser les informations générées à partir d'un audit tel que celui effectué dans le chapitre 3 de ce guide, « Détermination de l'état actuel de votre infrastructure informatique », pour placer chaque hôte dans un groupe d'ordinateurs en fonction du groupe d'isolation dont il est membre. Vous pouvez déterminer ce placement en ajoutant une colonne Groupe pour y noter l'appartenance à un groupe d'ordinateurs pour la conception finale, comme indiqué dans le tableau suivant :
Tableau 4.7 : Exemple de données collectées sur l'hôte
Nom de l'hôte |
Config. matérielle conforme ? |
Config. logicielle conforme ? |
Configuration requise |
Détails |
Coût prévisionnel |
Groupe |
|---|---|---|---|---|---|---|
HOST-NYC-001 |
Non |
Non |
Mises à niveau matérielle et logicielle |
Le système d'exploitation actuel est Windows NT 4.0. Ancien matériel non compatible avec Windows XP. |
$XXX. |
DI |
SERVER-LON-001 |
Oui |
Non |
Intégrer domaine approuvé, mettre à niveau de NT 4 vers Windows 2000 ou ultérieur |
Aucun logiciel antivirus présent. |
$XXX. |
CR |
Appartenance au groupe d'accès réseau
La dernière étape de ce processus de conception consiste à définir les membres des groupes d'accès réseau identifiés précédemment dans ce chapitre. Bien qu'un hôte approuvé ne doive appartenir qu'à un seul groupe d'ordinateurs, il est possible qu'il soit membre de plusieurs groupes d'accès réseau. Essayez d'utiliser aussi peu de groupes d'accès réseau que possible pour limiter la complexité de la solution.
Lors de l'affectation de comptes d'utilisateurs à un groupe d'accès réseau, décidez du degré souhaité de contrôle d'accès. Pour qu'une ressource utilisant déjà des autorisations de fichiers et de partage standards assure le niveau correct de contrôle, le moyen le plus simple de définir l'appartenance serait d'attribuer l'appartenance du groupe d'accès réseau de l'utilisateur au groupe Utilisa. du domaine de chaque domaine approuvé de la forêt devant accéder à la ressource. Cette approche rétablit pratiquement le comportement de la valeur par défaut d'origine d'Utilisateurs authentifiés, sans inclure de comptes d'utilisateurs locaux. Si des comptes d'utilisateurs ou de services locaux sont requis, un objet Stratégie de groupe basé sur le domaine n'est peut-être pas la meilleure approche pour configurer des droits de connexion réseau AUTORISER et REFUSER. L'affectation de droits d'utilisateur AUTORISER et REFUSER ne fusionne pas les paramètres parmi plusieurs objets Stratégie de groupe. Par conséquent, cet ordinateur ne doit pas être autorisé à posséder le droit AUTORISER et REFUSER de l'objet Stratégie de groupe basé sur le domaine, et doit utiliser un objet Stratégie de groupe local personnalisé. Si l'objet Stratégie de groupe basé sur le domaine qui fournit l'affectation de stratégie IPSec est différent de l'objet Stratégie de groupe utilisé pour fournir les droits de connexion réseau, l'objet Stratégie de groupe basé sur le domaine pour l'affectation de stratégie IPSec peut encore être utilisé.
De plus, décidez comment implémenter les exigences d'accès entrant à l'aide d'un groupe d'accès réseau AUTORISER ou REFUSER, voire les deux. Le choix du type de groupe d'accès réseau à créer est basé exclusivement sur le comportement attendu et sur ce qui minimise l'effort administratif. Il peut s'avérer utile d'avoir un groupe d'accès réseau REFUSER pré-existant mais vide pour les utilisateurs et un groupe d'accès réseau REFUSER pour les ordinateurs possédant déjà le droit « Interdire l'accès à cet ordinateur à partir du réseau » de l'objet Stratégie de groupe.
