Vous êtes sur la page 1sur 72

Dpartement : STIC

Rfrence :

Licence Applique en Sciences et Technologies


de lInformation et des Communications

Projet de fin d'tudes :


Implmentation d'une solution NAC

Ralis par : Anouar ABDALLAH


Classe : STIC L3 SR-A
Encadr par : M. Marouene BOUBAKRI
M. Hichem HARHIRA
Entreprise d'accueil : Next Step IT

Anne Universitaire : 2014-2015

Remerciements

Mes vifs remerciements sadressent mes deux encadrants, M. Marouene


BOUBAKRI enseignant l'ISET'Com et M. Hichem HARHIRA directeur technique de
NEXT STEP IT , pour leur disponibilit, leur soutien et leurs prcieux conseils tout au
long de ce projet.
Que les membres du jury trouvent ici mes profonds remerciements pour lhonneur
quils mont fait en assistant cette soutenance.
Je souhaite galement faire part de ma reconnaissance tous les ingnieurs,
techniciens et ouvriers au sein de lentreprise pour leur pdagogie et leur assistance durant
ce stage ainsi qu lensemble du personnel.

Celui qui prend une voie dans laquelle il

cherche acqurir une science, Allah lui


facilite grce elle une voie pour le paradis
[Abou Hourayrah]

Rsum
Ce rapport sinscrit dans le cadre de notre projet de fin dtudes ralis au sein de
l'entreprise Next Step IT, consistant la mise en place dune solution de contrle d'accs au
rseau. Cette solution est constitue de plusieurs composants qui, en fonctionnant de faon
contige, permettront de filtrer laccs au rseau en authentifiant tout hte demandant l'accs et
deffectuer, sur lhte authentifi, un ensemble de tests pour vrifier son tat de sant et le
rendre conforme avec la stratgie de scurit suivie.
Ces objectifs seront raliss par l'implmentation dune plateforme de scurit fournie par
le leader mondial, Cisco Systems, et intgre avec un service dannuaire (Microsoft Active
Directory) afin d'assurer lauthentification, ainsi qu'un commutateur et un contrleur de rseau
local sans fil servant connecter les utilisateurs respectivement aux rseaux filaire et sans fil.

Abstract
This report is part of our graduation project realized within Next Step IT company,
consisting in the implementation of a network access control solution. This solution is composed
of several components, operating adjacently, allow to filter network access by authenticating any
host requesting access and to effect in this authenticated host a series of tests to check its health
status and whether it conforms with the followed security strategy.
This will be accomplished by implementing a security platform provided by the world
leader, Cisco Systems, and integrated with a directory service (Microsoft Active Directory) to
ensure authentication together with a switch and a Wireless LAN controller for connecting users
to the wired and wireless networks, respectively.

Sommaire
Introduction gnrale ........................................................................................................... 1
Chapitre 1 : Prsentation du projet .......................................................................................2
1.1.

Introduction.................................................................................................................................. 3

1.2.

Prsentation de l'entreprise d'accueil ........................................................................................ 3

1.2.1.

Chiffres cls .......................................................................................................................... 3

1.2.2.

Les services offerts .............................................................................................................. 3

1.3.

Besoin d'une solution NAC ....................................................................................................... 5

1.4.

Contribution ................................................................................................................................. 5

1.5.

Planification prvisionnelle du projet ....................................................................................... 6

1.6.

Gestion du projet ......................................................................................................................... 6

1.7.

Conclusion .................................................................................................................................... 6

Chapitre 2 : tat de l'art ........................................................................................................7


2.1.

Introduction.................................................................................................................................. 8

2.2.

La solution NAC.......................................................................................................................... 8

2.2.1.

Principe de fonctionnement .............................................................................................. 8

2.2.2.

Architecture .......................................................................................................................... 9

2.2.3.

tude comparative des solutions disponibles ............................................................... 10

2.3.

La plate-forme Cisco ISE ......................................................................................................... 14

2.3.1.

Dfinition ........................................................................................................................... 14

2.3.2.

Comparaison entre ACS et ISE....................................................................................... 15

2.3.3.

Fonctionnement ................................................................................................................ 16

2.3.4.

Licences............................................................................................................................... 18

2.4.

Conclusion .................................................................................................................................. 19

Chapitre 3 : Ralisation ....................................................................................................... 20


3.1.

Introduction................................................................................................................................ 21

3.2.

Architecture du rseau ............................................................................................................ 21

3.3.

Installation et intgration de Cisco ISE et Active Directory ............................................... 23

3.3.1.

Installation du contrleur de domaine (Active Directory) .......................................... 23

3.3.2.

Installation et intgration de deux plates-formes Cisco ISE ....................................... 23

3.3.3.

Jointure des deux plates-formes au contrleur Active Directory ............................... 28

3.4.

Configuration de l'ISE .............................................................................................................. 29

3.4.1.

Authentification ................................................................................................................. 29

3.4.2.

Posture & Client Provisioning ......................................................................................... 32

3.4.3.
3.5.

Autorisation ........................................................................................................................ 37

Configuration du Switch ........................................................................................................... 38

3.5.1.

Configuration globale ....................................................................................................... 39

3.5.2.

Configuration de l'interface.............................................................................................. 41

3.6.

Configuration du WLC ............................................................................................................. 43

3.7.

Conclusion .................................................................................................................................. 48

Chapitre 4 : Test et validation ............................................................................................. 49


4.1.

Introduction................................................................................................................................ 50

4.2.

Rseau filaire............................................................................................................................... 50

4.3.

Rseau sans fil ............................................................................................................................ 53

4.4.

Conclusion .................................................................................................................................. 58

Conclusion et perspectives ................................................................................................. 59


Rfrences ........................................................................................................................... 61
Glossaire .............................................................................................................................. 62

Liste des figures


Figure 1: Logo de l'entreprise ..................................................................................................................... 3
Figure 2: Planification prvisionnelle ........................................................................................................ 6
Figure 3: Architecture globale d'une solution NAC ................................................................................ 9
Figure 4: Architecture d'une solution Microsoft NAP ......................................................................... 12
Figure 5: Architecture de la solution Juniper UAC ............................................................................... 13
Figure 6: Dploiement d'une solution de contrle d'accs base sur ISE ......................................... 15
Figure 7: Datagramme EAP ..................................................................................................................... 17
Figure 8: Encapsulation des messages EAP ........................................................................................... 18
Figure 9: Rsum sur les caractristiques du serveur ............................................................................ 21
Figure 10: Architecture du rseau ............................................................................................................ 22
Figure 11: Ajout des rles DNS et Active Directory ............................................................................ 23
Figure 12: Tlchargement de l'image .iso sur la datastore .................................................................. 24
Figure 13: Paramtres de configuration rseau lors de l'installation ................................................... 25
Figure 14: Ajout des services de certificats Active Directory .............................................................. 25
Figure 15: Interface WEB du service de certificats Microsoft Active Directory .............................. 26
Figure 16: Importation du certificat d'autorit de certification dans la plate-forme ISE................. 26
Figure 17: Gnration du certificat par le service des certificats AD ................................................. 26
Figure 18: Dtails du certificat gnr pour le deuxime nud .......................................................... 27
Figure 19: Enregistrement du nud secondaire .................................................................................... 27
Figure 20: Ajout des machines au serveur DNS .................................................................................... 28
Figure 21: Jointure des plates-formes ISE Active Directory ............................................................ 28
Figure 22: Ajout des plates-formes la liste des machines .................................................................. 28
Figure 23: Ajout d'un groupe d'utilisateurs Active Directory l'ISE ................................................. 29
Figure 24: Rgles d'authentification ......................................................................................................... 30
Figure 25: Dfinition de la squence "Use_AD_then_local" .............................................................. 30
Figure 26: Condition compose (exemple : MAB) ................................................................................ 31
Figure 27: Succs de l'authentification au cas o l'adresse MAC est introuvable ............................. 31
Figure 28: Attributs RADIUS de l'authentification DOT1X sur le rseau filaire............................. 32
Figure 29: Rgles du Client Provisioning ................................................................................................ 33
Figure 30: Exemples de la liste des agents NAC ................................................................................... 33
Figure 31: Liste des vendeurs d'antivirus ................................................................................................ 34
Figure 32: Champs remplir d'une condition d'antivirus .................................................................... 34
Figure 33: Choix des produits Mcafee dans la condition d'antivirus .................................................. 35
Figure 34: Ajout du fichier de remdiation............................................................................................. 35
Figure 35: Dfinition de la rgle d'exigence............................................................................................ 36
Figure 36: Affichage d'un message avec l'agent NAC........................................................................... 36
Figure 37: Rgle de posture ...................................................................................................................... 36
Figure 38: Rvaluation rgulire ............................................................................................................. 36
Figure 39: Profil d'autorisation CWA ...................................................................................................... 37
Figure 40: Rgles d'autorisation................................................................................................................ 38
Figure 41: Cisco Catalyst 3650 ................................................................................................................. 38
Figure 42: Commandes globales saisies au niveau du Switch .............................................................. 40

Figure 43: Activation du CoA au niveau du Switch .............................................................................. 40


Figure 44: Activation de HTTP et HTTPS ............................................................................................ 40
Figure 45: ACL de redirection .................................................................................................................. 41
Figure 46: Diagramme des mthodes d'authentification ...................................................................... 42
Figure 47: Configuration de l'interface .................................................................................................... 43
Figure 48: Cisco 2500 Series Wireless Controller .................................................................................. 43
Figure 49: Cisco Aironet 1041N .............................................................................................................. 44
Figure 50: Dtection du point d'accs au WLC ..................................................................................... 44
Figure 51: Diffusion de deux SSID ......................................................................................................... 44
Figure 52: Activation du filtrage MAC .................................................................................................... 45
Figure 53: Ajout du serveur RADIUS au WLC ..................................................................................... 45
Figure 54: Ajout des serveurs d'authentification et d'autorisation ...................................................... 46
Figure 55: Activation du CoA................................................................................................................... 46
Figure 56: Configuration DHCP .............................................................................................................. 47
Figure 57: Politique de scurit du deuxime WLAN "PFE-NSIT2" ................................................ 47
Figure 58: ACL de redirection .................................................................................................................. 48
Figure 59: Ajout et dmarrage du service DOT1X ............................................................................... 50
Figure 60: Activation du DOT1X sur la carte Ethernet ....................................................................... 51
Figure 61: Fentre d'authentification ....................................................................................................... 51
Figure 62: Redirection vers la page de Client Provisioning.................................................................. 52
Figure 63: Message obtenu sur l'Agent NAC ......................................................................................... 52
Figure 64: vnements d'authentification observs au commutateur ................................................ 53
Figure 65: Dtails de l'authentification sur l'interface GigabitEthernet1/0/23 ................................ 53
Figure 66: Dtection des SSIDs ............................................................................................................... 54
Figure 67: Authentification DOT1X pour le SSID "PFE-NSIT2" .................................................... 54
Figure 68: Accs restreint un utilisateur du rseau sans fil ................................................................ 54
Figure 69: Portail invit ............................................................................................................................. 55
Figure 70: Inscription via la version mobile du portail captif .............................................................. 55
Figure 71: Interface du portail responsable ............................................................................................ 56
Figure 72: Cration d'un compte Guest d'une dure de huit heures .................................................. 56
Figure 73: Validation de posture avec un agent temporaire................................................................. 57
Figure 74: Accs complet au rseau ......................................................................................................... 57
Figure 75: Log de la plate-forme ISE ...................................................................................................... 58
Figure 76: Dtails de la session................................................................................................................. 58

Liste des tableaux

Tableau 1 : Comparaison ACS vs ISE..................................................................................................... 15


Tableau 2 : Les services de l'ISE et les licences correspondantes ....................................................... 19
Tableau 3 : Entres de l'ACL de redirection .......................................................................................... 41

Introduction gnrale

La scurit des rseaux devient, de nos jours, un thme indispensable pour garantir la
disponibilit et lefficacit des ressources sur le rseau. La spcification de laccs au rseau est
devenue trs importante pour la protection des ressources soit des tentatives dintrusions internes
ou externes, lesquelles dveloppent des nouvelles techniques de jour en jour, ou encore des accs,
aux donnes et informations de haute importance ou trs confidentielles, par des membres non
qualifis. Cest pour cela que chaque utilisateur ou machine, voulant accder au rseau, doit tre
identifi et subir quelques tests de compatibilit avec le rseau (intgration au domaine, existence
dun antivirus bien dfini sur la machine qui veut sauthentifier, etc.); il sera, par la suite, dirig
selon son identit et les droits daccs qui lui seront attribus vers les ressources et les sous
rseaux auxquels il aura accs.
Ce projet reprsente une mise en place dune solution de scurit et de conformit rseau
qui traitera des aspects de manque de scurit. Cela se traduit par l'tablissement d'un mcanisme
dauthentification automatique, lors du branchement du cble rseau ou en cas d'utilisation du
rseau sans fil. Ceci est valable pour un utilisateur permanent; alors que pour un utilisateur
temporaire (visiteur), l'authentification s'effectue via le portail Web. Une fois authentifi, le client
(poste de travail) subira quelques tests destins sassurer de sa conformit vis--vis de la
stratgie de scurit prdfinie. Aprs avoir effectu ces tests et si le client prsente des
vulnrabilits qui ncessitent linstallation ou la mise jour dun composant, il aura un accs
restreint lui offrant les mises jour ncessaires pour tablir les remdes appropris et atteindre
ainsi un tat conforme et sain.
Aussi, le prsent rapport dcrit-il la mise en place de cette solution. Dans son premier
chapitre, il abordera le cadre gnral du projet. Le deuxime chapitre intitul tat de l'art est
ddi aux concepts thoriques relatifs notre solution . Le troisime chapitre viendra dtailler les
tapes d'installation et les configurations ncessaires des divers lments composant la solution.
Dans le quatrime et dernier chapitre, nous clturerons par l'exercice des tests ncessaires tendant
nous prmunir d'un ventuel mauvais fonctionnement.

