Académique Documents
Professionnel Documents
Culture Documents
Projet de Fin D Etudes Implementation D Une Solution NAC Avec Cisco ISE Anouar ABDALLAH PDF
Projet de Fin D Etudes Implementation D Une Solution NAC Avec Cisco ISE Anouar ABDALLAH PDF
Rfrence :
Que les membres du jury trouvent ici mes profonds remerciements pour lhonneur
quils mont fait en assistant cette soutenance.
[Abou Hourayrah]
Rsum
Ce rapport sinscrit dans le cadre de notre projet de fin dtudes ralis au sein de
l'entreprise Next Step IT, consistant la mise en place dune solution de contrle d'accs au
rseau. Cette solution est constitue de plusieurs composants qui, en fonctionnant de faon
contige, permettront de filtrer laccs au rseau en authentifiant tout hte demandant l'accs et
deffectuer, sur lhte authentifi, un ensemble de tests pour vrifier son tat de sant et le
rendre conforme avec la stratgie de scurit suivie.
Ces objectifs seront raliss par l'implmentation dune plateforme de scurit fournie par
le leader mondial, Cisco Systems, et intgre avec un service dannuaire (Microsoft Active
Directory) afin d'assurer lauthentification, ainsi qu'un commutateur et un contrleur de rseau
local sans fil servant connecter les utilisateurs respectivement aux rseaux filaire et sans fil.
Abstract
This report is part of our graduation project realized within Next Step IT company,
consisting in the implementation of a network access control solution. This solution is composed
of several components, operating adjacently, allow to filter network access by authenticating any
host requesting access and to effect in this authenticated host a series of tests to check its health
status and whether it conforms with the followed security strategy.
La scurit des rseaux devient, de nos jours, un thme indispensable pour garantir la
disponibilit et lefficacit des ressources sur le rseau. La spcification de laccs au rseau est
devenue trs importante pour la protection des ressources soit des tentatives dintrusions internes
ou externes, lesquelles dveloppent des nouvelles techniques de jour en jour, ou encore des accs,
aux donnes et informations de haute importance ou trs confidentielles, par des membres non
qualifis. Cest pour cela que chaque utilisateur ou machine, voulant accder au rseau, doit tre
identifi et subir quelques tests de compatibilit avec le rseau (intgration au domaine, existence
dun antivirus bien dfini sur la machine qui veut sauthentifier, etc.); il sera, par la suite, dirig
selon son identit et les droits daccs qui lui seront attribus vers les ressources et les sous
rseaux auxquels il aura accs.
Ce projet reprsente une mise en place dune solution de scurit et de conformit rseau
qui traitera des aspects de manque de scurit. Cela se traduit par l'tablissement d'un mcanisme
dauthentification automatique, lors du branchement du cble rseau ou en cas d'utilisation du
rseau sans fil. Ceci est valable pour un utilisateur permanent; alors que pour un utilisateur
temporaire (visiteur), l'authentification s'effectue via le portail Web. Une fois authentifi, le client
(poste de travail) subira quelques tests destins sassurer de sa conformit vis--vis de la
stratgie de scurit prdfinie. Aprs avoir effectu ces tests et si le client prsente des
vulnrabilits qui ncessitent linstallation ou la mise jour dun composant, il aura un accs
restreint lui offrant les mises jour ncessaires pour tablir les remdes appropris et atteindre
ainsi un tat conforme et sain.
Aussi, le prsent rapport dcrit-il la mise en place de cette solution. Dans son premier
chapitre, il abordera le cadre gnral du projet. Le deuxime chapitre intitul tat de l'art est
ddi aux concepts thoriques relatifs notre solution . Le troisime chapitre viendra dtailler les
tapes d'installation et les configurations ncessaires des divers lments composant la solution.
Dans le quatrime et dernier chapitre, nous clturerons par l'exercice des tests ncessaires tendant
nous prmunir d'un ventuel mauvais fonctionnement.
CHAPITRE 1 :
PRSENTATION DU
PROJET
Chapitre 1 Prsentation du projet
pro
1.1. Introduction
Au cours de ce chapitre, nous exposons le contexte gnral du projet. Aussi, nous
prsentons, en premier lieu, l'entreprise d'accueil,
d'accuei le besoin de dploiement
ploiement d'une solution NAC
ainsi que notre contribution relie au besoin de l'entreprise et nous finissons par la citation de la
planification prvisionnelle et de la mthodologie
mt de travail que nous aurons suivre.
suivre
Next Step IT est une socit responsabilit limite, fonde au cours de l'anne 2012,
implante Tunis, Mutuelleville et employant une quarantaine de personnes.
Next Step IT propose le service daudit des infrastructures des systmes d'informations.
Les prestations d'audit ont pour objectif d'tablir un tat des lieux des infrastructures
informatiques existantes afin d'valuer les besoins et mettre en vidence tous les aspects
asp
ncessaires pour optimiser l'environnement et l'organisation. Ainsi, Next Step IT accompagne
3 | Page
Chapitre 1 Prsentation du projet
t-elle ses clients pour faire un choix stratgique sur l'volution de son systme d'information et ce
en toute connaissance de cause.
tude et conseil
La russite dune solution dpend du soin apport sa conception. Next Step IT tudie
des solutions sur mesure, sadaptant au contexte et aux besoins des entreprises. Elle accompagne
ses clients dans cette dmarche :
o Recueil des besoins
o Analyse de lexistant et visites des sites
o Dfinition des spcifications techniques, fonctionnalits, performances, etc.
o Identification des contraintes, du budget et des dlais
o Dmonstration, mise en place de maquette et accompagnement au test
o Assistance la rdaction des cahiers des charges
Intgration
Next Step IT est une spcialiste d'intgration de solutions d'infrastructure rseau, systme,
scurit et communications. Elle ddie une quipe compose dun chef de projet, dun ingnieur
commercial et dingnieurs et techniciens pour la dure du projet. Toute lquipe projet de Next
Step IT est certifie par les constructeurs partenaires. Elle est constitue de techniciens et
dingnieurs certifis et forms en permanence sur ses solutions et sur les diffrentes technologies
qui touchent son mtier. Tous ses projets d'intgration passent par une phase de prparation et
planification, une phase de conception, une phase d'implmentation et migration et enfin un
transfert de comptence et une assistance au dmarrage.
Assistance technique
Next Step IT associe la comptence technique de son quipe et les outils informatiques
ncessaires afin d'apporter l'assistance technique adquate et haute valeur ajoute ses clients.
