La mise en place de la quarantaine réseau
3. La mise en place de NAP via IPSec
Les options particulières apparaissent avec une classe réseau spécifique.
La stratégie de quarantaine DHCP peut maintenant être activée sur DHCP, soit par une stratégie, soit directement dans l’outil de configuration du client NAP que l’on peut lancer par la commande NAPCLCFG.MSC.
En cas d’arrêt du service PareFeu Windows, la station ne sera plus conforme. Si la mise à jour automatique a été autorisée et que les serveurs de dépannages sont accessibles, les réparations sont effectuées immédiatement. Dans notre cas, le redémarrage immédiat du service PareFeu remet la station en conformité et fonctionnelle.
Utilisez la commande napstat.exe pour vérifier le statut de conformité des stations par rapport aux stratégies mises en place. Une icône vient se placer dans la zone de notification et reste en place tant que l’on ne ferme pas l’outil.
La quarantaine réseau basée sur DHCP est la plus faible des protections possibles, qui est facilement contournée par tout utilisateur disposant des droits d’administrateur local de son poste.
3. La mise en place de NAP via IPSec
a. Installation du service Autorité HRA
Cette sécurité nécessite l’installation du service Autorité HRA (Health Registration Authority).
servermanagercmd -install NPAS-Health
L’installation d’une autorité de certification de type Entreprise est nécessaire si aucun autre système de distribution de clé (PKI) n’est en place. L’utilisation du rôle Microsoft correspondant simplifie énormément la tache. Il est fortement conseillé d’utiliser l’interface graphique pour passer par l’assistant de création du certificat racine.
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8Mjg5MzAyIC0gYWRhbW8gZGlhcnJhIC0gMjU4ZThlZWQtN2NjNS00YTU2LThlODQtZjYwZWVhYWMyOThlAiPaTvunzogLAA==-enidentnumber
Afin de limiter l’application de la quarantaine basée sur IPSec, il est prudent de créer des groupes d’ordinateurs pour chaque catégorie.
● Les ordinateurs clients de NAP IPSec : c’estàdire toutes les stations qui doivent se conformer aux règles de sécurité.
● Les serveurs dits de frontière (Boundary) qui reçoivent automatiquement un certificat de santé et qui servent à l’authentification des clients. Les contrôleurs de domaine, les serveurs DNS et les serveurs de réparation (Remediation) doivent faire partie de ce groupe.
● Les ordinateurs protégés par NAP IPSec : ceuxci reçoivent aussi automatiquement un certificat et n’autoriseront la connexion que depuis des machines authentifiées.
Chaque machine (stations ou serveurs) doit pouvoir recevoir un certificat. Or, le certificat transmis par défaut aux stations ne contient pas la stratégie d’authentification adéquate.
■ Créez un nouveau certificat Authentification de station de travail en dupliquant le modèle existant à partir de la console des Modèles de Certificats que l’on peut obtenir directement par la commande certtmpl.msc.
■ Lors de la duplication, choisissez la compatibilité Windows 2003 ou Windows 2008. Dans tous les cas, une version Enterprise est nécessaire pour que la distribution des certificats soit automatique.
■ Nommez le certificat, modifiez la période de validité et publiez le certificat dans Active Directory.
Les serveurs impliqués dans la validation ont effectivement un certificat validé pour deux ans. En revanche, les ordinateurs qui demanderont la validation n’obtiendront qu’un certificat d’une durée de vie de quatre heures.
■ Dans l’onglet Extensions, sélectionnez Stratégies d’application, et ajoutez la stratégie Authentification de l’Agent SHA (System Health).
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8Mjg5MzAyIC0gYWRhbW8gZGlhcnJhIC0gMjU4ZThlZWQtN2NjNS00YTU2LThlODQtZjYwZWVhYWMyOThlAiPaTvunzogLAA==-enidentnumber
■ Au niveau de l’onglet Sécurité, ajoutez les groupes des serveurs de type frontière et des serveurs Protégés, et donnez les droits Inscrire et Inscription automatique.
■ Dans la console Autorité de Certification, sur le conteneur des modèles de certificats, utilisez le bouton droit et choisissez Modèle de certificats à délivrer, puis le modèle Authentification des systèmes sains.
■ Comme la validation des clients nécessitera régulièrement des certificats de bonne santé, il est important de vérifier que le module de stratégie (sur le certificat de la racine) soit configuré sur Emettre automatiquement le certificat.
■ Les clients doivent être configurés pour demander automatiquement les certificats. Dans l’outil GPMC (Gestion de Stratégie de Groupe), configurez la demande automatique de certificats dans la Default Domain Policy. Ceci se trouve dans Paramètres Windows Paramètres de sécurité Stratégies de clé publique.
■ Utilisez le bouton droit dans Configuration ordinateurs Paramètres Windows Paramètres de sécurité Stratégie de clé publique Paramètres de demande automatique de certificats sur la stratégie Client des services de certificats Inscription automatique.
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8Mjg5MzAyIC0gYWRhbW8gZGlhcnJhIC0gMjU4ZThlZWQtN2NjNS00YTU2LThlODQtZjYwZWVhYWMyOThlAiPaTvunzogLAA==-enidentnumber
Le compte SERVICE RÉSEAU (si le CA et le HRA sont sur la même machine) ou l’ordinateur sur lequel est installé le système de validation (HRA) doit obtenir les droits suivants :
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8Mjg5MzAyIC0gYWRhbW8gZGlhcnJhIC0gMjU4ZThlZWQtN2NjNS00YTU2LThlODQtZjYwZWVhYWMyOThlAiPaTvunzogLAA==-enidentnumber
La commande suivante permet au système validateur de demander des certificats avec une durée de vie différente de la validité de deux ans définie et imposée dans le modèle.
certutil -setreg policy\editflags +EditF_attributeEndDate
b. Configuration du système de validation (HRA)
■ Créez une console MMC et ajoutez le composant Autorité HRA (Health Registration Autority).
