Créer et tester une stratégie personnalisée
L’exemple suivant explique comment créer et tester une stratégie IPSec (IP
Security) baptisée Verrouillage qui sécurisera la communication entre deux
serveurs Windows 2000 n’appartenant pas à un domaine Windows 2000. Il faut
pour cela deux systèmes Windows 2000 – n’importe quelle plate-forme fera
l’affaire. Dans cet exemple, appelons le premier système A et le second
B.
Si l’on ne dispose pas d’une AC (Autorité de certification), il convient
de spécifier l’authentification par clé pré-partagée, bien que ce soit la
méthode d’authentification la moins sûre. (Si l’on dispose d’une AC, on
peut sélectionner l’option Certificat à l’étape 11 et choisir une AC dans
la liste déroulante). Il faut sélectionner le mode ESP (Encapsulating Security
Payload) pour crypter tous les paquets entre les deux systèmes et définir
un filtre sécurisant le trafic uniquement entre ces deux systèmes. Cet exemple
suppose que les deux systèmes ont une adresse IP statique et que ni l’un
ni l’autre n’accepte de connexions distantes.
Ce processus est longuet et détaillé, mais heureusement, les nombreux assistants
IPSec de Windows 2000, sont à votre disposition. Pour être sûr de pouvoir
faire appel à eux, assurez-vous que l’option Utiliser l’assistant ajouter
est sélectionnée dans toutes les fenêtres où elle apparaît. Cette stratégie
Verrouillage doit être créée sur les deux machines pour pouvoir tester si
elle fonctionne. Voici la procédure pas-à -pas.
1. Sur le système A, lancez la MMC et chargez le composant enfichable Gestion
des stratégies de sécurité IP pour l’ordinateur local.
2. Cliquez à droite sur Stratégies de sécurité IP sur la machine locale
et cliquez sur Créer une stratégie de sécurité IP.
3. Dans l’écran de bienvenue de l’Assistant Stratégie de sécurité IP, cliquez
sur Suivant.
4. Tapez Verrouillage comme nom de stratégie et cliquez sur Suivant.
5. Désactivez la case Activez la règle réponse par défaut et cliquez sur
Suivant.
6. Confirmez que la case Editer les propriétés est cochée et cliquez sur
Terminer.
7. Dans la fenêtre Propriétés de Verrouillage, confirmez que la case de
la règle est désactivée. Confirmez que la case Utiliser
l’Assistant Ajouter (dans le coin droit inférieur de l’écran) est cochée
et cliquez sur Ajouter pour lancer l’assistant Règle de sécurité.
8. Cliquez sur Suivant pour avancer à l’écran suivant de l’Assistant Règle
de sécurité.
9. Cochez la case Cette règle ne spécifie pas un tunnel et cliquez sur Suivant.
10. Cochez la case Réseau local (LAN) et cliquez sur Suivant.
11. Dans la boîte de dialogue d’édition des propriétés de la méthode d’authentification,
que montre la Figure A, sélectionnez Utiliser cette chaîne pour protéger
l’échange de clés (clé pré-partagée), entrez lockdown comme chaîne et cliquez
sur OK.
12. Dans la boîte de dialogue Liste des filtres IP, cliquez sur Ajouter.
13. Nommez le filtre Orange, confirmez que Utiliser l’Assistant Ajouter
est sélectionné et cliquez sur Ajouter pour démarrer l’Assistant Filtre
IP.
14. Cliquez sur Suivant.
15. Laissez Mon adresse IP comme adresse Source et cliquez sur Suivant.
16. Choisissez Une adresse IP spécifique dans la liste déroulante, entrez
l’adresse IP de l’autre ordinateur et cliquez sur Suivant.
17. Dans la fenêtre Type de protocole IP, laissez Tous comme type de protocole
et cliquez sur Suivant.
18. Dans la fenêtre Achever l’Assistant Filtre IP confirmez que la case
Editer les propriétés est désactivée et cliquez sur Terminer.
19. Cliquez sur Fermer pour revenir à la fenêtre Liste des filtres IP.
20. Sélectionnez le bouton de radio à côté du filtre Orange et cliquez sur
Suivant.
21. Dans la fenêtre Action Filtre, confirmez que Utiliser l’Assistant Ajouter
est sélectionné et cliquez sur Ajouter.
22. Cliquez sur Suivant.
23. Nommez l’Action Filtre Orange Juice et cliquez sur Suivant.
24. Dans la fenêtre Options Générales de Action Filtre, sélectionnez Négocier
la sécurité et cliquez sur Suivant.
25. Sélectionnez Ne pas communiquer avec des ordinateurs qui ne supportent
pas IPSec et cliquez sur Suivant.
26. Sélectionnez Elevée (Encapsulated Secure Payload), et cliquez sur Suivant.
27. Dans la fenêtre Achever la sécurité IP de l’Assistant Action Filtre,
confirmez que Editer les propriétés est vide et cliquez sur Terminer.
28. Sélectionnez le bouton de radio Orange Juice et cliquez sur Suivant.
29. Dans la fenêtre Achever la nouvelle règle de l’Assistant, confirmez
que Editer les propriétés est vide et cliquez sur Terminer.
30. Dans la fenêtre Propriétés de Verrouillage , confirmez que le nouveau
filtre Orange est sélectionné. Cliquez sur Fermer pour terminer la stratégie.
31. Répétez la procédure sur le système B. Veillez à entrer l’adresse IP
du système A à l’étape 15.
Testez votre stratégie IPSEC
Pour tester la stratégie Verrouillage, attribuez-la à chaque machine. Après
l’avoir activée, redémarrez l’Agent de stratégie IPSec pour vous assurer
qu’il charge la nouvelle stratégie. Pour surveiller le succès ou l’échec
des échanges de clés IPSec entre les systèmes A et B, activez les audits
d’ouverture et de fermeture des sessions et cherchez les ID d’événement
541, 542 et 543 dans le journal de Sécurité. Ces événements contiennent
du texte tel que » association de sécurité IKE établie » ou » association
de sécurité IKE terminée « , ainsi que les adresses TCP/IP des machines (par
exemple les adresses IP source et destination). Ces enregistrements d’événements
peuvent aussi vous aider à réparer des connexions.
Sur le système A, ouvrez une invite de commande et envoyez un ping au système
B. Si vous avez correctement créé la stratégie, vous verrez quatre réponses
de négociation de la sécurité IP, que montre la Figure B. Sur le système
A, répétez le ping à destination du système B. Le second ping devrait produire
quatre réponses ping réussies, puisque le premier a créé une SA entre les
systèmes A et B. Sur le système B, envoyez un ping au système A par adresse
pour vérifier que la stratégie Verrouillage fonctionne dans les deux sens.
Le Moniteur de sécurité IP, que montre la Figure C, est un outil pratique
pour surveiller les connexions IPSec actives sur la machine locale. Lancez-le
avec la commande Ipsecmon, qui peut s’exécuter à partir de la ligne de commande.
Une fois que la stratégie Verrouillage fonctionne, l’exécution de Ipsecmon
sur le système A affiche la SA dans le système B et vice-versa. Lorsque
vous parcourez des partages ou copiez des fichiers entre les deux systèmes,
Ipsecmon incrémente la quantité de données authentifiées envoyées et reçues
sur chaque système. Si vous voyez Ipsecmon incrémenter les octets envoyés
et reçus, c’est que votre stratégie fonctionne – bravo.
|
