Hello,
 
J'aimerais avoir un peu vos avis sur ces parties de sécurisation d'un domaine:
 
Que pensez vous de l'isolation d'un domaine via ipsec, en effet le fait d'associer une GPO au domaine autorisant uniquement le trafic Ipsec entre clients et serveurs permet d'isoler toute machine connectée au réseau mais qui n'est pas dans le domaine, en effet sans être dans le domaine elle n'aura pas la GPO d'appliquée donc ne saura pas comment communiquer.
 
Deuxièmement concernant le firewall de XP, l'utilisez vous sur un domaine? via GPO?
Je pense qu'il serait judicieux de bloquer toute communication inter-stations qui sont inutiles 99% du temps. Ca permettrait en cas d'attaque viral ou autre de limiter grandement la propagation etc...  
Qu'en pensez vous? comment faites vous? dans quel contexte?
 
Merci

Pour moi, il y a 2 questions
alors pour  
1) je trouve l'idee sympa, mais avec quoi veux-tu (peux-tu) le faire entre poste client et serveur?
 
2) chez moi, comme chez pas mal de potes d'ailleurs, je le desactive par GPO.
=> seul probleme, les nomades...
 
sujet, tres interessant   , ca me presse de lire la suite.

L'isolation ipsec c'est pas mal si tu as une PKI déjà en place bien rodée et que tu as potentiellement des personnes qui viennent sur ton réseau (style invités, partenaires etc.) Ca marche pas trop mal mais se sera plus souple avec Vista + Windows 2008. Sur technet il y a le petit témoignage sur comment ça a été mis en place chez MS directement.
 
Pour le firewall ça dépend vraiment de ce que tes utilisateurs font car être trop sécuritaire on perd en utilisation. Si tu es en environnement uniquement desktop ou que tu as un controle total de tes postes oui ça peut être une bonne idée mais dans tous les cas il ne faut pas se dire "j'ai mis le firewall donc niveau sécu je suis parré", le firewall ne vient que en complément d'une politique de sécurité et si celui-ci est désactivé le système d'information doit pouvoir marcher sans problème

lejohnn > pour les nomades il me semble qu'il y a une stratégie avec deux réglages du parefeux différents en fonction de l'ouverture de sessions sur le domaine ou non (valable sur xp sp2)

Deux petits dossiers sur ces sujets:
 
http://www.itpro.fr/article.asp?ma [...] id=2830#R1
http://www.itpro.fr/article.asp?ma [...] =2&id=2771
 
lejohnn, je comprends pas ta question?
 
Je@nb pourquoi une PKI forcément?
 
boisorbe, tout a fait, il y a deux profil possible dans le parefeu xp.

Juste que je ne sais pas le faire, donc je me demandais comment tu le fasais
 

Ca c'est une bonne news, je vais me pencher sur le sujet.
Merci !

une PKI n'est pas nécessaire puisque par défaut IPsec utilise Kerberos mais tu as une granularité plus fine avec les certificats
 

Qq liens su l'isolation ipsec (dsl en anglais)
 
http://www.microsoft.com/technet/i [...] solwp.mspx
http://www.microsoft.com/technet/n [...] fault.mspx
http://technet2.microsoft.com/wind [...] x?mfr=true
http://www.microsoft.com/technet/s [...] fault.mspx
 
Pour PKI j'avais oublié mais ça permet aussi de pouvoir faire sporadiquement de l'ipsec avec des machines non dans le domaine

Est il possible de faire de l'IPsec avec certificat sans cryptage?
 
Car l'interet est de ne pas trop perdre en perf en cryptant tout.

Oui, de tte façon le certificat ne sert que pour l'auth, pas pour le cryptage

Oui effectivement, question bête car j'ai bien déjà fait des VPN ipsec sans cryptage...
 
Sinon à par la théorie, certains ont déjà testé en prod? dans quel contexte?

Outre la communication entre clients et serveurs, est il possible de faire de l'IPSec uniquement entre les différents VLAN ?
Je vois pas trop comment .. c'est les routeurs qui devront gérer tout ça ?

Si tes routeurs sont capables de gerer du VPN tu pourrais faire de l'IPsec entre eux... sinon je vois pas.

Chez MS ils l'utilisent en prod je sais, pour le contexte lis le lien http://www.microsoft.com/technet/i [...] solwp.mspx
 
Je l'ai testé perso sur une plateforme de test avec 3 serveurs et 2 clients il y a qq temps déjà.

Si tu as la flemme de monter une plateforme de test tu peux faire ce virtualab http://go.microsoft.com/?linkid=4267504

 
Ok donc c'est pas possible de faire ca avec des switchs niveau 3 ?

Pour ce qui concerne IPsec et l'isolation de domaine, je suis en train de bosser sur un projet de déploiement sur un groupe assez conséquent.  
 
Le potentiel de la techno est intéressant. Mais les outils de monitoring et de config sont pourris et ca aide pas. Apparement, ils ont été amélioré et simplifié avec Vista et longhorn...  
 
J'ai lancé un petit pilote en prod avec une dizaine d'utilisateurs et on voit rapidement des complications apparaître. Mais bon on devrait quand même passer à un pilot étendu rapidement et voir le voir les possibilités de déploiement massif.  
 