Dans les scénarios de sécurité élevée, l'appartenance des groupes d'accès réseau utilisateur peut être affectée à des utilisateurs ou groupes spécifiques. Si cette méthode est utilisée, il faut comprendre que les utilisateurs qui ne sont pas membres de ce groupe verront leur accès à l'ordinateur bloqué sur le réseau, même s'ils sont membres du groupe des administrateurs locaux et disposent d'un contrôle total sur toutes les autorisations de partage et de fichiers.
Pour le scénario Woodgrove Bank, l'appartenance à NAG_EncryptedResourceAccess_Users a été affectée à Utilisateurs du domaine et enregistrée comme le montre le tableau suivant :
Tableau 4.8 : Groupes d'accès réseau de Woodgrove Bank avec appartenance définie
Nom du groupe d'accès réseau |
Appartenance |
Description |
|---|---|---|
ANAG_EncryptedResourceAccess_Users |
User7 |
Ce groupe correspond à tous les utilisateurs autorisés à établir des connexions entrantes protégées par IPSec avec les ordinateurs du groupe d'isolation de chiffrement. |
ANAG_EncryptedResourceAccess_Computers |
IPS-SQL-DFS-01 IPS-ST-XP-05 |
Ce groupe contient tous les ordinateurs autorisés à établir des connexions entrantes protégées par IPSec avec les ordinateurs du groupe d'isolation de chiffrement. |
DNAG_EncryptionIG_Computers |
CG_BoundaryIG_Computers |
Ce groupe contient tous les ordinateurs non autorisés à établir des connexions entrantes protégées par IPSec avec les ordinateurs du groupe d'isolation de chiffrement. |
Remarque : l'appartenance à un groupe d'accès réseau ne détermine pas le niveau de protection du trafic IPSec. Les paramètres de stratégie IPSec commandent les méthodes de sécurité utilisées pour protéger le trafic et sont indépendants de l'identité authentifiée par IKE. La négociation IKE est uniquement consciente de la réussite ou de l'échec du processus d'authentification de l'identité de l'ordinateur Kerberos. Elle ne peut pas implémenter une stratégie « chiffrer si user3 se connecte » ou « chiffrer si hôte approuvé IPS-SQL-DFS-01 ou IPS-SQL-DFS-02 ». L'administrateur doit obtenir le comportement attendu en utilisant une stratégie IPSec pour les serveurs du groupe d'isolation de chiffrement exigeant un « chiffrement pour toute connexion entrante d'hôte approuvé » et de manière similaire un « chiffrement pour toute connexion sortante vers un hôte approuvé ».
Jusqu'ici, ce processus de conception n'a pas revu les détails de la conception de stratégie IPSec. Le chapitre 5 fournira des détails relatifs à la conception de la stratégie IPSec pour Woodgrove.
À ce stade du processus de conception, vous avez terminé les tâches requises pour transformer vos exigences en conception préliminaire. Cette section vous a aidé à mettre au point la conception et la documentation requises pour la création des stratégies IPSec.
