Beruflich Dokumente
Kultur Dokumente
Protection
Introduction
1. Présentation de NAP
1.1 Une protection nécessaire
1.2 Des technologies éprouvées
1.3 Principe de fonctionnement de NAP
2. Les éléments fondamentaux du système
de protection
2.1 Un nouveau serveur RADIUS : NPS
2.1.1 Clients et serveurs RADIUS
2.1.2 Les stratégies RADIUS
2.1.3 Network Access Protection
2.1.4 L'assistant de configuration
de NPS
2.2 La configuration du client NAP
2.3 Les méthodes d'accès au réseau
compatibles avec NAP
2.3.1 Le contrôle d'accès par DHCP
2.3.2 Le contrôle d'accès par
802.1X
2.3.3 Le contrôle d'accès par IPSec
2.3.4 Le contrôle d'accès par VPN
2.3.5 Le contrôle d'accès par
Terminal Server
3. Cas pratiques
3.1 Contrôle de la conformité par
DHCP
3.2 Contrôle de la conformité par
802.1X
3.3 Contrôle de la conformité par IPSec
Conclusion
Introduction
Le nouveau système d’exploitation serveur de Microsoft, Windows Server 2008, apporte avec
lui de nouvelles fonctionnalités. Parmi elles, la technologie de protection de l’accès au
réseau : Network Access Protection, plus couramment appelée NAP.
NAP est une technologie prometteuse visant à empêcher l’accès complet au réseau à un poste
n’étant pas conforme avec les règles de sécurité de l’entreprise, telle que la présence d’un
antivirus à jour. Le principe de cette protection est de demander au client de fournir son « état
de santé », au moment même où il désire pénétrer sur le réseau. Si le client est non-conforme,
il sera placé dans une zone de quarantaine de laquelle il ne pourra sortir tant qu’il ne se sera
pas mis en conformité avec la stratégie du réseau.
1. Présentation de NAP
1.1 Une protection nécessaire
Depuis plusieurs années maintenant, la question de la sécurité informatique a pris une place
considérable dans les décisions des entreprises. La majorité d’entres elles n’hésitent plus à
investir de manière conséquente dans du matériel et des solutions de plus en plus pointues
destinées à garantir l’intégrité de leur infrastructure. La plupart du temps, les solutions misent
en place visent à protéger le réseau des menaces extérieures (pare-feu, antivirus etc) ce qui,
bien qu’être une nécessité absolue peut s’avérer de nos jours insuffisante. Imaginons ce
scénario, qui malheureusement se produit de plus en plus souvent : un utilisateur qui rentre de
quelques semaines de congés se connecte lundi matin sur le réseau de son entreprise. Ses
définitions antivirus n’étant plus à jour et les derniers correctifs de sécurités n’ayant pas été
installés, comment être sûr que cette machine n’est pas infectée par un malware ? Si c’est
effectivement le cas, cette machine pourra tout de même se connecter en toute sérénité sur le
réseau interne de l’entreprise et ainsi risquer de contaminer les machines n’étant pas
immunisées contre cette menace. La parade serait de connecter manuellement le poste à
risque de cet utilisateur sur un réseau isolé sur lequel il pourrait appliquer les dernières mises
à jour avant de lui rendre un accès complet au reste du réseau, ce qui dans l’état actuel des
choses s’avérerait mission impossible.
Il existe actuellement plusieurs solutions pour filtrer l’accès au réseau, notamment la norme
802.1x ainsi que la technologie IPSec. Si c’est deux solutions s’avèrent parfaitement au point,
il n’en demeure pas moins qu’elles se basent sur une notion d’identité (c'est-à-dire une phase
d’authentification) pour autoriser ou refuser l’accès au réseau à un hôte. Bien qu’utilisant des
technologies existantes, telle IPSec, NAP s’inscrit dans une optique différente. Il ne s’agit
plus de filtrer l’accès au réseau en fonction du compte de l’utilisateur ou de la machine, mais
en fonction de son état de santé. Par état de santé, on entend la conformité avec les règles
édictées dans l’entreprise telles que la présence d’un pare-feu en état de marche ou encore
d’un antivirus à jour sur le système.
