Beruflich Dokumente
Kultur Dokumente
Le nouveau systme dexploitation serveur de Microsoft, Windows Server 2008, apporte avec lui de nouvelles fonctionnalits. Parmi elles, la technologie de protection de laccs au rseau : Network Access Protection, plus couramment appele NAP. NAP est une technologie prometteuse visant empcher laccs complet au rseau un poste ntant pas conforme avec les rgles de scurit de lentreprise, telle que la prsence dun antivirus jour. Le principe de cette protection est de demander au client de fournir son tat de sant , au moment mme o il dsire pntrer sur le rseau. Si le client est non-conforme, il sera plac dans une zone de quarantaine de laquelle il ne pourra sortir tant quil ne se sera pas mis en conformit avec la stratgie du rseau.
1. Prsentation de NAP
1.1 Une protection ncessaire
Depuis plusieurs annes maintenant, la question de la scurit informatique a pris une place considrable dans les dcisions des entreprises. La majorit dentre elles nhsitent plus investir de manire consquente dans du matriel et des solutions de plus en plus pointues destines garantir lintgrit de leur infrastructure. La plupart du temps, les solutions misent en place visent protger le rseau des menaces extrieures (pare-feu, antivirus etc.) ce qui, bien qutre une ncessit absolue peut savrer de nos jours insuffisante. Imaginons ce scnario, qui malheureusement se produit de plus en plus souvent : un utilisateur qui rentre de quelques semaines de congs se connecte lundi matin sur le rseau de son entreprise. Ses dfinitions antivirus ntant plus jour et les derniers correctifs de scurits nayant pas t installs, comment tre sr que cette machine nest pas infecte par un malware ? Si cest effectivement le cas, cette machine pourra tout de mme se connecter en toute srnit sur le rseau interne de lentreprise et ainsi risquer de contaminer les machines ntant pas immunises contre cette menace. La parade serait de connecter manuellement le poste risque de cet utilisateur sur un rseau isol sur lequel il pourrait appliquer les dernires mises jour avant de lui rendre un accs complet au reste du rseau, ce qui dans ltat actuel des choses savrerait mission impossible. La solution ? La technologie NAP, pour Network Access Protection (Protection de lAccs Rseau), dveloppe par Microsoft. NAP va permettre deffectuer cela de manire automatique et transparente, que ce soit pour lutilisateur ou pour les quipes informatiques.
SHA (System Health Agent) : les agents de dtat systme analysent diffrents critres du systme (pare-feu activ, mises jour automatique actives, version des signatures de lantivirus etc). La force des SHA est quils reposent sur une structure modulaire ce qui signifie quil est parfaitement possible des diteurs tiers de fournir leur propre SHA afin de tester nimporte quel paramtre du client. SoH (Statement of Health) : chaque SHA enregistre les informations collectes dans un SoH qui devient donc le bulletin dtat dun agent dtat. SSoH (System Statement of Health) : tous les bulletins dtat prcdemment crs sont fusionns pour former le bulletin dtat du systme. Cest ce bulletin qui sera transmis au serveur distant. EC (Enforcement Client) : il sagit du module client qui a pour mission denvoyer le SSoH au serveur distant. Les EC sont par dfaut au nombre de cinq sur un client NAP. Il sagit des clients DHCP, VPN, 802.1X (filaire ou sansfil) ainsi que IPSec. ES (Enforcement Server) : il sagit du module serveur sur le serveur daccs (DHCP, VPN etc) qui doit rcuprer le SSoH du client. NPS (Network Policy Server) : il sagit du nouveau serveur Radius de Microsoft qui a notamment la capacit de supporter NAP. SHV (System Health Validator) : les SHV sont la version serveur des SHA. Ils ont pour mission de vrifier la conformit de la configuration du client grce lanalyse des SoH.
