Numéro d'article: 816514 - Dernière mise à jour: vendredi 16 décembre 2005 - Version: 2.1

COMMENT FAIRE : Configuration de la tunnellisation IPSec dans Windows Server 2003

Voir les produits auxquels s'applique cet article
A noterCet article s'applique à un système d'exploitation différent de celui que vous utilisez. Le contenu de l'article qui ne vous concerne peut-être pas est désactivé.
Pour obtenir une version Microsoft Windows 2000 de cet article, consultez l'article 252735  (http://support.microsoft.com/kb/252735/EN-US/ ) .
Retour au début

DANS CETTE TÂCHE

Sommaire

Agrandir tout | Réduire tout

Résumé

Vous pouvez utiliser la sécurité IP (IPSec) en mode tunnel afin d'encapsuler les paquets IP (Internet Protocol) et de les crypter (en option). La raison principale en faveur de l'utilisation du mode tunnel IPSec (parfois appelé tunnel IPSec pur) sous Windows 2003 est l'interopérabilité avec des routeurs ou des passerelles non Microsoft qui ne prennent pas en charge le protocole L2TP (Layer 2 Tunneling Protocol) IPSec ou la technologie de tunneling PPTP (Point-to-Point Tunneling Protocol) des réseaux privés virtuels (VPN).

Début de page
Retour au début
Windows Server 2003 prend en charge les tunnels IPSec dans les situations dans lesquelles les deux points de terminaison du tunnel disposent d'une adresse IP statique. Cela est particulièrement utile dans des implémentations de type passerelle à passerelle, mais peut également convenir pour des scénarios de sécurité réseau spécialisés entre une passerelle/un routeur et un serveur. (Par exemple, un routeur Windows Server 2003 acheminant le trafic de son interface externe vers un ordinateur Windows 2003 interne et sécurisant le chemin interne via la mise en ?uvre d'un tunnel IPSec vers le serveur interne proposant des services aux clients externes).

Les tunnels IPSec Windows Server 2003 ne sont pas pris en charge pour l'utilisation de VPN d'accès distant aux clients car la norme IPSec RFC de l'IETF (Internet Engineering Task Force) n'intègre pas actuellement de solution d'accès à distance au protocole IKE (Internet Key Exchange) pour les connexions client-passerelle. La norme RFC 2661 de l'IETF pour le protocole L2TP (Layer 2 Tunneling Protocol) a été spécialement développée par Cisco, Microsoft et d'autres fournisseurs afin de permettre les connexions VPN d'accès distant aux clients. Sous Windows Server 2003, les connexions VPN d'accès distant aux clients sont protégées via une stratégie IPSec générée automatiquement et utilisant le mode de transport IPSec (et non pas le mode tunnel) si le type de tunnel L2TP est activé.

Les tunnels IPSec Windows Server 2003 ne prennent pas en charge les tunnels spécifiques à un protocole ou à un port. Le composant enfichable Stratégie IPSec de la console MMC (Microsoft Management Console) est de portée générale et permet d'associer n'importe quel type de filtre à un tunnel. Assurez-vous d'utiliser les informations sur les adresses uniquement dans la spécification d'un filtre pour un rôle de tunnel.

Pour plus d'informations sur le fonctionnement des protocoles IPSec et IKE, consultez le kit de ressources de Microsoft Windows Server 2003.

Cet article explique comment configurer un tunnel IPSec sur une passerelle Windows 2003. Un tunnel IPSec sécurise uniquement le trafic spécifié dans les filtres IPSec configurés. Par conséquent, cet article présente également la procédure de configuration de filtres dans le service de routage et d'accès distant afin d'empêcher l'envoi ou la réception du trafic externe au tunnel. Le scénario suivant facilite la compréhension des étapes de configuration :

Réduire ce tableauAgrandir ce tableau
NetA-
WIN2003intIP-		-passerelle Windows Server 2003-
-WIN2003extIP-		-Internet--passerelle non Microsoft-
-3rdExtIP-		-NetB
-3rdIntIP

RéseauA correspond à l'ID réseau du réseau interne de la passerelle Windows Server 2003.

