Rsum

Cet article a pour objectif de prsenter au lecteur une solution puissante visant faciliter la protection contre les menaces rseau : Cisco Access Clean. Qu'est-ce que Cisco Clean Access ? Quelles fonctionnalits offre-t-il ? Comment configurer un serveur Clean Access et un manager ? Autant de questions auxquelles nous rpondrons travers notre tude.

Sommaire

Introduction 1. Qu'est-ce que Cisco Clean Access ? o 1.1 Prsentation du produit o 1.2 Avantages offerts o 1.3 Architecture du produit o 1.4 Modes In-Band et Out-of-band o 1.5 Produits supports o 1.6 Configuration systme requise o 1.7 Applications pr-configures pour les tests 2. Procdure d'installation o 2.1 Installation d'un Cisco Clean Access Server (CAS) o 2.2 Installation d'un Cisco Clean Access Manager (CAM) o 2.3 Installation de Cisco Clean Access FlexLM et de la console d'accs web o 2.4 License d'valuation o 2.5 Ajout d'un serveur Clean Access 3. Administration du Clean Access Serveur (CAS) o 3.1 Administration o 3.2 Mise en place d'un DHCP o 3.3 Ajout d'une page par dfaut o 3.4 Cration d'un rle d'utilisateur o 3.5 Configuration d'une stratgie o 3.6 Forcer l'utilisation du Cisco Clean Access et des mises jour o 3.7 Configuration des serveurs d'authentification 4. Configuration d'une rgle o 4.1 Sous titre o 4.2 Sous titre o 4.3 Sous titre o 4.4 Sous titre o 4.5 Sous titre 5. Test d'un client administrable o 5.1 Sous titre o 5.2 Sous titre o 5.3 Sous titre o 5.4 Sous titre o 5.5 Sous titre Conclusion

Introduction
Dans un environnement rseau, tout est la fois cible potentielle et ennemi potentiel c'est pourquoi il est important d'accorder une attention particulire la scurit rseau. Les impacts d'une mauvaise scurit rseau sont multiples et ont parfois des consquences dsastreuses sur la crdibilit d'une entreprise (vol d'informations confidentielles, perte de donnes clientes sensibles) ou mme sur son activit (impossibilit d'utiliser le rseau, pertes de productivit, pertes financires)... Ainsi lanc en 2005, Cisco Clean Access est une solution de prvention d'intrusions qui vise facilier la protection contre les menaces rseau. Nous dcouvrirons travers cette article les fonctionnalits offertes par Cisco Clean Access ainsi que la procdure de dploiement de celui-ci.

1. Qu'est-ce que Cisco Clean Access ?

1.1 Prsentation du produit

Cisco Clean Access est une solution autonome qui dtecte, isole et nettoie les priphriques (cabls ou sans fil) infects ou vulnrables qui tentent d'accder au rseau.

En tant que solution de contrle des accs rseau ou (NAC, Network Admissions Control Appliance), CCA (Cisco Clean Access) contient une suite d'outils de scurit rseau :

Reconnaissance des utilisateurs, des priphriques et des rles au sein du rseau. Cette premire tape se droule au moment de l'authentification c'est dire avant qu'un code malicieux ne puisse causer des dgts. Evaluation de la conformit ou non d'une machine avec les stratgies de scurit. A noter que ces stratgies peuvent dpendre du type d'utilisateur, du type de priphrique ou du systme d'exploitation. Renforcement des stratgies de scurit : blocage, mise en quarantaine et rparation des machines non conformes sous le contrle de l'administrateur.

1.2 Avantages offerts

Les rseaux o CCA est dploy bnficient des avantages suivants :

Minimisation des pannes rseau causes par les virus et les vers. Amlioration des stratgies de scurit en faisant de la conformit (patchs, antivirus...) une condition d'accs. Minimisation des vulnrabilits sur les machines clientes travers des valuations et amliorations priodiques. Rduction significative des cots du fait de l'automatisation des processus de rparation de de mise jour des postes clients.

