Upload
anouar-abdallah
View
644
Download
63
Embed Size (px)
DESCRIPTION
Implémentation d'une solution NAC avec la plate-forme Cisco ISE. Projet réalisé au sein de l'en
Citation preview
Licence Appliquée en Sciences et Technologies
de l’Information et des Communications
Année Universitaire : 2014-2015
Département : STIC
Référence :
Encadré par : M. Marouene BOUBAKRI
M. Hichem HARHIRA
Classe : STIC L3 SR-A
Réalisé par : Anouar ABDALLAH
Entreprise d'accueil : Next Step IT
Projet de fin d'études : « Implémentation d'une solution NAC »
Remerciements
Mes vifs remerciements s’adressent à mes deux encadrants, M. Marouene
BOUBAKRI enseignant à l'ISET'Com et M. Hichem HARHIRA directeur technique de
« NEXT STEP IT », pour leur disponibilité, leur soutien et leurs précieux conseils tout au
long de ce projet.
Que les membres du jury trouvent ici mes profonds remerciements pour l’honneur
qu’ils m’ont fait en assistant à cette soutenance.
Je souhaite également faire part de ma reconnaissance à tous les ingénieurs,
techniciens et ouvriers au sein de l’entreprise pour leur pédagogie et leur assistance durant
ce stage ainsi qu’à l’ensemble du personnel.
« Celui qui prend une voie dans laquelle il cherche à acquérir une science, Allah lui facilite grâce à elle une voie pour le paradis »
[Abou Hourayrah]
Résumé
Ce rapport s’inscrit dans le cadre de notre projet de fin d’études réalisé au sein de
l'entreprise Next Step IT, consistant à la mise en place d’une solution de contrôle d'accès au
réseau. Cette solution est constituée de plusieurs composants qui, en fonctionnant de façon
contigüe, permettront de filtrer l’accès au réseau en authentifiant tout hôte demandant l'accès et
d’effectuer, sur l’hôte authentifié, un ensemble de tests pour vérifier son état de « santé » et le
rendre conforme avec la stratégie de sécurité suivie.
Ces objectifs seront réalisés par l'implémentation d’une plateforme de sécurité fournie par
le leader mondial, Cisco Systems, et intégrée avec un service d’annuaire (Microsoft Active
Directory) afin d'assurer l’authentification, ainsi qu'un commutateur et un contrôleur de réseau
local sans fil servant à connecter les utilisateurs respectivement aux réseaux filaire et sans fil.
Abstract
This report is part of our graduation project realized within Next Step IT company,
consisting in the implementation of a network access control solution. This solution is composed
of several components, operating adjacently, allow to filter network access by authenticating any
host requesting access and to effect in this authenticated host a series of tests to check its health
status and whether it conforms with the followed security strategy.
This will be accomplished by implementing a security platform provided by the world
leader, Cisco Systems, and integrated with a directory service (Microsoft Active Directory) to
ensure authentication together with a switch and a Wireless LAN controller for connecting users
to the wired and wireless networks, respectively.
Sommaire
Introduction générale ........................................................................................................... 1
Chapitre 1 : Présentation du projet ....................................................................................... 2
1.1. Introduction.................................................................................................................................. 3
1.2. Présentation de l'entreprise d'accueil ........................................................................................ 3
1.2.1. Chiffres clés .......................................................................................................................... 3
1.2.2. Les services offerts .............................................................................................................. 3
1.3. Besoin d'une solution NAC ....................................................................................................... 5
1.4. Contribution ................................................................................................................................. 5
1.5. Planification prévisionnelle du projet ....................................................................................... 6
1.6. Gestion du projet ......................................................................................................................... 6
1.7. Conclusion .................................................................................................................................... 6
Chapitre 2 : État de l'art ........................................................................................................ 7
2.1. Introduction.................................................................................................................................. 8
2.2. La solution NAC .......................................................................................................................... 8
2.2.1. Principe de fonctionnement .............................................................................................. 8
2.2.2. Architecture .......................................................................................................................... 9
2.2.3. Étude comparative des solutions disponibles ............................................................... 10
2.3. La plate-forme Cisco ISE ......................................................................................................... 14
2.3.1. Définition ........................................................................................................................... 14
2.3.2. Comparaison entre ACS et ISE....................................................................................... 15
2.3.3. Fonctionnement ................................................................................................................ 16
2.3.4. Licences............................................................................................................................... 18
2.4. Conclusion .................................................................................................................................. 19
Chapitre 3 : Réalisation ....................................................................................................... 20
3.1. Introduction................................................................................................................................ 21
3.2. Architecture du réseau ............................................................................................................ 21
3.3. Installation et intégration de Cisco ISE et Active Directory ............................................... 23
3.3.1. Installation du contrôleur de domaine (Active Directory) .......................................... 23
3.3.2. Installation et intégration de deux plates-formes Cisco ISE ....................................... 23
3.3.3. Jointure des deux plates-formes au contrôleur Active Directory ............................... 28
3.4. Configuration de l'ISE .............................................................................................................. 29
3.4.1. Authentification ................................................................................................................. 29
3.4.2. Posture & Client Provisioning ......................................................................................... 32
3.4.3. Autorisation ........................................................................................................................ 37
3.5. Configuration du Switch ........................................................................................................... 38
3.5.1. Configuration globale ....................................................................................................... 39
3.5.2. Configuration de l'interface.............................................................................................. 41
3.6. Configuration du WLC ............................................................................................................. 43
3.7. Conclusion .................................................................................................................................. 48
Chapitre 4 : Test et validation ............................................................................................. 49
4.1. Introduction................................................................................................................................ 50
4.2. Réseau filaire ............................................................................................................................... 50
4.3. Réseau sans fil ............................................................................................................................ 53
4.4. Conclusion .................................................................................................................................. 58
Conclusion et perspectives ................................................................................................. 59
Références ........................................................................................................................... 61
Glossaire .............................................................................................................................. 62
Liste des figures
Figure 1: Logo de l'entreprise ..................................................................................................................... 3
Figure 2: Planification prévisionnelle ........................................................................................................ 6
Figure 3: Architecture globale d'une solution NAC ................................................................................ 9
Figure 4: Architecture d'une solution Microsoft NAP ......................................................................... 12
Figure 5: Architecture de la solution Juniper UAC ............................................................................... 13
Figure 6: Déploiement d'une solution de contrôle d'accès basée sur ISE ......................................... 15
Figure 7: Datagramme EAP ..................................................................................................................... 17
Figure 8: Encapsulation des messages EAP ........................................................................................... 18
Figure 9: Résumé sur les caractéristiques du serveur ............................................................................ 21
Figure 10: Architecture du réseau ............................................................................................................ 22
Figure 11: Ajout des rôles DNS et Active Directory ............................................................................ 23
Figure 12: Téléchargement de l'image .iso sur la datastore .................................................................. 24
Figure 13: Paramètres de configuration réseau lors de l'installation ................................................... 25
Figure 14: Ajout des services de certificats Active Directory .............................................................. 25
Figure 15: Interface WEB du service de certificats Microsoft Active Directory .............................. 26
Figure 16: Importation du certificat d'autorité de certification dans la plate-forme ISE................. 26
Figure 17: Génération du certificat par le service des certificats AD ................................................. 26
Figure 18: Détails du certificat généré pour le deuxième nœud .......................................................... 27
Figure 19: Enregistrement du nœud secondaire .................................................................................... 27
Figure 20: Ajout des machines au serveur DNS .................................................................................... 28
Figure 21: Jointure des plates-formes ISE à Active Directory ............................................................ 28
Figure 22: Ajout des plates-formes à la liste des machines .................................................................. 28
Figure 23: Ajout d'un groupe d'utilisateurs Active Directory à l'ISE ................................................. 29
Figure 24: Règles d'authentification ......................................................................................................... 30
Figure 25: Définition de la séquence "Use_AD_then_local" .............................................................. 30
Figure 26: Condition composée (exemple : MAB) ................................................................................ 31
Figure 27: Succès de l'authentification au cas où l'adresse MAC est introuvable ............................. 31
Figure 28: Attributs RADIUS de l'authentification DOT1X sur le réseau filaire ............................. 32
Figure 29: Règles du Client Provisioning ................................................................................................ 33
Figure 30: Exemples de la liste des agents NAC ................................................................................... 33
Figure 31: Liste des vendeurs d'antivirus ................................................................................................ 34
Figure 32: Champs à remplir d'une condition d'antivirus .................................................................... 34
Figure 33: Choix des produits Mcafee dans la condition d'antivirus .................................................. 35
Figure 34: Ajout du fichier de remédiation ............................................................................................. 35
Figure 35: Définition de la règle d'exigence............................................................................................ 36
Figure 36: Affichage d'un message avec l'agent NAC ........................................................................... 36
Figure 37: Règle de posture ...................................................................................................................... 36
Figure 38: Réévaluation régulière ............................................................................................................. 36
Figure 39: Profil d'autorisation CWA ...................................................................................................... 37
Figure 40: Règles d'autorisation................................................................................................................ 38
Figure 41: Cisco Catalyst 3650 ................................................................................................................. 38
Figure 42: Commandes globales saisies au niveau du Switch .............................................................. 40
Figure 43: Activation du CoA au niveau du Switch .............................................................................. 40
Figure 44: Activation de HTTP et HTTPS ............................................................................................ 40
Figure 45: ACL de redirection .................................................................................................................. 41
Figure 46: Diagramme des méthodes d'authentification ...................................................................... 42
Figure 47: Configuration de l'interface .................................................................................................... 43
Figure 48: Cisco 2500 Series Wireless Controller .................................................................................. 43
Figure 49: Cisco Aironet 1041N .............................................................................................................. 44
Figure 50: Détection du point d'accès au WLC ..................................................................................... 44
Figure 51: Diffusion de deux SSID ......................................................................................................... 44
Figure 52: Activation du filtrage MAC .................................................................................................... 45
Figure 53: Ajout du serveur RADIUS au WLC ..................................................................................... 45
Figure 54: Ajout des serveurs d'authentification et d'autorisation ...................................................... 46
Figure 55: Activation du CoA................................................................................................................... 46
Figure 56: Configuration DHCP .............................................................................................................. 47
Figure 57: Politique de sécurité du deuxième WLAN "PFE-NSIT2" ................................................ 47
Figure 58: ACL de redirection .................................................................................................................. 48
Figure 59: Ajout et démarrage du service DOT1X ............................................................................... 50
Figure 60: Activation du DOT1X sur la carte Ethernet ....................................................................... 51
Figure 61: Fenêtre d'authentification ....................................................................................................... 51
Figure 62: Redirection vers la page de Client Provisioning .................................................................. 52
Figure 63: Message obtenu sur l'Agent NAC ......................................................................................... 52
Figure 64: Évènements d'authentification observés au commutateur ................................................ 53
Figure 65: Détails de l'authentification sur l'interface GigabitEthernet1/0/23 ................................ 53
Figure 66: Détection des SSIDs ............................................................................................................... 54
Figure 67: Authentification DOT1X pour le SSID "PFE-NSIT2" .................................................... 54
Figure 68: Accès restreint à un utilisateur du réseau sans fil ................................................................ 54
Figure 69: Portail invité ............................................................................................................................. 55
Figure 70: Inscription via la version mobile du portail captif .............................................................. 55
Figure 71: Interface du portail responsable ............................................................................................ 56
Figure 72: Création d'un compte Guest d'une durée de huit heures .................................................. 56
Figure 73: Validation de posture avec un agent temporaire ................................................................. 57
Figure 74: Accès complet au réseau ......................................................................................................... 57
Figure 75: Log de la plate-forme ISE ...................................................................................................... 58
Figure 76: Détails de la session ................................................................................................................. 58
Liste des tableaux
Tableau 1 : Comparaison ACS vs ISE..................................................................................................... 15
Tableau 2 : Les services de l'ISE et les licences correspondantes ....................................................... 19
Tableau 3 : Entrées de l'ACL de redirection .......................................................................................... 41
Introduction générale
La sécurité des réseaux devient, de nos jours, un thème indispensable pour garantir la
disponibilité et l’efficacité des ressources sur le réseau. La spécification de l’accès au réseau est
devenue très importante pour la protection des ressources soit des tentatives d’intrusions internes
ou externes, lesquelles développent des nouvelles techniques de jour en jour, ou encore des accès,
aux données et informations de haute importance ou très confidentielles, par des membres non
qualifiés. C’est pour cela que chaque utilisateur ou machine, voulant accéder au réseau, doit être
identifié et subir quelques tests de compatibilité avec le réseau (intégration au domaine, existence
d’un antivirus bien défini sur la machine qui veut s’authentifier, etc.); il sera, par la suite, dirigé
selon son identité et les droits d’accès qui lui seront attribués vers les ressources et les sous
réseaux auxquels il aura accès.
Ce projet représente une mise en place d’une solution de sécurité et de conformité réseau
qui traitera des aspects de manque de sécurité. Cela se traduit par l'établissement d'un mécanisme
d’authentification automatique, lors du branchement du câble réseau ou en cas d'utilisation du
réseau sans fil. Ceci est valable pour un utilisateur permanent; alors que pour un utilisateur
temporaire (visiteur), l'authentification s'effectue via le portail Web. Une fois authentifié, le client
(poste de travail) subira quelques tests destinés à s’assurer de sa conformité vis-à-vis de la
stratégie de sécurité prédéfinie. Après avoir effectué ces tests et si le client présente des
vulnérabilités qui nécessitent l’installation ou la mise à jour d’un composant, il aura un accès
restreint lui offrant les mises à jour nécessaires pour établir les remèdes appropriés et atteindre
ainsi un état conforme et sain.
Aussi, le présent rapport décrit-il la mise en place de cette solution. Dans son premier
chapitre, il abordera le cadre général du projet. Le deuxième chapitre intitulé « État de l'art » est
dédié aux concepts théoriques relatifs à notre solution . Le troisième chapitre viendra détailler les
étapes d'installation et les configurations nécessaires des divers éléments composant la solution.
Dans le quatrième et dernier chapitre, nous clôturerons par l'exercice des tests nécessaires tendant
à nous prémunir d'un éventuel mauvais fonctionnement.
CHAPITRE 1 :
PRÉSENTATION DU
PROJET
Chapitre 1 Présentation du pro
1.1. Introduction
Au cours de ce chapitre, nous exposons
présentons, en premier lieu, l'entreprise d'accuei
ainsi que notre contribution reliée au besoin de l'entreprise et nous finissons par la citation de la
planification prévisionnelle et de la mét
1.2. Présentation de l'entreprise d'accueil
Au cours de cette section, nous allons essayer de présenter l'entreprise au sein de laquelle
s'est déroulé le stage et ce, en rappelant
1.2.1. Chiffres clés Next Step IT est une société à responsabilité limitée,
implantée à Tunis, Mutuelleville et employant une
Next Step IT s’est trouvée sur une traje
milliers de dinars en 2012, trois millions de dinars en 2013
Son logo est le suivant :
1.2.2. Les services offerts
Ils se résument principalement en l'audit,
technique et le support et maintenance.
� Audit Next Step IT propose le service d’audit des infrastructures des systèmes d'informations.
