> Tech > Préparer IPSec sur L2TP

Préparer IPSec sur L2TP

Tech - Par iTPro - Publié le 24 juin 2010
email

Pour communiquer en toute sécurité avec IPSec, vous devez créer un jeu de « policies » (c'est-à -dire, un jeu de règles ou accords prédéterminé) pour pouvoir créer un canal de communications (aussi appelé association de sécurité) sécurisé. Comme cet article parle d'une configuration qui n'implique pas un DC (domain controller)

ou un AD,
vous pouvez établir vos policies IPSec
au moyen du snap-in MMC Local
Security Policy. Avant d’entamer cette
partie de la configuration, sachez que,
comme je suppose que vous travaillez
dans un environnement non-AD et que
vos clients pourraient être membres
d’un domaine quelconque, vos options
d’authentification sont limitées
aux certificats émis par Win2K
Certificate Services et une clé prépartagée
(c’est-à -dire, une clé secrète partagée
connue seulement du serveur VPN
et du client sans fil). Toutefois, comme
les clés prépartagées sont la moins séduisante
(et la moins sûre) des options
pour établir des communications IPSec, je décris l’utilisation des certificats.

Sélectionnez Local Security Policy
sous Administrative Tools pour ouvrir
la console MMC Local Security
Settings. Dans le panneau de gauche
de la console, faites un clic droit sur IP
Security Policies on Local Machine.
Sélectionnez Create IP Security Policy
dans le menu de contexte pour lancer
l’IP Security Policy Wizard. Cliquez sur
Next puis donnez à  la Policy un nom
descriptif comme Règle de sécurité
WLAN. Cliquez sur Next puis décochez
la case Activate the default response
rule. (Comme vous créez une règle
spécifique pour les clients sans fil,
cette règle ne conviendra pas comme
règle par défaut pour tous les clients
IPSec.) Cliquez sur Next, puis sur
Finish pour ouvrir la boîte de dialogue
Properties pour votre politique de sécurité.
Confirmez que la case Use Add
Wizard (dans l’angle inférieur droit de
la boîte de dialogue) est cochée.
Cliquez sur Add pour lancer le Create
IP Security Rule Wizard.

Le Create IP Security Rule Wizard
vous aide à  configurer des filtres IPSec
au travers desquels votre trafic VPN
doit passer. Cliquez trois fois sur Next
pour aller à  l’écran Authentication
Method, qui offre trois options d’authentification
: Kerberos, certificates,
et preshared key.

La méthode la plus sûre pour sécuriser
IPSec (et celle que je décris) utilise
les certificats émis par Win2K
Certificate Services utilisant une policy
Certificate Authority autonome ou
d’entreprise. A moins d’utiliser déjà 
une infrastructure de certificats interne,
cette méthode ajoute un élément
de gestion entièrement nouveau
à  vos clients sans fil. Pour plus d’informations
sur la création de votre propre
CA et l’utilisation des certificats, voir
l’article de Ken Spencer, Using Win2K
Certificate Services to Configure a
Standalone CA, Part 1 » (http://www.secadministrator.
com, InstantDoc ID
23373) et « Using Win2K Certificate Services to Configure a Standalone CA,
Part 2 » (http://www.secadministrator.
com, InstantDoc ID 23654). Vous devrez
émettre des certificats machine
(plutôt que des certificats utilisateur) à 
l’attention de vos clients et de votre
serveur VPN – une tâche que, je le suppose,
vous avez déjà  accomplie. A partir
de là , les nouveaux clients sans fil
devront acquérir un certificat machine
au moyen de l’interface Certificate
Services Web avant de rejoindre
votre WLAN. Pour une sécurité
maximale, gardez le serveur Web
qui héberge cette interface sur votre
intranet.

Sur l’écran Authentication Method
de Create IP Secuity Rule Wizard, sélectionnez
l’option Use a certificate
from this Certificate Authority (CA).
Cliquez sur Browse pour obtenir une
liste des CA approuvés, sélectionnez
celui qui convient puis cliquez sur OK.

