Le support d'IPSec constitue un autre apport essentiel de Windows 2000. IPSec permet de spécifier l'authentification et le chiffrement des transmissions réseau entre un ensemble déterminé de périphériques du réseau, afin de garantir la confidentialité. IPSec fonctionne au niveau de la couche réseau et ne n'exige pas d'apporter des modifications
IPSec
particulières aux applications.
Pour mettre en oeuvre IPSec dans Windows 2000, il faut d’abord définir un ensemble
de stratégies de sécurité IP au moyen du snap-in IPSec pour la MMC. Ces stratégies
définissent les différents profils IPSec qu’il est possible de créer pour imposer
divers impératifs de sécurité. Une stratégie IPSec comporte plusieurs options
de paramétrage. La première consiste à créer des listes de filtres IP.
Ces dernières permettent de définir des groupes de machines ou des sous-réseaux
et de spécifier les protocoles et les ports IP qui seront contrôlés par IPSec.
Par exemple, il est possible de créer une liste de filtres spécifiant l’utilisation
de la sécurité IP entre toutes les machines du sous-réseau 192.168.100.0 et toutes
celles du sous-réseau 192.168.101.0 lorsqu’elles communiquent par TCP d’un port
TCP au port TCP 25 (messagerie SMTP). Une fois la liste de filtres créée, on définit
une stratégie de négociation. Elle permet de déterminer le mode de dialogue entre
deux ordinateurs communiquant ensemble.
On peut, par exemple, spécifier des algorithmes appliquant différents niveaux
d’intégrité et de confidentialité des données. Outre la stratégie de négociation,
il est également possible de spécifier les protocoles à utiliser pour l’authentification
de la connexion IPSec, s’il faut utiliser un tunnel IP pour une stratégie IPSec
donnée, et à quels types de connexions doit s’appliquer cette stratégie (par exemple
commutée ou LAN). L’écran 2 montre une stratégie de sécurité nécessitant l’utilisation
d’IPSec pour tout le trafic allant au port TCP 25 entre deux sous-réseaux.
Une fois définie, une stratégie IPSec peut bénéficier d’une gestion centralisée
avec Active directory. C’est la fonction Stratégie de groupes d’AD qui prend en
charge le support des stratégies de sécurité. Il est possible d’inclure la stratégie
IPSec prédéfinie dans un objet Group Policy Object (GPO) que vous créez. Les GPO
pouvant s’appliquer au niveau d’un site, d’une Organisational Unit (OU) ou d’un
domaine, il est donc possible de définir une stratégie IPSec en fonction de l’emplacement
d’un ordinateur ou d’un utilisateur dans AD.
Par exemple, si vous voulez appliquer votre stratégie IPSec à un utilisateur de
l’OU » Ingénierie « , vous pouvez intégrer cette stratégie dans le GPO de l’OU
» Ingénierie « . Vous serez ainsi assuré que tout le trafic d’un utilisateur (en
entrée comme en sortie) obéit à votre stratégie IPSec, que le poste de travail
soit utilisée ou pas.
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez toutes nos actualités à travers des interviews, avis, conseils d'experts, témoignages clients, ainsi que les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et Collaboration, Impression et Infrastructure.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
