Configuration des communications IP sécurisées
Traduction de la notice originale
A propos de nous
Introduction à IPsec
L'IETF (Internet Engineering Task Force) a conçu et développé un ensemble ouvert de protocoles IPsec (Internet Protocol Security) qui privatisent et sécurisent les sessions de communication IP. La fonction IPsec du module BMENOP0300 prend en charge l'intégrité des données et l'authentification de l'origine des paquets IP.
pour créer une configuration IPsec sur un PC Windows 7, procédez comme suit. Pour plus d'informations sur IPsec, consultez le site web de l'IETF à l'adresse www.IETF.org.
Lorsque IPsec est activé, le module BMENOP0300 ne prend pas en charge les communications initiées par le client. Par exemple, les communications entre homologues (BMENOP0300 à BMENOP0300) ne sont pas prises en charge lorsque IPsec est activé.
NOTE : vous ne pouvez pas activer simultanément le protocole IPsec et le service de transfert IP. (Il est impossible de générer un projet Control Expert si ces deux fonctionnalités sont activées. Reportez-vous au tableau des différents services et protocoles.)
Présentation du processus
Configurez les communications IPsec comme suit :
Etape
Nom
Description
1
Stratégie
Créez une stratégie IPsec.
2
Règle
Point de sortie du tunnel : aucun tunnel (mode de transport)
Type de connexion : connexions réseau ou réseau local
Liste de filtres IP :
  • Filtre IP :
    • Adresse : adresse IP du premier module BMENOP0300
    • Protocole : Tout
    • Description : module BMENOP0300 1
  • Filtre IP 2 :
    • Adresse : adresse IP du deuxième module BMENOP0300
    • Protocole : Tout
    • Description : module BMENOP0300 2
NOTE : répétez ces étapes pour chaque module BMENOP0300 de votre configuration.
Actions de filtrage IP :
  • Action : bloquer, autoriser, négocier
  • Méthode : SHA-1 (aucun chiffrement)
  • Expiration de la clé : 86 400
Méthode d'authentification : clé pré-partagée
3
Propriétés générales
Nom et description de la stratégie de sécurité
Timeout de modification de la stratégie
Paramètres d'échange de clé :
  • PFS
  • Timeout d'authentification (2 879 min.)
  • Méthodes de sécurité IKE (Internet Key Exchange)
    • Chiffrement de l'échange de clé : 3DES
    • Intégrité : SHA1
    • Groupe Diffie-Hellman : 1024 - moyen (2)
4
Activation/désactivation
Activez ou désactivez la stratégie IPsec.
5
Outil de configuration
Configurez la clé pré-partagée.
Avant de commencer
Configurez manuellement IPsec pour chaque PC prenant en charge IPsec :
Stratégie de sécurité IP
Créez une stratégie IPsec pour définir les règles des communications sécurisées dans le protocole IPsec :
Etape
Action
1
Sur un PC sous Windows 7, ouvrez Outils d'administration dans le Panneau de configuration.
NOTE : Consultez la documentation de Windows 7 pour accéder à Outils d'administration.
2
Double-cliquez sur Stratégie de sécurité locale pour ouvrir la fenêtre Stratégie de sécurité locale.
3
Dans le volet gauche, développez Paramètres de sécurité et double-cliquez sur Stratégies de sécurité IP sur Ordinateur local.
4
Dans le volet droit, cliquez sur le bouton droit de la souris et faites défiler la liste jusqu'à Créer une stratégie de sécurité IP… pour ouvrir l'Assistant Nouvelle stratégie.
5
Dans l'Assistant Stratégie de sécurité IP, cliquez sur le bouton Suivant : a. Attribuez un nom à la nouvelle Stratégie de sécurité dans le champ Nom. b Décrivez la nouvelle stratégie dans le champ Description. (Cette étape est facultative.)
6
Cliquez sur le bouton Suivant pour accéder à la fenêtre Requêtes pour une communication sécurisée.
7
Désélectionnez la case Activer la règle… et cliquez sur Suivant pour ouvrir la fenêtre Fin de l'Assistant Stratégie de sécurité IP.