Le professionnalisme et l'expertise de Next Step IT garantissent ses clients :
o Ractivit : les quipes interviennent directement l o on le souhaite, en fonction des
contraintes des clients:
o Efficacit : les techniciens trouvent la solution la plus approprie dans les meilleurs
dlais
o Transparence : ses interventions font lobjet de rapports et de transfert de comptence
o Savoir-faire : le problme du client est pris en charge par une quipe qualifie,
exprimente et certifie
4 | Page
Chapitre 1 Prsentation du projet
Support et maintenance
1.4. Contribution
5 | Page
Chapitre 1 Prsentation du projet
Lors de la discussion avec le reprsentant de l'entreprise, il s'est avr que les services
raliser, lesquels sont intgrs dans la solution NAC, dpendent des fonctionnalits disponibles
dans la plate-forme ISE et des besoins des clients de Next Step IT. Par consquent, notre mise en
place pourra subir de nombreuses modifications en fonction de l'avancement.
Par ailleurs, nous avons opt pour une gestion de projet Agile, mthode plutt adopte
dans les dveloppements informatiques et plus prcisment la mthode SCRUM. Ses principales
caractristiques sont :
La transparence : un langage commun doit permettre tout observateur d'obtenir
rapidement une bonne comprhension du projet.
L'inspection : intervalles rguliers, Scrum propose de faire le point sur les diffrentes
modifications produites, afin de dtecter toute variation indsirable.
L'adaptation : si une drive est constate pendant l'inspection, le processus devra alors
tre adapt.
1.7. Conclusion
Dans ce qui prcde, nous avons abord le contexte gnral de notre projet et plus
prcisment l'environnement de ralisation et la gestion suivie. De mme que la prcision des
objectifs du projet par une planification prvisionnelle nous a permis d'assurer le bon
droulement et de garantir le respect des dlais.
6 | Page
CHAPITRE 2 :
TAT DE L'ART
Chapitre 2 tat de l'art
2.1. Introduction
Notre projet consistant implmenter une solution NAC base de la plate-forme Cisco
ISE, ce chapitre sera donc loccasion de mettre l'accent sur les dtails de cette solution et
particulirement la plate-forme ISE dans le but de mieux comprendre la partie ralisation qui sera
traite ultrieurement.
Le contrle daccs au rseau (ou NAC) est un terme qui englobe diverses technologies
dveloppes pour contrler/restreindre laccs au rseau par les systmes dextrmit en fonction
de leur tat de sant . Lide de base est que les systmes dextrmit dangereux ou vulnrables
( en mauvaise sant ) ne doivent pas communiquer sur le rseau de lentreprise dans la mesure
o ils pourraient introduire un risque de scurit pour les processus et les services critiques. Une
solution NAC empchera un systme dextrmit en mauvaise sant daccder normalement au
rseau jusqu ce que la sant de ce systme soit assure.
Le bilan de sant dun quipement connect au rseau est galement appel valuation
du systme dextrmit. Les systmes dextrmit peuvent tre notamment des PC, des
imprimantes, des tlphones IP, des camras de scurit IP traditionnelles, etc. Cette valuation
doit permettre de dcouvrir le niveau de vulnrabilit ou de menace acceptable dun systme
dextrmit. Des lments, tels que le niveau de patch de scurit, la prsence de solutions
antivirus/anticodes malveillants, les mises jour de signatures antivirales/anticodes malveillants,
les applications en cours dexcution et les ports ouverts peuvent tous tre analyss afin de
dterminer ltat de sant global du systme dextrmit.
Aprs excution du processus dvaluation et dautorisation du systme dextrmit, s'il
s'avre que ce dernier est non conforme aux politiques de scurit du rseau, on peut lui accorder
un accs restreint ou encore le mettre en quarantaine rseau. Le processus dapplication des
politiques de mise en quarantaine fait intervenir des politiques de communication rseau trs
granulaires, cest--dire base de flux et non pas une simple affectation un VLAN. En effet,
regrouper tous les systmes dextrmit en mauvaise sant au sein du mme VLAN de
quarantaine revient les laisser sinfecter mutuellement avec de nouvelles vulnrabilits. Les
8 | Page
Chapitre 2 tat de l'art
politiques rseau dcrivent la manire dont le trafic entrant sur des ports de commutation doit
tre trait au niveau du filtrage et du balisage.
Dans le cadre dune solution NAC, la remdiation consiste rsoudre un problme des
fins de conformit avec certaines politiques prdfinies. Ce processus de remdiation permet
lutilisateur mis en quarantaine rseau de recouvrer sa conformit. Il est important que ce dernier
soit impliqu dans le processus de remdiation afin doptimiser les performances des processus
mtier. (Enterasys Secure Networks, 2007)
2.2.2. Architecture
9 | Page
Chapitre 2 tat de l'art
d'authentification Posture (statut des priphriques qui requirent un accs) en fonction des
rgles de conformit.
Serveurs d'entreprise (D) : zone critique du rseau et que la solution NAC
protge des priphriques malsains, infects ou vulnrables.
VLAN de quarantaine (E) : zone de rseau protge virtuelle dans laquelle les
priphriques peuvent tre scuriss et corrigs, r-analyss, puis ils obtiennent un accs
complet au rseau d'entreprise, ou restent conservs avec un accs restreint aux ressources
de rseau telle que l'Internet. (LANDESK, 2013)
Plusieurs solutions NAC sont disponibles. Elles peuvent tre classifies sous deux
principales catgories : commerciales et libres.
Les solutions commerciales
De nombreuses solutions existent sur le march. Les trois constructeurs suivants sont les
dominants : Cisco, Microsoft et Juniper. La solution CISCO est traite avec plus de dtails vu
qu'elle est utilise lors de la ralisation de ce projet, alors que les deux autres seront voques
brivement.
Solution Cisco
La gamme Cisco peut tre dfinie par les caractristiques suivantes :
Intgration de lauthentification avec ouverture de session unique
Cisco NAC joue le rle de proxy dauthentification pour la plupart des formes
dauthentification, puisquil intgre de manire native Kerberos, LDAP (Lightweight Directory
Access Protocol), RADIUS, Active Directory et bien dautres solutions encore. Afin de
minimiser la gne pour les utilisateurs finaux, Cisco NAC supporte louverture de session unique
pour les clients VPN, les clients sans fil et les domaines Windows Active Directory. Le contrle
daccs base de rles permet ladministrateur de grer de multiples profils utilisateurs avec des
niveaux de permission diffrents.
