2. Les éléments fondamentaux du système de protection
Actuellement, le seul système d’exploitation serveur capable de gérer la technologie NAP est Windows Server 2008. Si le client officiel de Windows Server 2008, Windows Vista, gère nativement toutes les fonctionnalités de NAP, Windows XP équipé du service pack 3 (SP3) est lui aussi en mesure de tirer parti de la plupart des avantages de cette technologie.
2.1 Un nouveau serveur RADIUS : NPS
La grande nouveauté de Windows Server 2008 en ce qui concerne la protection réseau est son composant NPS, acronyme de Network Policy Server. Il s’agit du nouveau serveur RADIUS de Microsoft destiné à remplacer IAS (Internet Authentification Service). Rappelons qu’un serveur RADIUS a pour mission de centraliser l’authentification et l’autorisation en s’appuyant généralement sur Active Directory. Entièrement reconçu, le service NPS se présente comme la clé de voute de la technologie NAP.
Quelque soit la méthode d’enforcement que vous serez amenés à mettre en place, la configuration du service NPS sera une étape déterminante dans la procédure.
Voici les principales options du serveur NPS :
2.1.1 Clients et serveurs RADIUS
Dans notre cas, les clients RADIUS qui seront utilisés seront principalement le serveur d’accès distant VPN ainsi que le matériel réseau supportant la norme 802.1X. Il est important de rappeler que les données transitant entre le client et le serveur RADIUS devraient toujours être chiffrées (à l’aide d’IPSec par exemple).
Il est aussi possible via ces options de configuration de créer un ou des groupes de serveurs RADIUS distants. Cela permet à notre serveur NPS de devenir proxy RADIUS en redirigeant des requêtes à d’autres serveurs RADIUS de l’entreprise.
2.1.2 Les stratégies RADIUS
Les stratégies de requêtes de connexion : elles sont le point d’entrée des requêtes clients. C’est sur cette page qu’il nous faudra créer nos stratégies de connexion, généralement une par méthode de connexion (DHCP, VPN, HRA etc).
Une stratégie de connexion NPS se décompose en deux parties :
-
Les stratégies de requêtes de connexion : elles sont le point d’entrée des requêtes clients. C’est sur cette page qu’il nous faudra créer nos stratégies de connexion, généralement une par méthode de connexion (DHCP, VPN, HRA etc).
Une stratégie de connexion NPS se décompose en deux parties :
- Les conditions : configurez ici au minimum une condition qui permettra à cette règle d’être sélectionnée pour cette demande de connexion. Vous pouvez ajoutez des critères comme l’appartenance de l’utilisateur à un groupe spécifique, l’heure de la demande ou encore son adresse IP. Pour chaque demande de connexion, NPS parcourra chaque règle de connexion (par ordre de priorité) jusqu’à ce qu’il en trouve une dans laquelle les conditions spécifiées correspondent aux paramètres de cette demande. Si aucune règle de connexion ne correspond avec la demande en cours, NPS renverra un accès refusé au client RADIUS.
- Les paramètres de configuration : lorsque le serveur NPS a trouvé une règle correspondant aux conditions précédentes, il consultera les paramètres de connexions pour savoir comment traiter cette demande. L’option importante dans cet onglet est la manière dont l’authentification sera réalisée. Il est possible de rediriger les règles sur un groupe de serveur RADIUS préalablement créé (voir précédemment), d’autoriser l’accès sans vérifier l’autorisation (dans ce cas, toutes les requêtes de connexion correspondantes à cette règle seront automatiquement approuvées) ou encore, ce qui est le cas par défaut, de traiter les demandes sur ce serveur NPS. Dans ce cas, la requête va être analysée dans les stratégies réseau.
- Les stratégies réseau : deuxième étape du traitement d’une requête de connexion, il s’agit de vérifier dans les stratégies réseau si la demande doit-être ou non autorisée. Pour cela, il faut créer des règles de réseau. Ces règles se décomposent en trois parties :
- Les conditions : comme pour les requêtes de connexion, il s’agit de spécifier des critères permettant au serveur NPS de définir quelle règle il doit utiliser pour traiter cette demande. Dans le cas de NAP, c’est ici qu’il sera possible de vérifier si la requête provient d’un client compatible avec NAP, et si oui, si le client est conforme (« compliant ») avec les règles de santé de l’entreprise.
