Module 8: Protection Du Trafic Réseau À L'Aide de La Sécurité Ipsec Et de Certificats

Module 8 : Protection
du trafic réseau à l'aide

de la sécurité IPSec et
Table des matières
de certificats
Vue d'ensemble 1
Leçon : Implémentation de la
sécurité IPSec 2
Leçon : Implémentation de la sécurité
IPSec avec des certificats 18
Leçon : Analyse de la sécurité IPSec 28
Atelier A : Protection du trafic réseau 36
Les informations contenues dans ce document, notamment les adresses URL et les références à des
sites Web Internet, pourront faire l'objet de modifications sans préavis. Sauf mention contraire, les
sociétés, les produits, les noms de domaine, les adresses de messagerie, les logos, les personnes,
les lieux et les événements utilisés dans les exemples sont fictifs et toute ressemblance avec
des sociétés, produits, noms de domaine, adresses de messagerie, logos, personnes, lieux et
événements existants ou ayant existé serait purement fortuite. L'utilisateur est tenu d'observer la
réglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut être reproduite, stockée ou introduite dans un système
d'extraction, ou transmise à quelque fin ou par quelque moyen que ce soit (électronique,
mécanique, photocopie, enregistrement ou autre), sans la permission expresse et écrite de
Microsoft Corporation.
Les produits mentionnés dans ce document peuvent faire l'objet de brevets, de dépôts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de propriété intellectuelle.
 2003 Microsoft Corporation. Tous droits réservés.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, MSDN, PowerPoint et Windows
Media sont soit des marques de Microsoft Corporation, soit des marques déposées de Microsoft
Corporation, aux États-Unis d'Amérique et/ou dans d'autres pays.
Les autres noms de produits et de sociétés mentionnés dans ce document sont des marques de leurs
propriétaires respectifs.
Module 8 : Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats iii
Notes de l'instructeur
Présentation : Ce module donne aux stagiaires les connaissances et l'expérience nécessaires
2 heures pour protéger le trafic réseau à l'aide de la sécurité du protocole Internet (IPSec,
Internet Protocol Security). Il explique également comment accroître la sécurité
Atelier : du trafic réseau en configurant la sécurité IPSec pour utiliser des certificats.
30 minutes
À la fin de ce module, les stagiaires seront à même d'effectuer les tâches
suivantes :
! implémenter la sécurité IPSec ;
! implémenter la sécurité IPSec avec des certificats ;
! analyser la sécurité IPSec.
Documents de cours Pour animer ce module, vous devez disposer des éléments suivants :
! Fichier Microsoft® PowerPoint® 2182A_08.ppt.
! Document Valeurs du plan d'implémentation situé dans l'annexe à la fin du
manuel de travail du stagiaire.
! Présentation multimédia Rôle de la sécurité IPSec dans l'infrastructure
réseau.
Vous devez lancer cette présentation multimédia à partir d'un fichier
exécutable (.exe) et non à partir d'un fichier HTML (.htm). Lorsque vous
cliquez sur l'icône multimédia sur la diapositive PowerPoint, une boîte de
dialogue s'affiche pour vous demander si vous souhaitez ouvrir le fichier.
Cliquez sur OK.
! Présentation multimédia Inscription de certificats.
Important Il est recommandé d'utiliser PowerPoint 2002 ou une version

ultérieure pour afficher les diapositives de ce cours. Si vous utilisez la
Visionneuse PowerPoint ou une version antérieure de PowerPoint, il se peut
que toutes les fonctionnalités des diapositives ne s'affichent pas correctement.
Préparation Pour préparer ce module, vous devez effectuer les tâches suivantes :
! lire tous les documents de cours relatifs à ce module ;
! réaliser les applications pratiques et l'atelier ;
! vous exercer à présenter toutes les procédures ;
• Une procédure comporte généralement un titre qui commence par
Comment…
! configurer la sécurité IPSec entre l'ordinateur de l'instructeur et l'ordinateur
Glasgow (et non au niveau de l'interface de la classe) pour éventuellement
en présenter le fonctionnement ;
! consulter les présentations multimédias Rôle de la sécurité IPSec dans
l'infrastructure réseau et Inscription de certificats ;
! consulter les cours et modules constituant les connaissances préalables
requises.
iv Module 8 : Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats
Comment animer ce module

Cette section contient des informations qui ont pour but de vous aider à animer
ce module.
Procédures, applications pratiques et ateliers

Expliquez aux stagiaires de quelle manière les procédures, les applications
pratiques et les ateliers ont été conçus pour ce cours. Un module comprend
deux ou plusieurs leçons. La plupart des leçons comprennent des procédures
et une application pratique. Une fois que les stagiaires ont terminé les leçons,
le module enchaîne sur un atelier.
Procédures Les procédures permettent à l'instructeur de montrer comment effectuer
une tâche. Les stagiaires n'effectuent pas les tâches en même temps que
l'instructeur. Ils se servent des étapes décrites pour effectuer l'application
pratique à la fin de chaque leçon.
Important Il est recommandé à l'instructeur de présenter chacune des tâches

des procédures. Dans le cas des démonstrations qui ne sont pas obligatoires,
vous pouvez utiliser les ordinateurs London et Glasgow pour illustrer ces
procédures. Il est important de ne pas modifier les paramètres qui pourraient
nuire à la réalisation des applications pratiques et de l'atelier.
Applications pratiques Après avoir traité le contenu d'une rubrique et présenté les procédures de la
leçon, expliquez qu'une application pratique est une occasion pour le stagiaire
de s'entraîner à accomplir les tâches décrites dans la leçon.
Ateliers À la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tâches abordées dans l'ensemble du module.
En utilisant des scénarios correspondant à la fonction, l'atelier propose aux
stagiaires des instructions présentées sous la forme de deux colonnes. La
colonne de gauche indique la tâche à effectuer (par exemple, créer un groupe).
La colonne de droite contient les instructions qui seront nécessaires aux
stagiaires pour effectuer la tâche (par exemple, à partir de la console
Utilisateurs et ordinateurs Active Directory, double-cliquez sur le nœud
du domaine).
Si les stagiaires ont besoin d'instructions détaillées pour mener à bien l'atelier,
ils disposent d'un corrigé de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent également se reporter aux applications pratiques et aux procédures
du module.
Module 8 : Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats v
Leçon : Implémentation de la sécurité IPSec

Cette section décrit les méthodes pédagogiques à mettre en œuvre pour cette
leçon.
Présentation ! Les fichiers multimédias sont installés sur l'ordinateur de l'instructeur. Pour
multimédia : Rôle de la ouvrir une présentation multimédia, cliquez sur l'icône d'animation située
sécurité IPSec dans une sur la diapositive.
infrastructure réseau
! Expliquez que cette présentation multimédia propose une vue d'ensemble
claire et détaillée du rôle de la sécurité IPSec dans l'infrastructure réseau.
Les informations détaillées sur la sécurité IPSec se trouvent dans la rubrique
et les procédures.
! La durée approximative de la présentation multimédia est de 6 minutes.
Qu'est-ce que la sécurité ! Définissez la sécurité IPSec, le cryptage et le décryptage.

IPSec ?
! Assurez-vous que les stagiaires comprennent le principe de base de la
sécurité IPSec.
! Expliquez que la sécurité IPSec aide à protéger les données contre les
attaques externes, préserver la sécurité des données sensibles et maintenir
l'intégrité des clients.
! Présentez l'exemple pour illustrer concrètement comment la sécurité IPSec
permet de transmettre des communications sécurisées et privées dans un
réseau.
De quelle manière ! Décrivez comment la sécurité IPSec protège le trafic en vous reportant à la
la sécurité IPSec diapositive.
protège-t-elle le trafic ?
• Visionnez la diapositive animée avant la classe.
! Définissez l'association de sécurité et le protocole Internet Key Exchange
(IKE). Notez que ces rubriques sont présentées de manière détaillée plus
loin dans ce module.
Qu'est-ce qu'une ! Définissez la stratégie de sécurité IPSec.