Cisco NAC supporte lanalyse de tous les systmes d'exploitation Windows, de Mac OS,
des machines Linux et des quipements de rseau autres que les PCs (consoles de jeu, PDA,
imprimantes, tlphones IP, etc.). Il effectue une analyse rseau et peut, si ncessaire, utiliser des
outils danalyse personnaliss. Cisco NAC peut vrifier nimporte quelle application identifie par
ses cls de registres, les services excuts ou les fichiers systmes.
10 | Page
Chapitre 2 tat de l'art
Mise en quarantaine
Cisco NAC peut placer les machines non conformes en quarantaine pour viter la
propagation des infections tout en lui ouvrant un accs des ressources de remdiation. La
quarantaine peut seffectuer sur un sous rseau de petite taille (type /30) ou sur un VLAN de
quarantaine.
Les mises jour automatiques des politiques de scurit fournies par Cisco dans le cadre
du service de maintenance logicielle standard permettent dobtenir des politiques prdfinies pour
les critres daccs rseau les plus courants, notamment les politiques qui vrifient les mises jour
critiques du systme d'exploitation comme des signatures antivirus et anti logiciels espions des
principaux produits du march. Cette fonction rduit les frais de gestion pour ladministrateur
rseau qui peut laisser au serveur Cisco NAC le soin de veiller la mise jour permanente des
politiques de scurit.
Gestion centralise
La console de gestion Web du Cisco NAC permet ladministrateur de dfinir les types
danalyse exigibles pour chaque rle ainsi que les outils de remdiation ncessaires aux
rparations . Une mme console de gestion peut administrer plusieurs serveurs.
Remdiation et rparation
Solution Microsoft
11 | Page
Chapitre 2 tat de l'art
Les dploiements de la technologie NAP exigent des serveurs dots de Windows Server
2008 ou 2012. De plus, cela suppose que des ordinateurs clients, excutant Windows XP,
Windows Vista, Windows 7 ou Windows 8, soient disponibles.
Le serveur central charg de lanalyse de dtermination de lintgrit pour la technologie
NAP est un ordinateur dot de Windows Server 2008 ou 2012 et dun serveur NPS (Network
Policy Server). NPS est limplmentation Windows du serveur et proxy RADIUS (Remote
Authentication Dial-In User Service). Le NPS remplace le service dauthentification Internet
(IAS ou Internet Authentication Service) dans le systme dexploitation Windows Server 2003.
Les priphriques daccs et les serveurs NAP assument la fonction de clients RADIUS
pour un serveur RADIUS NPS. NPS effectue une tentative dauthentification et dautorisation
dune connexion rseau puis, en fonction des stratgies de contrle dintgrit , dtermine la
conformit de lintgrit des ordinateurs et la manire de restreindre laccs rseau dun
ordinateur non conforme. (Microsoft, 2008)
Solution Juniper
La solution Juniper ou Unified Access Control (UAC) s'appuie sur les normes de
l'industrie, notamment 802.1X, RADIUS, IPsec et IF-MAP de TNC, lesquelles permettent
l'intgration de la solution UAC n'importe quel quipement de scurit et rseau tiers.
Elle combine l'identit des utilisateurs, le statut de scurit des dispositifs et les
informations sur lemplacement dans le rseau pour crer une stratgie de contrle des accs,
12 | Page
Chapitre
re 2 tat de l'art
unique
nique pour chaque utilisateur (qui fait quoi
q et quand?). La solution peut tre active en couche 2
laide du protocole 802.1X, ou en couche 3 via un dploiement de rseaux superposs. UAC
2.0 peut galement tre mis en uvre dans un mode mixte qui utilise le protocole 802.1X pour
contrler les admissions sur le rseau et la couche 3 pour contrler les accs aux ressources.
La solution UAC comprend Junos Pulse, Junos Pulse Access Control Service, les
passerelles Junos Pulse MAG Series, les quipements de contrle d'accs unifi IC Series, ainsi
que des points
ts de mise en application d'Unified Access Control (UAC) comprenant tous les
commutateurs ou points d'accs 802.1X conformes au protocole IF-MAP
IF MAP de larchitecture
Trusted Network Connect (TNC).
Parmi ces quipements figurent,
figurent par exemple, les commutateurss EX Series, les points
d'accs pour rseau local WLA Series et les passerelles SRX Series. (Juniper Networks, 2011)
Plusieurs
ieurs solutions libres existent.
existent Les plus rpandues sont FreeNAC et PacketFence.
FreeNAC
13 | Page
Chapitre 2 tat de l'art
L'attribution d'un VLAN est base sur l'adresse MAC d'une machine. En mode VMPS,
l'authentification et l'attribution ont lieu en une seule tape. En mode 802.1x, l'authentification
des utilisateurs (dans le domaine Windows), ou celle des machines (par certificat), se droule en
premier, et ce n'est que par la suite que l'adresse MAC est utilise pour l'attribution du VLAN.
(FreeNAC)
PacketFence
PacketFence est une solution de conformit rseau (NAC, Network Access Control)
entirement libre, supporte et reconnue. Elle procure une liste impressionnante de
fonctionnalits tels :
L'enregistrement des composantes rseau grce un puissant portail captif
Le blocage automatique, si souhait, des appareils indsirables tels que les produits
Apple et Sony, bornes sans fil et autres
L'enrayement de la propagation de vers et virus
Le freinage des attaques sur les serveurs ou les diverses composantes du rseau
La vrification de la conformit des postes prsents sur le rseau (logiciels installs,
configurations particulires, etc.)
La gestion simple et efficace des invits se connectant sur le rseau
L'authentification des utilisateurs en se rfrant au standard 802.1X
L'isolation niveau-2 des composantes problmatiques
L'intgration des dtecteurs d'intrusions Snort et de vulnrabilits Nessus (Marcotte,
2013)
2.3.1. Dfinition
Identity Services Engine (ISE) est la dernire gnration des plates-formes de contrle
d'accs proposes par Cisco et qui permet aux entreprises d'imposer leurs politiques de scurit
lors de l'accs, de renforcer la scurit de leurs infrastructures et de rationaliser leurs oprations
de services.
L'architecture unique de Cisco ISE permet aux entreprises de recueillir les informations
concernant les utilisateurs et les priphriques, en temps rel partir du rseau. L'administrateur
14 | Page
Chapitre 2 tat de l'art
peut ensuite utiliser ces informations pour prendre des dcisions de gouvernance proactive en
liant l'identit divers lments du rseau, y compris les commutateurs, les contrleurs de rseau
local sans fil (WLC) et les passerelles des rseaux privs virtuels (VPN).
