III.4. Fonctionnement de NAP
La technologie NAP permet de filtrer les machines
provenant :
? se connectant au réseau local (DHCP)
? se connectant à distance (VPN : Virtual Private
Network)
? se connectant au réseau local avec ou sans DHCP, par
l'intermédiaire de certificat d'état (IP Sec)
38
III.4.1 NAP en DHCP
Fonctionnement du DHCP avec la technologie NAP
:
Lorsqu'un client NAP essaye de se connecter au réseau
local de l'entreprise, il crée une liste de SoH à l'aide de
l'agent de quarantaine puis de chaque SHA. Il émet ensuite une
requête DHCP pour obtenir une proposition de configuration IP. Le QEC
DHCP du serveur NAP reçoit cette demande accompagnée de la liste
de SoH puis la transmet au serveur IAS (RADIUS) qui la retransmet au serveur de
quarantaine. Le serveur de quarantaine distribue chaque SoH de la liste aux SHV
appropriés. En retour, les SHV renvoient leurs réponses au
Serveur de quarantaine qui crée une liste de SoHResponse. Cette liste
est transmise au serveur IAS qui l'analyse et compare les données du
client à la stratégie d'accès réseau. Selon cette
analyse, le serveur IAS transmet au QES DHCP sa réponse concernant ou
non la mise en quarantaine du client. Selon cette réponse, le serveur
DHCP (QES DHCP) crée une configuration d'adresse IP puis la transmet au
client (QEC DHCP). Le client reçoit alors la proposition et
prévient le serveur DHCP de son acceptation. Le serveur DHCP lui renvoi
un accusé.
En fait, l'accès au réseau restreint ou au
réseau global de l'entreprise par le client va dépendre de la
configuration renvoyée par le serveur DHCP. Prenons tout d'abord le cas
d'un client NAP qui répond aux exigences du réseau : Le client
demande une adresse, il y'a vérification de son état de
santé puis le serveur DHCP reçoit la décision positive du
serveur IAS. Il va donc simplement crée une configuration d'adresse IP
standard et qui fonctionne donc par conséquent sur tout le
réseau. Supposons maintenant que le client NAP ne soit pas au niveau
requis par l'administrateur : Il demande une adresse mais cette fois, le
serveur IAS n'autorise par le serveur DHCP a l'admettre sur la totalité
du réseau de l'entreprise. Le serveur DHCP lui crée donc une
règle particulière : une adresse vers le routeur de 0.0.0.0 et un
masque de sous-réseau de 255.255.255.255. Le client NAP ne peut donc pas
communiquer avec la passerelle ni avec le sous-réseau. Le client NAP ne
peut donc pas communiquer avec le réseau de l'entreprise. Pour tout de
même l'autoriser à accéder aux serveurs de remède
(serveurs de stratégie) le serveur DHCP crée des
itinéraires statiques vers les serveurs nécessaires à sa
mise à jour. Dans ce cas, notre client NAP n'a donc accès
à aucune autre ressource que celle définie par le serveur DHCP
dans les itinéraires statiques.
39
Cependant, cette méthode présente un
inconvénient. En effet, si un client paramètre lui-même sa
configuration IP (notamment le masque de sous-réseau et la passerelle),
il aura accès à la totalité du réseau même si
son état ne réponds pas aux exigences requises.
40
| 
