Configuration des communications IP sécurisées
Traduction de la notice originale
A propos de nous
Introduction à IPsec
L'IETF (Internet Engineering Task Force) a conçu et développé un ensemble ouvert de protocoles IPsec (Internet Protocol Security) qui privatisent et sécurisent les sessions de communication IP. La fonction IPsec du module BMENOC0321 prend en charge la vérification de l'intégrité des données et l'authentification de l'origine des paquets IP.
pour créer une configuration IPsec sur un PC Windows 7, procédez comme suit. Pour plus d'informations sur IPsec, consultez le site web de l'IETF à l'adresse www.IETF.org.
Les communications à l'initiative du client ne sont pas prises en charge à partir du module de communication Ethernet du BMENOC0321 lorsque IPsec est activé. Par exemple, les communications poste à poste (BMENOC0321 à BMENOC0321) ne sont pas prises en charge lorsqu'IPsec est activé.
NOTE :
  • Vous ne pouvez pas activer simultanément le protocole IPsec et le service de transfert IP. (Il est impossible de générer un projet Control Expert si ces deux fonctionnalités sont activées. Reportez-vous au tableau des différents services et protocoles.)
  • Exécutez IPsec avec Unity Pro 11.1 et le DTM 3.6.x (ou version ultérieure).
Présentation du processus
Configurez les communications IPsec comme suit :
Etape
Nom
Description
1
Stratégie
Créez une stratégie IPsec.
2
Règle
Point de sortie du tunnel : aucun tunnel (mode de transport)
Type de connexion : connexions réseau ou connexion au réseau local
Liste de filtres IP:
  • Filtre IP 1 :
    • Adresse : adresse IP du premier module BMENOC0321.
    • Protocole : quelconque
    • Description : module 1 BMENOC0321
  • Filtre IP 2 :
    • Adresse : adresse IP du second module BMENOC0321.
    • Protocole : Tout
    • Description : module 2 BMENOC0321
NOTE : répétez ces étapes pour chaque module BMENOC0321 de votre configuration.
Actions de filtrage IP :
  • Action : bloquer, autoriser, négocier
  • Méthode : SHA-1 (aucun chiffrement)
  • Expiration de la clé : 86 400
Méthode d'authentification : clé pré-partagée
3
Propriétés générales
Nom et description de la stratégie de sécurité
Timeout de modification de la stratégie
Paramètres d'échange de clé :
  • PFS
  • Timeout d'authentification (2 879 min.)
  • Méthodes de sécurité IKE (Internet Key Exchange)
    • Chiffrement de l'échange de clé : 3DES
    • Intégrité : SHA1
    • Groupe Diffie-Hellman : 1024 - moyen (2)
4
Activation/désactivation
Activez ou désactivez la stratégie IPsec.
5
DTM
Configurez la clé pré-partagée dans le DTM Control Expert.
Avant de commencer
Configurez manuellement IPsec pour chaque PC prenant en charge IPsec :
Stratégie de sécurité IP
Créez une stratégie IPsec pour définir les règles des communications sécurisées dans le protocole IPsec :
Etape
Action
1
Sur un PC sous Windows 7, ouvrez Outils d'administration dans le Panneau de configuration.
NOTE : Consultez la documentation de Windows 7 pour accéder à Outils d'administration.
2
Double-cliquez sur Stratégie de sécurité locale pour ouvrir la fenêtre Stratégie de sécurité locale.
3
Dans le volet gauche, développez Paramètres de sécurité et double-cliquez sur Stratégies de sécurité IP sur Ordinateur local.
4
Dans le volet droit, cliquez sur le bouton droit de la souris et faites défiler la liste jusqu'à Créer une stratégie de sécurité IP… pour ouvrir l'Assistant Nouvelle stratégie.
5
Dans l'Assistant Stratégie de sécurité IP , cliquez sur le bouton Suivant : a. Attribuez un nom à la nouvelle Stratégie de sécurité dans le champ Nom. b Décrivez la nouvelle stratégie dans le champ Description. (Cette étape est facultative.)
6
Cliquez sur le bouton Suivant pour accéder à la fenêtre Requêtes pour une communication sécurisée.
