510 likes | 642 Views
Isolation de domaine et de serveur avec IPSec. Christophe Dubos Architecte Infrastructure Microsoft France. Agenda. Introduction A quelles problématiques répond la mise en œuvre de l’isolation IPSec ? Quels bénéfices en attendre ? Aspects techniques de la solution
E N D
Isolation de domaine et de serveur avec IPSec Christophe Dubos Architecte Infrastructure Microsoft France
Agenda • Introduction • A quelles problématiques répond la mise en œuvre de l’isolation IPSec ? • Quels bénéfices en attendre ? • Aspects techniques de la solution • Rappels sur IPSec et définitions sur l’isolation • Démarche de mise en œuvre • Technologies nécessaires • État des lieux du réseau • Conception et planification des groupes d’isolation • Création des stratégies IPSec • Déploiement • Evolutions et conclusion
Evolutions de l’environnement Evolutions Conséquences La multiplication des périphériques et des scenario d’accès complexifie la topologie des réseaux Il est nécessaire de mettre en place une stratégie centralisée de contrôle des accès applicable en tout point du réseau Virus, vers & dénis de service croissent en nombre et complexité Il est nécessaire de mettre en place des solutions permettant de limiter le niveau de risque lié au code malicieux Il est obligatoire de se mettre en conformité Les obligations réglementaires sont de plus en plus présentes Les données sont LA ressource critique dans nombre d’organisations Il est nécessaire de mettre en place une protection contre les accès non-autorisés aux ressources sensibles Les besoins de connectivité sont en augmentation malgré des contraintes budgétaires fortes Les coûts de mise en œuvre et d’exploitation des technologies mises en œuvre doivent être optimum
Problématiques Comment réduire le risque d’infection lié aux machines non gérées ? Comment segmenter mon réseau de manière fiable et dynamique quand la majorité des utilisateurs ont des portables ? Les droits d’accès des utilisateurs doivent ils être les mêmes quelque soit l’environnement ? Comment gérer de manière centralisée les stratégies d’accès ? Comment répondre aux besoins d’accès étendus (nomades, partenaires) aux applicationsinternes ? Comment sécuriser les flux d’information sensibles contre les écoutes ? Puis-je avoir le même niveau de confiance dans toutes les machines qui accèdent au réseau de l’entreprise ?
Ajout d’une couche supplémentaire à la stratégie de défense Sans remise en cause des investissements existants Basé sur des mécanismes disponibles en standard dans Windows: IPSec & Active Directory IPSec et Défense en profondeur Défenses du périmètre Défenses du réseau Isolation de domaine Défenses des machines Défenses des applications Données et Ressources Sécurité physique Politiques de sécurité
Labs Postes non gérées IPSecIsolation de domaine et de serveur Segmentation dynamique de votre environnement en réseaux logiques,isolés et sécurisés basée sur une stratégie définie de manière centralisée Protège des machines spécifiques de part la sensibilité de leur données Serveurs Protège les machines administrées de celles non-administrées ainsi que des machines ou utilisateurs compromis Domaine
Serveurs hébergeant des données sensibles Isolation de serveur Poste RH Isolation de domaine Segmentation dynamique basée sur des stratégies Contrôleur de domaine Active Directory Réseau d’entreprise Serveur de ressource «de confiance» X Poste Non-administré ou compromis X Poste administré Poste administré Blocage des connexions entrantes des machines extérieures au domaine de confiance Distribution des stratégies et credentiels Les machines administrées peuvent communiquer Accès contrôlé aux ressources sensibles Définition des frontières logiques d’isolation
Agenda • Introduction • A quelles problématiques répond la mise en œuvre de l’isolation IPSec ? • Quels bénéfices en attendre ? • Aspects techniques de la solution • Rappels sur IPSec et définitions sur l’isolation • Démarche de mise en œuvre • Technologies nécessaires • État des lieux du réseau • Conception et planification des groupes d’isolation • Création des stratégies IPSec • Déploiement • Evolutions et conclusion