Quel que soit la mthode de vrification de la conformit utilise, le principe reste toujours le mme :
1. Lorsque le client tente dtablir sa connexion sur un serveur requrant NAP, il est invit fournir son bulletin de sant. 2. Chaque SHA gnre un bulletin dtat SoH indiquant ltat de cet agent. Par exemple, un SHA destin contrler ltat dactivation du pare-feu indiquera dans son SoH si le pare-feu est activ ou non. 3. Les SoH de tous les SHA sont fusionns pour former le bulletin dtat du systme SSoH. 4. Le SSoH est transmis par le service NAP au client rseau EC ncessaire. 5. Le SSoH est rceptionn par le serveur rseau ES. 6. Le serveur rseau ES envoi une demande daccs au serveur Radius NPS/NAP (message Access-Request ) en lui transmettant le SSoH du client. 7. Afin de valider ltat de sant, le serveur NPS transmet le SSoH au serveur dadministration NAP qui dcompose le SSoH en SoH 8. Chaque SoH est transmis au validateur dtat SHV correspondant. 9. Les SHV informent le serveur dadministration NAP du rsultat des analyses. 10. En fonction des rgles cres sur le serveur NPS, laccs est accord (message Access-Accept ) ou refus avec ventuellement la consigne ncessaire permettant au client de se mettre en conformit avec les stratgies, le tout stock dans le SSoHR (Rponse SoH). 11. Le serveur daccs ES transmet, selon la rponse du serveur NPS, les informations ncessaires pour se connecter ou les informations ncessaires pour devenir conforme.
Dans notre cas, les clients RADIUS qui seront utiliss seront principalement le serveur daccs distant VPN ainsi que le matriel rseau supportant la norme 802.1X. Il est important de rappeler que les donnes transitant entre le client et le serveur RADIUS devraient toujours tre chiffres ( laide dIPSec par exemple). Il est aussi possible via ces options de configuration de crer un ou des groupes de serveurs RADIUS distants. Cela permet notre serveur NPS de devenir proxy RADIUS en redirigeant des requtes dautres serveurs RADIUS de lentreprise.
2.1.2 Les stratgies RADIUS
Les stratgies de requtes de connexion : elles sont le point dentre des requtes clients. Cest sur cette page quil nous faudra crer nos stratgies de connexion, gnralement une par mthode de connexion (DHCP, VPN, HRA etc). Une stratgie de connexion NPS se dcompose en deux parties :
Les stratgies de requtes de connexion : elles sont le point dentre des requtes clients. Cest sur cette page quil nous faudra crer nos stratgies de connexion, gnralement une par mthode de connexion (DHCP, VPN, HRA etc). Une stratgie de connexion NPS se dcompose en deux parties : o Les conditions : configurez ici au minimum une condition qui permettra cette rgle dtre slectionne pour cette demande de connexion. Vous pouvez ajouter des critres comme lappartenance de
lutilisateur un groupe spcifique, lheure de la demande ou encore son adresse IP. Pour chaque demande de connexion, NPS parcourra chaque rgle de connexion (par ordre de priorit) jusqu ce quil en trouve une dans laquelle les conditions spcifies correspondent aux paramtres de cette demande. Si aucune rgle de connexion ne correspond avec la demande en cours, NPS renverra un accs refus au client RADIUS. Les paramtres de configuration : lorsque le serveur NPS a trouv une rgle correspondant aux conditions prcdentes, il consultera les paramtres de connexions pour savoir comment traiter cette demande. Loption importante dans cet onglet est la manire dont lauthentification sera ralise. Il est possible de rediriger les rgles sur un groupe de serveur RADIUS pralablement cr (voir prcdemment), dautoriser laccs sans vrifier lautorisation (dans ce cas, toutes les requtes de connexion correspondantes cette rgle seront automatiquement approuves) ou encore, ce qui est le cas par dfaut, de traiter les demandes sur ce serveur NPS. Dans ce cas, la requte va tre analyse dans les stratgies rseau.