Le principe de fonctionnement global de NAP est basé sur un couple client/serveur. Lorsque
le client tente d’accéder au réseau ou à une ressource, il devra présenter son bilan de santé à
l’hôte distant. Selon les critères qu’il soit conforme ou non avec les règles de l’entreprise il se
verra autoriser à communiquer avec l’intégralité du réseau ou seulement une zone restreinte.
Pour parvenir à ce but, NAP repose sur un ensemble d’éléments interconnectés permettant
d’évaluer l’état de santé du client puis de le transmettre au serveur. Voici les éléments
importants opérant dans la vérification de la conformité :
La grande nouveauté de Windows Server 2008 en ce qui concerne la protection réseau est son
composant NPS, acronyme de Network Policy Server. Il s’agit du nouveau serveur RADIUS
de Microsoft destiné à remplacer IAS (Internet Authentification Service). Rappelons qu’un
serveur RADIUS a pour mission de centraliser l’authentification et l’autorisation en
s’appuyant généralement sur Active Directory. Entièrement reconçu, le service NPS se
présente comme la clé de voute de la technologie NAP. Quelque soit la méthode
d’enforcement que vous serez amenés à mettre en place, la configuration du service NPS sera
une étape déterminante dans la procédure.
Voici les principales options du serveur NPS :
Dans notre cas, les clients RADIUS qui seront utilisés seront principalement le serveur
d’accès distant VPN ainsi que le matériel réseau supportant la norme 802.1X. Il est important
de rappeler que les données transitant entre le client et le serveur RADIUS devraient toujours
être chiffrées (à l’aide d’IPSec par exemple). Il est aussi possible via ces options de
configuration de créer un ou des groupes de serveurs RADIUS distants. Cela permet à notre
serveur NPS de devenir proxy RADIUS en redirigeant des requêtes à d’autres serveurs
RADIUS de l’entreprise.
Les stratégies de requêtes de connexion : elles sont le point d’entrée des requêtes clients.
C’est sur cette page qu’il nous faudra créer nos stratégies de connexion, généralement une par
méthode de connexion (DHCP, VPN, HRA etc).
NPS dispose d’un assistant simplifiant la création des stratégies NAP (stratégie de connexion,
de réseau et de santé). Cet assistant, disponible en cliquant sur le nom du serveur NPS à la
racine de la console, permet de créer toutes les règles nécessaires au fonctionnement de NAP
selon la méthode de connexion que vous choisirez. Bien qu’assez pratique, il est important de
toujours vérifier ce que contiennent les règles ainsi créées afin de s’assurer qu’elles
correspondent à la politique de l’entreprise, mais aussi qu’elles sont suffisamment précises.
2.2 La configuration du client NAP
Au niveau du client, la configuration se résume à activer (si ce n’est déjà le cas) le service
d’Agent de Protection Réseau (NAP) ainsi qu’à activer les méthodes d’enforcement
(Enforcement Client, EC) à utiliser. Pour activer ces EC, il suffit d’ouvrir la console MMC de
NAP (démarrer\exécuter\MMC\Ajouter un composant logiciel enfichable\Configuration du
client NAP). Lorsque NAP est en fonction sur le client, les messages de contrôle sont affichés
directement dans la barre des tâches. Ces messages permettent à l’utilisateur de savoir s’il a
accès ou non à la totalité du réseau et dans la négative de consulter les raisons de sa non-
conformité. Grace aux stratégies de groupes (GPO), il est possible via Active Directory de
configurer tous vos clients d’un seul coup. Pour cela, Microsoft a rajouté de nouvelles options
concernant NAP dans ses modèles de GPO. Il est ainsi possible de forcer le démarrage du
service NAP sur le client, de choisir les méthodes d’enforcement qui devront être utilisées
mais aussi de configurer les options nécessaires à IPSec (autorité de certification racine de
confiance, les IP des serveurs HRA ou encore création des règles de connexion IPSec dans la
console avancée du pare-feu Windows).