1.3 Architecture du produit

Cisco Clean Access contient trois composants : 1. CISCO CLEAN ACCESS SERVER : Il s'agit du priphrique qui initie le contrle et qui n'autorise l'accs uniquement que s'il y a conformit avec les privilges d'accs de l'quipement terminal. En Mode In-band tout le trafic transite par ce dernier alors qu'en mode Out-of-Band, il se situe en quarantaine dans le VLAN c'est dire l'endroit o sont redirigs tous les priphriques qui ne figurent pas dans la liste des priphriques autoriss. CISCO CLEAN ACCESS MANAGER : Il s'agit d'une console web qui permet de dfinir des rles, des vrifications, des lois et des stratgies. Cette solution hardware est totalement indpendante du serveur Clean Access et permet gnralement d'administrer plus de 40 serveur Clean Access. CISCO CLEAN ACCESS AGENT : Composant optionnel, il s'agit d'un agent qui amliore quelques vulnrabilits dans les fonctions de contrle et de rparation.

2.

3.

1.4 Modes In-Band et Out-of-band

Deux modes de dploiement sont disponibles pour CCA : In-Band et Out-of-Band :

Lors d'un dploiement In-Band, le serveur Clean Access est toujours consult tous les stades : avant, pendant et aprs l'authentification... Le serveur contrle de faon scurise le trafic utilisateur (authentifi ou non) et ce grce aux stratgies bases sur les protocoles/ports ou les sous rseaux. Lors d'un dploiement Out-of-Band, le serveur Clean Access est In-Band uniquement pendant le processus d'authentification et de certificat. Une fois qu'un priphrique utilisateur s'est authentifi correctement, son trafic contourne le CAS et traverse directement le port du switch. Ce mode correspond particulirement bien aux environnements fortement routs et qui ont un trafic en sortie important.

Tableau de comparaison des deux modes : In-Band Environnements Point de contrle NAC Quarantaine Switches supports Sans fil, mdias partags Cisco Clean Access Server In-Band Base sur des ACL A vrifier chez les revendeurs Out-Of-Band Infrastructures de Fast Core switching, trafic important en sortie CAS avec authentification et quarantaine des VLANs Base sur les VLAN Cisco Catalyst 2950, 3550, 3560, 3750, 4500, et switches 6500

1.5 Produits supports

En mode Out-of-Band, le serveur Clean Access communique avec les switchs qui utilisent le protocole SNMP (Simple Network Management Protocol). Voici la liste des switchs supports : Switch Cisco Catalyst 2900XL Cisco Catalyst 2940 Cisco Catalyst 2950 Cisco Catalyst 2950 LRE Cisco Catalyst 3500XL Cisco Catalyst 3550 Cisco Catalyst 3560 Cisco Catalyst 3750 Cisco Catalyst 4500 (for Cisco IOS Software) Cisco Catalyst 4500 (for Cisco Catalyst OS) Cisco Catalyst 6500 (for Cisco IOS Software) Cisco Catalyst 6500 (for Cisco Catalyst OS) Systme d'exploitation minimum Cisco IOS Software Release 12.0(5)WC7 Cisco IOS Software Release 12.1(5)EA2 Cisco IOS Software Release 12.1(6)EA2 Cisco IOS Software Release 12.1(11)YJ Cisco IOS Software Release 12.0(5)WC7 Cisco IOS Software Release 12.1(8)EA1b Cisco IOS Software Release 12.2(25) Cisco IOS Software Release 12.1(14)EA1 Cisco IOS Software Release 12.1(13)EW2 Cisco Catalyst OS Release 7.1 Cisco IOS Software Release 12.1 Cisco Catalyst OS Release 7.5

1.6 Configuration systme requise

L'agent Clean Access optionnel fonctionne sur les systmes suivants : Configuration minimum Systmes d'exploitation supports Windows XP, 2000, ME, 98 Espace disque disponible Hardware Fonctionne sur l'ensemble des postes clients Minimum 10 MB Aucune configuration hardware requise

1.7 Applications pr-configures pour les tests

Cisco Clean Access est pr-configur pour permettre la vrification des applications suivantes : (A noter que certaines applications cites ne sont pas supportes par Windows 9x)