stratégie de sécurité
IPSec ? ! Expliquez qu'une stratégie de sécurité IPSec comprend un ensemble de
règles qui déterminent le fonctionnement de la sécurité IPSec. Expliquez
de quoi sont constituées les règles. Ne consacrez pas trop de temps aux
méthodes d'authentification car celles-ci sont traitées en détail plus loin
dans ce module.
! Assurez-vous que les stagiaires réalisent qu'une seule stratégie peut être
appliquée et qu'elle peut contenir plusieurs règles.
! Expliquez les trois stratégies par défaut, puis orientez les stagiaires vers la
page TechNet appropriée sur le site Web de Microsoft pour obtenir plus
d'informations sur les stratégies par défaut.
vi Module 8 : Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats
Fonctionnement ! Expliquez l'interaction des stratégies IPSec. Pour cela, reportez-vous au

conjoint des stratégies tableau de la diapositive pour illustrer ce qui se passe lorsque les stratégies
IPSec par défaut fonctionnent conjointement.
! Assurez-vous que les stagiaires comprennent bien que la sécurité IPSec
n'autorise la transmission de communications que si une association de
sécurité peut être établie entre deux ordinateurs.
! Décrivez, en donnant des exemples, quand la sécurité IPSec fonctionne
et quand elle ne fonctionne pas, puis expliquez les conséquences dans les
deux cas.
Instructions pour ! Expliquez comment appliquer les instructions pour répondre du mieux
équilibrer la sécurité et possible aux besoins de sécurité sans affecter les performances.
les performances
! Expliquez les niveaux de sécurité.
Comment attribuer ou ! Démontrez comment ajouter la console Gestion des stratégies de sécurité IP,
supprimer l'attribution puis attribuez ou supprimez l'attribution d'une stratégie IPSec pour une
d'une stratégie IPSec stratégie d'ordinateur local.
sur un ordinateur
! Démontrez comment attribuer et supprimer l'attribution d'une stratégie
IPSec pour une stratégie de groupe basée sur Active Directory.
Application pratique : ! Orientez les stagiaires vers le document Valeurs du plan d'implémentation
Implémentation de la situé à la fin du manuel de travail.
sécurité IPSec
! Indiquez aux stagiaires qu'ils peuvent se reporter aux procédures de la leçon.
! Demandez aux stagiaires de lire le scénario.
! Demandez aux stagiaires de réaliser les applications pratiques suivantes :
• partager le dossier C:\Moc sur leur ordinateur ;
• vérifier que les stagiaires peuvent se connecter au partage Moc de leurs
partenaires respectifs ;
• attribuer une stratégie IPSec ;
• vérifier que les stagiaires ne peuvent pas se connecter au partage Moc de
leurs partenaires respectifs ;
• supprimer l'attribution d'une stratégie IPSec ;
• attribuer une stratégie IPSec ;
partenaires respectifs.
! Réunissez la classe une fois que tous les stagiaires ont fini l'application
pratique et discutez des résultats.
Module 8 : Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats vii
Leçon : Implémentation de la sécurité IPSec avec des certificats

leçon.
Qu'est-ce qu'un ! Définissez un certificat X.509 et un émetteur de certificat.
certificat ?
! Insistez sur le fait qu'un certificat permet de lier une clé publique à l'identité
d'un utilisateur ou d'un ordinateur.
! Expliquez les avantages et le rôle des certificats.
! Expliquez le rôle d'une Autorité de certification.
! Traitez du contenu des certificats.
! Donnez un exemple d'utilisation d'un certificat.
Utilisations courantes ! Avant d'animer cette rubrique, assurez-vous que vous êtes familier avec
des certificats toutes les utilisations des certificats répertoriées. Abordez brièvement
chacune des utilisations courantes des certificats répertoriées sur la
diapositive. Étant donné que ce cours se concentre sur l'utilisation des
certificats avec la sécurité IPSec, veuillez ne pas passer plus de temps
que nécessaire sur ce sujet.
Pourquoi utiliser des ! Présentez les trois méthodes d'authentification disponibles et insistez sur
certificats avec la les situations qui se prêtent à l'utilisation de la sécurité IPSec avec des
sécurité IPSec pour certificats.
protéger le trafic
réseau ? ! Orientez les stagiaires vers le cours 2810 : Fundamentals of Network
Security, pour obtenir des informations détaillées sur l'utilisation
des certificats.
Présentation ! Les fichiers multimédias sont installés sur l'ordinateur de l'instructeur. Pour
multimédia : Inscription ouvrir une présentation multimédia, cliquez sur l'icône d'animation située
de certificats sur la diapositive.
! Expliquez que cette présentation multimédia propose une vue d'ensemble
détaillée de l'inscription des certificats et de son fonctionnement. Les
informations détaillées sur les certificats se trouvent dans la rubrique et
les procédures.
! La durée approximative de la présentation multimédia est de 4 minutes.
Comment configurer ! Expliquez comment configurer la sécurité IPSec pour utiliser des certificats
la sécurité IPSec pour et signalez aux stagiaires qu'ils doivent sélectionner une Autorité de
utiliser un certificat certification lorsqu'ils effectuent cette procédure.
viii Module 8 : Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats
Implémentation de la situé à la fin du manuel de travail.
sécurité IPSec avec
des certificats ! Indiquez aux stagiaires qu'ils peuvent se reporter aux procédures de la leçon.
• configurer la stratégie IPSec Serveur (demandez la sécurité) pour utiliser
le protocole Kerberos et les certificats ;
partenaires respectifs.
Leçon : Analyse de la sécurité IPSec

leçon.
Moniteur de sécurité IP ! Expliquez à quoi sert le Moniteur de sécurité IP.
! Expliquez les statistiques du mode principal et du mode rapide.
• Veillez à ne pas consacrer trop de temps aux statistiques du mode
principal et du mode rapide. Orientez les stagiaires vers le Kit de
ressources techniques de Microsoft® Windows Server™ 2003 pour
plus d'informations détaillées.
! Donnez des exemples des informations que vous pouvez consulter.
Instructions relatives à ! Décrivez comment appliquer les instructions visant à isoler la cause des
l'analyse des stratégies problèmes de communication.
IPSec
! Signalez aux stagiaires qu'après avoir exécuté une commande ping pour
tester la communication avec un autre ordinateur, ils recevront quatre
réponses en cas de connexion valide.
Comment arrêter et ! Expliquez aux stagiaires quand utiliser l'interface Windows ou l'invite de
démarrer les services commandes pour démarrer et arrêter les services IPSec.
IPSec
! Montrez comment arrêter et démarrer les services IPSec à l'aide de
l'interface Windows.
! Montrez comment arrêter et démarrer les services IPSec à l'aide de l'invite
de commandes.
Module 8 : Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats ix
Comment afficher les ! Montrez comment afficher les détails de la stratégie active IPSec et signalez
détails de la stratégie les informations les plus utiles.
IPSec
! Montrez comment afficher les associations de sécurité du mode principal de
la stratégie active IPSec.
Analyse de la sécurité situé à la fin du manuel de travail.
IPSec
! Indiquez aux stagiaires qu'ils peuvent se reporter aux procédures de la leçon.
• afficher les détails de la stratégie active IPSec à l'aide de la console
Moniteur IPSec ;
• afficher les informations des associations de sécurité du mode principal
de la stratégie active IPSec à l'aide de la console Moniteur IPSec.
Module 8 : Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats 1
Vue d'ensemble
********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************

Introduction En tant qu'administrateur système, vous pourrez mettre à profit vos
connaissances sur la sécurité IPSec pour protéger efficacement le trafic réseau.
Ce module présente la sécurité IPSec et vous explique comment l'utiliser pour
protéger le trafic dans votre réseau. Vous apprendrez également comment
configurer la sécurité IPSec pour utiliser des certificats X.509 afin de
maximiser la sécurité du processus d'authentification IPSec.
Objectifs À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :
! implémenter la sécurité IPSec ;
! implémenter la sécurité IPSec avec des certificats ;
! analyser la sécurité IPSec.
2 Module 8 : Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats
Leçon : Implémentation de la sécurité IPSec

