Windows Server 2008 - Network Access Protection, comment ça marche ?

  • Article

Après vous avoir présenté à quoi NAP sert, je vous propose de commencer à soulever le capot de NAP afin de regarder comment ça marche.

L'architecture NAP repose sur trois composants qui devront être mis en oeuvre de manière systématique:

- le client NAP installé sur les postes qui se charge de collecter les informations définissant l'état de santé et de la communiquer ses informations sous forme d'un fichier SoH au point d'application de la stratégie, le client NAP peut être une machine équipée de Windows XP SP3, Windows Vista ou différentes distributions Linux et Mac OS au moyen de clients fournis par nos partenaires.

- le point d'accès ou d'application de la stratégie qui se charge de demander au client de fournir son Statement of Health (SoH) puis de l'adresser au point de décision et d'appliquer la stratégie d'accès retenue par le point de décision, le point d'application peut être un élément réseau supportant 802.1x, PEAP et RADIUS, un serveur DHCP (éventuellement Windows Server 2008) un concentrateur VPN (éventuellement Windows Server 2008), une autorité de certification de santé HRA (obligatoirement Windows Server 2008) ou une passerelle Terminal Services TS Gateway (obligatoirement Windows Server 2008).

- le point de décision ou Network Policy Server (NPS) se charge d'analyser le SoH fourni par le client NAP et de décider en conséquence si l'accès doit être autorisé, refusé ou restreint, de manière transitoire ou permanente et si la non conformité du client à la stratégie doit être remédiée.

L'architecture NAP repose aussi sur un troisième composant qui pourra être mis en oeuvre de manière optionnelle:

- le point de remédiation qui permet au client de se remettre en conformité avec la stratégie de façon à obtenir un accès.

Regardons maintenant comment ses composants interagissent.

Etape 1 - Le client demande à accéder au réseau et fournit son SoH au point d'application.

 

Etape 2 - Le point d'application met la demande d'accès du client en attente et adresse le SoH au point de décision pour analyse.

 

Etape 3 - Suite à l'analyse du SoH le NPS décide que l'accès doit être restreint et que le client doit auto-remédier sa configuration.

 

Etape 4 - Le point d'accès applique la décision du NPS (assignation d'un VLAN de quarantaine par exemple) et adresse la réponse du NPS (SoHR) au client pour prise en compte.

Etape 5 - Le client contact le serveur de remédiation à l'adresse indiquée par le serveur NPS au sein du SoHR.

Etape 6 - Le client ayant remédié à sa situation demande de nouveau à avoir accès en fournissant un nouvel état de santé.

Etape 7 - Le point d'application met la demande d'accès du client en attente et adresse le SoH au point de décision pour analyse.

 

Etape 8 - Suite à l'analyse du SoH le NPS décide que l'accès ne doit pas être restreint car le client est en conformité avec la stratégie.

Etape 9 - Le point d'accès applique la décision du NPS (assignation d'un VLAN de production par exemple) et adresse la réponse du NPS (SoHR) au client qui le conserve en cache pour une période définie et pourra le représenter pour d'autres demandes d'accès.

J'espère que ce post vous aura permis de progresser dans la compréhension des services rendus par NAP ainsi que ses grands principes de fonctionnement.