Limitations pouvant affecter votre conception
Les problèmes suivants peuvent affecter votre conception et doivent par conséquent être pris en compte avant que votre conception puisse être considérée comme terminée :
Nombre maximal de connexions simultanées par des hôtes uniques sur des serveurs utilisant IPSec. Le nombre de connexions simultanées est un facteur crucial pour déterminer si une implémentation IPSec sur des serveurs d'usage élevé se déroulera sans problèmes ou surchargera le processeur avec le traitement IKE ou IPSec. Chaque négociation IKE réussie établit des associations de sécurité occupant environ 5 kilo-octets de mémoire de mode utilisateur. Des ressources processeur sont requises pour maintenir les états d'association de sécurité IKE courants avec tous les homologues connectés simultanément. Pour plus d'informations sur l'évolutivité, consultez le livre blanc « Improving Security with Domain Isolation: Microsoft IT implements IP Security (IPSec)
» (Amélioration de la sécurité avec l'isolation de domaines : Implémentation d'IPSec par Microsoft IT) à l'adresse www.microsoft.com/technet/itsolutions/msit/security/ipsecdomisolwp.mspx.Limitation de la taille de jeton Kerberos maximale pour les hôtes utilisant IPSec. Il existe une limite pratique d'environ 1 000 groupes par utilisateur, et si cette valeur est dépassée, l'application de l'objet Stratégie de groupe peut ne pas se produire. Pour plus d'informations à ce sujet, consultez les articles 327825 de la Base de connaissances Microsoft « New Resolution for Problems That Occur When Users Belong to Many Groups
» (Nouvelle résolution de problèmes se produisant lorsque des utilisateurs appartiennent à de nombreux groupes) à l'adresse https://support.microsoft.com/?kbid=327825 et 306259 « Members of an Extremely Large Number of Groups Cannot Log On to the Domain » (Des membres d'un nombre très élevé de groupes ne peuvent pas se connecter au domaine) à l'adresse https://support.microsoft.com/?kbid=306259.Bien que ces articles mentionnent des utilisateurs spécifiquement, le problème existe également pour les comptes d'ordinateurs, car le paramètre Kerberos MaxTokenSize s'applique aussi aux comptes d'ordinateurs. Bien que cette limite soit rarement atteinte dans la plupart des implémentations, vous devez être conscient de ce problème si vous décidez de placer un ordinateur (peut-être un client) dans un grand nombre de groupes d'accès réseau.
Si votre conception sera affectée par ces problèmes, vous devrez revisiter le processus de conception pour y répondre. Par exemple, vous pouvez répondre au problème du nombre maximal de connexions simultanées en déplaçant un serveur très lourdement chargé dans les listes d'exemptions. Vous pouvez répondre à la limitation de la taille de jeton Kerberos maximale en réduisant le nombre de groupes d'accès réseau que votre conception utilisera.
Si ces limitations n'affecteront pas votre conception, la tâche suivante consiste à considérer la manière dont la conception sera déployée dans l'organisation.
Méthodes d'implémentation de groupe
Une fois la conception initiale créée, vous devez considérer attentivement le processus de déploiement d'IPSec. Ce n'est que dans les environnements les plus petits qu'il est possible de déployer simplement les stratégies sur tous les ordinateurs et d'espérer un fonctionnement sans heurts d'IPSec avec un impact relativement faible sur les utilisateurs.
Dans les organisations étendues, la complexité et le risque nécessitent un déploiement progressif. En utilisant une telle approche, l'organisation peut aider à atténuer le risque associé à un tel changement fondamental de l'environnement. Sans planification soignée, les appels au support technique et la perte de productivité augmenteront rapidement le coût du déploiement.
Il existe différentes manières de déployer IPSec dans une organisation. Les facteurs suivants aident à déterminer la méthode de déploiement :
les états de départ et de fin de l'environnement ;
la complexité de configuration des groupes ;
la complexité de la structure de domaines ;
la tolérance de risque de l'organisation ;
les exigences de sécurité.
Les méthodes de déploiement suivantes ne comprennent pas tout, mais elles sont des exemples d'approches possibles. Vous pouvez également utiliser une combinaison de ces approches. En général, les organisations ne doivent pas déployer initialement des stratégies IPSec limitant ou bloquant la communication, afin de garantir qu'elles disposent de suffisamment de temps pour résoudre les problèmes et réduire la coordination de gestion dans les environnements complexes.
Quelle que soit l'approche choisie pour déployer IPSec, il est fortement recommandé de tester soigneusement le scénario de déploiement dans un environnement de laboratoire, y compris la séquence et le déroulement spécifiques des étapes de déploiement et des changements de stratégie. De plus, utilisez une action de filtre demandant une fonctionnalité IPSec, mais acceptant la communication en texte clair en utilisant la fonction Communiquer en texte clair. Cette approche aidera à minimiser l'impact du déploiement initial. Une fois le déploiement terminé, passez à des modes de fonctionnement plus sécurisés exigeant que le trafic soit protégé par IPSec.