CHAPITRE 1 :
PRSENTATION DU
PROJET

Chapitre 1

Prsentation du projet
pro

1.1. Introduction
Au cours de ce chapitre, nous exposons le contexte gnral du projet. Aussi, nous
prsentons, en premier lieu, l'entreprise d'accueil,
d'accuei le besoin de dploiement
ploiement d'une solution NAC
ainsi que notre contribution relie au besoin de l'entreprise et nous finissons par la citation de la
planification prvisionnelle et de la mthodologie
mt
de travail que nous aurons suivre.
suivre

1.2. Prsentation de l'entreprise d'accueil


Au cours de cette section, nous allons essayer de prsenter l'entreprise au sein de laquelle
s'est droul le stage et ce, en rappelant ses chiffres cls ainsi que les services
ces qu'elle offre.

1.2.1. Chiffres cls


Next Step IT est une socit responsabilit limite, fonde au cours de l'anne 2012,
implante Tunis, Mutuelleville et employant une quarantaine de personnes.
Next Step IT sest trouve sur une trajectoire
traje
de start-up
up ralisant quelques centaines de
milliers de dinars en 2012, trois millions de dinars en 2013 et le double en 2014.
Son logo est le suivant :

Figure 1: Logo de l'entreprise

1.2.2. Les services offerts


Ils se rsument principalement en l'audit, l'tude et conseil, l'intgration,
ration, l'assistance
technique et le support et maintenance.

 Audit
Next Step IT propose le service daudit des infrastructures des systmes d'informations.
Les prestations d'audit ont pour objectif d'tablir un tat des lieux des infrastructures
informatiques existantes afin d'valuer les besoins et mettre en vidence tous les aspects
asp
ncessaires pour optimiser l'environnement et l'organisation. Ainsi, Next Step IT accompagne
3 | Page

Chapitre 1

Prsentation du projet

t-elle ses clients pour faire un choix stratgique sur l'volution de son systme d'information et ce
en toute connaissance de cause.

 tude et conseil
La russite dune solution dpend du soin apport sa conception. Next Step IT tudie
des solutions sur mesure, sadaptant au contexte et aux besoins des entreprises. Elle accompagne
ses clients dans cette dmarche :
o Recueil des besoins
o Analyse de lexistant et visites des sites
o Dfinition des spcifications techniques, fonctionnalits, performances, etc.
o Identification des contraintes, du budget et des dlais
o Dmonstration, mise en place de maquette et accompagnement au test
o Assistance la rdaction des cahiers des charges

 Intgration
Next Step IT est une spcialiste d'intgration de solutions d'infrastructure rseau, systme,
scurit et communications. Elle ddie une quipe compose dun chef de projet, dun ingnieur
commercial et dingnieurs et techniciens pour la dure du projet. Toute lquipe projet de Next
Step IT est certifie par les constructeurs partenaires. Elle est constitue de techniciens et
dingnieurs certifis et forms en permanence sur ses solutions et sur les diffrentes technologies
qui touchent son mtier. Tous ses projets d'intgration passent par une phase de prparation et
planification, une phase de conception, une phase d'implmentation et migration et enfin un
transfert de comptence et une assistance au dmarrage.

 Assistance technique
Next Step IT associe la comptence technique de son quipe et les outils informatiques
ncessaires afin d'apporter l'assistance technique adquate et haute valeur ajoute ses clients.
Le professionnalisme et l'expertise de Next Step IT garantissent ses clients :
o Ractivit : les quipes interviennent directement l o on le souhaite, en fonction des
contraintes des clients:
o Efficacit : les techniciens trouvent la solution la plus approprie dans les meilleurs
dlais
o Transparence : ses interventions font lobjet de rapports et de transfert de comptence
o Savoir-faire : le problme du client est pris en charge par une quipe qualifie,
exprimente et certifie

4 | Page

Chapitre 1

Prsentation du projet

 Support et maintenance
L'efficacit du centre de support qui accompagne le client dans la maintenance de ses
solutions rseaux garantit la rsolution rapide des incidents et la matrise des volutions de la
solution. Cette efficacit rsulte de la rapidit de prise en compte de la demande et de la
comptence des intervenants qui traitent la demande

1.3. Besoin d'une solution NAC


Tout rseau informatique et particulirement un rseau d'entreprise devrait demeurer sain.
Chaque administrateur est cens authentifier, autoriser, valuer et corriger les quipements
filaires, sans fil et distants, avant de donner leurs utilisateurs un accs au rseau.
Aussi, le responsable doit reconnatre les utilisateurs, leurs appareils et leurs rles sur le
rseau. Cette premire tape intervient au niveau de la phase d'authentification, avant que
d'ventuels codes malveillants puissent endommager le systme.
Dans une seconde tape, la sret du rseau requiert la vrification de la conformit des
machines avec les politiques de scurit. Ces politiques dpendent du type d'utilisateur, du type
d'quipement ou du systme d'exploitation. En cas de non-conformit, des ractions peuvent en
rsulter : blocage, isolation et rparation.
Le dploiement d'une solution NAC (Network Admission Control ou Network Access
Control) permettra l'administrateur de bnficier de l'ensemble de ces fonctions d'une manire
plus efficace et plus performante.

1.4. Contribution
La gestion et l'administration d'une solution NAC s'effectuent d'une manire centralise.
Le noyau de toute solution similaire est le point de dcision ou la plate-forme dans laquelle sont
dfinies les politiques de scurit appliquer vis--vis du client.
Cisco Systems, leader mondial des solutions rseaux, dispose d'un ensemble de produits
servant mettre en place la solution NAC. Sa nouvelle politique tend adopter la plate-forme
ISE ( ou Identity Services Engine). Cependant, les informations disponibles sur sa mise en place
et sa configuration sont limites du moment qu'elle est rcente.
La ralisation de ce projet constitue donc une opportunit pour exprimenter cette plateforme et peut tre une occasion pour solutionner les ventuels obstacles techniques qui peuvent
tre rencontrs lors du dploiement; d'ailleurs les mmes solutions seront dployes, l'avenir,
par Next Step IT, auprs de ses clients.

5 | Page

Chapitre 1

Prsentation du projet

1.5. Planification prvisionnelle du projet


Le diagramme de Gantt suivant reproduit la planification prvisionnelle dfinie pour
l'implmentation de la solution NAC et la rdaction du rapport associ.

Fvrier

Mars

Avril

Mai

Juin

Recherche et
documentation
Prparation de
l'environnement
Rdaction du
rapport
Ralisation d'un
scnario de test
Mise en place
de la solution
Figure 2: Planification prvisionnelle

1.6. Gestion du projet


Lors de la discussion avec le reprsentant de l'entreprise, il s'est avr que les services
raliser, lesquels sont intgrs dans la solution NAC, dpendent des fonctionnalits disponibles
dans la plate-forme ISE et des besoins des clients de Next Step IT. Par consquent, notre mise en
place pourra subir de nombreuses modifications en fonction de l'avancement.
Par ailleurs, nous avons opt pour une gestion de projet Agile, mthode plutt adopte
dans les dveloppements informatiques et plus prcisment la mthode SCRUM. Ses principales
caractristiques sont :
 La transparence : un langage commun doit permettre tout observateur d'obtenir
rapidement une bonne comprhension du projet.
 L'inspection : intervalles rguliers, Scrum propose de faire le point sur les diffrentes
modifications produites, afin de dtecter toute variation indsirable.
 L'adaptation : si une drive est constate pendant l'inspection, le processus devra alors
tre adapt.

1.7. Conclusion
Dans ce qui prcde, nous avons abord le contexte gnral de notre projet et plus
prcisment l'environnement de ralisation et la gestion suivie. De mme que la prcision des
objectifs du projet par une planification prvisionnelle nous a permis d'assurer le bon
droulement et de garantir le respect des dlais.
6 | Page

CHAPITRE 2 :
TAT DE L'ART

Chapitre 2

tat de l'art

2.1. Introduction
Notre projet consistant implmenter une solution NAC base de la plate-forme Cisco
ISE, ce chapitre sera donc loccasion de mettre l'accent sur les dtails de cette solution et
particulirement la plate-forme ISE dans le but de mieux comprendre la partie ralisation qui sera
traite ultrieurement.

2.2. La solution NAC


Dans cette partie, il est utile d'une part, de rappeler le principe de fonctionnement de la
solution NAC et son architecture globale et d'autre part, d'tudier certaines solutions disponibles.

2.2.1. Principe de fonctionnement


Le contrle daccs au rseau (ou NAC) est un terme qui englobe diverses technologies
dveloppes pour contrler/restreindre laccs au rseau par les systmes dextrmit en fonction
de leur tat de sant . Lide de base est que les systmes dextrmit dangereux ou vulnrables
( en mauvaise sant ) ne doivent pas communiquer sur le rseau de lentreprise dans la mesure
o ils pourraient introduire un risque de scurit pour les processus et les services critiques. Une
solution NAC empchera un systme dextrmit en mauvaise sant daccder normalement au
rseau jusqu ce que la sant de ce systme soit assure.
Le bilan de sant dun quipement connect au rseau est galement appel valuation
du systme dextrmit. Les systmes dextrmit peuvent tre notamment des PC, des
imprimantes, des tlphones IP, des camras de scurit IP traditionnelles, etc. Cette valuation
doit permettre de dcouvrir le niveau de vulnrabilit ou de menace acceptable dun systme
dextrmit. Des lments, tels que le niveau de patch de scurit, la prsence de solutions
antivirus/anticodes malveillants, les mises jour de signatures antivirales/anticodes malveillants,
les applications en cours dexcution et les ports ouverts peuvent tous tre analyss afin de
dterminer ltat de sant global du systme dextrmit.
Aprs excution du processus dvaluation et dautorisation du systme dextrmit, s'il
s'avre que ce dernier est non conforme aux politiques de scurit du rseau, on peut lui accorder
un accs restreint ou encore le mettre en quarantaine rseau. Le processus dapplication des
politiques de mise en quarantaine fait intervenir des politiques de communication rseau trs
granulaires, cest--dire base de flux et non pas une simple affectation un VLAN. En effet,
regrouper tous les systmes dextrmit en mauvaise sant au sein du mme VLAN de
quarantaine revient les laisser sinfecter mutuellement avec de nouvelles vulnrabilits. Les
8 | Page

