> Tech > Utiliser IPSEC pour protéger les ressources du LAN

Utiliser IPSEC pour protéger les ressources du LAN

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Paula Sharick
Les attaques contre les ordinateurs sévissant sur l'Internet sont très médiatisées, ne serait-ce que parce qu'elles provoquent souvent une interruption de service pour des millions d'utilisateurs. Mais les malveillances à  l'encontre des données d'une entreprise provenant de l'intérieur d'un réseau bénéficient de beaucoup moins de publicité, même si elle provoquent au moins autant de dégâts que celles venant d'Internet. Les entreprises divulguent rarement des statistiques sur les sabotages internes à  l'encontre des réseaux ; reconnaître cette délinquance revient à  déclarer l'incapacité de l'informatique de l'entreprise à  sécuriser correctement les informations sensibles.

Windows 2000 offre deux méthodes pour sécuriser l'accès aux données sensibles : les protocoles de tunneling (qui protègent un paquet TCP/IP en l'encapsulant dans un autre paquet TCP/IP, un peu comme quand on glisse une lettre dans une enveloppe), et IPSec (IP Security). Celles-ci peuvent réduire et éventuellement éliminer une bonne partie des atteintes internes à  la sécurité, y compris le vol et la modification non autorisée des données. PPTP ou L2TP (Layer 2 Tunneling Protocol) sont les deux protocoles de tunneling proposés au choix pour sécuriser les connexions entre clients et de client à  serveur. L2TP présente l'avantage d'interopérer avec IPSec.

IPSec se compose d'une architecture et de deux protocoles : AH (Authentification Header) et ESP (Encapsulating Security Payload) pour sécuriser les connexions LAN et WAN dans un réseau en mode Windows 2000 natif ou en mode mixte. Après avoir déterminé les conditions requises pour une connexion sécurisée spécifique, il convient de définir une stratégie IPSec pour les mettre en oeuvre, puis d'activer cette stratégie sur les ordinateurs aux deux extrémités de la connexion. Windows 2000 comporte des stratégies intégrées qui aident à  imposer des communications à  sécurité élevée, moyenne ou faible, et sont suffisantes dans de nombreux cas de sécurité de réseau ordinaires.

Les stratégies intégrées ne couvrent toutefois pas tous les scénarios de sécurité communs, et il importe donc de comprendre comment définir et tester une stratégie personnalisée. Voyez l'encadré " Créer et tester une stratégie personnalisée " pour un exemple de stratégie IPSec imposant une communication cryptée sécurisée entre des systèmes Windows 2000 qui ne sont pas membres d'un domaine Windows 2000. La lecture de cet article vous apportera les connaissances nécessaires pour implémenter des connexions IPSec pour les membres des domaines Windows 2000, les serveurs autonomes Windows 2000 et les serveurs Windows 2000 dans un domaine Windows NT 4.0.

Les stratégies intégrées ne couvrent pas tous les scénarios de sécurité communs

Utiliser IPSEC pour protéger les ressources du LAN

IPSec utilise des algorithmes de hachage et le chiffrement à  clés publiques pour
sécuriser et protéger les communications réseau entre deux postes. Dans sa forme
la plus sécurisée, IPSec utilise une clé pour signer et crypter les données et
une seconde clé pour vérifier la signature des messages et décrypter les données.
L’association signature et déchiffrement permet quatre types de protection des
paquets : authentification, intégrité, anti-relecture et, en option, confidentialité.

Premièrement, IPSec authentifie et vérifie l’origine de chaque message, ce qui
garantit que l’ordinateur émetteur est une entité connue. Deuxièmement, IPSec
garantit l’intégrité des données, ce qui signifie que personne ne peut modifier
les données pendant qu’elles transitent entre les machines émettrices et réceptrices.
Troisièmement, IPSec identifie de manière unique chaque paquet IP avec une signature
numérique représentée sous forme d’un total de contrôle, qui empêche un autre
utilisateur de réutiliser ou de relire un message pour établir une session (le
cas échéant avec des références volées). Quatrièmement, IPSec peut en option garantir
la confidentialité en cryptant les paquets de réseau, ce qui garantit que seule
la personne possédant la clé requise pour décrypter le message peut le lire.

IPSec propose deux protocoles : AH et ESP. Le protocole AH authentifie l’expéditeur,
garantit l’intégrité des données, garantit que personne ne peut relire le paquet
et signe chaque message avec un total de contrôle numérique créé soit à  partir
d’un algorithme de hachage sécurisé (SHA), soit d’un algorithme de hachage MD5.
(L’algorithme de hachage génère le total de contrôle numérique qui sert de signature
au paquet). Le protocole ESP effectue la même chose, mais il crypte en outre les
données pour que personne ne puisse les visualiser pendant le transit. ESP crypte
les données avec le chiffrement DES (Data Encryption Standard) ou Triple DES (3DES)
et offre, en option, la signature de chaque message. Ces protocoles peuvent se
combiner pour atteindre le niveau de sécurité le plus élevé possible pour l’authentification
et le transfert de données d’ordinateur à  ordinateur.

Pour déployer IPSec sur un réseau, il faut que tous les ordinateurs et les utilisateurs
soient des entités vérifiables connues. Il est rassurant de savoir que les fonctions
de sécurité IPSec peuvent éliminer une bonne partie des attaques de malveillance
du réseau. Il faut savoir, en revanche, que lorsqu’un système est configuré pour
exiger le protocole ESP et le chiffrement DES ou 3DES, les processus de chiffrement
et de déchiffrement pénalisent les performances en consommant 10 à  20 pour cent
de temps-système en plus sur les postes sécurisés.

Téléchargez cette ressource

SD-WAN de confiance : guide de mise en œuvre

SD-WAN de confiance : guide de mise en œuvre

Ce livre blanc décrit les différents aspects indispensables pour la mise en place d’une approche SD-WAN sécurisée et de confiance. Ce document s’adresse aux consultants et responsables sécurité des systèmes d’information pour bien comprendre les enjeux du Trusted SD-WAN à l’heure de la transformation numérique des entreprises.

Tech - Par iTPro.fr - Publié le 24 juin 2010

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT