Une action de filtrage définit les exigences en matière de sécurité qu’implique la transmission des données. Vous pouvez définir les actions de filtrage lorsque vous créez une stratégie ou avant sa création. Des listes de filtres sont disponibles pour toutes les stratégies. Pour définir une liste de filtres, cliquez avec le bouton droit sur le nœud Stratégie de sécurité IP et sélectionnez Gérer les listes de filtres IP et les actions de filtrage.
Une action de filtrage peut être configurée pour remplir les fonctions suivantes :
Autoriser le trafic
IPsec transmet le trafic à destination et en provenance du pilote TCP/IP sans modification ni exigence de sécurité. Cette option convient au trafic provenant de certains ordinateurs qui ne prennent pas en charge IPsec. Veillez à limiter la liste de filtres IP à une étendue minimale lorsque vous utilisez ce type d’action de filtrage, de façon à ne pas autoriser le trafic qui doit être sécurisé.
Envisagez d’autoriser le trafic ICMP pour la résolution de problèmes. Il peut s’avérer nécessaire d’autoriser l’accès d’un ordinateur qui ne fait pas partie de votre domaine (par exemple, l’ordinateur d’un consultant) à un ordinateur du domaine. Pour autoriser cet accès, vous pouvez utiliser l’action de filtrage Autoriser.
 | Important |
Cette action de filtrage autorise l’accès sans authentification, ni intégrité ou chiffrement de données. Quiconque utilise un ordinateur avec l’adresse IP spécifiée dans la liste des filtres se voit accorder l’accès. Tout le trafic entre les ordinateurs s’effectue en texte clair ; aucune vérification d’intégrité n’est effectuée. |
Bloquer le trafic
IPsec rejette automatiquement le trafic bloqué. Lorsque vous utilisez une action de filtrage de blocage, veillez à faire appel à la liste de filtres IP qui définit l’étendue d’adresses IP appropriée. L’utilisation d’étendues plus vastes augmente les possibilités de blocage du trafic entre des ordinateurs valides.
Négocier la sécurité
Si vous activez l’option Accepter les communications non sécurisées mais toujours répondre en utilisant IPsec, le service IPsec tente de négocier des associations de sécurité ainsi que l’envoi et la réception du trafic IPsec qu’il protège. Toutefois, si l’homologue ne peut pas utiliser IPsec, la communication est autorisée sans protection IPsec. Si vous sélectionnez cette action de filtrage, vous pouvez également configurer les éléments suivants :
- Les méthodes de sécurité et leur ordre. Cette liste de méthodes définit l’ordre dans lequel les méthodes seront tentées. Dès qu’une méthode aboutit, aucune tentative n’est effectuée avec les autres méthodes. Généralement, l’ordre de la liste doit être défini de la sécurité la plus élevée à la plus faible, de façon à utiliser les méthodes les plus sécurisées en premier.
- Acceptation du trafic entrant initial non sécurisé (Accepter les communications non sécurisées mais toujours répondre en utilisant IPsec). IPsec permet qu’un paquet entrant correspondant à la liste de filtres configurée ne soit pas sécurisé (non protégé par IPsec). Cependant, la réponse sortante au paquet entrant doit, quant à elle, être protégée. Cette option est utile si vous utilisez la règle de réponse par défaut pour des clients. Si un groupe de serveurs est configuré pour utiliser une règle qui sécurise les communications avec n’importe quelle adresse IP et qui accepte des communications non sécurisées en ne répondant toutefois que par des communications sécurisées, l’activation de la règle de réponse par défaut sur des ordinateurs clients garantit que ces derniers répondront à la demande de négociation de la sécurité émise par le serveur. Pour éviter les attaques de déni de service, cette option doit être désactivée pour les ordinateurs sécurisés connectés à Internet.
- Autorisation de la communication avec des ordinateurs sur lesquels IPsec n’est pas activé (Permettre une communication non sécurisée si une connexion non sécurisée ne peut pas être établie) Si nécessaire, IPsec repasse en mode de communication non sécurisé. Il est probable, à nouveau, que vous deviez limiter la liste de filtres IP à une étendue minimale. Sinon, en cas d’échec de la négociation pour quelque raison que ce soit, il se peut des données soient envoyées sans être sécurisées et ce, pour toutes les communications auxquelles s’applique la règle contenant cette action de filtrage. Envisagez de désactiver cette option si la communication non sécurisée constitue un problème à vos yeux. Sachez toutefois que cela risquer de bloquer la communication avec des ordinateurs qui ne peuvent pas lancer IPsec, comme des systèmes d’ancienne génération. Pour éviter les attaques de déni de service, cette option doit être désactivée pour les ordinateurs sécurisés connectés à Internet.