Introduction Une part importante des données qui sont transmises via un réseau local (LAN,
Local Area Network) se trouve dans une forme qui peut être facilement capturée
et interprétée par un analyseur de protocole connecté au réseau. En capturant
des données de la sorte, un attaquant peut les modifier puis les retransmettre
sur le réseau. Pour protéger les données transmises sur le réseau contre ce type
d'attaque, vous pouvez crypter les données réseau en utilisant la sécurité IPSec.
La sécurité IPSec vous permet de définir l'étendue du cryptage. Vous pouvez,
par exemple, crypter toutes les communications réseau pour des clients
spécifiques ou tous les clients dans un domaine.
Objectifs de la leçon À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :
! décrire le rôle de la sécurité IPSec dans une infrastructure réseau ;
! expliquer le rôle de la sécurité IPSec ;
! décrire de quelle manière la sécurité IPSec assure la protection du trafic
dans Microsoft® Windows Server™ 2003 ;
! expliquer ce qu'est une stratégie de sécurité IPSec ;
! décrire de quelle manière les stratégies de sécurité IPSec fonctionnent
conjointement ;
! appliquer les instructions en vue d'équilibrer les niveaux de sécurité et de
performance ;
! attribuer ou supprimer l'attribution d'une stratégie IPSec sur un ordinateur.
Présentation multimédia : Rôle de la sécurité IPSec dans une

infrastructure réseau

Emplacement du fichier Pour commencer la présentation Rôle de la sécurité IPSec dans l'infrastructure
réseau, ouvrez la page Web sur le CD-ROM du stagiaire, cliquez sur
Multimédia, puis cliquez sur le titre de la présentation.
Objectifs À la fin de cette présentation, vous serez à même d'effectuer les tâches
suivantes :
! expliquer ce qu'est la sécurité IPSec ;
! décrire le fonctionnement de la sécurité IPSec ;
! décrire le fonctionnement des stratégies IPSec.
Points clés ! La sécurité IPSec consiste en une suite de protocoles qui permettent
de transmettre des communications cryptées et sécurisées entre deux
ordinateurs sur un réseau non sécurisé.
! La sécurité IPSec répond à deux objectifs : protéger les paquets IP et fournir
une ligne de défense contre les attaques réseau.
! Le fait de configurer la sécurité IPSec sur les ordinateurs d'envoi et
de réception permet à ces deux ordinateurs de s'envoyer des données
sécurisées.
! La sécurité IPSec protège le trafic réseau par le biais du cryptage, du
décryptage et de la signature des données.
! Les stratégies IPSec permettent de configurer la sécurité IPSec. Une
stratégie de configuration définit le type de trafic examiné par la sécurité
IPSec, la manière dont ce trafic est protégé et crypté et la manière dont
les homologues IPSec sont authentifiés.
! Vous pouvez utiliser les stratégies IPSec par défaut ou créer une stratégie
personnalisée.
! Vous pouvez configurer une seule stratégie IPSec à la fois pour un même
ordinateur.
Qu'est-ce que la sécurité IPSec ?

Définition La sécurité IPSec correspond à un ensemble de normes industrielles qui
vérifient, authentifient et cryptent les données au niveau des paquets IP.
Le cryptage est le processus permettant de coder un message ou des données à
l'aide d'une clé mathématique. Il a pour but d'empêcher quiconque ne possédant
pas la clé mathématique de déterminer la substance du message ou des données.
Le décryptage est le processus inverse. Il implique l'application de la clé
mathématique appropriée pour décoder le message ou les données de manière
à restaurer le contenu d'origine.
Rôle de la sécurité IPSec La sécurité IPSec permet de protéger les données lors de transmissions réseau.
L'administrateur définit une série de règles qui forment une stratégie IPSec.
Ces règles contiennent des filtres qui spécifient les types de trafic qui doivent
être cryptés, signés numériquement ou les deux. Chaque paquet envoyé par
l'ordinateur est alors évalué afin de déterminer s'il répond aux conditions de
la stratégie. S'il répond aux conditions de la stratégie, il peut être crypté ou
signé numériquement conformément à la stratégie. Ce processus est transparent
pour l'utilisateur et les applications qui initient la transmission des données. La
sécurité IPSec étant incluse dans un paquet IP standard, elle peut être transmise
sur un réseau sans occasionner une configuration spéciale des périphériques
situés entre les deux hôtes. La sécurité IPSec ne peut pas crypter certains
types de trafic, tels que les diffusions, les multidiffusions et les paquets de
protocole Kerberos.
Avantages de la La sécurité IPSec a pour avantage principal d'offrir un cryptage absolument

sécurité IPSec transparent pour tous les protocoles, du modèle OSI (Open Systems
Interconnection) de couche 3 (couche réseau) et supérieure.
La sécurité IPSec présente également les avantages suivants :
! Authentification mutuelle avant et pendant les communications
La sécurité IPSec force les deux parties à s'identifier elles-mêmes au cours
du processus de communication.
! Confidentialité grâce au cryptage du trafic IP et à l'authentification
numérique des paquets
La sécurité IPSec compte deux modes : le mode ESP (Encapsulating
Security Payload), qui crypte le trafic à l'aide d'un algorithme choisi parmi
quelques-uns, et le mode AH (Authentication Header), qui signe le trafic
sans le crypter.
! Intégrité du trafic IP en rejetant tout trafic modifié
Les modes ESP et AH vérifient tous deux l'intégrité de tout le trafic IP.
Si un paquet a été modifié, la signature numérique ne correspond pas et le
paquet est rejeté. Le mode ESP crypte les adresses source et de destination
dans le cadre de la charge utile.
! Protection contre les attaques de relecture
Les modes ESP et AH utilisent tous deux des numéros de séquence.
Par conséquent, tout paquet capturé en vue d'une relecture ultérieure
possédera des numéros hors séquence. Les numéros de séquence permettent
d'empêcher à un attaquant de réutiliser ou de relire des données capturées
afin d'établir une session ou obtenir des informations illégalement. Les
numéros de séquence permettent également d'empêcher toute tentative
d'interception d'un message en vue de le réutiliser, même plusieurs mois
après, pour accéder illégalement à des ressources.
Exemple Comme la réussite d'une entreprise peut être compromise par la capture
d'informations confidentielles, elle doit pouvoir compter sur la sécurité et la
fiabilité de son réseau, notamment pour les informations sensibles comme les
données sur les produits, les rapports financiers et les plans marketing. Vous
pouvez utiliser la sécurité IPSec pour assurer la sécurité et la confidentialité
des communications dans un réseau, un intranet ou un extranet, notamment
les communications de poste de travail à serveur et de serveur à serveur.
Vous pouvez par exemple attribuer des stratégies IPSec à des ordinateurs qui
se connectent à des serveurs hébergeant des données sensibles, telles que des
données financières, de ressources humaines ou de planification stratégique, et
qui pourraient faire l'objet d'attaques. Une stratégie IPSec protège vos données
contre les attaques externes, en préservant leur sécurité et l'intégrité des clients.
De quelle manière la sécurité IPSec protège-t-elle le trafic ?

Fonctionnement de la La configuration IPSec est définie via une stratégie locale ou une stratégie de
sécurité IPSec groupe dans le service d'annuaire Active Directory® :
1. Les stratégies IPSec sont remises à tous les ordinateurs ciblés : la stratégie
indique au pilote IPSec comment se comporter et définit les associations de
sécurité qui peuvent être établies. Les associations de sécurité définissent,
d'une part, les protocoles de cryptage qui sont utilisés avec les types de
trafic et, d'autre pat, les méthodes d'authentification qui sont négociées.
2. L'association de sécurité est négociée : le module IKE négocie l'association
de sécurité. Le module IKE combine deux protocoles : le protocole
ISAKMP (Internet Security Association and Key Management Protocol)
et le protocole Oakley Key Determination Protocol. Si un client requiert
des certificats à des fins d'authentification et que l'autre client requiert le
protocole Kerberos, le module IKE ne pourra pas établir une association
de sécurité entre ces deux ordinateurs. Si vous examinez les paquets dans
le Moniteur réseau, vous verrez des paquets ISAKMP, mais vous ne verrez
pas les paquets AH ou ESP suivants.
3. Les paquets IP sont cryptés : une fois que l'association de sécurité a été
établie, le pilote IPSec analyse tout le trafic IP, compare le trafic aux filtres
définis et, s'il en a été instruit, crypte ou signe le trafic.
Définition Le module IKE (Internet Key Exchange) est un protocole qui établit
l'association de sécurité et les clés partagées nécessaires pour que les deux
parties puissent communiquer en utilisant la sécurité IPSec.
Qu'est-ce qu'une stratégie de sécurité IPSec ?