Tu peux détailler les problèmes, remarques etc ?

problème lié à IPsec :  
1) l'algo de gestion du poids des règles est pourri. En fait pour détailler un peu le truc, c'est que plus tu as un filtre spécifique plus ta règle à de poids. Du coup, il faut jouer avec le champ "adresse source" des filtres pour avoir un bon poids pour les règles.  
 
Exemple, on a 2 filtres, un qui va sécurisér une adresse réseau et un filtre qui va autoriser toujours le ping.  
 
 
1er cas:  
_______________________________
Filter List: "IPSEC - ICMP, All Traffic"
Filter:    My <-> Any, ICMP, Mirrored
Description: "Allows ICMP traffic"
Filter Action: IPSEC-Permit
Authentication: Kerberos
 
Filter List: IPSEC – Organizational Subnets
Filter: My <-> internal subnets, all traffic, mirrored
Filter Action: "IPSEC – Full Require Mode (Ignore Inbound, Disallow Outbound)"
______________________________
Dans ce cas la 2ème règle est beaucoup plus spécifique et prendra toujours le pas sur la 1ère. Le ping sera toujours sécurité et la règle 1 ne sera jamais pris en compte.
 
 
 
2ème cas:  
_______________________________
Filter List: "IPSEC - ICMP, All Traffic"
Filter:    My <-> Any, ICMP, Mirrored
Description: "Allows ICMP traffic"
Filter Action: IPSEC-Permit
Authentication: Kerberos
 
Filter List: IPSEC – Organizational Subnets
Filter: Any <-> internal subnets, all traffic, mirrored
Filter Action: "IPSEC – Full Require Mode (Ignore Inbound, Disallow Outbound)"
______________________________  
Dans ce cas, avec la 2ème règle ayant en adresse source "Any", le 2ème filtre à un poids tout juste plus faible que la 1ère. Cette fois le ping va toujours etre exempt de la sécurité IP...  
 
 
 
En plus quand tu configures une règle tu ne peux pas (enfin j'ai pas trouvé comment) savoir le poids que va avoir ta règle (ou alors faut se référer au tableau que je vous ai balancé). Il faut appliquer la règle et aller dans l'outil de monitoring pour le voir... Pas top.
 
Voilà c'est pourri comme gestion de poids... Et en gros ca va de surprise en surprise pour un beaucoup d'options dans les policy et pas seulement le poids.  
 
Genre la "default response rules" qui pour moi a vraiment un comportement mystique...
 
Donc si vous ne voulez pas de surprises concernant le comportement du truc, il faut se calquer sur le modèle microsoft où la à priori ca marche pas mal. Enfin en test ca marche bien et la en prod sur le pilot, ca se comporte bizarement mais je pense que c'est moi qui a du faire une erreur dans les policy. Je bosse dessus en ce moment.  
 
2) Pas vraiment la faute à Microsoft mais le problème est la : on a un concentrateur VPN IPsec Cisco. Or sur les machines clientes, le soft Cisco désactive le service IPsec et on peut pas authentifier les machines en VPN. Bon sur le VPN c'est déja de l'authentification forte (juste sur le user c'est vrai...). Donc la solution facile a été de mettre le VLAN VPN en exception mais bon...  
 
3) Il faut gérer les listes d'exceptions DNS, DC, WINS, etc. Des choses qui peuvent bouger. Il faut donc bien prendre ca en compte dans les workflow.  
 
L'ingé support de Microsoft avec qui j'ai un peu bossé m'a dit qu'avec le SP2 et en changeant quelques paramètres de config est on plus obligé de maintenir cette liste (cf. simple policy update). Mais bon, on est pas encore sous SP2.  
 
4) les users qui à la maison ou en voyage, se connecte à un réseau ayant le même plan d'adressage qu'un des réseaux sécurisés dans les policy ont eu des problèmes. La solution se trouve dans Vista apparement avec une option en plus pour différencier le domain/le public/le privé. J'ai pas vista et longhorn j'ai pas pu tester.
 
5) le troubleshooting est pas évident. Il faut vraiment former les pilotes/admin.
 
Voilà mon retour à chaud des problèmes. Après la techno a du potentiel mais elle est peut etre pas encore assez mature chez MS, je sais pas.

Ok merci c'est sympa
 
J'ai vu des évolutions avec Vista et Win 2008, si j'ai le temps je regarderai ça.

NP.
 
Si tu peux tester, je serai intéressé par ton retour

Après des tests chez MS, ma config à l'air de fonctionner chez eux. Ce n'est donc pas une erreur de config.  
 
La première piste que l'on pense être à l'origine du problème, c'est peut etre un problème de compatibilité des cartes réseaux Broadcom des blades...

Hello,
 
Un petit up car je me penche à nouveau un peu sur la partie.
 
Concernant le firewall d'XP, je pensais l'activer et sur les serveurs permettre à ipsec de passer outre. Ca permet de vérouiller les serveurs et à partir du moment ou le traffic provient d'une machine du domaine connue, il n'est pas filtré.
 
Bref, des news là dessus?