Vous êtes sur le site public du Cert-IST
Filtres IPSec pour Windows 2000 et Windows XP

Date :23 Juin 2005

Publication: Article

Introduction

Un nombre conséquent de vulnérabilités et d'attaques récentes viennent du fait que, lors de leur installation, les systèmes d'exploitation (et en particulier les systèmes Microsoft Windows) laissent ouverts par défaut un certain nombre de services dangereux. Cependant, ces systèmes offrent des gardes-barrières "locaux" ("host-based") permettant de restreindre l'accès à distance à ces services.

Par exemple, sous Windows 2000 et Windows XP, Microsoft permet d'implémenter une politique IPSec ("IPSec policy") via les outils "ipseccmd.exe" sous Windows XP et "ipsecpol.exe" sous Windows 2000.

Il ne s'agit pas de créer des tunnels chiffrés IPSec entre deux entités, mais de réaliser du filtrage sur l'ensemble du trafic en spécifiant les protocoles autorisés/interdits sur une interface réseau donnée. En l'occurrence, l'outil "ipsecpol.exe" sous Windows 2000 est plus flexible que le filtrage TPC/IP proposé dans les options de configuration.

Installation

  • Sous Windows XP : installer l'outil "ipseccmd.exe" (outil en ligne de commande), à partir du CD d'installation de Windows XP.
  • Sous Windows 2000 : installer l'outil "ipsecpol.exe" (outil en ligne de commande), à partir du site Web Microsoft (voir l'URL donnée dans la section Références).

Nota :

  • Le service "IPsec policy" doit être démarré ("running") sur le système.
  • Les privilèges administrateur sont nécessaires pour pouvoir installer des politiques IPSec.

Configuration

"Ipseccmd" sous Windows XP et "Ipsecpol" sous Windows 2000 sont disponibles en mode dynamique (mode par défaut permettant de créer des règles anonymes) ou en mode statique (pour créer des règles et leur associer un nom ou modifier des règles existantes).

Ils sont également accessibles à partir de la MMC (Microsoft Management Console). La MMC fournit en effet un certain nombre d'outils administratifs sous la forme de "snap-in". Dans notre cas, pour définir une politique IPSec, il faut ajouter le "snap-in" : "IP Security Policy Management".

Exemple

L'exemple ci-dessous utilise l'outil "ipsecmcd" en mode statique pour bloquer le trafic FTP (port 21) :

ipseccmd -w REG -p "Politique_IPSec" -r "Block TCP/21" -f *+0:21:TCP -n BLOCK

  • l'option -p permet de donner le nom "Politique_IPSec" à la politique
  • l'option "-w REG" indique que la règle sera configurée dans la base de registre sur système
  • l'option -r permet de donner le nom "Block TCP/21" à la règle
  • l'option -f indique le trafic à filtrer : "*+0" désigne l'adresse locale plus n'importe quelle adresse, "21" désigne le numéro de port, "TCP" désigne le protocole
  • l'option -n indique la règle appliquée à ce trafic

Conclusion

L'implémentation IPSec de Microsoft, bien qu'offrant des fonctionnalités de filtrage moindres par rapport aux gardes-barrières traditionnels, permet tout de même d'améliorer la protection d'une machine, en réalisant du filtrage de paquets pour empêcher l'accès distant aux services dits dangereux.

Pour plus d'informations