Chapitre 2

tat de l'art

politiques rseau dcrivent la manire dont le trafic entrant sur des ports de commutation doit
tre trait au niveau du filtrage et du balisage.
Dans le cadre dune solution NAC, la remdiation consiste rsoudre un problme des
fins de conformit avec certaines politiques prdfinies. Ce processus de remdiation permet
lutilisateur mis en quarantaine rseau de recouvrer sa conformit. Il est important que ce dernier
soit impliqu dans le processus de remdiation afin doptimiser les performances des processus
mtier. (Enterasys Secure Networks, 2007)

2.2.2. Architecture
L'implmentation d'une solution NAC ncessite l'existence d'un ensemble de
composants. Le diagramme ci-dessous montre l'ensemble de ces lments et le flux de
communication chang :

Figure 3: Architecture globale d'une solution NAC

Priphriques essayant d'accder au rseau ou "Agents" (A) : inclut les


ordinateurs portables mobiles ou qui ne se connectent que rarement, les utilisateurs invits
ou les visiteurs ainsi que les utilisateurs de rseau habituels qui tentent d'accder au rseau
d'entreprise.
Priphrique de contrle d'accs au rseau (B) : du point de vue du
priphrique demandeur, le priphrique d'accs rseau fonctionne en tant que
priphrique rseau de premier saut qui lance le traitement Posture Validation et le
processus d'authentification.
Posture Validation Server (point de dcision d'accs rseau) (C) : serveur en
arrire-plan ddi, galement appel "Posture Validation Server", qui value les rfrences

9 | Page

Chapitre 2

tat de l'art

d'authentification Posture (statut des priphriques qui requirent un accs) en fonction des
rgles de conformit.
Serveurs d'entreprise (D) : zone critique du rseau et que la solution NAC
protge des priphriques malsains, infects ou vulnrables.
VLAN de quarantaine (E) : zone de rseau protge virtuelle dans laquelle les
priphriques peuvent tre scuriss et corrigs, r-analyss, puis ils obtiennent un accs
complet au rseau d'entreprise, ou restent conservs avec un accs restreint aux ressources
de rseau telle que l'Internet. (LANDESK, 2013)

2.2.3. tude comparative des solutions disponibles


Plusieurs solutions NAC sont disponibles. Elles peuvent tre classifies sous deux
principales catgories : commerciales et libres.

 Les solutions commerciales


De nombreuses solutions existent sur le march. Les trois constructeurs suivants sont les
dominants : Cisco, Microsoft et Juniper. La solution CISCO est traite avec plus de dtails vu
qu'elle est utilise lors de la ralisation de ce projet, alors que les deux autres seront voques
brivement.
 Solution Cisco
La gamme Cisco peut tre dfinie par les caractristiques suivantes :


Intgration de lauthentification avec ouverture de session unique

Cisco NAC joue le rle de proxy dauthentification pour la plupart des formes
dauthentification, puisquil intgre de manire native Kerberos, LDAP (Lightweight Directory
Access Protocol), RADIUS, Active Directory et bien dautres solutions encore. Afin de
minimiser la gne pour les utilisateurs finaux, Cisco NAC supporte louverture de session unique
pour les clients VPN, les clients sans fil et les domaines Windows Active Directory. Le contrle
daccs base de rles permet ladministrateur de grer de multiples profils utilisateurs avec des
niveaux de permission diffrents.


valuation des vulnrabilits

Cisco NAC supporte lanalyse de tous les systmes d'exploitation Windows, de Mac OS,
des machines Linux et des quipements de rseau autres que les PCs (consoles de jeu, PDA,
imprimantes, tlphones IP, etc.). Il effectue une analyse rseau et peut, si ncessaire, utiliser des
outils danalyse personnaliss. Cisco NAC peut vrifier nimporte quelle application identifie par
ses cls de registres, les services excuts ou les fichiers systmes.
10 | Page

Chapitre 2

tat de l'art

Mise en quarantaine

Cisco NAC peut placer les machines non conformes en quarantaine pour viter la
propagation des infections tout en lui ouvrant un accs des ressources de remdiation. La
quarantaine peut seffectuer sur un sous rseau de petite taille (type /30) ou sur un VLAN de
quarantaine.


Mises jour automatises des politiques de scurit

Les mises jour automatiques des politiques de scurit fournies par Cisco dans le cadre
du service de maintenance logicielle standard permettent dobtenir des politiques prdfinies pour
les critres daccs rseau les plus courants, notamment les politiques qui vrifient les mises jour
critiques du systme d'exploitation comme des signatures antivirus et anti logiciels espions des
principaux produits du march. Cette fonction rduit les frais de gestion pour ladministrateur
rseau qui peut laisser au serveur Cisco NAC le soin de veiller la mise jour permanente des
politiques de scurit.


Gestion centralise

La console de gestion Web du Cisco NAC permet ladministrateur de dfinir les types
danalyse exigibles pour chaque rle ainsi que les outils de remdiation ncessaires aux
rparations . Une mme console de gestion peut administrer plusieurs serveurs.


Remdiation et rparation

Les fonctionnalits de quarantaine donnent aux appareils un accs des serveurs de


remdiation qui peuvent leur fournir des correctifs et des mises jour du systme d'exploitation,
des fichiers de dfinition de virus ou des solutions de scurit pour points dextrmit comme
Cisco Security Agent. Ladministrateur peut autoriser les remdiations automatiques grce
loption Cisco NAC Agent, initier le lancement automatique des mises jour Windows ou
fournir une liste de pages Web contenant les instructions de remdiation. (Cisco Systems, 2006)
 Solution Microsoft
La protection daccs rseau (NAP) est un ensemble de composants du systme
dexploitation inclus dans les systmes Windows Server 2008, 2012 et Windows Vista; cet
ensemble constitue une plate-forme permettant de sassurer que des ordinateurs clients dans un
rseau priv rpondent aux exigences dfinies par ladministrateur en matire dintgrit systme.
Les stratgies NAP dfinissent ltat de configuration et de mise jour du systme dexploitation
et des logiciels critiques dun ordinateur client.

11 | Page

Chapitre 2

tat de l'art

Les dploiements de la technologie NAP exigent des serveurs dots de Windows Server
2008 ou 2012. De plus, cela suppose que des ordinateurs clients, excutant Windows XP,
Windows Vista, Windows 7 ou Windows 8, soient disponibles.
Le serveur central charg de lanalyse de dtermination de lintgrit pour la technologie
NAP est un ordinateur dot de Windows Server 2008 ou 2012 et dun serveur NPS (Network
Policy Server). NPS est limplmentation Windows du serveur et proxy RADIUS (Remote
Authentication Dial-In User Service). Le NPS remplace le service dauthentification Internet
(IAS ou Internet Authentication Service) dans le systme dexploitation Windows Server 2003.
Les priphriques daccs et les serveurs NAP assument la fonction de clients RADIUS
pour un serveur RADIUS NPS. NPS effectue une tentative dauthentification et dautorisation
dune connexion rseau puis, en fonction des stratgies de contrle dintgrit , dtermine la
conformit de lintgrit des ordinateurs et la manire de restreindre laccs rseau dun
ordinateur non conforme. (Microsoft, 2008)

Figure 4: Architecture d'une solution Microsoft NAP

 Solution Juniper
La solution Juniper ou Unified Access Control (UAC) s'appuie sur les normes de
l'industrie, notamment 802.1X, RADIUS, IPsec et IF-MAP de TNC, lesquelles permettent
l'intgration de la solution UAC n'importe quel quipement de scurit et rseau tiers.
Elle combine l'identit des utilisateurs, le statut de scurit des dispositifs et les
informations sur lemplacement dans le rseau pour crer une stratgie de contrle des accs,
12 | Page

Chapitre
re 2

tat de l'art

unique
nique pour chaque utilisateur (qui fait quoi
q et quand?). La solution peut tre active en couche 2
laide du protocole 802.1X, ou en couche 3 via un dploiement de rseaux superposs. UAC
2.0 peut galement tre mis en uvre dans un mode mixte qui utilise le protocole 802.1X pour
contrler les admissions sur le rseau et la couche 3 pour contrler les accs aux ressources.
La solution UAC comprend Junos Pulse, Junos Pulse Access Control Service, les
passerelles Junos Pulse MAG Series, les quipements de contrle d'accs unifi IC Series, ainsi
que des points
ts de mise en application d'Unified Access Control (UAC) comprenant tous les
commutateurs ou points d'accs 802.1X conformes au protocole IF-MAP
IF MAP de larchitecture
Trusted Network Connect (TNC).
Parmi ces quipements figurent,
figurent par exemple, les commutateurss EX Series, les points
d'accs pour rseau local WLA Series et les passerelles SRX Series. (Juniper Networks, 2011)
La figure suivante prsente un exemple d'architecture pour une solution UAC :

Figure 5: Architecture de la solution Juniper UAC

 Les solutions libres


Plusieurs
ieurs solutions libres existent.
existent Les plus rpandues sont FreeNAC et PacketFence.
 FreeNAC
La solution FreeNAC effectue l'authentification via deux modes :

Mode VMPS : les machines du rseau sont identifies par leur adresse MAC. Les

utilisateurs ne sont pas authentifis dans ce mode.

Mode 802.1x : les machines du rseau peuvent tre


re authentifies par certificat et

les utilisateurs
eurs d'un domaine Windows par leur
le compte.
13 | Page

Chapitre 2

tat de l'art

L'attribution d'un VLAN est base sur l'adresse MAC d'une machine. En mode VMPS,
l'authentification et l'attribution ont lieu en une seule tape. En mode 802.1x, l'authentification
des utilisateurs (dans le domaine Windows), ou celle des machines (par certificat), se droule en
premier, et ce n'est que par la suite que l'adresse MAC est utilise pour l'attribution du VLAN.
(FreeNAC)
 PacketFence
PacketFence est une solution de conformit rseau (NAC, Network Access Control)
entirement libre, supporte et reconnue. Elle procure une liste impressionnante de
fonctionnalits tels :
 L'enregistrement des composantes rseau grce un puissant portail captif
 Le blocage automatique, si souhait, des appareils indsirables tels que les produits
Apple et Sony, bornes sans fil et autres
 L'enrayement de la propagation de vers et virus
 Le freinage des attaques sur les serveurs ou les diverses composantes du rseau
 La vrification de la conformit des postes prsents sur le rseau (logiciels installs,
configurations particulires, etc.)
 La gestion simple et efficace des invits se connectant sur le rseau
 L'authentification des utilisateurs en se rfrant au standard 802.1X
 L'isolation niveau-2 des composantes problmatiques
 L'intgration des dtecteurs d'intrusions Snort et de vulnrabilits Nessus (Marcotte,
2013)

2.3. La plate-forme Cisco ISE


Dans ce qui suit, nous allons dfinir la plate-forme Cisco ISE, la comparer avec son
prdcesseur ACS et mettre l'accent sur les principaux standards auxquels elle fait appel pour
fonctionner et nous finissons par voquer les licences requises pour bnficier de ses services.

2.3.1. Dfinition
Identity Services Engine (ISE) est la dernire gnration des plates-formes de contrle
d'accs proposes par Cisco et qui permet aux entreprises d'imposer leurs politiques de scurit
lors de l'accs, de renforcer la scurit de leurs infrastructures et de rationaliser leurs oprations
de services.
L'architecture unique de Cisco ISE permet aux entreprises de recueillir les informations
concernant les utilisateurs et les priphriques, en temps rel partir du rseau. L'administrateur
14 | Page

Chapitre 2

tat de l'art

peut ensuite utiliser ces informations pour prendre des dcisions de gouvernance proactive en
liant l'identit divers lments du rseau, y compris les commutateurs, les contrleurs de rseau
local sans fil (WLC) et les passerelles des rseaux privs virtuels (VPN).
Le schma suivant montre un exemple de dploiement de l'ISE au sein du rseau :

Figure 6: Dploiement d'une solution de contrle d'accs base sur ISE

La plate-forme ISE peut tre considre comme tant un systme de contrle d'accs
consolid, base de rgles et intgrant un sur-ensemble de fonctionnalits disponibles dans les
plates-formes existantes. Parmi ses caractristiques, on peut citer :
 Fournit un support pour la dcouverte, le profilage "profiling", le placement base de
rgles et le suivi des priphriques d'extrmit sur le rseau.
 Combine l'authentification, l'autorisation, la traabilit (AAA : authentication,
authorization, accounting), l'valuation de posture et le profilage en une seule application.
 Prend en charge l'volutivit ncessaire pour soutenir un certain nombre de scnarios de
dploiement, du petit bureau aux grands environnements d'entreprise.

