Pour vérifier l'identité d'un ordinateur, IPSec dispose de trois méthodes d'authentification différentes : Kerberos, certificat et clé pré-partagée. Kerberos est la méthode d'authentification par défaut de Windows 2000 pour les ordinateurs et les utilisateurs. C'est le choix qui convient pour une implémentation IPSec dans un domaine Windows 2000 natif, parce
Comment IPSec authentifie-t-il les machines ?
qu’il y a toujours un contrôleur de domaine Windows 2000 pour
effectuer l’authentification Kerberos. Dans un domaine Windows 2000 natif, les
stratégies IPSec intégrées de Windows 2000 peuvent être activées en toute sécurité,
parce qu’elles requièrent l’authentification Kerberos.
Il existe plusieurs cas dans lesquels IPSec ne peut pas être implémenté avec l’authentification
Kerberos. Si Windows 2000 Advanced Server est installé comme serveur autonome
dans un domaine NT 4.0, il n’y a pas de contrôleur de domaine Windows 2000 et,
par conséquent, pas de service d’authentification Kerberos. Il en est de même
si IPSec est mis en oeuvre pour sécuriser des connexions L2TP distantes avec un
serveur RRAS Windows 2000 (les clients distants ne peuvent généralement pas accéder
à un contrôleur de domaine Windows 2000 avant d’avoir établi une SA valide). Dans
ces deux scénarios, il faut configurer des stratégies IPSec utilisant l’authentification
par certificat ou par clé pré-partagée.
Si c’est la méthode du certificat qui est choisie, il faut une Autorité de certification
(CA) pour attribuer des certificats valides aux ordinateurs et aux utilisateurs.
Pour pouvoir authentifier une connexion IPSec basée sur certificat, chaque machine
doit avoir un certificat d’ordinateur vérifiant son identité pendant la négociation
initiale de la SA. Sans certificat d’ordinateur, il est impossible d’établir avec
succès une connexion IPSec ou L2TP/IPSec.
L’Autorité de Certification (AC) peut être celle de Windows 2000 Advanced Server
(AS), celle d’un éditeur tiers ou une AC publique d’Internet. L’AC de Microsoft
peut être installée en mode entreprise dans un domaine Windows 2000 ou en mode
autonome sur un serveur Windows 2000 dans un domaine NT 4.0. Je recommande de
configurer une AC installée de façon à ce qu’elle émette automatiquement des certificats
d’ordinateurs et d’utilisateurs. Sinon, il faudra qu’un administrateur approuve
manuellement chaque requête – un labeur dont on se passe volontiers.
En l’absence de contrôleur de domaine Windows 2000 pour l’authentification Kerberos
et d’AC, la seule option qui reste pour l’authentification mutuelle des ordinateurs
est la clé pré-partagée. Ce type d’authentification oblige les deux systèmes à
transmettre la même chaîne de texte pendant la négociation de la SA. Comme la
stratégie IPSec sur chaque machine stocke la chaîne en texte clair, cette forme
d’authentification est la moins sûre des trois. Pour protéger la chaîne partagée
des regards publics, il vaut mieux restreindre l’accès de la stratégie IPSec aux
Administrateurs uniquement sur les contrôleurs de domaines, et l’accès au Système
uniquement sur les ordinateurs où réside la stratégie attribuée.
Téléchargez cette ressource
Préparer l’entreprise aux technologies interconnectées
Avec la « quatrième révolution industrielle », les environnements hyperconnectés entraînent de nouveaux risques en matière de sécurité. Découvrez, dans ce guide Kaspersky, comment faire face à cette nouvelle ère de vulnérabilité.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
