Académique Documents
Professionnel Documents
Culture Documents
Cet article a pour objectif de prsenter au lecteur une solution puissante visant faciliter la protection contre les menaces rseau : Cisco Access Clean. Qu'est-ce que Cisco Clean Access ? Quelles fonctionnalits offre-t-il ? Comment configurer un serveur Clean Access et un manager ? Autant de questions auxquelles nous rpondrons travers notre tude.
Sommaire
Introduction 1. Qu'est-ce que Cisco Clean Access ? o 1.1 Prsentation du produit o 1.2 Avantages offerts o 1.3 Architecture du produit o 1.4 Modes In-Band et Out-of-band o 1.5 Produits supports o 1.6 Configuration systme requise o 1.7 Applications pr-configures pour les tests 2. Procdure d'installation o 2.1 Installation d'un Cisco Clean Access Server (CAS) o 2.2 Installation d'un Cisco Clean Access Manager (CAM) o 2.3 Installation de Cisco Clean Access FlexLM et de la console d'accs web o 2.4 License d'valuation o 2.5 Ajout d'un serveur Clean Access 3. Administration du Clean Access Serveur (CAS) o 3.1 Administration o 3.2 Mise en place d'un DHCP o 3.3 Ajout d'une page par dfaut o 3.4 Cration d'un rle d'utilisateur o 3.5 Configuration d'une stratgie o 3.6 Forcer l'utilisation du Cisco Clean Access et des mises jour o 3.7 Configuration des serveurs d'authentification 4. Configuration d'une rgle o 4.1 Sous titre o 4.2 Sous titre o 4.3 Sous titre o 4.4 Sous titre o 4.5 Sous titre 5. Test d'un client administrable o 5.1 Sous titre o 5.2 Sous titre o 5.3 Sous titre o 5.4 Sous titre o 5.5 Sous titre Conclusion
Introduction
Dans un environnement rseau, tout est la fois cible potentielle et ennemi potentiel c'est pourquoi il est important d'accorder une attention particulire la scurit rseau. Les impacts d'une mauvaise scurit rseau sont multiples et ont parfois des consquences dsastreuses sur la crdibilit d'une entreprise (vol d'informations confidentielles, perte de donnes clientes sensibles) ou mme sur son activit (impossibilit d'utiliser le rseau, pertes de productivit, pertes financires)... Ainsi lanc en 2005, Cisco Clean Access est une solution de prvention d'intrusions qui vise facilier la protection contre les menaces rseau. Nous dcouvrirons travers cette article les fonctionnalits offertes par Cisco Clean Access ainsi que la procdure de dploiement de celui-ci.
En tant que solution de contrle des accs rseau ou (NAC, Network Admissions Control Appliance), CCA (Cisco Clean Access) contient une suite d'outils de scurit rseau :
Reconnaissance des utilisateurs, des priphriques et des rles au sein du rseau. Cette premire tape se droule au moment de l'authentification c'est dire avant qu'un code malicieux ne puisse causer des dgts. Evaluation de la conformit ou non d'une machine avec les stratgies de scurit. A noter que ces stratgies peuvent dpendre du type d'utilisateur, du type de priphrique ou du systme d'exploitation. Renforcement des stratgies de scurit : blocage, mise en quarantaine et rparation des machines non conformes sous le contrle de l'administrateur.
Minimisation des pannes rseau causes par les virus et les vers. Amlioration des stratgies de scurit en faisant de la conformit (patchs, antivirus...) une condition d'accs. Minimisation des vulnrabilits sur les machines clientes travers des valuations et amliorations priodiques. Rduction significative des cots du fait de l'automatisation des processus de rparation de de mise jour des postes clients.
2.
3.
Lors d'un dploiement In-Band, le serveur Clean Access est toujours consult tous les stades : avant, pendant et aprs l'authentification... Le serveur contrle de faon scurise le trafic utilisateur (authentifi ou non) et ce grce aux stratgies bases sur les protocoles/ports ou les sous rseaux. Lors d'un dploiement Out-of-Band, le serveur Clean Access est In-Band uniquement pendant le processus d'authentification et de certificat. Une fois qu'un priphrique utilisateur s'est authentifi correctement, son trafic contourne le CAS et traverse directement le port du switch. Ce mode correspond particulirement bien aux environnements fortement routs et qui ont un trafic en sortie important.