- Les contraintes de connexion : lorsque NPS trouve dans la liste une règle de réseau utilisable pour autoriser cette demande de connexion, il consulte la liste des contraintes. Il s’agit notamment dans notre cas des méthodes d’authentification. Il est possible de sélectionner des méthodes conventionnelles (MS-CHAP v2, EAP) mais aussi d’effectuer uniquement un test de santé, ce qui aura pour effet de ne pas authentifier l’utilisateur. Cela est par exemple utile dans le cas de l’enforcement par DHCP qui ne permet pas de fournir les informations d’authentification.
- Les paramètres de configuration de la règle : c’est la partie la plus importante en ce qui concerne NAP. C’est ici qu’il nous est possible de spécifier si le client peut accéder à l’intégralité du réseau (cas où la machine cliente est considérée comme « en bonne santé » vis à vis des règles de l’entreprise) ou si elle doit être restreinte à la zone de quarantaine (machine non-conforme). C’est aussi dans cet onglet qu’il est possible de spécifier si l’auto-remédiation (faculté d’indiquer au client non-conforme ce qu’il doit faire pour devenir conforme) doit être utilisé.
- Les stratégies de santé : c’est ici qu’il nous faudra configurer les règles de l’entreprise en matière de « bonne santé ». Typiquement, il nous faudra créer deux stratégies de santé : la première indiquant que si le client passe avec succès tous les tests d’état il sera considéré comme « conforme » et la deuxième dans laquelle on pourrait dire que si le client échoue à un seul de ces tests il doit être considéré comme « non-conforme »
2.1.3 Network Access Protection
System Health Validators : c’est ici qu’il est possible de configurer les validateurs d’état système (SHV). Par défaut, il n’existe qu’un seul SHV : celui fournit par Microsoft qui a pour fonctionnalité d’auditer : l’état du pare-feu, de l’antivirus, de la protection antispyware, des mises à jour automatiques ainsi que des mises à jour installées sur le client. Concernant les mises à jour, NPS pourra soit consulter Windows Update, soit consulter un serveur WSUS en interne afin de s’assurer de la conformité du client. Sous Windows XP SP3, la seule option en moins est l’analyse de l’antispyware (car non gérée dans le centre de sécurité de Windows).
C’est aussi ici qu’il est possible de choisir la décision qui devra être prise dans le cas où un SHV ou un SHA n’est pas disponible.
Groupes de serveurs de remédiation : lorsqu’un client est considéré comme non conforme par les stratégies NPS, il est possible de lui indiquer un ensemble de ressources lui permettant de se remettre en conformité. Cela peut inclure des serveurs fournissant les mises à jour du système ou encore de l’antivirus.
2.1.4 L'assistant de configuration de NPS
NPS dispose d’un assistant simplifiant la création des stratégies NAP (stratégie de connexion, de réseau et de santé). Cet assistant, disponible en cliquant sur le nom du serveur NPS à la racine de la console, permet de créer toutes les règles nécessaires au fonctionnement de NAP selon la méthode de connexion que vous choisirez.
Bien qu’assez pratique, il est important de toujours vérifier ce que contiennent les règles ainsi créées afin de s’assurer qu’elles correspondent à la politique de l’entreprise, mais aussi qu’elles sont suffisamment précises.
2.2 La configuration du client NAP
Au niveau du client, la configuration se résume à activer (si ce n’est déjà le cas) le service d’Agent de Protection Réseau (NAP) ainsi qu’à activer les méthodes d’enforcement (Enforcement Client, EC) à utiliser. Pour activer ces EC, il suffit d’ouvrir la console MMC de NAP (démarrer\exécuter\MMC\Ajouter un composant logiciel enfichable\Configuration du client NAP).