■ Ajoutez l’autorité de certification à partir de AD.
■ Modifiez les propriétés de l’autorité de certification, notamment pour valider l’autorité de certification de l’entreprise, et les modèles de certificats à utiliser.
Dans l’outil d’administration NPS, la réparation automatique doit être désactivée.
Sur le poste client, pour activer IPSec sur XP SP3, il est nécessaire de passer par la ligne de commande suivante : netsh nap client set enforcement ID =79619
Chaque contrainte (Enforcement) dispose d’un identifiant spécifique :
● DHCP = 79617
● RAS = 79618
● IPSec = 79619
● TS Gateway = 79621
● EAP = 79623
À noter que si l’ordinateur n’est plus conforme, le certificat reçu sera invalidé immédiatement sans attendre les quatre heures.
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8Mjg5MzAyIC0gYWRhbW8gZGlhcnJhIC0gMjU4ZThlZWQtN2NjNS00YTU2LThlODQtZjYwZWVhYWMyOThlAiPaTvunzogLAA==-enidentnumber
Pour le moment, aucune restriction n’est apportée sauf le fait de disposer d’un certificat. Ces restrictions sont et les postes clients doivent imposer des certificats, néanmoins des stratégies différentes sont préférables afin d’ajouter des configurations spécifiques pour les clients (URL de configuration HRA).
Voici la stratégie à mettre en place sur les serveurs de frontière (Boundary) :
■ Dans Configuration ordinateur Stratégies Paramètres Windows Paramètres de sécurité Parefeu Windows avec fonctions avancées de sécurité Parefeu Windows avec fonctions avancées de sécurité LDAP... créez une nouvelle règle de sécurité dans Règles de sécurité de connexion, choisissez Isolation puis Demander l’authentification des connexions entrantes et sortantes, puis l’authentification par Certificat d’ordinateur.
■ Dans Configuration ordinateur Stratégies Paramètres Windows Paramètres de sécurité Parefeu Windows avec fonctions avancées de sécurité Parefeu Windows avec fonctions avancées de sécurité LDAP... créez une nouvelle règle de sécurité dans Règles de sécurité de connexion, choisissez Isolation, puis
En utilisant l’instruction ping -t vers un serveur de frontière ou un serveur protégé, il sera possible de vérifier l’utilisation de l’authentification par certificat avec l’outil Parefeu Windows avec fonctions avancées de sécurité.
Une association de sécurité basée sur les certificats sera utilisée pour la communication.
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8Mjg5MzAyIC0gYWRhbW8gZGlhcnJhIC0gMjU4ZThlZWQtN2NjNS00YTU2LThlODQtZjYwZWVhYWMyOThlAiPaTvunzogLAA==-enidentnumber
Bien sûr, ceci n’est qu’une possibilité de mise en place de la sécurité basée sur la quarantaine par IPSec ! Il est fort
● un serveur d’authentification ;
● un agent authentificateur (Switch ou Point d’accès sans fil) ;
● le demandeur.
Le client demandeur utilise le protocole EAP (EAP over Lan) pour envoyer la demande à l’agent d’authentification (PassThrough). L’agent PassThrough peut alors interroger un serveur RADIUS pour valider ou non la connexion.
Le serveur NPS remplace la technologie IAS mais continue à utiliser le protocole RADIUS pour communiquer. Si les clients ne sont pas conformes avec la sécurité demandée, un réseau restreint utilisant un VLAN spécifique ou un filtrage IP leur est affecté.
a) La configuration du switch (ou point d’accès) :
Voici la configuration des différents VLAN à réaliser sur le switch (ou point d’accès) :
● VLAN ID 1 est le VLAN par défaut ;
● VLAN ID 2 pour les machines non conformes ;
● VLAN ID 3 pour les machines conformes.
Le routage inter VLAN doit être désactivé entre le VLAN 2 et le VLAN 3.
Les ports utilisés pour connecter le serveur NPS et les contrôleurs de domaine doivent être configurés pour ne pas imposer l’authentification 802.1X. Toutes les demandes d’authentification et d’autorisation du switch doivent être redirigées vers le serveur NPS.
b) Dans la forêt Active Directory, une autorité racine de certification de type Entreprise est aussi nécessaire. Le serveur NPS doit avoir reçu un certificat d’ordinateur et le certificat racine devrait être ajouté parmi les autorités principales de confiance sur toutes les machines.
Un groupe de sécurité spécifique appelé Clients NAP 802.1X pour les clients NAP 802.1X peut être créé afin de restreindre l’application des stratégies aux machines ajoutées à ce groupe.
La plupart des éléments (Contrôleur de domaine, Serveur NPS, Autorité de certification, Gestion de stratégies de groupes) peuvent être installés sur une même machine, ce qui simplifiera la configuration de test. Si les systèmes précédents de quarantaine ont été testés, tous les éléments nécessaires sont déjà en place. En revanche, il sera
■ Dans les Clients RADIUS, ajoutez l’adresse IP du ou des switch RADIUS, ainsi que la phrase secrète qui sera utilisée par le client.
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8Mjg5MzAyIC0gYWRhbW8gZGlhcnJhIC0gMjU4ZThlZWQtN2NjNS00YTU2LThlODQtZjYwZWVhYWMyOThlAiPaTvunzogLAA==-enidentnumber