Le schma suivant montre un exemple de dploiement de l'ISE au sein du rseau :
La plate-forme ISE peut tre considre comme tant un systme de contrle d'accs
consolid, base de rgles et intgrant un sur-ensemble de fonctionnalits disponibles dans les
plates-formes existantes. Parmi ses caractristiques, on peut citer :
L'ACS ou Secure Access Control System est le prdcesseur de l'ISE. Le tableau suivant
prsente une comparaison entre les deux :
Cisco ACS Cisco ISE
Support du protocole d'authentification
Oui Non
TACACS+ et ses services
Autorisation et authentification des
Oui Oui
machines et des utilisateurs
Profilage intgr Non Oui
Services "Guest" intgrs Non Oui
Security Group Access(SGA) Oui Oui
15 | Page
Chapitre 2 tat de l'art
2.3.3. Fonctionnement
802.1X
16 | Page
Chapitre 2 tat de l'art
Le protocole EAP est extensible puisque tout mcanisme d'authentification peut tre
encapsul lintrieur des messages EAP. Au niveau suprieur se trouvent les mthodes
d'authentification, comme TLS, MSChap, SIM, etc. La trame EAP elle-mme est encapsule
dans une trame de transport. Cette encapsulation peut seffectuer soit dans une trame EAP over
Radius, cest--dire dans une trame RADIUS, soit dans une trame EAPoL (EAP over LAN) qui
est utilise dans les rseaux locaux, en particulier les rseaux locaux sans fil de type Wi-Fi.
(Pujolle, 2008)
Quel que soit le choix du mcanisme d'authentification entre le point daccs et le serveur
d'authentification, les paquets EAP sont gnralement achemins grce au protocole RADIUS.
RADIUS est depuis longtemps le protocole AAA (Authentication, Authorization, Accounting)
le plus largement adopt. Utilis par les ISP pour authentifier les utilisateurs, il est principalement
conu pour transporter des donnes d'authentification, dautorisation et de facturation entre des
NAS (Network Access Server) distribus, qui dsirent authentifier leurs utilisateurs et un serveur
d authentification partag.
RADIUS utilise une architecture client-serveur qui repose sur le protocole UDP. Les
NAS, qui jouent le rle de client, sont responsables du transfert des informations envoyes par
lutilisateur vers les serveurs RADIUS. Ces derniers prennent en charge la rception des
demandes dauthentification, l authentification des utilisateurs et les rponses contenant toutes
les informations de configuration ncessaires aux NAS. Les serveurs RADIUS peuvent
galement agir comme proxy pour dautres serveurs RADIUS.
Si un quipement mobile a besoin daccder au rseau en utilisant RADIUS pour
l'authentification, il doit prsenter au NAS des crdits d'authentification (identifiant utilisateur,
mot de passe, etc.). Ce dernier les transmet au serveur RADIUS en lui envoyant un ACCESS-
REQUEST. Le NAS et les proxys RADIUS ne peuvent interprter ces crdits d'authentification
car ces derniers sont chiffrs entre lutilisateur et le serveur RADIUS destinataire. la rception
17 | Page
Chapitre
re 2 tat de l'art
de cette requte, le serveur RADIUS vrifie l'identifiant du NAS puis les crdits d'authentification
de lutilisateur
lisateur dans une base de donnes LDAP (Lightweight Directory Access Protocol) ou
autre.
Les donnes dautorisation changes entre le client (le NAS) et le serveur RADIUS sont
toujours accompagnes dun secret partag. Ce secret est utilis pour vrifier
vrifie lauthenticit et
lintgrit de chaque paquet entre le NAS et le serveur.
serveur (Pujolle, 2008)
Les messages EAP transportent les changes dauthentification entre le client et le serveur
d'authentification. Le Switch ne fait que les relayer, toutefois de part et dautre du Switch, les
messages EAP ne sont pas transports de la mme faon. Entre le client et le Switch, EAP est
directement dans la charge utile des trames Ethernet. Entre le Switch et le serveur RADIUS,
EAP est transport dans les messages RADIUS. La figure suivante explique les deux
encapsulations :
2.3.4. Licences
La stratgie des licences suivie par Cisco vise minimiser le nombre de licences
commander en combinant les diffrents services. Actuellement, quatre paquets de licence ISE
CISCO sont disponibles : Base, Advanced, Plus et Wireless.. La licence d'valuation est incluse
in
dans la plate-forme ISE, offrant tous les services pour une dure de trois mois. La licence
commander reste valide durant un, trois ou cinq ans. Le tableau qui suit expose les diffrents
services et les licences correspondantes.
18 | Page
Chapitre 2 tat de l'art
2.4. Conclusion
19 | Page
CHAPITRE 3 :
RALISATION
Chapitre 3 Ralisation
3.1. Introduction
Aprs avoir achev les notions thoriques, nous passons la mise en place de notre
solution, laquelle reprsente notre tche principale. Au cours de ce chapitre, nous nous
attarderons sur les diffrentes configurations requises pour assurer le contrle d'accs des
utilisateurs des rseaux filaire et sans fil. Ceci revient essentiellement paramtrer la plate-forme
ISE, le commutateur ainsi que le contrleur du rseau sans fil ou le WLC.
L'installation des machines virtuelles s'est droule sur le serveur de l'entreprise, lequel est
dot des caractristiques suivantes :
21 | Page
Chapitre 3 Ralisation
22 | Page
Chapitre 3 Ralisation
Le nom de domaine que nous avons choisi est : NSIT.local (abrviation du nom de
l'entreprise : Next Step IT)
23 | Page
Chapitre 3 R
Ralisation
Figure 12:
12 Tlchargement de l'image .iso sur la datastore
La plate-forme
forme ISE requiert une machine virtuelle ayant au minimum les caractristiques
suivantes :
Mmoire vive de 4 GB
Mmoire disque de 200 GB
4 processeurs (CPUs)
Deux cartes rseaux (2 NIC)
24 | Page
Chapitre 3 Ralisation
La machine contenant la plate-forme ISE est appele "node". Elle peut fonctionner selon
deux modes :
Standalone : dploiement d'une seule plate-forme assurant les diffrents services
Primaire-secondaire : dploiement distribu, permettant la sparation des services et le
basculement "failover" entre les deux nuds.
Pour assurer la haute disponibilit, nous avons opt pour la mise en place de deux
plates-formes ISE. Leur intgration ncessite une authentification mutuelle base sur les
certificats : chacune possde son propre certificat, lequel doit tre gnr par l'autorit de
certification (Certificate Authority). Dans notre cas, l'autorit est reprsente par le contrleur de
domaine. La gnration du certificat est offerte par le service de certificats Active Directory.
