Utiliser IPSec pour verrouiller l’accès aux ordinateurs par le réseau (2)

clé prépartagée
est plus simple que l’authentification
par certificat, qui requiert la mise en
place d’une CA (Certificate Authority).
Voyons donc un exemple d’utilisation
de l’authentification par clé prépartagée
pour empêcher la communication
de station de travail à  station de travail.

Pour atteindre cet objectif, il faut créer deux policies IPSec : une pour les
stations de travail et l’autre pour les
serveurs. La première prescrira aux stations
de travail d’utiliser la communication
en mode IPSec AH, authentifiée
avec une clé prépartagée désignée ;
vous ajouterez une exception à  la policy
de station de travail pour le trafic
entre les stations de travail et les serveurs
Web externes sur Internet. La policy
serveur répondra aux ordinateurs
nécessitant le mode AH avec la clé désignée.
Pour mettre en oeuvre cette solution,
il faut d’abord créer une OU (organizational
unit) de stations de travail
ou une OU de serveurs, ajouter vos stations
de travail et serveurs en tant que
membres de l’OU applicable, puis
créer des GPO liés à  l’OU pour
appliquer ces policies IPSec.

La restriction du trafic entre stations
de travail n’est que l’une des manières
d’utiliser IPSec pour ralentir la
propagation des virus. Vous pouvez
ajuster la policy IPSec de manière à  restreindre
le trafic vers les serveurs appropriés
ou à  indiquer les types de trafic
permis entre les sites physiques afin
que les virus ne puissent pas se propager
facilement d’un immeuble ou
d’une ville à  un(e) autre. Toutefois,
avant d’appliquer un tel scénario, il
faut bien analyser l’impact et bien
comprendre le trafic du réseau, afin de
ne pas bloquer par inadvertance
des communications parfaitement
légitimes.