WIN2003intIP correspond à l'adresse IP affectée à la carte réseau interne de la passerelle Windows Server 2003.

WIN2003extIP correspond à l'adresse IP affectée à la carte réseau externe de la passerelle Windows Server 2003.

3rdExtIP correspond à l'adresse IP affectée à la carte réseau externe de la passerelle non Microsoft.

3rdIntIP correspond à l'adresse IP affectée à la carte réseau interne de la passerelle non Microsoft.

RéseauB correspond à l'ID réseau du réseau interne de la passerelle non Microsoft.

La passerelle Windows Server 2003 et la passerelle non Microsoft doivent établir un tunnel IPSec pour acheminer le trafic du RéseauA vers le RéseauB ou inversement, pour acheminer le trafic via une session sécurisée.

Pour configurer une stratégie IPSec, vous devez créer deux filtres : un pour les paquets acheminés du RéseauA vers le RéseauB (tunnel 1) et un pour les paquets acheminés du RéseauB vers le RéseauA (tunnel 2). Vous devez configurer une action de filtrage afin de spécifier la procédure de sécurisation du tunnel (un tunnel est représenté par une règle, par conséquent, deux règles sont créées).

Début de page
Retour au début

Création d'une stratégie IPS

En règle générale, une passerelle Windows 2003 n'est pas membre d'un domaine, par conséquent, une stratégie IPSec locale est créée. Si la passerelle Windows Server 2003 est membre d'un domaine pour lequel une stratégie IPSec est appliquée à tous les membres du domaine par défaut, la passerelle Windows 2003 ne peut pas disposer d'une stratégie IPSec locale. Dans ce cas, vous devez créer une unité d'organisation dans Active Directory, spécifier que la passerelle Windows Server 2003 est membre de cette unité d'organisation ou affecter la stratégie IPSec à l'objet Stratégie de groupe de l'unité d'organisation. Pour plus d'informations, reportez-vous à la section « Création, modification et affectation de stratégies IPSec » dans l'aide en ligne de Windows 2003.
  1. Cliquez sur Démarrer, sur Exécuter, puis tapez secpol.msc pour utiliser le composant logiciel enfichable du Gestionnaire de la stratégie IPSec.
  2. Cliquez avec le bouton droit sur Stratégies de sécurité IP sur Ordinateur local, puis cliquez sur Créer une stratégie de sécurité IP.
  3. Cliquez sur Suivant, puis entrez le nom de votre stratégie (par exemple, Tunnel IPSec pour passerelle tierce). Cliquez sur Suivant.

    Remarque Vous pouvez également entrer des informations supplémentaires dans le champ Description.
  4. Désactivez la case à cocher Activer la règle de réponse par défaut, puis cliquez sur Suivant.
  5. Cliquez sur Terminer (laissez la case à cocher Modifier activée).
Remarque La stratégie IPSec est créée avec des paramètres par défaut pour le mode principal d'échange de clés. Le tunnel IPSec est composé de deux règles : Chaque règle spécifie un point de terminaison. Il existe deux points de terminaison et, par conséquent, deux règles. Les filtres de chacune des règles doivent représenter les adresses source et de destination dans les paquets IP envoyés à ce point de terminaison du tunnel de règles.