8
Désélectionnez la case Modifier les propriétés et cliquez sur Terminer.
NOTE : la nouvelle stratégie de sécurité s'affiche dans le volet droit de la fenêtre Stratégies de sécurité IP sur Ordinateur local. À tout moment, vous pouvez double-cliquer sur la stratégie de sécurité pour accéder à la fenêtre Propriétés.
Règle de sécurité IP
Configurez une règle IPsec pour activer une configuration IPsec et surveiller le trafic entre la couche applicative et la couche du réseau :
Etape
Action
1
Sous Windows 7, double-cliquez sur la stratégie pour ouvrir la fenêtre Propriétés.
2
Cliquez sur l'onglet Règles.
3
Cliquez sur Ajouter… pour ouvrir l'Assistant Création d'une règle de sécurité IP.
4
Cliquez sur Suivant pour configurer le point de sortie du tunnel.
5
Sélectionnez Cette règle ne spécifie aucun tunnel pour utiliser le mode Transport dans le protocole IPsec.
6
Cliquez sur Suivant pour configurer le type de réseau.
7
Sélectionnez la case d'option Toutes les connexions réseau pour appliquer la stratégie aux connexions locales et distantes.
8
Cliquez sur Suivant pour accéder à la configuration Liste de filtres IP.
NOTE : la Liste de filtres IP identifie le trafic traité par la règle IPsec.
Liste de filtres IP
IPsec utilise les filtres de paquets pour évaluer les paquets de communication en fonction de leurs connexions à différents services. Les filtres de paquets sont situés entre les points de sortie d'une connexion pair à pair pour vérifier que les paquets respectent les règles d'administration établies pour les communications.
Chaque filtre IP d'une liste de filtres IP a l'adresse IP de la même source des paquets de communication. Les adresses IP des destinations des paquets de communication (modules BMENOP0300) sont différentes.
Créez une liste de filtres contenant les adresses IP des modules BMENOP0300 capables de communiquer avec la source (PC) :
Etape
Action
1
Sous Windows 7, dans le tableau Liste de filtres IP de l'Assistant Règle de sécurité, cliquez sur Ajouter pour créer une Liste de filtres IP : a. Attribuez un nom à la nouvelle Liste de filtres dans le champ Nom. b. Décrivez la nouvelle Liste de filtres dans le champ Description. (Cette étape est facultative.)
2
Cliquez sur Ajouter pour ouvrir l'Assistant Filtre d'adresses IP, puis cliquez sur Suivant.
3
Indiquez une description facultative du nouveau Filtre d'adresses IP dans le champ Description.
4
Cochez la case En miroir pour communiquer dans les deux directions (source et destination).
5
Cliquez sur Suivant pour configurer la Source du trafic IP.
6
Cliquez sur Mon adresse IP pour désigner le PC en un point de sortie des communications sécurisées.
7
Cliquez sur Suivant pour configurer la Destination du trafic IP.
8
Sélectionnez une adresse IP ou un sous-réseau spécifique, puis saisissez l'adresse IP du module BMENOP0300 dans votre configuration. (Le module BMENOP0300 est la seule destination de ce trafic.)
9
Cliquez sur Suivant pour configurer le Type de protocole IP, puis sélectionnez Tout pour autoriser le trafic provenant de l'adresse IP sécurisée.
10
Cliquez sur Suivant pour afficher la fenêtre Fin de l'Assistant Filtre d'adresses IP.
11
Désélectionnez la case Modifier les propriétés et cliquez sur Terminer pour revenir à la Liste de filtres IP.
12
Cliquez sur OK pour fermer la fenêtre Liste de filtres IP.
Actions de filtrage IP
Configurez les actions de filtrage :
Etape
Action
1
Sous Windows 7, dans la colonne Nom de la Liste de filtres IP, sélectionnez la case d'option de la liste de filtres IP créée, puis cliquez sur Suivant pour configurer l'action de filtrage.
2
Cochez la case Utiliser l'Assistant Ajout.