IPSec Kezako ? • Un ensemble de RFC destiné à garantir la sécurité (authentification, intégrité et confidentialité) des communications sur les réseaux IP • Avantages • Transparence pour les utilisateurs et les applications • Interopérabilité • Fonctionnement de bout-en-bout • Configuration et mise en œuvre centralisées • Les fonctionnalités de filtrage propres à IPSec ne remplacent pas un pare-feu (pas de Stateful Packet Inspection) • Une exception statique pour un trafic sortant représente aussi une exception statique pour le trafic entrant correspondant
IPSecModes de fonctionnement • Comme son nom l’indique IPSec opère au niveau IP donc (couche 3 ou réseau de l’ISO) et permet d’établir un canal sécurisé pour échanger de manière protégée des données entre deux périphériques (machines, routeurs, …) • Deux modes de fonctionnement • Mode tunnel • Sécurisation du trafic entre 2 réseaux (de routeur à routeur) • Protection de l’entête et de la charge • Mode transport • Sécurisation du trafic entre 2 machines (de PC à PC en passant par des routeurs) • Protection de la charge seulement
IPSecAH et ESP • AH (IP Authentication Header) - RFC 2402 • Authentification mutuelle • Intégrité des données et de l’adresse IP (sans chiffrement) • Ne traverse pas le NAT • ESP (IP Encapsulating Security Payload) - RFC 2406 • Authentification mutuelle • Intégrité et chiffrement des données • Traverse le NAT • Utilisation de AH seul, soit ESP seul, soit AH et ESP
En-tête IP orig. IPSecAH en mode Transport En-tête IP orig. En-tête TCP Données Insertion En-tête TCP Données En-tête AH Couverture du condensé pour l’intégrité (sauf pour les champs IP mutables) Proch. Ent Lgr charge Rsrv SecParamIndex n°Seq Keyed Hash 24 octets au total AH = protocole IP 51
IPSecESP en mode Transport En-tête IP orig. En-tête TCP Données Ajout Insertion En-tête ESP En-tête TCP Trailer ESP Auth ESP En-tête IP orig. Données Chiffrement Couverture du condensé pour l’intégrité (sauf pour les champs IP mutables) SecParamIndex Seq# InitVector Keyed Hash Padding PadLength NextHdr AH = protocole IP 50 22 à 36 octets au total
IPSecIKE • IKE (Internet Key Exchange) - RFC 2409 • Permet de négocier la méthode de sécurité qui sera employée et effectue l’échange de clé (et établit une SA IKE, ou main mode SA) • En fait, 3 sous protocoles • ISAKMP (Internet Security Association Key Management Protocol) • Oakley • SKEME
IPSecSA et SPI • Security Association (SA) IPsec • A chaque conversation protégée est associée une SA IPSec qui est un enregistrement de la configuration nécessaire au périphérique pour une connexion IPSec donnée (liste les algorithmes utilisés, les clés d’authentification et de chiffrement, la durée de validité des clés, le mode tunnel ou transport, adresse de destination, numéros de séquence) • Une SA IPSec est négociée pour chaque flux unidirectionnel • Security Parameter Index (SPI) • Les SA IPSec sont identifiées par un index (SPI) • La source indique valeur du SPI est dans l’entête du paquet IPSec
IPSecMécanisme général • Un périphérique (initiator) demande une connexion IPSec à un autre périphérique (responder) • Une stratégie de sécurité (IPsec policy) préalablement définie, contenant un ensemble de règles détermine quelles actions entreprendre (autoriser, refuser, sécuriser) pour quels datagrammes • Une négociation a lieu pour déterminer les clés et les algorithmes (SA IKE) • Une association de sécurité (SA IPsec) est établie par chaque périphérique pour chaque direction de la connexion (entrante et sortante)
Permissions d’accès (partage et fichiers) L’accès est Refusé ou Autorisé 4 3 1 Group Policy 2 Comment ça marche ?Sans Isolation IPSec Les permissions d’accès sont vérifiées Utilisateur authentifié et autorisé L’utilisateur tente d’accéder à une ressource partagée L’authentification de l’utilisateur est réalisée
L’accès est Refusé ou Autorisé en fonction des ACL Les permissions d’accès sont vérifiées 6 1 Les permissions d’accès du poste sont vérifiées Les permissions d’accès de l’utilisateur sont vérifiées 2 5 3 4 Local Policy Local Policy Comment ça marche ?Avec Isolation IPSec L’utilisateur et le poste sont authentifiés et autorisés L’utilisateur tente d’accéder à une ressource partagée Initiation de la négociation IKE Suite à la réussite d’IKE, l’authentification de l’utilisateur est réalisée
NégociationIKE(InternetKeyExchange) 2 PileIP PileIP PiloteIPSec PiloteIPSec Datagrammes IPchiffrés En pratique dans Windows 1 Déploiement via GPO StratégieIPSec StratégieIPSec 3
