Windows 2003 IPSEC : 9 manières de diagnostiquer les problèmes

Même bien installé, IPsec peut causer des ennuis. Si vous subissez une perte de connectivité générale du réseau sur un ordinateur Windows Server 2003 ou Windows XP, l’OS s’empresse de vous signaler l’incident. Malheureusement, il n’en est pas de même pour IPsec. Selon le déploiement d’IPsec, en cas d’ennui, soit vous perdrez toute la connectivité réseau, soit – plus probablement et plus sournoisement – les communications réseau continueront à fonctionner, mais sans cryptage aucun. Imaginez votre surprise en découvrant que votre trafic réseau n’était nullement protégé alors que vous pensiez le contraire.

Le moyen le plus rapide de vérifier le bon fonctionnement d’IPsec consiste à utiliser Network Monitor pour capturer les paquets entrants et sortants de l’ordinateur et à vérifier s’ils sont cryptés. Network Monitor est livré avec Windows 2003 et vous pouvez l’installer en ouvrant l’applet Control Panel Add or Remove Programs et en accédant à Add/Remove Windows Components. Après avoir installé Network Monitor, vous pouvez démarrer une capture de paquets en sélectionnant Start dans le menu Capture. Ensuite, pour créer une activité réseau et générer quelques données, effectuez une activité ordinaire comme la consultation d’un dossier partagé sur un autre ordinateur. Enfin, sélectionnez Stop and View dans le menu Capture.

La figure 1 montre les résultats de deux captures de paquets. Dans la capture de gauche, effectuée quand un ordinateur n’est pas configuré pour utiliser IPsec, on voit une variété de protocoles dans la colonne Protocol. Dans la capture de droite, effectuée quand un ordinateur est configuré pour utiliser IPsec, on ne voit qu’un protocole : Encapsulating Security Payload (ESP). Quand un ordinateur Windows 2003 est configuré pour utiliser des stratégies IPsec par défaut, les seuls protocoles qui seront présents dans une capture de paquets seront ESP et Internet Control Message Protocol (ICMP). ICMP sera présent parce que les stratégies IPsec par défaut permettent le trafic ICMP. Donc, si vous voyez divers protocoles quand vous capturez du trafic réseau, vous pouvez en déduire raisonnablement qu’IPsec ne fonctionne pas bien.

La majorité des problèmes d’IPsec sont dus à des difficultés d’authentification pendant la phase IKE (Internet Key Exchange) de l’authentification. Quand deux ordinateurs essaient de former une association de sécurité (SA, security association), ils entament un processus dans lequel ils authentifient leurs identités respectives. IKE est l’algorithme qui négocie la formation de la SA. L’authentification d’identité peut s’effectuer par une clé prépartagée, un certificat numérique, ou Kerberos. C’est ce dernier qu’utilisent les stratégies IPsec par défaut de Windows 2003. Dans la grande majorité des cas, dépanner IPsec revient à dépanner le processus d’authentification.