3
Cliquez sur Ajouter pour ouvrir l'Assistant Action de filtrage.
4
Cliquez sur Suivant pour configurer le Nom d'action de filtrage: a. Saisissez le nom de l'Action de filtrage dans le champ Nom. b. Si vous le souhaitez, saisissez une description du nouveau Nom d'action de filtrage dans le champ Description, puis cliquez sur Suivant.
5
Cliquez sur Négocier la sécurité et sur Suivant.
NOTE : les adresses source et cible conviennent d'une méthode de communication sécurisée avant l'envoi des paquets.
6
Cliquez sur Ne pas autoriser les communications non sécurisées et sur Suivant.
7
Cliquez sur Personnalisé dans la fenêtre Sécurité du trafic IP et sur Paramètres pour personnaliser les paramètres : a. Sélectionnez Intégrité des adresses et des données sans cryptage (AH) puis SHA1 dans la liste pour utiliser l'algorithme Secure Hash Algorithm 1. b. Désélectionnez la case Intégrité des données avec cryptage pour désactiver le protocole ESP (Encapsulating Security Payload). c. Cochez la case Générer une nouvelle clé toutes les et saisissez 86400 dans le champ Secondes pour spécifier que la clé IKE expire dans 86 400 secondes. d. Cliquez sur OK pour revenir à la configuration Sécurité du trafic IP.
8
Cliquez sur Suivant.
9
Désélectionnez la case Modifier les propriétés et cliquez sur Terminer.
10
Ne cochez pas la case Utiliser la session de clé principale PFS (Perfect Forward Secrecy).
11
Cliquez sur OK.
Méthode d'authentification
Les équipements source et cible peuvent convenir d'utiliser une chaîne de caractères secrète avant le début de la communication. Dans ce cas, cette chaîne est appelée clé pré-partagée.
Configurez la méthode d'authentification pour utiliser une clé pré-partagée :
Etape
Action
1
Sous Windows 7, dans la colonne Nom de Actions de filtrage, sélectionnez la case d'option de la liste de filtres IP créée, puis cliquez sur Suivant pour configurer la Méthode d'authentification.
2
Cochez la case Utiliser cette chaîne pour protéger l'échange de clés (clé pré-partagée).
3
Dans le champ textuel, utilisez une chaîne de 16 caractères ASCII pour créer le nom de la clé pré-partagée (sensible à la casse).
NOTE : à la fin de ce processus, vous allez configurer une clé pré-partagée identique pour créer une connexion entre une adresse IP et le module BMENOP0300.
4
Cliquez sur Suivant.
5
Désélectionnez la case Modifier les propriétés et cliquez sur Terminer.
Propriétés générales de la stratégie de sécurité IP
Configurez les propriétés générales :
Etape
Action
1
Sous Windows 7, dans la fenêtre Propriétés, cliquez sur l'onglet Général.
2
Cliquez sur Paramètres pour ouvrir la fenêtre Paramètres d'échange de clés.
3
Ne cochez pas la case Clé principale PFS (Perfect Forward Secrecy).
4
Dans le champ minutes, saisissez 2879 pour configurer une longévité de clé de 2 879 minutes (47 heures et 59 minutes).
5
Cliquez sur Méthodes… pour ouvrir la fenêtre Méthodes de sécurité d'échange de clés.
6
Cliquez sur Modifier pour ouvrir la fenêtre Algorithmes de sécurité IKE.
7
Dans les trois listes, sélectionnez les options suivantes :
  • Algorithme d'intégrité : SHA1 (Secure Hash Algorithm 1)
  • Algorithme de chiffrement : 3DES (Triple Data Encryption)
  • Groupe Diffie-Hellman : Moyen (2) (générez 1024 bits de clé principale.)
8
Cliquez sur OK pour revenir à la fenêtre Méthodes de sécurité d'échange de clés.
9
Cliquez sur OK pour revenir à la fenêtre Paramètres d'échange de clés.
10
Cliquez sur OK pour revenir à la fenêtre Propriétés.
11
Cliquez sur OK pour fermer la fenêtre Propriétés.