Les stratgies rseau : deuxime tape du traitement dune requte de connexion, il sagit de vrifier dans les stratgies rseau si la demande doit-tre ou non autorise. Pour cela, il faut crer des rgles de rseau. Ces rgles se dcomposent en trois parties : o Les conditions : comme pour les requtes de connexion, il sagit de spcifier des critres permettant au serveur NPS de dfinir quelle rgle il doit utiliser pour traiter cette demande. Dans le cas de NAP, cest ici quil sera possible de vrifier si la requte provient dun client compatible avec NAP, et si oui, si le client est conforme ( compliant ) avec les rgles de sant de lentreprise. o Les contraintes de connexion : lorsque NPS trouve dans la liste une rgle de rseau utilisable pour autoriser cette demande de connexion, il consulte la liste des contraintes. Il sagit notamment dans notre cas des mthodes dauthentification. Il est possible de slectionner des mthodes conventionnelles (MS-CHAP v2, EAP) mais aussi deffectuer uniquement un test de sant, ce qui aura pour effet de ne pas authentifier lutilisateur. Cela est par exemple utile dans le cas de lenforcement par DHCP qui ne permet pas de fournir les informations dauthentification. o Les paramtres de configuration de la rgle : cest la partie la plus importante en ce qui concerne NAP. Cest ici quil nous est possible de spcifier si le client peut accder lintgralit du rseau (cas o la machine cliente est considre comme en bonne sant vis vis des rgles de lentreprise) ou si elle doit tre restreinte la zone de quarantaine (machine non-conforme). Cest aussi dans cet onglet quil est possible de spcifier si lauto-remdiation (facult dindiquer au client non-conforme ce quil doit faire pour devenir conforme) doit tre utilis. Les stratgies de sant : cest ici quil nous faudra configurer les rgles de lentreprise en matire de bonne sant . Typiquement, il nous faudra crer deux stratgies de sant : la premire indiquant que si le client passe avec succs tous les tests dtat il sera considr comme conforme et la deuxime dans laquelle on pourrait dire que si le client choue un seul de ces tests il doit tre considr comme non-conforme
2.1.3 Network Access Protection System Health Validators : cest ici quil est possible de configurer les validateurs dtat systme (SHV). Par dfaut, il nexiste quun seul SHV : celui fournit par Microsoft qui a pour fonctionnalit dauditer : ltat du pare-feu, de lantivirus, de la protection antispyware, des mises jour automatiques ainsi que des mises jour installes sur le client. Concernant les mises jour, NPS pourra soit consulter Windows Update, soit consulter un serveur WSUS en interne afin de sassurer de la conformit du client. Sous Windows XP SP3, la seule option en moins est lanalyse de lantispyware (car non gre dans le centre de scurit de Windows). Cest aussi ici quil est possible de choisir la dcision qui devra tre prise dans le cas o un SHV ou un SHA nest pas disponible. Groupes de serveurs de remdiation : lorsquun client est considr comme non conforme par les stratgies NPS, il est possible de lui indiquer un ensemble de ressources lui permettant de se remettre en conformit. Cela peut inclure des serveurs fournissant les mises jour du systme ou encore de lantivirus. 2.1.4 L'assistant de configuration de NPS
NPS dispose dun assistant simplifiant la cration des stratgies NAP (stratgie de connexion, de rseau et de sant). Cet assistant, disponible en cliquant sur le nom du serveur NPS la racine de la console, permet de crer toutes les rgles ncessaires au fonctionnement de NAP selon la mthode de connexion que vous choisirez. Bien quassez pratique, il est important de toujours vrifier ce que contiennent les rgles ainsi
cres afin de sassurer quelles correspondent la politique de lentreprise, mais aussi quelles sont suffisamment prcises.
VPN
TS
Protection de Protection rserve Serveurs : NPS, IIS, TS l'accs distant un via TS usage spcifique Matriel compatible 802.1X obligatoire, configuration du matriel obligatoire
Serveur : Efficacit, NPS Matriel 802.1X utilisable en rseau compatible filaire ou sans-fil 802.1X et VLAN Mthode la plus scurise, Serveurs : NPS, HRA, chaque poste IPSec IIS, PKI (IGC) dcide avec qui il peut communiquer.
