Domaine 2003: IPsec et firewall - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 06-06-2007 à 19:02:01
Pour moi, il y a 2 questions
alors pour
1) je trouve l'idee sympa, mais avec quoi veux-tu (peux-tu) le faire entre poste client et serveur?
2) chez moi, comme chez pas mal de potes d'ailleurs, je le desactive par GPO.
=> seul probleme, les nomades...
sujet, tres interessant , ca me presse de lire la suite.
Marsh Posté le 06-06-2007 à 21:52:24
L'isolation ipsec c'est pas mal si tu as une PKI déjà en place bien rodée et que tu as potentiellement des personnes qui viennent sur ton réseau (style invités, partenaires etc.) Ca marche pas trop mal mais se sera plus souple avec Vista + Windows 2008. Sur technet il y a le petit témoignage sur comment ça a été mis en place chez MS directement.
Pour le firewall ça dépend vraiment de ce que tes utilisateurs font car être trop sécuritaire on perd en utilisation. Si tu es en environnement uniquement desktop ou que tu as un controle total de tes postes oui ça peut être une bonne idée mais dans tous les cas il ne faut pas se dire "j'ai mis le firewall donc niveau sécu je suis parré", le firewall ne vient que en complément d'une politique de sécurité et si celui-ci est désactivé le système d'information doit pouvoir marcher sans problème
Marsh Posté le 06-06-2007 à 23:51:27
lejohnn > pour les nomades il me semble qu'il y a une stratégie avec deux réglages du parefeux différents en fonction de l'ouverture de sessions sur le domaine ou non (valable sur xp sp2)
Marsh Posté le 07-06-2007 à 08:34:45
Deux petits dossiers sur ces sujets:
http://www.itpro.fr/article.asp?ma [...] id=2830#R1
http://www.itpro.fr/article.asp?ma [...] =2&id=2771
lejohnn, je comprends pas ta question?
Je@nb pourquoi une PKI forcément?
boisorbe, tout a fait, il y a deux profil possible dans le parefeu xp.
Marsh Posté le 07-06-2007 à 09:40:24
Pims a écrit : lejohnn, je comprends pas ta question? |
Juste que je ne sais pas le faire, donc je me demandais comment tu le fasais
Pims a écrit : boisorbe, tout a fait, il y a deux profil possible dans le parefeu xp. |
Ca c'est une bonne news, je vais me pencher sur le sujet.
Merci !
Marsh Posté le 07-06-2007 à 09:41:02
une PKI n'est pas nécessaire puisque par défaut IPsec utilise Kerberos mais tu as une granularité plus fine avec les certificats
Citation : There is some confusion over what role certificates have in IPsec. Some are thinking that the certificates are being used to encrypt the IPsec traffic - but this is not true. PKI certificates can be used to authenticate IPsec peers but cannot be used to encrypt traffic secured by IPsec. |
Marsh Posté le 07-06-2007 à 09:47:40
Qq liens su l'isolation ipsec (dsl en anglais)
http://www.microsoft.com/technet/i [...] solwp.mspx
http://www.microsoft.com/technet/n [...] fault.mspx
http://technet2.microsoft.com/wind [...] x?mfr=true
http://www.microsoft.com/technet/s [...] fault.mspx
Pour PKI j'avais oublié mais ça permet aussi de pouvoir faire sporadiquement de l'ipsec avec des machines non dans le domaine
Marsh Posté le 07-06-2007 à 09:50:52
Est il possible de faire de l'IPsec avec certificat sans cryptage?
Car l'interet est de ne pas trop perdre en perf en cryptant tout.
Marsh Posté le 07-06-2007 à 09:52:07
Oui, de tte façon le certificat ne sert que pour l'auth, pas pour le cryptage
Marsh Posté le 07-06-2007 à 09:55:31
Oui effectivement, question bête car j'ai bien déjà fait des VPN ipsec sans cryptage...
Sinon à par la théorie, certains ont déjà testé en prod? dans quel contexte?