Pour un déploiement dans un environnement de production, un pilote initial est fortement recommandé à chaque grande phase du déploiement. Il est particulièrement important d'analyser l'impact des changements de stratégie IPSec, car ils prendront effet dans l'environnement de production suite aux durées de vie des tickets Kerberos, et aux intervalles d'interrogation de stratégie de groupe et de stratégie IPSec. Il est conseillé de mettre en œuvre un processus formel de contrôle des modifications indiquant les stratégies et les critères d'annulation pour s'assurer que toutes les organisations informatiques concernées sont conscientes du changement et de son impact, et savent comment coordonner les commentaires vers les décideurs.
Déployer par groupe
La méthode Déployer par groupe utilise des stratégies IPSec entièrement définies, mais contrôle l'application des stratégies par l'utilisation de groupes et de listes de contrôle d'accès sur les objets Stratégie de groupe fournissant les stratégies.
Dans la méthode Déployer par groupe, les stratégies IPSec sont créées dans Active Directory dans leur configuration finale. Toutes les exemptions et tous les sous-réseaux sécurisés sont définis et les actions de filtre appropriées sont activées dans chaque stratégie IPSec.
Les administrateurs de stratégie IPSec créent alors des objets Stratégie de groupe pour chaque stratégie IPSec. De plus, des groupes d'ordinateurs sont créés dans le domaine pour gérer et appliquer ces nouveaux objets Stratégie de groupe. Les listes de contrôle d'accès des objets Stratégie de groupe sont modifiées pour que les membres du groupe Utilisateurs authentifiés n'aient plus le droit « Appliquer ». Les groupes d'utilisateurs de l'administrateur approprié pour la gestion et l'application de la stratégie reçoivent également des droits sur l'objet Stratégie de groupe.
Les stratégies IPSec appropriées sont ensuite affectées à l'objet Stratégie de groupe correspondant. De plus, l'objet Stratégie de groupe est lié à l'objet approprié dans Active Directory. À ce stade, aucun des ordinateurs de l'environnement ne doit recevoir la stratégie, car les listes de contrôle d'accès contrôlant l'affectation de l'objet Stratégie de groupe (possibilité de lire l'objet Stratégie de groupe) sont vides.
Enfin, les ordinateurs qui recevront les stratégies sont identifiés et leurs comptes d'ordinateurs sont placés dans les groupes d'ordinateurs appropriés avec accès en lecture à l'objet Stratégie de groupe. Une fois les tickets Kerberos de l'ordinateur mis à jour avec les informations d'appartenance de groupe, l'objet Stratégie de groupe, ainsi que la stratégie IPSec correspondante, s'appliquent à l'intervalle d'interrogation de stratégie de groupe suivant.
Remarque : les listes de contrôle d'accès qui empêchent les ordinateurs du domaine de lire les objets de stratégie IPSec ou le conteneur de stratégie IPSec dans Active Directory ne sont pas recommandées.
Considérez une organisation ayant défini deux stratégies IPSec, IPSec standard et IPSec chiffrement. La stratégie IPSec standard est la stratégie par défaut ; elle exige que le trafic entrant utilise IPSec, mais permet aux systèmes de communiquer en clair s'ils initient une connexion vers un ordinateur non basé sur IPSec. La stratégie IPSec chiffrement exige la négociation IPSec chiffré à tous moments.
