Accueil > Windows 2003 > Configurer une stratégie IPSEC

Configurer une stratégie IPSEC

Mots clés Technorati : ,

Dans cette demo, je ne veux pas sécuriser tous les paquets transitant sur le réseau avec Ipsec, mais seulement le trafic échangé entre un poste Client-XP et un serveur sensible Windows-2003-SA.

Pré-requis : Le client et le serveur doivent appartenir à une forêt / domaine car ipsec utilise Kerberos pour l’ authentification.

Dans cet exemple:

  • Contrôleur de domaine = IP : 192.169.1.200
  • Windows-SA= IP: 192.169.1.201
  • Client-XP = IP:192.168.1.10

2_localpolicy_SA 3_IPsecurityPoliciesonComputer_SA

Par défaut, 3 stratégies ipsec sont présentes sur Windows-2003-SA, mais aucune n’ est activée.

  • Client (Respond Only) communique sans Ipsec, sauf si un serveur lui demande d’ utiliser Ipsec
  • Secure Server (Require Security) impose l’ utilisation d’IPSec et coupe la connexion en cas d’ échec de négociation entre 2 Pc
  • Server (Request Security)demande l’ utilisation d’IPSec, mais accepte de communiquer en clair en cas d’ échec de négociation

Créer un stratégie IPSEC personnalisée

Sur Windows-2003-SA Cliquer droit, Create IP security Policy et suivre l’ assistant

Créer une 1ere règle pour accepter tout le trafic (la règle par défaut = dynamic – default response – kerberos)

 5_createpolicy 6_defaulttrule 7_defaulttrule

Ensuite, créez une 2eme règle personnalisée pour filtrer les paquets entre le client-XP et Windows-2003-SA

9_new_rule_communication_XP-2003 10_new_rule_communication_XP-2003 11_new_rule_communication_XP-2003

Filtrez les paquets , la communication ne doit se faire qu’ entre Windows-2003-SA et Client-XP: (Add | source address My_IP_Address – Destination DNS: A_specific_IP_Address)

 13_new_filter_list_XP-2003 14_use_custom_filter_list_XP-2003 15_filter_action

choisir la méthode d’ authentification avec kerberos

16_authentification_method 17_newrule

Ensuite, créez une règle pour bloquer le reste du trafic

 19_block_AllIPtrafic 20_block_AllIPtrafic 

21_blocktrafic22_Filteraction_blocktrafic

Ajoutez une dernière règle pour autoriser uniquement le trafic ICMP

23_Permi_ICMPtraficall

Appliquez cette stratégie aux stations de travail du domaine. Pour cela, faites un clic droit sur la stratégie et choisissez "Attribuer".

24_AssignIpsecPolicy

Configurer le client-XP pour qu’ il accepte les connexions Ipsec. Pour cela, activer la stratégie locale Client (Respond Only)

25_fromClientXP_AssignRespondOnly

Importer la stratégie ipsec dans l’ annuaire d’ entreprise

Déployer cette nouvelle stratégie ipsec grâce à l’ AD et aux GPO

D’ abord, il faut exporter la stratégie sur une disquette

26_from2003_exportpolicy 27_exportpolicy_to_floppydisk

Vous ne pouvez pas configurer la stratégie IPSec des serveurs au même endroit que la stratégie des stations de travail (dans "Default Domain Policy"). Il faut assigner la stratégie à une OU. Pour cela, allez dans l’ outil d’ administration "Utilisateurs et ordinateurs Active Directory" | créez une OU | Entrez le nom "IPSEC servers" | déplacer l’ objet "Windows-2003-SA" dans cet OU

29_gpo_ipsec_sa 

Ensuite, importez la stratégie ipsec dans la GPO de l’OU "IPSEC servers", et attribuez là

30_gpo_ipsec 31_gpo_import_ipseccustompolicy 33_gpo_Assign_ipseccustompolicy

Configurer la stratégie Ipsec des clients

A l’instar de ce que nous venons de faire avec le client-XP, il faut aussi attribuer la stratégie "Client (Respond Only)" pour que les stations puissent communiquer avec le serveur sensible . Cela appliquera cette stratégie à l’ ensemble des stations de travail du domaine. (Les postes communiqueront sans IPSec, sauf si un serveur lui demande d’ utiliser Ipsec).

Dans la default domain Policy | Naviguez jusqu’ à "Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégie de sécurité IP sur Active Directory". | Faire un clic droit sur la stratégie et choisissez "Attribuer".

34_Assign_defaultgpo_ipsec_respond_only

Enfin, pour contrôler l’ utilisation d’IPSec, choisissez IPSecMon (Aller dans Démarrer| Exécutez | tapez ipsecmon). Vous pouvez aussi reniflez les paquets entre les machines grâce à netmon.

About these ads
Catégories:Windows 2003
  1. Pas encore de commentaire.
  1. No trackbacks yet.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

Suivre

Recevez les nouvelles publications par mail.

%d blogueurs aiment cette page :