Marsh Posté le 07-06-2007 à 10:37:26
Outre la communication entre clients et serveurs, est il possible de faire de l'IPSec uniquement entre les différents VLAN ?
Je vois pas trop comment .. c'est les routeurs qui devront gérer tout ça ?
Marsh Posté le 07-06-2007 à 10:59:06
Si tes routeurs sont capables de gerer du VPN tu pourrais faire de l'IPsec entre eux... sinon je vois pas.
Marsh Posté le 07-06-2007 à 12:13:55
Pims a écrit : Oui effectivement, question bête car j'ai bien déjà fait des VPN ipsec sans cryptage... |
Chez MS ils l'utilisent en prod je sais, pour le contexte lis le lien http://www.microsoft.com/technet/i [...] solwp.mspx
Je l'ai testé perso sur une plateforme de test avec 3 serveurs et 2 clients il y a qq temps déjà.
Marsh Posté le 07-06-2007 à 12:14:45
Si tu as la flemme de monter une plateforme de test tu peux faire ce virtualab http://go.microsoft.com/?linkid=4267504
Marsh Posté le 07-06-2007 à 15:34:56
Pims a écrit : Si tes routeurs sont capables de gerer du VPN tu pourrais faire de l'IPsec entre eux... sinon je vois pas. |
Ok donc c'est pas possible de faire ca avec des switchs niveau 3 ?
Marsh Posté le 05-07-2007 à 12:27:47
Pour ce qui concerne IPsec et l'isolation de domaine, je suis en train de bosser sur un projet de déploiement sur un groupe assez conséquent.
Le potentiel de la techno est intéressant. Mais les outils de monitoring et de config sont pourris et ca aide pas. Apparement, ils ont été amélioré et simplifié avec Vista et longhorn...
J'ai lancé un petit pilote en prod avec une dizaine d'utilisateurs et on voit rapidement des complications apparaître. Mais bon on devrait quand même passer à un pilot étendu rapidement et voir le voir les possibilités de déploiement massif.
Marsh Posté le 11-07-2007 à 10:31:55
problème lié à IPsec :
1) l'algo de gestion du poids des règles est pourri. En fait pour détailler un peu le truc, c'est que plus tu as un filtre spécifique plus ta règle à de poids. Du coup, il faut jouer avec le champ "adresse source" des filtres pour avoir un bon poids pour les règles.
Exemple, on a 2 filtres, un qui va sécurisér une adresse réseau et un filtre qui va autoriser toujours le ping.
1er cas:
_______________________________
Filter List: "IPSEC - ICMP, All Traffic"
Filter: My <-> Any, ICMP, Mirrored
Description: "Allows ICMP traffic"
Filter Action: IPSEC-Permit
Authentication: Kerberos
Filter List: IPSEC – Organizational Subnets
Filter: My <-> internal subnets, all traffic, mirrored
Filter Action: "IPSEC – Full Require Mode (Ignore Inbound, Disallow Outbound)"
______________________________
Dans ce cas la 2ème règle est beaucoup plus spécifique et prendra toujours le pas sur la 1ère. Le ping sera toujours sécurité et la règle 1 ne sera jamais pris en compte.
2ème cas:
_______________________________
Filter List: "IPSEC - ICMP, All Traffic"
Filter: My <-> Any, ICMP, Mirrored
Description: "Allows ICMP traffic"
Filter Action: IPSEC-Permit
Authentication: Kerberos
Filter List: IPSEC – Organizational Subnets
Filter: Any <-> internal subnets, all traffic, mirrored
Filter Action: "IPSEC – Full Require Mode (Ignore Inbound, Disallow Outbound)"
______________________________
Dans ce cas, avec la 2ème règle ayant en adresse source "Any", le 2ème filtre à un poids tout juste plus faible que la 1ère. Cette fois le ping va toujours etre exempt de la sécurité IP...
En plus quand tu configures une règle tu ne peux pas (enfin j'ai pas trouvé comment) savoir le poids que va avoir ta règle (ou alors faut se référer au tableau que je vous ai balancé). Il faut appliquer la règle et aller dans l'outil de monitoring pour le voir... Pas top.