Définition Une stratégie de sécurité IPSec comprend une ou plusieurs règles qui
déterminent le comportement de la sécurité IPSec.
Règles de stratégie de La sécurité IPSec s'implémente par le biais d'une stratégie. Chaque stratégie
sécurité IPSec peut contenir plusieurs règles, mais vous ne pouvez attribuer qu'une seule stratégie
à la fois sur un ordinateur quelconque. Vous devez combiner toutes les règles
souhaitées dans une seule stratégie. Chaque règle comprend les éléments suivants :
! Un filtre : le filtre spécifie à la stratégie le type de trafic auquel s'applique
l'action de filtrage. Par exemple, vous pouvez avoir un filtre qui identifie
uniquement le trafic HTTP (Hypertext Transfer Protocol) ou FTP (File
Transfer Protocol).
! Une action de filtrage : l'action de filtrage spécifie à la stratégie la procédure
à suivre si le trafic correspond au filtre. Par exemple, vous pouvez spécifier
à la sécurité IPSec de bloquer tout le trafic FTP et forcer le cryptage de tout
le trafic HTTP. L'action de filtrage peut aussi spécifier à la stratégie les
algorithmes de hachage et de cryptage à utiliser.
! Une méthode d'authentification : les trois méthodes d'authentification
possibles sont les certificats, le protocole Kerberos et une clé pré-partagée.
Chaque règle peut spécifier plusieurs méthodes d'authentification.
Stratégies par défaut Dans Windows 2000 et versions ultérieures, trois stratégies configurées par
défaut sont disponibles :
! Client (en réponse seule) : si un ordinateur demande au client d'utiliser
la sécurité IPSec, il répondra avec la sécurité IPSec. La stratégie Client
(en réponse seule) n'initie jamais la sécurité IPSec toute seule. Cette
stratégie ne contient qu'une règle, appelée la règle de réponse par défaut.
Cette règle permet à l'hôte de répondre à une requête de protection ESP tant
que les deux hôtes sont approuvés dans des domaines Active Directory.
La protection ESP est un mode IPSec qui permet de transmettre des
communications confidentielles, en plus de ses fonctions d'authentification,
d'intégrité et d'anti-lecture.
! Serveur (demandez la sécurité) : vous pouvez appliquer cette stratégie à la
fois aux serveurs et aux clients. Cette stratégie essaie toujours d'utiliser la
sécurité IPSec mais peut revenir à des communications non sécurisées si
un client n'est pas configuré avec une stratégie IPSec. La stratégie Serveur
(demandez la sécurité) contient trois règles, la première étant la règle de
réponse par défaut décrite précédemment. La seconde règle autorise le
trafic ICMP (Internet Control Message Protocol). Le protocole ICMP
est un protocole de maintenance dans la suite TCP/IP (Transmission
Control Protocol/Internet Protocol) qui signale les erreurs et autorise une
connectivité simple. La commande ping utilise le protocole ICMP pour
résoudre les problèmes relatifs au protocole TCP/IP. Même si le protocole
ICMP constitue un bon utilitaire de diagnostic, vous pouvez le désactiver
dans un réseau hautement sécurisé car plusieurs attaques connues visent
précisément ce protocole. La troisième règle demande la protection ESP
pour tout le trafic IP.
! Sécuriser le serveur (nécessite la sécurité) : vous pouvez appliquer
cette stratégie à la fois aux serveurs et aux clients. Si cette stratégie est
attribuée, l'ordinateur peut uniquement communiquer via la sécurité IPSec
et n'effectuera plus de communications non sécurisées. Cette stratégie
contient également trois règles. Les deux premières, la règle de réponse par
défaut et la règle d'autorisation du trafic ICMP, sont décrites précédemment.
La stratégie Sécuriser le serveur (nécessite la sécurité) se caractérise par le
fait que le trafic doit être entièrement crypté avec la protection ESP pour
autoriser le serveur à communiquer. La règle ICMP remplace la règle
visant à demander la sécurité pour tout autre trafic IP.
Remarque Pour plus d'informations sur les stratégies IPSec par défaut,
consultez la rubrique « Configuring Local IPSec Policies » dans la
page TechNet du site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/
prodtechnol/winxppro/reskit/prcc_tcp_bhzb.asp.
Fonctionnement conjoint des stratégies IPSec

Négociation d'une Vous ne devez pas considérer les stratégies comme des entités individuelles.
association de sécurité Les deux ordinateurs qui négocient une association de sécurité doivent avoir
des stratégies complémentaires. Le tableau de la diapositive indique les résultats
escomptés lorsque les stratégies par défaut fonctionnent conjointement. Si
deux hôtes peuvent négocier une association de sécurité compatible, la
communication peut avoir lieu en utilisant la sécurité IPSec. Si les deux hôtes
ont des stratégies incompatibles, ils peuvent retransmettre des communications
non sécurisées ou ne plus être en mesure de communiquer.
Exemples du Le tableau de la diapositive ne s'applique qu'aux stratégies par défaut avec les
fonctionnent conjoint règles par défaut. Si vous ajoutez une règle qui spécifie que l'ordinateur A
des stratégies demande une protection ESP pour le protocole HTTP et que l'ordinateur B
demande un en-tête de sécurité AH pour le protocole HTTP, les ordinateurs
ne pourront alors pas négocier d'association de sécurité.
L'authentification Kerberos est le paramètre par défaut pour les trois stratégies
par défaut. Le protocole Kerberos s'applique aux ordinateurs dans la même
forêt Active Directory ; mais, si un ordinateur n'est pas membre de la forêt, les
ordinateurs ne peuvent pas négocier l'authentification. Aussi, si l'ordinateur B
est modifié de manière à ce qu'il n'utilise que des certificats pour l'authentification
de l'ensemble du trafic IP, aucune association de sécurité ne sera établie. Il est
possible de modifier l'ordinateur B de manière à ce qu'il demande soit le protocole,
soit des certificats. Tant qu'une méthode d'authentification fonctionne,
l'authentification peut avoir lieu.
Les stratégies par défaut sont fournies à titre d'exemple. Si vous définissez la
stratégie Sécuriser le serveur (nécessite la sécurité), cet ordinateur ne peut alors
plus communiquer avec les ordinateurs sur lesquels la sécurité IPSec n'est pas
activée. Par exemple, toute demande d'une recherche DNS (Domain Name
System) sur un serveur DNS sans la sécurité IPSec sera vouée à l'échec. Si
l'ordinateur a besoin d'accéder à un serveur exécutant Microsoft SQL Server™
sans la sécurité IPSec, l'opération échouera. De même, si vous définissez la
stratégie Serveur (demandez la sécurité), l'ordinateur retransmettra des
communications non sécurisées avec les ordinateurs sur lesquels la sécurité
IPSec n'est pas en place. Les stratégies IPSec actuelles doivent être conçues de
manière à protéger le trafic qui en a besoin, tout en autorisant les communications
de base.
Instructions pour équilibrer la sécurité et les performances

Comment équilibrer La sécurité IPSec protège les données de manière à rendre leur interprétation
la sécurité et les par un attaquant extrêmement difficile, voire impossible. Les niveaux de
performances sécurité que vous précisez dans la structure de votre stratégie IPSec déterminent
le niveau de protection mis en place. Toutefois, lors de l'implémentation de la
sécurité IPSec, vous devez vous assurer que les informations sont facilement
accessibles par le plus grand nombre possible d'utilisateurs, tout en protégeant
les informations sensibles contre tout accès non autorisé.
Pour trouver le juste équilibre, vous devez effectuer les tâches suivantes :
! évaluer le risque et déterminer le niveau de sécurité approprié pour votre
organisation ;
! identifier les informations importantes ;
! déterminer l'implémentation optimale des stratégies au sein de l'organisation
existante ;
! vérifier que les exigences en termes de gestion et de technologies sont
satisfaites ;
! permettre aux utilisateurs d'accéder de manière sécurisée et efficace aux
ressources appropriées en fonction de leurs besoins.
Niveaux de sécurité Les besoins en matière de sécurité peuvent être très différents d'une
organisation à une autre en fonction des stratégies et des infrastructures en
place. Les niveaux de sécurité suivants sont fournis à titre de référence pour
vous aider à planifier le déploiement de la sécurité IPSec :
! Sécurité minimale : les ordinateurs n'échangent pas de données sensibles.
La sécurité IPSec n'est pas activée par défaut. Aucune action administrative
n'est requise pour désactiver la sécurité IPSec.
! Sécurité normale : les ordinateurs, et particulièrement les serveurs de
fichiers, sont utilisés pour stocker des données importantes. La sécurité
doit être équilibrée de manière à ce qu'elle ne nuise pas au bon déroulement
des tâches effectuées par les utilisateurs. Microsoft Windows 2000,
Windows XP et la famille Windows Server 2003 offrent des stratégies
IPSec par défaut qui protègent les données mais qui ne nécessitent pas
forcément le niveau de sécurité le plus élevé : Client (en réponse seule)
et Serveur (demandez la sécurité). Ces stratégies, ou des stratégies
personnalisées semblables, permettent d'optimiser l'efficacité sans
compromettre la sécurité.
! Haute sécurité : les ordinateurs qui contiennent des données hautement
sensibles sont sujets au vol de données, aux interruptions accidentelles ou
mal intentionnées du système (surtout dans des scénarios d'accès à distance)
et aux communications réseau publiques. La stratégie par défaut Sécuriser le
serveur (nécessite la sécurité) nécessite la sécurité IPSec pour tout le trafic
envoyé ou reçu (à l'exception de la communication entrante initiale). La
stratégie Sécuriser le serveur (nécessite la sécurité) inclut des méthodes de
sécurité renforcées. Les communications non sécurisées avec un ordinateur
qui n'est pas compatible avec la sécurité IPSec ne sont pas autorisées.
Comment attribuer ou supprimer l'attribution d'une stratégie IPSec