La protection rseau par DHCP prsente lavantage de contrler la conformit du client au moment mme o il tente de se connecter au rseau (actuellement seul ladressage IPv4 est support). La fonction mise en quarantaine du client est base sur la configuration IP qui sera renvoye au client non-conforme. Pour cela, une nouvelle classe DHCP ddie NAP a t cr permettant de configurer des options spcifiques aux clients non conformes. Sa trs grande simplicit de mise en place cache nanmoins un inconvnient de taille : il est ais pour un utilisateur dutiliser une configuration IP manuelle et donc de contourner la protection. Il est prfrable dans la mesure du possible dopter pour lune des deux autres mthodes de contrle de laccs au rseau physique.
2.3.2 Le contrle d'accs par 802.1X
Le protocole 802.1X est une norme permettant du matriel rseau tel quun commutateur ou un point daccs sans-fil de faire appel un serveur Radius pour authentifier et autoriser les connexions dun client. Dans le cas de NAP, lintrt va tre de se baser sur ltat de sant du client pour indiquer au matriel non pas si la connexion doit tre accepte ou refuse mais plutt avec qui le client aura la possibilit de communiquer. Pour cela il est ncessaire de faire appel une autre fonctionnalit de la partie matrielle : les VLAN (Virtual Local Area Network). Ces rseaux virtuels permettront dans notre cas de crer deux VLAN distincts : le premier pour les machines conformes, et le deuxime rserv aux postes en quarantaine et en attente de remdiation. Cette mthode de contrle daccs reposant principalement sur la partie matrielle de votre rseau, il vous faudra avoir du matriel compatible et les connaissances pour mettre en place ce type dinfrastructure. Si vous utilisez dj des systmes dauthentification par 802.1X il sagit dun excellent moyen de mettre en place efficacement NAP.
2.3.3 Le contrle d'accs par IPSec
La mthode denforcement par IPSec se dmarque par son mode de fonctionnement. A linverse des quatre autres solutions disponibles, laccs ne sera plus filtr au point dentre du rseau (DHCP, VPN etc) mais ce sera chaque machine qui dcidera en fonction de sa configuration si elle peut ou non communiquer avec des htes non conformes. Son principe de fonctionnement part impose un composant supplmentaire pour fonctionner : lautorit denregistrement de sant (Health Registration Authorities, HRA). Le rle de cette autorit est de fournir un certificat de sant aux clients conformes avec les rgles inscrites sur le serveur NPS. Ce certificat est un certificat numrique utilisant la norme X509 V3 disposant de deux rles : lauthentification du client et la preuve de la conformit. Lavantage de ce systme de certificat est quil suffira un client de prsenter son certificat un hte distant pour lui prouver que son tat de sant a t dclar conforme par le
serveur NPS. Ce certificat a une dure de vie trs faible permettant dviter les tches dadministration inhrentes la gestion des certificats rvoqus. Cette mthode est la plus scurise car elle permet dobtenir une infrastructure scurise par IPSec qui se base aussi sur ltat de sant du client pour la phase dauthentification.
2.3.4 Le contrle d'accs par VPN
En rendant le service daccs distant (RRAS, Routing and Remote Access Server) de Windows Server 2008 compatible avec NAP, Microsoft permet de supporter la protection pour les clients distants. La configuration est relativement aise puisquil suffit dutiliser une authentification par PEAP (Protected-Extensible Authentification Protocol). La mise en quarantaine seffectuera laide de filtres IP configurs sur le serveur NPS. Le niveau de scurit de cette solution dpend directement des stratgies daccs que vous avez cres, et notamment la manire dont seront traits les clients ne supportant par NAP.
2.3.5 Le contrle d'accs par Terminal Server
TS Gateway permet aux utilisateurs de se connecter sur le rseau de lentreprise partir dInternet en utilisant une connexion scurise (RDP over HTTPS). En fonction de votre politique, les utilisateurs pourront avoir accs au bureau entier de Windows ou alors une ou plusieurs applications. Limplmentation de NAP permet daugmenter la scurit de votre rseau en acceptant seulement les clients avec un bulletin de sant conforme votre politique.
