Windows Server 2008 - Introduction à Network Access Protection

  • Article

Network Access Protection - NAP pour les intimes regroupe un ensemble de technologies qui visent à permettre de conditionner l'accès des postes au réseau d'entreprise (LAN, WAN, WLAN, VPN) à un ensemble de conditions regroupées dans une stratégie. L'objectif étant qu l'accès au réseau ne soit plus conditionné à la simple disponibilité d'une prise ou connaissance d'un mot de passe mais à la conformité à une stratégie qui s'appliquera en tout point du réseau et non pas uniquement de manière périmétrique.

NAP impose de définir une stratégie s'attachant à définir Qui a accès à Quoi sous Quelles conditions depuis et Comment en s'appuyant sur différents mécanismes de mise en application. La définition de la stratégie devra donc répondre aux différentes questions ci-dessous:

Qui ?
La stratégie devra prendre en compte 3 grandes populations de clients
 Clients NAP / non NAP
 Clients NAP connus (authentifiés) / inconnus (non-authentifiés)
 Clients NAP conformes / non-conformes

Exemples de questions à traiter:
Comment faut il gérer les postes des tiers (fournisseurs/visiteurs) qui n’ont pas le client NAP ?
Comment faut il gérer les imprimantes ?
Faut il restreindre l’accès des machines connues mais non conformes de la même façon que celles inconnues ? 

Quoi ?
La stratégie devra aborder la question de la segmentation du réseau et de la localisation des différentes ressources et services en son sein

Quelles conditions ?  
Divers éléments de configuration pourront être pris en compte dans la définition de l’état de santé

Par exemple
 Présence et activation d’un Anti-virus
 Présence et activation d’un Anti-Spyware
 Présence et activation d’un Pare-feu
 Correctifs de sécurité installés
La liste des éléments pris en compte étant extensible par des tiers

De même la liste des produits tiers pris en compte n’est pas exhaustive
 Mais de manière générale tout agent s’interfaçant avec le centre de sécurité de Windows XP SP2 ou Vista pourra être pris en compte

Où ?
La stratégie devra définir les zones où le contrôle d’accès s’applique
Le contrôle pouvant être périmétrique
 Passerelle VPN ou Terminal Services Gateway
Le contrôle pouvant aussi être interne
 LAN/WLAN

Comment ?
Répondre à la question Comment revient à sélectionner le ou les mécanismes de restrictions d’accès que l'on mettra en oeuvre parmi ceux que NAP supporte
 802.1x (EAP)
 DHCP
 IPSEC
 VPN (EAP/PEAP)
 Passerelle Terminal Services RDP/HTTPS

L’environnement existant; éléments réseau principalement; sera déterminant dans le choix des mécanismes de contrôle à mettre en œuvre
 Les switch supportent ils 802.1x et l’assignation de VLAN dynamique via Radius ?
 Les passerelles VPN supportent elles l’authentification PEAP et Radius ?

Enfin, dernier point à prendre en compte avant de se lancer, le mode fonctionnement de l'infrastructure NAP

Trois mode sont supportés par défaut; Audit, Restriction et Remédiation

Si l'utilisation du mode Audit parait évidente pendant la phase de déploiement initial, la question devra être soulevée du choix entre la simple restriction d'accès et la mise en conformité.

Mécanismes de remédiation
Appliquent les mises à jour et modifications nécessaires à ce que le poste soit en bonne santé
Les actions correctrices sont fonctions des éléments de configuration gérés, ex: interrogation du serveur WSUS par le client Windows Update

Comme vous l'avez probablement remarqué au travers de ces quelques lignes la mise en oeuvre de NAP ou d'une technologie équivalente ne ce limite pas au simple choix d'une solution mais doit être envisagée dans le cadre d'une reflexion beaucoup plus large, au travers de différents posts à venir nous nous attacherons à regarder de plus près le fonctionnement de NAP ainsi que les contraintes liées à sa mise en oeuvre.