Dans cet exemple, l'administration de l'organisation crée deux objets Stratégie de groupe dans Active Directory : IPSec standard et IPSec chiffré. De plus, elle identifie les groupes dans le tableau suivant :
Tableau 4.9 : Groupes d'administration IPSec
Nom de groupe |
Type de groupe |
Description |
|---|---|---|
IPSecSTD |
Universel |
Contrôle l'application de la stratégie IPSec standard |
IPSecENC |
Universel |
Contrôle l'application de la stratégie IPSec chiffré |
Les listes de contrôle d'accès des deux objets Stratégie de groupe nouvellement créés sont mises à jour de sorte qu'elles ne sont pas automatiquement appliquées au groupe Utilisateurs authentifiés et que les groupes d'application et de gestion appropriés reçoivent les droits corrects. L'administration a modifié les listes de contrôle d'accès pour les deux objets Stratégie de groupe en fonction des informations du tableau suivant :
Tableau 4.10 : Droits de groupes sur les objets Stratégie de groupe
Groupe |
Objet Stratégie de groupe IPSec standard |
Objet Stratégie de groupe IPSec chiffré |
|---|---|---|
Utilisateurs authentifiés |
Lecture |
Lecture |
IPSecENC |
Aucun |
Lecture Appliquer la stratégie de groupe |
IPSecSTD |
Lecture Appliquer la stratégie de groupe |
Aucun |
Remarque : ce tableau montre uniquement les autorisations ajoutées ou modifiées. Il y aura également des groupes supplémentaires avec des autorisations.
Les administrateurs ont lié les deux objets Stratégie de groupe au domaine dans Active Directory. Cette approche garantit que la stratégie s'appliquera à tout ordinateur du domaine sans modifier son emplacement (à moins que l'ordinateur se situe dans une UO bloquant les stratégies).
À mesure que les ordinateurs sont identifiés, leurs comptes sont ajoutés au groupe IPSecSTD ou IPSecEnc. Passé un certain délai, la stratégie IPSec correspondante s'appliquera et sera effective.
Cette méthode exige une planification soignée pour s'assurer que les communications ne sont pas perturbées. Par exemple, si un serveur a été placé dans le groupe IPSecEnc, mais que plusieurs clients dépendant de ce serveur n'ont pas pu négocier IPSec, les communications entre ces clients et le serveur seraient perturbées.
Déployer par élaboration de stratégies
Cette méthode utilise une technique dans laquelle les stratégies IPSec peuvent être créées de toutes pièces durant le déploiement. L'avantage de cette méthode est qu'IPSec est négocié uniquement pour un petit pourcentage du trafic TCP/IP total, et non pour tous les sous-réseaux internes de la méthode de déploiement par groupe. Elle permet également de tester tous les chemins du réseau interne vers ce sous-réseau cible pour vérifier l'absence de problèmes avec la transmission réseau de la négociation IKE et du trafic protégé par IPSec. Un autre avantage est que l'intervalle d'interrogation pour IPSec peut fournir plus rapidement des mises à jour de stratégie IPSec (y compris d'annulation) au lieu de devoir dépendre des changements de membres de groupe dans le ticket d'octroi d'autorisations (TGT) Kerberos ou les tickets de service. L'inconvénient de cette méthode est qu'elle s'applique à tous les ordinateurs du groupe ou domaine d'isolation, et non à des ordinateurs spécifiques comme dans la méthode de déploiement par groupe. De plus, tous les ordinateurs disposeront d'un délai de 3 secondes avant retour à la communication en clair à un moment donné lors de la communication avec les sous-réseaux spécifiés.
Dans cette méthode de déploiement, les stratégies IPSec n'incluent que des exceptions initialement ; il n'existe aucune règle pour la négociation de la sécurité par les ordinateurs dans la stratégie IPSec. Cette méthode teste et vérifie d'abord que toutes les stratégies IPSec locales existant précédemment et pouvant être en cours d'utilisation sont supprimées. L'équipe d'administration doit pouvoir identifier les hôtes qui utilisaient des stratégies IPSec définies localement à l'avance pour gérer ces systèmes avec un processus spécial. Si une stratégie IPSec locale est remplacée par une stratégie de domaine, il peut se produire des interruptions dans les communications et une perte de sécurité pour les ordinateurs affectés. Contrairement aux stratégies locales remplacées par l'application de stratégie de domaine, les stratégies persistantes sous Windows Server 2003 fusionnent avec le résultat de l'application de la stratégie de domaine. Un système contenant une stratégie persistante peut sembler fonctionner, mais la configuration de la stratégie persistante peut changer le comportement ou diminuer en fait la sécurité fournie par la stratégie de domaine, ou peut perturber les communications une fois des règles de sous-réseau sécurisé ajoutées à la stratégie.