Début de page
Retour au début

Création d'une liste de filtres du RéseauA vers le RéseauB

  1. Dans les propriétés de la nouvelle stratégie, désactivez la case à cocher Utiliser l'Assistant Ajout, puis cliquez sur Ajouter pour créer une nouvelle règle.
  2. Cliquez sur l'onglet Liste de filtres IP, puis sur Ajouter.
  3. Entrez le nom approprié pour la liste de filtres, désactivez la case à cocher Utiliser l'Assistant Ajout, puis cliquez sur Ajouter.
  4. Dans la zone Adresse source, cliquez sur Un sous-réseau IP spécifique, puis renseignez les champs Adresse IP et Masque de sous-réseau pour RéseauA.
  5. Dans la zone Adresse de destination, cliquez sur Un sous-réseau IP spécifique, puis renseignez les champs Adresse IP et Masque de sous-réseau pour RéseauB.
  6. Désactivez la case à cocher En miroir.
  7. Cliquez enfin sur l'onglet Protocole. Vérifiez que le type de protocole est défini sur N'importe quel protocole, car les tunnels IPSec ne prennent pas en charge les filtres spécifiques à un protocole ou à un port.
  8. Pour entrer une description de votre filtre, cliquez sur l'onglet Description. En règle générale, il est conseillé d'affecter un nom identique au filtre et à la liste de filtres. Le nom du filtre s'affiche sur le moniteur IPSec lorsque le tunnel est actif.
  9. Cliquez sur OK.
Début de page
Retour au début

Création d'une liste de filtres du RéseauB vers le RéseauA

  1. Cliquez sur l'onglet Liste de filtres IP, puis sur Ajouter.
  2. Entrez le nom approprié pour la liste de filtres, désactivez la case à cocher Utiliser l'Assistant Ajout, puis cliquez sur Ajouter.
  3. Dans la zone Adresse source, cliquez sur Un sous-réseau IP spécifique, puis renseignez les champs Adresse IP et Masque de sous-réseau pour refléter le RéseautB.
  4. Dans la zone Adresse de destination, cliquez sur Un sous-réseau IP spécifique, puis renseignez les champs Adresse IP et Masque de sous-réseau pour RéseauA.
  5. Désactivez la case à cocher En miroir.
  6. Pour entrer une description pour votre filtre, cliquez sur l'onglet Description.
  7. Cliquez ensuite sur OK.
Début de page
Retour au début

Configuration d'une règle pour un tunnel RéseauA-à-RéseauB

  1. Cliquez sur l'onglet Liste de filtres IP, puis sélectionnez la liste de filtres que vous avez créée.
  2. Cliquez sur l'onglet Paramètres du tunnel, sur Le point d'arrêt du tunnel est spécifié par cette adresse IP, puis tapez 3rdextip (où 3rdextip correspond à l'adresse IP affectée à la carte réseau externe de la passerelle non Microsoft).
  3. Cliquez sur l'onglet Type de connexion, sur Toutes les connexions réseau (ou sur Réseau local LAN (Local area network) si WIN2003extIP n'est pas une connexion RNIS, PPP, directe ni série).
  4. Cliquez sur l'onglet Action de filtrage, désactivez la case à cocher Utiliser l'Assistant Ajout, puis cliquez sur Ajouter pour créer une nouvelle action de filtrage car les actions de filtrage par défaut autorisent le trafic entrant en texte clair.
  5. Laissez la case à cocher Négocier la sécurité activée, puis désactivez la case à cocher Accepter les communications non sécurisées mais toujours répondre en utilisant IPSec. Vous devez procéder ainsi afin de garantir la sécurité des opérations.

    Remarque Aucune des cases à cocher figurant dans la partie inférieure de la boîte de dialogue Action de filtrage ne doit être activée lors de la configuration d'origine d'une action de filtrage s'appliquant aux règles de tunnel. La case à cocher Confidentialité de transmission parfaite (PFS) est le seul paramètre correct pour les tunnels si l'autre point du tunnel est également configuré sur PFS (Perfect Forward Secrecy).
  6. Cliquez sur Ajouter, et laissez l'option Cryptage et intégrité des données activée (ou activez l'option Personnalisée (pour les utilisateurs expérimentés) pour définir des algorithmes et des durées de vie de clé de session spécifiques) Le protocole ESP (Encapsulating Security Payload) est l'un des deux protocoles IPSec.
  7. Cliquez sur OK. Sous l'onglet Général, entrez le nom de la nouvelle action de filtrage (par exemple, Tunnel IPSec : ESP DES/MD5), puis cliquez sur OK.
  8. Sélectionnez l'action de filtrage que vous avez créée.
  9. Sous l'onglet Méthodes d'authentification, configurez la méthode d'authentification appropriée (utilisez la clé pré-partagée pour le test et, dans les autres cas, les certificats). Le protocole Kerberos est techniquement possible si les deux extrémités du tunnel se trouvent dans des domaines approuvés et que l'adresse IP de ces domaines (adresse IP d'un contrôleur de domaine) est accessible sur le réseau par les deux extrémités du tunnel lors des négociations IKE du tunnel (avant qu'elles ne soient établies). Cette situation se présente rarement.
  10. Cliquez sur Fermer.
Début de page
Retour au début