REVENDEUR Authentium, Inc ClamWin

VERSIONS SUPPORTEES Authentium Command Anti-Virus Enterprise 4.x Authentium ESP The River Home Network Security Suite 1.x ClamWin Antivirus 0.x Antivirus Version 7.x EZ Antivirus Version 6.2.x, EZ Armor 6.1.x, 7.x 4.x

Computer Associates eTrust Computer Associates eTrust Computer Associates International, 6.4x, 7.x Inc Computer Associates eTrust eTrust PestPatrol 5.x PestPatrol Corporate Edition Eset Software F-Secure Corporation Frisk Software International Grisoft, Inc H+BEDV Datentechnik GmbH JavaCool Software Kaspersky Labs F-Secure Anti-Virus 5.x

NOD32 Antivirus system NT/2000/2003/XP 2.0 F-Prot Antivirus Version 3.14e, 3.15 AVG AVG AVG AVG Antivirus Antivirus Antivirus Antivirus Version 7.0 Version 7.x 7.0 Free Edition Version 7.x Version 6.0 Version 6.x Version 6.0 Free Edition Version 6.x

AntiVir/XP 6.x Spyware Blaster Kaspersky Anti-Virus Personal Version 4.5, 5.0.x Kaspersky Anti-Virus Personal Pro Version 4.5 AdAware Pro AdAware SE Personal Version 1.x McAfee McAfee McAfee McAfee 8.0.x McAfee 9.x AntiSpyware 1.x VirusScan 4.5.x, 8.x, 9.x VirusScan 2004 8.0 VirusScan Enterprise Edition 7.0.x, 7.1.x, 7.5.x, VirusScan Professional Edition Version 7.x, 8.x,

Mc Afee

Microsoft

Critical Windows Updates (XP, 2000, 98/ME) Microsoft AntiSpyware Beta1,2 Panda Anti-Virus Light 1.x Panda Anti-Virus Platinum Version 6.x, 7.04.x, 7.05.x, 7.06.x Panda Platinum Internet Security Version 8.03.x

Panda Software

 Panda Titanium Anti-Virus 2004 3.x Panda Titanium Anti-Virus 2005 4.x PC Tool Prevx SaID, Ltd SBC Yahoo Sereniti Spyware Doctor 3.x Prevx Home DrWeb Antivirus Version 4.32.x SBC Yahoo! Antivirus and Anti-Spyware Sereniti Security Suite 1.x BitDefender BitDefender BitDefender BitDefender BitDefender Free Edition Version 7.x Standard Edition 7.x Professional Edition 7.x 8 Standard 8 Professional Plus

SOFTWIN

Sophos Spybot Spyware BeGone

Sophos Anti-Virus Enterprise Version 3.80 SpyBot Search&Destroy 1.3 Spyware BeGone Free Scan 7.x Spyware BeGone Norton AntiVirus 2005 Version 11.0.x Norton AntiVirus 2004 Version 10.0.0 Norton AntiVirus 2004 Professional Version 10.0.13 Norton Internet Security 2004 Version 10.0.x Norton AntiVirus 2003 Version 9.7.0 Norton AntiVirus 2003 Professional Version 9.5.0, 9.0.0 Norton AntiVirus 2002 Professional Version 8.0.58 Norton AntiVirus Corporate Edition Version 7.01 Symantec Internet Security 2005 Edition 8.0.x Symantec AntiVirus Scan Engine Edition 4.x Symantec AntiVirus Corporate Edition Version 9 Symantec AntiVirus Corporate Edition Version 8 Trend Trend Trend Trend Trend Trend Trend Micro Micro Micro Micro Micro Micro Micro Internet Security Version 11.x, 12.x Anti-Spyware 3.x AntiVirus 11.x OfficeScan Corporate Edition Version 5.x, 6.x PC-Cillin 2004 Version 11.x PC-Cillin 2003 Version 10.x PC-Cillin 2002 Version 9.x

Symantec

Trend Micro

WebRoot Zone Labs

SpySweeper 3.x, 4.x SpySweeper Enterprise Client 1.x, 2.x ZoneAlarm with Antivirus Version 5.x ZoneAlarm Security Suite 5.x

2. Procdure d'installation

2.1 Installation d'un Cisco Clean Access Server (CAS)

2.1.1 Informations recueillir au pralable
Avant d'entamer l'installation du CAS, veuillez noter les informations suivantes propres votre environnement :

