	SUPINFO Institute of Information Technology Laboratoire Microsoft		Laboratoire Microsoft \| Blog \| Forum \| FaqXP \| CertifExpress

Ajouter laboratoire-microsoft.org à mes favoris

Faire de laboratoire-microsoft.org ma page par défaut

Accueil News Articles Essentiels Vidéos Express Scripts Windows Outils d'administration Logiciels Pocket PC Whitepapers Définitions Histoires droles Perles :-) Easter Eggs Livres

Espace membres :

Mot de Passe oublié ?
Créer un compte

CodeName :

Rainier
Qu'est ce que c'est ?

Tips :

Activer ou désactiver les mises à jour automatiques sur Windows Server 2008 Core Edition Procédure d`activation téléphonique pour Windows Server 2008 Core Edition Terminer un processus en ligne de commande Lister les processus en ligne de commande Donner des priorites a vos emails sous Outlook 2007 Vous trouvez que Powershell est long a démarrer? Activer le filtrage des utilisateurs sur le serveur EDGE (Exchange 2007) Gérer votre compte Live Hotmail via Outlook 2003/2007 Import Export automatique d''informations de la base de registre Activer Windows Server 2008 Edition Core

Fonds d'écran :

Factoids :

18 Mai 2005
Qu'est ce que c'est ?

4513 Visiteurs

Site audité par :

Jugez notre site !

Tous les Articles du Laboratoire Microsoft

Windows Server 2008 : Network Access Protection
Accueil > Articles > Réseaux

Auteur

Alexandre VILLOING
LABORATOIRE SUPINFO DES TECHNOLOGIES MICROSOFT

Tous les articles de cet auteur

Alexandre WETTA
LABORATOIRE SUPINFO DES TECHNOLOGIES MICROSOFT
Etudiant

Tous les articles de cet auteur

5/5

Très Bien

20581
1/5

1. Présentation de NAP

1.1 Une protection nécessaire

Depuis plusieurs années maintenant, la question de la sécurité informatique a pris une place considérable dans les décisions des entreprises. La majorité d’entres elles n’hésitent plus à investir de manière conséquente dans du matériel et des solutions de plus en plus pointues destinées à garantir l’intégrité de leur infrastructure. La plupart du temps, les solutions misent en place visent à protéger le réseau des menaces extérieures (pare-feu, antivirus etc) ce qui, bien qu’être une nécessité absolue peut s’avérer de nos jours insuffisante. Imaginons ce scénario, qui malheureusement se produit de plus en plus souvent : un utilisateur qui rentre de quelques semaines de congés se connecte lundi matin sur le réseau de son entreprise. Ses définitions antivirus n’étant plus à jour et les derniers correctifs de sécurités n’ayant pas été installés, comment être sûr que cette machine n’est pas infectée par un malware ? Si c’est effectivement le cas, cette machine pourra tout de même se connecter en toute sérénité sur le réseau interne de l’entreprise et ainsi risquer de contaminer les machines n’étant pas immunisées contre cette menace. La parade serait de connecter manuellement le poste à risque de cet utilisateur sur un réseau isolé sur lequel il pourrait appliquer les dernières mises à jour avant de lui rendre un accès complet au reste du réseau, ce qui dans l’état actuel des choses s’avérerait mission impossible.

La solution ? La technologie NAP, pour Network Access Protection (Protection de l’Accès Réseau), développée par Microsoft. NAP va permettre d’effectuer cela de manière automatique et transparente, que ce soit pour l’utilisateur ou pour les équipes informatiques.

1.2 Des technologies éprouvées

Il existe actuellement plusieurs solutions pour filtrer l’accès au réseau, notamment la norme 802.1x ainsi que la technologie IPSec. Si c’est deux solutions s’avèrent parfaitement au point, il n’en demeure pas moins qu’elles se basent sur une notion d’identité (c'est-à-dire une phase d’authentification) pour autoriser ou refuser l’accès au réseau à un hôte. Bien qu’utilisant des technologies existantes, telle IPSec, NAP s’inscrit dans une optique différente. Il ne s’agit plus de filtrer l’accès au réseau en fonction du compte de l’utilisateur ou de la machine, mais en fonction de son état de santé. Par état de santé, on entend la conformité avec les règles édictées dans l’entreprise telles que la présence d’un pare-feu en état de marche ou encore d’un antivirus à jour sur le système.