Voilà c'est pourri comme gestion de poids... Et en gros ca va de surprise en surprise pour un beaucoup d'options dans les policy et pas seulement le poids.
Genre la "default response rules" qui pour moi a vraiment un comportement mystique...
Donc si vous ne voulez pas de surprises concernant le comportement du truc, il faut se calquer sur le modèle microsoft où la à priori ca marche pas mal. Enfin en test ca marche bien et la en prod sur le pilot, ca se comporte bizarement mais je pense que c'est moi qui a du faire une erreur dans les policy. Je bosse dessus en ce moment.
2) Pas vraiment la faute à Microsoft mais le problème est la : on a un concentrateur VPN IPsec Cisco. Or sur les machines clientes, le soft Cisco désactive le service IPsec et on peut pas authentifier les machines en VPN. Bon sur le VPN c'est déja de l'authentification forte (juste sur le user c'est vrai...). Donc la solution facile a été de mettre le VLAN VPN en exception mais bon...
3) Il faut gérer les listes d'exceptions DNS, DC, WINS, etc. Des choses qui peuvent bouger. Il faut donc bien prendre ca en compte dans les workflow.
L'ingé support de Microsoft avec qui j'ai un peu bossé m'a dit qu'avec le SP2 et en changeant quelques paramètres de config est on plus obligé de maintenir cette liste (cf. simple policy update). Mais bon, on est pas encore sous SP2.
4) les users qui à la maison ou en voyage, se connecte à un réseau ayant le même plan d'adressage qu'un des réseaux sécurisés dans les policy ont eu des problèmes. La solution se trouve dans Vista apparement avec une option en plus pour différencier le domain/le public/le privé. J'ai pas vista et longhorn j'ai pas pu tester.
5) le troubleshooting est pas évident. Il faut vraiment former les pilotes/admin.
Voilà mon retour à chaud des problèmes. Après la techno a du potentiel mais elle est peut etre pas encore assez mature chez MS, je sais pas.
Marsh Posté le 11-07-2007 à 13:38:46
Ok merci c'est sympa
J'ai vu des évolutions avec Vista et Win 2008, si j'ai le temps je regarderai ça.
Marsh Posté le 30-07-2007 à 16:39:35
Après des tests chez MS, ma config à l'air de fonctionner chez eux. Ce n'est donc pas une erreur de config.
La première piste que l'on pense être à l'origine du problème, c'est peut etre un problème de compatibilité des cartes réseaux Broadcom des blades...
Marsh Posté le 18-12-2008 à 10:55:16
Hello,
Un petit up car je me penche à nouveau un peu sur la partie.
Concernant le firewall d'XP, je pensais l'activer et sur les serveurs permettre à ipsec de passer outre. Ca permet de vérouiller les serveurs et à partir du moment ou le traffic provient d'une machine du domaine connue, il n'est pas filtré.
Bref, des news là dessus?
Marsh Posté le 06-06-2007 à 11:49:36
Hello,
J'aimerais avoir un peu vos avis sur ces parties de sécurisation d'un domaine:
Que pensez vous de l'isolation d'un domaine via ipsec, en effet le fait d'associer une GPO au domaine autorisant uniquement le trafic Ipsec entre clients et serveurs permet d'isoler toute machine connectée au réseau mais qui n'est pas dans le domaine, en effet sans être dans le domaine elle n'aura pas la GPO d'appliquée donc ne saura pas comment communiquer.
Deuxièmement concernant le firewall de XP, l'utilisez vous sur un domaine? via GPO?
Je pense qu'il serait judicieux de bloquer toute communication inter-stations qui sont inutiles 99% du temps. Ca permettrait en cas d'attaque viral ou autre de limiter grandement la propagation etc...
Qu'en pensez vous? comment faites vous? dans quel contexte?
Merci
Message édité par Pims le 06-06-2007 à 15:13:50
---------------
Life is like a box of chocolate you never know what you gonna get.