Les prestations d'audit ont pour objectif d'établir un état des lieux des infrastructures
informatiques existantes afin d'évaluer les besoins et mettre en évidence tous les asp
nécessaires pour optimiser l'environnement et l'organisation. Ainsi, Next Step IT accompagne
Chapitre 1 Présentation du pro
Au cours de ce chapitre, nous exposons le contexte général du projet.
l'entreprise d'accueil, le besoin de déploiement d'une solution NAC
notre contribution reliée au besoin de l'entreprise et nous finissons par la citation de la
planification prévisionnelle et de la méthodologie de travail que nous aurons à suivre
Présentation de l'entreprise d'accueil
Au cours de cette section, nous allons essayer de présenter l'entreprise au sein de laquelle
en rappelant ses chiffres clés ainsi que les services qu'elle offre.
Next Step IT est une société à responsabilité limitée, fondée au cours de l'année 2012,
Mutuelleville et employant une quarantaine de personnes.
Next Step IT s’est trouvée sur une trajectoire de start-up réalisant quelques centaines de
milliers de dinars en 2012, trois millions de dinars en 2013 et le double en 2014.
Son logo est le suivant :
Figure 1: Logo de l'entreprise
offerts
Ils se résument principalement en l'audit, l'étude et conseil, l'intégration,
et le support et maintenance.
IT propose le service d’audit des infrastructures des systèmes d'informations.
Les prestations d'audit ont pour objectif d'établir un état des lieux des infrastructures
informatiques existantes afin d'évaluer les besoins et mettre en évidence tous les asp
nécessaires pour optimiser l'environnement et l'organisation. Ainsi, Next Step IT accompagne
Chapitre 1 Présentation du projet
3 | Page
le contexte général du projet. Aussi, nous
éploiement d'une solution NAC
notre contribution reliée au besoin de l'entreprise et nous finissons par la citation de la
à suivre.
Au cours de cette section, nous allons essayer de présenter l'entreprise au sein de laquelle
ces qu'elle offre.
au cours de l'année 2012,
up réalisant quelques centaines de
le double en 2014.
ration, l'assistance
IT propose le service d’audit des infrastructures des systèmes d'informations.
Les prestations d'audit ont pour objectif d'établir un état des lieux des infrastructures
informatiques existantes afin d'évaluer les besoins et mettre en évidence tous les aspects
nécessaires pour optimiser l'environnement et l'organisation. Ainsi, Next Step IT accompagne
Chapitre 1 Présentation du projet
4 | Page
t-elle ses clients pour faire un choix stratégique sur l'évolution de son système d'information et ce
en toute connaissance de cause.
� Étude et conseil
La réussite d’une solution dépend du soin apporté à sa conception. Next Step IT étudie
des solutions sur mesure, s’adaptant au contexte et aux besoins des entreprises. Elle accompagne
ses clients dans cette démarche :
o Recueil des besoins
o Analyse de l’existant et visites des sites
o Définition des spécifications techniques, fonctionnalités, performances, etc.
o Identification des contraintes, du budget et des délais
o Démonstration, mise en place de maquette et accompagnement au test
o Assistance à la rédaction des cahiers des charges
� Intégration Next Step IT est une spécialiste d'intégration de solutions d'infrastructure réseau, système,
sécurité et communications. Elle dédie une équipe composée d’un chef de projet, d’un ingénieur
commercial et d’ingénieurs et techniciens pour la durée du projet. Toute l’équipe projet de Next
Step IT est certifiée par les constructeurs partenaires. Elle est constituée de techniciens et
d’ingénieurs certifiés et formés en permanence sur ses solutions et sur les différentes technologies
qui touchent à son métier. Tous ses projets d'intégration passent par une phase de préparation et
planification, une phase de conception, une phase d'implémentation et migration et enfin un
transfert de compétence et une assistance au démarrage.
� Assistance technique Next Step IT associe la compétence technique de son équipe et les outils informatiques
nécessaires afin d'apporter l'assistance technique adéquate et à haute valeur ajoutée à ses clients.
Le professionnalisme et l'expertise de Next Step IT garantissent à ses clients :
o Réactivité : les équipes interviennent directement là où on le souhaite, en fonction des
contraintes des clients:
o Efficacité : les techniciens trouvent la solution la plus appropriée dans les meilleurs
délais
o Transparence : ses interventions font l’objet de rapports et de transfert de compétence
o Savoir-faire : le problème du client est pris en charge par une équipe qualifiée,
expérimentée et certifiée
Chapitre 1 Présentation du projet
5 | Page
� Support et maintenance L'efficacité du centre de support qui accompagne le client dans la maintenance de ses
solutions réseaux garantit la résolution rapide des incidents et la maîtrise des évolutions de la
solution. Cette efficacité résulte de la rapidité de prise en compte de la demande et de la
compétence des intervenants qui traitent la demande
1.3. Besoin d'une solution NAC
Tout réseau informatique et particulièrement un réseau d'entreprise devrait demeurer sain.
Chaque administrateur est censé authentifier, autoriser, évaluer et corriger les équipements
filaires, sans fil et distants, avant de donner à leurs utilisateurs un accès au réseau.
Aussi, le responsable doit reconnaître les utilisateurs, leurs appareils et leurs rôles sur le
réseau. Cette première étape intervient au niveau de la phase d'authentification, avant que
d'éventuels codes malveillants puissent endommager le système.
Dans une seconde étape, la sûreté du réseau requiert la vérification de la conformité des
machines avec les politiques de sécurité. Ces politiques dépendent du type d'utilisateur, du type
d'équipement ou du système d'exploitation. En cas de non-conformité, des réactions peuvent en
résulter : blocage, isolation et réparation.
Le déploiement d'une solution NAC (Network Admission Control ou Network Access
Control) permettra à l'administrateur de bénéficier de l'ensemble de ces fonctions d'une manière
plus efficace et plus performante.
1.4. Contribution
La gestion et l'administration d'une solution NAC s'effectuent d'une manière centralisée.
Le noyau de toute solution similaire est le point de décision ou la plate-forme dans laquelle sont
définies les politiques de sécurité à appliquer vis-à-vis du client.
Cisco Systems, leader mondial des solutions réseaux, dispose d'un ensemble de produits
servant à mettre en place la solution NAC. Sa nouvelle politique tend à adopter la plate-forme
ISE ( ou Identity Services Engine). Cependant, les informations disponibles sur sa mise en place
et sa configuration sont limitées du moment qu'elle est récente.
La réalisation de ce projet constitue donc une opportunité pour expérimenter cette plate-
forme et peut être une occasion pour solutionner les éventuels obstacles techniques qui peuvent
être rencontrés lors du déploiement; d'ailleurs les mêmes solutions seront déployées, à l'avenir,
par Next Step IT, auprès de ses clients.
Chapitre 1 Présentation du projet
6 | Page
1.5. Planification prévisionnelle du projet
Le diagramme de Gantt suivant reproduit la planification prévisionnelle définie pour
l'implémentation de la solution NAC et la rédaction du rapport associé.
1.6. Gestion du projet
Lors de la discussion avec le représentant de l'entreprise, il s'est avéré que les services à
réaliser, lesquels sont intégrés dans la solution NAC, dépendent des fonctionnalités disponibles
dans la plate-forme ISE et des besoins des clients de Next Step IT. Par conséquent, notre mise en
place pourra subir de nombreuses modifications en fonction de l'avancement.
Par ailleurs, nous avons opté pour une gestion de projet Agile, méthode plutôt adoptée
dans les développements informatiques et plus précisément la méthode SCRUM. Ses principales
caractéristiques sont :
� La transparence : un langage commun doit permettre à tout observateur d'obtenir
rapidement une bonne compréhension du projet.
� L'inspection : à intervalles réguliers, Scrum propose de faire le point sur les différentes
modifications produites, afin de détecter toute variation indésirable.
� L'adaptation : si une dérive est constatée pendant l'inspection, le processus devra alors
être adapté.
1.7. Conclusion
Dans ce qui précède, nous avons abordé le contexte général de notre projet et plus
précisément l'environnement de réalisation et la gestion suivie. De même que la précision des
objectifs du projet par une planification prévisionnelle nous a permis d'assurer le bon
déroulement et de garantir le respect des délais.
Février Mars Avril Mai Juin
Recherche et
documentation
Préparation de
l'environnement
Rédaction du
rapport
Réalisation d'un
scénario de test
Mise en place
de la solution
Figure 2: Planification prévisionnelle
CHAPITRE 2 :
ÉTAT DE L'ART
Chapitre 2 État de l'art
8 | Page
2.1. Introduction Notre projet consistant à implémenter une solution NAC à base de la plate-forme Cisco
ISE, ce chapitre sera donc l’occasion de mettre l'accent sur les détails de cette solution et
particulièrement la plate-forme ISE dans le but de mieux comprendre la partie réalisation qui sera
traitée ultérieurement.
2.2. La solution NAC
Dans cette partie, il est utile d'une part, de rappeler le principe de fonctionnement de la
solution NAC et son architecture globale et d'autre part, d'étudier certaines solutions disponibles.
2.2.1. Principe de fonctionnement Le contrôle d’accès au réseau (ou NAC) est un terme qui englobe diverses technologies
développées pour contrôler/restreindre l’accès au réseau par les systèmes d’extrémité en fonction
de leur « état de santé ». L’idée de base est que les systèmes d’extrémité dangereux ou vulnérables
(« en mauvaise santé ») ne doivent pas communiquer sur le réseau de l’entreprise dans la mesure
où ils pourraient introduire un risque de sécurité pour les processus et les services critiques. Une
solution NAC empêchera un système d’extrémité en mauvaise santé d’accéder normalement au
réseau jusqu’à ce que la santé de ce système soit assurée.
Le bilan de santé d’un équipement connecté au réseau est également appelé « évaluation »
du système d’extrémité. Les systèmes d’extrémité peuvent être notamment des PC, des
imprimantes, des téléphones IP, des caméras de sécurité IP traditionnelles, etc. Cette évaluation
doit permettre de découvrir le niveau de vulnérabilité ou de menace acceptable d’un système
d’extrémité. Des éléments, tels que le niveau de patch de sécurité, la présence de solutions
antivirus/anticodes malveillants, les mises à jour de signatures antivirales/anticodes malveillants,
les applications en cours d’exécution et les ports ouverts peuvent tous être analysés afin de
déterminer l’état de santé global du système d’extrémité.
Après exécution du processus d’évaluation et d’autorisation du système d’extrémité, s'il
s'avère que ce dernier est non conforme aux politiques de sécurité du réseau, on peut lui accorder
un accès restreint ou encore le mettre en quarantaine réseau. Le processus d’application des
politiques de mise en quarantaine fait intervenir des politiques de communication réseau très
granulaires, c’est-à-dire à base de flux et non pas une simple affectation à un VLAN. En effet,
regrouper tous les systèmes d’extrémité « en mauvaise santé » au sein du même VLAN de
quarantaine revient à les laisser s’infecter mutuellement avec de nouvelles vulnérabilités. Les
Chapitre 2 État de l'art
9 | Page
politiques réseau décrivent la manière dont le trafic entrant sur des ports de commutation doit
être traité au niveau du filtrage et du balisage.
Dans le cadre d’une solution NAC, la remédiation consiste à résoudre un problème à des
fins de conformité avec certaines politiques prédéfinies. Ce processus de remédiation permet à
l’utilisateur mis en quarantaine réseau de recouvrer sa conformité. Il est important que ce dernier
soit impliqué dans le processus de remédiation afin d’optimiser les performances des processus
métier. (Enterasys Secure Networks, 2007)
2.2.2. Architecture
L'implémentation d'une solution NAC nécessite l'existence d'un ensemble de
composants. Le diagramme ci-dessous montre l'ensemble de ces éléments et le flux de
communication échangé :
Figure 3: Architecture globale d'une solution NAC
• Périphériques essayant d'accéder au réseau ou "Agents" (A) : inclut les
ordinateurs portables mobiles ou qui ne se connectent que rarement, les utilisateurs invités
ou les visiteurs ainsi que les utilisateurs de réseau habituels qui tentent d'accéder au réseau
d'entreprise.
• Périphérique de contrôle d'accès au réseau (B) : du point de vue du
périphérique demandeur, le périphérique d'accès réseau fonctionne en tant que
périphérique réseau de « premier saut » qui lance le traitement Posture Validation et le
processus d'authentification.
• Posture Validation Server (point de décision d'accès réseau) (C) : serveur en
arrière-plan dédié, également appelé "Posture Validation Server", qui évalue les références
Chapitre 2 État de l'art
10 | Page
d'authentification Posture (statut des périphériques qui requièrent un accès) en fonction des
règles de conformité.
• Serveurs d'entreprise (D) : zone critique du réseau et que la solution NAC
protège des périphériques malsains, infectés ou vulnérables.
• VLAN de quarantaine (E) : zone de réseau protégée virtuelle dans laquelle les
périphériques peuvent être sécurisés et corrigés, ré-analysés, puis ils obtiennent un accès
complet au réseau d'entreprise, ou restent conservés avec un accès restreint aux ressources
de réseau telle que l'Internet. (LANDESK, 2013)
2.2.3. Étude comparative des solutions disponibles Plusieurs solutions NAC sont disponibles. Elles peuvent être classifiées sous deux
principales catégories : commerciales et libres.
� Les solutions commerciales De nombreuses solutions existent sur le marché. Les trois constructeurs suivants sont les
dominants : Cisco, Microsoft et Juniper. La solution CISCO est traitée avec plus de détails vu
qu'elle est utilisée lors de la réalisation de ce projet, alors que les deux autres seront évoquées
brièvement.
� Solution Cisco
La gamme Cisco peut être définie par les caractéristiques suivantes :
� Intégration de l’authentification avec ouverture de session unique
Cisco NAC joue le rôle de proxy d’authentification pour la plupart des formes
d’authentification, puisqu’il intègre de manière native Kerberos, LDAP (Lightweight Directory
Access Protocol), RADIUS, Active Directory et bien d’autres solutions encore. Afin de
minimiser la gêne pour les utilisateurs finaux, Cisco NAC supporte l’ouverture de session unique
pour les clients VPN, les clients sans fil et les domaines Windows Active Directory. Le contrôle
d’accès à base de rôles permet à l’administrateur de gérer de multiples profils utilisateurs avec des
niveaux de permission différents.
� Évaluation des vulnérabilités
Cisco NAC supporte l’analyse de tous les systèmes d'exploitation Windows, de Mac OS,
des machines Linux et des équipements de réseau autres que les PCs (consoles de jeu, PDA,
imprimantes, téléphones IP, etc.). Il effectue une analyse réseau et peut, si nécessaire, utiliser des
outils d’analyse personnalisés. Cisco NAC peut vérifier n’importe quelle application identifiée par
ses clés de registres, les services exécutés ou les fichiers systèmes.
Chapitre 2 État de l'art
11 | Page
� Mise en quarantaine
Cisco NAC peut placer les machines non conformes en quarantaine pour éviter la
propagation des infections tout en lui ouvrant un accès à des ressources de remédiation. La
quarantaine peut s’effectuer sur un sous réseau de petite taille (type /30) ou sur un VLAN de
quarantaine.
