Embed Size (px)
Citation preview
Protection des accès Protection des accès distants avec les services distants avec les services
de quarantainede quarantaine
Protection des accès Protection des accès distants avec les services distants avec les services
de quarantainede quarantaineCyril VoisinCyril VoisinChef de programme SécuritéChef de programme SécuritéMicrosoft FranceMicrosoft France
La stratégie sécurité de MicrosoftLa stratégie sécurité de Microsoft
Isolation et Isolation et résiliencerésilience
Authentification,Authentification,Autorisation,Autorisation,
AuditAuditExcellence Excellence
dedel’engineeringl’engineering
Mise à jourMise à jouravancéeavancée
Conseils,Conseils,Outils,Outils,
RéponseRéponse
SommaireSommaire
La problématiqueLa problématique
Services de quarantaine de Windows Server 2003 SP1 Services de quarantaine de Windows Server 2003 SP1 (Network Access Quarantine Control)(Network Access Quarantine Control)
Contrôle et mise en conformitéContrôle et mise en conformité
Architecture et composantsArchitecture et composants
Description du fonctionnement pas à pasDescription du fonctionnement pas à pas
Comment déployerComment déployer
DémoDémo
Autres considérationsAutres considérations
SommaireSommaire
Les autres mécanismes de quarantaineLes autres mécanismes de quarantaineAperçu de la quarantaine avec le pare-feu ISA Aperçu de la quarantaine avec le pare-feu ISA Server 2004 (traité partiellement dans une Server 2004 (traité partiellement dans une autre session)autre session)
Différences principalesDifférences principales
IntérêtIntérêt
Le futur : NAP (Network Access Protection)Le futur : NAP (Network Access Protection)
La problématiqueLa problématiqueLa problématiqueLa problématique
Accès ou sécurité ?Accès ou sécurité ?
Accès ou sécurité : le dilemmeAccès ou sécurité : le dilemme
De plus en plus d’utilisateurs ont besoin De plus en plus d’utilisateurs ont besoin de davantage d’accès depuis des de davantage d’accès depuis des endroits de plus en plus variésendroits de plus en plus variés
De plus en plus d’employés nomades qui De plus en plus d’employés nomades qui travaillent depuis l’aéroport, l’hôtel, la travaillent depuis l’aéroport, l’hôtel, la maison, les cafés, les hotspots…maison, les cafés, les hotspots…
L’accès n’est plus seulement limité aux L’accès n’est plus seulement limité aux collaborateurs mais aussi aux fournisseurs, collaborateurs mais aussi aux fournisseurs, aux clients, aux partenairesaux clients, aux partenaires
Accès ou sécurité : le dilemmeAccès ou sécurité : le dilemme
MAIS il ne faut pas que cela compromette la MAIS il ne faut pas que cela compromette la sécuritésécurité
Que se passe-t-il si la machine qui se connecteQue se passe-t-il si la machine qui se connecteN’est pas saine ? N’est pas saine ? N’est pas à jour ? (tant au niveau des patches qu’au N’est pas à jour ? (tant au niveau des patches qu’au niveau des signatures d’antivirus ou d’antispyware ?)niveau des signatures d’antivirus ou d’antispyware ?)N’a pas eu le temps de se mettre à jour ? N’a pas eu le temps de se mettre à jour ? (portable utilisant uniquement l’accès à distance par (portable utilisant uniquement l’accès à distance par intermittence)intermittence)
L’accès distant augmente les risques de sécuritéL’accès distant augmente les risques de sécuritéPC non gérés et autres périphériquesPC non gérés et autres périphériques
Périphériques pas à jour au niveau des correctifs de Périphériques pas à jour au niveau des correctifs de sécurité ou non protégéssécurité ou non protégés
Accès ou sécurité : le dilemmeAccès ou sécurité : le dilemme
Moyens de protection classiquesMoyens de protection classiquesAuthentification forteAuthentification forteChiffrement des communications Chiffrement des communications
Cependant, le niveau d’authentification et Cependant, le niveau d’authentification et de chiffrement du VPN n’empêche pas la de chiffrement du VPN n’empêche pas la propagation de vers depuis une machine propagation de vers depuis une machine infectée utilisée par un utilisateur infectée utilisée par un utilisateur authentifié…authentifié…
Quarantaine dansQuarantaine dansWindows Server 2003Windows Server 2003
Quarantaine dansQuarantaine dansWindows Server 2003Windows Server 2003
Network Access Quarantine Network Access Quarantine ControlControl
Solution VPN Windows Solution VPN Windows
ClientClient
PasserellePasserelle
ProtocolesProtocoles
AuthentificationAuthentification
Politique/StratégiePolitique/Stratégie
Client VPN intégréClient VPN intégré
RRAS RRAS (Routing and Remote (Routing and Remote
Access Services)Access Services)
Protocoles standardsProtocoles standardsde l’industriede l’industrie
IAS IAS (Internet Authentication (Internet Authentication
Services) Services) & Active Directory& Active Directory
Clients MS VPNClients MS VPN
Windows Windows Server 2003Server 2003
Outils de Outils de déploiementdéploiement
Connection ManagerConnection ManagerAdministration KitAdministration Kit
Composants de la solution VPNComposants de la solution VPN
ClientClient
PasserellePasserelle
ProtocolesProtocoles
AuthentificationAuthentification
Outils de Outils de déploiementdéploiement
Politique/StratégiePolitique/Stratégie
Clients VPN intégrés • L2TP/IPSEC avec NAT-T
• Windows Server 2003• Windows XP• Windows 2000
• PPTP• Windows Server 2003 / Windows XP• Windows 2000• Windows NT 4.0• Windows ME, 98
Clients supplémentaires • Client L2TP/IPSEC pour Win9x, NT4.0 • Incluant le support de NAT-T
Clients VPN Microsoft
QuarantaineQuarantaine
Solution de Solution de contrôle et de contrôle et de mise en conformitémise en conformité
des des postespostes lors des lors des connexions distantesconnexions distantes (portables ou machines à la maison ne (portables ou machines à la maison ne présentant pas forcément toutes les présentant pas forcément toutes les garanties en termes d’application des mises garanties en termes d’application des mises à jour de sécurité, d’antivirus, d’antispyware, à jour de sécurité, d’antivirus, d’antispyware, etc.)etc.)