Filtres IPSec • Une seule politique IPsec par machine • Liste de sous-réseaux connus et d’adresses IP d’infrastructure • Deux types de filtres • Mode principal IKE • Utilisent uniquement les adresses source et destination • Mode rapide IKE • Adresses, protocoles, ports
Actions IPSec • Pré requis de sécurité • Autoriser • Refuser • Négocier la sécurité) • Méthodes d’échange des clés (liste ordonnée) • Accepter ou non le trafic entrant non sécurisé • Communication en clair ou non avec les machines non IPsec • Renouvellement des clés
Isolation de serveur Isolation de domaine Démo Contrôleur de domaine Réseau d’entreprise Serveur de ressource «de confiance» Poste non-administré Poste administré
Agenda • Introduction • A quelles problématiques répond la mise en œuvre de l’isolation IPSec ? • Quels bénéfices en attendre ? • Aspects techniques de la solution • Rappels sur IPSec et définitions sur l’isolation • Démarche de mise en œuvre • Technologies nécessaires • État des lieux du réseau • Conception et planification des groupes d’isolation • Création des stratégies IPSec • Déploiement • Evolutions et conclusion
Comment s’y prendre ?Les grandes étapes d’une mise en œuvre • Définir clairement les objectifs • Faire un bilan de l’environnement actuel • Machines, topologie réseau, structure AD, applications… • Créer les groupes de machines dans Active Directory • Définir les stratégies IPSec et les exceptions • Assigner les politiques aux groupes d’isolation • Valider les stratégies via un déploiement en «Resquest Mode» • Ajouter graduellement les machines aux groupes • Itérer en point 3… • dans le cas ou les symptômes persistent consulter http://www.microsoft.com/ipsec
Périmètre de mise en œuvre • Réaliser une analyse de risque • Définir les objectifs métier ainsi que les risques à adresser • Identifier l’emplacement des composants au sein de l’infrastructure • Sous réseaux, serveurs • Définir les chemins de communication autorisés • Documenter les machines «Sensibles» et les exceptions à la stratégie
Une fois le périmètre défini Quelques recommandations • Faire simple • Se limiter initialement aux groupes de base (domaine d’isolation, limitrophe, exceptions, machines de défiance) • Établir un environnement de TEST • Valider les modifications AVANT déploiement en production • Déployer en phases • Déployer les politiques sur de petits groupes pilotes dans un premier temps, puis étendre à des groupes ou des sites plus grands • Former les équipes • Dépannage IPsec • Ne pas hésiter à se faire aider
Création des groupes Active Directory - un exemple • Groupes Non-IPSec • Untrusted Systems • Groupe par défaut • Exceptions • Infrastructure de confiance • Groupes IPSec • Isolation Domain • Groupe de confiance par défaut • Boundary • Groupe de confiance représentant un risque plus élevé
Groupes supplémentaires à considérer • A définir en fonction des objectifs métier • A titre d’exemple • No Fallback Allowed Isolation Group • Permet de bloquer lescommunications sortantes vers des hôtes hors périmètre de confiance • Require Encryption • Groupe de machine très sensibles • L’ensemble des communications doivent être chiffrées
Contenu d’une stratégie IPSec Méthodes d’échange des clés (IKE) La stratégie IPSec est appliquée via une stratégie de groupe, et contient un ensemble de règles et spécifie comment utiliser IKE StratégieIPsec Méthodes d’authentification Kerberos, Certificats, Clés partagées Règles Chaque règle associe une liste de filtres à une action, et spécifie les méthodes d’authentification Méthodes de sécurité (Chiffrement, hashing, durée de vie des clés) Liste de filtres Action Une action désigne ce qu’il faut faire du trafic qui correspond à une liste de filtres: Autoriser, Refuser, Négocier la sécurité Filtres Un filtre décrit un type de trafic à identifier (adresse IP, sous-réseau, port et protocole pour les deux extrémités d’une connexion)
Actions possibles dans les filtres • Request Mode • Les communications entrantes non authentifiées sont acceptées • Les communications sortantes non authentifiées sont autorisées • Secure Request Mode • Les communications sortantes non authentifiées sont autorisées • Full Require Mode • L’ensemble des communications unicast nécessite IPsec • Require Encryption Mode • Seul le chiffrement est négocié