� Mises à jour automatisées des politiques de sécurité
Les mises à jour automatiques des politiques de sécurité fournies par Cisco dans le cadre
du service de maintenance logicielle standard permettent d’obtenir des politiques prédéfinies pour
les critères d’accès réseau les plus courants, notamment les politiques qui vérifient les mises à jour
critiques du système d'exploitation comme des signatures antivirus et anti logiciels espions des
principaux produits du marché. Cette fonction réduit les frais de gestion pour l’administrateur
réseau qui peut laisser au serveur Cisco NAC le soin de veiller à la mise à jour permanente des
politiques de sécurité.
� Gestion centralisée
La console de gestion Web du Cisco NAC permet à l’administrateur de définir les types
d’analyse exigibles pour chaque rôle ainsi que les outils de remédiation nécessaires aux
« réparations ». Une même console de gestion peut administrer plusieurs serveurs.
� Remédiation et réparation
Les fonctionnalités de quarantaine donnent aux appareils un accès à des serveurs de
remédiation qui peuvent leur fournir des correctifs et des mises à jour du système d'exploitation,
des fichiers de définition de virus ou des solutions de sécurité pour points d’extrémité comme
Cisco Security Agent. L’administrateur peut autoriser les remédiations automatiques grâce à
l’option Cisco NAC Agent, initier le lancement automatique des mises à jour Windows ou
fournir une liste de pages Web contenant les instructions de remédiation. (Cisco Systems, 2006)
� Solution Microsoft
La protection d’accès réseau (NAP) est un ensemble de composants du système
d’exploitation inclus dans les systèmes Windows Server 2008, 2012 et Windows Vista; cet
ensemble constitue une plate-forme permettant de s’assurer que des ordinateurs clients dans un
réseau privé répondent aux exigences définies par l’administrateur en matière d’intégrité système.
Les stratégies NAP définissent l’état de configuration et de mise à jour du système d’exploitation
et des logiciels critiques d’un ordinateur client.
Chapitre 2 État de l'art
12 | Page
Les déploiements de la technologie NAP exigent des serveurs dotés de Windows Server
2008 ou 2012. De plus, cela suppose que des ordinateurs clients, exécutant Windows XP,
Windows Vista, Windows 7 ou Windows 8, soient disponibles.
Le serveur central chargé de l’analyse de détermination de l’intégrité pour la technologie
NAP est un ordinateur doté de Windows Server 2008 ou 2012 et d’un serveur NPS (Network
Policy Server). NPS est l’implémentation Windows du serveur et proxy RADIUS (Remote
Authentication Dial-In User Service). Le NPS remplace le service d’authentification Internet
(IAS ou Internet Authentication Service) dans le système d’exploitation Windows Server 2003.
Les périphériques d’accès et les serveurs NAP assument la fonction de clients RADIUS
pour un serveur RADIUS NPS. NPS effectue une tentative d’authentification et d’autorisation
d’une connexion réseau puis, en fonction des stratégies de contrôle d’intégrité , détermine la
conformité de l’intégrité des ordinateurs et la manière de restreindre l’accès réseau d’un
ordinateur non conforme. (Microsoft, 2008)
Figure 4: Architecture d'une solution Microsoft NAP
� Solution Juniper
La solution Juniper ou Unified Access Control (UAC) s'appuie sur les normes de
l'industrie, notamment 802.1X, RADIUS, IPsec et IF-MAP de TNC, lesquelles permettent
l'intégration de la solution UAC à n'importe quel équipement de sécurité et réseau tiers.
Elle combine l'identité des utilisateurs, le statut de sécurité des dispositifs et les
informations sur l’emplacement dans le réseau pour créer une stratégie de contrôle des accès,
Chapitre 2 État de
unique pour chaque utilisateur (qui fait q
à l’aide du protocole 802.1X,
2.0 peut également être mis en œuvre dans un mode mixte qui utilise le protocole 802.1X pour
contrôler les admissions sur le réseau et la couche 3 pour contrôler les accès aux ressources.
La solution UAC comprend Junos Pulse, Junos Pulse Access Control Service, les
passerelles Junos Pulse MAG Series,
que des points de mise en application
commutateurs ou points d'accès 802.1X conformes au protocole IF
Trusted Network Connect (TNC).
Parmi ces équipements figurent
d'accès pour réseau local WLA Series et les passerelles SRX Series.
La figure suivante présente un exemple d'architecture pour une solution UAC :
Figure
� Les solutions libres Plusieurs solutions libres existent
� FreeNAC
La solution FreeNAC effectue l'authentification via deux modes :
• Mode VMPS : les
utilisateurs ne sont pas authentifiés dans ce mode.
• Mode 802.1x : les
les utilisateurs d'un domaine Windows par le
re 2 État de
nique pour chaque utilisateur (qui fait quoi et quand?). La solution peut être activée en couche 2
ou en couche 3 via un déploiement de réseaux superposés. UAC
2.0 peut également être mis en œuvre dans un mode mixte qui utilise le protocole 802.1X pour
le réseau et la couche 3 pour contrôler les accès aux ressources.
La solution UAC comprend Junos Pulse, Junos Pulse Access Control Service, les
passerelles Junos Pulse MAG Series, les équipements de contrôle d'accès unifié IC Series,
ts de mise en application d'Unified Access Control (UAC) comprenant tous les
commutateurs ou points d'accès 802.1X conformes au protocole IF-MAP de l’architecture
Trusted Network Connect (TNC).
Parmi ces équipements figurent, par exemple, les commutateurs EX Series, les points
d'accès pour réseau local WLA Series et les passerelles SRX Series. (Juniper Networks, 2011)
La figure suivante présente un exemple d'architecture pour une solution UAC :
Figure 5: Architecture de la solution Juniper UAC
Les solutions libres
ieurs solutions libres existent. Les plus répandues sont FreeNAC et
La solution FreeNAC effectue l'authentification via deux modes :
les machines du réseau sont identifiées par leur adresse MAC. Les
utilisateurs ne sont pas authentifiés dans ce mode.
les machines du réseau peuvent être authentifiées par certificat et
eurs d'un domaine Windows par leur compte.
re 2 État de l'art
13 | Page
La solution peut être activée en couche 2
ou en couche 3 via un déploiement de réseaux superposés. UAC
2.0 peut également être mis en œuvre dans un mode mixte qui utilise le protocole 802.1X pour
le réseau et la couche 3 pour contrôler les accès aux ressources.
La solution UAC comprend Junos Pulse, Junos Pulse Access Control Service, les
les équipements de contrôle d'accès unifié IC Series, ainsi
comprenant tous les
MAP de l’architecture
s EX Series, les points
(Juniper Networks, 2011)
La figure suivante présente un exemple d'architecture pour une solution UAC :
FreeNAC et PacketFence.
machines du réseau sont identifiées par leur adresse MAC. Les
re authentifiées par certificat et
Chapitre 2 État de l'art
14 | Page
L'attribution d'un VLAN est basée sur l'adresse MAC d'une machine. En mode VMPS,
l'authentification et l'attribution ont lieu en une seule étape. En mode 802.1x, l'authentification
des utilisateurs (dans le domaine Windows), ou celle des machines (par certificat), se déroule en
premier, et ce n'est que par la suite que l'adresse MAC est utilisée pour l'attribution du VLAN.
(FreeNAC)
� PacketFence
PacketFence est une solution de conformité réseau (NAC, Network Access Control)
entièrement libre, supportée et reconnue. Elle procure une liste impressionnante de
fonctionnalités tels :
� L'enregistrement des composantes réseau grâce à un puissant portail captif
� Le blocage automatique, si souhaité, des appareils indésirables tels que les produits
Apple et Sony, bornes sans fil et autres
� L'enrayement de la propagation de vers et virus
� Le freinage des attaques sur les serveurs ou les diverses composantes du réseau
� La vérification de la conformité des postes présents sur le réseau (logiciels installés,
configurations particulières, etc.)
� La gestion simple et efficace des invités se connectant sur le réseau
� L'authentification des utilisateurs en se référant au standard 802.1X
� L'isolation niveau-2 des composantes problématiques
� L'intégration des détecteurs d'intrusions Snort et de vulnérabilités Nessus (Marcotte,
2013)
2.3. La plate-forme Cisco ISE Dans ce qui suit, nous allons définir la plate-forme Cisco ISE, la comparer avec son
prédécesseur ACS et mettre l'accent sur les principaux standards auxquels elle fait appel pour
fonctionner et nous finissons par évoquer les licences requises pour bénéficier de ses services.
2.3.1. Définition Identity Services Engine (ISE) est la dernière génération des plates-formes de contrôle
d'accès proposées par Cisco et qui permet aux entreprises d'imposer leurs politiques de sécurité
lors de l'accès, de renforcer la sécurité de leurs infrastructures et de rationaliser leurs opérations
de services.
L'architecture unique de Cisco ISE permet aux entreprises de recueillir les informations
concernant les utilisateurs et les périphériques, en temps réel à partir du réseau. L'administrateur
Chapitre 2 État de l'art
15 | Page
peut ensuite utiliser ces informations pour prendre des décisions de gouvernance proactive en
liant l'identité à divers éléments du réseau, y compris les commutateurs, les contrôleurs de réseau
local sans fil (WLC) et les passerelles des réseaux privés virtuels (VPN).
Le schéma suivant montre un exemple de déploiement de l'ISE au sein du réseau :
Figure 6: Déploiement d'une solution de contrôle d'accès basée sur ISE
La plate-forme ISE peut être considérée comme étant un système de contrôle d'accès
consolidé, à base de règles et intégrant un sur-ensemble de fonctionnalités disponibles dans les
plates-formes existantes. Parmi ses caractéristiques, on peut citer :
� Fournit un support pour la découverte, le profilage "profiling", le placement à base de
règles et le suivi des périphériques d'extrémité sur le réseau.
� Combine l'authentification, l'autorisation, la traçabilité (AAA : authentication,
authorization, accounting), l'évaluation de posture et le profilage en une seule application.
� Prend en charge l'évolutivité nécessaire pour soutenir un certain nombre de scénarios de
déploiement, du petit bureau aux grands environnements d'entreprise.
2.3.2. Comparaison entre ACS et ISE
L'ACS ou Secure Access Control System est le prédécesseur de l'ISE. Le tableau suivant
présente une comparaison entre les deux :
Cisco ACS Cisco ISE Support du protocole d'authentification
TACACS+ et ses services Oui Non
Autorisation et authentification des machines et des utilisateurs
Oui Oui
Profilage intégré Non Oui Services "Guest" intégrés Non Oui
Security Group Access(SGA) Oui Oui
Tableau 1: Comparaison ACS vs ISE
Chapitre 2 État de l'art
16 | Page
2.3.3. Fonctionnement Lors de la phase d'authentification et pour communiquer avec le client ou sa machine, la
plate-forme ISE fait appel à un ensemble de normes et de protocoles. Ce sont principalement :
802.1X, EAP et RADIUS.
� 802.1X
802.1X est un standard qui définit un mécanisme d'authentification pour l'accès au
réseau. 802.1X peut être comparé au protocole PPP, largement diffusé et nécessaire pour un
accès à Internet utilisant un modem. Le protocole PPP s'appuie sur un mécanisme embarqué,
chargé de l'authentification et pour lequel deux sous-protocoles étaient proposés au choix : PAP
et CHAP. Schématiquement, nous pourrions écrire :
Accès Internet = modem + PPP + (PAP ou CHAP) + TCP/IP.
Au cas où 802.1X est utilisé sur un équipement tel que le commutateur (Switch),
l'utilisateur connectant son ordinateur au réseau (filaire ou sans fil) est obligé à s'authentifier avant
d'entamer toute activité. A l'issue du processus d'authentification et en cas de succès, le client
reçoit un profil réseau (TCP/IP et VLAN) ainsi qu'un assortiment de règles de sécurité. (5)
Le standard 802.1X fait intervenir trois entités :
� Le client ou "supplicant" qui est typiquement un PC
� L'authentificateur (Switch, WLC)
� Le serveur d'authentification ou "authentifcation server" qui est un serveur RADIUS.
802.1x s'appuie sur EAP (Extensible Authentication Protocol) qui présente un moyen
pour transporter un protocole d'authentification. (Vincent REMAZEILLES, 2009)
� EAP (Extensible Authentication Protocol)
Le besoin de compatibilité avec des infrastructures d'authentification diversifiées et la
nécessité de disposer de secrets partagés dans des environnements multiples ont conduit à la
genèse du protocole EAP, capable de transporter des méthodes d'authentification
indépendamment de leurs particularités.
Le protocole EAP fournit un cadre peu complexe pour le transport de protocoles
d'authentification. Un message comporte un en-tête de 5 octets et des données optionnelles,
comme illustré dans la figure qui suit.
Chapitre 2 État de l'art
17 | Page
Figure 7: Datagramme EAP
Le protocole EAP est extensible puisque tout mécanisme d'authentification peut être
encapsulé à l’intérieur des messages EAP. Au niveau supérieur se trouvent les méthodes
d'authentification, comme TLS, MSChap, SIM, etc. La trame EAP elle-même est encapsulée
dans une trame de transport. Cette encapsulation peut s’effectuer soit dans une trame EAP over
Radius, c’est-à-dire dans une trame RADIUS, soit dans une trame EAPoL (EAP over LAN) qui
est utilisée dans les réseaux locaux, en particulier les réseaux locaux sans fil de type Wi-Fi.
(Pujolle, 2008)
� RADIUS (Remote Authentication Dial-In User Server)
Quel que soit le choix du mécanisme d'authentification entre le point d’accès et le serveur
d'authentification, les paquets EAP sont généralement acheminés grâce au protocole RADIUS.
RADIUS est depuis longtemps le protocole AAA (Authentication, Authorization, Accounting)
le plus largement adopté. Utilisé par les ISP pour authentifier les utilisateurs, il est principalement
conçu pour transporter des données d'authentification, d’autorisation et de facturation entre des
NAS (Network Access Server) distribués, qui désirent authentifier leurs utilisateurs et un serveur
d’ authentification partagé.
RADIUS utilise une architecture client-serveur qui repose sur le protocole UDP. Les
NAS, qui jouent le rôle de client, sont responsables du transfert des informations envoyées par
l’utilisateur vers les serveurs RADIUS. Ces derniers prennent en charge la réception des
demandes d’authentification, l’ authentification des utilisateurs et les réponses contenant toutes
les informations de configuration nécessaires aux NAS. Les serveurs RADIUS peuvent
également agir comme proxy pour d’autres serveurs RADIUS.
Si un équipement mobile a besoin d’accéder au réseau en utilisant RADIUS pour
l'authentification, il doit présenter au NAS des crédits d'authentification (identifiant utilisateur,
mot de passe, etc.). Ce dernier les transmet au serveur RADIUS en lui envoyant un ACCESS-
REQUEST. Le NAS et les proxys RADIUS ne peuvent interpréter ces crédits d'authentification
car ces derniers sont chiffrés entre l’utilisateur et le serveur RADIUS destinataire. À la réception
Chapitre 2 État de
de cette requête, le serveur RADIUS
de l’utilisateur dans une base de données LDAP (Lightweight Directory Access Protocol) ou
autre.
Les données d’autorisation échangées entre le client (le NAS) et le serveur RADIUS sont
toujours accompagnées d’un secret partagé. Ce secret est utilisé pour
l’intégrité de chaque paquet entre le NAS et le serveur
� 802.1X - EAP -
Les messages EAP transportent les échanges d’authentification entre le client et le serveur
d'authentification. Le Switch ne fait que les relayer, toutefois de part et d’autre du Switch, les
messages EAP ne sont pas transportés de la même façon.
directement dans la charge utile des trames Ethernet.