Lorsque NAP est en fonction sur le client, les messages de contrôle sont affichés directement dans la barre des tâches. Ces messages permettent à l’utilisateur de savoir s’il a accès ou non à la totalité du réseau et dans la négative de consulter les raisons de sa non-conformité.
Grace aux stratégies de groupes (GPO), il est possible via Active Directory de configurer tous vos clients d’un seul coup. Pour cela, Microsoft a rajouté de nouvelles options concernant NAP dans ses modèles de GPO.
Il est ainsi possible de forcer le démarrage du service NAP sur le client, de choisir les méthodes d’enforcement qui devront être utilisées mais aussi de configurer les options nécessaires à IPSec (autorité de certification racine de confiance, les IP des serveurs HRA ou encore création des règles de connexion IPSec dans la console avancée du pare-feu Windows).
2.3 Les méthodes d'accès au réseau compatibles avec NAP
Sur Windows Server 2008, NAP dispose nativement de cinq méthodes d’enforcement chacune répondant à des besoins différents. De par la conception modulaire des composants de NAP, il est possible d’envisager de futures méthodes d’enforcement.
Concernant l’accès physique au réseau de l’entreprise, il existe trois composants permettant de contrôler l’état du client : l’accès au serveur DHCP, le filtrage à l’aide du protocole 802.1X ainsi que les stratégies IPSec. Pour les clients se connectant à distance via VPN, il est aussi possible via le nouveau serveur d’accès distant (Routing and Remote Access Server, RRAS) de Windows Server 2008 d’effectuer un contrôle lors de la connexion d’un client VPN. Récemment, Microsoft a aussi décidé de rendre utilisable NAP aux utilisateurs des services de Terminal Server (bureau ou application à distante).
Accès par |
Infrastructure nécessaire |
Avantages |
Inconvénients |
Niveau de sécurité |
Difficulté de mise en place |
DHCP |
Serveurs : DHCP, NPS |
Facilité de mise en place |
Protection facilement contournable |
|
|
VPN |
Serveurs : RRAS, NPS |
Protection de l'accès à distance via VPN |
Système d'authentification par certificats obligatoires |
|
|
TS |
Serveurs : NPS, IIS, TS |
Protection de l'accès distant via TS |
Protection réservée à un usage spécifique |
|
|
802.1X |
Serveur : NPS Matériel réseau compatible 802.1X et VLAN |
Efficacité, utilisable en filaire ou sans-fil |
Matériel compatible 802.1X obligatoire, configuration du matériel obligatoire |
|
|
IPSec |
Serveurs : NPS, HRA, IIS, PKI (IGC) |
Méthode la plus sécurisée, chaque poste décide avec qui il peut communiquer. |
Difficulté de mise en place |
|
|
2.3.1 Le contrôle d'accès par DHCP
La protection réseau par DHCP présente l’avantage de contrôler la conformité du client au moment même où il tente de se connecter au réseau (actuellement seul l’adressage IPv4 est supporté). La fonction mise en quarantaine du client est basée sur la configuration IP qui sera renvoyée au client non-conforme. Pour cela, une nouvelle classe DHCP dédiée à NAP à été créé permettant de configurer des options spécifiques aux clients non conformes. Sa très grande simplicité de mise en place cache néanmoins un inconvénient de taille : il est aisé pour un utilisateur d’utiliser une configuration IP manuelle et donc de contourner la protection. Il est préférable dans la mesure du possible d’opter pour l’une des deux autres méthodes de contrôle de l’accès au réseau physique.
2.3.2 Le contrôle d'accès par 802.1X
Le protocole 802.1X est une norme permettant à du matériel réseau tel qu’un commutateur ou un point d’accès sans-fil de faire appel à un serveur Radius pour authentifier et autoriser les connexions d’un client. Dans le cas de NAP, l’intérêt va être de se baser sur l’état de santé du client pour indiquer au matériel non pas si la connexion doit être acceptée ou refusée mais plutôt avec qui le client aura la possibilité de communiquer. Pour cela il est nécessaire de faire appel à une autre fonctionnalité de la partie matérielle : les VLAN (Virtual Local Area Network). Ces réseaux virtuels permettront dans notre cas de créer deux VLAN distincts : le premier pour les machines conformes, et le deuxième réservé aux postes en quarantaine et en attente de remédiation.