Vous pouvez ensuite créer une règle de sécurité avec un filtre affectant uniquement un seul sous-réseau dans le réseau de l'organisation, par exemple « Tout le trafic à partir de n'importe quelle adresse IP vers Sous-réseau A, négocier ». Cette règle aurait une action de filtre pour accepter le texte clair entrant et déclencher des négociations pour tout le trafic sortant vers ce sous-réseau avec la communication en texte clair activée. À mesure que le déploiement dans tous les domaines de cette stratégie IPSec prend effet, les communications passeront peu à peu d'associations de sécurité logicielles à des associations de sécurité IPSec normales pour les hôtes approuvés juste sur ce sous-réseau. Tout échec de négociation IKE est étudié et résolu. Toutes incompatibilité d'application est identifiée et corrigée. IPSec sécurisera la communication entre les hôtes approuvés dans ce sous-réseau. La communication avec des hôtes approuvés en dehors de ce sous-réseau repassera en clair après le délai de trois secondes. Des sous-réseaux supplémentaires sont ajoutés à la règle sécurisée jusqu'à ce que la stratégie soit constituée à son état final.
Considérez une organisation ayant une seule stratégie IPSec définie, appelée stratégie IPSec standard, qui demande une négociation IPSec, mais accepte le retour à la communication en texte clair en cas d'échec. La stratégie est créée dans Active Directory et ne contient que des règles d'exemption.
L'objet Stratégie de groupe IPSec standard est créé et lié de sorte qu'il s'applique à tous les ordinateurs de l'environnement. De plus, la stratégie IPSec standard est affectée à ce nouvel objet Stratégie de groupe.
Tous les ordinateurs recevront finalement la stratégie IPSec. Tous problèmes avec des stratégies IPSec locales seront détectés car cette stratégie de domaine supplantera les stratégies locales existantes. Les problèmes sont continuellement résolus jusqu'à ce que tous les sous-réseaux apparaissent dans la liste de filtres de sous-réseaux sécurisés.
Implémentation des groupes pour Woodgrove Bank
Woodgrove Bank a choisi d'implémenter son déploiement de production en déplaçant d'abord tous les ordinateurs vers le groupe de limite à l'aide de la méthode d'élaboration. Cette approche a permis aux administrateurs d'avancer peu à peu et de résoudre tous les problèmes en suspens sans trop affecter les communications entre tous les systèmes. En déployant d'abord une stratégie sans sous-réseaux sécurisés, l'équipe d'administration a pu identifier les systèmes auxquels était affectée une stratégie IPSec locale et prendre également ces informations en considération. Alors que des sous-réseaux ont été ajoutés à la stratégie, tous les conflits supplémentaires détectés ont été résolus.
Une fois que les ordinateurs fonctionnaient selon la stratégie de groupe de limite, l'équipe a implémenté les groupes Domaine d'isolation, Sans basculement et Chiffrement. Le déploiement de ces groupes utilisait la méthode Déployer par groupe. Un ensemble d'ordinateurs a été sélectionné pour un pilote et ajouté aux groupes appropriés contrôlant les nouvelles stratégies. Les problèmes ont été résolus à mesure de leur découverte, et des ordinateurs supplémentaires ont été ajoutés aux groupes jusqu'à ce qu'ils soient totalement remplis.
Le tableau suivant répertorie les groupes d'ordinateurs et d'accès réseau ainsi que leurs membres une fois la solution totalement déployée :
Tableau 4.11 : Appartenance au groupe d'ordinateurs et au groupe d'accès réseau
Groupe d'ordinateurs ou d'accès réseau |
Membres |
|---|---|
CG_IsolationDomain_Computers |
Ordinateurs du domaine |
CG_BoundaryIG_Computers |
IPS-PRINTS-01 |
CG_NoFallbackIG_Computers |
IPS-LT-XP-01 |
CG_EncryptionIG_Computers |
IPS-SQL-DFS-01 IPS-SQL-DFS-02 |
ANAG_EncryptedResourceAccess_Users |
User7 |
ANAG_EncryptedResourceAccess_Computers |
IPS-SQL-DFS-01 IPS-ST-XP-05 |
DNAG_EncryptionIG_Computers |
CG_BoundaryIG_Computers |
Notez que le groupe ANAG_EncryptedResourceAccess_Computers contient les serveurs se trouvant dans le groupe d'isolation de chiffrement. Ceci leur permettra de communiquer selon les besoins. Si cette communication n'est pas nécessaire pour ces serveurs, il est inutile de les ajouter dans ce groupe.