sur un ordinateur

Introduction Vous pouvez créer et modifier une stratégie IPSec à l'aide du composant
logiciel enfichable Stratégies de sécurité IP disponible dans la console MMC
(Microsoft Management Console). Ce composant logiciel enfichable gère la
stratégie de manière centrale pour les clients Active Directory, de manière
locale sur l'ordinateur sur lequel vous exécutez le composant logiciel enfichable
ou de manière distante pour un ordinateur ou un domaine. Vous pouvez
enregistrer la console personnalisée en vue d'une utilisation ultérieure.
Remarque Il est recommandé de se connecter avec un compte ne bénéficiant

pas de privilèges administratifs et d'utiliser la commande Exécuter en tant
que avec un compte d'utilisateur disposant des autorisations nécessaires pour
effectuer cette tâche.
Procédure pour Pour ajouter une console Gestion de sécurité IP, puis attribuer ou supprimer
attribuer ou supprimer l'attribution d'une stratégie IPSec pour une stratégie d'ordinateur local :
l'attribution d'une
stratégie IPSec pour une 1. Ouvrez une session en utilisant un compte d'utilisateur ne disposant pas de
stratégie d'ordinateur droits d'administration.
local
2. Cliquez sur Démarrer, sur Exécuter, tapez MMC, puis cliquez sur OK.
3. Dans la console MMC, cliquez sur Fichier, sur Ajouter/Supprimer un
composant logiciel enfichable, puis sur Ajouter.
4. Sélectionnez Gestion de la stratégie de sécurité IP, puis cliquez sur
Ajouter.
5. Dans la page Sélectionner un ordinateur ou un domaine, vérifiez que
Ordinateur local est sélectionné, puis cliquez sur Terminer.
6. Dans la boîte de dialogue Ajout d'un composant logiciel enfichable
autonome, cliquez sur Fermer, puis sur OK.
7. Enregistrez la console sous le nom IPSec sur le Bureau, puis fermez la

console IPSec.
8. Sur le Bureau, cliquez avec le bouton droit sur IPSec, puis sélectionnez
Exécuter en tant que.
9. Dans la boîte de dialogue Exécuter en tant que, sélectionnez l'option
L'utilisateur suivant, entrez un compte d'utilisateur et un mot de passe
disposant des autorisations appropriées pour effectuer la tâche, puis
cliquez sur OK.
10. Dans l'arborescence de la console, cliquez sur Stratégies de sécurité IP sur
Ordinateur local.
11. Dans le volet d'informations, cliquez sur la stratégie IPSec que vous
souhaitez attribuer ou dont vous souhaitez supprimer l'attribution, puis
effectuez l'une des opérations suivantes :
• pour attribuer la stratégie, cliquez avec le bouton droit sur la stratégie
appropriée dans le volet d'informations, puis cliquez sur Attribuer ;
• pour supprimer l'attribution de la stratégie, cliquez avec le bouton droit
sur la stratégie appropriée dans le volet d'informations, puis cliquez sur
Supprimer l'attribution.
Procédure pour Pour attribuer ou supprimer l'attribution d'une stratégie IPSec pour une stratégie
attribuer ou supprimer de groupe basée sur Active Directory :
l'attribution d'une
stratégie IPSec pour 1. Ouvrez la console Utilisateurs et ordinateurs Active Directory.
une stratégie de groupe
basée sur Active 2. Dans l'arborescence de la console, cliquez avec le bouton droit sur l'unité
Directory d'organisation ou le domaine pour lequel vous souhaitez définir la stratégie
de groupe.
3. Cliquez sur Propriétés, puis cliquez sur l'onglet Stratégie de groupe.
4. Cliquez sur Modifier pour ouvrir l'objet Stratégie de groupe à modifier.
Vous pouvez aussi cliquer sur Nouveau pour créer un nouvel objet Stratégie
de groupe, puis sur Modifier.
5. Dans la console Éditeur d'objets de stratégie de groupe, développez
successivement Configuration ordinateur, Paramètres Windows,
Paramètres de sécurité, puis cliquez sur Stratégies de sécurité IP sur
Active Directory.
6. Dans le volet d'informations, cliquez sur la stratégie IPSec que vous
souhaitez attribuer ou supprimer l'attribution, puis effectuez l'une des
opérations suivantes :
• Pour attribuer la stratégie, cliquez avec le bouton droit sur la stratégie
appropriée dans le volet d'informations, puis cliquez sur Attribuer.
• Pour supprimer l'attribution de la stratégie, cliquez avec le bouton droit
sur la stratégie appropriée dans le volet d'informations, puis cliquez sur
Supprimer l'attribution.
Application pratique : Implémentation de la sécurité IPSec

Introduction Dans cette application pratique, vous allez attribuer une stratégie IPSec.
Instructions Pour effectuer cette application pratique, reportez-vous au document Valeurs
du plan d'implémentation situé dans l'annexe à la fin du manuel de travail
du stagiaire
Scénario Votre organisation envisage d'implémenter la sécurité IPSec pour protéger les
clients d'accès distant. Avant d'implémenter la sécurité IPSec aux clients réels,
les architectes vous demandent, en tant qu'administrateur réseau, de tester le
fonctionnement de la sécurité IPSec dans le laboratoire de tests.
Vous allez configurer la sécurité IPSec sur deux ordinateurs : un client et un
serveur. Le fait de configurer la sécurité IPSec deux fois de suite vous permettra
de vous familiariser avec l'attribution de stratégies IPSec sur des ordinateurs.
Vous allez éventuellement utiliser la stratégie de groupe pour attribuer la
stratégie IPSec aux clients d'accès distant. Toutefois, au cours des tests
effectués dans le laboratoire, vous allez attribuer des stratégies IPSec à
des ordinateurs individuels.
Application pratique
! Partager le dossier C:\Moc sur votre ordinateur
! Effectuez cette tâche sur les deux ordinateurs des stagiaires.
! Outil d'administration : Gestion de l'ordinateur
! Nom d'utilisateur : NWtraders\Nom_OrdinateurAdmin
(où Nom_Ordinateur est le nom de votre ordinateur)
! Mot de passe : P@ssw0rd
! Dossier à partager : C:\Moc
! Autorisations d'accès : Tout le monde : Lecture
! Vérifier que vous pouvez vous connecter au partage Moc de votre

partenaire
Remarque Attendez que votre partenaire achève l'étape précédente avant de

passer à la suivante. Effectuez la tâche suivante sur les deux ordinateurs des
stagiaires.

1. Dans la boîte de dialogue Exécuter, tapez \\Nom_Ordinateur\Moc
(où Nom_Ordinateur est le nom de l'ordinateur de votre partenaire),
puis cliquez sur OK.
2. Vérifiez que vous pouvez afficher le contenu du dossier
\\Nom_Ordinateur\Moc (où Nom_Ordinateur est le nom de l'ordinateur
de votre partenaire).
3. Fermez la fenêtre \\Nom_Ordinateur\Moc.
! Attribuer une stratégie IPSec

! Effectuez cette tâche sur l'ordinateur avec le numéro de stagiaire le
plus petit.
! Stratégie de sécurité IP : Sécuriser le serveur (nécessite la sécurité)
! Vérifier que vous ne pouvez pas vous connecter au partage Moc de

votre partenaire
plus grand.
2. Fermez la boîte de message de l'Explorateur Windows.
! Supprimer l'attribution d'une stratégie IPSec

plus petit.
! Stratégie de sécurité IP : Sécuriser le serveur (nécessite la sécurité)

partenaire
plus grand.
! Attribuer une stratégie IPSec

! Stratégie de sécurité IP : Serveur (demandez la sécurité)

partenaire
Leçon : Implémentation de la sécurité IPSec avec des

certificats

Introduction La sécurité IPSec repose sur l'authentification mutuelle pour protéger les
communications. La sécurité IPSec étant une norme industrielle, cette
authentification peut avoir lieu entre des systèmes qui ne partagent pas une
infrastructure d'authentification centralisée utilisant le protocole Kerberos.
Les certificats X.509 constituent un autre moyen d'authentification pour la
sécurité IPSec. Ils sont aussi basés sur des normes et peuvent être utilisés si une
infrastructure de clés publiques (PKI, Public Key Infrastructure) est en place.
Cette leçon décrit comment utiliser des certificats de clés publiques à des fins
d'authentification pour bénéficier de communications approuvées et sécurisées
sur le réseau.
! expliquer le rôle d'un certificat ;
! définir les utilisations courantes des certificats ;
! expliquer pourquoi utiliser des certificats avec la sécurité IPSec pour
protéger le trafic réseau ;
! décrire le processus d'inscription des certificats ;
! configurer la sécurité IPSec pour utiliser des certificats.
Qu'est-ce qu'un certificat ?