EAP est transporté dans les messages RADIUS.
encapsulations :
Figure
2.3.4. Licences La stratégie des licences suivie par Cisco
commander en combinant les différents services.
CISCO sont disponibles : Base,
dans la plate-forme ISE, offrant tous les services pour une durée de trois mois.
commander reste valide durant un, trois ou cinq ans. Le tableau qui suit expose les différents
services et les licences correspondantes.
re 2 État de
le serveur RADIUS vérifie l'identifiant du NAS puis les crédits
lisateur dans une base de données LDAP (Lightweight Directory Access Protocol) ou
Les données d’autorisation échangées entre le client (le NAS) et le serveur RADIUS sont
toujours accompagnées d’un secret partagé. Ce secret est utilisé pour vérifie
l’intégrité de chaque paquet entre le NAS et le serveur. (Pujolle, 2008)
RADIUS
Les messages EAP transportent les échanges d’authentification entre le client et le serveur
d'authentification. Le Switch ne fait que les relayer, toutefois de part et d’autre du Switch, les
messages EAP ne sont pas transportés de la même façon. Entre le client et le Switch,
directement dans la charge utile des trames Ethernet. Entre le Switch et le serveur RADIUS,
EAP est transporté dans les messages RADIUS. La figure suivante explique les deux
Figure 8: Encapsulation des messages EAP
La stratégie des licences suivie par Cisco vise à minimiser le nombre de licences à
commander en combinant les différents services. Actuellement, quatre paquets de licence ISE
: Base, Advanced, Plus et Wireless. La licence d'évaluation est in
offrant tous les services pour une durée de trois mois.
commander reste valide durant un, trois ou cinq ans. Le tableau qui suit expose les différents
correspondantes.
re 2 État de l'art
18 | Page
du NAS puis les crédits d'authentification
lisateur dans une base de données LDAP (Lightweight Directory Access Protocol) ou
Les données d’autorisation échangées entre le client (le NAS) et le serveur RADIUS sont
vérifier l’authenticité et
Les messages EAP transportent les échanges d’authentification entre le client et le serveur
d'authentification. Le Switch ne fait que les relayer, toutefois de part et d’autre du Switch, les
Entre le client et le Switch, EAP est
Switch et le serveur RADIUS,
La figure suivante explique les deux
vise à minimiser le nombre de licences à
Actuellement, quatre paquets de licence ISE
. La licence d'évaluation est incluse
offrant tous les services pour une durée de trois mois. La licence à
commander reste valide durant un, trois ou cinq ans. Le tableau qui suit expose les différents
Chapitre 2 État de l'art
19 | Page
Services de ISE CISCO Licences Services RADIUS incluant dot1x et MAB Base - Wireless
Authentification WEB Base - Wireless MACsec Base - Wireless
Portail "Guest" & services du sponsor Base - Wireless Posture Advanced - Wireless
Security Group Access Plus - Advanced - Wireless Services de protection des terminaux Plus - Advanced - Wireless Mobile Device Management(MDM) Advanced - Wireless
Enregistrement des périphériques via portail Plus - Advanced - Wireless Profilage Plus - Advanced - Wireless
Profiler feed service Plus - Advanced - Wireless Services RESTful externes Base - Wireless
Tableau 2: Les services de l'ISE et les licences correspondantes
2.4. Conclusion Dans ce présent chapitre, nous avons essayé de mettre en relief le principe de
fonctionnement de toute solution NAC, son architecture globale ainsi que les différentes
solutions disponibles; néanmoins, nous nous sommes attardés sur une solution particulière
proposée par Cisco Systems, à savoir la plate-forme ISE.
La mise en place de cette plate-forme et la définition des politiques de sécurité dépendent
de l'architecture et de la nature du réseau à protéger, tels que type d’ utilisateurs, équipements
déployés et sous-réseaux existants.
CHAPITRE 3 :
RÉALISATION
Chapitre 3 Réalisation
21 | Page
3.1. Introduction Après avoir achevé les notions théoriques, nous passons à la mise en place de notre
solution, laquelle représente notre tâche principale. Au cours de ce chapitre, nous nous
attarderons sur les différentes configurations requises pour assurer le contrôle d'accès des
utilisateurs des réseaux filaire et sans fil. Ceci revient essentiellement à paramétrer la plate-forme
ISE, le commutateur ainsi que le contrôleur du réseau sans fil ou le WLC.
3.2. Architecture du réseau
Afin d'implémenter notre solution, nous avons besoin d'une part, de deux équipements et
d'autre part, de quatre machines virtuelles.
Les équipements requis sont :
� Un commutateur (Switch)
� Un point d'accès
Les machines virtuelles requises serviront à installer :
� Un contrôleur de domaine
� Deux plates-formes Cisco ISE
� Un contrôleur du réseau local sans fil (WLC) L'installation des machines virtuelles s'est déroulée sur le serveur de l'entreprise, lequel est
doté des caractéristiques suivantes :
Figure 9: Résumé sur les caractéristiques du serveur
Chapitre 3 Réalisation
22 | Page
Leur déploiement s'effectue au sein du réseau existant de l'entreprise. Par conséquent, le
choix des adresses est relié au plan d'adressage disponible ; les adresses à utiliser doivent
appartenir au réseau 172.25.0.0 et ayant comme masque 255.255.255.0 .
La figure ci-dessous explique l'architecture suivie.
Figure 10: Architecture du réseau
Chapitre 3 Réalisation
23 | Page
3.3. Installation et intégration de Cisco ISE et Active Directory Avant d'entamer la configuration des trois principaux éléments de notre solution, nous
devrions passer par la préparation du terrain dans lequel la solution sera déployée. Ceci consiste
essentiellement à :
� Installer le contrôleur de domaine.
� Installer et intégrer deux plates-formes ISE.
� Joindre les deux plates-formes au contrôleur.
3.3.1. Installation du contrôleur de domaine (Active Directory) Active Directory est un service d'annuaire, ou contrôleur de domaine, permettant de
référencer et d'organiser des objets tels que les comptes utilisateurs ou encore les autorisations et
ce à l'aide de groupes de domaine. Les informations peuvent ainsi être centralisées dans un
annuaire de référence afin de faciliter l'administration du réseau.
Le domaine représente l'unité de base chargée de regrouper les objets qui partagent un
même espace de nom. Par conséquent, notre domaine repose sur un système DNS.
Le serveur DNS et le contrôleur Active Directory sont deux rôles à ajouter à Windows
Server.
Figure 11: Ajout des rôles DNS et Active Directory
Le nom de domaine que nous avons choisi est : NSIT.local (abréviation du nom de
l'entreprise : Next Step IT)
3.3.2. Installation et intégration de deux plates-formes Cisco ISE
L'installation de l'ISE s'est déroulée sur l'un des serveurs de l'entreprise ayant comme
hyperviseur VMware ESXi. Nous y accédons à l'aide de VMware vSphere Client.
Chapitre 3 R
En premier lieu, nous devons télécharger l'image .
"datastore" du serveur.
Figure 12
La plate-forme ISE requiert une machine virtuelle ayant au minimum les caractéristiques
suivantes :
� Mémoire vive de 4 GB
� Mémoire disque de 200 GB
� 4 processeurs (CPUs)
� Deux cartes réseaux (2 NIC)
Lors du premier démarrage de la machine, certaines données ont été saisies pour
commencer l'installation, parmi lesquelles nous pouvons citer :
� ise-cisco2 : nom de la machine lequel
Active Directory
� 172.25.0.201 : adresse IP privée de la machine
� 255.255.255.0 :
� 172.25.0.254 : passerelle par défaut
� nsit.local : nom de domaine que nous avons choisi
� 172.25.0.27 : adresse IP du serveur NTP (Network Time Protocol) permettant de
synchroniser l'horloge de la plate
Server et sur lequel pointe l'ISE.
Chapitre 3 R
En premier lieu, nous devons télécharger l'image .iso sur la banque de données
12: Téléchargement de l'image .iso sur la datastore
forme ISE requiert une machine virtuelle ayant au minimum les caractéristiques
Mémoire vive de 4 GB
Mémoire disque de 200 GB
processeurs (CPUs)
Deux cartes réseaux (2 NIC)
Lors du premier démarrage de la machine, certaines données ont été saisies pour
commencer l'installation, parmi lesquelles nous pouvons citer :
nom de la machine lequel, sera ajouté ultérieurement aux DNS et
adresse IP privée de la machine
masque de sous-réseau
passerelle par défaut
nom de domaine que nous avons choisi
adresse IP du serveur NTP (Network Time Protocol) permettant de
synchroniser l'horloge de la plate-forme. Un serveur NTP a été installé sur Windows
Server et sur lequel pointe l'ISE.
Chapitre 3 Réalisation
24 | Page
sur la banque de données
forme ISE requiert une machine virtuelle ayant au minimum les caractéristiques
Lors du premier démarrage de la machine, certaines données ont été saisies pour
sera ajouté ultérieurement aux DNS et
adresse IP du serveur NTP (Network Time Protocol) permettant de
forme. Un serveur NTP a été installé sur Windows
Chapitre 3 Réalisation
25 | Page
Figure 13: Paramètres de configuration réseau lors de l'installation
La machine contenant la plate-forme ISE est appelée "node". Elle peut fonctionner selon
deux modes :
• Standalone : déploiement d'une seule plate-forme assurant les différents services
• Primaire-secondaire : déploiement distribué, permettant la séparation des services et le
basculement "failover" entre les deux nœuds.
Pour assurer la haute disponibilité, nous avons opté pour la mise en place de deux
plates-formes ISE. Leur intégration nécessite une authentification mutuelle basée sur les
certificats : chacune possède son propre certificat, lequel doit être généré par l'autorité de
certification (Certificate Authority). Dans notre cas, l'autorité est représentée par le contrôleur de
domaine. La génération du certificat est offerte par le service de certificats Active Directory.
Figure 14: Ajout des services de certificats Active Directory
Ce service est accessible via une interface WEB à l'adresse suivante :
https://172.25.0.27/certsrv où 172.25.0.27 représente l'adresse du serveur Windows. La
capture d'écran qui suit représente l'interface Web du service.
Chapitre 3 R
Figure 15: Interface WEB du service de certificats Microsoft Active Directory
L'ajout du certificat d'autorité de certification s'effectue manuellement. Nous l'avons
téléchargé à partir de l'interface W
des deux certificats.
Figure 16: Importation du certificat d'autorité de certification dans la plate
L'étape suivante consiste à générer les demandes des certificats "Certificate Request" à
partir de l'ISE afin de les traiter au niveau du service des certificats Active Director
la demande est par la suite ouvert avec un éditeur de texte et son
approprié. Le modèle de certificat à choisir est "Serveur Web".
Figure 17: Génération du certificat par le
Chapitre 3 R
: Interface WEB du service de certificats Microsoft Active Directory
L'ajout du certificat d'autorité de certification s'effectue manuellement. Nous l'avons
téléchargé à partir de l'interface Web et joint aux plates-formes pour assurer la reconnaissance
Importation du certificat d'autorité de certification dans la plate
L'étape suivante consiste à générer les demandes des certificats "Certificate Request" à
partir de l'ISE afin de les traiter au niveau du service des certificats Active Director
la demande est par la suite ouvert avec un éditeur de texte et son contenu
approprié. Le modèle de certificat à choisir est "Serveur Web".
: Génération du certificat par le service des certificats AD
Chapitre 3 Réalisation
26 | Page
: Interface WEB du service de certificats Microsoft Active Directory
L'ajout du certificat d'autorité de certification s'effectue manuellement. Nous l'avons
formes pour assurer la reconnaissance
Importation du certificat d'autorité de certification dans la plate-forme ISE
L'étape suivante consiste à générer les demandes des certificats "Certificate Request" à
partir de l'ISE afin de les traiter au niveau du service des certificats Active Directory. Le fichier de
est collé au service
service des certificats AD
Chapitre 3 R
Figure 18: Détails du certificat généré pour le deuxième nœud
Après avoir ajouté chaque certificat à la plate
même de les intégrer. L'enregistrement de la plate
nécessite la spécification de son FQDN (ise
l'administrateur. Il est à préciser que l'intégration des deux plates
d'horloge (NTP).
Figure
Le nœud peut assurer un ou plusieurs des services suivants :
� Administration : permet de manipuler les configurations systèmes reliées aux
fonctionnalités telles que
� Monitoring : fournit les services de journalisation "log" et des outils de dépannage
"troubleshooting" avancés
� Services de la politique "Policy Service" :
posture, l'accès des visiteurs "Guests", "client provisioning" et les services de profilage.
Dans un déploiement assurant la haute disponibilité, le nœud administratif primaire est le
seul nœud actif, et sur lequel s'effectuent tous les changements. Le nœud secondaire est en état
d'attente "standby" et reçoit d'une manière continue la configuration du nœud principal.
Chapitre 3 R
: Détails du certificat généré pour le deuxième nœud
s avoir ajouté chaque certificat à la plate-forme correspondante, nous sommes à
même de les intégrer. L'enregistrement de la plate-forme secondaire au niveau de la primaire
nécessite la spécification de son FQDN (ise-cisco2.nsit.local) et des données d'authentification de
l'administrateur. Il est à préciser que l'intégration des deux plates-formes exige une conformité
Figure 19: Enregistrement du nœud secondaire
Le nœud peut assurer un ou plusieurs des services suivants :
permet de manipuler les configurations systèmes reliées aux
s que l'authentification et l'autorisation.
fournit les services de journalisation "log" et des outils de dépannage
"troubleshooting" avancés
Services de la politique "Policy Service" : fournit l'accès au réseau, la validation de
s visiteurs "Guests", "client provisioning" et les services de profilage.
un déploiement assurant la haute disponibilité, le nœud administratif primaire est le
sur lequel s'effectuent tous les changements. Le nœud secondaire est en état
d'attente "standby" et reçoit d'une manière continue la configuration du nœud principal.
Chapitre 3 Réalisation
27 | Page
forme correspondante, nous sommes à
rme secondaire au niveau de la primaire
cisco2.nsit.local) et des données d'authentification de
formes exige une conformité
permet de manipuler les configurations systèmes reliées aux
fournit les services de journalisation "log" et des outils de dépannage
fournit l'accès au réseau, la validation de
s visiteurs "Guests", "client provisioning" et les services de profilage.
un déploiement assurant la haute disponibilité, le nœud administratif primaire est le
sur lequel s'effectuent tous les changements. Le nœud secondaire est en état
d'attente "standby" et reçoit d'une manière continue la configuration du nœud principal.
Chapitre 3 Réalisation
28 | Page
Par conséquent, il possède toujours une copie complète de la configuration. Au cas où le nœud
primaire est devenu hors service, le responsable doit se connecter à l'interface du nœud
secondaire et le promouvoir pour pouvoir configurer les règles.
3.3.3. Jointure des deux plates-formes au contrôleur Active Directory
L'intégration du contrôleur avec la plate-forme ISE sera utile lors de la phase
d'authentification. En effet, l'authentification peut être effectuée à partir d'une source externe et
ce en s'appuyant sur les comptes utilisateurs et leurs groupes respectifs.
La plate-forme doit être reconnue au niveau du contrôleur comme étant une machine.
