Utiliser IPsec pour l’isolation de domaines

la mesure où l’utilisateur possède des références valides, il peut accéder aux ressources du réseau à partir de tout ordinateur connecté à celui- ci. Et le gestionnaire de références de XP facilite encore davantage l’accès aux ressources du réseau pour un client qui n’est pas joint à votre domaine.

Le concept d’isolation de domaine empêche pour l’essentiel des machines suspectes d’accéder aux ressources du domaine et n’autorise que les ordinateurs joints au domaine autorisés à communiquer avec d’autres ordinateurs autorisés. Vous pouvez faire confiance aux ordinateurs joints au domaine, au moins dans une certaine mesure, parce qu’ils utilisent des technologies liées à la sécurité que vous pouvez contrôler et gérer centralement, comme les stratégies de groupe, les modèles de sécurité, les paramètres de restriction logicielle, les stratégies IPsec et Microsoft SMS (Systems Management Server). Les ordinateurs dont vous contrôlez la configuration sont ceux qui ne font que ce que vous leur permettez. De tels ordinateurs sont bien moins dangereux dans votre environnement que des machines douteuses non gérées, dont vous ignorez l’existence ou la configuration. Je vous engage vivement à réfléchir sans tarder à l’isolation de domaine.

La mise en place de l’isolation de domaine est plus facile que vous ne pourriez le croire. Tout d’abord, ajoutez la stratégie IPsec suivante à votre GPO (Group Policy Object) de domaine par défaut :

• Liste de filtres : Utiliser la liste de filtres exemple All IP Traffic existante
• Action de filtrage : ESP (Encapsulation Security Payload) seulement, cyptage nul, intégrité SHA-1, demander la sécurité, ne pas communiquer avec des machines non IPsec
• Règle : lier la liste avec l’action, toutes interfaces, pas de tunnel, authentification Kerberos, pas de réponse par défaut

Utilisez ESP-null parce que c’est l’authentification par paquet et non le cryptage qui vous intéresse. La confidentialité n’est pas une exigence – seules comptent l’authentification et l’intégrité que les totaux de contrôle de SHA-1 fournissent. Vous pourriez bien sûr utiliser IPsec Authentication Header (AH) plutôt que ESP-null, mais alors votre stratégie ne marcherait pas avec des appareils qui communiquent sur des unités NAT (Network Address Translation).

Il faut aussi créer une stratégie qui exempte vos DC, parce que les clients ont besoin de communiquer avec eux pour s’authentifier et obtenir le ticket Kerberos qui sert pour toutes les autres communications:
• Liste de filtres : filtres avec les adresses ou gamme d’adresses de vos DC
• Action de filtrage : permettre
• Règle : lier la liste avec l’action, toutes interfaces, pas de tunnel, toute méthode d’authentification

Il faudra des stratégies similaires pour les machines qui ne peuvent pas participer à IPsec, comme les imprimantes de réseau.

Une fois que vous aurez testé et déployé ces stratégies, les machines n’appartenant pas au domaine seront incapables de communiquer avec toute machine jointe au domaine, parce que les membres du domaine requièrent IPsec. Les clients ne peuvent obtenir la stratégie que s’ils joignent le domaine. Les clients situés hors du domaine ne peuvent pas appliquer leur propre stratégie parce que la stratégie IPsec exige Kerberos, lequel ne fonctionne que si le client est dans le domaine. Tous les membres du domaine reçoivent la stratégie et par conséquent peuvent communiquer avec tous les autres membres.

La bordure du réseau se déplace vers l’intérieur. De ce fait, il est de plus en plus difficile d’identifier la frontière extérieure d’un réseau, comme nous le faisions naguère. Au lieu d’un oeuf avec une enveloppe dure et une matière visqueuse à l’intérieur, le réseau moderne ressemble davantage à un oignon avec ses peaux (ou couches) successives. Nous en sommes au stade où chaque couche – chaque ordinateur – doit être sécurisé. IPsec est la bonne technologie pour fortifier tous les hôtes de votre réseau.