Utiliser IPsec pour protéger des serveurs

ce qui est pertinent pour un serveur particulier. Dans le cas d’un serveur Web, c’est tout sauf le trafic destiné au port TCP 80 (et au port TCP 443)., si certaines pages utilisent HTTP Secure – HTTPS).

On pourrait aussi utiliser une stratégie de protection de serveur pour gagner du temps pour le test et le déploiement des correctifs. Si quelqu’un découvre une faille dans l’OS, vous pouvez appliquer une stratégie visant à refuser l’accès au service vulnérable, pour vous laisser le temps supplémentaire nécessaire pour tester et déployer le correctif pendant un arrêt planifié, plutôt que de transgresser un éventuel accord de niveau de service (SLA, service-level agreement).

Voyons une stratégie IPsec pour un serveur Web. La stratégie aurait deux règles :

Règle 1
• Liste de filtres avec un filtre : de any-address:any-port à myaddress :any-port
• Action de filtrage : bloquer
• Règle : lier la liste avec l’action, toutes interfaces, pas de tunnel, toute méthode d’authentification

Règle 2
• Liste de filtres avec un filtre : de <any-address>:<anyport> à <my-address>:80/tcp et de <any-address>:< any-port> à <my-address>:443/tcp
• Action de filtrage : permettre
• Règle : lier la liste avec l’action, toutes interfaces, pas de tunnel, toute méthode d’authentification.

Pour scripter cette stratégie, utilisez la commande suivante :

ipseccmd -w REG
-p "Web traffic packet filter"
-r "Block everything"
-f *+0 –n BLOCK -x

ipseccmd -w REG
-p "Web traffic packet filter"
-r "Permit with traffic"
-f *+0:80:TCP –f *+0:443:TCP
-n PASS

A noter que dans ces exemples, un signe plus (+) remplace le signe égal (=) entre l’adresse IP d’origine et de destination: port:spécification de protocole. Le + ordonne à l’agent de stratégie de construire des règles « miroir », nécessaires pour que le trafic de réponse puisse quitter le serveur Web. Sans le miroir, il faut écrire des règles séparées permettant le trafic sortant depuis les ports TCP 80 et 443 du serveur. Quand vous créez des règles dans la GUI, elles sont mises en miroir automatiquement. La figure 1 montre la liste de filtres pour le trafic Web dans la GUI. La figure 2 montre la stratégie de filtre de paquets Web avec deux règles, une qui bloque tout le trafic et une autre qui autorise le trafic Web.

Pourriez-vous faire la même chose avec un pare-feu basé sur l’hôte ? Bien sûr, et c’est même ce que je préfèrerais sur un serveur Windows 2003. Mais, pour un serveur Win2K, l’utilisation d’IPsec pour filtrer des paquets est très efficace pour réduire votre zone de surface d’attaque. Réfléchissez aux rôles des serveurs de votre entreprise et commencez à développer des stratégies IPsec appropriées pour ces rôles. Utilisez les stratégies de groupe pour attribuer les stratégies IPsec d’après les OU (organizational units) qui reflètent les rôles. Vous pouvez accroître sensiblement la sécurité de votre environnement par la simple application d’une méthode qui limite le trafic entrant dans un serveur.