Nom d'hte du CAS IP pour l'interface de confiance (gnralement eth0) Masque de sous-rseau (pour eth0) Passerelle par dfaut (pour eth0) IP pour l'interface qui n'est pas de confiance (eth1) Masque de sous-rseau (pour eth1)

Passerelle par dfaut (pour eth1) Serveur de nom (DNS) Dbut des IP pour le sous rseau administrable Fin des IP pour le sous rseau administrable (si le DHCP est autoris)

2.1.2 Schma de l'architecture et considration d'adressage IP

eth0 et eth1 correspondent gnralement aux deux premires cartes rseau sur l'ensemble des types de serveurs hardware. Si vous utilisez un relaie DHCP, assurez-vous que le serveur DHCP possde une route vers les sous-rseaux administrs.

2.1.3 Droulement de l'installation

Aprs avoir collect l'ensemble des informations cites prcedemment, il convient de suivre les tapes suivantes pour installer l'application pour le Cisco Clean Access Server. Connexion de la machine cible 1. Prparez la machine cible en la connectant au rseau, connectez un cran puis un clavier directement dessus. Vous pouvez aussi connecter un cable srie entre votre station de travail et la machine cible puis ouvrir une session TSE. Installer imprativement Cisco Clean Access sur une machine ddie dans la mesure o l'installation formatte toutes les partitions. Si des donnes sont prsentes sur le disque, elles seront dfinitivement perdues. Redmarrer la machine cible avec le CD ROM d'installation dans le lecteur CD. Lorsque la machines dmarre, le programme d'installation se lance automatiquement. A l'invite "Boot:" appuyez sur la touche ENTRER si vous tes directement connect la machine ou Type:serial dans le terminal si vous tes connect en TSE.

2. 3.

L'installation suit son cours pendant quelques minutes puis la page d'accueil de l'utilitaire de configuration rapide du Clean Access Server apparait. Configuration de l'interface de confiance (eth0)

1. 2. 3. 4.

5.

A la premire invite, entrez l'adresse IP de la premire interface de confiance (cble, eth0), celle qui va vers le rseau de confiance. A l'invite suivante entrez le masque de sous-rseau de l'interface de confiance (eth0) ou bien acceptez le masque par dfaut : 255.255.255.0; Ensuite entrez l'adresse de la passerelle par dfaut vers le rseau de confiance. Il s'agit gnralement de l'adresse du routeur entre le sous-rseau du CAS et celui du CAM. Tapez alors N pour accepter l'ID par dfaut du VLAN ou Y pour slectionner l'ID de VLAN voulu. (noter que l'ID de VLAN n'est pas toujours ncessaire condition que l'ID soit utilis par un serveur DHCP externe) Tapez alors N pour accepter le comportement par dfaut pour les tags ou entrez Y et spcifiez l'ID du VLAN utiliser. (A noter que dans la plupart des cas, les tags de VLAN ID ne sont pas ncessaires )

Configuration de l'interface qui n'est pas de confiance (eth1) 1. 2. 3. 4. 5. A l'invite suivante, entrez l'adresse IP de la seconde interface qui n'est pas de confiance (eth1), celle qui va vers le rseau qui n'est pas de confiance. A l'invite suivante entrez le masque de sous-rseau de l'interface qui n'est pas de confiance (eth1). Ensuite entrez l'adresse de la passerelle par dfaut vers le rseau de confiance. Tapez alors N pour accepter l'ID par dfaut du VLAN ou Y pour slectionner l'ID de VLAN voulu. (noter que dans la plupart des cas la valeur par dfaut suffit) Tapez alors N pour accepter le comportement par dfaut pour les tags ou entrez Y et spcifiez l'ID du VLAN utiliser.

Configuration du serveur de noms (DNS) 1. 2. Entrez alors le nom d'hte du serveur Clean Access et confirmez votre saisie. Pour le nom du serveur, entrez et confirmez l'adresse IP du serveur DNS.

Configuration du partage secret 1. 2. 3. Pour s'authentifier entre eux, les lments du Cisco Clean Access utilisent un partage secret. Lors du dploiement, la valeur de ce denier doit tre la mme pour chaque CAM et chaque CAS. La valeur par dfaut est cisco123. Tapez ce mot de passe et confirmez le l'invite suivante.

