> Tech > Utiliser IPSec pour verrouiller l’accès aux ordinateurs par le réseau (2)

Utiliser IPSec pour verrouiller l’accès aux ordinateurs par le réseau (2)

Tech - Par iTPro - Publié le 24 juin 2010
email

Vous pouvez spécifier l'authentification Kerberos, clé prépartagée, ou par certificat. Kerberos n'est pas utile dans notre scénario parce que chaque ordinateur de la forêt AD supporte automatiquement l'authentification Kerberos. Vous devez utiliser l'authentification par clé partagée ou par certificat afin de pouvoir contrôler quels ordinateurs communiquent entre eux. L'authentification par

Utiliser IPSec pour verrouiller l’accès aux  ordinateurs par le réseau (2)

clé prépartagée
est plus simple que l’authentification
par certificat, qui requiert la mise en
place d’une CA (Certificate Authority).
Voyons donc un exemple d’utilisation
de l’authentification par clé prépartagée
pour empêcher la communication
de station de travail à  station de travail.

Pour atteindre cet objectif, il faut créer deux policies IPSec : une pour les
stations de travail et l’autre pour les
serveurs. La première prescrira aux stations
de travail d’utiliser la communication
en mode IPSec AH, authentifiée
avec une clé prépartagée désignée ;
vous ajouterez une exception à  la policy
de station de travail pour le trafic
entre les stations de travail et les serveurs
Web externes sur Internet. La policy
serveur répondra aux ordinateurs
nécessitant le mode AH avec la clé désignée.
Pour mettre en oeuvre cette solution,
il faut d’abord créer une OU (organizational
unit) de stations de travail
ou une OU de serveurs, ajouter vos stations
de travail et serveurs en tant que
membres de l’OU applicable, puis
créer des GPO liés à  l’OU pour
appliquer ces policies IPSec.

La restriction du trafic entre stations
de travail n’est que l’une des manières
d’utiliser IPSec pour ralentir la
propagation des virus. Vous pouvez
ajuster la policy IPSec de manière à  restreindre
le trafic vers les serveurs appropriés
ou à  indiquer les types de trafic
permis entre les sites physiques afin
que les virus ne puissent pas se propager
facilement d’un immeuble ou
d’une ville à  un(e) autre. Toutefois,
avant d’appliquer un tel scénario, il
faut bien analyser l’impact et bien
comprendre le trafic du réseau, afin de
ne pas bloquer par inadvertance
des communications parfaitement
légitimes.

Téléchargez gratuitement cette ressource

Comment cerner la maturité digitale de votre entreprise ?

Comment cerner la maturité digitale de votre entreprise ?

Conçu pour les directions IT et Métiers, ce guide vous permettra d'évaluer précisément vos processus de communication client, d'identifier vos lacunes et points d'inflexion pour établir un plan d’actions capable de soutenir durablement votre évolution. Bénéficiez maintenant d'une feuille de route complète.

Tech - Par iTPro - Publié le 24 juin 2010