ArchitectureArchitecture
Profil CMProfil CM• Exécute un Exécute un
script script personnalisé personnalisé post connexionpost connexion
• Le script Le script exécute le exécute le notificateur RQC notificateur RQC notifier avec la notifier avec la chaîne de chaîne de résultatrésultat
ListenerListener• RQS reçoit la “chaîne de RQS reçoit la “chaîne de
résultat” du notificateurrésultat” du notificateur• Compare aux résultatsCompare aux résultats
possiblespossibles• Enlève le compte à reboursEnlève le compte à rebours
si la réponse reçue indiquesi la réponse reçue indiqueque le client n’est pas à jourque le client n’est pas à jour
• Enlève le filtre de Enlève le filtre de quarantaine si le client est à quarantaine si le client est à jourjour
Options de Options de quarantaine quarantaine (VSA)(VSA)•Un compte à Un compte à rebours limite la rebours limite la fenêtre de temps fenêtre de temps qui permet de qui permet de notifier un notifier un résultat avant la résultat avant la déconnexion déconnexion automatiqueautomatique•Des filtres de Des filtres de quarantaine quarantaine définissent définissent l’accès en l’accès en quarantainequarantaine
Client RASClient RAS RRAS RRAS (ISA en (ISA en option)option)
ServeuServeurrIASIAS
QuarantaiQuarantainene
Internet
Active Active DirectoryDirectory
Quarantaine d’accès distant Quarantaine d’accès distant au réseauau réseau
Un script client vérifie si le client respecte ou Un script client vérifie si le client respecte ou non la politique de sécurité de l’entreprisenon la politique de sécurité de l’entreprise
Pare-feu personnel activé ?Pare-feu personnel activé ?
Dernières signatures antivirales téléchargées ?Dernières signatures antivirales téléchargées ?
Mises à jour obligatoires installées ?Mises à jour obligatoires installées ?
Mise à jour de la table de routage désactivée ? Mise à jour de la table de routage désactivée ?
Écran de veille protégé par mot de passe activé ?Écran de veille protégé par mot de passe activé ?
Si la vérification réussit, le client obtient un Si la vérification réussit, le client obtient un accès completaccès complet
Si la vérification échoue, le client se trouve Si la vérification échoue, le client se trouve déconnecté à l’expiration du compte à reboursdéconnecté à l’expiration du compte à rebours
Service d’authentification Internet Service d’authentification Internet (IAS)(IAS)
ConnexionConnexion
AuthentificationAuthentification
AutorisationAutorisationVSA QuarantaineVSA Quarantaine+ Filtres normaux+ Filtres normaux
Résultat de la Résultat de la vérification des règlesvérification des règles
Suppression de la quarantaineSuppression de la quarantaine
Accès en Accès en QuarantaineQuarantaine
Vérification de clients en quarantaine Vérification de clients en quarantaine
InternetInternet CorpnetCorpnet
ClientClient RRASRRAS IASIAS
Accès completAccès complet
QuarantaineQuarantaine
ADAD
Côté clientCôté client
ClientsClientsWindows Server 2003Windows Server 2003Windows XP Professionnel et Édition FamilialeWindows XP Professionnel et Édition FamilialeWindows 2000 Windows 2000 Windows Millennium Edition Windows Millennium Edition Windows 98 Seconde ÉditionWindows 98 Seconde Édition
Profils CM créés avec le Profils CM créés avec le Connection Connection Manager Administration KitManager Administration Kit (CMAK), fourni (CMAK), fourni dans Windows Server 2003 SP1dans Windows Server 2003 SP1
Une action post-connexion qui exécute un Une action post-connexion qui exécute un script de conformité à la stratégie d’accèsscript de conformité à la stratégie d’accèsUn script de conformité à la Un script de conformité à la stratégie d’accèsstratégie d’accèsUn composant de notificationUn composant de notification
Notification et scriptNotification et script
Composant de notificationComposant de notificationLe composant de notification envoie un Le composant de notification envoie un message signalant la bonne exécution du script message signalant la bonne exécution du script au serveur d’accès distant de quarantaineau serveur d’accès distant de quarantaine
Il est possible d’utiliser soit un composant de Il est possible d’utiliser soit un composant de notification propre, soit Rqc.exe, qui est fourni notification propre, soit Rqc.exe, qui est fourni dans Windows Server 2003 SP1dans Windows Server 2003 SP1
Script de stratégie d’accèsScript de stratégie d’accèsEffectue des contrôles sur le système client Effectue des contrôles sur le système client distant pour vérifier sa conformité avec la distant pour vérifier sa conformité avec la stratégie d’accès. Il peut s’agir d’un fichier stratégie d’accès. Il peut s’agir d’un fichier exécutable ou d’un simple fichier de exécutable ou d’un simple fichier de commandes (fichier batch)commandes (fichier batch)
Côté serveurCôté serveur
Un système exécutant l’une des versions Un système exécutant l’une des versions de Windows Server 2003 et RRAS (de Windows Server 2003 et RRAS (Routing Routing and Remote Accessand Remote Access), supportant les ), supportant les attributs RADIUS attributs RADIUS MS-Quarantine-IPFilterMS-Quarantine-IPFilter et et MS-Quarantine-Session-TimeoutMS-Quarantine-Session-Timeout pour pour imposer les paramètres de quarantaineimposer les paramètres de quarantaineUn composant recevant les notifications Un composant recevant les notifications ((listenerlistener))Par exemple : rqs.exe de Windows Server Par exemple : rqs.exe de Windows Server 2003 SP12003 SP1