Configuration d'une règle pour un tunnel RéseauB-à-RéseauA

  1. Dans les propriétés des stratégies IPSec, cliquez sur Ajouter afin de créer une nouvelle règle.
  2. Sous l'onglet Liste de filtres IP, sélectionnez le filtre que vous avez créé (du RéseauB vers le RéseauA).
  3. Sous l'onglet Paramètres du tunnel, sélectionnez Le point d'arrêt du tunnel est spécifié par cette adresse IP :, puis entrez WIN2003extIP (où WIN2003extIP correspond à l'adresse IP affectée à la carte réseau externe de la passerelle Windows 2003).
  4. Sous l'onglet Type de connexion, sélectionnez Toutes les connexions réseau (ou Connexions réseau si WIN2003extIP n'est pas une connexion RNIS, PPP, directe ni série). Tout trafic sortant du type d'interface correspondant aux filtres est mis en tunnel au point de terminaison du tunnel spécifié dans la règle. Le trafic entrant correspondant aux filtres est ignoré car sa réception doit être sécurisée via un tunnel IPSec.
  5. Sous l'onglet Action de filtrage, sélectionnez l'action de filtrage que vous avez créée.
  6. Sous l'onglet Méthodes d'authentification, configurez la méthode utilisée dans la première règle (une méthode identique doit être utilisée dans les deux règles).
  7. Cliquez sur OK, vérifiez que les deux règles créées sont activées dans votre stratégie, puis cliquez à nouveau sur OK.
Début de page
Retour au début

Affectation d'une nouvelle stratégie IPSec à une passerelle Windows Server 2003

Dans le composant logiciel enfichable Stratégies de sécurité IP sur Ordinateur local de la console MMC, cliquez avec le bouton droit sur votre nouvelle stratégie, puis cliquez sur Attribuer. Une flèche verte s'affiche dans l'icône du dossier en regard de votre stratégie.

Après avoir attribué votre stratégie, vous disposez de deux filtres actifs supplémentaires (le service de routage et d'accès distant crée automatiquement les filtres IPSec pour le trafic L2TP). Pour afficher les filtres actifs, entrez la commande suivante à une invite de commande :
netdiag /test:ipsec /debug
Vous pouvez rediriger la sortie de cette commande dans un fichier texte afin d'afficher le fichier dans un éditeur de texte (Bloc-notes par exemple) en entrant la commande suivante :
netdiag /test:ipsec /debug > nomfichier.txt
La commande netdiag est disponible après l'installation des outils de support de Microsoft Windows Server 2003. Pour installer les outils de support, ouvrez le dossier Support\Tools sur le CD-ROM Windows Server 2003, cliquez avec le bouton droit sur le fichier Suptools.msi, puis cliquez sur Installer. Après l'installation, vous pouvez exécuter la commande netdiag à partir du dossier %SystemRoot%\Program Files\Support Tools (où %SystemRoot% correspond à l'unité sur laquelle est installé Windows Server 2003).