2.3.2. Comparaison entre ACS et ISE


L'ACS ou Secure Access Control System est le prdcesseur de l'ISE. Le tableau suivant
prsente une comparaison entre les deux :

Support du protocole d'authentification


TACACS+ et ses services
Autorisation et authentification des
machines et des utilisateurs
Profilage intgr
Services "Guest" intgrs
Security Group Access(SGA)

Cisco ACS

Cisco ISE

Oui

Non

Oui

Oui

Non
Non
Oui

Oui
Oui
Oui

Tableau 1: Comparaison ACS vs ISE

15 | Page

Chapitre 2

tat de l'art

2.3.3. Fonctionnement
Lors de la phase d'authentification et pour communiquer avec le client ou sa machine, la
plate-forme ISE fait appel un ensemble de normes et de protocoles. Ce sont principalement :
802.1X, EAP et RADIUS.

 802.1X
802.1X est un standard qui dfinit un mcanisme d'authentification pour l'accs au
rseau. 802.1X peut tre compar au protocole PPP, largement diffus et ncessaire pour un
accs Internet utilisant un modem. Le protocole PPP s'appuie sur un mcanisme embarqu,
charg de l'authentification et pour lequel deux sous-protocoles taient proposs au choix : PAP
et CHAP. Schmatiquement, nous pourrions crire :
Accs Internet = modem + PPP + (PAP ou CHAP) + TCP/IP.
Au cas o 802.1X est utilis sur un quipement tel que le commutateur (Switch),
l'utilisateur connectant son ordinateur au rseau (filaire ou sans fil) est oblig s'authentifier avant
d'entamer toute activit. A l'issue du processus d'authentification et en cas de succs, le client
reoit un profil rseau (TCP/IP et VLAN) ainsi qu'un assortiment de rgles de scurit. (5)
Le standard 802.1X fait intervenir trois entits :
 Le client ou "supplicant" qui est typiquement un PC
 L'authentificateur (Switch, WLC)
 Le serveur d'authentification ou "authentifcation server" qui est un serveur RADIUS.
802.1x s'appuie sur EAP (Extensible Authentication Protocol) qui prsente un moyen
pour transporter un protocole d'authentification. (Vincent REMAZEILLES, 2009)

 EAP (Extensible Authentication Protocol)


Le besoin de compatibilit avec des infrastructures d'authentification diversifies et la
ncessit de disposer de secrets partags dans des environnements multiples ont conduit la
gense du protocole EAP, capable de transporter des mthodes d'authentification
indpendamment de leurs particularits.
Le protocole EAP fournit un cadre peu complexe pour le transport de protocoles
d'authentification. Un message comporte un en-tte de 5 octets et des donnes optionnelles,
comme illustr dans la figure qui suit.

16 | Page

Chapitre 2

tat de l'art

Figure 7: Datagramme EAP

Le protocole EAP est extensible puisque tout mcanisme d'authentification peut tre
encapsul lintrieur des messages EAP. Au niveau suprieur se trouvent les mthodes
d'authentification, comme TLS, MSChap, SIM, etc. La trame EAP elle-mme est encapsule
dans une trame de transport. Cette encapsulation peut seffectuer soit dans une trame EAP over
Radius, cest--dire dans une trame RADIUS, soit dans une trame EAPoL (EAP over LAN) qui
est utilise dans les rseaux locaux, en particulier les rseaux locaux sans fil de type Wi-Fi.
(Pujolle, 2008)

 RADIUS (Remote Authentication Dial-In User Server)


Quel que soit le choix du mcanisme d'authentification entre le point daccs et le serveur
d'authentification, les paquets EAP sont gnralement achemins grce au protocole RADIUS.
RADIUS est depuis longtemps le protocole AAA (Authentication, Authorization, Accounting)
le plus largement adopt. Utilis par les ISP pour authentifier les utilisateurs, il est principalement
conu pour transporter des donnes d'authentification, dautorisation et de facturation entre des
NAS (Network Access Server) distribus, qui dsirent authentifier leurs utilisateurs et un serveur
d authentification partag.
RADIUS utilise une architecture client-serveur qui repose sur le protocole UDP. Les
NAS, qui jouent le rle de client, sont responsables du transfert des informations envoyes par
lutilisateur vers les serveurs RADIUS. Ces derniers prennent en charge la rception des
demandes dauthentification, l authentification des utilisateurs et les rponses contenant toutes
les informations de configuration ncessaires aux

NAS. Les serveurs RADIUS peuvent

galement agir comme proxy pour dautres serveurs RADIUS.


Si un quipement mobile a besoin daccder au rseau en utilisant RADIUS pour
l'authentification, il doit prsenter au NAS des crdits d'authentification (identifiant utilisateur,
mot de passe, etc.). Ce dernier les transmet au serveur RADIUS en lui envoyant un ACCESSREQUEST. Le NAS et les proxys RADIUS ne peuvent interprter ces crdits d'authentification
car ces derniers sont chiffrs entre lutilisateur et le serveur RADIUS destinataire. la rception
17 | Page

Chapitre
re 2

tat de l'art

de cette requte, le serveur RADIUS vrifie l'identifiant du NAS puis les crdits d'authentification
de lutilisateur
lisateur dans une base de donnes LDAP (Lightweight Directory Access Protocol) ou
autre.
Les donnes dautorisation changes entre le client (le NAS) et le serveur RADIUS sont
toujours accompagnes dun secret partag. Ce secret est utilis pour vrifier
vrifie lauthenticit et
lintgrit de chaque paquet entre le NAS et le serveur.
serveur (Pujolle, 2008)

 802.1X - EAP - RADIUS


Les messages EAP transportent les changes dauthentification entre le client et le serveur
d'authentification. Le Switch ne fait que les relayer, toutefois de part et dautre du Switch, les
messages EAP ne sont pas transports de la mme faon. Entre le client et le Switch, EAP est
directement dans la charge utile des trames Ethernet. Entre le Switch et le serveur RADIUS,
EAP est transport dans les messages RADIUS. La figure suivante explique les deux
encapsulations :

Figure 8: Encapsulation des messages EAP

2.3.4. Licences
La stratgie des licences suivie par Cisco vise minimiser le nombre de licences
commander en combinant les diffrents services. Actuellement, quatre paquets de licence ISE
CISCO sont disponibles : Base, Advanced, Plus et Wireless.. La licence d'valuation est incluse
in
dans la plate-forme ISE, offrant tous les services pour une dure de trois mois. La licence
commander reste valide durant un, trois ou cinq ans. Le tableau qui suit expose les diffrents
services et les licences correspondantes.

18 | Page

Chapitre 2

tat de l'art

Services de ISE CISCO


Services RADIUS incluant dot1x et MAB
Authentification WEB
MACsec
Portail "Guest" & services du sponsor
Posture
Security Group Access
Services de protection des terminaux
Mobile Device Management(MDM)
Enregistrement des priphriques via portail
Profilage
Profiler feed service
Services RESTful externes

Licences
Base - Wireless
Base - Wireless
Base - Wireless
Base - Wireless
Advanced - Wireless
Plus - Advanced - Wireless
Plus - Advanced - Wireless
Advanced - Wireless
Plus - Advanced - Wireless
Plus - Advanced - Wireless
Plus - Advanced - Wireless
Base - Wireless

Tableau 2: Les services de l'ISE et les licences correspondantes

2.4. Conclusion
Dans ce prsent chapitre, nous avons essay de mettre en relief le principe de
fonctionnement de toute solution NAC, son architecture globale ainsi que les diffrentes
solutions disponibles; nanmoins, nous nous sommes attards sur une solution particulire
propose par Cisco Systems, savoir la plate-forme ISE.
La mise en place de cette plate-forme et la dfinition des politiques de scurit dpendent
de l'architecture et de la nature du rseau protger, tels que type d utilisateurs, quipements
dploys et sous-rseaux existants.

19 | Page

CHAPITRE 3 :
RALISATION

Chapitre 3

Ralisation

3.1. Introduction
Aprs avoir achev les notions thoriques, nous passons la mise en place de notre
solution, laquelle reprsente notre tche principale. Au cours de ce chapitre, nous nous
attarderons sur les diffrentes configurations requises pour assurer le contrle d'accs des
utilisateurs des rseaux filaire et sans fil. Ceci revient essentiellement paramtrer la plate-forme
ISE, le commutateur ainsi que le contrleur du rseau sans fil ou le WLC.

3.2. Architecture du rseau


Afin d'implmenter notre solution, nous avons besoin d'une part, de deux quipements et
d'autre part, de quatre machines virtuelles.
Les quipements requis sont :
 Un commutateur (Switch)
 Un point d'accs
Les machines virtuelles requises serviront installer :
 Un contrleur de domaine
 Deux plates-formes Cisco ISE
 Un contrleur du rseau local sans fil (WLC)
L'installation des machines virtuelles s'est droule sur le serveur de l'entreprise, lequel est
dot des caractristiques suivantes :

Figure 9: Rsum sur les caractristiques du serveur

21 | Page

Chapitre 3

Ralisation

Leur dploiement s'effectue au sein du rseau existant de l'entreprise. Par consquent, le


choix des adresses est reli au plan d'adressage disponible ; les adresses utiliser doivent
appartenir au rseau 172.25.0.0 et ayant comme masque 255.255.255.0 .
La figure ci-dessous explique l'architecture suivie.

Figure 10: Architecture du rseau

22 | Page

Chapitre 3

Ralisation

3.3. Installation et intgration de Cisco ISE et Active Directory


Avant d'entamer la configuration des trois principaux lments de notre solution, nous
devrions passer par la prparation du terrain dans lequel la solution sera dploye. Ceci consiste
essentiellement :
 Installer le contrleur de domaine.
 Installer et intgrer deux plates-formes ISE.
 Joindre les deux plates-formes au contrleur.

3.3.1. Installation du contrleur de domaine (Active Directory)


Active Directory est un service d'annuaire, ou contrleur de domaine, permettant de
rfrencer et d'organiser des objets tels que les comptes utilisateurs ou encore les autorisations et
ce l'aide de groupes de domaine. Les informations peuvent ainsi tre centralises dans un
annuaire de rfrence afin de faciliter l'administration du rseau.
Le domaine reprsente l'unit de base charge de regrouper les objets qui partagent un
mme espace de nom. Par consquent, notre domaine repose sur un systme DNS.
Le serveur DNS et le contrleur Active Directory sont deux rles ajouter Windows
Server.

Figure 11: Ajout des rles DNS et Active Directory

Le nom de domaine que nous avons choisi est : NSIT.local (abrviation du nom de
l'entreprise : Next Step IT)

3.3.2. Installation et intgration de deux plates-formes Cisco ISE


L'installation de l'ISE s'est droule sur l'un des serveurs de l'entreprise ayant comme
hyperviseur VMware ESXi. Nous y accdons l'aide de VMware vSphere Client.

23 | Page

Chapitre 3

R
Ralisation

En premier lieu, nous devons tlcharger l'image .iso


.
sur la banque de donnes
"datastore" du serveur.

Figure 12:
12 Tlchargement de l'image .iso sur la datastore

La plate-forme
forme ISE requiert une machine virtuelle ayant au minimum les caractristiques
suivantes :
 Mmoire vive de 4 GB
 Mmoire disque de 200 GB
 4 processeurs (CPUs)
 Deux cartes rseaux (2 NIC)
Lors du premier dmarrage de la machine, certaines donnes ont t saisies pour
commencer l'installation, parmi lesquelles nous pouvons citer :
 ise-cisco2 : nom de la machine lequel,
lequel sera ajout ultrieurement aux DNS et
Active Directory
 172.25.0.201 : adresse IP prive de la machine
 255.255.255.0 : masque de sous-rseau
 172.25.0.254 : passerelle par dfaut
 nsit.local : nom de domaine que nous avons choisi
 172.25.0.27 : adresse IP du serveur NTP (Network Time Protocol) permettant de
synchroniser l'horloge de la plate-forme.
plate forme. Un serveur NTP a t install sur Windows
Server et sur lequel pointe l'ISE.