- Génération de clés de session du mode rapide à partir d’un nouveau support de gestion des clés du mode principal (PFS (Perfect Forward Secrecy) de clé de session) L’activation du mode PFS de la clé de session garantit que le support de gestion des clés principales du mode principal ne peut pas être employé pour générer plus d’une clé de session du mode rapide. Ainsi, lorsque l’option PFS du mode rapide est activée, un nouvel échange de clé Diffie-Hellman est réalisé afin de produire un nouveau support de gestion des clés principales du mode principal avant que la nouvelle clé du mode rapide ne soit générée. Le mode PFS de la clé de session (mode rapide) ne nécessite pas la réauthentification du mode principal et consomme moins de ressources que le mode PFS de la clé principale (mode principal).
Méthodes de sécurité IPsec
Chaque méthode de sécurité définit les exigences en matière de sécurité de toute communication à laquelle s’applique la règle associée. En créant plusieurs méthodes d’authentification, vous augmentez les chances de trouver une méthode commune à deux ordinateurs. Le composant IKE (Internet Key Exchange) lit la liste des méthodes de sécurité par ordre décroissant et envoie la liste des méthodes de sécurité autorisées à l’autre homologue. La première méthode commune aux deux ordinateurs est choisie. En règle générale, les méthodes les plus sécurisées figurent au début de la liste et les moins sécurisées en fin de liste.
Méthodes de sécurité prédéfinies
Les méthodes de sécurité suivantes sont prédéfinies :
Chiffrement et intégrité
Utilise le protocole ESP pour assurer la confidentialité (le chiffrement) des données au moyen de l’algorithme 3DES (Triple Data Encryption Standard), pour garantir l’intégrité et l’authentification des données à l’aide de l’algorithme d’intégrité SHA1 (Secure Hash Algorithm 1) et pour conserver la durée de vie par défaut des clés, à savoir 100 Mégaoctets (Mo)/1 heure. Si vous devez absolument protéger les données et l’adressage (en-tête IP), vous pouvez créer une méthode de sécurité personnalisée. Si vous n’avez pas besoin de chiffrement, utilisez la méthode de sécurité Intégrité uniquement.
Intégrité uniquement
Utilise le protocole ESP pour assurer l’intégrité et l’authentification des données au moyen de l’algorithme d’intégrité SHA1 et conserver la durée de vie par défaut des clés (100 Mo, 1 heure). Dans cette configuration, ESP ne garantit pas la confidentialité (le chiffrement) des données.
Méthodes de sécurité personnalisées
Si les paramètres des méthodes prédéfinies Chiffrement et intégrité ou Intégrité uniquement ne répondent pas à vos besoins en termes de sécurité, vous pouvez définir des méthodes de sécurité personnalisées. Par exemple, vous pouvez recourir à des méthodes personnalisées si le chiffrement, l’intégrité des adresses, des algorithmes plus puissants ou des durées de vie de clés particulières sont requis. La définition d’une méthode de sécurité personnalisée vous permet de configurer les éléments suivants :
Protocoles de sécurité
Lors de la création d’une méthode de sécurité personnalisée, les protocoles AH (Intégrité des adresses et des données sans chiffrement) et ESP (intégrité des données et chiffrement) peuvent être activés si le chiffrement des données et l’intégrité de l’en-tête IP sont requis. Si vous choisissez d’activer les deux, vous ne devez pas spécifier d’algorithme d’intégrité pour ESP.
 | Remarques |
Le protocole AH ne peut pas être utilisé sur des périphériques traducteurs d’adresses réseau car il fait appel au hachage de l’en-tête. En effet, ces périphériques modifient l’en-tête de sorte que le paquet ne s’authentifie pas correctement. |
Algorithme d’intégrité
MD5 (Message Digest 5), qui génère une clé de 128 bits. Cet algorithme n’étant plus considéré comme étant sécurisé doit être utilisé uniquement à des fins d’interopérabilité.
SHA1, qui génère une clé 160 bits. SHA1 assure un hachage plus puissant que MD5 et est conforme à la norme FIPS (Federal Information Processing Standard).