25 | Page
Chapitre 3 R
Ralisation
L'tape suivante consiste gnrer les demandes des certificats "Certificate Request"
partir de l'ISE afin de les traiter au niveau du service des certificats Active Directory.
Director Le fichier de
la demande est par la suite ouvert avec un diteur de texte et son contenu est coll au service
appropri. Le modle de certificat choisir est "Serveur Web".
26 | Page
Chapitre 3 R
Ralisation
27 | Page
Chapitre 3 Ralisation
Par consquent, il possde toujours une copie complte de la configuration. Au cas o le nud
primaire est devenu hors service, le responsable doit se connecter l'interface du nud
secondaire et le promouvoir pour pouvoir configurer les rgles.
Une fois la jointure russie, et en consultant la liste des machines existantes sur le
contrleur, nous pouvons constater que la machine sur laquelle est installe Cisco ISE est
automatiquement additionne.
28 | Page
Chapitre 3 Ralisation
Aprs avoir effectu la jointure Active Directory, nous devons importer les groupes
permettant d'authentifier les utilisateurs du domaine et servant affecter le profil d'autorisation
appropri chaque utilisateur. Pour afficher les groupes dont on a besoin, il faut taper leurs
noms, autrement il faut taper "*" pour lister les groupes existants. La figure qui suit montre
l'importation du groupe "Utilisateurs du domaine".
29 | Page
Chapitre 3 R
Ralisation
Afin d'autoriser plus qu'une source d'authentification pour une seule rgle, il a fallu
ajouter une squence de source d'identit ou "Identity Source Sequence" permettant de vrifier
les identits
ts en consultant les sources par ordre. La figure suivante montre la squence dfinie :
30 | Page
Chapitre 3 R
Ralisation
Il est possible de dfinir des rgles avec des conditions simples ou composes. Une
condition simple est base sur un oprande, un oprateur tels que "equal to" et "not equal to"
ainsi qu'une valeur. Ces conditions peuvent tre dfinies au niveau de la librairie et appeles
directement lors de la dfinition de la rgle pour une meilleure organisation. Une condition
compose rassemble deux conditions simples ou plus avec un oprateur OR ou AND. La figure
suivante montre le rassemblement de deux conditions
conditions existantes dans la librairie avec un
oprateur OR pour la rgle "MAB".
AB".
La dfinition des rgles repose sur les attributs du protocole RADIUS. Les attributs
constituent le principe le plus important du protocole Radius, aussi bien dans sa version initiale
que pour ses extensions. Les champs attributs sont le fondement du protocole. Par consquent, la
bonne comprhension de leur signification et de leur rle est indispensable pour tirer le meilleur
parti de Radius. Chaque attribut
but possde un numro appropri,
appropri auquel est associ un nom. Il
existe un grand nombre dattributs dans le protocole Radius, mais peu dentre eux sont utiles
31 | Page
Chapitre 3 R
Ralisation
Les services de posture fournis par Cisco ISE permettent de vrifier la disponibilit des
dernires mises jour au niveau de la machine du client ou l'existence de certaines applications
tels que les anti-virus
virus et les anti-spywares.
anti Afin d'valuer la machine, le client doit disposer de l'un
de ces deux Agents :
Cisco NAC Web Agent : un agent temporaire que les clients installent
installe lors du login et
qui disparait une fois la session de login termine. Il est recommand pour des utilisateurs
ayant un accs pour une priode bien dtermine.
Cisco NAC Agent : un agent persistant qui, une fois
is install, subsiste sur une machine
Windows ou Mac pour permettre l'valuation lors des prochaines connexions. Il est
gnralement utilis avec les utilisateurs du domaine.
32 | Page
Chapitre 3 Ralisation
Par ailleurs, ces agents peuvent faciliter la remdiation des machines en affichant un
message expliquant la procdure et en fournissant des fichiers tlcharger et installer. La plate-
forme ISE donne la possibilit de rediriger les clients vers une page de tlchargement des agents
pour ceux qui n'en disposent pas et ce grce une option configurer au niveau du profil
dautorisation. Ce service est appel "Client Provisioning". La figure qui suivra expose les rgles
de "Client Provisioning" dfinies : la premire fournit l'agent temporaire "Web Agent" aux invits
"Guests", alors que la deuxime fournit l'agent persistant aux autres utilisateurs qui sont
principalement les membres du domaine. Il est prciser que l'ordre des rgles est primordial
pour assurer une bonne affectation. Par exemple, en inversant l'ordre, tous les utilisateurs
tlchargeront l'agent persistant et la deuxime rgle ne sera jamais applique.
Pour pouvoir choisir l'agent appropri, nous avons d le tlcharger directement sur la
plate-forme et ce partir du site Cisco . Par consquent, le nom de domaine cisco.com doit tre
rsolu partir de l'ISE. La liste qui suit prsente des versions multiples des deux types d'agents
NAC, temporaires et persistants.
Aprs avoir fourni les agents permettant l'valuation de posture aux clients, nous devons
procder la phase de dfinition des rgles de posture. Une rgle s'crit :
Si condition(s) alors exigence
Aussi, une exigence peut tre dcompose comme suit :
Si condition(s) alors action de remdiation
33 | Page
Chapitre 3 R
Ralisation
Nous pouvons aussi former une condition compose base de conditions simples ou
composes. En outre,, des conditions composes intgres
intgr s avec l'ISE existent : Antivirus et
Antispywares.. Lors de l'ajout d'une condition d'antivirus et aprs le choix du systme
d'exploitation, la liste des vendeurs s'affiche :
Pour une telle condition, Cisco ISE donne la possibilit d'examiner la machine pour
p
vrifier l'existence de l'antivirus ou mme la disposition d'une version rcente. Ceci est ralisable
en analysant le fichier de dfinition de la version par les Agents NAC.. En consquence, les
versions reconnues par l'ISE doivent tre mises jour continuellement.
Figure 32:
32 Champs remplir d'une condition d'antivirus
34 | Page
Chapitre 3 Ralisation
Comme l'entreprise Next Step IT est un revendeur des produits Mcafee, nous avons opt
pour l'utilisation de ce vendeur dans la dfinition de la rgle. Tout utilisateur demandant l'accs au
rseau doit disposer d'une version de l'antivirus Mcafee.
Aprs avoir dfini la condition d'antivirus, nous devons choisir l'action de remdiation. Il
est possible de permettre l'accs des adresses IP bien dfinies servant tlcharger et mettre
jour l'anti-virus tel que le site officiel de Mcafee et ce lors de la dclaration de la liste d'accs
(ACL), ou d'offrir le fichier excutable directement. Dans notre cas, nous avons import le
fichier d'installation de l'antivirus sur la plate-forme pour qu'il soit tlchargeable directement.