Définition Un certificat X.509, parfois appelé certificat numérique, est une forme
d'identification électronique communément utilisée pour authentifier et protéger
l'échange d'informations sur des réseaux ouverts, tels qu'Internet, les extranets
et les intranets.
Un certificat lie de manière sécurisée une clé publique à l'entité qui détient la
clé privée correspondante. Par exemple, vous pouvez crypter des données pour
un destinataire avec sa clé publique, en présumant que seul le destinataire
dispose de la clé privée requise pour décrypter les données.
Un émetteur de certificat, appelé Autorité de certification, signe numériquement
les certificats. Les certificats peuvent être émis pour un utilisateur, un
ordinateur ou un service, tel que la sécurité IPSec.
Avantages des Les certificats offrent de nombreux avantages. Ils permettent notamment aux
certificats hôtes de ne plus avoir à gérer un ensemble de mots de passe pour les sujets
individuels qui ont besoin d'être authentifiés avant qu'une autorisation d'accès
ne leur soit accordée. Au lieu de cela, l'hôte établit simplement une approbation
dans une Autorité de certification qui émet les certificats.
Rôle d'une Autorité de Une Autorité de certification est chargée d'authentifier et de valider les clés de
certification cryptage, de décryptage et d'authentification. Après avoir vérifié l'identité du
propriétaire d'une clé, l'Autorité de certification distribue les clés publiques en
émettant des certificats X.509. Ces derniers contiennent la clé publique et un
ensemble d'attributs. Une Autorité de certification peut émettre, en plus des
certificats d'ordre général, des certificats pour des fonctions spécifiques, par
exemple pour protéger la messagerie ou la sécurité IPSec.
Contenu d'un certificat Un certificat contient les informations suivantes :

! la clé cryptographique publique de la paire de clés publique et privée du
sujet du certificat ;
! des informations sur le sujet qui a demandé le certificat ;
! le nom unique X.500 de l'utilisateur ou de l'ordinateur ;
! l'adresse de messagerie du propriétaire du certificat ;
! des détails sur l'Autorité de certification ;
! les dates d'expiration ;
! le hachage du contenu du certificat pour garantir l'authenticité (signature
numérique).
Exemple d'utilisation Un administrateur système peut configurer la stratégie de groupe pour installer
d'un certificat automatiquement un certificat sur un ordinateur membre d'un domaine. Le
certificat peut être utilisé à des fins d'authentification entre deux ordinateurs
sur lesquels la sécurité IPSec a été configurée. Les certificats doivent aussi être
installés sur les serveurs Web qui fourniront des connexions sécurisées de type
SSL (Secure Sockets Layer) pour les utilisateurs.
Utilisations courantes des certificats

Utilisations des De nombreuses organisations installent leurs propres Autorités de certification
certificats et émettent des certificats en interne à des périphériques, des services et
des employés pour créer un environnement informatique plus sécurisé. Par
conséquent, un employé d'une organisation peut disposer de plusieurs certificats
émis par plusieurs Autorités de certification.
Le tableau suivant décrit certaines applications des certificats.
Utilisations des certificats Description
Signatures numériques Utilise la clé publique dans un certificat

pour vérifier que les données ont été
signées avec la clé privée correspondante.
Système de fichiers EFS Utilise la clé publique dans un certificat
(Encrypting File System) pour crypter les clés de cryptage des
fichiers.
Authentification Internet Vérifie l'identité d'un serveur Web pour
les clients Web. Les serveurs Web
peuvent aussi utiliser des certificats
pour vérifier l'identité des clients Web.
Sécurité IP (IPSec) Vérifie l'identité des ordinateurs et crypte
les données lorsqu'elles sont transmises
sur le réseau.
Messagerie sécurisée Vérifie les messages électroniques signés
et décrypte les messages électroniques.
Ouverture de session par carte à puce Vérifie l'identité d'un utilisateur par le
biais d'une ouverture de session par carte
à puce.
Signature du code logiciel Vérifie l'identité d'un éditeur de logiciels.
Pourquoi utiliser des certificats avec la sécurité IPSec pour

protéger le trafic réseau ?

Rôle des certificats En utilisant des certificats d'une Autorité de certification approuvée dans le
but d'authentifier deux hôtes IPSec, une entreprise peut dialoguer avec d'autres
organisations qui approuvent la même Autorité de certification. Vous pouvez
aussi utiliser des certificats pour activer le service Routage et accès distant de
Windows et communiquer de manière sécurisée via Internet avec un routeur
tiers qui prend en charge la sécurité IPSec. Toutefois, les certificats étant plus
complexes que les clés pré-partagées ou le protocole Kerberos, ils nécessitent
une plus grande planification administrative. Les certificats font partie
d'une solution PKI. Même si une telle solution nécessite des ressources de
planification et de gestion, elle dépasse le cadre de l'entreprise et permet
d'établir des relations d'identité et d'approbation entre organisations.
Protocole Kerberos et Les deux autres méthodes permettant d'authentifier deux hôtes IPSec sont les
clés pré-partagées suivantes :
! Protocole Kerberos : pour le trafic entre ordinateurs dans la même forêt,
le protocole Kerberos par défaut constitue la solution d'authentification la
plus simple pour la sécurité IPSec et ne nécessite aucune configuration. Le
protocole Kerberos est un composant d'Active Directory et fait donc partie
de la structure de domaine d'une entreprise. Toutefois, pour les clients qui
ne prennent pas en charge le protocole Kerberos ou pour les clients qui
ne font pas partie de la structure Active Directory, vous devez utiliser un
autre type d'authentification, par exemple une clé pré-partagée ou un
certificat X.509.
! Clés pré-partagées : une clé pré-partagée est une chaîne de caractères

aléatoires qui sert de mot de passe entre deux hôtes IPSec. Les clés
pré-partagées n'offrent pas le même niveau de sécurité que le protocole
Kerberos ou les certificats car elles sont stockées en texte clair dans la
stratégie IPSec. Un attaquant peut accéder avec des droits d'administration à
la stratégie et obtenir la clé pré-partagée. Par ailleurs, les clés pré-partagées
n'évoluent pas bien sur les configurations à ordinateurs multiples.
Remarque Pour plus d'informations sur l'utilisation des certificats, consultez le

cours 2810 : Fundamentals of Network Security.
Présentation multimédia : Inscription de certificats

Emplacement du fichier Pour commencer la présentation Inscription de certificats, ouvrez la page Web
sur le CD-ROM du stagiaire, cliquez sur Multimédia, puis cliquez sur le titre
de la présentation.
Objectifs À la fin de cette présentation, vous serez à même d'effectuer les tâches
suivantes :
! définir ce qu'est l'inscription de certificats ;
! décrire le fonctionnement de l'inscription de certificats.
Points clés ! L'inscription de certificats est le processus de demande et d'installation de

certificats pour un utilisateur, un ordinateur ou un service.
! Les stratégies et processus de l'Autorité de certification définissent le mode
de demande et de réception de certificats.
! Une Autorité de certification autonome ne prend en charge que les
inscriptions via le Web, alors qu'une Autorité de certification d'entreprise
prend en charge les inscriptions via le Web et via la console MMC.
! Un fournisseur de services cryptographiques installé sur l'ordinateur génère
les clés privée et publique (ou paire de clés) requises pour la demande de
certificat. Un fournisseur de services cryptographiques peut être de base
logicielle ou matérielle.
! La clé publique est envoyée à l'Autorité de certification avec les
informations du demandeur de certificat.
! Le fournisseur de services cryptographiques logiciel crypte et protège la clé
privée dans un emplacement protégé, connu sous le nom de « pstore ».
Comment configurer la sécurité IPSec pour utiliser un certificat