Cette méthode de contrôle d’accès reposant principalement sur la partie matérielle de votre réseau, il vous faudra avoir du matériel compatible et les connaissances pour mettre en place ce type d’infrastructure. Si vous utilisez déjà des systèmes d’authentification par 802.1X il s’agit d’un excellent moyen de mettre en place efficacement NAP.
2.3.3 Le contrôle d'accès par IPSec
La méthode d’enforcement par IPSec se démarque par son mode de fonctionnement. A l’inverse des quatre autres solutions disponibles, l’accès ne sera plus filtré au point d’entrée du réseau (DHCP, VPN etc) mais ce sera chaque machine qui décidera en fonction de sa configuration si elle peut ou non communiquer avec des hôtes non conformes.
Son principe de fonctionnement à part impose un composant supplémentaire pour fonctionner : l’autorité d’enregistrement de santé (Health Registration Authorities, HRA). Le rôle de cette autorité est de fournir un certificat de santé aux clients conformes avec les règles inscrites sur le serveur NPS. Ce certificat est un certificat numérique utilisant la norme X509 V3 disposant de deux rôles : l’authentification du client et la preuve de la conformité. L’avantage de ce système de certificat est qu’il suffira à un client de présenter son certificat à un hôte distant pour lui prouver que son état de santé à été déclaré conforme par le serveur NPS. Ce certificat a une durée de vie très faible permettant d’éviter les tâches d’administration inhérentes à la gestion des certificats révoqués.
Cette méthode est la plus sécurisée car elle permet d’obtenir une infrastructure sécurisée par IPSec qui se base aussi sur l’état de santé du client pour la phase d’authentification.
2.3.4 Le contrôle d'accès par VPN
En rendant le service d’accès distant (RRAS, Routing and Remote Access Server) de Windows Server 2008 compatible avec NAP, Microsoft permet de supporter la protection pour les clients distants. La configuration est relativement aisée puisqu’il suffit d’utiliser une authentification par PEAP (Protected-Extensible Authentification Protocol). La mise en quarantaine s’effectuera à l’aide de filtres IP configurés sur le serveur NPS. Le niveau de sécurité de cette solution dépend directement des stratégies d’accès que vous avez créées, et notamment la manière dont seront traités les clients ne supportant par NAP.
2.3.5 Le contrôle d'accès par Terminal Server
TS Gateway permet aux utilisateurs de se connecter sur le réseau de l’entreprise à partir d’Internet en utilisant une connexion sécurisée (RDP over HTTPS). En fonction de votre politique, les utilisateurs pourront avoir accès au bureau entier de Windows ou alors à une ou plusieurs applications. L’implémentation de NAP permet d’augmenter la sécurité de votre réseau en acceptant seulement les clients avec un bulletin de santé conforme à votre politique.
 Introduction
1. Présentation de NAP
1.1 Une protection nécessaire
1.2 Des technologies éprouvées
1.3 Principe de fonctionnement de NAP
2. Les éléments fondamentaux du système de protection
2.1 Un nouveau serveur RADIUS : NPS
2.1.1 Clients et serveurs RADIUS
2.1.2 Les stratégies RADIUS
2.1.3 Network Access Protection
2.1.4 L'assistant de configuration de NPS
2.2 La configuration du client NAP
2.3 Les méthodes d'accès au réseau compatibles avec NAP
2.3.1 Le contrôle d'accès par DHCP
2.3.2 Le contrôle d'accès par 802.1X
2.3.3 Le contrôle d'accès par IPSec
2.3.4 Le contrôle d'accès par VPN
2.3.5 Le contrôle d'accès par Terminal Server
3. Cas pratiques
3.1 Contrôle de la conformité par DHCP
3.2 Contrôle de la conformité par 802.1X
3.3 Contrôle de la conformité par IPSec
Conclusion
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Windows Server 2008 : Network Access Protection
