> Tech > Comment IPSec authentifie-t-il les machines ?

Comment IPSec authentifie-t-il les machines ?

Tech - Par iTPro - Publié le 24 juin 2010
email

Pour vérifier l'identité d'un ordinateur, IPSec dispose de trois méthodes d'authentification différentes : Kerberos, certificat et clé pré-partagée. Kerberos est la méthode d'authentification par défaut de Windows 2000 pour les ordinateurs et les utilisateurs. C'est le choix qui convient pour une implémentation IPSec dans un domaine Windows 2000 natif, parce

Comment IPSec authentifie-t-il les machines ?

qu’il y a toujours un contrôleur de domaine Windows 2000 pour
effectuer l’authentification Kerberos. Dans un domaine Windows 2000 natif, les
stratégies IPSec intégrées de Windows 2000 peuvent être activées en toute sécurité,
parce qu’elles requièrent l’authentification Kerberos.

Il existe plusieurs cas dans lesquels IPSec ne peut pas être implémenté avec l’authentification
Kerberos. Si Windows 2000 Advanced Server est installé comme serveur autonome
dans un domaine NT 4.0, il n’y a pas de contrôleur de domaine Windows 2000 et,
par conséquent, pas de service d’authentification Kerberos. Il en est de même
si IPSec est mis en oeuvre pour sécuriser des connexions L2TP distantes avec un
serveur RRAS Windows 2000 (les clients distants ne peuvent généralement pas accéder
à  un contrôleur de domaine Windows 2000 avant d’avoir établi une SA valide). Dans
ces deux scénarios, il faut configurer des stratégies IPSec utilisant l’authentification
par certificat ou par clé pré-partagée.

Si c’est la méthode du certificat qui est choisie, il faut une Autorité de certification
(CA) pour attribuer des certificats valides aux ordinateurs et aux utilisateurs.
Pour pouvoir authentifier une connexion IPSec basée sur certificat, chaque machine
doit avoir un certificat d’ordinateur vérifiant son identité pendant la négociation
initiale de la SA. Sans certificat d’ordinateur, il est impossible d’établir avec
succès une connexion IPSec ou L2TP/IPSec.

L’Autorité de Certification (AC) peut être celle de Windows 2000 Advanced Server
(AS), celle d’un éditeur tiers ou une AC publique d’Internet. L’AC de Microsoft
peut être installée en mode entreprise dans un domaine Windows 2000 ou en mode
autonome sur un serveur Windows 2000 dans un domaine NT 4.0. Je recommande de
configurer une AC installée de façon à  ce qu’elle émette automatiquement des certificats
d’ordinateurs et d’utilisateurs. Sinon, il faudra qu’un administrateur approuve
manuellement chaque requête – un labeur dont on se passe volontiers.

En l’absence de contrôleur de domaine Windows 2000 pour l’authentification Kerberos
et d’AC, la seule option qui reste pour l’authentification mutuelle des ordinateurs
est la clé pré-partagée. Ce type d’authentification oblige les deux systèmes à 
transmettre la même chaîne de texte pendant la négociation de la SA. Comme la
stratégie IPSec sur chaque machine stocke la chaîne en texte clair, cette forme
d’authentification est la moins sûre des trois. Pour protéger la chaîne partagée
des regards publics, il vaut mieux restreindre l’accès de la stratégie IPSec aux
Administrateurs uniquement sur les contrôleurs de domaines, et l’accès au Système
uniquement sur les ordinateurs où réside la stratégie attribuée.

Téléchargez gratuitement cette ressource

Comment cerner la maturité digitale de votre entreprise ?

Comment cerner la maturité digitale de votre entreprise ?

Conçu pour les directions IT et Métiers, ce guide vous permettra d'évaluer précisément vos processus de communication client, d'identifier vos lacunes et points d'inflexion pour établir un plan d’actions capable de soutenir durablement votre évolution. Bénéficiez maintenant d'une feuille de route complète.

Tech - Par iTPro - Publié le 24 juin 2010