Tableau de comparaison des deux modes : In-Band Environnements Point de contrle NAC Quarantaine Switches supports Sans fil, mdias partags Cisco Clean Access Server In-Band Base sur des ACL A vrifier chez les revendeurs Out-Of-Band Infrastructures de Fast Core switching, trafic important en sortie CAS avec authentification et quarantaine des VLANs Base sur les VLAN Cisco Catalyst 2950, 3550, 3560, 3750, 4500, et switches 6500
VERSIONS SUPPORTEES Authentium Command Anti-Virus Enterprise 4.x Authentium ESP The River Home Network Security Suite 1.x ClamWin Antivirus 0.x Antivirus Version 7.x EZ Antivirus Version 6.2.x, EZ Armor 6.1.x, 7.x 4.x
Computer Associates eTrust Computer Associates eTrust Computer Associates International, 6.4x, 7.x Inc Computer Associates eTrust eTrust PestPatrol 5.x PestPatrol Corporate Edition Eset Software F-Secure Corporation Frisk Software International Grisoft, Inc H+BEDV Datentechnik GmbH JavaCool Software Kaspersky Labs F-Secure Anti-Virus 5.x
NOD32 Antivirus system NT/2000/2003/XP 2.0 F-Prot Antivirus Version 3.14e, 3.15 AVG AVG AVG AVG Antivirus Antivirus Antivirus Antivirus Version 7.0 Version 7.x 7.0 Free Edition Version 7.x Version 6.0 Version 6.x Version 6.0 Free Edition Version 6.x
AntiVir/XP 6.x Spyware Blaster Kaspersky Anti-Virus Personal Version 4.5, 5.0.x Kaspersky Anti-Virus Personal Pro Version 4.5 AdAware Pro AdAware SE Personal Version 1.x McAfee McAfee McAfee McAfee 8.0.x McAfee 9.x AntiSpyware 1.x VirusScan 4.5.x, 8.x, 9.x VirusScan 2004 8.0 VirusScan Enterprise Edition 7.0.x, 7.1.x, 7.5.x, VirusScan Professional Edition Version 7.x, 8.x,
Mc Afee
Microsoft
Critical Windows Updates (XP, 2000, 98/ME) Microsoft AntiSpyware Beta1,2 Panda Anti-Virus Light 1.x Panda Anti-Virus Platinum Version 6.x, 7.04.x, 7.05.x, 7.06.x Panda Platinum Internet Security Version 8.03.x
Panda Software
Panda Titanium Anti-Virus 2004 3.x Panda Titanium Anti-Virus 2005 4.x PC Tool Prevx SaID, Ltd SBC Yahoo Sereniti Spyware Doctor 3.x Prevx Home DrWeb Antivirus Version 4.32.x SBC Yahoo! Antivirus and Anti-Spyware Sereniti Security Suite 1.x BitDefender BitDefender BitDefender BitDefender BitDefender Free Edition Version 7.x Standard Edition 7.x Professional Edition 7.x 8 Standard 8 Professional Plus
SOFTWIN
Sophos Anti-Virus Enterprise Version 3.80 SpyBot Search&Destroy 1.3 Spyware BeGone Free Scan 7.x Spyware BeGone Norton AntiVirus 2005 Version 11.0.x Norton AntiVirus 2004 Version 10.0.0 Norton AntiVirus 2004 Professional Version 10.0.13 Norton Internet Security 2004 Version 10.0.x Norton AntiVirus 2003 Version 9.7.0 Norton AntiVirus 2003 Professional Version 9.5.0, 9.0.0 Norton AntiVirus 2002 Professional Version 8.0.58 Norton AntiVirus Corporate Edition Version 7.01 Symantec Internet Security 2005 Edition 8.0.x Symantec AntiVirus Scan Engine Edition 4.x Symantec AntiVirus Corporate Edition Version 9 Symantec AntiVirus Corporate Edition Version 8 Trend Trend Trend Trend Trend Trend Trend Micro Micro Micro Micro Micro Micro Micro Internet Security Version 11.x, 12.x Anti-Spyware 3.x AntiVirus 11.x OfficeScan Corporate Edition Version 5.x, 6.x PC-Cillin 2004 Version 11.x PC-Cillin 2003 Version 10.x PC-Cillin 2002 Version 9.x
Symantec
Trend Micro
SpySweeper 3.x, 4.x SpySweeper Enterprise Client 1.x, 2.x ZoneAlarm with Antivirus Version 5.x ZoneAlarm Security Suite 5.x
2. Procdure d'installation
Nom d'hte du CAS IP pour l'interface de confiance (gnralement eth0) Masque de sous-rseau (pour eth0) Passerelle par dfaut (pour eth0) IP pour l'interface qui n'est pas de confiance (eth1) Masque de sous-rseau (pour eth1)
Passerelle par dfaut (pour eth1) Serveur de nom (DNS) Dbut des IP pour le sous rseau administrable Fin des IP pour le sous rseau administrable (si le DHCP est autoris)
eth0 et eth1 correspondent gnralement aux deux premires cartes rseau sur l'ensemble des types de serveurs hardware. Si vous utilisez un relaie DHCP, assurez-vous que le serveur DHCP possde une route vers les sous-rseaux administrs.
