COMMENT FAIRE : Utiliser la sécurité IP pour sécuriser le trafic réseau entre deux hôtes

Traductions disponibles Traductions disponibles
Numéro d'article: 301284 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F301284
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article présente étape par étape les instructions permettant à des utilisateurs avancés de configurer IPSec (Internet Protocol security), afin de sécuriser les communications entre deux ordinateurs hôtes.

Terminologie IPSec

Vérifiez que vous connaissez la signification des termes suivants avant de suivre les instructions ci-dessous :
  • Authentification : Processus permettant de déterminer si l'identité d'un ordinateur est légitime. Le service IPSec de Windows 2000 prend en charge trois types d'authentification : Kerberos, les certificats et les clés pré-partagées. L'authentification Kerberos peut fonctionner uniquement si les deux points de terminaison (ordinateurs) sont dans le même domaine Windows 2000. Ce type d'authentification représente la méthode recommandée. Si les ordinateurs sont dans des domaines différents ou si au moins l'un d'entre eux ne se trouve pas dans un domaine, vous devez utiliser les certificats ou les clés pré-partagées. Les certificats fonctionnent uniquement si chaque point de terminaison contient un certificat, signé par une autorité approuvée par l'autre point de terminaison. Les clés pré-partagées présentent les mêmes problèmes que les mots de passe : elles ne restent pas secrètes très longtemps. Si les points de terminaison ne sont pas dans le même domaine et que vous ne pouvez pas obtenir de certificats, les clés pré-partagées représentent votre unique option d'authentification.
  • Cryptage : Processus permettant de rendre des données illisibles en préparation de leur transmission entre deux points de terminaison. Grâce à des algorithmes bien testés, chaque point de terminaison crée et échange des clés cryptographiques. Ce processus garantit que seuls les points de terminaison connaissent les clés, et en cas d'interception des séquences d'échange des clés, l'intercepteur obtient des données de valeur nulle.
  • Filtre : Description des adresses et des protocoles IP, qui peuvent déclencher l'établissement d'une association de sécurité IPSec.
  • Action de filtrage : Conditions de sécurité pouvant être activées, lorsque le trafic correspond aux filtres dans une liste de filtres.
  • Liste de filtres : Une collection de filtres.
  • Stratégie IPSec : La collection de règles qui définissent comment sont sécurisées les communications entre des ordinateurs.
  • Règle : Le lien entre une liste de filtres et une action de filtrage. Lorsque le trafic correspond à une liste de filtres, l'action de filtrage correspondante peut être déclenchée. Une stratégie IPSec peut contenir plusieurs règles.
  • Association de sécurité : La collection de méthodes d'authentification et de cryptage, que les points de terminaison négocient pour établir une session sécurisée.

Recherche de IPSec dans MMC (Microsoft Management Console)

Vous pouvez configurer IPSec à l'aide de MMC (Microsoft Management Console). Windows 2000 crée une console MMC à l'aide du composant logiciel enfichable IPSec, au cours du processus d'installation. Pour localiser IPSec, cliquez sur Démarrer, pointez sur Programmes, cliquez sur Outils d'administration, puis sur Stratégie de sécurité locale. Dans la console MMC qui s'ouvre, cliquez sur Stratégies de sécurité IP sur l'ordinateur local dans le volet gauche. MMC affiche alors les stratégies par défaut existantes dans le volet droit.

Modification de l'adresse IP, des noms d'ordinateur et des noms d'utilisateur

Dans le cadre de notre exemple, Alice est un utilisateur qui possède un ordinateur nommé " pcAlice " avec comme adresse IP 172.16.98.231 et Bob a un ordinateur nommé " PortaBob " avec comme adresse IP 172.31.67.244. Ils connectent leurs ordinateurs à l'aide du programme Abczz.

Alice et Bob doivent s'assurer que le trafic est crypté, lorsqu'ils se connectent directement entre-eux à l'aide du programme Abczz. Lorsque Abczz établit sa connexion, l'initiateur utilise un port élevé aléatoire et se connecte (dans le cadre de cet exemple) à sa destination, sur le port 6667/TCP ou 6668/TCP (où TCP est l'abréviation de Transmission Control Protocol). En général, ces ports sont utilisés pour IRC (Internet Relay Chat). Comme Alice ou Bob peuvent initialiser des connexions, la stratégie doit exister des deux côtés.

Création de la liste de filtres

Les menus de création de stratégies IPSec sont accessibles si vous cliquez avec le bouton droit sur Stratégies de sécurité IP dans la console MMC. La première option de menu est " Créer une stratégie de sécurité IP ". Bien que cet emplacement semble être l'endroit pour commencer, il ne s'agit pas du bon emplacement. Avant de créer une stratégie et les règles qui y sont associées, vous devez définir des listes de filtres et des actions de filtrage, qui sont les composants nécessaires de toute stratégie IPSec. Commencez par cliquer sur Gérer les listes de filtres IP et les actions de filtrage.