Diagnostique • La majorité des problèmes liés à IPSec ont souvent pour origine d’autres composants de la solution • Authentification • Group Policy • Services, pilotes, applications • Résolution de noms • Connectivité réseau: TCP/IP, ACL sur les routeurs • Stratégies IPsec, ex: erreurs de configuration des filtres • L’erreur retournée par TCP/IP en cas d’échec de la connexion est “Error 53: The network path was not found” • Activer l’audit afin de capturer les événements IPSec 541/542/543 et 547
IPSec dans WindowsA savoir • Plateformes concernées • Windows 2000 SP4 • Windows Server 2003 ou ultérieur • Windows XP Service Pack 2 ou ultérieur • Les filtres peuvent tenir compte des ports mais la solution présentée ici utilise uniquement les adresses IP pour tout trafic TCP et UDP, ICMP est autorisé • Autoriser ICMP est nécessaire pour certains mécanismes de Windows et facilite le diagnostique • Commencer le déploiement des filtres en Request Mode puis basculer en Require Mode qd nécessaire • De façon à ne pas bloquer l’environnement en cas d’erreur lors de la définition des filtres
IPSec dans WindowsA savoir • Afin de simplifier l’architecture, utiliser des groupes universels • Ils sont utilisables en tout point de la forêt • Eviter de multiplier les groupes de manière superflue • La taille d’un jeton Kerberos est limitée à 1000 groupes • Certains rôles (DC, DHCP) au sein d’un domaine ne sont pas protégeables avec IPSec • Envisager l’exclusion des clusters et des machines en NLB • IPsec est incompatible avec NLB en mode «sans affinité» • Client VPN IPsec non Microsoft • Doivent autoriser la communication IKE et IPsec • Sinon envisager de créer des exceptions pour le sous-réseau des clients VPN
IPSec dans WindowsA savoir • L’administrateur local du poste peut désactiver IPSec • La désactivation d’IPSec ne permet pas pour autant l’accès aux autres ressources de confiance • L’administrateur local du poste peut modifier la stratégie IPSec locale • Activation de PMTU nécessaire pour un bon fonctionnement d’IPSec • Pas de gestion du trafic multicast et broadcast
Agenda • Introduction • A quelles problématiques répond la mise en œuvre de l’isolation IPSec ? • Quels bénéfices en attendre ? • Aspects techniques de la solution • Rappels sur IPSec et définitions sur l’isolation • Démarche de mise en œuvre • Technologies nécessaires • État des lieux du réseau • Conception et planification des groupes d’isolation • Création des politiques IPSec • Déploiement • Evolutions et conclusion
Supporté par Windows 2000, XP et Server 2003 Authentification basée sur les crédentiels du poste Intégration avec Windows Firewall via NETSH Support des cartes 10/100 Mb permettant l’offload Vista/Windows Server Longhorn: Nouvelle interface Méthodes d’authentification étendues (user& health) Simplification des stratégies Intégration avec les API Windows Filtering Support des cartes GigE permettant l’offload IPSec Feuille de route Sécurité réseau
Windows Server LonghornNetwork Acces Protection • Objectif: Conditionner l’accès des postes au réseau à leur état de santé • Seuls les clients en conformité avec la stratégie de sécurité seront autorisés à accéder au réseau • Stratégie • Détermine l’ensemble des pré-requis aux quels les postes doivent se conformer pour accéder au réseau physique • La conformité est validée à chaque accès au réseau • Les postes en conformité sont dits “en bonne santé” • Mécanismes de restrictions d’accès • Contrôlent l’accès des postes en fonction de leur état de santé via différents mécanismes: 802.1x, DHCP, IPSEC, VPN
Windows Server LonghornNetwork Acces Protection • Mécanismes de remédiation • Appliquent les mises à jour et modifications nécessaires pour que le poste soit “en bonne santé”. Après cela, les restrictions sont levées • Conformité permanente • Des modifications de la stratégie de sécurité ou de l’état de santé de postes peuvent résulter en l’application de stratégies d’accès réseau de manière dynamique
IPSec vs 802.1x • Deux technologies complémentaires • 802.1x offre des services d’authentification des hôtes de manière préalable à leur accès au réseau • IPSec offre des services d’authentification des hôtes, de filtrage et de chiffrement de bout en bout entre des hôtes d’un réseau • Principales différences • 802.1x sur réseau filaire fournit une authentification initiale, pas à chaque datagramme • 802.1x ne fonctionne pas avec Kerberos et nécessite le déploiement de certificats • 802.1x peut nécessiter une mise à jour des éléments réseau • 802.1x peut être contourné par des Hubs ou machines virtuelles