Stratégie d’accès en quarantaineStratégie d’accès en quarantaine
Il est possible d’utiliser l’attribut Il est possible d’utiliser l’attribut MS-MS-Quarantine-IPFilterQuarantine-IPFilter pour configurer les filtres pour configurer les filtres d’entrées/sorties afin de n’autoriser que :d’entrées/sorties afin de n’autoriser que :
Le trafic généré par l’agent de notification. Si vous Le trafic généré par l’agent de notification. Si vous utilisez Rqc.exe et Rqs.exe avec leur port par utilisez Rqc.exe et Rqs.exe avec leur port par défaut, alors le filtre des paquets entrants ne doit défaut, alors le filtre des paquets entrants ne doit accepter que le trafic vers le port TCP 7250accepter que le trafic vers le port TCP 7250Le trafic nécessaire aux messages Le trafic nécessaire aux messages Dynamic Host Dynamic Host Configuration ProtocolConfiguration Protocol (DHCP) entre le client (DHCP) entre le client distant et le serveur d’accèsdistant et le serveur d’accèsLe trafic nécessaire pour accéder aux ressources Le trafic nécessaire pour accéder aux ressources de quarantaine. Cela comprend des filtres de quarantaine. Cela comprend des filtres permettant au client distant d’accéder à des permettant au client distant d’accéder à des serveurs de résolution de noms (tels des serveurs serveurs de résolution de noms (tels des serveurs DNS), de partage de fichiers, ou de sites WebDNS), de partage de fichiers, ou de sites Web
Description du Description du fonctionnementfonctionnement
1.1. Le client distant utilise le profil CM installé Le client distant utilise le profil CM installé pour se connecter au serveur d’accès distantpour se connecter au serveur d’accès distant
2.2. Le client distant fournit ses informations Le client distant fournit ses informations d’authentification au serveur d’accès distantd’authentification au serveur d’accès distant
3.3. Le service Le service Routing and Remote AccessRouting and Remote Access envoie envoie une demande d’accès RADIUS au serveur IASune demande d’accès RADIUS au serveur IAS
4.4. Le serveur IAS valide les informations Le serveur IAS valide les informations d’authentification du client distant et, si elles d’authentification du client distant et, si elles sont valides, vérifie sa stratégie d’accès sont valides, vérifie sa stratégie d’accès distant. La tentative de connexion respecte les distant. La tentative de connexion respecte les règles de quarantainerègles de quarantaine
ConnexionConnexion
AuthentificationAuthentification
InternetInternet CorpnetCorpnet
ClientClient RRASRRAS IASIAS
QuarantaineQuarantaine
Description du Description du fonctionnementfonctionnement
Description du Description du fonctionnementfonctionnement5.5. La connexion est acceptée avec les La connexion est acceptée avec les
restrictions de quarantaine. Le serveur restrictions de quarantaine. Le serveur IAS envoie une autorisation d’accès IAS envoie une autorisation d’accès RADIUS, contenant entre autres les RADIUS, contenant entre autres les attributs attributs MS-Quarantine-IPFilterMS-Quarantine-IPFilter et et MS-MS-Quarantine-Session-TimeoutQuarantine-Session-Timeout(cet exemple suppose que les 2 attributs sont (cet exemple suppose que les 2 attributs sont configurés dans la règle d’accès distant configurés dans la règle d’accès distant correspondante)correspondante)
6.6. Le client distant et serveur d’accès Le client distant et serveur d’accès complètent la connexion distante, ce qui complètent la connexion distante, ce qui inclut l’obtention d’une adresse IP et inclut l’obtention d’une adresse IP et d’autres paramétragesd’autres paramétrages
Description du Description du fonctionnementfonctionnement
7.7. Le service Le service Routing and Remote AccessRouting and Remote Access configure les paramètres configure les paramètres MS-Quarantine-MS-Quarantine-IPFilter IPFilter et et MS-Quarantine-Session-TimeoutMS-Quarantine-Session-Timeout pour la connexion. A ce point, le client pour la connexion. A ce point, le client distant ne peut envoyer que du trafic distant ne peut envoyer que du trafic respectant les filtres de quarantaine et respectant les filtres de quarantaine et dispose du nombre de secondes spécifié dispose du nombre de secondes spécifié par par MS-Quarantine-Session-Timeout MS-Quarantine-Session-Timeout pour pour notifier au serveur d’accès que le script notifier au serveur d’accès que le script s’est effectué avec succèss’est effectué avec succès
8.8. Le profil CM exécute le script de Le profil CM exécute le script de quarantaine comme action de post-quarantaine comme action de post-connexionconnexion
ConnexionConnexion
AuthentificationAuthentification
AutorisationAutorisationVSA Quarantaine VSA Quarantaine + Filtres normaux + Filtres normaux Accès enAccès en
QuarantaineQuarantaine
InternetInternet CorpnetCorpnet
ClientClient RRASRRAS IASIAS
QuarantaineQuarantaine
Description du Description du fonctionnementfonctionnement
Description du Description du fonctionnementfonctionnement
9.9. Le script de quarantaine vérifie que le Le script de quarantaine vérifie que le système du client distant est conforme à la système du client distant est conforme à la stratégie des pré-requis de configuration. stratégie des pré-requis de configuration. Si tous ces tests de contrôle sont réussis, Si tous ces tests de contrôle sont réussis, le script exécute Rqc.exe avec ces le script exécute Rqc.exe avec ces paramètres de commande, dont l’un paramètres de commande, dont l’un contient le libellé de la version du script contient le libellé de la version du script de quarantaine inclus dans le profil CMde quarantaine inclus dans le profil CM