35 | Page
Chapitre 3 Ralisation
La rgle de posture dfinie exige la disposition d'un antivirus Mcafee pour tous les
utilisateurs de l'environnement Windows en faisant appel celle qui vient d'tre dclare et
nomme "Mcafee".
Aprs avoir eu accs, un client peut dsinstaller son anti-virus, ou d'une autre manire,
dtourner la rgle dfinie. Ceci nous oblige revrifier la machine priodiquement. Dans notre
cas, nous avons appliqu une rvaluation rgulire d'une heure comme dcrit dans la figure
suivante.
36 | Page
Chapitre 3 Ralisation
3.4.3. Autorisation
Dans notre cas, nous avons besoin des attributs d'authentification et de posture ainsi que
des groupes d'utilisateurs. Afin de vrifier l'tat de la machine par rapport la rgle de posture,
nous avons recours l'attribut "PostureStatus" . Cet attribut peut avoir trois valeurs :
Unknown : aucune donne n'a t obtenue pour valuer la machine; l'agent NAC n'est
pas disponible
Noncompliant : la machine n'est pas conforme avec une ou plusieurs rgles
Compliant : la machine est conforme avec les rgles
37 | Page
Chapitre 3 R
Ralisation
Aprs avoir termin la cration des profils, nous pouvons dfinir les rgles. Ces rgles
autorisent l'accs aux utilisateurs authentifis au domaine ou via le portail Web et ayant des
machines conformes aux rgles de posture. Un
Un utilisateur de domaine ne disposant pas de l'agent
NAC ou non conforme avec les politiques de posture est redirig vers la page de Client
Provisioning . Sinon, l'utilisateur est redirig vers le portail Web incluant une phase de validation
de posture.
Tout au long de la mise en place de notre solution, nous avons travaill avec trois
modles diffrents, savoir le Cisco Catalyst 3560, le Cisco Catalyst 3650 et le Cisco Catalyst
2960 et ce selon la disponibilit de l'un ou de l'autre,
l'autre autrement dit, selon les diffrents besoins
des employs de l'entreprise.
Afin d'accder au Switch, nous pouvons nous connecter directement en utilisant un cble
console ou distance via SSH. Le service SSH est par dfaut dsactiv au niveau du
commutateur.
38 | Page
Chapitre 3 Ralisation
Il est rappeler que des ports existant sur un commutateur peuvent fonctionner selon
diffrents modes. Dans les deux sections qui vont suivre nous allons voquer, en premier lieu, la
configuration globale s'appliquant sur la totalit du Switch et en second lieu, nous procdons la
configuration de l'interface.
La commande suivante dont nous avons besoin est dot1x system-auth-control servant
activer le 802.1x pour tout le Switch. Aprs avoir activ le AAA et dot1x, il est ncessaire de
dclarer l'adresse du serveur RADIUS fournissant les services demands ainsi qu'une cl
dauthentification. Cette dclaration est effectue l'aide de la commande radius-server host
172.25.0.200 key nextstep o 172.25.0.200 et nextstep reprsentent respectivement l'adresse IP
de Cisco ISE et la cl d'authentification entre le commutateur et le serveur, laquelle est
mentionne lors de l'ajout du Switch la liste des priphriques rseaux au niveau de l'ISE.
Les ordres d'application des ACLs au niveau des ports, d'affectation des interfaces aux
VLANs ou mme de redirection vers des URLs mis du Cisco ISE au Switch, font appel un
ensemble d'attributs avancs du protocole RADIUS nomms VSA (Vendor Specific Attribute) .
Ces attributs sont changs lors de l'attribution des profils d'autorisation. Afin de bnficier de
ces fonctionnalits, il est indispensable d'appliquer les commandes radius-server vsa send
accounting et radius-server vsa send authentication. La figure suivante reprsente les
diffrentes commandes cites prcdemment, tant prcis que la commande de dclaration du
39 | Page
Chapitre 3 Ralisation
serveur a t saisie deux fois, la premire incluant l'adresse du nud primaire alors que la seconde
inclut l'adresse du nud secondaire.
Un utilisateur tentant d'accder au rseau peut, en premier lieu, avoir un accs restreint
pour raison de non-conformit et ce avant d'avoir un accs plus tendu. Cela se traduit par
l'affectation de multiples profils d'autorisation pour une mme session. Afin de supporter les
requtes de changement du profil d'autorisation manant de l'ISE, le CoA (Change of
Authorization) doit tre activ au niveau du Switch l'aide de la commande aaa server radius
dynamic-author. Aussi, l'adresse du serveur mettant les requtes doit tre spcifie en tapant la
commande client <server ip-address> server-key <server-key string>.
Lors de la dfinition des profils d'autorisation, il est possible de rediriger les utilisateurs
vers la page Web du portail captif pour s'authentifier ou vers la page de tlchargement des
agents NAC. Dans ce cas, le Switch interceptera le flux HTTP et rpondra la commande GET
de HTTP avec l'URL spcifi, tant rappel que ces URLs sont envoys de l'ISE au Switch via
les attributs VSA. Pour assurer cette fonction de redirection, il est indispensable d'activer les
services HTTP et HTTPS via les commandes ip http server et ip http secure-server.
40 | Page
Chapitre 3 Ralisation
Pour savoir quel trafic rediriger, Cisco ISE rfre une liste d'accs dclare au niveau du
Switch ; tout flux ayant comme raction "permit" doit tre redirig . Il est prciser que tout
trafic rediriger autre que HTTP et HTTPS sera rejet. Le tableau suivant expose les diffrentes
rgles dclares sous la liste d'accs :
41 | Page
Chapitre 3 R
Ralisation
Figure 46:
46 Diagramme des mthodes d'authentification
Nous commenons par affecter l'interface au VLAN 340 utilis pour le rseau local de
l'entreprise et la faire fonctionner en mode Access du moment qu'un PC sera directement
connect.
Afin d'activer l'authentification 802.1X sur le port et interdire tout trafic sauf celui du
protocole EAPOL (Extensible
Extensible Authentication
Auth Protocol over LAN),
), nous utilisons la commande
dot1x port-control auto. En combinant cette commande avec la commande dot1x pae
authenticator, le Switch devrait initier l'authentification ds le branchement du cble, autrement
dit, ds que l'interface change son tat de "down" "up".
Pour que l'authentification MAB (Mac Authentication Bypass) soit active, il suffit de
taper la commande mab tout court.