IPSec vs SSL • Deux technologies complémentaires • SSL offre des services d’authentification des hôtes et de chiffrement de bout en bout • IPSec offre des services d’authentification des hôtes, de filtrage et de chiffrement de bout en bout entre des hôtes d’un réseau • Principales différences • SSL est largement déployé • SSL ne permet pas de protéger l’ensemble du trafic lié aux différentes applications • Une prise en compte de SSL par l’application est nécessaire • Le modèle de stratégie est donc par application (si supportée) • SSL ne fonctionne qu’avec TCP (pas de support de UDP) • SSL ne protège pas contre les attaques réseau de bas niveau (ex: port scan)
Risques pris en compte par IPSec • La modification des données en transit • Accès non authentifié à des systèmes approuvées • Y compris la propagation d’un ver d’une machine non approuvée vers une machine approuvée • Attaques Man-in-the-middle • Usurpation • Écoute du réseau • …
Risques non pris en compte par IPSec • Ingénierie sociale • Vulnérabilités applicatives • Attaques depuis des systèmes approuvés ou utilisateurs approuvés • Utilisateurs approuvés divulguant des données critiques • Utilisateurs approuvés employant mal ou abusivement leur statut d'utilisateur approuvé • Mise en péril des informations d'identification des utilisateurs approuvés • Ordinateurs approuvés compromis accédant à d'autres ordinateurs approuvés • Ordinateurs non approuvés accédant à d'autres ordinateurs non approuvés • Absence de protection physique
Définition des stratégies Authentification Application Détails des solutions mises en œuvre Les stratégies sont crées, distribuées, et administrées via Active Directory les groupes de sécurité et les GPO • L’appartenance au domaine est nécessaire pour accéder aux ressources sensibles L’authentification est basée sur les lettres de créance du poste client • Kerberos • Certificats X.509 Les stratégies sont mises en œuvre au niveau réseau par IPSec • Utilisation de IPSec mode transport pour la sécurité de bout-en-bout et les problématiques de NAT • L’ensemble des paquets sont encapsulés avec ESP-Null pour l’authentification et l’intégrité • De manière optionnelle, le trafic le plus sensible peut être chiffré
Labs Postes non gérées Réduction des risques associés aux menaces réseau Protection des données sensibles et de la propriété intellectuelle Valorisation des investissements existants IPSecIsolation de domaine et de serveur Segmentation dynamique de votre environnement en réseaux logiques,isolés et sécurisés basée sur une stratégie définie de manière centralisée
Bénéfices Réduction des risques associés aux menaces réseau Ajout d’une couche supplémentaire à la stratégie de défense Réduction de la surface d’attaque Administrabilité accrue et clients mieux maitrisés Protection des données sensibles et de la propriété intellectuelle Communications réseau authentifiées de bout en bout Accès hiérarchisé et à grande échelle aux ressources sensibles Protection de la confidentialité et de l’intégrité des données Valorisation des investissements existants Absence de composants matériels ou logiciels supplémentaires S’appuie sur l’existant dans Active Directory et les Group Policy Complémentaire à des solutions de sécurisation tierces
Pour aller plus loin… • Domain and Server Isolation Using IPsec and Group Policy Guide • Microsoft Solutions for Security Guide • Improving Security with Domain Isolation • Livre blanc sur le retour d’expérience interne de Microsoft IT • Using Microsoft Windows IPsec to Help Secure an Internal Corporate Network Server • Livre blanc conjoint de Microsoft et Foundstone • Documentation IPsec • Aide en ligne • Aide produit • Kit de déploiement Windows Server 2003 • Et de nombreux autres documents, accessibles via • http://www.microsoft.com/ipsec
Pour aller plus loin Jesper and Steve finally wrote a book! Pour le commander:http://protectyourwindowsnetwork.com jesperjo@microsoft.com
Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex www.microsoft.com/france 0 825 827 829 msfrance@microsoft.com