10.10. Rqc.exe envoie une notification au serveur Rqc.exe envoie une notification au serveur d’accès distant, indiquant que le script d’accès distant, indiquant que le script s’est exécuté avec succès. La notification s’est exécuté avec succès. La notification inclut le libellé de la version du script de inclut le libellé de la version du script de quarantainequarantaine
Description du Description du fonctionnementfonctionnement
11.11. La notification est reçue par le composant La notification est reçue par le composant listenerlistener (Rqs.exe). Le trafic nécessaire à la (Rqs.exe). Le trafic nécessaire à la notification a été accepté car notification a été accepté car correspondant aux échanges autorisés par correspondant aux échanges autorisés par les filtres de quarantaine configurés par les filtres de quarantaine configurés par l’attribut l’attribut MS-Quarantine-IPFilterMS-Quarantine-IPFilter de la règle de la règle d’accès distant correspondanted’accès distant correspondante
12.12. Le composant Le composant listenerlistener compare le libellé compare le libellé de la version du script contenu dans le de la version du script contenu dans le message de notification avec ceux message de notification avec ceux configurés dans le Registre et renvoie un configurés dans le Registre et renvoie un message indiquant que cette version du message indiquant que cette version du script est soit valide, soit invalidescript est soit valide, soit invalide
Description du Description du fonctionnementfonctionnement
13.13. Si la version du script est valide, le Si la version du script est valide, le composant composant listenerlistener invoque l’API invoque l’API MprAdminConnectionRemoveQuarantineMprAdminConnectionRemoveQuarantine(), (), qui permet au service qui permet au service Routing and Remote Routing and Remote Access Access de supprimer les paramètres de supprimer les paramètres MS-MS-Quarantine-IPFilterQuarantine-IPFilter et et MS-Quarantine-MS-Quarantine-Session-TimeoutSession-Timeout de la connexion et de la connexion et configure les conditions de la connexion configure les conditions de la connexion normale. Dés lors, le client distant dispose normale. Dés lors, le client distant dispose d’un accès normal à l’intranetd’un accès normal à l’intranet
14.14. Le composant « Le composant « listenerlistener » enregistre dans le » enregistre dans le journal Système un événement détaillant la journal Système un événement détaillant la connexion en quarantaineconnexion en quarantaine
ConnexionConnexion
AuthentificationAuthentification
AutorisationAutorisationVSA QuarantaineVSA Quarantaine+ Filtres normaux+ Filtres normaux
Résultat de la Résultat de la vérification des règlesvérification des règles
Suppression de la quarantaineSuppression de la quarantaine
Accès en Accès en QuarantaineQuarantaine
InternetInternet CorpnetCorpnet
ClientClient RRASRRAS
Accès completAccès complet
QuarantaineQuarantaine
Description du Description du fonctionnementfonctionnement
IASIAS
Comment déployer le Comment déployer le contrôle d’accès par contrôle d’accès par quarantainequarantaineCréer des ressources de quarantaine Créer des ressources de quarantaine
Créer un script ou un programme qui Créer un script ou un programme qui valide la configuration clientvalide la configuration clientInstaller Rqs.exe sur les serveurs d’accèsInstaller Rqs.exe sur les serveurs d’accèsCréer un nouveau profil CM de quarantaine Créer un nouveau profil CM de quarantaine avec CMAK de Windows Server 2003avec CMAK de Windows Server 2003Distribuer le profil CM pour l’installer sur Distribuer le profil CM pour l’installer sur les postes distantsles postes distantsConfigurer la stratégie d’accès par Configurer la stratégie d’accès par quarantainequarantaine
Créer des ressources de Créer des ressources de Quarantaine Quarantaine
Serveurs de résolution de noms (tels que des Serveurs de résolution de noms (tels que des serveurs DNS et WINS [Windows Internet Name serveurs DNS et WINS [Windows Internet Name Service])Service])
Autoriser la résolution de noms DNS ou NetBIOS pendant Autoriser la résolution de noms DNS ou NetBIOS pendant que le client est en quarantaine. Cela est important quand que le client est en quarantaine. Cela est important quand vous référencez des serveurs de fichiers, des sites Web, ou vous référencez des serveurs de fichiers, des sites Web, ou d’autres types de ressources par leur nomd’autres types de ressources par leur nom
Serveurs de fichiersServeurs de fichiersAutoriser l’accès à des fichiers partagés, utilisés pour Autoriser l’accès à des fichiers partagés, utilisés pour installer les composants nécessaires sur les clients distants, installer les composants nécessaires sur les clients distants, tels mises à jour de signatures de virus ou profils CMtels mises à jour de signatures de virus ou profils CM
Serveurs Web Serveurs Web Autoriser l’accès aux pages Web contenant les instructions Autoriser l’accès aux pages Web contenant les instructions et les liens vers les composants à installer sur les clients et les liens vers les composants à installer sur les clients distantsdistants
Où placer les ressources de Où placer les ressources de quarantaine ?quarantaine ?