Activation et désactivation de la stratégie
Attribuez ou annulez l'attribution d'une stratégie de sécurité locale pour activer ou désactiver les communications sécurisées :
Etape
Action
1
Sous Windows 7, ouvrez Stratégie de sécurité locale dans Outils d'administration.
2
Cliquez avec le bouton droit de la souris sur le nom de la nouvelle stratégie de sécurité locale dans la colonne Nom et sélectionnez une option :
  • Attribuer : pour attribuer la stratégie de sécurité locale et activer les communications sur le PC IPsec.
  • Supprimer l'attribution : pour supprimer l'attribution de la stratégie de sécurité locale et désactiver les communications sur le PC.
L'agent de stratégie IPsec ne s'exécute pas si le message suivant s'affiche : « Le service ne peut pas être démarré ». Dans ce cas, configurez le service pour qu'il démarre automatiquement :
Etape
Action
1
Sous Windows 7, développez (+) Outils d'administration.
2
Double-cliquez sur Services pour accéder aux services locaux.
3
Double-cliquez sur Agent de stratégie IPsec pour ouvrir ses propriétés.
4
Cliquez sur l'onglet Général.
5
Dans la liste Type de démarrage, sélectionnez Automatique.
6
Dans Etat du service, sélectionnez Démarrer.
NOTE : si Démarrer est grisé, le service est déjà en cours d'exécution.
7
Cliquez sur OK pour appliquer les modifications et fermer la fenêtre.
NOTE : lorsque vous activez IPsec, le port d'embase Ethernet du module BMENOP0300 est désactivé. Ceci a pour effet d'isoler le réseau IPsec (réseau de la salle de contrôle) du réseau d'équipements. (Consultez le tableau des différents services et protocoles.)
Configuration de IPsec dans l'outil de configuration
Activez IPsec et configurez la clé pré-partagée :
Etape
Action
1
Ouvrez votre projet Control Expert.
2
Dans l'outil de configuration, double-cliquez sur le nom que vous avez attribué au module BMENOP0300 pour ouvrir la fenêtre de configuration.
NOTE : vous pouvez également cliquer avec le bouton droit de la souris sur le module et sélectionner Ouvrir pour ouvrir la fenêtre de configuration.
3
Cliquez sur Sécurité pour afficher les options de configuration.
4
Dans le menu IPsec, sélectionnez Activé.
5
Dans le champ Clé pré-partagée, saisissez les 16 caractères du nom de la clé pré-partagée.
NOTE : les caractères ASCII de la clé pré-partagée (sensibles à la casse) correspondent aux 16 caractères de la clé pré-partagée que vous avez définie auparavant.
6
Cliquez sur Appliquer pour enregistrer la configuration.
7
Regénérez le projet et téléchargez l'application pour appliquer ces paramètres au module BMENOP0300.
Dépannage des communications IPsec
Utiliser les outils de diagnostic IPsec standard de Windows 7 pour dépanner les communications IPsec. Par exemple, les étapes suivantes utilisent le service MMC (Microsoft Management Console) pour les applications de gestion :
Etape
Action
1
Sous Windows 7, créez une console contenant un Moniteur de sécurité IP.
2
Cliquez sur un nom de serveur.
3
Double-cliquez sur Mode rapide.
4
Double-cliquez sur Statistiques pour afficher le nombre d'octets authentifiés envoyés et reçus.
NOTE :
  • Il est impossible de réinitialiser les valeurs. Pour actualiser les valeurs de comptage, relancez la console de gestion Microsoft (MMC).
  • Désactivez le transfert IP avant d'activer IPsec. Le service IPsec s'applique à une seule adresse IP.