24 | Page

Chapitre 3

Ralisation

Figure 13: Paramtres de configuration rseau lors de l'installation

La machine contenant la plate-forme ISE est appele "node". Elle peut fonctionner selon
deux modes :

Standalone : dploiement d'une seule plate-forme assurant les diffrents services

Primaire-secondaire : dploiement distribu, permettant la sparation des services et le


basculement "failover" entre les deux nuds.
Pour assurer la haute disponibilit, nous avons opt pour la mise en place de deux

plates-formes ISE. Leur intgration ncessite une authentification mutuelle base sur les
certificats : chacune possde son propre certificat, lequel doit tre gnr par l'autorit de
certification (Certificate Authority). Dans notre cas, l'autorit est reprsente par le contrleur de
domaine. La gnration du certificat est offerte par le service de certificats Active Directory.

Figure 14: Ajout des services de certificats Active Directory

Ce

service

est

accessible

https://172.25.0.27/certsrv

via

une

interface

WEB

l'adresse

suivante

o 172.25.0.27 reprsente l'adresse du serveur Windows. La

capture d'cran qui suit reprsente l'interface Web du service.

25 | Page

Chapitre 3

R
Ralisation

Figure 15:: Interface WEB du service de certificats Microsoft Active Directory

L'ajout du certificat d'autorit de certification s'effectue manuellement. Nous l'avons


tlcharg partir de l'interface Web
W et joint aux plates-formes
formes pour assurer la reconnaissance
des deux certificats.

Figure 16: Importation du certificat d'autorit de certification dans la plate-forme


plate
ISE

L'tape suivante consiste gnrer les demandes des certificats "Certificate Request"
partir de l'ISE afin de les traiter au niveau du service des certificats Active Directory.
Director Le fichier de
la demande est par la suite ouvert avec un diteur de texte et son contenu est coll au service
appropri. Le modle de certificat choisir est "Serveur Web".

Figure 17:: Gnration du certificat par le service des certificats AD

26 | Page

Chapitre 3

R
Ralisation

Figure 18:: Dtails du certificat gnr pour le deuxime nud

Aprss avoir ajout chaque certificat la plate-forme


plate forme correspondante, nous sommes
mme de les intgrer. L'enregistrement de la plate-forme
plate rme secondaire au niveau de la primaire
ncessite la spcification de son FQDN (ise-cisco2.nsit.local)
(ise cisco2.nsit.local) et des donnes d'authentification de
l'administrateur. Il est prciser que l'intgration des deux plates-formes
plates formes exige une conformit
d'horloge (NTP).

Figure 19: Enregistrement du nud secondaire

Le nud peut assurer un ou plusieurs des services suivants :




Administration : permet de manipuler les configurations systmes relies aux


fonctionnalits telless que l'authentification et l'autorisation.

Monitoring : fournit les services de journalisation "log" et des outils de dpannage


"troubleshooting" avancs

Services de la politique "Policy Service" : fournit l'accs au rseau, la validation de


posture, l'accs dess visiteurs "Guests", "client provisioning" et les services de profilage.
Dans un dploiement assurant la haute disponibilit, le nud administratif primaire est le

seul nud actif, et sur lequel s'effectuent tous les changements. Le nud secondaire est en tat
d'attente "standby" et reoit d'une manire continue la configuration du nud principal.
27 | Page

Chapitre 3

Ralisation

Par consquent, il possde toujours une copie complte de la configuration. Au cas o le nud
primaire est devenu hors service, le responsable doit se connecter l'interface du nud
secondaire et le promouvoir pour pouvoir configurer les rgles.

3.3.3. Jointure des deux plates-formes au contrleur Active Directory


L'intgration du contrleur avec la plate-forme ISE sera utile lors de la phase
d'authentification. En effet, l'authentification peut tre effectue partir d'une source externe et
ce en s'appuyant sur les comptes utilisateurs et leurs groupes respectifs.
La plate-forme doit tre reconnue au niveau du contrleur comme tant une machine.
Son FQDN (ise-cisco.nsit.local) doit aussi tre rsolu. Ceci nous conduit ajouter un hte au
niveau du serveur DNS, sinon une alerte s'affichera sur la plate-forme .

Figure 20: Ajout des machines au serveur DNS

La requte de jointure requiert la saisie des coordonnes du compte de l'administrateur du


domaine ou celles d'un compte ayant les permissions d'ajout des machines et d'accs la liste des
groupes et utilisateurs.

Figure 21: Jointure des plates-formes ISE Active Directory

Une fois la jointure russie, et en consultant la liste des machines existantes sur le
contrleur, nous pouvons constater que la machine sur laquelle est installe Cisco ISE est
automatiquement additionne.

Figure 22: Ajout des plates-formes la liste des machines

28 | Page

Chapitre 3

Ralisation

Aprs avoir effectu la jointure Active Directory, nous devons importer les groupes
permettant d'authentifier les utilisateurs du domaine et servant affecter le profil d'autorisation
appropri chaque utilisateur. Pour afficher les groupes dont on a besoin, il faut taper leurs
noms, autrement il faut taper "*" pour lister les groupes existants. La figure qui suit montre
l'importation du groupe "Utilisateurs du domaine".

Figure 23: Ajout d'un groupe d'utilisateurs Active Directory l'ISE

3.4. Configuration de l'ISE


La configuration de l'ISE se rsume principalement la configuration des politiques
d'authentification, de "Client Provisioning" et posture et d'autorisation.

3.4.1. Authentification
Les politiques d'authentification dfinir au niveau de l'ISE servent identifier les
diffrents utilisateurs ou machines demandant l'accs au rseau et ce en s'appuyant sur un
ensemble de protocoles tels que Password Authentication Protocol (PAP), Challenge-Handshake
Authentication Protocol (CHAP), Extensible Authentication Protocol (EAP) et Protected
Extensible Authentication Protocol (PEAP). Lors de l'ajout de la rgle, nous devons choisir les
protocoles permis pour une telle mthode d'authentification et la source des identits (Identity
Store).
Les sources qui peuvent tre utilises sont les suivantes :
 Utilisateurs internes
 Utilisateurs "Guest" (groupe d'utilisateurs dfini sur la plate-forme)
 Terminaux internes
 Active Directory
 Bases de donnes LDAP
 RADIUS Token Server
29 | Page

Chapitre 3

R
Ralisation

Trois mthodes d'authentification sont supportes


support par l'ISE :
 802.1X (abord au cours du chapitre prcdent)
 MAC Authentication Bypass (MAB) : certains priphriques, tels que l'imprimante
rseau et le tlphone IP,
IP ne supportent pas l'authentification 802.1X. Dans ce cas,
elle pourra tre effectue en se rfrant l'adresse MAC
 L'authentification
'authentification Web via un portail captif
Les rgles d'authentification qui ont t dfinies
d
se limitaient
ent aux deux premires
mthodes.. La premire rgle permet
pe
de vrifier l'existence des adresses MAC des priphriques
dans la liste interne. Cette rgle sera aussi utile pour la troisime mthode,, laquelle est reporte
la phase d'autorisation. La seconde rgle sert authentifier les comptes
comptes utilisateurs, en premier
lieu partir du contrleur
leur Active Directory,
Directory puis partir de la liste interne. En d'chec
d'authentification pour un
n utilisateur de domaine, la seconde rgle donne la possibilit de tester
avec un utilisateur local. Ceci nous permettra
permettra de mieux localiser la dfaillance ; il pourrait s'agir
d'une erreur d'intgration avec Active Directory ou d'une erreur au niveau de l'authentification en
se rfrant au domaine.

Figure 24: Rgles d'authentification

Afin d'autoriser plus qu'une source d'authentification pour une seule rgle, il a fallu
ajouter une squence de source d'identit ou "Identity Source Sequence" permettant de vrifier
les identits
ts en consultant les sources par ordre. La figure suivante montre la squence dfinie :

Figure 25:: Dfinition de la squence "Use_AD_then_local"

30 | Page

Chapitre 3

R
Ralisation

Il est possible de dfinir des rgles avec des conditions simples ou composes. Une
condition simple est base sur un oprande, un oprateur tels que "equal to" et "not equal to"
ainsi qu'une valeur. Ces conditions peuvent tre dfinies au niveau de la librairie et appeles
directement lors de la dfinition de la rgle pour une meilleure organisation. Une condition
compose rassemble deux conditions simples ou plus avec un oprateur OR ou AND. La figure
suivante montre le rassemblement de deux conditions
conditions existantes dans la librairie avec un
oprateur OR pour la rgle "MAB".
AB".

Figure 26: Condition compose (exemple : MAB)

Une fois l'authentification russie, la session procde la phase d'autorisation. Des


options offertes par l'ISE permettent de vrifier la conformit avec les politiques d'autorisation
mme en cas d'chec d'authentification. Ces options sont indispensables
indispensables pour faire fonctionner
l'authentification WEB. L'authentification MAB sera considre comme russie mme si l'adresse
MAC de la machine est introuvable. Ceci est ralisable en changeant l'action "Continue" pour
po
l'option "If user not found", comme indiqu
indi
sur la figure qui suit.

Figure 27:: Succs de l'authentification au cas o l'adresse MAC est introuvable

La dfinition des rgles repose sur les attributs du protocole RADIUS. Les attributs
constituent le principe le plus important du protocole Radius, aussi bien dans sa version initiale
que pour ses extensions. Les champs attributs sont le fondement du protocole. Par consquent, la
bonne comprhension de leur signification et de leur rle est indispensable pour tirer le meilleur
parti de Radius. Chaque attribut
but possde un numro appropri,
appropri auquel est associ un nom. Il
existe un grand nombre dattributs dans le protocole Radius, mais peu dentre eux sont utiles

31 | Page

Chapitre 3

R
Ralisation

dans le cas qui nous proccupe ici :




User-Name : cet attribut


ttribut est envoy par le NAS et contient lidentifiant qui va servir de
point dentre dans la base du serveur dauthentification

User-Password : il sagit
agit du mot de passe associ User-Name,
Name, transmis par le NAS. Le
serveur dauthentification valide ce mot de passe en fonction de la valeur enregistre dans
sa base de donnes

NAS-Port : ill sagit du numro de port du NAS sur lequel est connect le poste de
travail. Cet attribut est transmis par le NAS. Son utilisation permettra dauthentifier un
poste de travail condition quil soit connect via ce numro de port. Dans le cas dun
commutateur, il sagit du port physique sur lequel est connect le poste de travail.
travail

Service-Type : indique
ndique le type de service demand ou le type de service fournir. Pour
une utilisation avec la norme 802.1X, seulement les valeurs Framed, Authenticate Only
et Call check ont un sens.
A titre d'exemple, la condition prdfinie "Wired_802.1X" affecte les valeurs suivantes

aux attributs Service-Type


Type et NAS-Port
NAS
:


Figure 28:: Attributs RADIUS de l'authentification DOT1X sur le rseau filaire

3.4.2. Posture & Client Provisioning


Les services de posture fournis par Cisco ISE permettent de vrifier la disponibilit des
dernires mises jour au niveau de la machine du client ou l'existence de certaines applications
tels que les anti-virus
virus et les anti-spywares.
anti
Afin d'valuer la machine, le client doit disposer de l'un
de ces deux Agents :


Cisco NAC Web Agent : un agent temporaire que les clients installent
installe lors du login et
qui disparait une fois la session de login termine. Il est recommand pour des utilisateurs
ayant un accs pour une priode bien dtermine.

Cisco NAC Agent : un agent persistant qui, une fois


is install, subsiste sur une machine
Windows ou Mac pour permettre l'valuation lors des prochaines connexions. Il est
gnralement utilis avec les utilisateurs du domaine.

32 | Page

Chapitre 3

Ralisation

Par ailleurs, ces agents peuvent faciliter la remdiation des machines en affichant un
message expliquant la procdure et en fournissant des fichiers tlcharger et installer. La plateforme ISE donne la possibilit de rediriger les clients vers une page de tlchargement des agents
pour ceux qui n'en disposent pas et ce grce une option configurer au niveau du profil
dautorisation. Ce service est appel "Client Provisioning". La figure qui suivra expose les rgles
de "Client Provisioning" dfinies : la premire fournit l'agent temporaire "Web Agent" aux invits
"Guests", alors que la deuxime fournit l'agent persistant aux autres utilisateurs qui sont
principalement les membres du domaine. Il est prciser que l'ordre des rgles est primordial
pour assurer une bonne affectation. Par exemple, en inversant l'ordre, tous les utilisateurs
tlchargeront l'agent persistant et la deuxime rgle ne sera jamais applique.