Désigner ou placer toutes les ressources de Désigner ou placer toutes les ressources de quarantaine sur un sous-réseau séparé.quarantaine sur un sous-réseau séparé.
L’avantage de cette approche est que vous n’avez L’avantage de cette approche est que vous n’avez qu’à configurer qu’un seul filtre d’entrée/sortie qu’à configurer qu’un seul filtre d’entrée/sortie pour vos ressources de quarantainepour vos ressources de quarantaine
Désigner différents serveurs de votre Désigner différents serveurs de votre intranet en tant que ressources de intranet en tant que ressources de quarantaine, indépendamment de leur quarantaine, indépendamment de leur emplacement. emplacement.
L’avantage de cette approche est que vous L’avantage de cette approche est que vous pouvez utiliser des serveurs existants pour pouvez utiliser des serveurs existants pour héberger les ressources de quarantaine, profitant héberger les ressources de quarantaine, profitant de leur sous-utilisationde leur sous-utilisation
Créer un script ou un programme Créer un script ou un programme qui valide la configuration clientqui valide la configuration client
Le script ou programme de quarantaine que Le script ou programme de quarantaine que vous créez peut être soit un fichier vous créez peut être soit un fichier exécutable (*.exe) soit un simple fichier de exécutable (*.exe) soit un simple fichier de commandes (*.cmd ou *.bat). Dans le script, commandes (*.cmd ou *.bat). Dans le script, exécuter la série de tests permettant de exécuter la série de tests permettant de vérifier que le client distant est conforme vérifier que le client distant est conforme aux stratégies d’accès. Si tous ces tests aux stratégies d’accès. Si tous ces tests sont réussis, le script doit exécuter Rqc.exe sont réussis, le script doit exécuter Rqc.exe avec les paramètres suivants :avec les paramètres suivants :
rqc /conn %CONNNAME% /port %PORTrqc /conn %CONNNAME% /port %PORT% /domain %DOMAIN% /user % /domain %DOMAIN% /user %USERNAME% /sig %REMOVAL% /log %USERNAME% /sig %REMOVAL% /log %RQS_LOGMESSAGE%%RQS_LOGMESSAGE%
DéploiementDéploiement
Installer rqs.exe sur les serveurs RRASInstaller rqs.exe sur les serveurs RRAS
Créer un nouveau profil CM Créer un nouveau profil CM de quarantaine avec CMAKde quarantaine avec CMAK
Un profil CM de quarantaine est juste Un profil CM de quarantaine est juste un profil CM normal d’accès distant par un profil CM normal d’accès distant par modem ou VPN, complété par :modem ou VPN, complété par :
Une action post-connexion pour exécuter le Une action post-connexion pour exécuter le script ou le programme créé pour vérifier la script ou le programme créé pour vérifier la conformité à la stratégie d’accès et inclure conformité à la stratégie d’accès et inclure le script ou le programme dans le profille script ou le programme dans le profil
Le composant de notification au profilLe composant de notification au profil
Distribuer le profil CM aux Distribuer le profil CM aux clients distantsclients distants
Le profil est un fichier exécutable qui doit Le profil est un fichier exécutable qui doit être exécuté sur les clients distants pour être exécuté sur les clients distants pour installer le profil et configurer la installer le profil et configurer la connexion avec quarantaine :connexion avec quarantaine :
Envoyer le fichier exécutable du profil ou Envoyer le fichier exécutable du profil ou proposer un lien vers le profil dans un proposer un lien vers le profil dans un courriel.courriel.
Placer le fichier exécutable sur une page Web Placer le fichier exécutable sur une page Web
Exécuter le profil à partir des scripts de Exécuter le profil à partir des scripts de démarrage ou des scripts de démarrage ou des scripts de loginlogin au au domaine.domaine.
Configurer une stratégie Configurer une stratégie d’accès distant avec d’accès distant avec QuarantaineQuarantaine
Créer une stratégie d’accès pour les Créer une stratégie d’accès pour les connexions à distance normales en utilisant connexions à distance normales en utilisant un modèle classique de stratégie d’accès.un modèle classique de stratégie d’accès.