Utilisez un analyseur de réseau Wireshark pour vérifier que les communications IPsec ont démarré pour une session IKE établie. Un en-tête d'authentification est associé aux paquets IPsec au lieu de l'en-tête de protocole habituel. Ce tableau montre un exemple de suivi de réseau pour une session IKE établie à l'aide d'une requête Ping entre un PC sous Windows 7 (source) et le module BMENOP0300 (destination) :
Numéro
Temps
Source
Destination
Protocole
Longueur
Information
1
0
192.168.20.201
192.168.20.1
ISAKMP
342
Protection d'identité (mode principal)
2
0.00477
192.168.20.1
192.168.20.201
ISAKMP
126
Protection d'identité (mode principal)
3
0.012426
192.168.20.201
192.168.20.1
ISAKMP
254
Protection d'identité (mode principal)
4
1.594495
192.168.20.1
192.168.20.201
ISAKMP
270
Protection d'identité (mode principal)
5
1.598533
192.168.20.201
192.168.20.1
ISAKMP
110
Protection d'identité (mode principal)
6
1.603296
192.168.20.1
192.168.20.201
ISAKMP
110
Protection d'identité (mode principal)
7
1.612634
192.168.20.201
192.168.20.1
ISAKMP
366
Mode rapide
8
3.202976
192.168.20.1
192.168.20.201
ISAKMP
374
Mode rapide
9
3.207794
192.168.20.201
192.168.20.1
ISAKMP
102
Mode rapide
Utilisez ces solutions pour faciliter les communications lorsque IPsec est activé :
Fonctionnement
Explication
Il n'y a aucune communication avec le module BMENOP0300 lorsque IPsec est activé sur le PC Windows.
Explication : l'agent de stratégie IPsec n'est pas en cours d'exécution.
Solution : configurez IPsec pour qu'il démarre automatiquement.
Explication : IPsec n'est pas activé sur le module BMENOP0300.
Solution : activez IPsec dans l'onglet Sécurité de l'outil de configuration.
Explication : IPsec n'est pas configuré correctement dans Windows.
Solution : consultez la REMARQUE 1 (ci-dessous).
Control Expert ne parvient pas à se connecter au module BMENOP0300 via Ethernet.
Explication : IPsec n'est pas activé sur le module BMENOP0300 et le PC Windows.
Solution : consultez la REMARQUE 2 (ci-dessous).
Explication : IPsec n'est pas configuré correctement dans Windows.
Solution : consultez la REMARQUE 1 (ci-dessous).
Explication : le module BMENOP0300 a été redémarré récemment.
Solution : consultez la REMARQUE 3 (ci-dessous).
L'outil de mise à jour du micrologiciel ne parvient pas à se connecter au module BMENOP0300 via Ethernet.
Explication : IPsec n'est pas activé sur le module BMENOP0300 et le PC Windows.
Solution : consultez la REMARQUE 2 (ci-dessous).
Explication : IPsec n'est pas configuré correctement dans Windows.
Solution : consultez la REMARQUE 1 (ci-dessous).
Explication : le module BMENOP0300 a été redémarré récemment.
Solution : consultez la REMARQUE 3 (ci-dessous).
Explication : les ports IKE et IPsec sont peut-être bloqués par un pare-feu ou par un autre programme associé à des applications antivirus.
Solution : consultez la REMARQUE 4 (ci-dessous).
REMARQUE 1 : vérifiez que les paramètres de la configuration Windows correspondent à ceux de l'implémentation IPsec :
  • Vérifiez à nouveau la clé pré-partagée.
  • Vérifiez à nouveau l'adresse IP du module BMENOP0300 dans l'outil de configuration.
  • Désactivez PFS (Perfect Forward Secrecy) pour les deux tunnels de sortie de communication dans Windows.
REMARQUE 2 : vérifiez que la configuration et la stratégie de sécurité locale sont activées pour IPsec.
REMARQUE 3 : choisissez une solution :
  • Attendez pendant 5 minutes le timeout des associations de sécurité Windows.
  • Supprimez le mappage de la stratégie de sécurité locale, puis réaffectez-la dans Windows pour forcer la réinitialisation des associations de sécurité.
REMARQUE 4 : vérifiez que le port IKE (UDP 500) et le port de l'en-tête d'authentification IPsec (51) sont ouverts sur les pare-feu entre l'application PC et le PAC, y compris ceux associés aux applications antivirus (telles que McAfee ou Symantec).