Partager via

IPsec Configuration

La plateforme de filtrage Windows (PAM) est la plateforme sous-jacente pour le Pare-feu Windows avec Advanced Security. LE PAM est utilisé pour configurer des règles de filtrage réseau, notamment des règles qui régissent la sécurisation du trafic réseau avec IPsec. Les développeurs d’applications peuvent configurer IPsec directement à l’aide de l’API PAM afin de tirer parti d’un modèle de filtrage du trafic réseau plus précis que le modèle exposé via le composant logiciel enfichable Microsoft Management Console (MMC) pour le Pare-feu Windows avec Advanced Security.

Qu’est-ce que IPsec ?

Internet Protocol Security (IPsec) est un ensemble de protocoles de sécurité utilisés pour transférer des paquets IP de manière confidentielle sur Internet. IPsec était anciennement obligatoire pour toutes les implémentations IPv6 (mais consultez configuration requise pour les nœuds IPv6; et facultative pour IPv4.

Le trafic IP sécurisé comporte deux en-têtes IPsec facultatifs, qui identifient les types de protection de chiffrement appliqués au paquet IP et incluent des informations pour décoder le paquet protégé.

L’en-tête Encapsulating Security Payload (ESP) est utilisé pour la confidentialité et la protection contre les modifications malveillantes en effectuant l’authentification et le chiffrement facultatif. Il peut être utilisé pour le trafic qui traverse les routeurs NAT (Network Address Translation).

L’en-tête d’authentification (AH) est utilisé uniquement pour la protection contre les modifications malveillantes en effectuant l’authentification. Il ne peut pas être utilisé pour le trafic qui traverse les routeurs NAT.

Pour plus d’informations sur IPsec, consultez également :

de référence technique IPsec

Qu’est-ce que IKE ?

Internet Key Exchange (IKE) est un protocole d’échange de clés qui fait partie de l’ensemble de protocoles IPsec. IKE est utilisé lors de la configuration d’une connexion sécurisée et effectue l’échange sécurisé de clés secrètes et d’autres paramètres liés à la protection sans l’intervention de l’utilisateur.

Pour plus d’informations sur IKE, consultez également :

Internet Key Exchange

Qu’est-ce qu’AuthIP ?

Le protocole Internet authentifié (AuthIP) est un protocole d’échange de clés qui développe IKEv1 comme suit.

Alors que IKEv1 prend uniquement en charge les informations d’identification d’authentification par ordinateur, AuthIP prend également en charge :
  • Informations d’identification de l’utilisateur : NTLM, Kerberos, certificats.
  • Certificats d’intégrité nap (Network Access Protection).
  • Informations d’identification anonymes utilisées pour l’authentification facultative.
  • Combinaison d’informations d’identification ; par exemple, combinaison d’informations d’identification Kerberos de l’ordinateur et de l’utilisateur.

AuthIP dispose d’un mécanisme de nouvelle tentative d’authentification qui vérifie toutes les méthodes d’authentification configurées avant d’échouer la connexion.
AuthIP peut être utilisée avec des sockets sécurisés pour implémenter le trafic sécurisé IPsec basé sur l’application. Il fournit les éléments suivants :

  • Authentification par socket et chiffrement. Pour plus d’informations, consultez WSASetSocketSecurity.
  • Emprunt d’identité du client. (IPsec emprunte l’identité du contexte de sécurité sous lequel le socket est créé.)
  • Validation de nom d’homologue entrant et sortant. Pour plus d’informations, consultez WSASetSocketPeerTargetName.

Note

Microsoft recommande l’utilisation de IKEv2 dans la mesure du possible.

Qu’est-ce qu’une stratégie IPsec

Une stratégie IPsec est un ensemble de règles qui déterminent le type de trafic IP à sécuriser à l’aide d’IPsec et comment sécuriser ce trafic. Une seule stratégie IPsec est active sur un ordinateur à la fois.

Pour en savoir plus sur l’implémentation de stratégies IPsec, ouvrez le composant logiciel enfichable MMC stratégie de sécurité locale (secpol.msc), appuyez sur F1 pour afficher l’aide, puis sélectionnez Créer et utiliser des stratégies IPsec dans la table des matières.

Pour plus d’informations sur les stratégies IPsec, consultez également :

Vue d’ensemble des concepts de stratégie IPsec
description d’une stratégie IPsec

Guide pratique pour configurer des stratégies IPsec

L’implémentation Microsoft d’IPsec utilise la plateforme de filtrage Windows pour configurer des stratégies IPsec. Les stratégies IPsec sont implémentées en ajoutant des filtres à différentes couches PAM comme suit.

  • Dans les couches FWPM_LAYER_IKEEXT_V{4|6}, ajoutez des filtres qui spécifient les stratégies de négociation utilisées par les modules de clé (IKE/AuthIP) pendant les échanges en mode principal (MM). Les méthodes d’authentification et les algorithmes de chiffrement sont spécifiés à ces couches.

  • Dans les couches FWPM_LAYER_IPSEC_V{4|6}, ajoutez des filtres qui spécifient les stratégies de négociation utilisées par les modules de clé pendant les échanges en mode rapide (QM) et en mode étendu (EM). Les en-têtes IPsec (AH/ESP) et les algorithmes de chiffrement sont spécifiés à ces couches.

    Une stratégie de négociation est spécifiée en tant que contexte de fournisseur de stratégie associé au filtre. Le module de clé énumère les contextes du fournisseur de stratégie en fonction des caractéristiques du trafic et obtient la stratégie à utiliser pour la négociation de sécurité.

    Note

    L’API PAM peut être utilisée pour spécifier directement les associations de sécurité (SAS) et donc pour ignorer la politique de négociation du module de clé.

     

  • Dans les couches FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} et FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6}, ajoutez des filtres qui appellent des légendes et déterminent le flux de trafic à sécuriser.

  • Dans les couches FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6}, ajoutez des filtres qui implémentent le filtrage des identités et la stratégie par application.

Le diagramme suivant illustre l’interaction des différents composants du PAM en ce qui concerne l’opération IPsec.configuration ipsec à l’aide de la plateforme de filtrage Windows

Une fois IPsec configuré, il s’intègre au PAM et étend les fonctionnalités de filtrage PAM en fournissant des informations à utiliser comme conditions de filtrage dans les couches d’autorisation APPLICATION Layer Enforcement (ALE). Par exemple, IPsec fournit l’identité de l’utilisateur distant et de l’ordinateur distant, que le PAM expose au niveau de la connexion ALE et accepte les couches d’autorisation. Ces informations peuvent être utilisées pour l’autorisation d’identité distante affinée par une implémentation de pare-feu basée sur LE PAM.

Voici un exemple de stratégie d’isolation qui peut être implémentée à l’aide d’IPsec :

  • FWPM_LAYER_IKEEXT_V{4|6} couches – Authentification Kerberos.
  • FWPM_LAYER_IPSEC_V{4|6} couches – AH/SHA-1.
  • FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} et FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} couches : découverte de négociation pour tout le trafic réseau.
  • FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} couches : IPsec requis pour tout le trafic réseau.

couches PAM

identificateurs de couche de filtrage

couches ALE

scénarios de stratégie IPsec implémentés à l’aide de l’API PAM :

mode de transport

mode de transport de découverte de négociation

mode de transport de découverte de négociation en mode limite

mode tunnel

de chiffrement garanti

d’autorisation d’identité distante

SAS IPsec manuelles

exemptions IKE/AuthIP

solutions IPsec :

d’isolation du serveur et du domaine

 

 

  • Last updated on