Les filtres du tunnel sont similaires aux exemples de filtre suivants :
Local IPSec Policy Active : 'IPSec tunnel with {tunnel endpoint}' IP Security Policy Path: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{-longnumber-}

Il existe deux ID de filtres du RéseauA au RéseauB : {-long number-} Policy ID: {-long number-} IPSEC_POLICY PolicyId = {-long number-} Flags: 0x0 Tunnel Addr: 0.0.0.0 PHASE 2 OFFERS Count = 1 Offer #0: ESP[ DES MD5 HMAC] Rekey: 0 seconds / 0 bytes. AUTHENTICATION INFO Count = 1 Method = Preshared key: -actual key- Src Addr: NetA Src Mask: -subnet mask- Dest Addr: NetB Dest Mask: -subnet mask- Tunnel Addr: 3rdExtIP Src Port: 0 Dest Port: 0 Protocol: 0 TunnelFilter: Yes Flags : Outbound From NetB to NetA Filter ID: {-long number-} Policy ID: {-long number-} IPSEC_POLICY PolicyId = {-long number-} Flags: 0x0 Tunnel Addr: 0.0.0.0 PHASE 2 OFFERS Count = 1 Offer #0: ESP[ DES MD5 HMAC] Rekey: 0 seconds / 0 bytes. AUTHENTICATION INFO Count = 1 Method = Preshared key: -actual key- Src Addr: NetA Src Mask: -subnet mask- Dest Addr: NetB Dest Mask: -subnet mask- Tunnel Addr: W2KextIP Src Port: 0 Dest Port: 0 Protocol: 0 TunnelFilter: Yes Flags : Entrée
Début de page
Retour au début

Configuration du filtre de routage et d'accès distant

Pour empêcher le trafic pour lequel aucune adresse source ou de destination ne correspond au RéseauA ou au RéseauB, créez un filtre de sortie pour l'interface externe dans la console MMC du service Routage et accès distant afin que tout le trafic soit ignoré à l'exception des paquets du RéseauA au RéseauB. Il est également recommandé de créer un filtre d'entrée afin que tout le trafic soit ignoré à l'exception des paquets du RéseauB vers le RéseauA. Vous devez également autoriser le trafic sortant/entrant WIN2003extIP et 3rdExtIP afin de permettre la négociation IKE lors de la création du tunnel. Le filtrage de routage et d'accès distant est effectué via IPSec. Il n'est pas nécessaire d'autoriser le protocole IPSec car il n'atteint jamais la couche de filtrage des paquets IP. L'exemple suivant est une représentation très simple de l'architecture TCP/IP de Windows Server 2003 : 
Couche de transport (TCP|UDP|ICMP|RAW) ---- Début de la couche de transport ---- Filtrage de paquets IP (filtrage NAT/service Routage et accès distant) IPSec (IPSec (mise en ?uvre des filtres IPSec) Fragmentation/Réassemblage ---- Fin de la couche de transport ------  Interface NDIS - Couche de liaison de données - Couche physique
Pour configurer les filtres du service Routage et accès distant, activez la console MMC du service Routage et accès distant et suivez les étapes présentées ci-après :
  1. Développez l'arborescence de votre serveur sous Routage et accès distant, développez l'arborescence secondaire Routage IP, puis cliquez sur Général.
  2. Cliquez avec le bouton droit sur WIN2003extIP, puis cliquez sur Propriétés.
  3. Cliquez sur Filtres sortants, puis sur Nouveau.
  4. Activez les cases à cocher Réseau source et Réseau de destination.
  5. Dans la zone Réseau source, renseignez les champs Adresse IP et Masque de sous-réseau du RéseauA.
  6. Dans la zone Réseau de destination, renseignez les champs Adresse IP et Masque de sous-réseau du RéseauB.
  7. Configurez le protocole sur N'importe quel protocole, puis cliquez sur OK.
  8. Cliquez sur Nouveau, puis activez les cases à cocher Réseau source et Réseau de destination.
  9. Dans la zone Réseau source , renseignez les champs Adresse IP et Masque de sous-réseau pour WIN2003extIP.
  10. Dans le champ Réseau de destination, renseignez les champs Adresse IP et Masque de sous-réseau pour 3rdExtIP (sinon la négociation IKE utilise le masque de sous-réseau 255.255.255.255).
  11. Configurez le protocole sur N'importe quel protocole, puis cliquez sur OK.
  12. Activez la case à cocher Rejeter tous les paquets sauf ceux qui répondent aux critères suivants, puis cliquez sur OK.
  13. Cliquez sur Filtres d'entrée, puis sur Ajouter et activez les cases à cocher Réseau source et Réseau de destination.
  14. Dans la zone Réseau source, renseignez les champs Adresse IP et Masque de sous-réseau pour le RéseauB.
  15. Dans la zone Réseau de destination, renseignez les champs Adresse IP et Masque de sous-réseau pour le RéseauA.
  16. Configurez le protocole sur N'importe quel protocole, puis cliquez sur OK.
  17. Cliquez sur Nouveau, puis activez les cases à cocher Réseau source et Réseau de destination.
  18. Dans la zone Réseau source, renseignez les champs Adresse IP et Masque de sous-réseau pour 3rdExtIP.
  19. Dans la zone Réseau de destination, renseignez les champs Adresse IP et Masque de sous-réseau pour WIN2003extIP (pour que la négociation IKE utilise le masque de sous-réseau 255.255.255.255).
  20. Configurez le protocole sur N'importe quel protocole, puis cliquez sur OK.
  21. Activez la case à cocher Rejeter tous les paquets sauf ceux qui répondent aux critères suivants, puis cliquez sur OK à deux reprises.