Configuration des proprits de date et heure 1. Suivez les instructions qui apparaissent l'cran et configurez puis confirmez la zone de temps. exemple : 45-United States

Certificat SSL temporaire 1. A l'invite suivante tapez Y pour gnrer un certificat SSL temporaire pour le CAS. Vous pourrez bien entendu remplacer ce certificat plus tard dans la console web d'administration du CAS par un certificat gnr par une autorit de certificat. Pour le FQDN entrez l'adresse IP du CAS. Entrez au fur et mesure les valeurs que le script vous demande. Lorsque cette opration est termine, appuyez sur la touche ENTRER pour gnrer le certificat ou N pour redmarrer.

2. 3. 4.

Notez qu'un certificat temporaire ncessite l'accepte automatiquement au moment o la connexion est initie. Configuration des mots de passe 1. 2. Dfinissez et confirmez alors les mots de passe pour le CAS. Pour les compte suivants, le mot de passe cisco123 est le password par dfaut : le compte ROOT pour les utilisateurs SSH, le compte ADMIN pour accder directement l'interface web de gestion du CAS.

3.

La configuration arrive sa fin, vous pouvez alors redmarrer le CAS.

2.1.4 Test

A partir d'une ligne de commande, faites un PING sur l'interface eth0, si le paramtrage a russi, eth0 doit rpondre correctement. Si le CAS ne rpond pas tentez de vous connecter au CAS via SSH (root/cisco123). Une fois connect, tentez de pinger la passerelle par dfaut ou un site web externe pour vrifier que le CAS russi a atteindre le rseau externe. Si ces deux tests ne fonctionnent pas assurez-vous que vous avez bien saisie les paramtres IP

Notez qu'il est indispensable de gnrer le certificat SSL pour accder au CAS en tant qu'utilisateur final.

Pour revenir la configuration initiale, connectez-vous directement sur le CAS ou via SSH et utilisez la ligne de commande : service perfigo config

2.2 Installation d'un Cisco Clean Access Manager (CAM)

2.2.1 Droulement de l'installation
Aprs avoir collect l'ensemble des informations cites prcedemment, il convient de suivre les tapes suivantes pour installer l'application pour le Cisco Clean Access manager. Connexion de la machine cible 1. Prparez la machine cible en la connectant au rseau, connectez un cran puis un clavier directement dessus. Vous pouvez aussi connecter un cable srie entre votre station de travail et la machine cible puis ouvrir une session TSE. Installer imprativement Cisco Clean Access sur une machine ddie dans la mesure o l'installation formatte toutes les partitions. Si des donnes sont prsentes sur le disque, elles seront dfinitivement perdues. Redmarrer la machine cible avec le CD ROM d'installation dans le lecteur CD. Lorsque la machines dmarre, le programme d'installation se lance automatiquement. A l'invite "Boot:" appuyez sur la touche ENTRER si vous tes directement connect la machine ou Type:serial dans le terminal si vous tes connect en TSE.

2. 3.

L'installation suit son cours pendant quelques minutes puis la page d'accueil de l'utilitaire de configuration rapide du Clean Access Manager apparait. Configuration de l'interface de confiance (eth0) 1. 2. 3. A la premire invite, entrez l'adresse IP de la premire interface de confiance (eth0), celle qui va vers le rseau de confiance. A l'invite suivante entrez le masque de sous-rseau de l'interface de confiance (eth0) Ensuite entrez l'adresse de la passerelle par dfaut vers le rseau de confiance. Il s'agit gnralement de l'adresse du routeur entre le sous-rseau du CAS et celui du CAM.

Configuration du serveur de noms (DNS) 1. 2. Entrez alors le nom d'hte du serveur Clean Access et confirmez votre saisie. Pour le nom du serveur, entrez et confirmez l'adresse IP du serveur DNS.

Configuration du partage secret

1. 2.

Pour s'authentifier entre eux, les lments du Cisco Clean Access utilisent un partage secret. Entrez le mme password que celui dfini pendant l'installation du CAS. La valeur par dfaut est cisco123.