Sur Windows Server 2008, NAP dispose nativement de cinq méthodes d’enforcement
chacune répondant à des besoins différents. De par la conception modulaire des composants
de NAP, il est possible d’envisager de futures méthodes d’enforcement. Concernant l’accès
physique au réseau de l’entreprise, il existe trois composants permettant de contrôler l’état du
client : l’accès au serveur DHCP, le filtrage à l’aide du protocole 802.1X ainsi que les
stratégies IPSec. Pour les clients se connectant à distance via VPN, il est aussi possible via le
nouveau serveur d’accès distant (Routing and Remote Access Server, RRAS) de Windows
Server 2008 d’effectuer un contrôle lors de la connexion d’un client VPN. Récemment,
Microsoft a aussi décidé de rendre utilisable NAP aux utilisateurs des services de Terminal
Server (bureau ou application à distante).
Difficulté de
Accès Infrastructure Niveau de
Avantages Inconvénients mise en
par nécessaire sécurité
place
Serveurs : Facilité de mise en Protection facilement
DHCP
DHCP, NPS place contournable
VPN Serveurs : Protection de Système
RRAS, NPS l'accès à distance d'authentification par
via VPN certificats obligatoires
Protection de
Serveurs : NPS, Protection réservée à un
TS l'accès distant via
IIS, TS usage spécifique
TS
Serveur :
NPS Matériel compatible
Efficacité,
Matériel réseau 802.1X obligatoire,
802.1X utilisable en filaire
compatible configuration du matériel
ou sans-fil
802.1X et obligatoire
VLAN
Méthode la plus
Serveurs : NPS, sécurisée, chaque
Difficulté de mise en
IPSec HRA, IIS, PKI poste décide avec
place
(IGC) qui il peut
communiquer.
Le protocole 802.1X est une norme permettant à du matériel réseau tel qu’un commutateur ou
un point d’accès sans-fil de faire appel à un serveur Radius pour authentifier et autoriser les
connexions d’un client. Dans le cas de NAP, l’intérêt va être de se baser sur l’état de santé du
client pour indiquer au matériel non pas si la connexion doit être acceptée ou refusée mais
plutôt avec qui le client aura la possibilité de communiquer. Pour cela il est nécessaire de faire
appel à une autre fonctionnalité de la partie matérielle : les VLAN (Virtual Local Area
Network). Ces réseaux virtuels permettront dans notre cas de créer deux VLAN distincts : le
premier pour les machines conformes, et le deuxième réservé aux postes en quarantaine et en
attente de remédiation. Cette méthode de contrôle d’accès reposant principalement sur la
partie matérielle de votre réseau, il vous faudra avoir du matériel compatible et les
connaissances pour mettre en place ce type d’infrastructure. Si vous utilisez déjà des systèmes
d’authentification par 802.1X il s’agit d’un excellent moyen de mettre en place efficacement
NAP.
2.3.3 Le contrôle d'accès par IPSec
En rendant le service d’accès distant (RRAS, Routing and Remote Access Server) de
Windows Server 2008 compatible avec NAP, Microsoft permet de supporter la protection
pour les clients distants. La configuration est relativement aisée puisqu’il suffit d’utiliser une
authentification par PEAP (Protected-Extensible Authentification Protocol). La mise en
quarantaine s’effectuera à l’aide de filtres IP configurés sur le serveur NPS. Le niveau de
sécurité de cette solution dépend directement des stratégies d’accès que vous avez créées, et
notamment la manière dont seront traités les clients ne supportant par NAP.
3. Cas pratiques
Cette partie va être consacrée à la mise en place de NAP avec les trois enforcements suivants :
DHCP, 802.1x et enfin IPSec. Cela permettra d’illustrer la manière de fonctionnement des
différentes méthodes d’accès réseau.