2. 3.
L'installation suit son cours pendant quelques minutes puis la page d'accueil de l'utilitaire de configuration rapide du Clean Access Server apparait. Configuration de l'interface de confiance (eth0)
1. 2. 3. 4.
5.
A la premire invite, entrez l'adresse IP de la premire interface de confiance (cble, eth0), celle qui va vers le rseau de confiance. A l'invite suivante entrez le masque de sous-rseau de l'interface de confiance (eth0) ou bien acceptez le masque par dfaut : 255.255.255.0; Ensuite entrez l'adresse de la passerelle par dfaut vers le rseau de confiance. Il s'agit gnralement de l'adresse du routeur entre le sous-rseau du CAS et celui du CAM. Tapez alors N pour accepter l'ID par dfaut du VLAN ou Y pour slectionner l'ID de VLAN voulu. (noter que l'ID de VLAN n'est pas toujours ncessaire condition que l'ID soit utilis par un serveur DHCP externe) Tapez alors N pour accepter le comportement par dfaut pour les tags ou entrez Y et spcifiez l'ID du VLAN utiliser. (A noter que dans la plupart des cas, les tags de VLAN ID ne sont pas ncessaires )
Configuration de l'interface qui n'est pas de confiance (eth1) 1. 2. 3. 4. 5. A l'invite suivante, entrez l'adresse IP de la seconde interface qui n'est pas de confiance (eth1), celle qui va vers le rseau qui n'est pas de confiance. A l'invite suivante entrez le masque de sous-rseau de l'interface qui n'est pas de confiance (eth1). Ensuite entrez l'adresse de la passerelle par dfaut vers le rseau de confiance. Tapez alors N pour accepter l'ID par dfaut du VLAN ou Y pour slectionner l'ID de VLAN voulu. (noter que dans la plupart des cas la valeur par dfaut suffit) Tapez alors N pour accepter le comportement par dfaut pour les tags ou entrez Y et spcifiez l'ID du VLAN utiliser.
Configuration du serveur de noms (DNS) 1. 2. Entrez alors le nom d'hte du serveur Clean Access et confirmez votre saisie. Pour le nom du serveur, entrez et confirmez l'adresse IP du serveur DNS.
Configuration du partage secret 1. 2. 3. Pour s'authentifier entre eux, les lments du Cisco Clean Access utilisent un partage secret. Lors du dploiement, la valeur de ce denier doit tre la mme pour chaque CAM et chaque CAS. La valeur par dfaut est cisco123. Tapez ce mot de passe et confirmez le l'invite suivante.
Configuration des proprits de date et heure 1. Suivez les instructions qui apparaissent l'cran et configurez puis confirmez la zone de temps. exemple : 45-United States
Certificat SSL temporaire 1. A l'invite suivante tapez Y pour gnrer un certificat SSL temporaire pour le CAS. Vous pourrez bien entendu remplacer ce certificat plus tard dans la console web d'administration du CAS par un certificat gnr par une autorit de certificat. Pour le FQDN entrez l'adresse IP du CAS. Entrez au fur et mesure les valeurs que le script vous demande. Lorsque cette opration est termine, appuyez sur la touche ENTRER pour gnrer le certificat ou N pour redmarrer.
2. 3. 4.