Modifier cette nouvelle stratégie en ajoutant Modifier cette nouvelle stratégie en ajoutant les attributs les attributs MS-Quarantine-Session-MS-Quarantine-Session-TimeoutTimeout et et MS-Quarantine-IPFilterMS-Quarantine-IPFilter
Autres considérationsAutres considérationsAutres considérationsAutres considérations
Si les tests de conformité Si les tests de conformité échouentéchouent
Le script peut diriger l’utilisateur Le script peut diriger l’utilisateur distant vers une page Web distant vers une page Web
La page décrit comment obtenir les La page décrit comment obtenir les composants nécessairescomposants nécessaires
Si la réponse de notification indique Si la réponse de notification indique une version invalide du script, le script une version invalide du script, le script peut proposer à l’utilisateur distant peut proposer à l’utilisateur distant d’installer le dernier profil CM à partir d’installer le dernier profil CM à partir d’un répertoire partagé ou d’une page d’un répertoire partagé ou d’une page WebWeb
Restreindre l’accès au serveur Restreindre l’accès au serveur VPNVPN
Dans le cas d’un VPN dédié, Dans le cas d’un VPN dédié, restreindre l’accès aux seuls ports restreindre l’accès aux seuls ports nécessaires à la connexion VPN :nécessaires à la connexion VPN :Src Src
addraddrSrc Src
maskmaskDest Dest addraddr
Dest Dest maskmask
ProtocProtocolol
Src Src portport
Dest Dest portport DescriptionDescription
AnyAny AnyAny AnyAny AnyAny 4747 AnyAny AnyAny GREGRE
AnyAny AnyAny AnyAny AnyAny TCPTCP 17231723 AnyAny PPTP PPTP InboundInbound
AnyAny AnyAny AnyAny AnyAny TCPTCP AnyAny 17231723 PPTP PPTP OutboundOutbound
AnyAny AnyAny AnyAny AnyAny UDPUDP 500500 500500 ISAKMPISAKMP
AnyAny AnyAny AnyAny AnyAny UDPUDP 17011701 17011701 L2TPL2TP
Restreindre les droits Restreindre les droits d’utilisation VPNd’utilisation VPN
Utiliser la stratégie RAS pour accorder Utiliser la stratégie RAS pour accorder la connectivité VPN qu’aux utilisateurs la connectivité VPN qu’aux utilisateurs ayant une activité professionnelle ayant une activité professionnelle nécessitant un accès distantnécessitant un accès distant
Définir les utilisateurs par « Control Définir les utilisateurs par « Control access through Remote Access Policy »access through Remote Access Policy »
Exploiter les notions de groupes et Exploiter les notions de groupes et d’utilisateurs Windows pour faire d’utilisateurs Windows pour faire respecter les droits d’utilisation VPNrespecter les droits d’utilisation VPN
Aperçu de stratégie d’accèsAperçu de stratégie d’accès
Configuration de DomaineConfiguration de DomaineLa permission d’accès distant des propriétés du compte La permission d’accès distant des propriétés du compte utilisateur est définie à utilisateur est définie à Control access through Remote Control access through Remote Access PolicyAccess PolicyLe compte utilisateur est inclus dans le groupe Le compte utilisateur est inclus dans le groupe VPN_Users VPN_Users de l’annuaire Active Directoryde l’annuaire Active Directory
Configuration de la stratégie d’accès distant Configuration de la stratégie d’accès distant Nom de la stratégie : Nom de la stratégie : Remote Access VPN ConnectionsRemote Access VPN Connections Méthode d’accès : Méthode d’accès : VPNVPN Utilisateur ou Groupe : Groupe avec Utilisateur ou Groupe : Groupe avec EXAMPLE\VPN_UsersEXAMPLE\VPN_Users sélectionné sélectionné Méthodes d’authentification : Méthodes d’authentification : Extensible Authentication Extensible Authentication ProtocolProtocol avec avec Smart card ou autres CertificatsSmart card ou autres Certificats, , Microsoft Encrypted Authentication version 2 (MS-Microsoft Encrypted Authentication version 2 (MS-CHAP v2)CHAP v2), et , et Microsoft Encrypted Authentication Microsoft Encrypted Authentication (MS-CHAP)(MS-CHAP) sélectionnés sélectionnés Niveau de chiffrement : Niveau de chiffrement : Strong encryptionStrong encryption et et Strongest Strongest encryptionencryption sélectionnés sélectionnés
Filtrage de paquets par profil Filtrage de paquets par profil RAS RAS
Les stratégies RAS peuvent être Les stratégies RAS peuvent être utilisées pour spécifier un ensemble utilisées pour spécifier un ensemble de filtres de paquets IP, appliqués aux de filtres de paquets IP, appliqués aux connexion à distanceconnexion à distance
Elles peuvent également empêcher les Elles peuvent également empêcher les clients VPN d’envoyer des paquets clients VPN d’envoyer des paquets dont ils ne sont pas la sourcedont ils ne sont pas la source
Protection contre le risque de clients VPN Protection contre le risque de clients VPN agissant comme des routeurs pour des agissant comme des routeurs pour des éléments non authentifiéséléments non authentifiés
Exemples de scriptExemples de script
Exemples de script de vérification de Exemples de script de vérification de la configuration clientla configuration clienthttp://www.microsoft.com/downloads/http://www.microsoft.com/downloads/details.aspx?FamilyID=a290f2ee-0b5details.aspx?FamilyID=a290f2ee-0b55-491e-bc4c-8161671b2462&displayl5-491e-bc4c-8161671b2462&displaylang=enang=en
DémoDémoRéalisée par Arnaud JumeletRéalisée par Arnaud Jumelet
CA1
IIS1 VPN1
DC1
172.16.0.3
172.16.0.4
172.16.0.1
172.16.0.2
Client1
10.0.0.1
10.0.0.2
Switch1
Internet
Switch
Les limitesLes limites
1.1. Utilisateurs malveillantsUtilisateurs malveillants
2.2. Intégrité du script de quarantaineIntégrité du script de quarantaine
3.3. Systèmes Wi-Fi et 802.1xSystèmes Wi-Fi et 802.1x
4.4. Numéro de version vulnérableNuméro de version vulnérable
5.5. Possibilité d’usurpation de la Possibilité d’usurpation de la notificationnotification
6.6. Reverse EngineeringReverse Engineering
ISA Server 2004ISA Server 2004ISA Server 2004ISA Server 2004
La quarantaine dans ISA La quarantaine dans ISA ServerServer
Vérifier lors de la connexion la conformité Vérifier lors de la connexion la conformité du poste client VPN: du poste client VPN:
Mécanisme d’analyse Mécanisme d’analyse Mise en quarantaineMise en quarantaine
Limiter les accès autorisés pour les Limiter les accès autorisés pour les sessions VPNsessions VPN
Seules les ressources nécessaires sont Seules les ressources nécessaires sont accessiblesaccessiblesL’ensemble du réseau interne ne devrait pas L’ensemble du réseau interne ne devrait pas être accessibleêtre accessible
Utiliser du filtrage applicatif pour analyser Utiliser du filtrage applicatif pour analyser les communications à destination des les communications à destination des ressources internes.ressources internes.
