On peut aussi utiliser un outil ligne de commande pour créer des stratégies IPsec : c’est particulièrement utile pour le scripting. Pour Win2K, l’outil est ipsecpol.exe et il provient des Microsoft Windows 2000 Resource Kits ; pour XP, c’est ipseccmd. exe en provenance de Windows Support Tools for Microsoft Windows
Scripter la création de stratégie IPsec
XP ; pour Windows 2003, c’est l’outil Netsh Ipsec inclus avec l’OS. Pour appliquer le filtre Slammer en XP, utilisez la commande suivante :
Ipseccmd -w REG -p "Block UDP 1434 Filter"
-r "Block Inbound UDP 1434 Rule"
-f *=0:1434:UDP –n BLOCK -x
Respectez exactement les lettres majuscules et minuscules. En effet, Ipsecpol et Ipseccmd sont intransigeants en la matière. A noter également que c’est une commande unique qui doit être tapée sur une ligne : la largeur de la colonne de l’article nous oblige à déroger à cette règle.
Cette commande crée et attribue une stratégie statique appelée Block UDP 1434 Filter avec une règle unique appelée Block Inbound UDP 1434 Rule qui contient la même liste de filtres que ci-dessus reliée à une action de filtrage block. Les stratégies statiques sont stockées dans le registre et persistent entre les réinitialisations successives. La stratégie ne s’appliquera qu’à la prochaine initialisation ou au redémarrage de l’agent de stratégie Ipsec. Si l’on veut qu’elle s’applique immédiatement, il faut que le script arrête et redémarre également le service policyagent. Quand on construit la stratégie avec la GUI, elle s’applique immédiatement.
Si un ordinateur est infecté par Slammer, on peut utiliser une règle Ipsec différente pour empêcher qu’il n’infecte d’autres ordinateurs, en bloquant les communications sortantes vers le port de destination UDP 1434 :
Liste de filtres avec un filtre : de my-address:any-port à any-address:1434/udp
Action de filtrage : bloquer
Règle : lier la liste avec l’action, toutes interfaces, pas de tunnel, toute méthode d’authentification
Notons une différence subtile : dans la règle précédente (entrante), le filtre vérifie le trafic de any-address-port à myaddress: 1434:udp, tandis que dans la règle sortante, le filtre vérifie le trafic de my-address:any-port à any-address: 1434:udp. La règle sortante bloque tout trafic vers le port UDP 1434 sur tout ordinateur. Utilisez la commande suivante pour scripter la règle et l’ajouter à la même stratégie que la première règle :
Ipseccmd -w REG -p "Block UDP 1434 Filter"
-r "Block Outbound UDP 1434 Rule"
-f 0=*:1434:UDP –n BLOCK
Dans la première commande ci-dessus, le commutateur -x indique une nouvelle stratégie. Dans cette seconde commande, on omet le commutateur -x parce que cette commande ajoute une autre règle à la stratégie existante. A noter aussi que dans la portion liste de filtres de la seconde commande, l’astérisque (*) et le 0 sont inversés par rapport à la première commande, tout simplement parce que le « sens » du filtre est inversé.
On peut aussi se servir des utilitaires ligne de commande pour appliquer des stratégies dynamiques qui ne sont actives que pendant que le système fonctionne (elles sont perdues dès que le service policyagent est redémarré ou que l’ordinateur est réinitialisé). De telles stratégies dynamiques sont utiles quand on sait qu’on n’en aura pas besoin pendant longtemps et que l’on veut utiliser une réinitialisation pour les effacer. Les deux commandes suivantes créent une stratégie dynamique qui fait la même chose que la stratégie statique créée ci-dessus :
ipseccmd -f[*=0:1434:UDP]
ipseccmd –f[0=*:1434:UDP]
Les crochets placés de part et d’autre de la spécification de filtre indiquent que le trafic filtré sera bloqué.
Jusqu’ici, nous avons vu comment utiliser IPsec pour bloquer le trafic empruntant, dans les deux sens, deux « mauvais » ports de destination. Les stratégies IPsec peuvent être plus restrictives : elles peuvent bloquer tout le trafic dans les deux sens et créer des règles qui permettent un certain trafic vers et à partir de certains ports. Avant d’autoriser tel ou tel genre de trafic, réfléchissez bien, planifiez et testez abondamment vos idées avant de les mettre en pratique.
Téléchargez cette ressource
Les 10 tendances clés de l’Expérience Client (CX) pour 2025
Dans le contexte actuel, l'expérience client est un levier clé de réussite. Pour rester compétitives, les entreprises doivent adopter des stratégies CX audacieuses, en s'appuyant sur le cloud, le digital et l'IA. Alors quelles stratégies mettre en place pour garder une longueur d’avance ?
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- AI Speech double toutes vos vidéos !
- Finance : l’IA générative plébiscitée pour les décisions stratégiques
- Cybersécurité : les comportements à risque des collaborateurs
- Prédictions 2025 : voici comment l’intelligence artificielle va redéfinir la sécurité de 3 façons
- Top 5 des technologies à suivre en 2025 et au-delà !