Implémentation IPsec dans Configuration Manager 2007

  • Article

S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Dernière mise à jour de la rubrique—Mars 2008

Microsoft System Center Configuration Manager 2007 offre une base solide pour gérer de manière sécurisée les communications entre les clients et le serveur sur l'intranet et sur Internet. Gardez toutefois à l'esprit qu'il existe un grand nombre de méthodes permettant aux utilisateurs malveillants de pénétrer dans votre réseau. L'utilisation d'IPsec permet de limiter bon nombre d'attaques, de types divers. Configuration Manager 2007 fonctionne dans un environnement IPsec, qu'il est recommandé d'utiliser en cas de risques d’interception, de prise de contrôle ou de falsification de vos communications réseau.

IPsec vous permet de maintenir un niveau de contrôle élevé pour la sécurité de vos communications. Toutefois, pour assurer une configuration, une gestion et un dépannage efficaces des stratégies IPsec, vous devez posséder une connaissance approfondie des réseaux IP, maîtriser l'administration des pare-feu et le filtrage des routeurs, et posséder un savoir-faire des outils réseau. Ce document est destiné aux personnes dotées d'une connaissance pratique de la conception générale et de la mise en oeuvre des environnements IPsec.

Pour plus d'informations sur l'isolation des serveurs et des domaines via IPsec et la stratégie de groupe, visitez la page https://go.microsoft.com/fwlink/?LinkId=93073 sur le site Web du Centre de téléchargement Microsoft. Vous pouvez également accéder à une étude de cas dans un déploiement IPsec, ainsi qu'à des leçons du livre blanc technique, sur la page https://go.microsoft.com/fwlink/?LinkId=93074.

Interaction entre IPsec et l'infrastructure de prise en charge

Configuration Manager 2007 requiert l'utilisation d'un grand nombre de services standard fourni par les systèmes d'exploitation Windows. Ces services concernent la résolution de nom, DHCP, RRAS, les services de clichés instantanés de volume VSS (Volume Shadow Services), ainsi que d'autres services de base requis pour assurer le fonctionnement dans un environnement réseau sécurisé. Il est important de définir et d'utiliser correctement ces services dans l'environnement de Configuration Manager lors de la définition de vos stratégies IPsec.

Chemins de communication

Configuration Manager propose trois principaux chemins de communication pour la protection via la structure IPsec.

  • Communication entre sites

  • Communication système entre sites

  • Communication système entre les clients et les sites

Communication entre sites

La communication entre sites (de site à site) est concernée dans deux scénarios :

  • Réplication des données entre sites

  • Installation poussée du site secondaire

La réplication des données entre sites intervient lors de l'échange de données entre des sites qui sont configurés dans une hiérarchie comme sites parent/enfant. Les messages d'état des composants, les données d'inventaire et les messages d'état des processus transitent en amont, du site enfant vers le site parent. Les packages de distribution de logiciels, les mises à jour logicielles, les stratégies d'accès réseau, les images de déploiement de système d'exploitation, les séquences de tâches et les affectations des lignes de base de configuration transitent en aval, du site parent vers le site enfant. Bien que ces communications soient signées par Configuration Manager 2007, elles ne sont chiffrées que si vous activez IPsec.

Si vous installez un site secondaire depuis la console Configuration Manager 2007 du site principal parent, les fichiers ne seront chiffrés que si vous activez IPsec. La configuration d'IPsec entre un site principal et un site secondaire en cours d'installation permet de sécuriser le processus d'amorçage initial de la communication. Elle concerne également les données de configuration transmises du site principal au site secondaire.

Communication entre le serveur de site et le système de site

La communication système entre sites englobe trois fonctions essentielles :

  • Mise à disposition initiale du rôle de système de site

  • Configuration des services

  • Transfert des données de configuration, des états et des opérations

La mise à disposition initiale des services de systèmes de site s'exécute via les appels de procédure distante (RPC, Remote Procedure Calls ), et les transferts de données s'exécutent via les blocs de message serveur (SMB, Server Message Block). Bien que la signature de stratégie en mode natif s'effectue via le certificat de signature du serveur de site, ce qui réduit le risque d'attaques du serveur de site dans la communication du système de site, ces communications ne sont sécurisées ni en mode mixte, ni en mode natif. Vous devez activer la sécurité IPsec pour protéger le serveur de site dans les communications de système de site, particulièrement si vos systèmes de site sont placés dans une limite de sécurité, par exemple entre des forêts Active Directory, ou entre un réseau de périmètre et votre intranet.

IPsec assure une protection contre les attaques dans les cas où un système de site non autorisé tente d'usurper un système de site valide et utilise la connexion approuvée pour prendre le contrôle du serveur de site ou de la base de données du système de site.

Communication système entre les clients et les sites

Si votre site Configuration Manager 2007 fonctionne en mode natif, Configuration Manager 2007 utilise les services IIS (Internet Information Services) pour établir une connexion sécurisée via SSL entre le client et les systèmes de site, notamment le point de gestion, mais les autres communications, telles que les connexions vers le point d'état de secours, ne sont pas chiffrées. Si votre site fonctionne en mode mixte, seules quelques communications seront chiffrées. L'utilisation d'IPsec constitue le seul moyen de s'assurer que toutes les communications entre les clients et les systèmes de site sont signées et chiffrées dans tous les modes.