Résumé
Ce chapitre décrit le processus de conception d'une solution d'isolation de serveurs et de domaines. Les tâches comprenaient l'identification des groupes d'ordinateurs et des groupes d'accès réseau requis, la compréhension des groupes d'isolation de base, l'ajout de groupes d'isolation supplémentaires, l'élaboration d'un modèle de trafic, l'affectation de membres aux groupes, ainsi que la planification de la méthode de déploiement.
Ce chapitre utilisait également l'implémentation IPSec de Woodgrove Bank, une organisation fictive, pour aider à illustrer le processus de conception en action et éprouver la conception dans les laboratoires de test Microsoft.
La conception de groupes était basée sur les exigences commerciales et les informations de découverte obtenues à partir des deux chapitres précédents et documentées dans la feuille de calcul Business_Requirements.xls (disponible dans le dossier Tools and Templates). Une appréciation de l'impact d'IPSec sur un réseau était également une considération importante.
Après avoir lu ce chapitre, vous devez disposer de suffisamment d'informations pour commencer à planifier des groupes d'isolation, à documenter les exigences de communication entre ces groupes, et à planifier la stratégie IPSec de niveau supérieur. Ces tâches vous prépareront pour le chapitre 5, « Création de stratégies IPSec pour les groupes d'isolation ».
Informations complémentaires
Cette section fournit des liens vers des informations supplémentaires pouvant s'avérer utiles lors de l'implémentation de cette solution.
IPSec
Les liens suivants offrent une grande variété d'informations relatives à IPSec sous Windows :
Le livre blanc « Using Microsoft Windows IPSec to Help Secure an Internal Corporate Network Server
» (Utilisation de Microsoft Windows IPSec pour aider à sécuriser un serveur de réseau d'entreprise interne) présente le premier modèle d'utilisation d'IPSec pour sécuriser l'accès réseau aux serveurs internes traitant ou stockant des informations sensibles. Ce livre blanc peut être téléchargé sur www.microsoft.com/downloads/
details.aspx?FamilyID=a774012a-ac25-4a1d-8851-b7a09e3f1dc9&displaylang=en.Le déploiement Microsoft d'IPSec pour protéger tous les membres du domaine est décrit dans l'étude de cas « Improving Security with Domain Isolation: Microsoft IT implements IP Security (IPSec)
» (Amélioration de la sécurité avec l'isolation de domaines : Implémentation d'IPSec par Microsoft IT) sur www.microsoft.com/technet/itsolutions/msit/
security/ipsecdomisolwp.mspx.Page IPSec for Windows 2000
(IPSec pour Windows 2000) à l'adresse www.microsoft.com/windows2000/technologies/communications/ipsec/.Page Microsoft Windows Server 2003 IPSec
à l'adresse www.microsoft.com/windowsserver2003/technologies/networking/ipsec/.
Sécurité
- L'approche d'évaluation des risques de sécurité informatique de Microsoft est documentée dans le livre blanc « IT Security at Microsoft Overview » (Présentation de la sécurité informatique chez Microsoft) à l'adresse www.microsoft.com/technet/itsolutions/msit/security/mssecbp.mspx.
Windows Server 2003 Active Directory
Pour plus d'informations sur Active Directory, consultez :
- La page Windows Server 2003 Active Directory à l'adresse www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/.
Télécharger la solution complète
Isolation de serveurs et de domaines à l'aide d'IPSec et de stratégies de groupe