Possibilité de faire de l’analyse antiviralePossibilité de faire de l’analyse antiviraleFiltrage des flux RPC, http, SMTP, CIFS, DNS…Filtrage des flux RPC, http, SMTP, CIFS, DNS…
DMZ_1
Modèle réseau ISA Server 2004Modèle réseau ISA Server 2004
Nombre de réseaux Nombre de réseaux illimitéillimité
Type d’accès Type d’accès NAT/RoutageNAT/Routagespécifique à chaque spécifique à chaque réseauréseau
Les réseaux VPN sont Les réseaux VPN sont considérés comme des considérés comme des réseaux à part entièreréseaux à part entière
La machine ISA est La machine ISA est considéré comme un considéré comme un réseau (LocalHost)réseau (LocalHost)
Stratégie de filtrage par Stratégie de filtrage par réseauréseau
Filtrage de paquet sur Filtrage de paquet sur toutes les interfacestoutes les interfaces
InternetVPN
ISA 2004
Toutes topologies / stratégiesToutes topologies / stratégies
CorpNet_1DMZ_n
Local AreaNetwork CorpNet_n
VPN Quarantaine
actionaction sur traffictraffic pour utilisateurutilisateur depuis sourcesource vers destinationdestination avec conditions conditions
Structure des règles de pare-feu Structure des règles de pare-feu ISAISA
• Autoriser• Interdire
• Protocole IP• Port(s) TCP/UDP
• Réseau(x)• Adresse(s) IP• Machine(s)
• Réseau(x)• Adresse(s) IP• Machine(s)
• Serveur publié• Site Web publié• Planning• Filtre applicatif
• Utilisateur(s)• Groupe(s)
• Ensemble de règles ordonnées•Règles systèmes puis règles utilisateur
• Plus logique et plus facile à comprendre (versus ISA Server 2000 notamment)
Processus avec RRAS+ISAProcessus avec RRAS+ISA
Ressources de quarantaine
Le client se connecte
RRAS+ISA assigne le client au réseau ‘clients VPN en quarantaine”, autorisant ainsi un accès à un nombre limité de ressources
Un script côté client vérifie les paramètres de la configuration
Le script n’envoie pas une notification de réussite à RRAS+ISA
Le client peut se mettre à jour depuis les ressources de quarantaine
RRAS+ISA déconnecte le client à l’expiration du temps accordé
Processus avec RRAS+ISAProcessus avec RRAS+ISA
Réseau interneRessources de
quarantaine
Le client se connecte
RRAS+ISA assigne le client au réseau ‘clients VPN en quarantaine”, autorisant ainsi un accès à un nombre limité de ressources
Un script côté client vérifie les paramètres de la configuration
Le script envoie une notification de réussite à RRAS+ISA
RRAS+ISA assigne le client au réseau ‘clients VPN”, fournissant ainsi l’accès au réseau interne
VPN et quarantaine avec ISA VPN et quarantaine avec ISA 20042004
Connexion VPN
IntérêtIntérêt
Restreint les accès pendant la quarantaine ET Restreint les accès pendant la quarantaine ET après (n’ouvre donc pas le réseau interne après (n’ouvre donc pas le réseau interne dans son intégralité pour les clients VPN)dans son intégralité pour les clients VPN)Filtrage applicatifFiltrage applicatifAu niveau du filtrage pendant la quarantaine, Au niveau du filtrage pendant la quarantaine, plus adapté pour les grands réseaux (MS IT a plus adapté pour les grands réseaux (MS IT a rencontré un problème de taille de paquet rencontré un problème de taille de paquet RADIUS compte tenu du grand nombre de RADIUS compte tenu du grand nombre de ressources à offrir en quarantaine)ressources à offrir en quarantaine)Permet l’utilisation de Windows 2000 ServerPermet l’utilisation de Windows 2000 ServerPlus d’infos sur le sujet lors de la session qui Plus d’infos sur le sujet lors de la session qui suit : « Mise en œuvre de réseaux privés suit : « Mise en œuvre de réseaux privés virtuels (VPN) avec ISA Server 2004 : virtuels (VPN) avec ISA Server 2004 : principes et bénéfices », démonstrations à principes et bénéfices », démonstrations à l’appui !l’appui !
Network Access Network Access Protection (NAP)Protection (NAP)Network Access Network Access Protection (NAP)Protection (NAP)
NAPNAP
Technologie s’appliquant à tout type Technologie s’appliquant à tout type de connexion réseau (distante mais de connexion réseau (distante mais aussi et surtout locale)aussi et surtout locale)3 fonctions de base3 fonctions de base
Validation de la politique de conformité Validation de la politique de conformité ((Health Policy ValidationHealth Policy Validation))Restriction des clientsRestriction des clientsMise en conformité (Mise en conformité (Health RemediationHealth Remediation))
NAP est la surcouche santé de vos NAP est la surcouche santé de vos systèmes de sécurité réseau. systèmes de sécurité réseau. Prévu pour Windows Server Prévu pour Windows Server « Longhorn » (en 2007) « Longhorn » (en 2007)
Bénéfices de NAPBénéfices de NAP
Architecture ExtensibleArchitecture ExtensibleExtensible via des solutions d’éditeurs Extensible via des solutions d’éditeurs tiercestiercesBasée sur des standards ouverts (DHCP, Basée sur des standards ouverts (DHCP, IPSec, Radius, 802.1x…)IPSec, Radius, 802.1x…)Possibilité d’utilisation de scripts Possibilité d’utilisation de scripts personnalisés pour faire des tests personnalisés pour faire des tests complémentairescomplémentaires
Fonctionne avec les infrastructures Fonctionne avec les infrastructures réseau existantesréseau existantesRéduit le risque de compromission du Réduit le risque de compromission du réseauréseau
Demande d’accès ?Voici mon nouveau status
Est ce que le client doit être restreint en fonction de son status?
