Scripter la création de stratégie IPsec

XP ; pour Windows 2003, c’est l’outil Netsh Ipsec inclus avec l’OS. Pour appliquer le filtre Slammer en XP, utilisez la commande suivante :

Ipseccmd -w REG -p "Block UDP 1434 Filter"
-r "Block Inbound UDP 1434 Rule"
-f *=0:1434:UDP –n BLOCK -x

Respectez exactement les lettres majuscules et minuscules. En effet, Ipsecpol et Ipseccmd sont intransigeants en la matière. A noter également que c’est une commande unique qui doit être tapée sur une ligne : la largeur de la colonne de l’article nous oblige à déroger à cette règle.

Cette commande crée et attribue une stratégie statique appelée Block UDP 1434 Filter avec une règle unique appelée Block Inbound UDP 1434 Rule qui contient la même liste de filtres que ci-dessus reliée à une action de filtrage block. Les stratégies statiques sont stockées dans le registre et persistent entre les réinitialisations successives. La stratégie ne s’appliquera qu’à la prochaine initialisation ou au redémarrage de l’agent de stratégie Ipsec. Si l’on veut qu’elle s’applique immédiatement, il faut que le script arrête et redémarre également le service policyagent. Quand on construit la stratégie avec la GUI, elle s’applique immédiatement.

Si un ordinateur est infecté par Slammer, on peut utiliser une règle Ipsec différente pour empêcher qu’il n’infecte d’autres ordinateurs, en bloquant les communications sortantes vers le port de destination UDP 1434 :

Liste de filtres avec un filtre : de my-address:any-port à any-address:1434/udp
Action de filtrage : bloquer
Règle : lier la liste avec l’action, toutes interfaces, pas de tunnel, toute méthode d’authentification

Notons une différence subtile : dans la règle précédente (entrante), le filtre vérifie le trafic de any-address-port à myaddress: 1434:udp, tandis que dans la règle sortante, le filtre vérifie le trafic de my-address:any-port à any-address: 1434:udp. La règle sortante bloque tout trafic vers le port UDP 1434 sur tout ordinateur. Utilisez la commande suivante pour scripter la règle et l’ajouter à la même stratégie que la première règle :

Ipseccmd -w REG -p "Block UDP 1434 Filter"
-r "Block Outbound UDP 1434 Rule"
-f 0=*:1434:UDP –n BLOCK

Dans la première commande ci-dessus, le commutateur -x indique une nouvelle stratégie. Dans cette seconde commande, on omet le commutateur -x parce que cette commande ajoute une autre règle à la stratégie existante. A noter aussi que dans la portion liste de filtres de la seconde commande, l’astérisque (*) et le 0 sont inversés par rapport à la première commande, tout simplement parce que le « sens » du filtre est inversé.

On peut aussi se servir des utilitaires ligne de commande pour appliquer des stratégies dynamiques qui ne sont actives que pendant que le système fonctionne (elles sont perdues dès que le service policyagent est redémarré ou que l’ordinateur est réinitialisé). De telles stratégies dynamiques sont utiles quand on sait qu’on n’en aura pas besoin pendant longtemps et que l’on veut utiliser une réinitialisation pour les effacer. Les deux commandes suivantes créent une stratégie dynamique qui fait la même chose que la stratégie statique créée ci-dessus :

ipseccmd -f[*=0:1434:UDP]
ipseccmd –f[0=*:1434:UDP]

Les crochets placés de part et d’autre de la spécification de filtre indiquent que le trafic filtré sera bloqué.

Jusqu’ici, nous avons vu comment utiliser IPsec pour bloquer le trafic empruntant, dans les deux sens, deux « mauvais » ports de destination. Les stratégies IPsec peuvent être plus restrictives : elles peuvent bloquer tout le trafic dans les deux sens et créer des règles qui permettent un certain trafic vers et à partir de certains ports. Avant d’autoriser tel ou tel genre de trafic, réfléchissez bien, planifiez et testez abondamment vos idées avant de les mettre en pratique.