Pour plus d'informations sur l'utilisation des protocoles HTTP et HTTPS en mode mixte et en mode natif, consultez Communication des clients en mode mixte et en mode natif.

Notes

Ne configurez pas de stratégies IPSec pour la communication AMT entre le serveur de système de site de point de service hors bande et les ordinateurs gérés hors bande.

Configuration de la stratégie IPsec

Il est recommandé de créer une stratégie IPsec requérant ESP/3DES entre les points d'arrêt spécifiés (serveurs de site, systèmes de site, clients). Le chiffrement en couche paquet ajoute la charge du processeur à ces systèmes. Par conséquent, il est également recommandé de vérifier les tests de performances de la configuration avant de procéder au déploiement. Limitez l'accès aux systèmes de site spécifiés en limitant le nombre d'ordinateurs pouvant être authentifiés par le protocole IKE (Internet Key Exchange) d'IPsec dans la stratégie IPsec de Configuration Manager. Vous pouvez également limiter l'accès aux systèmes en utilisant l'authentification par certificat, via une Autorité de certification, dont l'émission de certificats sera limitée à l'utilisation d'IPsec dans Configuration Manager.

Utilisez les informations de port fournies dans la rubrique Ports utilisés par Configuration Manager pour dresser des cartes de trafic réseau, selon la configuration du rôle serveur de chaque ordinateur installé sur votre site. Les rôles clients seront également présentés si vous utilisez la sécurité IPsec pour chiffrer les communications entre les clients et les systèmes de site, ou si vous exécutez un client Configuration Manager 2007 sur les systèmes de site et que vous devez autoriser le trafic nécessaire.

Notes

Une mise à niveau vers Windows Server 2003 et une autre, vers Windows XP, sont disponibles pour vous aider à simplifier les tâches de création et de maintenance des filtres IPsec. Pour plus d’informations, visitez la page Web https://go.microsoft.com/fwlink/?LinkId=93076.

Configuration d'IPsec sur les contrôleurs de domaine

La configuration d'IPsec sur les contrôleurs de domaine est également sujette à quelques remarques. En effet, cette configuration peut influer sur les stratégies IPsec dans Configuration Manager 2007, si vos rôles de site sont hébergés sur des contrôleurs de domaine. Pour plus d'informations sur la configuration d'IPsec entre des serveurs membres Windows Server 2003 et des contrôleurs de domaine Windows Server 2003, visitez la page Web https://go.microsoft.com/fwlink/?LinkId=93078.

Serveurs de site avec des composants client installés

Dans des configurations où les systèmes de site sont configurés pour IPsec et où l'agent du client Configuration Manager 2007 est également installé et configuré pour le mode natif, vous pouvez modifier le filtre de manière à autoriser le trafic HTTP et HTTPS pour les communications Configuration Manager 2007, et le trafic ICMP pour les diagnostics. La meilleure mise en oeuvre de cette configuration consiste à utiliser une stratégie de groupe contenant la stratégie IPsec.

Diagramme du réseau d'un déploiement courant pour les serveurs Internet

Ce scénario représente un site Configuration Manager 2007 qui ne prend pas en charge les clients intranet et s'étend au réseau de périmètre et à l'intranet. Tous les systèmes de site Internet se trouvent sur le réseau de périmètre et acceptent les connexions des clients qui se connectent sur Internet. Le serveur de site et le serveur de la base de données du site sont situés sur l'intranet. Le point de gestion qui prend en charge le client Internet communique avec un réplica de la base de données du site dans le réseau de périmètre.

Diagramme Internet : Scénario 1b

Ce scénario présente une configuration standard d'isolation du serveur. Dans cette configuration, la connexion entre le serveur de site et le système de site, ainsi que la connexion entre la base de données du site et le point de gestion, doivent être configurées avec les filtres de sous-réseau IPsec. Si vous utilisez les filtres de sous-réseau et que vous n'avez pas besoin de prendre en charge des sessions entrantes non chiffrées avec IPsec, vous pouvez utiliser une conception de stratégie « Tout<-> sous-réseau ». Vous pouvez utiliser Kerberos ou une autre authentification d'ordinateur par certificat. L'authentification d'ordinateur par certificat est recommandée, mais le déploiement des certificats requiert une charge administrative supplémentaire et n'est pas géré par Configuration Manager 2007. Les pare-feu entre les sites et les systèmes de site doivent être configurés pour autoriser le trafic ISAKMP (Port UDP 500) et le port UDP 4500, si vous utilisez une traversée NAT via le pare-feu.

La stratégie IPsec recommandée pour cette configuration est la suivante :

  • Liste de filtres IP :

    • Adresse source <toute adresse IP>

    • Adresse de destination <votre sous-réseau>

  • Action du filtre : - défini à Ne pas autoriser les communications non sécurisées

  • Méthodes d'authentification : défini à Utiliser un certificat émis par cette Autorité de certification

D'autres paramètres de la stratégie doivent être définis en fonction des normes de votre entreprise.

Voir aussi

Concepts

Meilleures pratiques pour la sécurisation des communications

Autres ressources

Référence technique pour la sécurité de Configuration Manager

Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.