    Remarque Si le serveur de routage et d'accès distant comprend plusieurs interfaces connectées à Internet, ou en présence de plusieurs tunnels IPSec, entrez des filtres exempts de ce service pour chaque tunnel IPSec (chaque sous-réseau IP source et de destination). pour chaque interface Internet.
Début de page
Retour au début

Configuration d'itinéraires statiques dans le service Routage et accès distant

La passerelle Windows Server 2003 doit disposer d'un itinéraire dans sa table d'itinéraires pour le RéseauB. Pour configurer cet itinéraire, ajoutez un itinéraire statique dans la console MMC du service Routage et accès distant. Si la passerelle Windows Server 2003 est multi-hôtes et dispose de plusieurs cartes réseau sur le même réseau externe (ou plusieurs réseaux pouvant atteindre l'adresse IP du tunnel de destination 3rdExtIP), les conditions sont réunies pour les points suivants :
  • Le trafic sortant du tunnel est envoyé à partir d'une interface et le trafic entrant du tunnel est reçu sur une interface distincte. Même si vous utilisez des cartes réseau de déchargement IPSec, la réception sur une interface distincte (de celle à laquelle le trafic sortant est envoyé) ne permet pas à la carte réseau de réception de traiter le cryptage matériel, car seule l'interface de sortie décharge l'association de sécurité.
  • Le trafic sortant du tunnel est envoyé à partir d'une interface distincte de celle dotée de l'adresse IP du point de terminaison du tunnel. L'adresse source IP du paquet mis en tunnel correspond à celle de l'interface de sortie. Si l'adresse source IP n'est pas attendue par l'autre extrémité, le tunnel n'est pas établi (ou les paquets sont refusés par le point de terminaison distant si le tunnel est déjà établi).
Pour résoudre le problème d'envoi de trafic sortant sur une interface incorrecte, définissez un itinéraire statique afin de lier le trafic vers le RéseauB à l'interface externe appropriée :
  1. Dans la console MMC du service Routage et accès distant, développez l'arborescence de votre serveur, développez l'arborescence secondaire Routage IP, cliquez avec le bouton droit sur Itinéraires statiques, puis cliquez sur Nouvel itinéraire statique.
  2. Dans la zone Interface, cliquez sur WIN2003extIP (s'il s'agit de l'interface que vous souhaitez toujours utiliser pour le trafic sortant du tunnel).
  3. Renseignez les champs Réseau de destination et Masque de réseau du RéseauB.
  4. Dans le champ Passerelle, tapez 3rdextip.
  5. Conservez la valeur par défaut pour la valeur Métrique (1), puis cliquez sur OK.

