IPSEC pour la protection réseau

par Steve Riley. Mise en ligne 2 Avril 2007. Publication Windows ITPro Magazine : Juillet 2005

IP Security (IPsec) est généralement utilisé pour les VPN. Mais il peut contribuer beaucoup plus à la sécurité du réseau. En effet, IPsec règle trois problèmes courants : stopper les vers, protéger les serveurs, et isoler un domaine. Et aucune de ces techniques n’implique un cryptage susceptible de nuire aux performances. Voyons les étapes de chacune de ces techniques.

Le meilleur moyen de stopper les vers, c’est d’abord … de ne pas les attraper. Hélas, comme beaucoup de personnes ne comprennent pas ou ne se soucient pas des menaces et des risques inhérents au courriel et au surf sur le Web, les vers et autres codes malveillants sont une réalité quotidienne. Face à ce triste constat, comment peut-on limiter les dégâts qu’inflige un tel code ?

Vous pouvez déjouer un code malveillant de trois manières : en l’empêchant de s’installer, en l’empêchant de s’exécuter, ou en l’empêchant de communiquer.

Dans certains cas, vous ne pourrez qu’empêcher le code malveillant de communiquer. Les stratégies IPsec peuvent aider à cet égard en limitant les genres de trafic que l’ordinateur accepte et génère. Il existe des règles dont les actions de filtrage spécifient simplement de bloquer ou d’autoriser le trafic (sans construire la moindre association de sécurité IPsec - c’est-à-dire, en authentifiant ou en cryptant le trafic). Ces règles peuvent filtrer efficacement les paquets sur des ordinateurs individuels. En utilisant les stratégies de groupe pour attribuer ces règles aux ordinateurs, on peut réduire la quantité de trafic malveillant prêt à se propager sur le réseau.

Le choix des stratégies IPsec dépend de l’OS en présence. Windows Server 2003 et Windows XP incluent Windows Firewall, plus efficace que IPsec pour bloquer le trafic entrant. Donc, si vous travaillez avec ces OS et si vous utilisez Windows Firewall, vos stratégies IPsec n’auront plus à bloquer que le trafic sortant. Windows 2000 n’inclut pas de pare-feu basé sur l’hôte, donc il faut songer à des stratégies IPsec qui bloqueront le trafic entrant et sortant pour des systèmes sous Win2K.

Intéressons-nous au ver Slammer. Slammer trouve les ordinateurs fonctionnant sous Microsoft SQL Server ou Microsoft SQL Server Desktop Engine (MSDE) en bombardant le réseau de messages adressé au port UDP 1434. Microsoft a certes diffusé un patch pour ce ver, mais il faut un certain temps pour l’appliquer à tous les ordinateurs. Une excellente demi-mesure provisoire consiste à utiliser les stratégies de groupe pour attribuer rapidement une stratégie IPsec qui bloque le trafic entrant adressé au port vulnérable. Bien entendu, comme cette stratégie bloque le trafic entrant dirigé vers vos systèmes SQL Server, il ne faut pas la laisser activée sur ces systèmes une fois qu’ils ont reçu le correctif.

Pour empêcher Slammer d’infecter un ordinateur, attribuez une stratégie qui bloque tout le trafic entrant de toute provenance, vers la propre adresse IP de l’ordinateur avec le port de destination UDP 1434 :
• Liste de filtres avec un filtre : de anyaddress: any-port à my-address:1434/ udp
• Action de filtrage: blocage
• Règle: Lier la liste à l’action, toutes interfaces, pas de tunnel, toute méthode d’authentification (la méthode est sans importance parce qu’un filtrage de blocs n’a pas d’associations de sécurité IPsec)

Pour créer la stratégie, ouvrez d’abord la console de management IPsec sur l’ordinateur à protéger (le procédé est le même pour Windows 2003, XP ou Win2K) :
1. Double-cliquez sur Local Security Policy dans le dossier Administrative Tools.
2. Cliquez sur IP Security Policies on Local Computer.

Puis créez la liste de filtres :
1. Faites un clic droit dans le panneau de droite de la fenêtre Local Security Settings et sélectionnez l’option de menu Manage IP filter lists and filter actions.
2. Sur l’onglet Manage IP Filter Lists, cliquez sur Add.
3. Entrez Slammer filter list comme nom.
4. Cliquez sur Add puis cliquez sur Next sur le premier écran wizard de filtre IP.
5. Sélectionnez Any IP Address comme source.
6. Sélectionnez My IP Address comme destination.
7. Sélectionnez UDP comme protocole.
8. Cliquez sur l’option To this port et entrez 1434.
9. Cliquez sur Finish pour terminer le wizard.
10. Cliquez sur OK.

Puis créez l’action de filtrage (si vous avez déjà une action appelée Block, sautez cette partie) :
1. Sur l’onglet Manage Filter Actions de la boîte de dialogue Manage IP filter lists and filter actions, cliquez sur Add puis sur Next sur le premier écran wizard d’action de filtrage IP Security.
2. Entrez Block comme nom.
3. Sélectionnez Block comme comportement.
4. Cliquez sur Finish pour terminer le wizard.
5. Cliquez sur Close pour finir la mise en place de la liste et l’action de filtrage.

Puis créez la règle IPsec :
1. Faites un clic droit dans le panneau de droite de la fenêtre Local Security Settings, sélectionnez Create IP Security Policy et cliquez sur Next sur le premier écran du wizard IP Security Policy.
2. Entrez Slammer filter comme nom.
3. Décochez l’option Activate the default response rule puis cliquez sur Next.
4. Laissez l’option Edit properties cochée et cliquez sur Finish pour terminer le wizard.

Puis ajoutez la règle à la stratégie :
1. La boîte de dialogue de la stratégie apparaît. Cliquez sur Add puis sur Next.
2. Laissez les trois écrans wizard suivants avec leurs valeurs par défaut.
3. Dans la liste des listes de filtres, sélectionnez la liste Slammer filter.
4. Dans la liste des actions de filtrage, sélectionnez Block.
5. Cliquez sur Finish pour terminer le wizard et cliquez sur OK pour fermer la boîte de dialogue des propriétés de règles.
6. Cliquez sur Close pour fermer la boîte de dialogue des propriétés de stratégies.

Puis attribuez la stratégie : Faites un clic droit sur la stratégie Slammer filter et sélectionnez Assign.