En accord avec la politique, le client n’est pas à jour. Mise en quarantaine et demande au client de se mettre à jour
Puis je avoir accès ?Voici mon status actuel
En accord avec la politique, le client est à jourAccès autorisé
NAP : principe de NAP : principe de fonctionnementfonctionnement
IAS PolicyServer
Client Network Access Device
(DHCP, VPN)
Remediation Servers
(antivirus, système de maj de correctifs…)
Mise à jour du serveur IAS avec les politiques
en cours
Vous avez droit à un accès restreint tant que vous n’êtes pas à jour
Puis je avoir les mises à jour ?
Les voici
Réseau de l’entreprise
Réseau restreint (quarantaine)
Le Client obtient l’accès complet à l’Intranet
System Health Servers
(défini les pré requis du client)
SSystem ystem HHealth ealth VValidatorsalidatorsMicrosoft et 3Microsoft et 3rdrd Parties Parties
QQuarantine uarantine SServererver
SSystem ystem HHealth ealth AAgentsgentsMicrosoft et 3Microsoft et 3rdrd Parties Parties(AV/Patch/FW/Other)(AV/Patch/FW/Other)
QQuarantine uarantine AAgentgent
QQuarantine uarantine EEnforcement nforcement CClientlientMicrosoft et 3Microsoft et 3rdrd Parties Parties
DHCP/VPN/IPsec/802.1xDHCP/VPN/IPsec/802.1x
Scénarios d’utilisation de NAPScénarios d’utilisation de NAP
Machine de l’entrepriseComme un portable ou un PC de bureau de la compagnie
Machine de l’entrepriseComme un portable de la compagnie
Accès au réseau local (LAN)
Machine non compatible NAP ou à un visiteurComme le PC portable d’un intervenant externe
Connexion à des réseaux distants
Machine non managée ou non compatible NAPComme la machine personnelle d’un employé
Valid
atio
n de
la
politiq
ue ré
seau
Mis
e en
confo
rmité
Avec
la p
olitiq
ueIs
olatio
n rése
au
Bénéfices de NAPBénéfices de NAP
Focus sur la mise en conformité des politiques Focus sur la mise en conformité des politiques d’entreprised’entreprise
Les professionnels IT définissent les stratégies de sécuritéLes professionnels IT définissent les stratégies de sécurité
Le système NAP isole les clients qui ne respectent pas ces stratégiesLe système NAP isole les clients qui ne respectent pas ces stratégies
Les clients isolés ont un accès restreint à des services leur Les clients isolés ont un accès restreint à des services leur permettant de revenir en conformitépermettant de revenir en conformité
Architecture extensibleArchitecture extensibleExtensible via des solutions d’éditeurs tiercesExtensible via des solutions d’éditeurs tierces
Basée sur des standards ouverts (DHCP, IPSec, Radius…)Basée sur des standards ouverts (DHCP, IPSec, Radius…)
Possibilité d’utilisation de scripts personnalisés pour faire des tests Possibilité d’utilisation de scripts personnalisés pour faire des tests complémentairescomplémentaires
Fonctionne avec les infrastructures réseau Fonctionne avec les infrastructures réseau existantesexistantes
Réduit le risque de compromission du réseauRéduit le risque de compromission du réseau
Les partenaires NAPLes partenaires NAP
http://www.microsoft.com/windowsserver2003/partners/nappartners.mspx
RessourcesRessourcesRessourcesRessources
RessourcesRessources
Site sécurité :Site sécurité :http://www.microsoft.com/france/securite http://www.microsoft.com/france/securite Quarantaine dans Windows Server 2003Quarantaine dans Windows Server 2003
http://www.microsoft.com/windowsserver2003/techinfo/http://www.microsoft.com/windowsserver2003/techinfo/overview/quarantine.mspxoverview/quarantine.mspx
Installer un lab avec quarantaine :Installer un lab avec quarantaine :http://www.microsoft.com/downloads/details.aspx?http://www.microsoft.com/downloads/details.aspx?FamilyID=fe902704-52dd-4bbe-8a75-FamilyID=fe902704-52dd-4bbe-8a75-f8fbb76cd28a&DisplayLang=en f8fbb76cd28a&DisplayLang=en
VPNVPNhttp://www.microsoft.com/vpn http://www.microsoft.com/vpn
Retours d’expérience de Microsoft en tant qu’entrepriseRetours d’expérience de Microsoft en tant qu’entreprisewww.microsoft.com/technet/itshowcase www.microsoft.com/technet/itshowcase
ISA Server 2004ISA Server 2004www.microsoft.com/isaserver www.microsoft.com/isaserver www.microsoft.com/france/isa www.microsoft.com/france/isa
NAPNAPwww.microsoft.com/nap www.microsoft.com/nap
Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec
91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex
www.microsoft.com/france www.microsoft.com/france
0 825 827 8290 825 827 829
[email protected]@microsoft.com