    Remarque Pour résoudre le problème de réception de trafic entrant du tunnel sur une interface incorrecte, ne publiez pas l'adresse IP de l'interface à l'aide d'un protocole de routage. Vous devez également configurer un filtre dans le service Routage et accès distant afin de rejeter les paquets vers le RéseauA ou WIN2003extIP comme spécifié dans la section « Configuration du filtre de routage et d'accès distant » de cet article.
Début de page
Retour au début

Testez votre tunnel IPSec

Vous pouvez initialiser le tunnel en envoyant une requête ping à partir d'un ordinateur du RéseauA à un ordinateur du RéseauB (ou du RéseauB au RéseauA). Si vous avez créé les filtres correctement et affecté la stratégie appropriée, les deux passerelles établissent un tunnel IPSec et peuvent envoyer le trafic ICMP à partir de la commande ping au format crypté. Même si la commande ping fonctionne, vous devez vérifier si le trafic ICMP est envoyé au format crypté entre les passerelles. Les outils suivants vous permettent d'effectuer cette opération.

Début de page
Retour au début

Audit des événements de connexion et de l'accès aux objets

Ces événements sont consignés dans le journal de sécurité. Ils vous informent sur les négociations de l'association de sécurité IKE effectuées et sur leur succès ou échec.
  1. À l'aide du composant logiciel enfichable MMC (Microsoft Management Console) Stratégie de groupe, développez les arborescences Stratégie de l'ordinateur local, Configuration de l'ordinateur, Paramètres de Windows Settings, Paramètres de sécurité, Stratégies locales, puis cliquez sur Stratégie d'audit.
  2. Activez Réussite et Échec pour les champs Auditer les événements de connexion et Auditer l'accès aux objets.

    Remarque Si la passerelle Windows 2003 est membre d'un domaine et si vous utilisez une stratégie de domaine pour l'audit, celle-ci remplace votre stratégie locale. Dans ce cas, modifiez la stratégie du domaine.
Début de page
Retour au début

Moniteur de sécurité IP

La console du moniteur de sécurité IP présente les statistiques IPSec et les associations de sécurité actives ou SA (Active Security Associations). Après avoir établi le tunnel à l'aide de la commande ping, vous pouvez vérifier si une association de sécurité a été créée (si le tunnel est créé, une association de sécurité apparaît). Si la commande ping fonctionne mais qu'aucune association de sécurité n'apparaît, cela signifie que le trafic ICMP n'était pas protégé par le protocole IPSec. Si vous constatez une association logicielle qui n'existait pas auparavant, cela signifie que le protocole IPSec a autorisé ce trafic « en clair » (sans cryptage). Pour plus d'informations sur les « Associations logicielles », cliquez sur le numéro d'article suivant pour afficher le document correspondant de la Base de connaissances Microsoft :
234580  (http://support.microsoft.com/kb/234580/EN-US/ ) 'Soft Associations' Between IPSec-Enabled and Non-IPSec-Enabled Computers (Associations logicielles entre ordinateurs IPSec et non-IPSec)


Remarque Sous Microsoft Windows XP et dans la famille Windows Server 2003, le moniteur de sécurité IP est implémenté sous forme d'une console MMC (Microsoft Management Console). Pour ajouter un composant logiciel enfichable du moniteur de sécurité IP, procédez comme suit :
  1. Cliquez sur Démarrer, puis sur Exécuter, tapez MMC, puis cliquez sur OK.
  2. Cliquez sur Fichier, sur Ajouter/Supprimer un composant logiciel enfichable, puis sur Ajouter.
  3. Cliquez sur Moniteur de sécurité IP, puis sur Ajouter.
  4. Cliquez sur Fermer, puis sur OK.
Début de page
Retour au début

Moniteur réseau

Le moniteur réseau permet de capturer le trafic sur l'interface WIN2003extIP lorsque vous tentez d'envoyer une requête ping à l'ordinateur. Si des paquets ICMP sont capturés avec les adresses IP source et de destination correspondant aux adresses IP de l'ordinateur à partir duquel vous envoyez une requête ping et de l'ordinateur auquel vous envoyez une requête ping, alors, le protocole IPSec ne protège pas le trafic. Si vous ne voyez pas ce trafic ICMP mais les paquets ISAKMP et ESP, cela signifie que le protocole IPSec protège le trafic. Si vous utilisez uniquement le protocole AH (Authentication Header) IPSec, vous voyez le trafic ISAKMP suivi par les paquets ICMP. Les paquets ISAKMP correspondent à la négociation IKE en cours et les paquets ESP aux données de charge utile cryptées par le protocole IPSec.