7
Désélectionnez la case Activer la règle… et cliquez sur Suivant pour ouvrir la fenêtre Fin de l'Assistant Stratégie de sécurité IP.
8
Désélectionnez la case Modifier les propriétés et cliquez sur Terminer.
NOTE : la nouvelle stratégie de sécurité s'affiche dans le volet droit de la fenêtre Stratégies de sécurité IP sur Ordinateur local. À tout moment, vous pouvez double-cliquer sur la stratégie de sécurité pour accéder à la fenêtre Propriétés.
Règle de sécurité IP
Configurez une règle IPsec pour activer une configuration IPsec et surveiller le trafic entre la couche applicative et la couche du réseau :
Etape
Action
1
Sous Windows 7, double-cliquez sur la stratégie pour ouvrir la fenêtre Propriétés.
2
Cliquez sur l'onglet Règles.
3
Cliquez sur Ajouter… pour ouvrir l'Assistant Création d'une règle de sécurité IP.
4
Cliquez sur Suivant pour configurer le point de sortie du tunnel.
5
Sélectionnez Cette règle ne spécifie aucun tunnel pour utiliser le mode Transport dans le protocole IPsec.
6
Cliquez sur Suivant pour configurer le type de réseau.
7
Sélectionnez la case d'option Toutes les connexions réseau pour appliquer la stratégie aux connexions locales et distantes.
8
Cliquez sur Suivant pour accéder à la configuration Liste de filtres IP.
NOTE : la Liste de filtres IP identifie le trafic traité par la règle IPsec.
Liste de filtres IP
IPsec utilise les filtres de paquets pour évaluer les paquets de communication en fonction de leurs connexions à différents services. Les filtres de paquets sont situés entre les points de sortie d'une connexion pair à pair pour vérifier que les paquets respectent les règles d'administration établies pour les communications.
Chaque filtre IP d'une liste de filtres IP a l'adresse IP de la même source des paquets de communication. Les adresses IP des destinations des paquets de communication (modules BMENOC0321) sont différentes.
Créez une liste de filtres contenant les adresses IP des modules BMENOC0321 capables de communiquer avec la source (PC) :
Etape
Action
1
Sous Windows 7, dans le tableau Liste de filtres IP de l'Assistant Règle de sécurité, cliquez sur Ajouter pour créer une Liste de filtres IP : a. Attribuez un nom à la nouvelle Liste de filtres dans le champ Nom. b. Décrivez la nouvelle Liste de filtres dans le champ Description. (Cette étape est facultative.)
2
Cliquez sur Ajouter pour ouvrir l'Assistant Filtre d'adresses IP et cliquez sur Suivant.
3
Indiquez une description facultative du nouveau Filtre d'adresses IP dans le champ Description.
4
Cochez la case En miroir pour communiquer dans les deux directions (source et destination).
5
Cliquez sur Suivant pour configurer la source du trafic IP.
6
Faites défiler la liste jusqu'à Mon adresse IP pour désigner le PC à un point de sortie des communications sécurisées.
7
Cliquez sur Suivant pour configurer la destination du trafic IP.
8
Faites défiler la liste jusqu'à une adresse IP ou un sous-réseau spécifique, puis saisissez l'adresse IP d'un module BMENOC0321 dans votre configuration. (Le module BMENOC0321 est la seule destination de ce trafic.)
9
Cliquez sur Suivant pour configurer le type de protocole IP, puis sélectionnez Tout pour autoriser le trafic provenant de l'adresse IP sécurisée.
10
Cliquez sur Suivant pour afficher la fenêtre Fin de l'Assistant Filtre d'adresses IP.
11
Désélectionnez la case Modifier les propriétés et cliquez sur Terminer pour revenir à la liste de filtres IP.
12
Cliquez sur OK pour fermer la Liste de filtres IP.
Actions de filtrage IP
Configurez les actions de filtrage :
Etape
Action
1
Sous Windows 7, dans la colonne Nom de la Liste de filtres IP, sélectionnez la case d'option de la liste de filtres IP créée, puis cliquez sur Suivant pour configurer l'action de filtrage.