Introduction Si vous choisissez d'utiliser un certificat à des fins d'authentification, vous
devez sélectionner une Autorité de certification (généralement l'Autorité de
certification racine pour votre certificat d'ordinateur installé). Vous ne pouvez
pas laisser ce champ vide.

pas de privilèges administratifs et d'utiliser la commande Exécuter en tant que
avec un compte d'utilisateur disposant des autorisations nécessaires pour
Procédure Pour configurer la sécurité IPSec pour utiliser un certificat :

1. Créez un composant logiciel enfichable Gestion de sécurité IP contenant
des stratégies de sécurité IP. Vous pouvez aussi ouvrir un fichier de console
enregistré qui contient des stratégies de sécurité IP.
2. Double-cliquez sur la stratégie que vous souhaitez modifier.
3. Dans la boîte de dialogue Propriétés de Stratégie, double-cliquez sur la
règle de sécurité IPSec que vous souhaitez modifier.
4. Dans la boîte de dialogue Propriétés de Modifier la règle, sous l'onglet
Méthodes d'authentification, cliquez sur Ajouter. Si vous configurez
une méthode existante, vous pouvez aussi cliquer sur la méthode
d'authentification, puis sur Modifier.
5. Sélectionnez Utiliser un certificat émis par cette Autorité de
certification, puis cliquez sur Parcourir.
6. Dans la boîte de dialogue Sélectionner un certificat, cliquez sur l'Autorité
de certification appropriée, puis sur OK.
7. Sous l'onglet Méthode d'authentification, cliquez sur OK.
8. Dans la boîte de dialogue Propriétés de Modifier la règle, cliquez sur OK.
9. Dans la boîte de dialogue Propriétés de Stratégie, cliquez sur OK.
Application pratique : Implémentation de la sécurité IPSec avec

des certificats

Objectif Dans cette application pratique, vous allez implémenter la sécurité IPSec avec
un certificat.
du stagiaire
Vous devez ouvrir une session avec un compte ne disposant pas d'informations
d'identification administratives, puis utiliser la commande Exécuter en tant
que avec un compte d'utilisateur disposant des informations d'identification
administratives appropriées pour effectuer cette tâche.
Scénario Votre organisation a mis en place avec succès une solution de sécurité IPSec
avec le protocole Kerberos. L'organisation a fait l'acquisition d'une autre
entreprise qui utilise des certificats à des fins d'authentification. Pour dialoguer
avec la nouvelle entreprise, vous devez configurer la sécurité IPSec de manière
à utiliser des certificats d'une Autorité de certification approuvée par les deux
entreprises.
Important Dans cette application pratique, le protocole Kerberos est défini
comme la méthode d'authentification par défaut. Vous devez configurer les
stratégies IPSec sur le serveur et les ordinateurs clients pour utiliser les
certificats comme méthode d'authentification secondaire. Pour utiliser les
certificats comme unique méthode d'authentification, vous devez tout d'abord
supprimer la méthode d'authentification utilisant le protocole Kerberos.
+
! Configurer la stratégie IPSec Serveur (demandez la sécurité) pour

utiliser le protocole Kerberos et les certificats
! Stratégie de sécurité IP : Serveur (demandez la sécurité)
! Règle de sécurité IP : Tout trafic IP
! Autorité de certification : Microsoft Root Certificate Authority
! Ordre de préférence des méthodes d'authentification :
• Protocole Kerberos
• Microsoft Root Certificate Authority

partenaire
Leçon : Analyse de la sécurité IPSec

Introduction Windows Server 2003 inclut plusieurs utilitaires qui permettent d'identifier et
de résoudre les problèmes les plus courants relatifs à la sécurité IPSec. Cette
leçon présente le Moniteur de sécurité IP et explique comment s'en servir pour
isoler les erreurs liées aux paramètres de configuration de la sécurité IPSec.
! expliquer ce qu'est le Moniteur de sécurité IP ;
! appliquer les instructions relatives à l'analyse de la sécurité IPSec ;
! arrêter et démarrer les services IPSec ;
! afficher les détails d'une stratégie IPSec.
Moniteur de sécurité IP

Qu'est-ce que Le composant logiciel enfichable Moniteur de sécurité IP vous permet
le Moniteur de d'afficher des détails sur les stratégies IPSec locales et les stratégies attribuées
sécurité IP ? au domaine. Vous pouvez analyser ces détails pour l'ordinateur local et des
ordinateurs distants. Vous pouvez par exemple afficher les informations
suivantes :
! les détails de la stratégie IPSec active, notamment le nom, la description,
la date de la dernière modification, le magasin, le chemin, l'unité
d'organisation et le nom de l'objet Stratégie de groupe ;
! les filtres génériques du mode principal et du mode rapide, les filtres
spécifiques, les statistiques et les associations de sécurité.
Statistiques du mode Les statistiques du mode principal affichent les informations relatives au
principal module IKE.
Statistiques du mode Les statistiques du mode rapide affichent des informations sur le pilote IPSec.
rapide
Remarque Cette leçon explique comment afficher les détails d'une stratégie
IPSec active. Pour obtenir des informations sur l'affichage des statistiques
du mode principal et du mode rapide, consultez la documentation de
Windows Server 2003 et le Kit de ressources techniques de Microsoft
Windows Server 2003.
Exemple Vous pouvez utiliser le Moniteur de sécurité IP pour déterminer s'il existe un
modèle d'authentification ou des échecs d'associations de sécurité, indiquant
éventuellement des paramètres de stratégie de sécurité incompatibles.
Instructions relatives à l'analyse des stratégies IPSec

Instructions Les erreurs de configuration et d'autres problèmes liés à l'implémentation de
la sécurité IPSec se manifestent le plus souvent lorsque deux ou plusieurs
ordinateurs sont incapables de communiquer entre eux. Pour vous aider à isoler
la cause d'un problème de communication, suivez les instructions suivantes :
1. Arrêtez l'Agent de stratégie IPSec (services IPSec) sur les ordinateurs et
utilisez la commande ping pour vérifier qu'ils communiquent correctement
entre eux. Si un problème de communication survient après l'arrêt de la
stratégie, il s'agit probablement d'un problème réseau d'ordre général.
Remarque S'il existe une connexion réseau valide, vous devez recevoir quatre
réponses à la commande ping. Des réponses positives permettent de vérifier
qu'une communication avec l'adresse IP de destination est possible.
2. Redémarrez l'Agent de stratégie IPSec et utilisez le Moniteur de sécurité IP

pour confirmer qu'une association de sécurité est établie entre les
ordinateurs. Assurez-vous que la stratégie IPSec est en place.
3. Utilisez le composant logiciel enfichable Gestion des stratégies de
sécurité IP pour vous assurer que les stratégies sont attribuées aux deux
ordinateurs.
4. Utilisez le composant logiciel enfichable Gestion des stratégies de
sécurité IP pour examiner les stratégies sur les ordinateurs et vous assurer
qu'elles sont compatibles entre elles.
5. Redémarrez le Moniteur de sécurité IP pour vous assurer que toutes les
modifications apportées sont appliquées.
Remarque Pour plus d'informations sur l'analyse de la sécurité IPSec,

consultez l'aide de Windows Server 2003.
Comment arrêter et démarrer les services IPSec

Introduction Vous pouvez utiliser l'interface Windows ou l'invite de commandes pour arrêter
et démarrer les services IPSec.

Procédure pour arrêter Pour arrêter les services IPSec à l'aide de l'interface Windows :
et démarrer les services
IPSec à l'aide de 1. Ouvrez la console Services.
l'interface Windows 2. Dans le volet d'informations, cliquez avec le bouton droit sur Services
IPSec, puis cliquez sur Arrêter.
Pour démarrer les services IPSec :

1. Ouvrez la console Services.
2. Dans le volet d'informations, cliquez avec le bouton droit sur Services
IPSec, puis cliquez sur Démarrer.
Procédure pour arrêter Pour arrêter et démarrer les services IPSec à l'aide de l'invite de commandes :
et démarrer les services
IPSec à l'aide de l'invite
de commandes Remarque Si vous possédez un serveur exécutant Windows 2000 ou
Windows Server 2003 et le service Routage et accès distant, vous devez
utiliser l'invite de commandes pour arrêter et démarrer les services IPSec et
Routage et accès distant dans une séquence spécifique.
1. Arrêtez le service Routage et accès distant en utilisant la commande net

stop remoteaccess.
2. Arrêtez les services IPSec en utilisant la commande net stop policyagent.
3. Démarrez les services IPSec en utilisant la commande net start
policyagent.
4. Démarrez le service Routage et accès distant en utilisant la commande net
start remoteaccess.
Comment afficher les détails de la stratégie IPSec

Introduction Vous pouvez utiliser le Moniteur de sécurité IP pour afficher les détails de la
stratégie IPSec.