3. Cas pratiques
Cette partie va tre consacre la mise en place de NAP avec les trois renforcements suivants : DHCP, 802.1x et enfin IPSec. Cela permettra dillustrer la manire de fonctionnement des diffrentes mthodes daccs rseau.
Configuration de Windows Server 2008 : Sur ce serveur nous allons installer les rles suivants : Contrleur de domaine, DNS, DHCP, NPS. Une fois les diffrents rles installs, la premire tape est dactiver la fonctionnalit de NAP sur ltendue DHCP. Cette option se configure dans les proprits de ltendue grce au nouvel onglet Network Access Protection . Il est aussi possible de configurer le comportement du serveur DHCP si le serveur NPS est inaccessible dans les proprits IPv4. Au niveau des options dtendue, une nouvelle classe dutilisateur est ajoute Default Network Access Protection Class . Cette nouvelle option est utilise lorsque un client non conforme fait une demande dadresse IP. Les clients conformes utiliseront la classe dutilisateur par dfaut. La dernire tape est la configuration du serveur NPS en crant les stratgies rseaux avec ou sans laide de lassistant.
3.2 802.1x
Composants ncessaires :
1. Un Windows Server 2008 excutant NPS 2. Un client sous Windows Vista ou XP SP3 3. Un commutateur ou une borne wifi prenant en charge le protocole 802.1X et la gestion des VLAN
Configuration de Windows Server 2008 : La configuration de la partie systme est relativement simple. Premirement, il faut installer un certificat dordinateur sur notre Windows Server 2008 permettant de faire fonctionner correctement lauthentification PEAP (Protected Extensible Authentication Protocol). Afin dautoriser le client RADIUS communiquer avec notre serveur NPS, il faut lajouter comme client RADIUS et slectionner la case indiquant que le client RADIUS est compatible avec NAP ( Client is NAPCapable ). Vient ensuite la configuration des stratgies NPS. Pour cela nous crerons une stratgie de connexion possdant une condition base sur ladresse IP du client RADIUS, c'est--dire le point daccs ou le commutateur 802.1X. Dernier point concernant la configuration de notre serveur NPS : crer la rgle de rseau permettant de spcifier sur quel VLAN doit tre un client Conforme et sur quel VLAN sera un client non-conforme . Pour cela nous ferons appel lattribut VLAN ID de RADIUS. Configuration de la partie matrielle : Le commutateur ou le point daccs sans-fil devra tre configur de manire grer deux VLAN. Le premier sera rserv aux ordinateurs ayant t dclar conforme par le serveur NPS, et le deuxime sera constitu des machines en quarantaine. Ce dernier VLAN devra bien sr contenir les ventuels serveurs de remdiation. Dernier point de la configuration matrielle : activer le protocole 802.1X afin de rediriger lauthentification sur le serveur NPS.
3.3 IPSec
Avec lutilisation de NAP, IPSec utilisera lauthentification par certificat. Il faudra donc mettre en place une infrastructure de gestion de cls (IGC ou PKI Public Key Infrastructure). Le principe pour chaque ordinateur est de demander un certificat de sant pour pouvoir communiquer avec les autres postes. IPsec va diviser votre rseau en trois zones logiques. Le but de cette division est de limiter laccs aux ordinateurs nayant pas de certificat de sant et de permettre aux ordinateurs conformes votre politique de sant de pourvoir communiquer de faon scuris. De cette manire, les ordinateurs conformes auront un accs total au rseau et les non-conformes ne pourront accder quau serveur de remdiation pour se mettre jour ou au HRA pour demander un certificat de sant. Les trois zones logiques sont les suivantes : La zone scurise : Les ordinateurs de cette zone ont obligatoirement un certificat de sant valide et ils vont exiger un certificat de sant pour les authentifications entrantes mais ne vont pas exiger de certificat pour les connexions sortantes. Grce cette politique, les ordinateurs de la zone scurise ont accs aux ressources de toutes les zones et seulement les ordinateurs ayant un certificat de sant ont accs aux ressources de cette zone. On peut par exemple mettre dans cette zone les serveurs Mails et le serveur NPS. La zone intermdiaire : Les ordinateurs membres de cette zone ont tous un certificat de sant valide mais ne vont pas exiger de certificats pour les connexions entrantes. Cette politique permet aux ordinateurs membres de la zones
scurise et intermdiaire de communiquer de faon scurise. Les autres ordinateurs nayant pas de certificats de sant pourront aussi communiquer avec les ordinateurs de cette zone. On met gnralement dans cette zone le serveur HRA pour que les clients conformes nayant pas de certificat puissent en avoir un. On y inclut aussi les serveurs de remdiation pour mettre jour les clients non conformes. La zone restreinte : Dans cette zone se trouve les ordinateurs nayant pas de certificats de sant valide. Il peut y avoir les ordinateurs non conformes et les conformes mais qui nont pas encore reu leur certificat de sant. Les ordinateurs de cette zone ont accs aux ressources de la zone intermdiaire pour demander un certificat de sant au HRA ou se mettre jour pour devenir conforme en se connectant au serveur de remdiation .