Son FQDN (ise-cisco.nsit.local) doit aussi être résolu. Ceci nous conduit à ajouter un hôte au
niveau du serveur DNS, sinon une alerte s'affichera sur la plate-forme .
Figure 20: Ajout des machines au serveur DNS
La requête de jointure requiert la saisie des coordonnées du compte de l'administrateur du
domaine ou celles d'un compte ayant les permissions d'ajout des machines et d'accès à la liste des
groupes et utilisateurs.
Figure 21: Jointure des plates-formes ISE à Active Directory
Une fois la jointure réussie, et en consultant la liste des machines existantes sur le
contrôleur, nous pouvons constater que la machine sur laquelle est installée Cisco ISE est
automatiquement additionnée.
Figure 22: Ajout des plates-formes à la liste des machines
Chapitre 3 Réalisation
29 | Page
Après avoir effectué la jointure à Active Directory, nous devons importer les groupes
permettant d'authentifier les utilisateurs du domaine et servant à affecter le profil d'autorisation
approprié à chaque utilisateur. Pour afficher les groupes dont on a besoin, il faut taper leurs
noms, autrement il faut taper "*" pour lister les groupes existants. La figure qui suit montre
l'importation du groupe "Utilisateurs du domaine".
Figure 23: Ajout d'un groupe d'utilisateurs Active Directory à l'ISE
3.4. Configuration de l'ISE La configuration de l'ISE se résume principalement à la configuration des politiques
d'authentification, de "Client Provisioning" et posture et d'autorisation.
3.4.1. Authentification Les politiques d'authentification à définir au niveau de l'ISE servent à identifier les
différents utilisateurs ou machines demandant l'accès au réseau et ce en s'appuyant sur un
ensemble de protocoles tels que Password Authentication Protocol (PAP), Challenge-Handshake
Authentication Protocol (CHAP), Extensible Authentication Protocol (EAP) et Protected
Extensible Authentication Protocol (PEAP). Lors de l'ajout de la règle, nous devons choisir les
protocoles permis pour une telle méthode d'authentification et la source des identités (Identity
Store).
Les sources qui peuvent être utilisées sont les suivantes :
� Utilisateurs internes
� Utilisateurs "Guest" (groupe d'utilisateurs défini sur la plate-forme)
� Terminaux internes
� Active Directory
� Bases de données LDAP
� RADIUS Token Server
Chapitre 3 R
Trois méthodes d'authentification sont supporté
� 802.1X (abordé au cours du chapitre précédent)
� MAC Authentication Bypass (MAB) :
réseau et le téléphone IP
elle pourra être effectuée en se référant à l'adresse MAC
� L'authentification Web
Les règles d'authentification qui ont été dé
méthodes. La première règle pe
dans la liste interne. Cette règle sera
la phase d'autorisation. La seconde règle sert à authentifier les compte
lieu à partir du contrôleur Active Directory
d'authentification pour un utilisateur de domaine, la seconde
avec un utilisateur local. Ceci nous perme
d'une erreur d'intégration avec Active Directory ou
se référant au domaine.
Afin d'autoriser plus qu'une source d'authentification
ajouter une séquence de source d'identité ou "Identity Source Sequence" permettant de vérifier
les identités en consultant les sources par
Figure 25: Définition de la séquence "Use_AD_then_local"
Chapitre 3 R
Trois méthodes d'authentification sont supportées par l'ISE :
(abordé au cours du chapitre précédent)
Authentication Bypass (MAB) : certains périphériques, tels que l'imprimante
réseau et le téléphone IP, ne supportent pas l'authentification 802.1X.
pourra être effectuée en se référant à l'adresse MAC
'authentification Web via un portail captif
Les règles d'authentification qui ont été définies se limitaient aux deux premières
. La première règle permet de vérifier l'existence des adresses MAC des
Cette règle sera aussi utile pour la troisième méthode, laquelle est reportée à
d'autorisation. La seconde règle sert à authentifier les comptes utilisateurs, en premier
leur Active Directory, puis à partir de la liste interne.
n utilisateur de domaine, la seconde règle donne la possibilité de tester
avec un utilisateur local. Ceci nous permettra de mieux localiser la défaillance
d'une erreur d'intégration avec Active Directory ou d'une erreur au niveau de l'authentification
Figure 24: Règles d'authentification
Afin d'autoriser plus qu'une source d'authentification pour une seule règle, il a fallu
ajouter une séquence de source d'identité ou "Identity Source Sequence" permettant de vérifier
tés en consultant les sources par ordre. La figure suivante montre la séquence définie :
: Définition de la séquence "Use_AD_then_local"
Chapitre 3 Réalisation
30 | Page
tels que l'imprimante
ne supportent pas l'authentification 802.1X. Dans ce cas,
ent aux deux premières
MAC des périphériques
, laquelle est reportée à
s utilisateurs, en premier
à partir de la liste interne. En d'échec
la possibilité de tester
ttra de mieux localiser la défaillance ; il pourrait s'agir
au niveau de l'authentification en
pour une seule règle, il a fallu
ajouter une séquence de source d'identité ou "Identity Source Sequence" permettant de vérifier
La figure suivante montre la séquence définie :
Chapitre 3 R
Il est possible de définir des règles avec des conditions simples ou
condition simple est basée sur
ainsi qu'une valeur. Ces conditions peuvent être définies au niveau de la librairie et appelées
directement lors de la définition de la règle
composée rassemble deux conditions simples ou plus avec un opérateur OR ou AND. La figure
suivante montre le rassemblement de deux conditio
opérateur OR pour la règle "MAB".
Figure
Une fois l'authentification réussie, la session procède à la phase d'autorisation. Des
options offertes par l'ISE permettent de vérifier la conformité avec les politiques d'autorisation
même en cas d'échec d'authentification. Ces options sont indispensable
l'authentification WEB. L'authentification MAB sera considérée comme réussie même si l'adresse
MAC de la machine est introuvable.
l'option "If user not found", comme indi
Figure 27: Succès de l'authentification au cas où l'adresse MAC est introuvable
La définition des règles repose sur les attributs du protocole RADIUS.
constituent le principe le plus important du protocole Radius, aussi bien dans sa version initiale
que pour ses extensions. Les champs attributs sont le fondement du protocole. Par conséquent, la
bonne compréhension de leur signification et de leur rôle est indispensable pour tirer
parti de Radius. Chaque attribut possède un numéro approprié
existe un grand nombre d’attributs dans le protocole Radius, mais peu d’entre eux sont utiles
Chapitre 3 R
Il est possible de définir des règles avec des conditions simples ou
sur un opérande, un opérateur tels que "equal to" et "not equal to"
Ces conditions peuvent être définies au niveau de la librairie et appelées
directement lors de la définition de la règle pour une meilleure organisation. Une condition
composée rassemble deux conditions simples ou plus avec un opérateur OR ou AND. La figure
suivante montre le rassemblement de deux conditions existantes dans la librairie
AB".
Figure 26: Condition composée (exemple : MAB)
Une fois l'authentification réussie, la session procède à la phase d'autorisation. Des
options offertes par l'ISE permettent de vérifier la conformité avec les politiques d'autorisation
même en cas d'échec d'authentification. Ces options sont indispensables pour faire fonctionner
l'authentification WEB. L'authentification MAB sera considérée comme réussie même si l'adresse
introuvable. Ceci est réalisable en changeant l'action à "Continue" po
comme indiqué sur la figure qui suit.
: Succès de l'authentification au cas où l'adresse MAC est introuvable
La définition des règles repose sur les attributs du protocole RADIUS.
plus important du protocole Radius, aussi bien dans sa version initiale
que pour ses extensions. Les champs attributs sont le fondement du protocole. Par conséquent, la
bonne compréhension de leur signification et de leur rôle est indispensable pour tirer
but possède un numéro approprié, auquel est associé un nom.
existe un grand nombre d’attributs dans le protocole Radius, mais peu d’entre eux sont utiles
Chapitre 3 Réalisation
31 | Page
Il est possible de définir des règles avec des conditions simples ou composées. Une
un opérateur tels que "equal to" et "not equal to"
Ces conditions peuvent être définies au niveau de la librairie et appelées
pour une meilleure organisation. Une condition
composée rassemble deux conditions simples ou plus avec un opérateur OR ou AND. La figure
ns existantes dans la librairie avec un
Une fois l'authentification réussie, la session procède à la phase d'autorisation. Des
options offertes par l'ISE permettent de vérifier la conformité avec les politiques d'autorisation
s pour faire fonctionner
l'authentification WEB. L'authentification MAB sera considérée comme réussie même si l'adresse
Ceci est réalisable en changeant l'action à "Continue" pour
: Succès de l'authentification au cas où l'adresse MAC est introuvable
La définition des règles repose sur les attributs du protocole RADIUS. Les attributs
plus important du protocole Radius, aussi bien dans sa version initiale
que pour ses extensions. Les champs attributs sont le fondement du protocole. Par conséquent, la
bonne compréhension de leur signification et de leur rôle est indispensable pour tirer le meilleur
auquel est associé un nom. Il
existe un grand nombre d’attributs dans le protocole Radius, mais peu d’entre eux sont utiles
Chapitre 3 R
dans le cas qui nous préoccupe ici
� User-Name : cet attribut est envoyé par le NAS et contient l’identifiant qui va servir de
point d’entrée dans la base du serveur d’authentification
� User-Password : il s’agit du mot de passe associé à
serveur d’authentification valide ce
sa base de données
� NAS-Port : il s’agit du numéro de port du NAS sur lequel est connecté le poste de
travail. Cet attribut est transmis par le NAS. Son utilisation permettra d’authentifier un
poste de travail à condition qu’il soit connecté via ce numéro de port. Dans le cas d’un
commutateur, il s’agit du port physique sur lequel est connecté le poste de travail
� Service-Type : indique le type de service demandé ou le type de service à fournir.
une utilisation avec la norme
et Call check ont un sens.
A titre d'exemple, la condition prédéfinie "Wired_802.1X" affecte les valeurs suivantes
aux attributs Service-Type et NAS
�
Figure 28: Attributs RADIUS de l'authentification DOT1X sur le réseau filaire
3.4.2. Posture & Client Provisioning Les services de posture fournis par Cisco ISE permettent de vérifier la disponibilité des
dernières mises à jour au niveau de la machine du client ou l'existence de certaines applications
tels que les anti-virus et les anti
de ces deux Agents :
� Cisco NAC Web Agent :
qui disparait une fois la session de login terminée.
ayant un accès pour une période bien déterminée.
� Cisco NAC Agent : un agent
Windows ou Mac pour permettre l'évaluation lors des prochaines connexions. Il est
généralement utilisé avec les utilisateurs du domaine.
Chapitre 3 R
dans le cas qui nous préoccupe ici :
ttribut est envoyé par le NAS et contient l’identifiant qui va servir de
point d’entrée dans la base du serveur d’authentification
agit du mot de passe associé à User-Name, transmis par le NAS. Le
serveur d’authentification valide ce mot de passe en fonction de la valeur enregistrée dans
l s’agit du numéro de port du NAS sur lequel est connecté le poste de
travail. Cet attribut est transmis par le NAS. Son utilisation permettra d’authentifier un
travail à condition qu’il soit connecté via ce numéro de port. Dans le cas d’un
il s’agit du port physique sur lequel est connecté le poste de travail
ndique le type de service demandé ou le type de service à fournir.
la norme 802.1X, seulement les valeurs Framed,
sens.
A titre d'exemple, la condition prédéfinie "Wired_802.1X" affecte les valeurs suivantes
Type et NAS-Port :
�
: Attributs RADIUS de l'authentification DOT1X sur le réseau filaire
Posture & Client Provisioning
Les services de posture fournis par Cisco ISE permettent de vérifier la disponibilité des
niveau de la machine du client ou l'existence de certaines applications
virus et les anti-spywares. Afin d'évaluer la machine, le client doit disposer de l'un
Cisco NAC Web Agent : un agent temporaire que les clients installe
qui disparait une fois la session de login terminée. Il est recommandé pour des utilisateurs
ayant un accès pour une période bien déterminée.
un agent persistant qui, une fois installé, subsiste sur une machine
Windows ou Mac pour permettre l'évaluation lors des prochaines connexions. Il est
généralement utilisé avec les utilisateurs du domaine.
Chapitre 3 Réalisation
32 | Page
ttribut est envoyé par le NAS et contient l’identifiant qui va servir de
Name, transmis par le NAS. Le
mot de passe en fonction de la valeur enregistrée dans
l s’agit du numéro de port du NAS sur lequel est connecté le poste de
travail. Cet attribut est transmis par le NAS. Son utilisation permettra d’authentifier un
travail à condition qu’il soit connecté via ce numéro de port. Dans le cas d’un
il s’agit du port physique sur lequel est connecté le poste de travail.
ndique le type de service demandé ou le type de service à fournir. Pour
seulement les valeurs Framed, Authenticate Only
A titre d'exemple, la condition prédéfinie "Wired_802.1X" affecte les valeurs suivantes
: Attributs RADIUS de l'authentification DOT1X sur le réseau filaire
Les services de posture fournis par Cisco ISE permettent de vérifier la disponibilité des
niveau de la machine du client ou l'existence de certaines applications
Afin d'évaluer la machine, le client doit disposer de l'un
un agent temporaire que les clients installent lors du login et
Il est recommandé pour des utilisateurs
is installé, subsiste sur une machine
Windows ou Mac pour permettre l'évaluation lors des prochaines connexions. Il est
Chapitre 3 Réalisation
33 | Page
Par ailleurs, ces agents peuvent faciliter la remédiation des machines en affichant un
message expliquant la procédure et en fournissant des fichiers à télécharger et installer. La plate-
forme ISE donne la possibilité de rediriger les clients vers une page de téléchargement des agents
pour ceux qui n'en disposent pas et ce grâce à une option à configurer au niveau du profil
d’autorisation. Ce service est appelé "Client Provisioning". La figure qui suivra expose les règles
de "Client Provisioning" définies : la première fournit l'agent temporaire "Web Agent" aux invités
"Guests", alors que la deuxième fournit l'agent persistant aux autres utilisateurs qui sont
principalement les membres du domaine. Il est à préciser que l'ordre des règles est primordial
pour assurer une bonne affectation. Par exemple, en inversant l'ordre, tous les utilisateurs
téléchargeront l'agent persistant et la deuxième règle ne sera jamais appliquée.
Figure 29: Règles du Client Provisioning
Pour pouvoir choisir l'agent approprié, nous avons dû le télécharger directement sur la
plate-forme et ce à partir du site Cisco . Par conséquent, le nom de domaine cisco.com doit être
résolu à partir de l'ISE. La liste qui suit présente des versions multiples des deux types d'agents
NAC, temporaires et persistants.