Sur l’écran IP Filter List, indiquez
les adresses IP, ports et protocoles qui
peuvent utiliser votre policy IPSec.
Cliquez sur Add pour ouvrir la boîte de
dialogue IP Filter List. Donnez au filtre
un nom descriptif comme Filtre WLAN.
Assurez-vous que la case Use Add
Wizard est cochée. Cliquez sur Add
pour lancer l’IP Filter Wizard.

Cliquez deux fois sur Next. Sur
l’écran IP Traffic Destination, sélectionnez
A specific IP Subnet dans la boîte
déroulante. Entrez l’adresse IP et le
masque subnet qui représentent le
mieux votre WLAN. Cette suite devrait
inclure les adresses IP que vous avez attribuées
à  vos clients sans fil, plutôt
que le pool d’adresses disponible que
vous avez fourni au serveur DHCP. (J’ai
utilisé une adresse IP de 10.1.1.32 et un
masque subnet de 255.255.255.224
pour permettre aux clients de
10.1.1.33 à  10.1.1.62 d’utiliser cette
règle.) Cliquez sur Next deux fois, cliquez
sur Finish puis sur Close. L’écran
IP Filter List contient maintenant votre
nouveau filtre IP (Filtre WLAN, par
exemple). Sélectionnez le filtre,
puis cliquez sur Next. Sur l’écran Filter Action, cliquez sur Add pour
lancer l’IP Security Filter Action Wizard.

Cliquez sur Next pour passer par
l’écran d’introduction du wizard.
Donnez un nom descriptif, comme
WLAN IP Sec Filter Action, pour l’action
de filtrage (filter action). Cliquez
sur Next. Sur l’écran Filter Actions
General Options, assurez-vous que la
case Negotiate Security est cochée puis
cliquez deux fois sur Next. Sur l’écran
IP Sec Security, cliquez sur Next. Sur
l’écran IP Traffic Security, choisissez
Custom puis cliquez sur Settings pour
ouvrir la boîte de dialogue Custom
Security Method Settings. Observez
que l’algorithme de cryptage est réglé
sur DES. Si vous possédez la licence
d’utilisation de 3DES et souhaitez ce
niveau supérieur de cryptage, sélectionnez
3DES dans la boîte déroulante
Encryption Algorithm. (Data Encryption
Standard -DES) est un algorithme
de 56 bits, tandis que 3DES
offre un cryptage sur 168 bits supérieur.)
Une fois l’algorithme de cryptage
sélectionné, cochez les deux cases
sous Session Key Setting puis cliquez
sur OK pour fermer la boîte de dialogue.
Cliquez sur Next puis sur Finish
pour fermer l’IP Security Filter Action
Wizard.

Sélectionnez la nouvelle action de
filtrage (WLAN IP Sec Filter Action, par
exemple) puis cliquez sur Next.
Vérifiez que la case Edit Properties est
décochée puis cliquez sur Finish.
Cliquez sur Close pour fermer le
Security Policy Wizard. Bravo, vous
venez de configurer votre première
policy IPSec.

La dernière étape consiste à  attribuer
la nouvelle policy à  vos clients
sans fil. Faites un clic droit sur la policy
(WLAN Security Policy, par exemple)
dans le panneau de droite de la
console Locale Security Settings puis
sélectionnez Assign. Remarquez
qu’après l’attribution de la policy, la colonne
Policy Assigned indique Yes et
que l’icône de l’objet Policy présente
une marque verte.

Téléchargez gratuitement cette ressource

Guide de facturation électronique, voie royale pour le DAF et la digitalisation de la fonction finance

Guide de facturation électronique, voie royale pour le DAF et la digitalisation de la fonction finance

Ce livre blanc expose les problématiques auxquelles sont confrontés les DAF modernes et souligne les bénéfices de la facturation électronique pour la trésorerie. Il dévoile également le processus de déploiement de ce projet de transformation digitale que la réglementation rendra bientôt obligatoire.

Tech - Par iTPro - Publié le 24 juin 2010