Composants ncessaires :
1. Un Windows Server 2003 2. Un Windows Server 2008 3. Un client sous Windows Vista ou XP SP3
Configuration de Windows Server 2003 Notre Windows Server 2003 devra grer les rles suivants : Contrleur de domaine et autorit de certification racine.
Aprs linstallation des diffrents rles, nous allons crer un groupe de scurit local dexemption pour y mettre le serveur NPS. Les ordinateurs de ce groupe dexemption pourront avoir un certificat de sant sans vrification. Ce certificat est valable un an alors que les certificats de sant pour les clients devront tre renouveler par dfaut toutes les 4 heures. Il faudra ensuite configurer les modles de certificats. Le plus simple est de dupliquer le modle de certificat Authentification de station de travail pour crer le certificat de sant et de le publier dans Active Directory. Dans longlet scurit du certificat, il faudra ajouter le groupe dexemption pour quil puisse sinscrire automatiquement ce certificat. Le paramtre dinscription automatique des certificats doit aussi tre activ laide dune GPOs. La dernire tape sur le serveur 2003 consiste crer deux OUs : Zone intermdiaire et Zone scurise . Nous mettrons dans ces OUs les ordinateurs appartenant aux deux zones : Scurise et intermdiaire. Configuration de Windows Server 2008 : Le serveur 2008 devra grer les rles suivants : NPS, HRA, autorit de certification et IIS Lautorit de certification doit tre une autorit de certification secondaire (Subordinate CA) en mode Standalone (cest dire quelle ne devra pas utiliser Active Directory pour fonctionner). La premire chose faire est de rajouter le serveur NPS au groupe AD dexemption cr prcdemment pour quil puisse rcuprer un certificat de sant valable 1 an. Le HRA doit permettre au service rseau de dlivrer et de grer les certificats. Cette permission est configurer dans longlet scurit de lautorit de certification. La dernire tape est de configurer le serveur NPS. La faon la plus simple est de crer directement les stratgies rseaux avec lassistant de configuration. Plannification : De par sa gestion non-centralise, cest dire que la connexion rseau nest pas contrle en un unique point dentre comme pour les autres mthodes denforcement, le dploiement de NAP par IPSec dans un environnement de production se doit tre planifi avec encore plus de soin que pour les autres solutions et la phase de test doit tre rigoureuse et approfondie. En effet, une erreur de configuration pourrait entraner une rupture de la communication des clients avec tous les autres htes rseaux. Si cela survenait, il faudrait reprendre la configuration de chaque machines la main.
3. Conclusion
Bien quencore en version bta, NAP sannonce dj comme une technologie quasi incontournable pour contrler efficacement ltat des machines de nos infrastructures informatiques. Microsoft a russi un tour de force avec ce produit en basant son systme sur des technologies telle IPSec, dsormais courantes en entreprise. Dautre part, avec sa structure modulaire et les nombreux partenaires de Microsoft impliqus dans cette aventure, il ya fort parier que NAP voluera rapidement pour combler tous les besoins de lentreprise dans un domaine assez nouveau en scurit informatique : le contrle de laccs rseau par ltat de sant.