3. Cas pratiques
Cette partie va être consacrée à la mise en place de NAP avec les trois enforcements suivants : DHCP, 802.1x et enfin IPSec. Cela permettra d’illustrer la manière de fonctionnement des différentes méthodes d’accès réseau.
3.1 Contrôle de la conformité par DHCP
Composants nécessaires :
Pour la mise en place du DHCP avec NAP, nous allons avoir besoin du matériel suivant :
- Un Windows Server 2008
- Un client sous Windows Vista ou XP SP3
Configuration de Windows Server 2008 :
Sur ce serveur nous allons installer les rôles suivants : Contrôleur de domaine, DNS, DHCP, NPS.
Une fois les différents rôles installés, la première étape est d’activer la fonctionnalité de NAP sur l’étendue DHCP. Cette option se configure dans les propriétés de l’étendue grâce au nouvel onglet « Network Access Protection ». Il est aussi possible de configurer le comportement du serveur DHCP si le serveur NPS est inaccessible dans les propriétés IPv4.
Au niveau des options d’étendue, une nouvelle classe d’utilisateur est ajoutée « Default Network Access Protection Class ». Cette nouvelle option est utilisée lorsque un client non conforme fait une demande d’adresse IP. Les clients conformes utiliseront la classe d’utilisateur par défaut.
La dernière étape est la configuration du serveur NPS en créant les stratégies réseaux avec ou sans l’aide de l’assistant.
3.2 802.1x
Composants nécessaires :
- Un Windows Server 2008 exécutant NPS
- Un client sous Windows Vista ou XP SP3
- Un commutateur ou une borne wifi prenant en charge le protocole 802.1X et la gestion des VLAN
Configuration de Windows Server 2008 :
La configuration de la partie système est relativement simple. Premièrement, il faut installer un certificat d’ordinateur sur notre Windows Server 2008 permettant de faire fonctionner correctement l’authentification PEAP (Protected Extensible Authentication Protocol).
Afin d’autoriser le client RADIUS à communiquer avec notre serveur NPS, il faut l’ajouter comme client RADIUS et sélectionner la case indiquant que le client RADIUS est compatible avec NAP (« Client is NAP-Capable »).
Vient ensuite la configuration des stratégies NPS. Pour cela nous créerons une stratégie de connexion possédant une condition basée sur l’adresse IP du client RADIUS, c'est-à-dire le point d’accès ou le commutateur 802.1X.
Dernier point concernant la configuration de notre serveur NPS : créer la règle de réseau permettant de spécifier sur quel VLAN doit être un client « Conforme » et sur quel VLAN sera un client « non-conforme ». Pour cela nous ferons appel à l’attribut « VLAN ID » de RADIUS.
Configuration de la partie matérielle :
Le commutateur ou le point d’accès sans-fil devra être configuré de manière à gérer deux VLAN. Le premier sera réservé aux ordinateurs ayant été déclaré conforme par le serveur NPS, et le deuxième sera constitué des machines en quarantaine. Ce dernier VLAN devra bien sûr contenir les éventuels serveurs de remédiation. Dernier point de la configuration matérielle : activer le protocole 802.1X afin de rediriger l’authentification sur le serveur NPS.
3.3 IPSec
Avec l’utilisation de NAP, IPSec utilisera l’authentification par certificat. Il faudra donc mettre en place une infrastructure de gestion de clés (IGC ou PKI – Public Key Infrastructure). Le principe pour chaque ordinateur est de demander un certificat de santé pour pouvoir communiquer avec les autres postes.
IPsec va diviser votre réseau en trois zones logiques. Le but de cette division est de limiter l’accès aux ordinateurs n’ayant pas de certificat de santé et de permettre aux ordinateurs conformes à votre politique de santé de pourvoir communiquer de façon sécurisé. De cette manière, les ordinateurs conformes auront un accès total au réseau et les non-conformes ne pourront accéder qu’au serveur de « remediation » pour se mettre à jour ou au HRA pour demander un certificat de santé.
Les trois zones logiques sont les suivantes :
La zone sécurisée :
Les ordinateurs de cette zone ont obligatoirement un certificat de santé valide et ils vont exiger un certificat de santé pour les authentifications entrantes mais ne vont pas exiger de certificat pour les connexions sortantes. Grâce à cette politique, les ordinateurs de la zone sécurisée ont accès aux ressources de toutes les zones et seulement les ordinateurs ayant un certificat de santé ont accès aux ressources de cette zone.
On peut par exemple mettre dans cette zone les serveurs Mails et le serveur NPS.