1.3 Principe de fonctionnement de NAP

Le principe de fonctionnement global de NAP est basé sur un couple client/serveur. Lorsque le client tente d’accéder au réseau ou à une ressource, il devra présenter son bilan de santé à l’hôte distant. Selon les critères qu’il soit conforme ou non avec les règles de l’entreprise il se verra autoriser à communiquer avec l’intégralité du réseau ou seulement une zone restreinte. Pour parvenir à ce but, NAP repose sur un ensemble d’éléments interconnectés permettant d’évaluer l’état de santé du client puis de le transmettre au serveur. Voici les éléments importants opérant dans la vérification de la conformité :

SHA (System Health Agent) : les agents de d’état système analysent différents critères du système (pare-feu activé, mises à jour automatique activées, version des signatures de l’antivirus etc). La force des SHA est qu’ils reposent sur une structure modulaire ce qui signifie qu’il est parfaitement possible à des éditeurs tiers de fournir leur propre SHA afin de tester n’importe quel paramètre du client.
SoH (Statement of Health) : chaque SHA enregistre les informations collectées dans un SoH qui devient donc le bulletin d’état d’un agent d’état.
SSoH (System Statement of Health) : tous les bulletins d’état précédemment créés sont fusionnés pour former le bulletin d’état du système. C’est ce bulletin qui sera transmis au serveur distant.
EC (Enforcement Client) : il s’agit du module client qui a pour mission d’envoyer le SSoH au serveur distant. Les EC sont par défaut au nombre de cinq sur un client NAP. Il s’agit des clients DHCP, VPN, 802.1X (filaire ou sans-fil) ainsi que IPSec.
ES (Enforcement Server) : il s’agit du module serveur sur le serveur d’accès (DHCP, VPN etc) qui doit récupérer le SSoH du client.
NPS (Network Policy Server) : il s’agit du nouveau serveur Radius de Microsoft qui a notamment la capacité de supporter NAP.
SHV (System Health Validator) : les SHV sont la version serveur des SHA. Ils ont pour mission de vérifier la conformité de la configuration du client grâce à l’analyse des SoH.

Fonctionnement théorique de la technologie NAP

Quelque soit la méthode de vérification de la conformité utilisée, le principe reste toujours le même :

Lorsque le client tente d’établir sa connexion sur un serveur requérant NAP, il est invité à fournir son bulletin de santé.
Chaque SHA génère un bulletin d’état SoH indiquant l’état de cet agent. Par exemple, un SHA destiné à contrôler l’état d’activation du pare-feu indiquera dans son SoH si le pare-feu est activé ou non.
Les SoH de tous les SHA sont fusionnés pour former le bulletin d’état du système SSoH.
Le SSoH est transmis par le service NAP au client réseau EC nécessaire.
Le SSoH est réceptionné par le serveur réseau ES.
Le serveur réseau ES envoi une demande d’accès au serveur Radius NPS/NAP (message « Access-Request ») en lui transmettant le SSoH du client.
Afin de valider l’état de santé, le serveur NPS transmet le SSoH au serveur d’administration NAP qui décompose le SSoH en SoH
Chaque SoH est transmis au validateur d’état SHV correspondant.
Les SHV informent le serveur d’administration NAP du résultat des analyses.
En fonction des règles créées sur le serveur NPS, l’accès est accordé (message « Access-Accept ») ou refusé avec éventuellement la consigne nécessaire permettant au client de se mettre en conformité avec les stratégies, le tout stocké dans le SSoHR (Réponse SoH).
Le serveur d’accès ES transmet, selon la réponse du serveur NPS, les informations nécessaires pour se connecter ou les informations nécessaires pour devenir conforme.

Introduction
1. Présentation de NAP
       1.1 Une protection nécessaire
       1.2 Des technologies éprouvées
       1.3 Principe de fonctionnement de NAP
2. Les éléments fondamentaux du système de protection
       2.1 Un nouveau serveur RADIUS : NPS
              2.1.1 Clients et serveurs RADIUS
              2.1.2 Les stratégies RADIUS
              2.1.3 Network Access Protection
              2.1.4 L'assistant de configuration de NPS
       2.2 La configuration du client NAP
       2.3 Les méthodes d'accès au réseau compatibles avec NAP
              2.3.1 Le contrôle d'accès par DHCP
              2.3.2 Le contrôle d'accès par 802.1X
              2.3.3 Le contrôle d'accès par IPSec
              2.3.4 Le contrôle d'accès par VPN
              2.3.5 Le contrôle d'accès par Terminal Server
3. Cas pratiques
       3.1 Contrôle de la conformité par DHCP
       3.2 Contrôle de la conformité par 802.1X
       3.3 Contrôle de la conformité par IPSec
Conclusion

En Savoir Plus

Evaluez cet article

Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft

Retrouvez ci-dessous les autres sections du Laboratoire Microsoft

BCC Student - TGE vague 2

Définitions

Accès direct aux définitions :
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Effectuez une recherche dans les définitions :

Toutes les définitions Proposer une définition

Forum Espace Windows XP Espace Windows 2003 Espace Exchange Espace ISA Server Espace Sécurité Espace Emploi Tous les espaces

Le Laboratoire | Nous Contacter | Outils Webmasters