Figure 29: Rgles du Client Provisioning

Pour pouvoir choisir l'agent appropri, nous avons d le tlcharger directement sur la
plate-forme et ce partir du site Cisco . Par consquent, le nom de domaine cisco.com doit tre
rsolu partir de l'ISE. La liste qui suit prsente des versions multiples des deux types d'agents
NAC, temporaires et persistants.

Figure 30: Exemples de la liste des agents NAC

Aprs avoir fourni les agents permettant l'valuation de posture aux clients, nous devons
procder la phase de dfinition des rgles de posture. Une rgle s'crit :
Si condition(s) alors exigence
Aussi, une exigence peut tre dcompose comme suit :
Si condition(s) alors action de remdiation

33 | Page

Chapitre 3

R
Ralisation

Dans une rgle d'exigence, une


u condition simple peut tre :
 un fichier : vrifier l'existence d'un fichier, la date du fichier ainsi que sa version
 un registre : s'assurer de l'existence d'une cl de registre ou la valeur de la cl
 une application : vrifier si une application est en train de fonctionner
 un service : vrifier si un service est en excution
Nous pouvons aussi former une condition compose base de conditions simples ou
composes. En outre,, des conditions composes intgres
intgr s avec l'ISE existent : Antivirus et
Antispywares.. Lors de l'ajout d'une condition d'antivirus et aprs le choix du systme
d'exploitation, la liste des vendeurs s'affiche :

Figure 31: Liste des vendeurs d'antivirus

Pour une telle condition, Cisco ISE donne la possibilit d'examiner la machine pour
p
vrifier l'existence de l'antivirus ou mme la disposition d'une version rcente. Ceci est ralisable
en analysant le fichier de dfinition de la version par les Agents NAC.. En consquence, les
versions reconnues par l'ISE doivent tre mises jour continuellement.

Figure 32:
32 Champs remplir d'une condition d'antivirus

34 | Page

Chapitre 3

Ralisation

Comme l'entreprise Next Step IT est un revendeur des produits Mcafee, nous avons opt
pour l'utilisation de ce vendeur dans la dfinition de la rgle. Tout utilisateur demandant l'accs au
rseau doit disposer d'une version de l'antivirus Mcafee.

Figure 33: Choix des produits Mcafee dans la condition d'antivirus

Aprs avoir dfini la condition d'antivirus, nous devons choisir l'action de remdiation. Il
est possible de permettre l'accs des adresses IP bien dfinies servant tlcharger et mettre
jour l'anti-virus tel que le site officiel de Mcafee et ce lors de la dclaration de la liste d'accs
(ACL), ou d'offrir le fichier excutable directement. Dans notre cas, nous avons import le
fichier d'installation de l'antivirus sur la plate-forme pour qu'il soit tlchargeable directement.

Figure 34: Ajout du fichier de remdiation

Comme la condition d'antivirus et l'action de remdiation ont t ajoutes, il est possible


de dfinir la rgle d'exigence ou "requirement". Cette rgle sera utile pendant la dfinition de la
rgle de posture.

35 | Page

Chapitre 3

Ralisation

Figure 35: Dfinition de la rgle d'exigence

Avec le fichier de remdiation, nous avons la possibilit d'afficher un message expliquant


la procdure et la cause de non-conformit. Dans notre cas, le message suivant sera affich :

Figure 36: Affichage d'un message avec l'agent NAC

La rgle de posture dfinie exige la disposition d'un antivirus Mcafee pour tous les
utilisateurs de l'environnement Windows en faisant appel celle qui vient d'tre dclare et
nomme "Mcafee".

Figure 37: Rgle de posture

Aprs avoir eu accs, un client peut dsinstaller son anti-virus, ou d'une autre manire,
dtourner la rgle dfinie. Ceci nous oblige revrifier la machine priodiquement. Dans notre
cas, nous avons appliqu une rvaluation rgulire d'une heure comme dcrit dans la figure
suivante.

Figure 38: Rvaluation rgulire

36 | Page

Chapitre 3

Ralisation

3.4.3. Autorisation
Les politiques d'autorisation dfinir mettent en application les politiques
d'authentification et de posture ; ces politiques sont dclares comme tant des conditions. Sur la
base de ces conditions, l'utilisateur aura l'autorisation approprie. Pour rsumer, une rgle
d'autorisation s'crit :
Si conditions (attributs ou groupes d'utilisateurs) alors permissions (profil
d'autorisation).
Dans notre cas, nous avons besoin des attributs d'authentification et de posture ainsi que
des groupes d'utilisateurs. Afin de vrifier l'tat de la machine par rapport la rgle de posture,
nous avons recours l'attribut "PostureStatus" . Cet attribut peut avoir trois valeurs :


Unknown : aucune donne n'a t obtenue pour valuer la machine; l'agent NAC n'est
pas disponible

Noncompliant : la machine n'est pas conforme avec une ou plusieurs rgles

Compliant : la machine est conforme avec les rgles


Afin de vrifier l'identit de l'utilisateur du domaine, nous avons recours l'attribut

"ExternalGroups" et ce en prenant comme valeur le nom d'un groupe du domaine.


Les utilisateurs inscrits sur le portail captif sont affects directement un groupe
d'utilisateur nomm "Guest", lequel peut tre exploit lors de l'ajout de la rgle.
Avant d'additionner une rgle, nous devons crer le profil d'autorisation associ. Dans un
tel profil, nous avons le choix entre plusieurs options telles que l'affectation un VLAN, la
redirection vers un URL (portail d'authentification Web, portail de Client Provisioning, URL
externe, etc.), base d'une liste de contrle d'accs, et mme l'application d'un ACL sur le port
du commutateur.
A titre d'exemple, nous avons cr le profil d'autorisation CWA permettant de rediriger
les utilisateurs vers le portail captif en se rfrant la liste d'accs dfinie au niveau des WLC et
Switch et sur laquelle on s'attardera ultrieurement.

Figure 39: Profil d'autorisation CWA

37 | Page

Chapitre 3

R
Ralisation

Aprs avoir termin la cration des profils, nous pouvons dfinir les rgles. Ces rgles
autorisent l'accs aux utilisateurs authentifis au domaine ou via le portail Web et ayant des
machines conformes aux rgles de posture. Un
Un utilisateur de domaine ne disposant pas de l'agent
NAC ou non conforme avec les politiques de posture est redirig vers la page de Client
Provisioning . Sinon, l'utilisateur est redirig vers le portail Web incluant une phase de validation
de posture.

Figure 40: Rgles d'autorisation

3.5. Configuration du Switch


Dans cette partie, nous allons nous intresser la configuration du Switch
witch qui reprsente
l'authentificateur pour les utilisateurs du rseau filaire.
filaire En effet, le commutateur jouera le rle
d'intermdiaire entre le serveur RADIUS (ISE) et le client.
Tout au long de la mise en place de notre solution, nous avons travaill avec trois
modles diffrents, savoir le Cisco Catalyst 3560, le Cisco Catalyst 3650 et le Cisco Catalyst
2960 et ce selon la disponibilit de l'un ou de l'autre,
l'autre autrement dit, selon les diffrents besoins
des employs de l'entreprise.

Figure 41: Cisco Catalyst 3650

Afin d'accder au Switch, nous pouvons nous connecter directement en utilisant un cble
console ou distance via SSH. Le service SSH est par dfaut dsactiv au niveau du
commutateur.
38 | Page

Chapitre 3

Ralisation

Pour l'activer, nous avons recours aux commandes suivantes :


 crypto key generate RSA : gnrer la cl de chiffrement
 line vty 0 4 : permettre quatre sessions d'accs distance simultanment
 transport input ssh : activer le service SSH au lieu de Telnet
 username <nom d'utilisateur> password <mot de passe> : spcifier les donnes
d'authentification
Il est rappeler que des ports existant sur un commutateur peuvent fonctionner selon
diffrents modes. Dans les deux sections qui vont suivre nous allons voquer, en premier lieu, la
configuration globale s'appliquant sur la totalit du Switch et en second lieu, nous procdons la
configuration de l'interface.

3.5.1. Configuration globale


La commande aaa new-model permet d'activer les fonctions d'authentification,
d'autorisation et de comptabilit du Switch . Les commandes qui suivront dfinissent les services
du serveur RADIUS qui aura la charge d'authentifier les utilisateurs, de leur affecter des profils
d'autorisation bass sur les listes d'accs ou les VLANs et de garder une trace sur leur activit :
 aaa authentication dot1x default group radius
 aaa authorization network default group radius
 aaa accounting dot1x default start-stop group radius
La commande suivante dont nous avons besoin est dot1x system-auth-control servant
activer le 802.1x pour tout le Switch. Aprs avoir activ le AAA et dot1x, il est ncessaire de
dclarer l'adresse du serveur RADIUS fournissant les services demands ainsi qu'une cl
dauthentification. Cette dclaration est effectue l'aide de la commande radius-server host
172.25.0.200 key nextstep o 172.25.0.200 et nextstep reprsentent respectivement l'adresse IP
de Cisco ISE et la cl d'authentification entre le commutateur et le serveur, laquelle est
mentionne lors de l'ajout du Switch la liste des priphriques rseaux au niveau de l'ISE.
Les ordres d'application des ACLs au niveau des ports, d'affectation des interfaces aux
VLANs ou mme de redirection vers des URLs mis du Cisco ISE au Switch, font appel un
ensemble d'attributs avancs du protocole RADIUS nomms VSA (Vendor Specific Attribute) .
Ces attributs sont changs lors de l'attribution des profils d'autorisation. Afin de bnficier de
ces fonctionnalits, il est indispensable d'appliquer les commandes radius-server vsa send
accounting et radius-server vsa send authentication. La figure suivante reprsente les
diffrentes commandes cites prcdemment, tant prcis que la commande de dclaration du
39 | Page

Chapitre 3

Ralisation

serveur a t saisie deux fois, la premire incluant l'adresse du nud primaire alors que la seconde
inclut l'adresse du nud secondaire.

Figure 42: Commandes globales saisies au niveau du Switch

Un utilisateur tentant d'accder au rseau peut, en premier lieu, avoir un accs restreint
pour raison de non-conformit et ce avant d'avoir un accs plus tendu. Cela se traduit par
l'affectation de multiples profils d'autorisation pour une mme session. Afin de supporter les
requtes de changement du profil d'autorisation manant de l'ISE, le CoA (Change of
Authorization) doit tre activ au niveau du Switch l'aide de la commande aaa server radius
dynamic-author. Aussi, l'adresse du serveur mettant les requtes doit tre spcifie en tapant la
commande client <server ip-address> server-key <server-key string>.

Figure 43: Activation du CoA au niveau du Switch

Lors de la dfinition des profils d'autorisation, il est possible de rediriger les utilisateurs
vers la page Web du portail captif pour s'authentifier ou vers la page de tlchargement des
agents NAC. Dans ce cas, le Switch interceptera le flux HTTP et rpondra la commande GET
de HTTP avec l'URL spcifi, tant rappel que ces URLs sont envoys de l'ISE au Switch via
les attributs VSA. Pour assurer cette fonction de redirection, il est indispensable d'activer les
services HTTP et HTTPS via les commandes ip http server et ip http secure-server.