A cet instant, les deux mthodes d'authentification sont actives et il nous reste
favoriser le dot1x par rapport au MAB. Ceci est ralisable l'aide la commande authentication
order dot1x mab.
42 | Page
Chapitre 3 Ralisation
Un WLC Cisco peut tre dploy en tant qu'quipement ou sur une machine virtuelle
(virtual WLC). Dans ce projet, le contrleur a t install sur une machine ; un fichier ayant
l'extension .OVA, et tlcharg partir du site officiel, a t import sur le serveur de
l'entreprise. La figure suivante reprsente un WLC Hardware :
43 | Page
Chapitre 3 R
Ralisation
Le modle de point d'accs utilis est Cisco Aironet 1041N. Il a t branch sur une prise
RJ45 pour pouvoir communiquer avec le contrleur install sur le serveur.
Aprs lui avoir affect une adresse IP et prcis l'adresse du WLC, le point d'accs est
automatiquement dtect au niveau du contrleur grce au protocole CAPWAP.
Les utilisateurs tentant de bnficier de l'accs sans fil se classifient sous deux catgories,
les utilisateurs temporaires (ou visiteurs) et les utilisateurs persistants appartenant au domaine.
Cela se traduit par la diffusion
fusion de deux SSID diffrents ; chaque WLAN possde ses propres
politiques de scurit.
44 | Page
Chapitre 3 R
Ralisation
L'activation de "Support for RFC 3576",, comme indiqu dans la figure prcdente, est
similaire la commande aaa server radius dynamic-author
dynamic saisie au niveau du Switch. En effet,
cette option permet d'accepter les requtes de changement d'autorisation (CoA). Aussi, nous
prcisons la cl secrte partage entre l'ISE et le WLC.
45 | Page
Chapitre 3 R
Ralisation
Aussi, et pour autoriser l'affectation dynamique des profils d'autorisation (CoA), nous
devions cocher la case "Allow AAA Override" et changer la valeur de NAC State Radius NAC.
46 | Page
Chapitre 3 Ralisation
La mme configuration est reprendre avec le deuxime WLAN sauf que la politique de
scurit qui doit tre change par WPA2-802.1X au lieu de Mac Filtering. Contrairement au
commutateur, une seule mthode d'authentification peut tre active sur un mme WLAN.
Aprs avoir termin la configuration des deux WLANs, et linstar de la liste daccs
dclare au niveau du Switch, nous devons ajouter une ACL permettant de prciser le type de
trafic rediriger, tant prcis que les entres doivent tre dclares inversement au Switch ;
47 | Page
Chapitre 3 Ralisation
une rgle permit est remplace par deny et vice versa. Nous navons pas eu recours
additionner une rgle pour le trafic DHCP tant quil est autoris par dfaut.
3.7. Conclusion
Tout au long de ce troisime chapitre, nous avons essay d'aborder les configurations
ncessaires des diffrents lments constituant notre solution et ce, en alternant entre la citation
des principes de fonctionnement et celle des configurations appliques, tout en illustrant avec les
figures explicatives.
Bien que la solution soit configure et mise en place, une phase de test est indispensable
afin de valider le comportement des diffrents composants vis--vis des machines tentant
d'accder au rseau.
48 | Page
CHAPITRE 4 :
TEST ET VALIDATION
Chapitre 4 Test et validation
4.1. Introduction
Une fois la solution mise en place, nous procdons la phase de test dans le but de nous
assurer du bon fonctionnement des quipements et de la configuration. La vrification consiste
essayer de se connecter, aux rseaux filaire et sans fil, avec des scnarios diffrents et ce, en
variant la mthode d'authentification et en faisant intervenir des machines avec des tats de
"sant" divers.
50 | Page
Chapitre 4 Test et validation
val
Aprs avoir saisi les donnes du compte utilisateur, et en essayant daccder la page
http://www.google.fr , nous nous sommes trouvs redirigs vers la page de "Client
Client Provisioning"
Provisioning
fournissant lAgent NAC persistant.
persistant
51 | Page
Chapitre 4 Test et validation
val
Figure 62:
62 Redirection vers la page de Client Provisioning
Le deuxime test que nous effectuons consiste vrifier l'authentification MAB . Pour le
faire,, nous dsactivons l'authentification 802.1X sur l'interface pour que l'authentification par
adresse MAC soit automatiquement utilise.
52 | Page
Chapitre 4 Test et validation
Pour nous assurer de la bonne affectation du profil d'autorisation, nous pouvons avoir
recours au commutateur et utiliser la commande show authentication session interface
GigabitEthernet1/0/23 detail. Les rsultats affichs dans la section Server Policies confirment
le tlchargement de l'URL de redirection partir de l'ISE et l'utilisation de l'ACL adquat pour
connatre quel trafic doit tre redirig.
53 | Page
Chapitre 4 Test et validation
val
Aprs avoir tap les coordonnes, nous sommes redirigs vers la page de CCP (Client
Provisioning Portal) pour tlcharger l'agent NAC. Une fois install, cet Agent nous indique que
notre accs au rseau est restreint pour raison de non-conformit
non tel qu'il est montr sur la figure
et nous suggre la rparation de la machine pour avoir un accs complet.
54 | Page
Chapitre 4 Test et validation
val
Comme nous l'observons sur la figure prcdente,, un lien d'inscription est disponible. Le
mot de passe du compte "Guest" est gnr alatoirement alors que son nom d'utilisateur se
gnre partir du nom et du prnom . Aussi, une version mobile du portail invit est fournie :
Nous pouvons aussi dsactiver l'enregistrement automatique des membres sur le portail et
nous limiter la cration des comptes via le portail responsable ou "Sponsor", lequel est
accessible au lien suivant : https://172.25.0.200:8443/sponsorportal/.
https://172.25.0.200:8443/sponsorportal/ L'authentification sur
55 | Page
Chapitre 4 Test et validation
val
Lors de la cration du compte, nous devons choisir la dure de vie du compte en lui
affectant un des profils existants sur la plate-forme
plate . Dans l'exemple qui suit,, le compte sera actif
durant une priode de huit heures.
56 | Page
Chapitre 4 Test et validation
Nous avons test de nouveau et ce aprs avoir install l'antivirus Mcafee. L'agent NAC
nous a prsent un accs plus tendu au rseau, comme mentionn sur la figure ci-dessous.
57 | Page
Chapitre 4 Test et validation
val
4.4. Conclusion
Cette partie du rapport tait consacre l'essai de la solution avec diffrents scnarios afin
de prouver son bon fonctionnement et son efficacit et ce, en essayant de connecter une machine
au rseau, ou encore en se rfrant aux services disponibles au sein des composants,
composants tel que le
systme de journalisation de la plate-forme
plate Cisco ISE.