2
Cochez la case Utiliser l'Assistant Ajout.
3
Cliquez sur Ajouter pour ouvrir l'Assistant Action de filtrage.
4
Cliquez sur Suivant pour configurer le Nom d'action de filtrage: a. Saisissez le nom de l'Action de filtrage dans le champ Nom. b. Décrivez le nouveau Nom d'action de filtrage dans le champ Description et cliquez sur Suivant. (Cette étape est facultative.)
5
Sélectionnez Négocier la sécurité et cliquez sur Suivant.
NOTE : les adresses source et cible conviennent d'une méthode de communication sécurisée avant l'envoi des paquets.
6
Sélectionnez Ne pas autoriser les communications non sécurisées et cliquez sur Suivant.
7
Sélectionnez Personnalisé dans la fenêtre Sécurité du trafic IP et cliquez sur Paramètres pour personnaliser les paramètres : a. Sélectionnez Intégrité des adresses et des données sans cryptage (AH) puis SHA1 dans le menu déroulant pour utiliser l'algorithme Secure Hash Algorithm 1. b. Désélectionnez Intégrité des données avec cryptage pour désactiver le protocole ESP (Encapsulating Security Payload). c. Cochez la case Générer une nouvelle clé toutes les et saisissez 86400 dans le champ secondes pour spécifier que la clé IKE expire dans 86 400 secondes. d. Cliquez sur OK pour revenir à la configuration Sécurité du trafic IP.
8
Cliquez sur Suivant.
9
Cochez la case Modifier les propriétés et cliquez sur Terminer.
10
Ne cochez pas la case Utiliser la session de clé principale PFS (Perfect Forward Secrecy).
11
Cliquez sur OK.
Méthode d'authentification
Les équipements source et cible peuvent convenir d'utiliser une chaîne de caractères secrète avant le début de la communication. Dans ce cas, cette chaîne est appelée clé pré-partagée.
Configurez la méthode d'authentification pour utiliser une clé pré-partagée :
Etape
Action
1
Sous Windows 7, dans la colonne Nom de Actions de filtrage, sélectionnez la case d'option de la liste de filtres IP créée, puis cliquez sur Suivant pour configurer la méthode d'authentification.
2
Cochez la case Utiliser cette chaîne pour protéger l'échange de clés (clé pré-partagée).
3
Dans le champ textuel, utilisez une chaîne de 16 caractères ASCII pour créer le nom de la clé pré-partagée (sensible à la casse).
NOTE : À la fin de ce processus, vous allez configurer une clé pré-partagée identique dans le DTM Control Expert pour créer une connexion entre une adresse IP et le module BMENOC0321.
4
Cliquez sur Suivant.
5
Désélectionnez la case Modifier les propriétés et cliquez sur Terminer.
Propriétés générales de la stratégie de sécurité IP
Configurez les propriétés générales :
Etape
Action
1
Sous Windows 7, dans la fenêtre Propriétés, cliquez sur l'onglet Général.
2
Cliquez sur Paramètres pour ouvrir la fenêtre Paramètres d'échange de clés.
3
Ne cochez pas la case Clé principale PFS (Perfect Forward Secrecy).
4
Dans le champ minutes, saisissez 2879 pour configurer une longévité de clé de 2 879 minutes (47 heures et 59 minutes).
5
Cliquez sur Méthodes… pour ouvrir la fenêtre Méthodes de sécurité d'échange de clés.
6
Cliquez sur Modifier pour ouvrir la fenêtre Algorithmes de sécurité IKE.
7
Dans les trois menus déroulants, sélectionnez les options suivantes :
  • Algorithme d'intégrité : SHA1 (Secure Hash Algorithm 1)
  • Algorithme de chiffrement : 3DES (Triple Data Encryption)
  • Groupe Diffie-Hellman : Moyen (2) (générez 1024 bits de clé principale.)
8
Cliquez sur OK pour revenir à la fenêtre Méthodes de sécurité d'échange de clés.
9
Cliquez sur OK pour revenir à la fenêtre Paramètres d'échange de clés.