Figure 44: Activation de HTTP et HTTPS

40 | Page

Chapitre 3

Ralisation

Pour savoir quel trafic rediriger, Cisco ISE rfre une liste d'accs dclare au niveau du
Switch ; tout flux ayant comme raction "permit" doit tre redirig . Il est prciser que tout
trafic rediriger autre que HTTP et HTTPS sera rejet. Le tableau suivant expose les diffrentes
rgles dclares sous la liste d'accs :
Entres de l'ACL

Description

deny udp any eq bootpc any eq bootps

Refuser tout trafic DHCP

deny udp any any eq domain

Refuser tout trafic DNS

deny udp any host 172.25.0.200 eq 8905

Refuser tout trafic sur le port 8905 consacr

deny tcp any host 172.25.0.200 eq 8905

la communication Nac Agent - ISE

deny tcp any host 172.25.0.200 eq 8443

Refuser tout trafic sur le port 8905 ddi aux


portails CWA et CPP

deny tcp any host 172.25.0.200 eq 8909

Refuser tout trafic sur le port 8905 ddi au

deny udp any host 172.25.0.200 eq 8909

"client provisioning"

permit ip any any

Permettre tout autre trafic

Tableau 3: Entres de l'ACL de redirection

Cette figure rassemble les diffrentes entres de l'ACL de redirection.

Figure 45: ACL de redirection

3.5.2. Configuration de l'interface


Une fois la configuration globale est acheve, nous procdons la configuration de
l'interface permettant de mettre en application les politiques d'authentification dfinies
prcdemment et ce au niveau de Cisco ISE.
Le commutateur offre la possibilit de dfinir plus qu'une mthode d'authentification sur
un mme port. Cependant, l'ordre de vrification devrait tre mentionn. Dans notre cas, nous
avons recours aux deux mthodes, MAB et Dot1x. L'authentification Web est incluse avec
l'authentification MAB.
41 | Page

Chapitre 3

R
Ralisation

Le diagramme suivant rcapitule les mthodes d'authentification suivies :

Figure 46:
46 Diagramme des mthodes d'authentification

Nous commenons par affecter l'interface au VLAN 340 utilis pour le rseau local de
l'entreprise et la faire fonctionner en mode Access du moment qu'un PC sera directement
connect.
Afin d'activer l'authentification 802.1X sur le port et interdire tout trafic sauf celui du
protocole EAPOL (Extensible
Extensible Authentication
Auth
Protocol over LAN),
), nous utilisons la commande
dot1x port-control auto. En combinant cette commande avec la commande dot1x pae
authenticator, le Switch devrait initier l'authentification ds le branchement du cble, autrement
dit, ds que l'interface change son tat de "down" "up".
Pour que l'authentification MAB (Mac Authentication Bypass) soit active, il suffit de
taper la commande mab tout court.
A cet instant, les deux mthodes d'authentification sont actives et il nous reste
favoriser le dot1x par rapport au MAB. Ceci est ralisable l'aide la commande authentication
order dot1x mab.

42 | Page

Chapitre 3

Ralisation

La figure suivante regroupe les diffrentes commandes appliques l'interface :

Figure 47: Configuration de l'interface

3.6. Configuration du WLC


Une seconde catgorie d'utilisateurs peut accder au rseau : ce sont les utilisateurs du
rseau sans fil . Leurs machines doivent tre connectes au point d'accs, lequel peut fonctionner
selon deux modes :
 Mode lger (Lightweight) : dans une architecture centralise, le point d'accs
fonctionne en mode lger ; le contrleur du rseau local sans fil ou Wireless LAN Controller
(WLC) auquel est connect, gre la configuration et contrle les transactions.
 Mode autonome : chaque point d'accs est configur sparment et contrle son propre
trafic.
Un WLC Cisco peut tre dploy en tant qu'quipement ou sur une machine virtuelle
(virtual WLC). Dans ce projet, le contrleur a t install sur une machine ; un fichier ayant
l'extension .OVA, et tlcharg partir du site officiel,

a t import sur le serveur de

l'entreprise. La figure suivante reprsente un WLC Hardware :

Figure 48: Cisco 2500 Series Wireless Controller

43 | Page

Chapitre 3

R
Ralisation

Le modle de point d'accs utilis est Cisco Aironet 1041N. Il a t branch sur une prise
RJ45 pour pouvoir communiquer avec le contrleur install sur le serveur.

Figure 49: Cisco Aironet 1041N

Aprs lui avoir affect une adresse IP et prcis l'adresse du WLC, le point d'accs est
automatiquement dtect au niveau du contrleur grce au protocole CAPWAP.

Figure 50: Dtection du point d'accs au WLC

Les utilisateurs tentant de bnficier de l'accs sans fil se classifient sous deux catgories,
les utilisateurs temporaires (ou visiteurs) et les utilisateurs persistants appartenant au domaine.
Cela se traduit par la diffusion
fusion de deux SSID diffrents ; chaque WLAN possde ses propres
politiques de scurit.

Figure 51: Diffusion de deux SSID

Le premier SSID diffus "PFE-NSIT"


"PFE NSIT" est ddi aux visiteurs, sur lequel nous devons
activer le filtrage par adresse MAC quivalent l'authentification MAB. Bien
Bien que la machine ne
soit pas connue par l'ISE,
SE, elle sera considre comme tant authentifie avec l'option "If user not
found" configure prcdemment au niveau de la plate-forme.
plate

44 | Page

Chapitre 3

R
Ralisation

Figure 52: Activation du filtrage MAC

L'authentification

auprs

de

la

plate
plate-forme

ncessitait

l'addition

du

serveur

d'authentification
authentification RADIUS inclus la plate-forme au WLC.. La figure suivante montre les
diffrents champs disponibles et qui doivent tre configurs lors de l'ajout .

Figure 53: Ajout du serveur RADIUS au WLC

L'activation de "Support for RFC 3576",, comme indiqu dans la figure prcdente, est
similaire la commande aaa server radius dynamic-author
dynamic
saisie au niveau du Switch. En effet,
cette option permet d'accepter les requtes de changement d'autorisation (CoA). Aussi, nous
prcisons la cl secrte partage entre l'ISE et le WLC.
Une fois le serveur d'authentification ajout, il a fallu l'additionner la configuration de
ce WLAN sous
us l'onglet "AAA Servers";
Servers" par dfaut, l'authentification s'effectue localement. La
mme configuration a t applique pour le serveur de comptabilit pour avoir une traabilit de
l'utilisateur, comme mentionn sur la capture qui suit.

45 | Page

Chapitre 3

R
Ralisation

Figure 54:: Ajout des serveurs d'authentification et d'autorisation

Aussi, et pour autoriser l'affectation dynamique des profils d'autorisation (CoA), nous
devions cocher la case "Allow AAA Override" et changer la valeur de NAC State Radius NAC.

Figure 55: Activation du CoA

Lattribution des adresses IP prives


prives aux machines seffectue automatiquement laide du
serveur DHCP dclar. La plage dadresses est dj dfinie au niveau du pare-feu
pare
Cyberoam
de lentreprise, il suffit dee mentionner son adresse au WLC comme nous pouvons l'observer sur
la figure qui suit.

46 | Page

Chapitre 3

Ralisation

Figure 56: Configuration DHCP

La mme configuration est reprendre avec le deuxime WLAN sauf que la politique de
scurit qui doit tre change par WPA2-802.1X au lieu de Mac Filtering. Contrairement au
commutateur, une seule mthode d'authentification peut tre active sur un mme WLAN.

Figure 57: Politique de scurit du deuxime WLAN "PFE-NSIT2"

Aprs avoir termin la configuration des deux WLANs, et linstar de la liste daccs
dclare au niveau du Switch, nous devons ajouter une ACL permettant de prciser le type de
trafic rediriger, tant prcis que les entres doivent tre dclares inversement au Switch ;

47 | Page

Chapitre 3

Ralisation

une rgle permit est remplace par deny et vice versa. Nous navons pas eu recours
additionner une rgle pour le trafic DHCP tant quil est autoris par dfaut.

Figure 58: ACL de redirection

3.7. Conclusion
Tout au long de ce troisime chapitre, nous avons essay d'aborder les configurations
ncessaires des diffrents lments constituant notre solution et ce, en alternant entre la citation
des principes de fonctionnement et celle des configurations appliques, tout en illustrant avec les
figures explicatives.
Bien que la solution soit configure et mise en place, une phase de test est indispensable
afin de valider le comportement des diffrents composants vis--vis des machines tentant
d'accder au rseau.

48 | Page

CHAPITRE 4 :
TEST ET VALIDATION

Chapitre 4

Test et validation

4.1. Introduction
Une fois la solution mise en place, nous procdons la phase de test dans le but de nous
assurer du bon fonctionnement des quipements et de la configuration. La vrification consiste
essayer de se connecter, aux rseaux filaire et sans fil, avec des scnarios diffrents et ce, en
variant la mthode d'authentification et en faisant intervenir des machines avec des tats de
"sant" divers.

4.2. Rseau filaire


Le premier test effectuer nous permettra de nous garantir du bon droulement de
lauthentification au domaine et de la validation de posture pour un utilisateur du rseau cbl.
Par dfaut sur un systme Windows, lauthentification 802.1X est dsactive sur les cartes
rseau Ethernet. Par consquent, nous devons ajouter et dmarrer le service Configuration
automatique de rseau cbl , responsable de lexcution de lauthentification IEEE 802.1X sur
les interfaces Ethernet.
Aprs avoir lanc "services.msc" et cliqu sur le service correspondant, la fentre suivante
s'affiche pour dmarrer le service .

Figure 59: Ajout et dmarrage du service DOT1X

50 | Page

Chapitre 4

Test et validation
val

Ltape suivante consiste activer lauthentification 802.1X sur linterface Ethernet. La


mthode dauthentification par dfaut (PEAP) a t conserve tant quelle est supporte par la
plate-forme ISE.

Figure 60: Activation du DOT1X sur la carte Ethernet

Ds le branchement du cble sur linterface Ethernet, une fentre saffiche demandant de


saisir le nom dutilisateur et le mot de passe pour sauthentifier au niveau du domaine du
moment que les donnes de la session existante ne sont pas automatiquement utilises.

Figure 61: Fentre d'authentification

Aprs avoir saisi les donnes du compte utilisateur, et en essayant daccder la page
http://www.google.fr , nous nous sommes trouvs redirigs vers la page de "Client
Client Provisioning"
Provisioning
fournissant lAgent NAC persistant.
persistant

51 | Page

Chapitre 4

Test et validation
val

Figure 62:
62 Redirection vers la page de Client Provisioning

En cliquant sur le bouton Cliquez pour installer lagent , le tlchargement de


d lAgent
se lance. En lexcutant, nous recevons un message indiquant la non-conformit
non conformit de notre
machine avec la politique de scurit et fournissant un accs temporaire pour tlcharger le
fichier de remdiation tant que lantivirus Mcafee nest pas disponible
ible sur notre machine. La
figure qui suit reprsente une capture du message reu au niveau de lagent.

Figure 63: Message obtenu sur l'Agent NAC

Le deuxime test que nous effectuons consiste vrifier l'authentification MAB . Pour le
faire,, nous dsactivons l'authentification 802.1X sur l'interface pour que l'authentification par
adresse MAC soit automatiquement utilise.

52 | Page

Chapitre 4

Test et validation

Au niveau du Switch, nous pouvons observer le droulement de l'authentification :

Figure 64: vnements d'authentification observs au commutateur

Pour nous assurer de la bonne affectation du profil d'autorisation, nous pouvons avoir
recours au commutateur et utiliser la commande show authentication session interface
GigabitEthernet1/0/23 detail. Les rsultats affichs dans la section Server Policies confirment
le tlchargement de l'URL de redirection partir de l'ISE et l'utilisation de l'ACL adquat pour
connatre quel trafic doit tre redirig.

Figure 65: Dtails de l'authentification sur l'interface GigabitEthernet1/0/23

4.3. Rseau sans fil


Nous dbutons par la vrification de la diffusion des deux SSIDs (PFE-NSIT et PFENSIT2) et ce en consultant la liste des rseaux sans fil disponibles partir de notre PC.

53 | Page

Chapitre 4

Test et validation
val

Figure 66: Dtection des SSIDs

En tentant de nous connecter PFE-NSIT2 et aprs avoir activ l'authentification


802.1X, deux champs s'affichent demandant la saisie du nom d'utilisateur et du mot de passe
comme illustr sur la figure suivante.

Figure 67:: Authentification DOT1X pour le SSID "PFE-NSIT2"

Aprs avoir tap les coordonnes, nous sommes redirigs vers la page de CCP (Client
Provisioning Portal) pour tlcharger l'agent NAC. Une fois install, cet Agent nous indique que
notre accs au rseau est restreint pour raison de non-conformit
non
tel qu'il est montr sur la figure
et nous suggre la rparation de la machine pour avoir un accs complet.