La boîte de dialogue qui s'affiche a deux onglets : un pour les listes de filtres et l'autre pour les actions de filtrage. En premier, l'onglet Gérer les listes de filtres IP s'ouvre. Il existe déjà deux listes de filtres que vous n'utilisez pas. Au lieu de cela, vous pouvez créer une liste de filtres spécifique, qui correspond à l'autre ordinateur, auquel vous voulez vous connecter.

Partons de l'hypothèse que vous créez la stratégie sur l'ordinateur qui appartient à Alice :
  1. Cliquez sur Ajouter pour créer une nouvelle liste de filtres. Nommez la liste " Abczz vers le PC de Bob ".
  2. Cliquez sur Ajouter pour ajouter un nouveau filtre. Un assistant démarre.
  3. Cliquez sur Mon adresse IP comme source.
  4. Cliquez sur une adresse IP spécifique comme destination, puis entrez l'adresse IP (172.31.67.244) de l'ordinateur de Bob. Comme alternative, si l'ordinateur de Bob est inscrit dans le système DNS (Domain Name System) ou le service WINS (Windows Internet Name Service), vous pouvez sélectionner un nom DNS spécifique, puis entrer le nom de l'ordinateur de Bob (PortaBob) à la place.
  5. Abczz utilise TCP pour ses communications ; vous devez donc cliquer sur TCP pour le type de protocole.
  6. Pour les ports de protocole IP, cliquez sur À partir de n'importe quel port. Cliquez sur Vers ce port, tapez : 6667, puis cliquez sur Terminer pour achever l'exécution de l'assistant.
  7. Répétez les étapes précédentes, en tapant cette fois : 6668 comme numéro de port, puis cliquez sur Fermer.
Votre liste de filtres contient deux filtres : un pour les communications de Alice à Bob sur le port 6667 (qui appartient à Bob) et un sur le port 6668 (qui appartient à Bob). (Les ports 6667 et 6668 sont tous les deux configurés sur l'ordinateur de Bob : un port est destiné aux communications sortantes et l'autre aux communications entrantes.) Ces filtres sont mis en miroir, ce qui est en général nécessaire chaque fois que vous créez un filtre IPSec. Pour chaque filtre en miroir, la liste peut contenir (mais non afficher) un filtre exactement opposé, où les adresses de source et de destination sont inversées. Si des filtres en miroir ne sont pas utilisés, les communications IPSec ne sont généralement pas couronnées de succès.

Création de l'action de filtrage

Vous avez défini le type de trafic à sécuriser. À présent, vous devez spécifier le mécanisme de sécurité. Cliquez sur l'onglet Gérer les actions de filtrage. Trois actions par défaut sont répertoriées. Plutôt que d'utiliser l'action Exiger la sécurité, vous devez créer une nouvelle action, plus astreignante.

Pour créer la nouvelle action :
  1. Cliquez sur Ajouter pour créer une nouvelle action de filtrage. Un assistant démarre. Nommez l'action " Crypter Abczz ".
  2. Pour l'option Général, cliquez sur Négocier la sécurité, puis cliquez sur Ne pas communiquer avec des ordinateurs qui ne prennent pas en charge IPSec.
  3. Cliquez sur l'option Élevée pour la sécurité du trafic IP, puis cliquez sur Terminer pour fermer l'assistant.
  4. Double-cliquez sur la nouvelle action de filtrage (que vous avez nommée " Crypter Abczz ").
  5. Désactivez la case à cocher Accepter les communications non sécurisées, mais toujours répondre en utilisant IPSec. Cette opération garantit que les ordinateurs doivent négocier IPSec avant l'envoi d'un paquet Abczz.
  6. Cliquez sur Session Clé Secret de transfert parfait pour garantir que les informations clé ne sont pas réutilisées, cliquez sur OK, puis sur Fermer.

Création de la stratégie IPSec

Vous avez obtenu les éléments de la stratégie. À présent, vous pouvez créer la stratégie elle-même. Cliquez avec le bouton droit sur le volet droit de la console MMC, puis cliquez sur Créer une stratégie de sécurité IP. Au démarrage de l'assistant :
  1. Nommez la stratégie " IPSec d'Alice ".
  2. Désactivez la case à cocher Activer la règle de réponse par défaut.
  3. Cliquez sur Modifier les propriétés si ce n'est pas activé, puis terminez l'exécution de l'assistant. La boîte de dialogue Propriétés de la stratégie s'ouvre.
Pour qu'une stratégie IPSec fonctionne, elle doit contenir au moins une règle, qui lie une liste de filtres à une action de filtrage.