Notez qu'un certificat temporaire ncessite l'accepte automatiquement au moment o la connexion est initie. Configuration des mots de passe 1. 2. Dfinissez et confirmez alors les mots de passe pour le CAS. Pour les compte suivants, le mot de passe cisco123 est le password par dfaut : le compte ROOT pour les utilisateurs SSH, le compte ADMIN pour accder directement l'interface web de gestion du CAS.
3.
2.1.4 Test
A partir d'une ligne de commande, faites un PING sur l'interface eth0, si le paramtrage a russi, eth0 doit rpondre correctement. Si le CAS ne rpond pas tentez de vous connecter au CAS via SSH (root/cisco123). Une fois connect, tentez de pinger la passerelle par dfaut ou un site web externe pour vrifier que le CAS russi a atteindre le rseau externe. Si ces deux tests ne fonctionnent pas assurez-vous que vous avez bien saisie les paramtres IP
Notez qu'il est indispensable de gnrer le certificat SSL pour accder au CAS en tant qu'utilisateur final.
Pour revenir la configuration initiale, connectez-vous directement sur le CAS ou via SSH et utilisez la ligne de commande : service perfigo config
2. 3.
L'installation suit son cours pendant quelques minutes puis la page d'accueil de l'utilitaire de configuration rapide du Clean Access Manager apparait. Configuration de l'interface de confiance (eth0) 1. 2. 3. A la premire invite, entrez l'adresse IP de la premire interface de confiance (eth0), celle qui va vers le rseau de confiance. A l'invite suivante entrez le masque de sous-rseau de l'interface de confiance (eth0) Ensuite entrez l'adresse de la passerelle par dfaut vers le rseau de confiance. Il s'agit gnralement de l'adresse du routeur entre le sous-rseau du CAS et celui du CAM.
Configuration du serveur de noms (DNS) 1. 2. Entrez alors le nom d'hte du serveur Clean Access et confirmez votre saisie. Pour le nom du serveur, entrez et confirmez l'adresse IP du serveur DNS.
1. 2.
Pour s'authentifier entre eux, les lments du Cisco Clean Access utilisent un partage secret. Entrez le mme password que celui dfini pendant l'installation du CAS. La valeur par dfaut est cisco123.
Configuration des proprits de date et heure 1. Configurez et confirmez la zone de temps du CAM. Ces valeurs doivent tre les mmes que celles dfinies pendant l'installation du CAS.
Certificat SSL temporaire 1. 2. 3. 4. Puis un certificat SSL est gnr, celui-ci permet un accs scuris la console web d'administration. Entrez l'adresse IP de l'interface eth0 du CAM. Entrez au fur et mesure les valeurs que le script vous demande. Lorsque cette opration est termine, appuyez sur la touche ENTRER pour gnrer le certificat ou N pour redmarrer.
Notez qu'un certificat temporaire ncessite l'acceptation automatique au moment o la connexion est initie. Configuration des mots de passe 1. 2. 3. 4. 5. Dfinissez et confirmez alors les mots de passe ROOT. le mot de passe cisco123 est le password par dfaut : le compte ROOT permet d'accder au systme via une interface srie ou SSH. Il y a dj un compte (admin) qui a pour mot de passe (cisco123) on ne vous demandera donc pas de le redfinir, vous pourrez seulement crer des comptes supplmentaires via la console web. La configuration arrive sa fin, la base de donnes va s'initialiser. Appuyez sur la touche ENTRER pour redmarrer le server et complter l'installation du CAM.
2.2.1 Test
A partir d'une ligne de commande, faites un PING sur l'interface du CAM, si le paramtrage a russi et que le CAM est connect et en fonction, l'interface doit rpondre correctement. S'il est ncessaire, assurez-vous que vous avez bien saisie les paramtres rseau au moment de l'installation : au besoin vrifiez ces derniers directement dans les fichiers de configuration. Pour revenir la configuration initiale, connectez-vous directement sur le CAM (en tant que root) via une connexion srie ou cvia SSH et entrez la ligne de commande : service perfigo config Acceptez les valeurs par dfaut ou entrez de nouvelles valeurs Lorsque la configuration est termine, entrez la commande suivante : service perfigo reboot
3. 4. 5. 6.