Composants nécessaires :
Pour la mise en place du DHCP avec NAP, nous allons avoir besoin du matériel suivant :
1. Un Windows Server 2008
2. Un client sous Windows Vista ou XP SP3
3.2 802.1x
Composants nécessaires :
Avec l’utilisation de NAP, IPSec utilisera l’authentification par certificat. Il faudra donc
mettre en place une infrastructure de gestion de clés (IGC ou PKI – Public Key
Infrastructure). Le principe pour chaque ordinateur est de demander un certificat de santé pour
pouvoir communiquer avec les autres postes.
IPsec va diviser votre réseau en trois zones logiques. Le but de cette division est de limiter
l’accès aux ordinateurs n’ayant pas de certificat de santé et de permettre aux ordinateurs
conformes à votre politique de santé de pourvoir communiquer de façon sécurisé. De cette
manière, les ordinateurs conformes auront un accès total au réseau et les non-conformes ne
pourront accéder qu’au serveur de « remediation » pour se mettre à jour ou au HRA pour
demander un certificat de santé.
Les trois zones logiques sont les suivantes :
La zone sécurisée :
Les ordinateurs de cette zone ont obligatoirement un certificat de santé valide et ils vont
exiger un certificat de santé pour les authentifications entrantes mais ne vont pas exiger de
certificat pour les connexions sortantes. Grâce à cette politique, les ordinateurs de la zone
sécurisée ont accès aux ressources de toutes les zones et seulement les ordinateurs ayant un
certificat de santé ont accès aux ressources de cette zone.
On peut par exemple mettre dans cette zone les serveurs Mails et le serveur NPS.
La zone intermédiaire :
Les ordinateurs membres de cette zone ont tous un certificat de santé valide mais ne vont pas
exiger de certificats pour les connexions entrantes. Cette politique permet aux ordinateurs
membres de la zones sécurisée et intermédiaire de communiquer de façon sécurisée. Les
autres ordinateurs n’ayant pas de certificats de santé pourront aussi communiquer avec les
ordinateurs de cette zone.
On met généralement dans cette zone le serveur HRA pour que les clients conformes n’ayant
pas de certificat puissent en avoir un. On y inclut aussi les serveurs de « remediation » pour
mettre à jour les clients non conformes.
La zone restreinte :
Dans cette zone se trouve les ordinateurs n’ayant pas de certificats de santé valide. Il peut y
avoir les ordinateurs non conformes et les conformes mais qui n’ont pas encore reçu leur
certificat de santé. Les ordinateurs de cette zone ont accès aux ressources de la zone
intermédiaire pour demander un certificat de santé au HRA ou se mettre à jour pour devenir
conforme en se connectant au serveur de « remediation ».
Composants nécessaires :
Plannification :
De par sa gestion non-centralisée, c’est à dire que la connexion réseau n’est pas contrôlée en
un unique point d’entrée comme pour les autres méthodes d’enforcement, le déploiement de
NAP par IPSec dans un environnement de production se doit être planifié avec encore plus de
soin que pour les autres solutions et la phase de test doit être rigoureuse et approfondie. En
effet, une erreur de configuration pourrait entraîner une rupture de la communication des
clients avec tous les autres hôtes réseaux. Si cela survenait, il faudrait reprendre la
configuration de chaque machines à la main.
3. Conclusion
Bien qu’encore en version béta, NAP s’annonce déjà comme une technologie quasi
incontournable pour contrôler efficacement l’état des machines de nos infrastructures
informatiques. Microsoft a réussi un tour de force avec ce produit en basant son système sur
des technologies telle IPSec, désormais courantes en entreprise. D’autre part, avec sa structure
modulaire et les nombreux partenaires de Microsoft impliqués dans cette aventure, il y’a fort à
parier que NAP évoluera rapidement pour combler tous les besoins de l’entreprise dans un
domaine assez nouveau en sécurité informatique : le contrôle de l’accès réseau par l’état de
santé.