Pour spécifier des règles dans la boîte de dialogue Propriétés :
  1. Cliquez sur Ajouter pour créer une nouvelle règle. Au démarrage de l'assistant, cliquez sur Cette règle ne spécifie aucun tunnel.
  2. Cliquez sur Réseau local (LAN) comme type de réseau.
  3. Cliquez sur Valeurs par défaut de Windows 2000 (Protocole Kerberos V5) comme méthode d'authentification, si les ordinateurs d'Alice et de Bob sont dans le même domaine Windows 2000. Dans le cas contraire, cliquez sur Utiliser cette chaîne pour protéger l'échange de clé (clé pré-partagée), puis entrez une chaîne (utilisez une chaîne longue que vous pouvez mémoriser et tapez-la sans faire d'erreur).
  4. Sélectionnez la liste de filtres créée auparavant. Dans cet exemple, la liste de filtres est " Abczz vers le PC de Bob ". Sélectionnez ensuite l'action de filtrage créée auparavant. Dans cet exemple, l'action de filtrage est " Crypter Abczz ".
  5. Terminez l'exécution de l'assistant, puis cliquez sur Fermer.

Configuration des autres points de terminaison

Répétez sur l'ordinateur de Bob toutes les procédures précédentes, qui ont été appliquées à l'ordinateur d'Alice. Les modifications requises sont évidentes, par exemple, " Abczz vers le PC de Bob " doit être remplacé par " Abczz vers le PC d'Alice ".

Attribution des stratégies

Vous avez défini les stratégies des deux côtés. À présent, vous devez les attribuer :
  1. Dans la console MMC Paramètres de sécurité locaux, cliquez avec le bouton droit sur la stratégie (Abczz dans cet exemple).
  2. Cliquez sur Attribuer.
Une seule stratégie IPSec peut être attribuée à la fois, mais une stratégie peut contenir autant de règles que vous le souhaitez. Par exemple, si Alice a aussi besoin de communications sécurisées avec Ève en utilisant un protocole différent, vous devez créer la liste de filtres et les actions appropriées, puis ajouter une règle à la stratégie IPSec (qui appartient à Alice), qui lie cette liste de filtres et cette action de filtrage spécifiques. Cliquez sur Utiliser une clé partagée différente pour cette règle. La stratégie pour Alice possède à présent deux règles : une, destinée aux communications Abczz avec Bob et l'autre, destinée aux communications avec Ève. Comme Bob et Ève n'ont pas besoin de communiquer entre eux de manière sécurisée, rien n'est ajouté à la stratégie de Bob et la stratégie d'Ève contient une règle unique pour les communications avec Alice.

Pièges

Utilisation de IPSecMon pour tester votre stratégie

Windows 2000 inclut un utilitaire (IPSecMon.exe), qui vous permet de tester si une association de sécurité IPSec a été établie correctement. Pour démarrer IPSecMon :
  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Tapez : ipsecmon, puis appuyez sur ENTRÉE.
  3. Cliquez sur Options.
  4. Définition de l'intervalle d'actualisation sur 1.
Vous devez établir les communications à partir d'un point de terminaison vers l'autre. Il peut y avoir un délai, car les points de terminaison ont besoin de quelques secondes pour échanger les informations cryptographiques et terminer l'association de sécurité. Vous pouvez observer ce phénomène dans IPSecMon. Lorsque chaque point de terminaison crée ses associations de sécurité, vous pouvez observer une entrée dans IPSecMon qui indique ce phénomène.

Si vous attendez la création d'une association de sécurité, mais que rien ne se produit, retournez en arrière et passez en revue les listes de filtres sur chaque point de terminaison. Assurez-vous que vous avez reçu les définitions correctes pour les protocoles que vous utilisez, comme vous pouvez inverser facilement les adresses de source et de destination ou les ports. Vous voudrez peut-être envisager la création d'une nouvelle liste de filtres, qui spécifie tout le trafic. En outre, vous pouvez ajouter une nouvelle règle à la stratégie qui utilise cette liste de filtres, puis désactiver la règle existante. Effectuez ces opérations sur les deux points de terminaison. Après cela, vous pouvez utiliser la commande ping pour tester la connexion : la commande ping permet d'afficher la " Négociation de la sécurité IP " au cours de la phase d'association de sécurité, puis d'afficher ses résultats normaux, lorsque l'association de sécurité est établie.

NAT et IPSec sont incompatibles

S'il existe une traduction d'adresses réseau (NAT) quelconque entre les deux points de terminaison, IPSec ne fonctionne pas. IPSec incorpore les adresses des points de terminaison en tant que partie de la charge utile. IPSec utilise également les adresses source, lors du calcul des totaux de contrôle des paquets, avant de placer ces derniers sur le réseau. NAT peut modifier l'adresse source des paquets sortants, et la destination utilise l'adresse dans l'en-tête, lors du calcul de ses propres totaux de contrôle. Les totaux de contrôle calculés par rapport à la source d'origine, contenus dans les paquets, ne correspondent pas aux totaux de contrôle calculés par rapport à la destination, et la destination peut abandonner les paquets. Vous ne pouvez pas utiliser IPSec avec les périphériques NAT, quel que soit leur type.

Propriétés

Numéro d'article: 301284 - Dernière mise à jour: dimanche 26 février 2006 - Version: 5.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionel
Mots-clés : 
kbhowtomaster KB301284
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com