Qu’est-ce qu’une stratégie IPSec ?

protocole
IP auquel la règle s’applique. La règle spécifie aussi un filtre indiquant la
source et les adresses de destination TCP/IP. Windows 2000 comprend une règle
intégrée, dite Réponse par défaut, dans les trois stratégies natives et dans toutes
les stratégies personnalisées que l’on peut définir.

IPSec définit les paramètres permettant une communication sécurisée entre
le système local et d’autres systèmes du réseau

Pour visualiser ou éditer les règles d’une stratégie, ouvrez la MMC (Microsoft
Management Console) et chargez le composant enfichable Gestion des stratégies
de sécurité IP pour l’ordinateur local. Sélectionnez Stratégies de sécurité IP
sur la machine locale, comme le montre la Figure 1. La sous-fenêtre de droite
affiche la liste des stratégies résidant sur cette machine. Les stratégies par
défaut proposées par Windows 2000 sur chaque système sont Client (Répondre seulement),
Serveur sécurisé (Exiger la sécurité) et Serveur (Demander la sécurité). Chaque
entrée s’accompagne d’une description et d’une colonne Stratégie attribuée qui
indique si la stratégie est active.
Pour afficher les paramètres de configuration IPSec d’une stratégie – par exemple,
la stratégie Client (Répondre seulement) – double-cliquez sur la stratégie, puis
sur la règle (Réponse par défaut) pour afficher la boîte de dialogue Editer les
propriétés de la règle. Mais attention ! à€ moins d’être un gourou de la sécurité
IPSec, ne modifiez jamais la règle (Réponse par défaut). En effet, elle est utilisée
par toutes les stratégies intégrées et, en cas de non-respect, aucune des stratégies
natives ne fonctionnera.

Méthodes de sécurité. Sur l’onglet Méthodes de sécurité, que
montre la Figure 2, vous pouvez sélectionner les protocoles IPSec (et les algorithmes
de cryptographie et de hachage associés) dont dispose l’agent de la stratégie
pour négocier la connexion de la SA. Le protocole le plus sûr (c’est-à -dire 3DES)
apparaît en début de liste, suivi par DES, puis par les algorithmes de hachage
(c’est-à -dire SHA-1 et MD5). Double-cliquez sur une entrée de cette liste pour
visualiser ou modifier les durées de vie des algorithmes cryptographiques ou des
clés.
Pour négocier une SA, l’agent de la stratégie IPSec propose toutes les méthodes
de sécurité dans l’ordre de la liste. Les ordinateurs sélectionnent le premier
algorithme sur lequel ils se mettent d’accord. Si toutes les options sont inclues
dans les stratégies IPSec des deux machines, celles-ci trouveront toujours un
algorithme commun. Mais si une machine est restreinte à  une seule option (par
exemple (ESP-3DES) et que l’autre a une option différente (par exemple AH-SHA-1),
les deux systèmes n’auront aucun algorithme en commun et ne parviendront jamais
à  négocier une SA.

Méthodes d’authentification. L’onglet Méthodes d’authentification,
que montre la Figure 3, permet de définir la méthode à  utiliser par IPSec pour
authentifier les deux ordinateurs. Si vous cliquez sur Ajouter, vous verrez un
écran qui permet d’ajouter ou de modifier les méthodes d’authentification (c’est-à -dire
Kerberos, certificat et clé pré-partagée). Il est possible d’inclure une, deux
ou les trois options d’authentification dans une stratégie et les machines négocieront
jusqu’à  ce qu’elles trouvent une option commune.
Ici également, Il vaut mieux ne jamais changer les paramètres d’authentification
de la règle , parce que Windows 2000 inclut automatiquement
cette règle dans chaque stratégie intégrée et personnalisée. En cas d’erreur,
les stratégies intégrées ne fonctionneront pas et il pourrait s’avérer nécessaire
de réinstaller l’OS pour restaurer la fonctionnalité IPSec.

Type de connexion. L’onglet Type de connexion, que montre la
Figure 4, permet de spécifier le type de connexion auquel s’applique la règle.
Sélectionnez Toutes les connexions du réseau pour appliquer une stratégie aux
connexions locales et distantes. Sélectionnez Réseau local (LAN) pour activer
une stratégie s’appliquant spécifiquement à  l’accès au LAN. Sélectionnez Accès
distant pour appliquer une stratégie uniquement aux clients commutés et au VPN.