Figure 30: Exemples de la liste des agents NAC
Après avoir fourni les agents permettant l'évaluation de posture aux clients, nous devons
procéder à la phase de définition des règles de posture. Une règle s'écrit :
Si condition(s) alors exigence
Aussi, une exigence peut être décomposée comme suit :
Si condition(s) alors action de remédiation
Chapitre 3 R
Dans une règle d'exigence, u
� un fichier : vérifier l'existence d'un fichier, la date du fichier ainsi que sa version
� un registre : s'assurer de l'existence d'une clé de registre ou la valeur de la clé
� une application : vérifier si une application est en train de fonctionner
� un service : vérifier si un service est
Nous pouvons aussi former une condition composée à base de conditions simples ou
composées. En outre, des conditions composées intégré
Antispywares. Lors de l'ajout d'une
d'exploitation, la liste des vendeurs s'affiche :
Figure
Pour une telle condition, Cisco ISE donne la possibilité d'examiner la machine p
vérifier l'existence de l'antivirus ou même la disposition d'une version récente. Ceci est réalisable
en analysant le fichier de définition de la version
versions reconnues par l'ISE doivent être mises à jour
Figure 32
Chapitre 3 R
Dans une règle d'exigence, une condition simple peut être :
vérifier l'existence d'un fichier, la date du fichier ainsi que sa version
s'assurer de l'existence d'une clé de registre ou la valeur de la clé
vérifier si une application est en train de fonctionner
vérifier si un service est en exécution
Nous pouvons aussi former une condition composée à base de conditions simples ou
, des conditions composées intégrées avec l'ISE existent : Antivirus et
. Lors de l'ajout d'une condition d'antivirus et après le choix du système
la liste des vendeurs s'affiche :
Figure 31: Liste des vendeurs d'antivirus
Pour une telle condition, Cisco ISE donne la possibilité d'examiner la machine p
vérifier l'existence de l'antivirus ou même la disposition d'une version récente. Ceci est réalisable
en analysant le fichier de définition de la version par les Agents NAC. En conséquence, les
versions reconnues par l'ISE doivent être mises à jour continuellement.
32: Champs à remplir d'une condition d'antivirus
Chapitre 3 Réalisation
34 | Page
vérifier l'existence d'un fichier, la date du fichier ainsi que sa version
s'assurer de l'existence d'une clé de registre ou la valeur de la clé
vérifier si une application est en train de fonctionner
Nous pouvons aussi former une condition composée à base de conditions simples ou
s avec l'ISE existent : Antivirus et
condition d'antivirus et après le choix du système
Pour une telle condition, Cisco ISE donne la possibilité d'examiner la machine pour
vérifier l'existence de l'antivirus ou même la disposition d'une version récente. Ceci est réalisable
. En conséquence, les
Chapitre 3 Réalisation
35 | Page
Comme l'entreprise Next Step IT est un revendeur des produits Mcafee, nous avons opté
pour l'utilisation de ce vendeur dans la définition de la règle. Tout utilisateur demandant l'accès au
réseau doit disposer d'une version de l'antivirus Mcafee.
Figure 33: Choix des produits Mcafee dans la condition d'antivirus
Après avoir défini la condition d'antivirus, nous devons choisir l'action de remédiation. Il
est possible de permettre l'accès à des adresses IP bien définies servant à télécharger et mettre à
jour l'anti-virus tel que le site officiel de Mcafee et ce lors de la déclaration de la liste d'accès
(ACL), ou d'offrir le fichier exécutable directement. Dans notre cas, nous avons importé le
fichier d'installation de l'antivirus sur la plate-forme pour qu'il soit téléchargeable directement.
Figure 34: Ajout du fichier de remédiation
Comme la condition d'antivirus et l'action de remédiation ont été ajoutées, il est possible
de définir la règle d'exigence ou "requirement". Cette règle sera utile pendant la définition de la
règle de posture.
Chapitre 3 Réalisation
36 | Page
Figure 35: Définition de la règle d'exigence
Avec le fichier de remédiation, nous avons la possibilité d'afficher un message expliquant
la procédure et la cause de non-conformité. Dans notre cas, le message suivant sera affiché :
Figure 36: Affichage d'un message avec l'agent NAC
La règle de posture définie exige la disposition d'un antivirus Mcafee pour tous les
utilisateurs de l'environnement Windows en faisant appel à celle qui vient d'être déclarée et
nommée "Mcafee".
Figure 37: Règle de posture
Après avoir eu accès, un client peut désinstaller son anti-virus, ou d'une autre manière,
détourner la règle définie. Ceci nous oblige à revérifier la machine périodiquement. Dans notre
cas, nous avons appliqué une réévaluation régulière d'une heure comme décrit dans la figure
suivante.
Figure 38: Réévaluation régulière
Chapitre 3 Réalisation
37 | Page
3.4.3. Autorisation
Les politiques d'autorisation à définir mettent en application les politiques
d'authentification et de posture ; ces politiques sont déclarées comme étant des conditions. Sur la
base de ces conditions, l'utilisateur aura l'autorisation appropriée. Pour résumer, une règle
d'autorisation s'écrit :
Si conditions (attributs ou groupes d'utilisateurs) alors permissions (profil
d'autorisation).
Dans notre cas, nous avons besoin des attributs d'authentification et de posture ainsi que
des groupes d'utilisateurs. Afin de vérifier l'état de la machine par rapport à la règle de posture,
nous avons recours à l'attribut "PostureStatus" . Cet attribut peut avoir trois valeurs :
� Unknown : aucune donnée n'a été obtenue pour évaluer la machine; l'agent NAC n'est
pas disponible
� Noncompliant : la machine n'est pas conforme avec une ou plusieurs règles
� Compliant : la machine est conforme avec les règles
Afin de vérifier l'identité de l'utilisateur du domaine, nous avons recours à l'attribut
"ExternalGroups" et ce en prenant comme valeur le nom d'un groupe du domaine.
Les utilisateurs inscrits sur le portail captif sont affectés directement à un groupe
d'utilisateur nommé "Guest", lequel peut être exploité lors de l'ajout de la règle.
Avant d'additionner une règle, nous devons créer le profil d'autorisation associé. Dans un
tel profil, nous avons le choix entre plusieurs options telles que l'affectation à un VLAN, la
redirection vers un URL (portail d'authentification Web, portail de Client Provisioning, URL
externe, etc.), à base d'une liste de contrôle d'accès, et même l'application d'un ACL sur le port
du commutateur.
A titre d'exemple, nous avons créé le profil d'autorisation CWA permettant de rediriger
les utilisateurs vers le portail captif en se référant à la liste d'accès définie au niveau des WLC et
Switch et sur laquelle on s'attardera ultérieurement.
Figure 39: Profil d'autorisation CWA
Chapitre 3 R
Après avoir terminé la création des profils, nous pouvons définir les règles. Ces règles
autorisent l'accès aux utilisateurs authentifiés au domaine ou via le portail
machines conformes aux règles de posture. U
NAC ou non conforme avec les politiques de posture est redirigé vers la page de Client
Provisioning . Sinon, l'utilisateur est redirigé vers le portail Web incluant une phase de validation
de posture.
3.5. Configuration du Switch
Dans cette partie, nous allons nous
l'authentificateur pour les utilisateurs du réseau filaire
d'intermédiaire entre le serveur RADIUS (ISE) et le client.
Tout au long de la mise en place de notre solution, nous avons travaillé avec trois
modèles différents, à savoir le Cisco Catalyst 3560, le Cisco Catalyst 3650
2960 et ce selon la disponibilité de l'un ou de l'autre
des employés de l'entreprise.
Afin d'accéder au Switch, nous pouvons nous connecter directement en utilisant un câble
console ou à distance via SSH. Le service SSH est par défaut désactivé au niveau du
commutateur.
Chapitre 3 R
Après avoir terminé la création des profils, nous pouvons définir les règles. Ces règles
autorisent l'accès aux utilisateurs authentifiés au domaine ou via le portail
machines conformes aux règles de posture. Un utilisateur de domaine ne disposant pas de l'agent
non conforme avec les politiques de posture est redirigé vers la page de Client
Sinon, l'utilisateur est redirigé vers le portail Web incluant une phase de validation
Figure 40: Règles d'autorisation
Configuration du Switch
Dans cette partie, nous allons nous intéresser à la configuration du Switch qui représente
les utilisateurs du réseau filaire. En effet, le commutateur
d'intermédiaire entre le serveur RADIUS (ISE) et le client.
la mise en place de notre solution, nous avons travaillé avec trois
à savoir le Cisco Catalyst 3560, le Cisco Catalyst 3650
selon la disponibilité de l'un ou de l'autre, autrement dit, selon les différents besoins
Figure 41: Cisco Catalyst 3650
Afin d'accéder au Switch, nous pouvons nous connecter directement en utilisant un câble
console ou à distance via SSH. Le service SSH est par défaut désactivé au niveau du
Chapitre 3 Réalisation
38 | Page
Après avoir terminé la création des profils, nous pouvons définir les règles. Ces règles
autorisent l'accès aux utilisateurs authentifiés au domaine ou via le portail Web et ayant des
n utilisateur de domaine ne disposant pas de l'agent
non conforme avec les politiques de posture est redirigé vers la page de Client
Sinon, l'utilisateur est redirigé vers le portail Web incluant une phase de validation
witch qui représente
commutateur jouera le rôle
la mise en place de notre solution, nous avons travaillé avec trois
à savoir le Cisco Catalyst 3560, le Cisco Catalyst 3650 et le Cisco Catalyst
les différents besoins
Afin d'accéder au Switch, nous pouvons nous connecter directement en utilisant un câble
console ou à distance via SSH. Le service SSH est par défaut désactivé au niveau du
Chapitre 3 Réalisation
39 | Page
Pour l'activer, nous avons recours aux commandes suivantes :
� crypto key generate RSA : générer la clé de chiffrement
� line vty 0 4 : permettre quatre sessions d'accès à distance simultanément
� transport input ssh : activer le service SSH au lieu de Telnet
� username <nom d'utilisateur> password <mot de passe> : spécifier les données
d'authentification
Il est à rappeler que des ports existant sur un commutateur peuvent fonctionner selon
différents modes. Dans les deux sections qui vont suivre nous allons évoquer, en premier lieu, la
configuration globale s'appliquant sur la totalité du Switch et en second lieu, nous procédons à la
configuration de l'interface.
3.5.1. Configuration globale
La commande aaa new-model permet d'activer les fonctions d'authentification,
d'autorisation et de comptabilité du Switch . Les commandes qui suivront définissent les services
du serveur RADIUS qui aura la charge d'authentifier les utilisateurs, de leur affecter des profils
d'autorisation basés sur les listes d'accès ou les VLANs et de garder une trace sur leur activité :
� aaa authentication dot1x default group radius
� aaa authorization network default group radius
� aaa accounting dot1x default start-stop group radius
La commande suivante dont nous avons besoin est dot1x system-auth-control servant à
activer le 802.1x pour tout le Switch. Après avoir activé le AAA et dot1x, il est nécessaire de
déclarer l'adresse du serveur RADIUS fournissant les services demandés ainsi qu'une clé
d’authentification. Cette déclaration est effectuée à l'aide de la commande radius-server host
172.25.0.200 key nextstep où 172.25.0.200 et nextstep représentent respectivement l'adresse IP
de Cisco ISE et la clé d'authentification entre le commutateur et le serveur, laquelle est
mentionnée lors de l'ajout du Switch à la liste des périphériques réseaux au niveau de l'ISE.
Les ordres d'application des ACLs au niveau des ports, d'affectation des interfaces aux
VLANs ou même de redirection vers des URLs émis du Cisco ISE au Switch, font appel à un
ensemble d'attributs avancés du protocole RADIUS nommés VSA (Vendor Specific Attribute) .
Ces attributs sont échangés lors de l'attribution des profils d'autorisation. Afin de bénéficier de
ces fonctionnalités, il est indispensable d'appliquer les commandes radius-server vsa send
accounting et radius-server vsa send authentication. La figure suivante représente les
différentes commandes citées précédemment, étant précisé que la commande de déclaration du
Chapitre 3 Réalisation
40 | Page
serveur a été saisie deux fois, la première incluant l'adresse du nœud primaire alors que la seconde
inclut l'adresse du nœud secondaire.
Figure 42: Commandes globales saisies au niveau du Switch
Un utilisateur tentant d'accéder au réseau peut, en premier lieu, avoir un accès restreint
pour raison de non-conformité et ce avant d'avoir un accès plus étendu. Cela se traduit par
l'affectation de multiples profils d'autorisation pour une même session. Afin de supporter les
requêtes de changement du profil d'autorisation émanant de l'ISE, le CoA (Change of
Authorization) doit être activé au niveau du Switch à l'aide de la commande aaa server radius
dynamic-author. Aussi, l'adresse du serveur émettant les requêtes doit être spécifiée en tapant la
commande client <server ip-address> server-key <server-key string>.
Figure 43: Activation du CoA au niveau du Switch
Lors de la définition des profils d'autorisation, il est possible de rediriger les utilisateurs
vers la page Web du portail captif pour s'authentifier ou vers la page de téléchargement des
agents NAC. Dans ce cas, le Switch interceptera le flux HTTP et répondra à la commande GET
de HTTP avec l'URL spécifié, étant rappelé que ces URLs sont envoyés de l'ISE au Switch via
les attributs VSA. Pour assurer cette fonction de redirection, il est indispensable d'activer les
services HTTP et HTTPS via les commandes ip http server et ip http secure-server.
Figure 44: Activation de HTTP et HTTPS
Chapitre 3 Réalisation
41 | Page
Pour savoir quel trafic rediriger, Cisco ISE réfère à une liste d'accès déclarée au niveau du
Switch ; tout flux ayant comme réaction "permit" doit être redirigé . Il est à préciser que tout
trafic à rediriger autre que HTTP et HTTPS sera rejeté. Le tableau suivant expose les différentes
règles déclarées sous la liste d'accès :
Entrées de l'ACL Description
deny udp any eq bootpc any eq bootps Refuser tout trafic DHCP
deny udp any any eq domain Refuser tout trafic DNS
deny udp any host 172.25.0.200 eq 8905 Refuser tout trafic sur le port 8905 consacré à
la communication Nac Agent - ISE deny tcp any host 172.25.0.200 eq 8905
deny tcp any host 172.25.0.200 eq 8443 Refuser tout trafic sur le port 8905 dédié aux
portails CWA et CPP
deny tcp any host 172.25.0.200 eq 8909 Refuser tout trafic sur le port 8905 dédié au
"client provisioning" deny udp any host 172.25.0.200 eq 8909
permit ip any any Permettre tout autre trafic
Tableau 3: Entrées de l'ACL de redirection
Cette figure rassemble les différentes entrées de l'ACL de redirection.
Figure 45: ACL de redirection
3.5.2. Configuration de l'interface Une fois la configuration globale est achevée, nous procédons à la configuration de
l'interface permettant de mettre en application les politiques d'authentification définies
précédemment et ce au niveau de Cisco ISE.
Le commutateur offre la possibilité de définir plus qu'une méthode d'authentification sur
un même port. Cependant, l'ordre de vérification devrait être mentionné. Dans notre cas, nous
avons recours aux deux méthodes, MAB et Dot1x. L'authentification Web est incluse avec
l'authentification MAB.
Chapitre 3 R
Le diagramme suivant récapitule
Figure 46
Nous commençons par
l'entreprise et la faire fonctionner en mode Access du moment qu'un PC sera directement
connecté.
Afin d'activer l'authentification 802.1X sur le port et interdire tout trafic sauf celui du
protocole EAPOL (Extensible Auth
dot1x port-control auto. En combinant cette commande avec la commande
authenticator, le Switch devrait initier l'authentification dès le branchement du câble, autrement
dit, dès que l'interface change son état de "down" à "up".