Configuration des proprits de date et heure 1. Configurez et confirmez la zone de temps du CAM. Ces valeurs doivent tre les mmes que celles dfinies pendant l'installation du CAS.

Certificat SSL temporaire 1. 2. 3. 4. Puis un certificat SSL est gnr, celui-ci permet un accs scuris la console web d'administration. Entrez l'adresse IP de l'interface eth0 du CAM. Entrez au fur et mesure les valeurs que le script vous demande. Lorsque cette opration est termine, appuyez sur la touche ENTRER pour gnrer le certificat ou N pour redmarrer.

Notez qu'un certificat temporaire ncessite l'acceptation automatique au moment o la connexion est initie. Configuration des mots de passe 1. 2. 3. 4. 5. Dfinissez et confirmez alors les mots de passe ROOT. le mot de passe cisco123 est le password par dfaut : le compte ROOT permet d'accder au systme via une interface srie ou SSH. Il y a dj un compte (admin) qui a pour mot de passe (cisco123) on ne vous demandera donc pas de le redfinir, vous pourrez seulement crer des comptes supplmentaires via la console web. La configuration arrive sa fin, la base de donnes va s'initialiser. Appuyez sur la touche ENTRER pour redmarrer le server et complter l'installation du CAM.

2.2.1 Test

A partir d'une ligne de commande, faites un PING sur l'interface du CAM, si le paramtrage a russi et que le CAM est connect et en fonction, l'interface doit rpondre correctement. S'il est ncessaire, assurez-vous que vous avez bien saisie les paramtres rseau au moment de l'installation : au besoin vrifiez ces derniers directement dans les fichiers de configuration. Pour revenir la configuration initiale, connectez-vous directement sur le CAM (en tant que root) via une connexion srie ou cvia SSH et entrez la ligne de commande : service perfigo config Acceptez les valeurs par dfaut ou entrez de nouvelles valeurs Lorsque la configuration est termine, entrez la commande suivante : service perfigo reboot

2.3 Installation de Cisco Clean Access FlexLM et de la console d'accs web

La procdure suivante dcrit comment rcuprer, installer les fichiers de license FlexLM et accder la consoler web d'administration du CAM. Notez qu'il est indispensable d'utiliser la license FlexLM pour autoriser le dploiement du Cisco Clean Access Out-of-Band. 1. 2. Pour chaque CD FlexLM que vous commanderez, vous allez recevoir une cl produit (PAK). Authentifiez-vous en tant qu'utilisateur Clean Access et remplissez le formulaire prsent l'URL suivante : www.cisco.com/go/license.

3. 4. 5. 6.

Pendant l'enregistrement soumettez tous les PAK que vous avez reu et les adresses MAC de vos systmes. Vous recevrez alors par mail un fichier de license par PAK dclar. Enregistrez ces fichiers de license sur votre disque dur et installez le ou les CAS, CAM comme dcrit au 2.1 et 2.2 de notre tude. Une fois l'installation termine, rendez-vous sur la console web d'administration du CAM en ouvrant un navigateur et en saisissant l'IP du CAM. Lors de la premire ouverture vous serez prier d'enregistrer vos fichiers de license.

7. Dans le champ rserv la license CAM, faites PARCOURIR et rendez-vous sur le fichier de license que vous avez acquis prcedemment pour votre CAM et cliquez sur INSTALLER LA LICENSE. 8. Lorsque vous soumettrez une license valide (valutation, stater kif ou liense individuel) vous serez redirigs vers la console web d'administration du CAM. Saisissez le login et mot de passe par dfaut (admin/cisco) et cliquez sur LOGIN.

La page par dfaut correspond la page de rsum de surveillance (SUMMARY / MONITORING). Vous pouvez naviguer grace au menu prsent gauche.

Pour installer les fichiers de license pour le ou les CAS rendez-vous dans ADMINISTRATION>CCA MANAGER>LICENSING

Pour chaque CAS que vous possdez slectionner le chemin vers les fichiers de license et cliquez sur INSTALL LICENSE. Une confirmation apparatra en vert en haut de la page si l'installation s'est droule correctement. Une fois l'ensemble des licenses pour les CAS installes, vous verrez apparatre en bas de la page le nombre total de CAS autoriss par license.