58 | Page
Conclusion et perspectives
Dans le cadre de ce projet ralis au sein de l'entreprise Next Step IT, et partant dun
souci de scurit et dun besoin de protection des ressources critiques et vitales d'une manire
permanente, nous avons mis en place une solution de contrle d'accs relative aux rseaux filaire
et sans fil. La solution est encore plus ncessaire quand on sait que, dans certains tablissements,
le nombre dutilisateurs qui sollicitent frquemment le rseau est trs important.
La solution adopte, lors de la ralisation du projet, s'appuie sur des produits proprit
Cisco : le point d'accs, le commutateur, le contrleur du rseau local sans fil (WLC) ainsi que
la plate-forme ISE reprsentant la dernire gnration des plates-formes de contrle d'accs
proposes par Cisco, tant prcis que l'entreprise Next Step IT est spcialiste d'intgration de
solutions d'infrastructure rseau reposant essentiellement sur les quipements Cisco.
Une fois dploye, la solution a permis de ragir, en temps rel, toute tentative de
connexion au rseau par rfrence aux politiques de scurit prdfinies au niveau de la plate-
forme Cisco ISE. En effet et en premier lieu, l'utilisateur est appel s'authentifier en prsentant
son compte utilisateur et le mot de passe associ au cas o il appartient au domaine, sinon et s'il
s'agit d'un utilisateur invit, il s'authentifie travers un portail Web en s'y inscrivant
temporairement ou bien il obtient un compte cr par le responsable et autorisant aussi un accs
momentan. Ltape qui suit la vrification de la lgitimit de l'utilisateur est celle de la validation
de l'tat des machines ; chacune doit disposer de l'antivirus Mcafee. Dans le cas contraire,
l'utilisateur bnficie d'une priode de grce, au cours de laquelle, un fichier de remdiation lui est
offert afin de pouvoir accder.
Cisco Systems Description de la gamme Cisco NAC [En ligne]. - 2006. - 4 Fvrier 2015.
Enterasys Secure Networks Network Access Control (Contrle daccs au rseau) [En ligne]. -
2007. - 2 Mars 2015.
Juniper Networks Unified Access Control [En ligne]. - Novembre 2011. - 15 Mars 2015.
LANDESK Centre d'aide Comprhension des composants NAC de base Centre d'aide
LANDESK [En ligne] // site Web LANDESK Help Center. - 2013. - 12 Mars 2015. -
https://help.landesk.com/Topic/Index/FRA/LDMS/9.5/Content/Windows/nac_c_basic_com
ponents.htm.
Marcotte Ludovic PacketFence 4.1 : une solution BYOD/NAC dans la cour des grands [En
ligne] // Linuxfr. - 17 Dcembre 2013. - 22 Mars 2015. - http://linuxfr.org/news/packetfence-4-
1-une-solution-byod-nac-dans-la-cour-des-grands.
Microsoft Protection daccs rseau (NAP) [En ligne] // Microsoft. - Janvier 2008. - 12 Mars
2015. - https://technet.microsoft.com/fr-fr/library/cc753550%28v=ws.10%29.aspx.
Vincent REMAZEILLES La scurit des rseaux avec Cisco [Livre]. - [s.l.] : Editions ENI,
2009. - p. 40.
61 | Page
Glossaire
AAA (Authentication, Authorization, Accounting) : AAA correspond un protocole qui ralise trois
fonctions : l'authentification, l'autorisation, et la traabilit
ACL (Access Control List) : les ACLs servent principalement au filtrage des paquets sur les interfaces
physiques
CPP (Client Provisioning Portal) : portail appartenant la plate-forme ISE et permettant de fournir les
Agents NAC
CWA (Central Web Authentication) : portail Web qui permet aux utilisateurs de s'inscrire et de
s'authentifier. Aussi, elle peut inclure la validation de posture (CPP).
DHCP (Dynamic Host Configuration Protocol) : permet, partir d'un serveur, de tlcharger la
configuration rseau vers un ordinateur (adresse IP, paramtre TCP/IP, etc.)
DNS (Domain Name System) : service de noms reposant sur des serveurs et permettant de convertir
un nom en une adresse IP
FQDN (Fully Qualified Domain Name) : est un nom de domaine qui rvle la position absolue d'un
nud dans l'arborescence DNS en indiquant tous les domaines de niveau suprieur jusqu' la racine
MAB (Mac Authentication Bypass) : authentification de niveau 2 base sur les adresses MAC et
fournie par Cisco
MAC (Medium Access Control) : couche logicielle qui a pour rle de structurer les bits d'information
en trames adaptes au support physique et de grer les adresses physiques des cartes rseaux (Adresses
MAC)
62 | Page
Glossaire
NAS (Network Access Server) : client RADIUS faisant office d'intermdiaire entre l'utilisateur final et le
serveur
NTP (Network Time Protocol) : protocole permettant de synchroniser l'horloge d'une machine sur une
rfrence d'horloge
PAP (Password Authentication Protocol) : protocole d'authentification pour PPP. Les donnes sont
transmises en texte clair sur le rseau ce qui le rend par consquent non scuris.
PPP (Point-to-Point Protocol) : protocole de la couche liaison utilis sur les lignes srie tlphoniques
ou spcialises
RSA (River Shamir et Adelman) : algorithme de chiffrement cls publiques et cls secrtes portant le
nom de ses concepteurs.
TACACS+ : version plus rcente du protocole TACACS (protocole AAA fourni par Cisco)
TLS : protocole qui garantit la confidentialit entre les applications communicantes et leurs utilisateurs sur
Internet.
UDP (User Datagram Protocol) : quivalent de TCP mais en mode non connect, sans les mcanismes
de contrle de flux, de reprise sur erreur et autres options
VLAN (Virtual Local Area Network) : ce mcanisme permet de crer plusieurs rseaux virtuels au sein
dun mme rseau physique et dallouer des configurations spcifiques pour chaque rseau virtuel cr
VMware ESXi : hyperviseur dvelopp par VMware et permettant de dployer des machines virtuelles
VPN (Virtual Private Network) : technique qui simule un rseau priv dans un rseau public dans le but
d'offrir plus de scurit
VSA (Vendor Specific Attributes) : RADIUS est extensible; de nombreux fournisseurs de matriels et
de logiciels RADIUS mettent en uvre leurs propres variantes en utilisant des attributs VSA
WLC (Wireless LAN Controller) : permet de grer le rseau local sans fil en contrlant les points
d'accs, grant les interfrences, assurant le handover, etc.
63 | Page