Pendant l'enregistrement soumettez tous les PAK que vous avez reu et les adresses MAC de vos systmes. Vous recevrez alors par mail un fichier de license par PAK dclar. Enregistrez ces fichiers de license sur votre disque dur et installez le ou les CAS, CAM comme dcrit au 2.1 et 2.2 de notre tude. Une fois l'installation termine, rendez-vous sur la console web d'administration du CAM en ouvrant un navigateur et en saisissant l'IP du CAM. Lors de la premire ouverture vous serez prier d'enregistrer vos fichiers de license.
7. Dans le champ rserv la license CAM, faites PARCOURIR et rendez-vous sur le fichier de license que vous avez acquis prcedemment pour votre CAM et cliquez sur INSTALLER LA LICENSE. 8. Lorsque vous soumettrez une license valide (valutation, stater kif ou liense individuel) vous serez redirigs vers la console web d'administration du CAM. Saisissez le login et mot de passe par dfaut (admin/cisco) et cliquez sur LOGIN.
La page par dfaut correspond la page de rsum de surveillance (SUMMARY / MONITORING). Vous pouvez naviguer grace au menu prsent gauche.
Pour installer les fichiers de license pour le ou les CAS rendez-vous dans ADMINISTRATION>CCA MANAGER>LICENSING
Pour chaque CAS que vous possdez slectionner le chemin vers les fichiers de license et cliquez sur INSTALL LICENSE. Une confirmation apparatra en vert en haut de la page si l'installation s'est droule correctement. Une fois l'ensemble des licenses pour les CAS installes, vous verrez apparatre en bas de la page le nombre total de CAS autoriss par license.
un clean access server in-band un clean access server out-of-band un clean access manager
La procdure d'installation sera la mme que celle dcrite prcedemment seuls les fichiers de license seront diffrents.
En vous rendant dans ADMINISTRATION>CCA MANAGER>LICENSING vous pourrez savoir combien de jours d'valuation il vous reste.
Premirement ajoutez le CAS dans le domaine administrable du CAM dsir. Rendez-vous dans la section ADMINITRATION PERIPHERIQUES (DEVICE MANAGEMENT) et cliquez sur le lien du CAS dsir.
Dans le champ rserv cet effet (SERVER IP ADDRESS) entrez l'adresse IP de l'interface de confiance (eth0) du clean access serveur. (Il s'agit de la mme IP que celle entre pendant l'installation du CAS) Le champ de localisation du serveur est optionnel et vous permet d'entrer une description qui identifie le CAS. Le menu SERVER TYPE vous demande de choisir si vous dsirez installer le CAS comme une passerelle (gateway) ou comme un pont (bridge).
En mode In-band vous aurez le choix entre trois modes en fonction de votre environnement : 1. 2. Virtual gateway : le CAS agit comme un pont entre le rseau de confiance et une autre passerelle existante Real IP Gateway : le CAS agit comme une passerelle vers le rseau qui n'est pa de confiance
3.
NAT gateway : le CAS agit comme une passerelle et offre de service NAT au rseau qui n'est pas de confiance
Notez qu'en mode Real IP et NAT gateway, les deux interfaces du CAS (eth0 et eth1) doivent tre dans des sous rsaux diffrents. En mode Virtual gateway le CAS et le CAM doivent tre sur des sous-rseaux diffrents mais les deux interfaces du CAS peuvent utiliser la mme IP. En mode Out-Of-band vous aurez le choix entre trois modes en fonction de votre environnement : 1. 2. 3. Out-of-Band Virtual gateway : le CAS est une passerelle virtuelle tant que le trafic est in-band pour l'authentification Out-of-Band Real IP Gateway : le CAS est une passerelle REAL IP tant que le trafic est in-band pour l'authentification Out-of-Band NAT gateway : le CAS est une passerelle NAT tant que le trafic est in-band pour l'authentification Aprs avoir fait les choix qui vous conviennent, cliquez sur ADD CLEAN ACCESS SERVER pour ajouter le CAS.
En cas o l'ajout ne fonctionnerait pas vrifiez les paramtres IP, effectuez un PING sur le CAS, vrifiez que le mot de passe de partage est le mme sur le CAM et sur le CAS (vous pouvez le remettre zro grce la commande service perfigo config) puis recommencez.
3.1 Administration
sdfzeorpzoeripzoer zeporizpeori zeporizpeori zeporizpeori