Procédure pour afficher Pour afficher les détails de la stratégie active IPSec à l'aide du Moniteur de
les détails de la stratégie sécurité IP :
active IPSec
1. Créez une console MMC contenant le composant logiciel enfichable
Moniteur de sécurité IP. Vous pouvez aussi ouvrir un fichier de console
enregistré qui contient le Moniteur de sécurité IP.
2. Développez successivement Moniteur de sécurité IP, Nom_Ordinateur,
puis cliquez sur Stratégie active.
3. Dans le volet d'informations, examinez les détails de la stratégie active.
Procédure pour afficher Pour afficher les associations de sécurité du mode principal de la stratégie
les associations de active IPSec à l'aide du Moniteur de sécurité IP :
sécurité du mode
principal de la stratégie 1. Créez une console MMC contenant le composant logiciel enfichable
active IPSec Moniteur de sécurité IP. Vous pouvez aussi ouvrir un fichier de console
enregistré qui contient le Moniteur de sécurité IP.
2. Développez successivement Moniteur de sécurité IP, Mode principal,
puis cliquez sur Associations de sécurité.
3. Dans le volet d'informations, examinez les détails des associations
de sécurité.
Application pratique : Analyse de la sécurité IPSec

Objectif Dans cette application pratique, vous allez analyser une stratégie IPSec.
du stagiaire
Scénario Vous êtes chargé de vérifier la stratégie IPSec sur le serveur local. Vous
allez afficher les informations de la stratégie IPSec à l'aide de la console
Moniteur IPSec.
partenaire
3. Laissez la fenêtre du dossier d'installation ouverte.
! Afficher les détails de la stratégie active IPSec à l'aide de la console

Moniteur IPSec
! Composant logiciel enfichable MMC : Moniteur de sécurité IP
! Ordinateur : Nom_Ordinateur (où Nom_Ordinateur est le nom de
l'ordinateur de votre partenaire)
! Afficher les informations des associations de sécurité du mode principal

de la stratégie active IPSec à l'aide de la console Moniteur IPSec
! Composant logiciel enfichable MMC : Moniteur de sécurité IP
! Vérifiez que l'ordinateur de votre partenaire affiche les informations des
associations de sécurité.
Atelier A : Protection du trafic réseau

Objectifs Dans cet atelier, vous allez protéger le trafic réseau.
Durée approximative de
cet atelier : 30 minutes
Exercice 1
Configuration de la sécurité IPSec
Dans cet exercice, vous allez configurer la sécurité IPSec sur un ordinateur serveur et un
ordinateur client.
Instructions
Pour effectuer cet atelier, reportez-vous au document Valeurs du plan d'implémentation situé
dans l'annexe à la fin du manuel de travail du stagiaire
Vous devez ouvrir une session avec un compte ne disposant pas d'informations d'identification
administratives, puis utiliser la commande Exécuter en tant que avec un compte d'utilisateur
disposant des informations d'identification administratives appropriées pour effectuer cette tâche.
Pendant l'atelier, supposez que vous ouvrirez une session avec un compte non-administratif
(exemple : Nom_OrdinateurUser), sauf indication contraire dans les instructions spécifiques
de l'atelier.
Scénario
Vous testez des données sensibles sur un ordinateur serveur et un ordinateur client dans votre
laboratoire de tests et vous devez protéger les communications entre les deux ordinateurs. Reportez-
vous aux informations suivantes lorsque vous configurez la sécurité IPSec sur les deux ordinateurs :
! Vous ne disposez pas d'une Autorité de certification pour le laboratoire.
! Lorsque l'ordinateur client est dans le domaine, vous utiliserez une authentification basée sur le
domaine.
! Lorsque l'ordinateur client n'est pas dans le domaine, vous utiliserez une authentification avec
une clé partagée.
! L'ordinateur client doit communiquer avec d'autres ordinateurs non sécurisés situés en dehors du
laboratoire de tests.
! Tout accès à l'ordinateur serveur doit se faire de manière sécurisée.
Tâches Instructions spécifiques
Effectuez les tâches suivantes sur les deux ordinateurs des stagiaires.
1. Configurer la stratégie " Stratégie de sécurité IP : Serveur (demandez la sécurité)

IPSec Serveur (demandez " Règle de sécurité IP : Tout trafic IP
la sécurité) avec le
protocole Kerberos comme " Clé pré-partagée : Cours2182
authentification par défaut et " Méthodes d'authentification : protocole Kerberos (première méthode)
une clé pré-partagée comme et clé pré-partagée (deuxième méthode)
authentification secondaire
2. Vérifier que vous pouvez " Utilisez la commande Exécuter.
vous connecter au partage " Fermez la fenêtre \\Nom_Ordinateur\Moc.
Moc sur l'ordinateur de
votre partenaire
THIS PAGE INTENTIONALLY LEFT BLANK

Module 8: Protection Du Trafic Réseau À L'Aide de La Sécurité Ipsec Et de Certificats

Transféré par

Droits d'auteur :

Formats disponibles

Module 8: Protection Du Trafic Réseau À L'Aide de La Sécurité Ipsec Et de Certificats

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Module 8: Protection Du Trafic Réseau À L'Aide de La Sécurité Ipsec Et de Certificats

Transféré par

Droits d'auteur :

Formats disponibles

Module 8 : Protection

du trafic réseau à l'aide

 2003 Microsoft Corporation. Tous droits réservés.

Important Il est recommandé d'utiliser PowerPoint 2002 ou une version

Comment animer ce module

Procédures, applications pratiques et ateliers

Important Il est recommandé à l'instructeur de présenter chacune des tâches

Leçon : Implémentation de la sécurité IPSec

Qu'est-ce que la sécurité ! Définissez la sécurité IPSec, le cryptage et le décryptage.

Qu'est-ce qu'une ! Définissez la stratégie de sécurité IPSec.

Fonctionnement ! Expliquez l'interaction des stratégies IPSec. Pour cela, reportez-vous au

Leçon : Implémentation de la sécurité IPSec avec des certificats

Leçon : Analyse de la sécurité IPSec

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************

Leçon : Implémentation de la sécurité IPSec

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************

Présentation multimédia : Rôle de la sécurité IPSec dans une

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************

Qu'est-ce que la sécurité IPSec ?

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************

Avantages de la La sécurité IPSec a pour avantage principal d'offrir un cryptage absolument

De quelle manière la sécurité IPSec protège-t-elle le trafic ?

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************

Qu'est-ce qu'une stratégie de sécurité IPSec ?

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************

Fonctionnement conjoint des stratégies IPSec

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************

Instructions pour équilibrer la sécurité et les performances

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************

Comment attribuer ou supprimer l'attribution d'une stratégie IPSec

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************

Remarque Il est recommandé de se connecter avec un compte ne bénéficiant

7. Enregistrez la console sous le nom IPSec sur le Bureau, puis fermez la

Application pratique : Implémentation de la sécurité IPSec

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************

! Vérifier que vous pouvez vous connecter au partage Moc de votre

Remarque Attendez que votre partenaire achève l'étape précédente avant de

! Effectuez cette tâche sur les deux ordinateurs des stagiaires.

! Attribuer une stratégie IPSec

! Vérifier que vous ne pouvez pas vous connecter au partage Moc de

! Supprimer l'attribution d'une stratégie IPSec

! Vérifier que vous pouvez vous connecter au partage Moc de votre

! Attribuer une stratégie IPSec

! Vérifier que vous pouvez vous connecter au partage Moc de votre

Leçon : Implémentation de la sécurité IPSec avec des

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************

Qu'est-ce qu'un certificat ?

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************

Contenu d'un certificat Un certificat contient les informations suivantes :

Utilisations courantes des certificats

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************

Signatures numériques Utilise la clé publique dans un certificat

Pourquoi utiliser des certificats avec la sécurité IPSec pour

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************

! Clés pré-partagées : une clé pré-partagée est une chaîne de caractères

Remarque Pour plus d'informations sur l'utilisation des certificats, consultez le

Présentation multimédia : Inscription de certificats

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************

Points clés ! L'inscription de certificats est le processus de demande et d'installation de

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*