La zone intermédiaire :
Les ordinateurs membres de cette zone ont tous un certificat de santé valide mais ne vont pas exiger de certificats pour les connexions entrantes. Cette politique permet aux ordinateurs membres de la zones sécurisée et intermédiaire de communiquer de façon sécurisée. Les autres ordinateurs n’ayant pas de certificats de santé pourront aussi communiquer avec les ordinateurs de cette zone.
On met généralement dans cette zone le serveur HRA pour que les clients conformes n’ayant pas de certificat puissent en avoir un. On y inclut aussi les serveurs de « remediation » pour mettre à jour les clients non conformes.
La zone restreinte :
Dans cette zone se trouve les ordinateurs n’ayant pas de certificats de santé valide. Il peut y avoir les ordinateurs non conformes et les conformes mais qui n’ont pas encore reçu leur certificat de santé. Les ordinateurs de cette zone ont accès aux ressources de la zone intermédiaire pour demander un certificat de santé au HRA ou se mettre à jour pour devenir conforme en se connectant au serveur de « remediation ».
Composants nécessaires :
- Un Windows Server 2003
- Un Windows Server 2008
- Un client sous Windows Vista ou XP SP3
Configuration de Windows Server 2003
Notre Windows Server 2003 devra gérer les rôles suivants : Contrôleur de domaine et autorité de certification racine.
Après l’installation des différents rôles, nous allons créer un groupe de sécurité local d’exemption pour y mettre le serveur NPS. Les ordinateurs de ce groupe d’exemption pourront avoir un certificat de santé sans vérification. Ce certificat est valable un an alors que les certificats de santé pour les clients devront être renouveler par défaut toutes les 4 heures.
Il faudra ensuite configurer les modèles de certificats. Le plus simple est de dupliquer le modèle de certificat « Authentification de station de travail » pour créer le certificat de santé et de le publier dans Active Directory. Dans l’onglet sécurité du certificat, il faudra ajouter le groupe d’exemption pour qu’il puisse s’inscrire automatiquement à ce certificat.
Le paramètre d’inscription automatique des certificats doit aussi être activé à l’aide d’une GPOs.
La dernière étape sur le serveur 2003 consiste à créer deux OUs : « Zone intermédiaire » et « Zone sécurisée ». Nous mettrons dans ces OUs les ordinateurs appartenant aux deux zones : Sécurisée et intermédiaire.
Configuration de Windows Server 2008 :
Le serveur 2008 devra gérer les rôles suivants : NPS, HRA, autorité de certification et IIS
L’autorité de certification doit être une autorité de certification secondaire (Subordinate CA) en mode « Standalone » (c’est à dire qu’elle ne devra pas utiliser Active Directory pour fonctionner).
La première chose à faire est de rajouter le serveur NPS au groupe AD d’exemption créé précédemment pour qu’il puisse récupérer un certificat de santé valable 1 an.
Le HRA doit permettre au service réseau de délivrer et de gérer les certificats. Cette permission est à configurer dans l’onglet sécurité de l’autorité de certification.
La dernière étape est de configurer le serveur NPS. La façon la plus simple est de créer directement les stratégies réseaux avec l’assistant de configuration.
Plannification :
De par sa gestion non-centralisée, c’est à dire que la connexion réseau n’est pas contrôlée en un unique point d’entrée comme pour les autres méthodes d’enforcement, le déploiement de NAP par IPSec dans un environnement de production se doit être planifié avec encore plus de soin que pour les autres solutions et la phase de test doit être rigoureuse et approfondie. En effet, une erreur de configuration pourrait entraîner une rupture de la communication des clients avec tous les autres hôtes réseaux. Si cela survenait, il faudrait reprendre la configuration de chaque machines à la main.
 Introduction
1. Présentation de NAP
1.1 Une protection nécessaire
1.2 Des technologies éprouvées
1.3 Principe de fonctionnement de NAP
2. Les éléments fondamentaux du système de protection
2.1 Un nouveau serveur RADIUS : NPS
2.1.1 Clients et serveurs RADIUS
2.1.2 Les stratégies RADIUS
2.1.3 Network Access Protection
2.1.4 L'assistant de configuration de NPS
2.2 La configuration du client NAP
2.3 Les méthodes d'accès au réseau compatibles avec NAP
2.3.1 Le contrôle d'accès par DHCP
2.3.2 Le contrôle d'accès par 802.1X
2.3.3 Le contrôle d'accès par IPSec
2.3.4 Le contrôle d'accès par VPN
2.3.5 Le contrôle d'accès par Terminal Server
3. Cas pratiques
3.1 Contrôle de la conformité par DHCP
3.2 Contrôle de la conformité par 802.1X
3.3 Contrôle de la conformité par IPSec
Conclusion
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Windows Server 2008 : Network Access Protection