10
Cliquez sur OK pour revenir à la fenêtre Propriétés.
11
Cliquez sur OK pour fermer la fenêtre Propriétés.
Activation et désactivation de la stratégie
Attribuez ou annulez l'attribution d'une stratégie de sécurité locale pour activer ou désactiver les communications sécurisées :
Etape
Action
1
Sous Windows 7, ouvrez Stratégie de sécurité locale dans Outils d'administration.
2
Cliquez avec le bouton droit de la souris sur le nom de la nouvelle stratégie de sécurité locale dans la colonne Nom et sélectionnez une option :
  • Attribuer : pour attribuer la stratégie de sécurité locale et activer les communications sur le PC IPsec.
  • Supprimer l'attribution : pour supprimer l'attribution de la stratégie de sécurité locale et désactiver les communications sur le PC.
L'agent de stratégie IPsec ne s'exécute pas si le message suivant s'affiche : « Le service ne peut pas être démarré ». Dans ce cas, configurez le service pour qu'il démarre automatiquement :
Etape
Action
1
Sous Windows 7, développez (+) Outils d'administration.
2
Double-cliquez sur Services pour accéder aux services locaux.
3
Double-cliquez sur Agent de stratégie IPsec pour ouvrir ses propriétés.
4
Cliquez sur l'onglet Général.
5
Dans le menu déroulant Type de démarrage, faites défiler la liste jusqu'à Automatique.
6
Dans Statut du service, sélectionnez Démarrer.
NOTE : si Démarrer est grisé, le service est déjà en cours d'exécution.
7
Cliquez sur OK pour appliquer les modifications et fermer la fenêtre.
NOTE : Lorsque vous activez IPsec, le DTM désactive automatiquement le port Ethernet de l'embrase sur le BMENOC0321. Ceci a pour effet d'isoler le réseau IPsec (réseau de la salle de contrôle) du réseau d'équipements (reportez-vous au tableau des différents services et protocoles).
Configurez IPsec dans le DTM Control Expert.
Activez IPsec et définissez la clé pré-partagée dans le DTM Control Expert :
Etape
Action
1
Ouvrez votre projet Control Expert.
2
Ouvrez le Navigateur de DTM (Outils → Navigateur de DTM).
3
Dans le Navigateur de DTM, double-cliquez sur le nom que vous avez attribué au module BMENOC0321 pour ouvrir la fenêtre de configuration.
NOTE : vous pouvez également cliquer avec le bouton droit de la souris sur le module et sélectionner Ouvrir pour ouvrir la fenêtre de configuration.
4
Sélectionnez Sécurité dans l'arborescence de navigation pour afficher les options de configuration.
5
Dans le menu IPsec, sélectionnez Activé.
6
Dans le champ Clé pré-partagée, saisissez les 16 caractères du nom de la clé pré-partagée.
NOTE : Les caractères ASCII de la clé pré-partagée (sensibles à la casse) correspondent aux 16 caractères de la clé pré-partagée que vous avez définie auparavant.
7
Cliquez sur Appliquer pour enregistrer la configuration.
8
Regénérez le projet et téléchargez l'application pour appliquer ces paramètres au module BMENOC0321.
Dépannage des communications IPsec
Utiliser les outils de diagnostic IPsec standard de Windows 7 pour dépanner les communications IPsec. Par exemple, les étapes suivantes utilisent le service MMC (Microsoft Management Console) pour les applications de gestion :
Etape
Action
1
Sous Windows 7, créez une console contenant un Moniteur de sécurité IP.
2
Cliquez sur un nom de serveur.
3
Double-cliquez sur Mode rapide.
4
Double-cliquez sur Statistiques pour afficher le nombre d'octets authentifiés envoyés et reçus.
NOTE :
  • Il est impossible de réinitialiser les valeurs. Pour actualiser les valeurs de comptage, relancez la console de gestion Microsoft (MCC).
  • Désactivez le transfert IP avant d'activer IPsec. Le service IPsec s'applique à une seule adresse IP.
