Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Isolation de serveurs et de domaines à l'aide d'IPSec et de stratégies de group

Isolation de serveurs et de domaines à l'aide d'IPSec et de stratégies de groupe Présentation Paru le 17/03/2005 Microsoft a parfaitement conscience que la sécurisation des réseaux constitue pour les grandes entreprises un défi de plus en plus complexe. Au fur et à mesure que les entreprises se développent et que les relations commerciales évoluent, le contrôle de l'accès physique à un réseau relève presque d'une mission impossible. Vos clients, fournisseurs et consultants peuvent avoir besoin, pour des raisons commerciales valables, de connecter leurs périphériques mobiles à votre réseau. L'apparition des technologies de réseau et de connexion sans fil a simplifié plus que jamais l'accès réseau. Cette connectivité améliorée signifie que les membres d'un réseau interne sont de plus en plus exposés aux risques non négligeables que constituent les autres ordinateurs de ce réseau interne, sans compter les brèches éventuelles dans le périmètre de sécurité. Le concept d'isolation logique présenté dans ce guide englobe deux solutions : l'isolation de serveurs, pour qu'un serveur accepte uniquement les connexions réseau des membres du domaine approuvés ou d'un groupe spécifique de membres du domaine, et l'isolation de domaines, pour isoler les membres du domaine des connexions non approuvées. Ces solutions peuvent être utilisées séparément ou ensemble, dans le cadre d'une solution d'isolation logique globale. L'isolation de serveurs et de domaines permet aux administrateurs du système informatique de restreindre les communications TCP/IP des membres du domaine identifiés comme ordinateurs approuvés. Les ordinateurs approuvés peuvent être configurés pour autoriser uniquement les connexions entrantes des autres ordinateurs approuvés ou d'un groupe spécifique d'ordinateurs approuvés. Pour contrôler les droits de connexion réseau, les contrôles d'accès sont gérés de façon centralisée par les stratégies de groupes de Microsoft® Active Directory®. La plupart des connexions TCP/IP peuvent être sécurisées sans avoir à modifier les applications. En effet, IPSec fonctionne au niveau de la couche réseau située sous la couche des applications, pour assurer une authentification et une sécurité par paquet, de bout en bout entre les ordinateurs. Le trafic réseau peut être authentifié, ou authentifié et chiffré, dans divers scénarios personnalisables. Avantages métier Les avantages qui découlent de la mise en œuvre d'une couche d'isolation logique sont, entre autres, les suivants : •Sécurité renforcée. Une couche d'isolation logique offre une sécurité supplémentaire à tous les ordinateurs gérés du réseau. •Contrôle plus strict de l'accès à des informations spécifiques. Lorsque cette solution est mise en œuvre, les ordinateurs qui se connectent au réseau n'ont pas automatiquement accès à l'ensemble des ressources du réseau. •Coût moindre. L'implémentation de cette solution est bien moins onéreuse qu'une solution d'isolation physique. •Nombre d'ordinateurs gérés plus important. Si seuls les ordinateurs gérés ont accès au système d'informations d'une entreprise, tous les périphériques doivent devenir des systèmes gérés pour autoriser l'accès à leurs utilisateurs. •Niveaux de protection optimisés pour lutter contre les attaques des logiciels malveillants. La solution d'isolation réduit considérablement le risque qu'un ordinateur non approuvé accède à des ressources approuvées. Par conséquent, l'attaque d'un logiciel malveillant émanant d'un ordinateur non approuvé échoue car la connexion n'est pas autorisée, même si le pirate s'est procuré un nom d'utilisateur et un mot de passe valides. •Système de chiffrement des données réseau. Avec l'isolation logique, il est possible de demander le chiffrement de l'ensemble du trafic réseau entre des ordinateurs donnés. •Isolation d'urgence rapide. Cette solution offre, en cas d'attaque, un mécanisme permettant d'isoler rapidement et de façon efficace des ressources spécifiques du réseau. •Audit amélioré. Cette solution permet de consigner et d'auditer l'accès réseau par des ressources gérées. Présentation de ce guide L'objectif de ce guide est de vous aider à mettre en place une solution d'isolation de serveurs et de domaines tout au long du cycle de vie informatique, de la phase initiale d'évaluation et d'approbation, au déploiement, au test et à la gestion de l'implémentation. Pour cette raison, les chapitres de ce guide ont été rédigés de façon à répondre aux besoins des différents lecteurs. Cette section présente brièvement le contenu des différents chapitres du guide Isolation de serveurs et de domaines à l'aide d'IPSec et de stratégies de groupe. Chapitre 1 : Introduction à l'isolation de serveurs et de domaines Le premier chapitre (celuici) est constitué d'une synthèse et d'une brève introduction présentant le contenu des chapitres de ce guide. Il présente le concept d'isolation logique ainsi que différentes approches de l'isolation de serveurs et de domaines pour une entreprise, met en évidence l'intérêt commercial et illustre l'intégration de ces approches dans une infrastructure informatique type. Ce chapitre donne également des informations sur le scénario de la Woodgrove National Bank, adopté à des fins de démonstration, de conception et de test. Chapitre 2 : Présentation de l'isolation de serveurs et de domaines Le chapitre 2 définit le concept des hôtes approuvés et explique comment utiliser l'approbation pour créer des solutions d'isolation de domaines ou de serveurs. Il décrit les relations entre le concept d'isolation de serveurs et de domaines, IPSec et les stratégies de groupe. Ce guide comprend des explications techniques