2.4 License d'valuation

En vous rendez sur le site du support technique de cisco l'URL www.cisco.com/go.license/public vous pourrez obtenir une license d'valuation vablabel 30 jours. Celle-ci vous permet d'utiliser les lments suivants sans enregistrer d'adresse MAC ni d'avoir recours un PAK valide :

un clean access server in-band un clean access server out-of-band un clean access manager

La procdure d'installation sera la mme que celle dcrite prcedemment seuls les fichiers de license seront diffrents.

En vous rendant dans ADMINISTRATION>CCA MANAGER>LICENSING vous pourrez savoir combien de jours d'valuation il vous reste.

2.5 Ajout d'un serveur Clean Access

Une fois les fichies de license jour, attaquez vous l'ajout d'un CAS :

Premirement ajoutez le CAS dans le domaine administrable du CAM dsir. Rendez-vous dans la section ADMINITRATION PERIPHERIQUES (DEVICE MANAGEMENT) et cliquez sur le lien du CAS dsir.

Choississez NOUVEAU SERVEUR, voil ce que vous verrez apparatre :

Dans le champ rserv cet effet (SERVER IP ADDRESS) entrez l'adresse IP de l'interface de confiance (eth0) du clean access serveur. (Il s'agit de la mme IP que celle entre pendant l'installation du CAS) Le champ de localisation du serveur est optionnel et vous permet d'entrer une description qui identifie le CAS. Le menu SERVER TYPE vous demande de choisir si vous dsirez installer le CAS comme une passerelle (gateway) ou comme un pont (bridge).

En mode In-band vous aurez le choix entre trois modes en fonction de votre environnement : 1. 2. Virtual gateway : le CAS agit comme un pont entre le rseau de confiance et une autre passerelle existante Real IP Gateway : le CAS agit comme une passerelle vers le rseau qui n'est pa de confiance

3.

NAT gateway : le CAS agit comme une passerelle et offre de service NAT au rseau qui n'est pas de confiance

Notez qu'en mode Real IP et NAT gateway, les deux interfaces du CAS (eth0 et eth1) doivent tre dans des sous rsaux diffrents. En mode Virtual gateway le CAS et le CAM doivent tre sur des sous-rseaux diffrents mais les deux interfaces du CAS peuvent utiliser la mme IP. En mode Out-Of-band vous aurez le choix entre trois modes en fonction de votre environnement : 1. 2. 3. Out-of-Band Virtual gateway : le CAS est une passerelle virtuelle tant que le trafic est in-band pour l'authentification Out-of-Band Real IP Gateway : le CAS est une passerelle REAL IP tant que le trafic est in-band pour l'authentification Out-of-Band NAT gateway : le CAS est une passerelle NAT tant que le trafic est in-band pour l'authentification Aprs avoir fait les choix qui vous conviennent, cliquez sur ADD CLEAN ACCESS SERVER pour ajouter le CAS.

En cas o l'ajout ne fonctionnerait pas vrifiez les paramtres IP, effectuez un PING sur le CAS, vrifiez que le mot de passe de partage est le mme sur le CAM et sur le CAS (vous pouvez le remettre zro grce la commande service perfigo config) puis recommencez.

3. Administration du Clean Access Serveur (CAS)

3.1 Administration
sdfzeorpzoeripzoer zeporizpeori zeporizpeori zeporizpeori

3.2 Mise en place d'un DHCP

zrzer zoierpozeir zpeoirpzeoir zpeorizpeori

3.3 Ajout d'une page par dfaut

zerzer mzkemazlrk zeoripzeori zpoeripzeori

3.4 Cration d'un rle d'utilisateur

zerzer merzeprizpo

zeporizpeori zpoeripzeoir zpeorizperoi

3.5 Configuration d'une stratgie

zerzerlmrzpeoru zpeoripzeori zpeorizepori

3.6 Forcer l'utilisation du Cisco Clean Access et des mises jour

zerzerlmrzpeoru zpeoripzeori zpeorizepori

3.7 Configuration des serveurs d'authentification

zerzerlmrzpeoru zpeoripzeori zpeorizepori