Pour installer le Moniteur réseau, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur Panneau de configuration, cliquez sur Ajout/Suppression de programmes, puis sur Ajouter ou supprimer des composants Windows.
  2. Dans l'Assistant Composants de Windows, cliquez sur Outils de gestion et d'analyse, puis sur Détails.
  3. Sous Outils de gestion et de vérification, activez la case à cocher Outils d'analyse de réseau, puis cliquez sur OK.
  4. Si un message s'affiche pour vous inviter à ajouter des fichiers, insérez le CD-ROM d'installation de votre système d'exploitation ou tapez le chemin d'accès des fichiers sur le réseau.
Début de page
Retour au début

Test actuel

  1. Avant de tenter d'envoyer une requête ping sur un ordinateur, d'un sous-réseau à l'autre (RéseauA ou RéseauB), tapez ipconfig à l'invite de commande. Les interfaces réseau qui sont initialisées dans la pile TCP/IP s'affichent.
  2. Exécutez le moniteur de sécurité IP.
  3. Démarrez le Moniteur réseau, puis, dans le menu Capturer, cliquez sur Réseaux. Cliquez sur l'interface WIN2003extIP, puis sur OK.
  4. Essayez d'envoyer une requête ping à l'ordinateur. Le délai d'exécution des premiers paquets d'écho ICMP peut expirer lors de la création du tunnel IPSec. Si la tentative de requête ping échoue, vérifiez les journaux système et de sécurité.
  5. Si la tentative de requête ping réussit, arrêtez la capture du Moniteur réseau et vérifiez si le trafic ICMP s'est effectué « en clair » (sans cryptage) ou si vous voyez uniquement les paquets ISAKMP et IPSec. Consultez le Moniteur de sécurité IP pour vérifier si une association de sécurité a été créée à l'aide du filtre RéseauA à RéseauB. Consultez également le journal de sécurité. L'ID d'événement 541 (association de sécurité IKE établie) doit s'afficher.
  6. Entrez ipconfig à l'invite de commande, pour vérifier qu'il n'y a aucune interface TCP/IP supplémentaire lorsque le tunnel est établi. Cela est dû au fait que le protocole IPSec protège le trafic acheminé via l'interface physique (WIN2003extIP).

    Si la passerelle distante est également un nÅ?ud Windows Server 2003, tenez compte des points suivants :
    • La passerelle par défaut pour les clients du RéseauA est WIN2003extIP. La passerelle par défaut pour les clients du RéseauB est 3rdIntIP.
    • Un tunnel IPSec ne modifie pas le routage du trafic dans la passerelle Windows Server 2003. (Cette passerelle permet d'acheminer les paquets car le routage est activé dans le service Routage et accès distant. La métrique de l'interface réseau local (LAN) ou étendu (WAN) est encore utilisée.)
Début de page
Retour au début

Références

Pour plus d'informations sur le service Routage et accès distant, consultez l'aide en ligne de Windows Server 2003.

Pour accéder au kit de ressources et aux autres documents techniques de Windows Server 2003, visitez la page suivante du site Web de Microsoft :
http://www.microsoft.com/windowsserver2003/default.mspx (http://www.microsoft.com/windowsserver2003/default.mspx)
Pour accéder aux informations relatives aux normes IETF, visitez les sites suivants : Microsoft fournit des informations sur les contacts tiers pour vous aider à obtenir une assistance technique. Ces informations sur les contacts peuvent faire l'objet de modifications sans préavis. Microsoft ne garantit pas l'exactitude de ces informations.
Retour au début
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Retour au début
Mots-clés : 
kbhowtomaster KB816514
Retour au début
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.