Pour que l'authentification MAB (Mac Authentication Bypass) soit activée, il suffit de
taper la commande mab tout court.
A cet instant, les deux méthodes d'authentification sont activées et
favoriser le dot1x par rapport au
order dot1x mab.
Chapitre 3 R
Le diagramme suivant récapitule les méthodes d'authentification suivies
46: Diagramme des méthodes d'authentification
Nous commençons par affecter l'interface au VLAN 340 utilisé pour le réseau local de
l'entreprise et la faire fonctionner en mode Access du moment qu'un PC sera directement
Afin d'activer l'authentification 802.1X sur le port et interdire tout trafic sauf celui du
Extensible Authentication Protocol over LAN), nous utilisons la commande
En combinant cette commande avec la commande
le Switch devrait initier l'authentification dès le branchement du câble, autrement
dit, dès que l'interface change son état de "down" à "up".
l'authentification MAB (Mac Authentication Bypass) soit activée, il suffit de
tout court.
A cet instant, les deux méthodes d'authentification sont activées et
favoriser le dot1x par rapport au MAB. Ceci est réalisable à l'aide la commande
Chapitre 3 Réalisation
42 | Page
suivies :
utilisé pour le réseau local de
l'entreprise et la faire fonctionner en mode Access du moment qu'un PC sera directement
Afin d'activer l'authentification 802.1X sur le port et interdire tout trafic sauf celui du
), nous utilisons la commande
En combinant cette commande avec la commande dot1x pae
le Switch devrait initier l'authentification dès le branchement du câble, autrement
l'authentification MAB (Mac Authentication Bypass) soit activée, il suffit de
A cet instant, les deux méthodes d'authentification sont activées et il nous reste à
Ceci est réalisable à l'aide la commande authentication
Chapitre 3 Réalisation
43 | Page
La figure suivante regroupe les différentes commandes appliquées à l'interface :
Figure 47: Configuration de l'interface
3.6. Configuration du WLC
Une seconde catégorie d'utilisateurs peut accéder au réseau : ce sont les utilisateurs du
réseau sans fil . Leurs machines doivent être connectées au point d'accès, lequel peut fonctionner
selon deux modes :
� Mode léger (Lightweight) : dans une architecture centralisée, le point d'accès
fonctionne en mode léger ; le contrôleur du réseau local sans fil ou Wireless LAN Controller
(WLC) auquel est connecté, gère la configuration et contrôle les transactions.
� Mode autonome : chaque point d'accès est configuré séparément et contrôle son propre
trafic.
Un WLC Cisco peut être déployé en tant qu'équipement ou sur une machine virtuelle
(virtual WLC). Dans ce projet, le contrôleur a été installé sur une machine ; un fichier ayant
l'extension .OVA, et téléchargé à partir du site officiel, a été importé sur le serveur de
l'entreprise. La figure suivante représente un WLC Hardware :
Figure 48: Cisco 2500 Series Wireless Controller
Chapitre 3 R
Le modèle de point d'accès utilisé est Cisco Aironet
RJ45 pour pouvoir communiquer avec le contrôleur installé sur le
Après lui avoir affecté une adresse IP
automatiquement détecté au niveau du contrôleur grâce au protocole CAPWAP.
Figure
Les utilisateurs tentant de bénéficier de l'accès sans fil se classifient sous
les utilisateurs temporaires (ou visiteurs) et les utilisateurs persistants appartenant au domaine.
Cela se traduit par la diffusion de deux SSID différents ; chaque WLAN possède
politiques de sécurité.
Le premier SSID diffusé "PFE
activer le filtrage par adresse MAC équivalent à l'authentification MAB. Bi
soit pas connue par l'ISE, elle sera considérée comme étant authentifiée avec l'option "If user not
found" configurée précédemment au niveau de la plate
Chapitre 3 R
Le modèle de point d'accès utilisé est Cisco Aironet 1041N. Il a été branché sur une prise
RJ45 pour pouvoir communiquer avec le contrôleur installé sur le serveur.
Figure 49: Cisco Aironet 1041N
Après lui avoir affecté une adresse IP et précisé l'adresse du WLC,
automatiquement détecté au niveau du contrôleur grâce au protocole CAPWAP.
Figure 50: Détection du point d'accès au WLC
Les utilisateurs tentant de bénéficier de l'accès sans fil se classifient sous
les utilisateurs temporaires (ou visiteurs) et les utilisateurs persistants appartenant au domaine.
fusion de deux SSID différents ; chaque WLAN possède
Figure 51: Diffusion de deux SSID
premier SSID diffusé "PFE-NSIT" est dédié aux visiteurs, sur lequel nous devons
activer le filtrage par adresse MAC équivalent à l'authentification MAB. Bien que la machine ne
SE, elle sera considérée comme étant authentifiée avec l'option "If user not
found" configurée précédemment au niveau de la plate-forme.
Chapitre 3 Réalisation
44 | Page
Il a été branché sur une prise
le point d'accès est
automatiquement détecté au niveau du contrôleur grâce au protocole CAPWAP.
Les utilisateurs tentant de bénéficier de l'accès sans fil se classifient sous deux catégories,
les utilisateurs temporaires (ou visiteurs) et les utilisateurs persistants appartenant au domaine.
fusion de deux SSID différents ; chaque WLAN possède ses propres
NSIT" est dédié aux visiteurs, sur lequel nous devons
en que la machine ne
SE, elle sera considérée comme étant authentifiée avec l'option "If user not
Chapitre 3 R
L'authentification auprès de la plate
d'authentification RADIUS inclus à
différents champs disponibles et qui doivent être configurés lors de l'ajout .
Figure
L'activation de "Support for
similaire à la commande aaa server radius dynamic
cette option permet d'accepter les requêtes de changement d'autorisation (CoA). Aussi, nous
précisons la clé secrète partagée entre l'ISE et le WLC.
Une fois le serveur d'authentification ajouté,
ce WLAN sous l'onglet "AAA Servers"
même configuration a été appliquée pour le serveur de
l'utilisateur, comme mentionné sur la capture
Chapitre 3 R
Figure 52: Activation du filtrage MAC
L'authentification auprès de la plate-forme nécessitait l'addition
authentification RADIUS inclus à la plate-forme au WLC. La figure suivante montre les
différents champs disponibles et qui doivent être configurés lors de l'ajout .
Figure 53: Ajout du serveur RADIUS au WLC
"Support for RFC 3576", comme indiqué dans la figure
aaa server radius dynamic-author saisie au niveau du Switch. En effet,
cette option permet d'accepter les requêtes de changement d'autorisation (CoA). Aussi, nous
précisons la clé secrète partagée entre l'ISE et le WLC.
Une fois le serveur d'authentification ajouté, il a fallu l'additionner à la configuration de
us l'onglet "AAA Servers"; par défaut, l'authentification s'effectue localement. La
même configuration a été appliquée pour le serveur de comptabilité pour avoir une traçabilité de
l'utilisateur, comme mentionné sur la capture qui suit.
Chapitre 3 Réalisation
45 | Page
l'addition du serveur
. La figure suivante montre les
, comme indiqué dans la figure précédente, est
saisie au niveau du Switch. En effet,
cette option permet d'accepter les requêtes de changement d'autorisation (CoA). Aussi, nous
à la configuration de
l'authentification s'effectue localement. La
pour avoir une traçabilité de
Chapitre 3 R
Figure 54: Ajout des serveurs d'authentification et d'autorisation
Aussi, et pour autoriser l'affectation dynamique des profils d'autorisation
devions cocher la case "Allow AAA Override" et changer la valeur de NAC State à
L’attribution des adresses IP p
serveur DHCP déclaré. La plage d’adresses est déjà définie au niveau du pare
de l’entreprise, il suffit de mentionner son adresse au WLC comme nous pouvons l'observer sur
la figure qui suit.
Chapitre 3 R
: Ajout des serveurs d'authentification et d'autorisation
Aussi, et pour autoriser l'affectation dynamique des profils d'autorisation
cocher la case "Allow AAA Override" et changer la valeur de NAC State à
Figure 55: Activation du CoA
L’attribution des adresses IP privées aux machines s’effectue automatiquement
serveur DHCP déclaré. La plage d’adresses est déjà définie au niveau du pare
e mentionner son adresse au WLC comme nous pouvons l'observer sur
Chapitre 3 Réalisation
46 | Page
: Ajout des serveurs d'authentification et d'autorisation
Aussi, et pour autoriser l'affectation dynamique des profils d'autorisation (CoA), nous
cocher la case "Allow AAA Override" et changer la valeur de NAC State à Radius NAC.
rivées aux machines s’effectue automatiquement à l’aide du
serveur DHCP déclaré. La plage d’adresses est déjà définie au niveau du pare-feu « Cyberoam »
e mentionner son adresse au WLC comme nous pouvons l'observer sur
Chapitre 3 Réalisation
47 | Page
Figure 56: Configuration DHCP
La même configuration est à reprendre avec le deuxième WLAN sauf que la politique de
sécurité qui doit être changée par WPA2-802.1X au lieu de Mac Filtering. Contrairement au
commutateur, une seule méthode d'authentification peut être activée sur un même WLAN.
Figure 57: Politique de sécurité du deuxième WLAN "PFE-NSIT2"
Après avoir terminé la configuration des deux WLANs, et à l’instar de la liste d’accès
déclarée au niveau du Switch, nous devons ajouter une ACL permettant de préciser le type de
trafic à rediriger, étant précisé que les entrées doivent être déclarées inversement au Switch ;
Chapitre 3 Réalisation
48 | Page
une règle « permit » est remplacée par « deny » et vice versa. Nous n’avons pas eu recours à
additionner une règle pour le trafic DHCP tant qu’il est autorisé par défaut.
Figure 58: ACL de redirection
3.7. Conclusion Tout au long de ce troisième chapitre, nous avons essayé d'aborder les configurations
nécessaires des différents éléments constituant notre solution et ce, en alternant entre la citation
des principes de fonctionnement et celle des configurations appliquées, tout en illustrant avec les
figures explicatives.
Bien que la solution soit configurée et mise en place, une phase de test est indispensable
afin de valider le comportement des différents composants vis-à-vis des machines tentant
d'accéder au réseau.
CHAPITRE 4 :
TEST ET VALIDATION
Chapitre 4 Test et validation
50 | Page
4.1. Introduction
Une fois la solution mise en place, nous procédons à la phase de test dans le but de nous
assurer du bon fonctionnement des équipements et de la configuration. La vérification consiste à
essayer de se connecter, aux réseaux filaire et sans fil, avec des scénarios différents et ce, en
variant la méthode d'authentification et en faisant intervenir des machines avec des états de
"santé" divers.
4.2. Réseau filaire
Le premier test à effectuer nous permettra de nous garantir du bon déroulement de
l’authentification au domaine et de la validation de posture pour un utilisateur du réseau câblé.
Par défaut sur un système Windows, l’authentification 802.1X est désactivée sur les cartes
réseau Ethernet. Par conséquent, nous devons ajouter et démarrer le service « Configuration
automatique de réseau câblé », responsable de l’exécution de l’authentification IEEE 802.1X sur
les interfaces Ethernet.
Après avoir lancé "services.msc" et cliqué sur le service correspondant, la fenêtre suivante
s'affiche pour démarrer le service .
Figure 59: Ajout et démarrage du service DOT1X
Chapitre 4 Test et val
L’étape suivante consiste à
méthode d’authentification par
plate-forme ISE.
Figure
Dès le branchement du câble sur l’interface Ethernet, une fenêtre s’affiche demandant de
saisir le nom d’utilisateur et le
moment que les données de la session existante ne sont pas automatiquement utilisées.
Après avoir saisi les données du compte utilisateur, et en essayant d’accéder à la page
http://www.google.fr , nous nous sommes trouvés redirigés vers la page de
fournissant l’Agent NAC persistant
Chapitre 4 Test et val
consiste à activer l’authentification 802.1X sur l’interface Ethernet. La
méthode d’authentification par défaut (PEAP) a été conservée tant qu’elle est supportée par la
Figure 60: Activation du DOT1X sur la carte Ethernet
Dès le branchement du câble sur l’interface Ethernet, une fenêtre s’affiche demandant de
et le mot de passe pour s’authentifier au niveau
que les données de la session existante ne sont pas automatiquement utilisées.
Figure 61: Fenêtre d'authentification
Après avoir saisi les données du compte utilisateur, et en essayant d’accéder à la page
, nous nous sommes trouvés redirigés vers la page de "Client Provisioning
persistant.
Chapitre 4 Test et validation
51 | Page
802.1X sur l’interface Ethernet. La
tant qu’elle est supportée par la
Dès le branchement du câble sur l’interface Ethernet, une fenêtre s’affiche demandant de
s’authentifier au niveau du domaine du
que les données de la session existante ne sont pas automatiquement utilisées.
Après avoir saisi les données du compte utilisateur, et en essayant d’accéder à la page
Client Provisioning"
Chapitre 4 Test et val
Figure 62
En cliquant sur le bouton «
se lance. En l’exécutant, nous recevons un message indiquant la non
machine avec la politique de sécurité et fournissant
fichier de remédiation tant que
figure qui suit représente une capture du message reçu au niveau de l’agent.
Figure
Le deuxième test que nous effectuons consiste à vérifier l'authentification MAB . Pour
faire, nous désactivons l'authentification 802.1X sur l'interface pour que l'authentification par
adresse MAC soit automatiquement utilisée.
Chapitre 4 Test et val
62: Redirection vers la page de Client Provisioning
En cliquant sur le bouton « Cliquez pour installer l’agent », le téléchargement d
se lance. En l’exécutant, nous recevons un message indiquant la non-conformité de notre
machine avec la politique de sécurité et fournissant un accès temporaire pour télécharger
tant que l’antivirus Mcafee n’est pas disponible sur notre machine. La
figure qui suit représente une capture du message reçu au niveau de l’agent.
Figure 63: Message obtenu sur l'Agent NAC
Le deuxième test que nous effectuons consiste à vérifier l'authentification MAB . Pour
, nous désactivons l'authentification 802.1X sur l'interface pour que l'authentification par
automatiquement utilisée.
Chapitre 4 Test et validation
52 | Page
le téléchargement de l’Agent
conformité de notre
un accès temporaire pour télécharger le
ible sur notre machine. La
Le deuxième test que nous effectuons consiste à vérifier l'authentification MAB . Pour le
, nous désactivons l'authentification 802.1X sur l'interface pour que l'authentification par
Chapitre 4 Test et validation
53 | Page
Au niveau du Switch, nous pouvons observer le déroulement de l'authentification :
Figure 64: Évènements d'authentification observés au commutateur
Pour nous assurer de la bonne affectation du profil d'autorisation, nous pouvons avoir
recours au commutateur et utiliser la commande show authentication session interface
GigabitEthernet1/0/23 detail. Les résultats affichés dans la section Server Policies confirment
le téléchargement de l'URL de redirection à partir de l'ISE et l'utilisation de l'ACL adéquat pour
connaître quel trafic doit être redirigé.
Figure 65: Détails de l'authentification sur l'interface GigabitEthernet1/0/23
4.3. Réseau sans fil
Nous débutons par la vérification de la diffusion des deux SSIDs (PFE-NSIT et PFE-
NSIT2) et ce en consultant la liste des réseaux sans fil disponibles à partir de notre PC.