Utilisez un analyseur de réseau Wireshark pour vérifier que les communications IPsec ont démarré pour une session IKE établie. Un en-tête d'authentification est associé aux paquets IPsec au lieu de l'en-tête de protocole habituel. Ce tableau montre un exemple de suivi de réseau pour une session IKE ayant réussi, établie à l'aide d'une requête Ping entre un PC sous Windows 7 (source) et un module BMENOC0321 (destination) :
Numéro
Temps
Source
Destination
Protocole
Longueur
Information
1
0
192.168.20.201
192.168.20.1
ISAKMP
342
Protection d'identité (mode principal)
2
0.00477
192.168.20.1
192.168.20.201
ISAKMP
126
Protection d'identité (mode principal)
3
0.012426
192.168.20.201
192.168.20.1
ISAKMP
254
Protection d'identité (mode principal)
4
1.594495
192.168.20.1
192.168.20.201
ISAKMP
270
Protection d'identité (mode principal)
5
1.598533
192.168.20.201
192.168.20.1
ISAKMP
110
Protection d'identité (mode principal)
6
1.603296
192.168.20.1
192.168.20.201
ISAKMP
110
Protection d'identité (mode principal)
7
1.612634
192.168.20.201
192.168.20.1
ISAKMP
366
Mode rapide
8
3.202976
192.168.20.1
192.168.20.201
ISAKMP
374
Mode rapide
9
3.207794
192.168.20.201
192.168.20.1
ISAKMP
102
Mode rapide
Utilisez ces solutions pour faciliter les communications lorsque IPsec est activé :
Fonctionnement
Explication
Il n'y a aucune communication avec le BMENOC0321 lorsque IPsec est activé sur le PC sous Windows.
Explication : l'agent de stratégie IPsec n'est pas en cours d'exécution.
Solution : configurez IPsec pour qu'il démarre automatiquement.
Explication : IPsec n'est pas activé sur le BMENOC0321.
Solution : activez IPsec dans l'onglet Sécurité du DTM du BMENOC0321.
Explication : IPsec n'est pas configuré correctement dans Windows.
Solution : consultez la REMARQUE 1 (ci-dessous).
Control Expert ne parvient pas à se connecter au BMENOC0321 via Ethernet.
Explication : IPsec n'est pas activé sur le BMENOC0321 et le PC Windows.
Solution : consultez la REMARQUE 2 (ci-dessous).
Explication : IPsec n'est pas configuré correctement dans Windows.
Solution : consultez la REMARQUE 1 (ci-dessous).
Explication : le BMENOC0321 a été redémarré récemment.
Solution : consultez la REMARQUE 3 (ci-dessous).
L'outil de mise à jour du micrologiciel ne parvient pas à se connecter au BMENOC0321 via Ethernet.
Explication : IPsec n'est pas activé sur le BMENOC0321 et le PC Windows.
Solution : consultez la REMARQUE 2 (ci-dessous).
Explication : IPsec n'est pas configuré correctement dans Windows.
Solution : consultez la REMARQUE 1 (ci-dessous).
Explication : le BMENOC0321 a été redémarré récemment.
Solution : consultez la REMARQUE 3 (ci-dessous).
Explication : les ports IKE et IPsec sont peut-être bloqués par un pare-feu ou par un autre programme associé à des applications antivirus.
Solution : consultez la REMARQUE 4 (ci-dessous).
REMARQUE 1 : vérifiez que les paramètres de la configuration Windows correspondent à ceux de l'implémentation IPsec :
REMARQUE 2 : vérifiez que la configuration du DTM et la stratégie de sécurité locale de Windows sont activées pour IPsec.
REMARQUE 3 : choisissez une solution :
  • Attendez pendant 5 minutes le timeout des associations de sécurité Windows.
  • Supprimez l'affectation de la stratégie de sécurité locale, puis réaffectez-la dans Windows pour forcer la réinitialisation des associations de sécurité.
REMARQUE 4 : vérifiez que le port IKE (UDP 500) et le port de l'en-tête d'authentification IPsec (51) sont ouverts sur les éventuels pare-feu entre l'application PC et le PAC, y compris ceux associés aux applications antivirus (telles que McAfee ou Symantec).