La contrainte de mise en conformité IPsec (Internet Protocol security) de la protection d’accès réseau (NAP) constitue la méthode la plus flexible et la plus sûre pour gérer la conformité de l’ordinateur client avec les spécifications d’intégrité requises par le réseau.

La contrainte IPsec limite la communication sur votre réseau aux seuls ordinateurs considérés comme conformes et qui disposent de certificats d’intégrité. En utilisant IPsec et sa flexibilité en matière de configuration, cette méthode de contrainte de mise en conformité NAP vous permet de définir des conditions pour sécuriser les communications avec des clients conformes, en se basant sur une adresse IP ou un numéro de port. Pour plus d’informations sur IPsec, voir https://go.microsoft.com/fwlink/?LinkId=50170 (éventuellement en anglais).

Avantages de la contrainte de mise en conformité IPsec

La contrainte de mise en conformité IPsec est généralement utilisée lorsque vous souhaitez un mécanisme de contrainte renforcé et plus robuste que la contrainte fournie par 802.1X, DHCP ou un réseau privé virtuel. La contrainte de mise en conformité IPsec présente les avantages suivants :

Contrainte résistante aux falsifications

La contrainte IPsec ne peut pas être contournée en reconfigurant un client NAP. Un client NAP ne peut pas recevoir de certificat d’intégrité ni initier de communication avec un ordinateur compatible en manipulant des paramètres sur l’ordinateur local, même si un utilisateur dispose de droits d’administrateur local. En outre, la contrainte IPsec ne peut pas être contournée via l’utilisation de concentrateurs ou de technologies d’ordinateur virtuel.

Aucune mise à niveau d’infrastructure requise

La contrainte IPsec fonctionne depuis la couche Internet de la suite de protocoles TCP/IP. Par conséquent, elle est indépendante des composants d’infrastructure du réseau physique, tels que les concentrateurs, les commutateurs et les routeurs.

Accès au réseau limité par serveur ou par application

Avec la contrainte IPsec, les ordinateurs compatibles peuvent initier des communications avec des ordinateurs non compatibles, mais ces derniers ne peuvent pas initier de communications avec des ordinateurs compatibles. L’administrateur définit le type de trafic devant être authentifié avec un certificat d’intégrité et protégé par IPsec via des paramètres de stratégie IPsec. La stratégie IPsec permet la création de filtres IP qui peuvent définir un trafic par adresse IP source, adresse IP de destination, numéro de protocole IP, port TCP source et de destination, et port UDP source et de destination. Avec la stratégie IPsec et la définition de filtre IP, il est possible de limiter l’accès au réseau par serveur ou par application.

Chiffrement de bout en bout facultatif

En spécifiant des paramètres de stratégie IPsec, vous pouvez chiffrer le trafic IP entre homologues IPsec pour un trafic très sensible. Contrairement aux réseaux locaux IEEE 802.11 sans fil, qui chiffrent uniquement des trames à partir du client sans fil vers le point d’accès sans fil, le chiffrement IPsec s’effectue entre ordinateurs homologues IPsec.

Contrainte IPsec et réseaux logiques

La contrainte IPsec divise un réseau physique en trois réseaux logiques. Un ordinateur est membre d’un seul réseau logique à tout moment. Les réseaux logiques sont définis selon les ordinateurs qui disposent de certificats d’intégrité et les ordinateurs qui nécessitent une authentification IPsec pour les tentatives de communications entrantes. Les réseaux logiques vous permettent de restreindre l’accès des ordinateurs qui ne répondent pas aux spécifications d’intégrité requises et de fournir aux ordinateurs conformes un niveau de protection à partir d’ordinateurs non conformes. La contrainte IPsec définit les réseaux logiques suivants :

  • Réseau sécurisé

    Les ordinateurs qui se trouvent sur le réseau sécurisé disposent de certificats d’intégrité et exigent une authentification de la part des communications entrantes par rapport à ces certificats. Ils utilisent un ensemble courant de paramètres de stratégie IPsec pour fournir une protection IPsec. La plupart des ordinateurs serveurs et clients, par exemple, qui sont membres d’une infrastructure Active Directory® se trouvent dans un réseau sécurisé. Les serveurs de stratégie de contrôle d’intégrité NAP, les serveurs exécutant les services de certificats Active Directory et les serveurs de messagerie constituent des exemples de composants réseau qui résident normalement sur un réseau sécurisé.

  • Réseau délimité

    Les ordinateurs du réseau délimité disposent de certificats d’intégrité, mais n’ont pas besoin de l’authentification IPsec pour les tentatives de communications entrantes. Les ordinateurs qui se trouvent dans le réseau délimité doivent être accessibles aux ordinateurs de l’intégralité du réseau. Ces types d’ordinateurs correspondent aux serveurs requis pour évaluer et mettre à jour l’intégrité de client NAP ou fournir d’autres services de réseau aux ordinateurs du réseau délimité, tels que les serveurs HRA, les serveurs de mise à jour d’antivirus, les contrôleurs de domaine en lecture seule et les serveurs DNS. Puisque les ordinateurs qui se trouvent dans le réseau délimité n’ont pas besoin d’authentification ni de communication protégée, ils doivent être gérés avec attention pour empêcher leur utilisation dans le cadre d’une attaque d’ordinateurs sur le réseau sécurisé.

  • Réseau restreint

    Les ordinateurs du réseau restreint ne possèdent pas de certificats d’intégrité. Il s’agit d’ordinateurs qui n’ont pas subi de vérification d’intégrité, qui sont invités ou qui sont non conformes à NAP, tels que les ordinateurs qui exécutent des versions de Windows ne prenant pas NAP en charge, les ordinateurs Apple Macintosh ou les ordinateurs UNIX.

La figure suivante illustre un exemple de réseaux logiques IPsec.

Réseau IPsec

Références supplémentaires