détaillées de l'objectif attendu de la solution, en ce qui concerne les menaces 2 de sécurité qu'elle prévient. Il explique également les problèmes techniques éventuels liés à l'utilisation d'IPSec pour créer une solution d'isolation de domaines et de serveurs. Chapitre 3 : Détermination de l'état actuel de votre infrastructure informatique Avant d'entreprendre un projet, les concepteurs de la solution doivent impérativement avoir connaissance d'informations précises, à jour, sur l'infrastructure informatique actuelle. Ils doivent notamment connaître l'état actuel de tous les systèmes réseau, des configurations des serveurs et des stations de travail, et des approbations de domaine. Ce chapitre aborde également les répercutions éventuelles sur d'autres technologies de réseau, telles que NAT, les clients VPN distants basés sur IPSec, les proxies et les parefeu internes, et le filtrage de ports internes. Il donne aussi des explications sur les informations requises dans le cadre de la planification et présente les étapes permettant d'obtenir ces informations. Chapitre 4 : Conception et planification de groupes d'isolation Ce chapitre explique comment intégrer les besoins de l'entreprise dans la conception de l'isolation de serveurs et de domaines. Il présente une approche détaillée vous permettant de créer un groupe d'isolation qui répond aux besoins de sécurité de votre entreprise en matière d'isolation. Ce chapitre décrit également plusieurs approches de déploiement qui peuvent vous servir à limiter les conséquences sur l'entreprise lors du déploiement et à optimiser les chances de réussite de l'implémentation. Toutes les étapes et les procédures de ce chapitre sont illustrées par des exemples basés sur le scénario de la Woodgrove Bank. Chapitre 5 : Création de stratégies IPSec pour les groupes d'isolation La stratégie IPSec est le mécanisme que vous utilisez pour appliquer les règles qui autorisent les ordinateurs à communiquer entre eux. Ces règles sont affectées et distribuées aux membres du domaine approuvé par le biais d'objets de stratégie de groupe (GPO). Ce chapitre contient les informations indispensables à la création des stratégies IPSec, et il explique comment déployer ces dernières sur les ordinateurs des destinataires. Chapitre 6 : Gestion d'un environnement d'isolation de serveurs et de domaines Une fois la solution implémentée et opérationnelle, vous devez comprendre et noter un certain nombre de processus qui vous aideront à assurer au quotidien une prise en charge et une gestion correcte de la solution. Ce chapitre inclut un modèle de prise en charge et présente plusieurs processus et procédures de gestion à utiliser dans le cadre d'une structure de fonctionnement plus vaste, telle que Microsoft Operations Framework (MOF). Pour plus d'informations sur MOF, reportezvous au site Web Microsoft Operations Framework , à l'adresse www.microsoft.com/mof. Chapitre 7 : Dépannage d'IPSec Des problèmes surviendront forcément durant le déploiement et l'utilisation de la solution. Ce chapitre présente des procédures de dépannage d'IPSec, des tâches, des outils et des conseils qui vous permettront de savoir si IPSec est à l'origine des problèmes rencontrés, puis de les résoudre, le cas échéant. Outre les principaux chapitres, ce guide comprend des supports de référence, des aides pour les travaux ainsi que des scripts utilisés, au cours de l'élaboration de ce guide, dans la planification, le 3 test et le déploiement de l'environnement du laboratoire de test chez Microsoft. Les informations figurant dans ces annexes peuvent vous aider à implémenter vos propres solutions d'isolation de serveurs et de domaines. Elles sont destinées à vous aider durant toutes les phases du projet, depuis l'idée initiale de la solution jusqu'au fonctionnement au quotidien d'une solution entièrement déployée. 4 Table des matières Isolation de serveurs et de domaines à l'aide d'IPSec et de stratégies de groupe ........................ 1 Présentation ........................................................................................................................................... 1 Avantages métier .................................................................................................................................... 1 Présentation de ce guide ........................................................................................................................ 2 Table des matières ................................................................................................................................. 5 Chapitre 1 : Introduction à l'isolation de serveurs et de domaines ................................................. 8 Synthèse ................................................................................................................................................. 8 Défi métier .............................................................................................................................................. 9 Création d'une équipe de projet ............................................................................................................ 12 Présentation du scénario ...................................................................................................................... 13 Résumé ................................................................................................................................................ 18 Chapitre 2 : Présentation de l'isolation de serveurs et de domaines ............................................. 19 Connaissances préalables requises pour ce chapitre ........................................................................... 19 À qui s'adresse ce chapitre uploads/Ingenierie_Lourd/ ipsec.pdf