Figure 68:: Accs restreint un utilisateur du rseau sans fil

54 | Page

Chapitre 4

Test et validation
val

Un invit, n'appartenant pas au domaine, est appel se connecter PFE-NSIT. Ds


qu'il se connecte, il se trouve redirig vers le portail captif sur son navigateur.

Figure 69: Portail invit

Comme nous l'observons sur la figure prcdente,, un lien d'inscription est disponible. Le
mot de passe du compte "Guest" est gnr alatoirement alors que son nom d'utilisateur se
gnre partir du nom et du prnom . Aussi, une version mobile du portail invit est fournie :

Figure 70:: Inscription via la version mobile du portail captif

Nous pouvons aussi dsactiver l'enregistrement automatique des membres sur le portail et
nous limiter la cration des comptes via le portail responsable ou "Sponsor", lequel est
accessible au lien suivant : https://172.25.0.200:8443/sponsorportal/.
https://172.25.0.200:8443/sponsorportal/ L'authentification sur
55 | Page

Chapitre 4

Test et validation
val

ce portail s'est effectu avec un compte utilisateur cr au niveau de la plate-forme


plate
et dot des
privilges d'un "sponsor".

Figure 71: Interface du portail responsable

Lors de la cration du compte, nous devons choisir la dure de vie du compte en lui
affectant un des profils existants sur la plate-forme
plate
. Dans l'exemple qui suit,, le compte sera actif
durant une priode de huit heures.

Figure 72:: Cration d'un compte Guest


Guest d'une dure de huit heures

Aprs la saisie du nom d'utilisateur et du mot de passe au niveau du portail invit,


invit nous
sommes redirigs vers la page de Client Provisioning.
Provisioni
L'agent temporaire se lance pour vrifier la
posture de la machine du moment que nous utilisons un compte
compt Guest. Cet agent est lanc sous
une fentre du navigateur. Une fois l'analyse est termine, il nous indique la non-conformit
non
avec
la politique de posture.

56 | Page

Chapitre 4

Test et validation

Figure 73: Validation de posture avec un agent temporaire

Nous avons test de nouveau et ce aprs avoir install l'antivirus Mcafee. L'agent NAC
nous a prsent un accs plus tendu au rseau, comme mentionn sur la figure ci-dessous.

Figure 74: Accs complet au rseau

En consultant le log de la plate-forme ISE, nous pouvons constater l'volution suivante :


1) Succs de l'authentification MAB
2) Succs de l'authentification via le portail invit
3) Validation de posture de la machine
4) Succs de l'autorisation dynamique ou CoA (changement du profil d'autorisation de
CWA PermitAccess)

57 | Page

Chapitre 4

Test et validation
val

Figure 75: Log de la plate-forme ISE

D'autres dtails sont aussi disponibles au niveau du log de Cisco ISE,


ISE tels que les
attributs VSA changs avec le WLC et prcisant l'ACL et l'URL de redirection, ainsi que
l'attribut Called-Station-ID
ID mentionnant l'adresse MAC du point d'accs et le SSID associ.

Figure 76: Dtails de la session

4.4. Conclusion
Cette partie du rapport tait consacre l'essai de la solution avec diffrents scnarios afin
de prouver son bon fonctionnement et son efficacit et ce, en essayant de connecter une machine
au rseau, ou encore en se rfrant aux services disponibles au sein des composants,
composants tel que le
systme de journalisation de la plate-forme
plate
Cisco ISE.

58 | Page

Conclusion et perspectives

Dans le cadre de ce projet ralis au sein de l'entreprise Next Step IT, et partant dun
souci de scurit et dun besoin de protection des ressources critiques et vitales d'une manire
permanente, nous avons mis en place une solution de contrle d'accs relative aux rseaux filaire
et sans fil. La solution est encore plus ncessaire quand on sait que, dans certains tablissements,
le nombre dutilisateurs qui sollicitent frquemment le rseau est trs important.
La solution adopte, lors de la ralisation du projet, s'appuie sur des produits proprit
Cisco : le point d'accs, le commutateur, le contrleur du rseau local sans fil (WLC) ainsi que
la plate-forme ISE reprsentant la dernire gnration des plates-formes de contrle d'accs
proposes par Cisco, tant prcis que l'entreprise Next Step IT est spcialiste d'intgration de
solutions d'infrastructure rseau reposant essentiellement sur les quipements Cisco.
Une fois dploye, la solution a permis de ragir, en temps rel, toute tentative de
connexion au rseau par rfrence aux politiques de scurit prdfinies au niveau de la plateforme Cisco ISE. En effet et en premier lieu, l'utilisateur est appel s'authentifier en prsentant
son compte utilisateur et le mot de passe associ au cas o il appartient au domaine, sinon et s'il
s'agit d'un utilisateur invit, il s'authentifie travers un portail Web en s'y inscrivant
temporairement ou bien il obtient un compte cr par le responsable et autorisant aussi un accs
momentan. Ltape qui suit la vrification de la lgitimit de l'utilisateur est celle de la validation
de l'tat des machines ; chacune doit disposer de l'antivirus Mcafee. Dans le cas contraire,
l'utilisateur bnficie d'une priode de grce, au cours de laquelle, un fichier de remdiation lui est
offert afin de pouvoir accder.
A l'instar du test de l'antivirus, d'autres balayages, proposs par la plate-forme, pourront
tre effectus, telle que la vrification de l'tat de mise jour du systme d'exploitation et de
l'existence de certaines applications de scurit et ce, dans le but de garantir davantage la sret
du rseau.

Bien videmment, diffrentes techniques d'attaque existent; elles tendent retrouver par
tous les moyens le mot de passe, ce qui permet aux intrus dusurper l'identit de l'un des
utilisateurs pour accder au rseau. Afin de les confronter, nous pouvons avoir recours une
authentification forte, concatnant au moins deux facteurs d'authentification, tels que les
certificats numriques et les mots de passe usage unique (OTP) ; ceci est ralisable en intgrant
la plate-forme Cisco ISE avec des sources d'identit externes.

Rfrences
Cisco Systems Description de la gamme Cisco NAC [En ligne]. - 2006. - 4 Fvrier 2015.
Enterasys Secure Networks Network Access Control (Contrle daccs au rseau) [En ligne]. 2007. - 2 Mars 2015.
FreeNAC
Contrle
d'accs
rseau
[En
http://freenac.net/fr/solutions/lanaccesscontrol.

ligne]. -

20

Mars

2015. -

Juniper Networks Unified Access Control [En ligne]. - Novembre 2011. - 15 Mars 2015.
LANDESK Centre d'aide Comprhension des composants NAC de base Centre d'aide
LANDESK [En ligne] // site Web LANDESK Help Center. - 2013. - 12 Mars 2015. https://help.landesk.com/Topic/Index/FRA/LDMS/9.5/Content/Windows/nac_c_basic_com
ponents.htm.
Marcotte Ludovic PacketFence 4.1 : une solution BYOD/NAC dans la cour des grands [En
ligne] // Linuxfr. - 17 Dcembre 2013. - 22 Mars 2015. - http://linuxfr.org/news/packetfence-41-une-solution-byod-nac-dans-la-cour-des-grands.
Microsoft Protection daccs rseau (NAP) [En ligne] // Microsoft. - Janvier 2008. - 12 Mars
2015. - https://technet.microsoft.com/fr-fr/library/cc753550%28v=ws.10%29.aspx.
Pujolle Guy Les rseaux [Livre]. - [s.l.] : Eyrolles, 2008. - p. 880.
Vincent REMAZEILLES La scurit des rseaux avec Cisco [Livre]. - [s.l.] : Editions ENI,
2009. - p. 40.

61 | Page

Glossaire
802.1X : standard permettant de contrler l'accs aux quipements du rseau
AAA (Authentication, Authorization, Accounting) : AAA correspond un protocole qui ralise trois
fonctions : l'authentification, l'autorisation, et la traabilit
ACL (Access Control List) : les ACLs servent principalement au filtrage des paquets sur les interfaces
physiques
CHAP (Challenge Handshake Authentication Protocol) : protocole d'authentification pour PPP
base de challenge, ce qui le rend bien plus sr que son prcdent PAP.
CA (Certificate Authority) : a pour mission, aprs vrification de l'identit du demandeur du certificat,
de signer, mettre et maintenir les certificats
CPP (Client Provisioning Portal) : portail appartenant la plate-forme ISE et permettant de fournir les
Agents NAC
CWA (Central Web Authentication) : portail Web qui permet aux utilisateurs de s'inscrire et de
s'authentifier. Aussi, elle peut inclure la validation de posture (CPP).
DHCP (Dynamic Host Configuration Protocol) : permet, partir d'un serveur, de tlcharger la
configuration rseau vers un ordinateur (adresse IP, paramtre TCP/IP, etc.)
DNS (Domain Name System) : service de noms reposant sur des serveurs et permettant de convertir
un nom en une adresse IP
EAP (Extensible Authentication Protocol) : protocole de communication rseau embarquant de
multiples mthodes d'authentification, pouvant tre utilis sur les liaisons point point, les rseaux filaires
et les rseaux sans fil
FQDN (Fully Qualified Domain Name) : est un nom de domaine qui rvle la position absolue d'un
nud dans l'arborescence DNS en indiquant tous les domaines de niveau suprieur jusqu' la racine
LDAP (Lightweight Directory Access Protocol) : est l'origine un protocole permettant
l'interrogation et la modification des services d'annuaire. Il a cependant volu pour reprsenter une
norme pour les systmes d'annuaires.
MAB (Mac Authentication Bypass) : authentification de niveau 2 base sur les adresses MAC et
fournie par Cisco
MAC (Medium Access Control) : couche logicielle qui a pour rle de structurer les bits d'information
en trames adaptes au support physique et de grer les adresses physiques des cartes rseaux (Adresses
MAC)
62 | Page

Glossaire
MS-CHAP : version amliore du protocole CHAP propose par Microsoft
NAS (Network Access Server) : client RADIUS faisant office d'intermdiaire entre l'utilisateur final et le
serveur
NTP (Network Time Protocol) : protocole permettant de synchroniser l'horloge d'une machine sur une
rfrence d'horloge
PAP (Password Authentication Protocol) : protocole d'authentification pour PPP. Les donnes sont
transmises en texte clair sur le rseau ce qui le rend par consquent non scuris.
PEAP (Protected Extensible Authentication Protocol) : driv du protocole EAP, fournissant un
canal de transmission plus scuris (tunnel TLS).
PPP (Point-to-Point Protocol) : protocole de la couche liaison utilis sur les lignes srie tlphoniques
ou spcialises
RADIUS (Remote Authentication Dial-In User Server) : protocole client-serveur permettant de
centraliser des donnes d'authentification
RSA (River Shamir et Adelman) : algorithme de chiffrement cls publiques et cls secrtes portant le
nom de ses concepteurs.
TACACS+ : version plus rcente du protocole TACACS (protocole AAA fourni par Cisco)
TCP/IP (Transport Network Protocol/Internetwork Protocol) : protocole de transport des donnes
sous forme de paquets, universellement utilis sur les rseaux LAN et WAN
TLS : protocole qui garantit la confidentialit entre les applications communicantes et leurs utilisateurs sur
Internet.
UDP (User Datagram Protocol) : quivalent de TCP mais en mode non connect, sans les mcanismes
de contrle de flux, de reprise sur erreur et autres options
VLAN (Virtual Local Area Network) : ce mcanisme permet de crer plusieurs rseaux virtuels au sein
dun mme rseau physique et dallouer des configurations spcifiques pour chaque rseau virtuel cr
VMware ESXi : hyperviseur dvelopp par VMware et permettant de dployer des machines virtuelles
VPN (Virtual Private Network) : technique qui simule un rseau priv dans un rseau public dans le but
d'offrir plus de scurit
VSA (Vendor Specific Attributes) : RADIUS est extensible; de nombreux fournisseurs de matriels et
de logiciels RADIUS mettent en uvre leurs propres variantes en utilisant des attributs VSA
WLC (Wireless LAN Controller) : permet de grer le rseau local sans fil en contrlant les points
d'accs, grant les interfrences, assurant le handover, etc.

63 | Page