Chapitre 4 Test et val
En tentant de nous connecter à
802.1X, deux champs s'affichent demandant la saisie du nom d'utilisateur et du mot de passe
comme illustré sur la figure suivante.
Figure 67: Authentification DOT1X
Après avoir tapé les coordonnées,
Provisioning Portal) pour télécharger l'agent NAC.
notre accès au réseau est restreint pour raison de non
et nous suggère la réparation de la machine pour avoir un accès complet.
Figure 68: Accès restreint à un utilisateur du réseau sans fil
Chapitre 4 Test et val
Figure 66: Détection des SSIDs
En tentant de nous connecter à PFE-NSIT2 et après avoir activé l'authentification
deux champs s'affichent demandant la saisie du nom d'utilisateur et du mot de passe
comme illustré sur la figure suivante.
: Authentification DOT1X pour le SSID "PFE-NSIT2"
Après avoir tapé les coordonnées, nous sommes redirigés vers la page de CCP (Client
pour télécharger l'agent NAC. Une fois installé, cet Agent nous indique que
notre accès au réseau est restreint pour raison de non-conformité tel qu'il est
et nous suggère la réparation de la machine pour avoir un accès complet.
: Accès restreint à un utilisateur du réseau sans fil
Chapitre 4 Test et validation
54 | Page
et après avoir activé l'authentification
deux champs s'affichent demandant la saisie du nom d'utilisateur et du mot de passe
vers la page de CCP (Client
Une fois installé, cet Agent nous indique que
est montré sur la figure
Chapitre 4 Test et val
Un invité, n'appartenant pas au domaine, est appelé à se connecter
qu'il se connecte, il se trouve redirigé vers le portail captif sur son navigateur.
Comme nous l'observons sur la figure
mot de passe du compte "Guest" est généré aléatoirement
génère à partir du nom et du prénom .
Figure 70: Inscription via la version mobile du portail captif
Nous pouvons aussi désactiver l'enregistrement automatique
nous limiter à la création des comptes via le portail responsable ou "Sponsor", lequel est
accessible au lien suivant : https://172.25.0.200:8443/sponsorportal/
Chapitre 4 Test et val
n'appartenant pas au domaine, est appelé à se connecter
il se trouve redirigé vers le portail captif sur son navigateur.
Figure 69: Portail invité
Comme nous l'observons sur la figure précédente, un lien d'inscription
passe du compte "Guest" est généré aléatoirement alors que son
prénom . Aussi, une version mobile du portail invité est fournie :
: Inscription via la version mobile du portail captif
aussi désactiver l'enregistrement automatique des membres sur le portail et
limiter à la création des comptes via le portail responsable ou "Sponsor", lequel est
https://172.25.0.200:8443/sponsorportal/. L'authentification sur
Chapitre 4 Test et validation
55 | Page
n'appartenant pas au domaine, est appelé à se connecter à PFE-NSIT. Dès
il se trouve redirigé vers le portail captif sur son navigateur.
, un lien d'inscription est disponible. Le
son nom d'utilisateur se
Aussi, une version mobile du portail invité est fournie :
des membres sur le portail et
limiter à la création des comptes via le portail responsable ou "Sponsor", lequel est
L'authentification sur
Chapitre 4 Test et val
ce portail s'est effectué avec un compte utilisateur créé au niveau de la plate
privilèges d'un "sponsor".
Figure
Lors de la création du compte,
affectant un des profils existants sur la plate
durant une période de huit heures.
Figure 72: Création d'un compte Gues
Après la saisie du nom d'utilisateur et du mot de passe au niveau du portail invité
sommes redirigés vers la page de Client Provisioni
posture de la machine du moment que nous utilisons un compt
une fenêtre du navigateur. Une fois l'analyse est terminée,
la politique de posture.
Chapitre 4 Test et val
avec un compte utilisateur créé au niveau de la plate
Figure 71: Interface du portail responsable
Lors de la création du compte, nous devons choisir la durée de vie du compte en lui
affectant un des profils existants sur la plate-forme . Dans l'exemple qui suit, le compte sera actif
huit heures.
: Création d'un compte Guest d'une durée de huit heures
la saisie du nom d'utilisateur et du mot de passe au niveau du portail invité
sommes redirigés vers la page de Client Provisioning. L'agent temporaire se lance
machine du moment que nous utilisons un compte Guest. Cet agent est lancé sous
une fenêtre du navigateur. Une fois l'analyse est terminée, il nous indique la non
Chapitre 4 Test et validation
56 | Page
avec un compte utilisateur créé au niveau de la plate-forme et doté des
nous devons choisir la durée de vie du compte en lui
, le compte sera actif
t d'une durée de huit heures
la saisie du nom d'utilisateur et du mot de passe au niveau du portail invité, nous
L'agent temporaire se lance pour vérifier la
Cet agent est lancé sous
il nous indique la non-conformité avec
Chapitre 4 Test et validation
57 | Page
Figure 73: Validation de posture avec un agent temporaire
Nous avons testé de nouveau et ce après avoir installé l'antivirus Mcafee. L'agent NAC
nous a présenté un accès plus étendu au réseau, comme mentionné sur la figure ci-dessous.
Figure 74: Accès complet au réseau
En consultant le log de la plate-forme ISE, nous pouvons constater l'évolution suivante :
1) Succès de l'authentification MAB
2) Succès de l'authentification via le portail invité
3) Validation de posture de la machine
4) Succès de l'autorisation dynamique ou CoA (changement du profil d'autorisation de
CWA à PermitAccess)
Chapitre 4 Test et val
D'autres détails sont aussi disponibles
attributs VSA échangés avec le WLC
l'attribut Called-Station-ID mentionnant l'adresse MAC du point d'accès et le SSID
4.4. Conclusion
Cette partie du rapport
de prouver son bon fonctionnement et son efficacité
au réseau, ou encore en se référant
système de journalisation de la plate
Chapitre 4 Test et val
Figure 75: Log de la plate-forme ISE
D'autres détails sont aussi disponibles au niveau du log de Cisco ISE
échangés avec le WLC et précisant l'ACL et l'URL de redirection,
ID mentionnant l'adresse MAC du point d'accès et le SSID
Figure 76: Détails de la session
était consacrée à l'essai de la solution avec différents scénarios
son bon fonctionnement et son efficacité et ce, en essayant de connecter une machine
en se référant aux services disponibles au sein des composants
système de journalisation de la plate-forme Cisco ISE.
Chapitre 4 Test et validation
58 | Page
Cisco ISE, tels que les
et précisant l'ACL et l'URL de redirection, ainsi que
ID mentionnant l'adresse MAC du point d'accès et le SSID associé.
était consacrée à l'essai de la solution avec différents scénarios afin
en essayant de connecter une machine
services disponibles au sein des composants, tel que le
Conclusion et perspectives
Dans le cadre de ce projet réalisé au sein de l'entreprise Next Step IT, et partant d’un
souci de sécurité et d’un besoin de protection des ressources critiques et vitales d'une manière
permanente, nous avons mis en place une solution de contrôle d'accès relative aux réseaux filaire
et sans fil. La solution est encore plus nécessaire quand on sait que, dans certains établissements,
le nombre d’utilisateurs qui sollicitent fréquemment le réseau est très important.
La solution adoptée, lors de la réalisation du projet, s'appuie sur des produits propriété
Cisco : le point d'accès, le commutateur, le contrôleur du réseau local sans fil (WLC) ainsi que
la plate-forme ISE représentant la dernière génération des plates-formes de contrôle d'accès
proposées par Cisco, étant précisé que l'entreprise Next Step IT est spécialiste d'intégration de
solutions d'infrastructure réseau reposant essentiellement sur les équipements Cisco.
Une fois déployée, la solution a permis de réagir, en temps réel, à toute tentative de
connexion au réseau par référence aux politiques de sécurité prédéfinies au niveau de la plate-
forme Cisco ISE. En effet et en premier lieu, l'utilisateur est appelé à s'authentifier en présentant
son compte utilisateur et le mot de passe associé au cas où il appartient au domaine, sinon et s'il
s'agit d'un utilisateur invité, il s'authentifie à travers un portail Web en s'y inscrivant
temporairement ou bien il obtient un compte créé par le responsable et autorisant aussi un accès
momentané. L’étape qui suit la vérification de la légitimité de l'utilisateur est celle de la validation
de l'état des machines ; chacune doit disposer de l'antivirus Mcafee. Dans le cas contraire,
l'utilisateur bénéficie d'une période de grâce, au cours de laquelle, un fichier de remédiation lui est
offert afin de pouvoir accéder.
A l'instar du test de l'antivirus, d'autres balayages, proposés par la plate-forme, pourront
être effectués, telle que la vérification de l'état de mise à jour du système d'exploitation et de
l'existence de certaines applications de sécurité et ce, dans le but de garantir davantage la sûreté
du réseau.
Bien évidemment, différentes techniques d'attaque existent; elles tendent à retrouver par
tous les moyens le mot de passe, ce qui permet aux intrus d’usurper l'identité de l'un des
utilisateurs pour accéder au réseau. Afin de les confronter, nous pouvons avoir recours à une
authentification forte, concaténant au moins deux facteurs d'authentification, tels que les
certificats numériques et les mots de passe à usage unique (OTP) ; ceci est réalisable en intégrant
la plate-forme Cisco ISE avec des sources d'identité externes.
61 | Page
Références Cisco Systems Description de la gamme Cisco NAC [En ligne]. - 2006. - 4 Février 2015. Enterasys Secure Networks Network Access Control (Contrôle d’accès au réseau) [En ligne]. - 2007. - 2 Mars 2015. FreeNAC Contrôle d'accès réseau [En ligne]. - 20 Mars 2015. - http://freenac.net/fr/solutions/lanaccesscontrol. Juniper Networks Unified Access Control [En ligne]. - Novembre 2011. - 15 Mars 2015. LANDESK Centre d'aide Compréhension des composants NAC de base Centre d'aide LANDESK [En ligne] // site Web LANDESK Help Center. - 2013. - 12 Mars 2015. - https://help.landesk.com/Topic/Index/FRA/LDMS/9.5/Content/Windows/nac_c_basic_components.htm. Marcotte Ludovic PacketFence 4.1 : une solution BYOD/NAC dans la cour des grands [En ligne] // Linuxfr. - 17 Décembre 2013. - 22 Mars 2015. - http://linuxfr.org/news/packetfence-4-1-une-solution-byod-nac-dans-la-cour-des-grands. Microsoft Protection d’accès réseau (NAP) [En ligne] // Microsoft. - Janvier 2008. - 12 Mars 2015. - https://technet.microsoft.com/fr-fr/library/cc753550%28v=ws.10%29.aspx. Pujolle Guy Les réseaux [Livre]. - [s.l.] : Eyrolles, 2008. - p. 880. Vincent REMAZEILLES La sécurité des réseaux avec Cisco [Livre]. - [s.l.] : Editions ENI, 2009. - p. 40.
62 | Page
Glossaire 802.1X : standard permettant de contrôler l'accès aux équipements du réseau AAA (Authentication, Authorization, Accounting) : AAA correspond à un protocole qui réalise trois fonctions : l'authentification, l'autorisation, et la traçabilité ACL (Access Control List) : les ACLs servent principalement au filtrage des paquets sur les interfaces physiques CHAP (Challenge Handshake Authentication Protocol) : protocole d'authentification pour PPP à base de challenge, ce qui le rend bien plus sûr que son précédent PAP. CA (Certificate Authority) : a pour mission, après vérification de l'identité du demandeur du certificat, de signer, émettre et maintenir les certificats CPP (Client Provisioning Portal) : portail appartenant à la plate-forme ISE et permettant de fournir les Agents NAC CWA (Central Web Authentication) : portail Web qui permet aux utilisateurs de s'inscrire et de s'authentifier. Aussi, elle peut inclure la validation de posture (CPP). DHCP (Dynamic Host Configuration Protocol) : permet, à partir d'un serveur, de télécharger la configuration réseau vers un ordinateur (adresse IP, paramètre TCP/IP, etc.) DNS (Domain Name System) : service de noms reposant sur des serveurs et permettant de convertir un nom en une adresse IP EAP (Extensible Authentication Protocol) : protocole de communication réseau embarquant de multiples méthodes d'authentification, pouvant être utilisé sur les liaisons point à point, les réseaux filaires et les réseaux sans fil FQDN (Fully Qualified Domain Name) : est un nom de domaine qui révèle la position absolue d'un nœud dans l'arborescence DNS en indiquant tous les domaines de niveau supérieur jusqu'à la racine LDAP (Lightweight Directory Access Protocol) : est à l'origine un protocole permettant l'interrogation et la modification des services d'annuaire. Il a cependant évolué pour représenter une norme pour les systèmes d'annuaires. MAB (Mac Authentication Bypass) : authentification de niveau 2 basée sur les adresses MAC et fournie par Cisco MAC (Medium Access Control) : couche logicielle qui a pour rôle de structurer les bits d'information en trames adaptées au support physique et de gérer les adresses physiques des cartes réseaux (Adresses MAC)
Glossaire
63 | Page
MS-CHAP : version améliorée du protocole CHAP proposée par Microsoft NAS (Network Access Server) : client RADIUS faisant office d'intermédiaire entre l'utilisateur final et le serveur NTP (Network Time Protocol) : protocole permettant de synchroniser l'horloge d'une machine sur une référence d'horloge PAP (Password Authentication Protocol) : protocole d'authentification pour PPP. Les données sont transmises en texte clair sur le réseau ce qui le rend par conséquent non sécurisé. PEAP (Protected Extensible Authentication Protocol) : dérivé du protocole EAP, fournissant un canal de transmission plus sécurisé (tunnel TLS). PPP (Point-to-Point Protocol) : protocole de la couche liaison utilisé sur les lignes série téléphoniques ou spécialisées RADIUS (Remote Authentication Dial-In User Server) : protocole client-serveur permettant de centraliser des données d'authentification RSA (River Shamir et Adelman) : algorithme de chiffrement à clés publiques et à clés secrètes portant le nom de ses concepteurs. TACACS+ : version plus récente du protocole TACACS (protocole AAA fourni par Cisco) TCP/IP (Transport Network Protocol/Internetwork Protocol) : protocole de transport des données sous forme de paquets, universellement utilisé sur les réseaux LAN et WAN TLS : protocole qui garantit la confidentialité entre les applications communicantes et leurs utilisateurs sur Internet. UDP (User Datagram Protocol) : équivalent de TCP mais en mode non connecté, sans les mécanismes de contrôle de flux, de reprise sur erreur et autres options VLAN (Virtual Local Area Network) : ce mécanisme permet de créer plusieurs réseaux virtuels au sein d’un même réseau physique et d’allouer des configurations spécifiques pour chaque réseau virtuel créé VMware ESXi : hyperviseur développé par VMware et permettant de déployer des machines virtuelles VPN (Virtual Private Network) : technique qui simule un réseau privé dans un réseau public dans le but d'offrir plus de sécurité VSA (Vendor Specific Attributes) : RADIUS est extensible; de nombreux fournisseurs de matériels et de logiciels RADIUS mettent en œuvre leurs propres variantes en utilisant des attributs VSA WLC (Wireless LAN Controller) : permet de gérer le réseau local sans fil en contrôlant les points d'accès, gérant les interférences, assurant le handover, etc.