III.3 Architecture d'un réseau utilisant
NAP
Nous allons étudier ici les différents
composants nécessaires à l'établissement d'un
réseau NAP. Nous procéderons en trois parties, l'architecture
d'un réseau NAP, puis nous détaillerons les composants internes
du serveur NAP et du client NAP.
III.3.1 Architecture du réseau
Un réseau utilisant Microsoft Network Access
Protection fait appel à divers éléments pour
fonctionner. Ces éléments sont semblables à beaucoup de
réseau actuel, à savoir :
Deux possibilités sont prévues en ce qui
concerne le serveur NAP, qui est destiné à fonctionner sous
Microsoft Windows Server 2003, 2008, 2012 :
35
· un serveur Active Directory : il permettra aux clients de
confirmer leurs identifications
· un serveur VPN (Virtual Private Network) : il permet
la connexion au réseau local de clients distants par
l'intermédiaire d'Internet
· un serveur IAS (Internet Authentification Service) :
il est en charge de gérer la stratégie d'accès
réseau des clients DHCP ou VPN
· un serveur de certificat d'état : il est
chargé d'émettre des certificats pour les clients NAP sains
· un réseau restreint
Ces services sont généralement présents
dans les entreprises. Cependant, on remarque que NAP nécessite en plus
un réseau restreint. Ce réseau restreint devrait
donc contenir des serveurs permettant aux clients de se mettre en
conformité avec la politique de sécurité de
l'intranet.
Par exemple si l'administrateur refuse les clients n'ayant
pas installés les dernières mises à jour de Microsoft pour
Windows, un serveur contenu dans cette zone restreinte lui permet de les mettre
à jour. On pourra procéder de la même façon avec les
définitions de virus par exemple.
Réseau utilisant la technologie NAP
Sur un réseau utilisant la technologie NAP, nous pouvons
trouver différents types de machines
:
· serveur NAP : utilisant Windows Server, il gère
l'application de l'accès réseau restreint
· serveur IAS : utilisant Windows Server, il est
chargé d'appliquer la stratégie système (sur de petit
réseau, il peut être inclut sur le serveur NAP)
· serveur de stratégie (serveur de remède)
: contient les mises à jour pour la mise en conformité des
clients NAP présent dans le réseau restreint
En résumé, un réseau NAP est un
réseau proche d'un réseau standard disposant en plus d'une zone
restreinte équipée de serveur de mise en conformité des
clients.
III.3.2 Composition du serveur NAP
Le serveur de quarantaine :
36
? le serveur NAP est couplé à un serveur IAS
? le serveur NAP dispose de son propre service IAS
La méthode la plus simple dans le cas d'un seul serveur
NAP et IAS est d'intégrer ce dernier sur le serveur NAP. Cela permet de
n'utiliser qu'une machine au lieu de deux. Cependant, cette méthode
présente un inconvénient puisque dans le cas de l'utilisation de
plusieurs serveurs NAP, il faudra les configurer séparément avec
les règles d'accès réseau de votre entreprise.
D'une manière générale, il est plus
intéressant de choisir d'intégrer le service IAS sur le serveur
NAP lorsqu'un seul serveur NAP est installé dans l'entreprise. Utilisant
Windows Server le cas contraire, pour simplifier l'administration, il est
judicieux de configurer un serveur IAS auquel les différents serveurs
NAP feront appel.
- Le serveur se compose de plusieurs couches -
Le serveur d'application de quarantaine (QES pour
Quarantine Enforcement Server): QES est chargé de
récupérer l'état d'un client NAP puis de le transmettre
à IAS pour évaluation. En cas de refus, QES peut gérer
l'accès au réseau restreint au client NAP. Initialement il existe
deux types de QES, étant tous deux une nouvelle fonctionnalité
à leur service respectif :
? le QES DHCP : il utilise les messages DHCP pour communiquer
entre les clients NAP et le service QEP DHCP. De nouvelles options DHCP sont
disponibles pour paramétrer l'accès réseau restreint
? le QES VPN : il utilise l'encapsulation EAP (Extensible
Authentification Protocol) RADIUS pour transmettre l'état du client NAP
au service QEP VPN. L'implémentation est réalisée par le
biais du filtrage des paquets IP.
Le serveur IAS RADIUS : Le serveur IAS RADIUS de Windows
Server a été mis à jour pour intégrer directement
le serveur de quarantaine, l'API SHV ainsi que les SHV pouvant être
installés. Ce serveur est chargé de l'authentification du client
NAP.
37
Il est chargé de collecter la liste de SoH transmise
par IIS, puis de les distribuer au SHV concerné. Inversement il
récupère les SoHResponse envoyé par les SHV puis les
transmet à IAS pour évaluation.
Le validateur de l'état du système (SHV
pour System Health Validator) : SHV est chargé de
vérifier que les informations SoH sont conformes aux valeurs requises.
Il renvoi alors une SoHResponse.
| 