Algorithme de chiffrement
L’algorithme 3DES est le plus fiable parmi les combinaisons DES, mais est un peu plus lent. Il traite chaque bloc trois fois, à l’aide d’une clé unique de 56 bits.
L’algorithme DES fait appel à une seule clé 56 bits et s’utilise lorsque le niveau le plus élevé de sécurité et le temps système généré par 3DES ne sont pas obligatoires. Cet algorithme n’étant plus considéré comme étant sécurisé doit être utilisé uniquement à des fins d’interopérabilité.
Les paramètres de la clé de session (mode rapide) déterminent, non pas le mode, mais le moment de la génération d’une nouvelle clé. Une durée de vie peut être exprimée en kilo-octets (Ko), en secondes ou les deux. Par exemple, si la communication dure 10 000 secondes et que vous définissez une durée de vie des clés de 1000 secondes, 10 clés seront générées pour achever le transfert. Cela garantit que, même si un intrus parvient à déterminer une clé de session et à déchiffrer une partie de la communication, il ne lui sera pas possible de déchiffrer la totalité de la communication. Par défaut, de nouvelles clés du mode rapide sont générées chaque fois que 100 Mo de données sont transmis, sinon cette génération de clés se produit toutes les heures. À chaque fois que la durée de vie d’une clé parvient à échéance, non seulement la clé est actualisée ou régénérée, mais l’association de sécurité est également renégociée.
 | Pour créer une action de filtrage à l’aide de la boîte de dialogue Propriétés de la nouvelle règle |
Sous l’onglet Règles de la boîte de dialogue Propriétés de la stratégie de sécurité IP, désactivez la case à cocher Utiliser l’Assistant Ajout si vous voulez créer l’action de filtrage dans la boîte de dialogue des propriétés. Pour utiliser l’Assistant, laissez la case à cocher activée. Cliquez sur Ajouter. Les instructions suivantes s’appliquent à la création d’une liste de filtres à l’aide de la boîte de dialogue.
Sous l’onglet Action de filtrage de la boîte de dialogue Propriétés de la règle, désactivez la case à cocher Utiliser l’Assistant Ajout et cliquez sur Ajouter.
Sous l’onglet Méthodes de sécurité, sélectionnez la méthode (action) que la règle utilisera.
(Facultatif) Sous l’onglet Description, tapez une description de l’action de filtrage. Cette description peut vous aider à faire le tri dans les actions de filtrage et vous permet d’identifier rapidement une action de filtrage sans avoir à ouvrir ses propriétés.
Cliquez sur OK.
Recommencez les étapes 4 à 8 pour ajouter des actions de filtrage à la liste.
Remarques Bien que la règle puisse répertorier plusieurs actions de filtrage, vous ne pouvez utiliser qu’une seule action de filtrage par règle.
Sous l’onglet Action de filtrage, sélectionnez l’action de filtrage adaptée à la règle et cliquez sur OK.
| Pour créer une action de filtrage à l’aide de la boîte de dialogue Gérer les listes de filtres IP et les actions de filtrage |
Cliquez avec le bouton droit sur le nœud Stratégie de sécurité IP et sélectionnez Gérer les listes de filtres IP et les actions de filtrage.
Sous l’onglet Gérer les actions de filtrage, désactivez la case à cocher Utiliser l’Assistant Ajout si vous voulez créer l’action de filtrage à l’aide de la boîte de dialogue de propriétés. Pour utiliser l’Assistant, laissez la case à cocher activée. Cliquez sur Ajouter. Les instructions suivantes s’appliquent à la création d’une liste de filtres à l’aide de la boîte de dialogue. Elles ne font pas appel à l’Assistant.
Sous l’onglet Méthodes de sécurité, sélectionnez la méthode souhaitée, puis cliquez sur OK.
Si vous avez sélectionné l’option Négocier la sécurité, vous pouvez ajouter plusieurs méthodes et spécifier l’ordre dans lequel elles seront tentées. Pour ce faire, cliquez sur Ajouter.
(Facultatif) Sous l’onglet Description, tapez une description du filtre. Cette description peut vous aider à faire le tri dans les filtres et vous permet d’identifier rapidement un filtre sans avoir à ouvrir ses propriétés.
Cliquez sur OK.
Recommencez les étapes 4 à 8 pour ajouter des actions de filtrage à la liste.