Introduction Générale

La sécurité des réseaux devient, de nos jours, un thème indispensable pour garantir la disponibilité
et l’efficacité des ressources sur le réseau. La spécification de l’accès au réseau est devenue très
importante pour la protection des ressources soit des tentatives d’intrusions internes ou externes,
lesquelles développent des nouvelles techniques de jour en jour, ou encore des accès aux données
et informations de haute importance ou très confidentielles, par des membres non qualifiés. C’est
pour cela que chaque utilisateur ou machine, voulant accéder au réseau, doit être identifié et subir
quelques tests de compatibilité avec le réseau. Il sera, par la suite, dirigé selon son identité et les
droits d’accès qui lui seront attribués vers les ressources et les sous-réseaux auxquels il aura accès.
Ce projet représente une mise en place d’une solution de sécurité et de conformité réseau qui
traitera des aspects de manque de sécurité. Cela se traduit par l'établissement d'un mécanisme
d’authentification automatique, lors du branchement du câble réseau ou en cas d'utilisation du
réseau sans fil. Ceci est valable pour un utilisateur permanent; alors que pour un utilisateur
temporaire (visiteur), l'authentification s'effectue via le portail Web. Une fois authentifié, le client
(poste de travail) subira quelques tests destinés à s’assurer de sa conformité vis-à-vis de la stratégie
de sécurité prédéfinie. Après avoir effectué ces tests et si le client
présentedes vulnérabilités qui nécessitent l’installation ou la mise à jour d’un composant, il aura un
accès restreint lui offrant les mises à jour nécessaires pour établir les remèdes appropriés et
atteindre ainsi un état conforme et sain. 
Aussi, le présent rapport décrit-il la mise en place de cette solution. Ce dernier s’inscrit dans le
cadre de notre projet de fin d’études réalisé au sein de l’entreprise Algérie Poste, consistant à la
mise en place d’une solution de contrôle d'accès au réseau. Cette solution est constituée de
plusieurs composants qui, en fonctionnant de façon contigüe, permettront de filtrer l’accès au
réseau en authentifiant tout hôte demandant l'accès et d’effectuer, sur l’hôte authentifié, un
ensemble de tests pour vérifier son état de « santé » et le rendre conforme avec la stratégie
de sécurité suivie. Ces objectifs seront réalisés par l'implémentation d’une plateforme de
sécurité fournie par le leader mondial, Cisco Systems, et intégrée avec un service d’annuaire
(Microsoft Active Directory) afin d'assurer l’authentification, ainsi qu'un commutateur et un

1|Page
contrôleur de réseau local sans fil servant à connecter les utilisateurs respectivement aux réseaux
filaire et sans fil.

CHAPITRE 1

PRESENTATION
DU PROJET

2|Page
1.1. Historique de l’organisme d’accueil (Algérie Poste)
Durant la colonisation française, la mission de la poste était de maintenir le lien avec la métropole
à travers la réception de mandats, les chèques postaux, les abonnements aux journaux, la vente de
timbres, les dépôts d’argent à la caisse d’épargne, le paiement des pensions, le traitement des
instituteurs, des employés municipaux de même que les administrations publiques.
À l’époque on l’appelait Poste, Télégraphe & Téléphone (PTT) ces trois initiales seront maintenu
bien au-delà de l’indépendance. En 1962, le
rapatriement en masse des postiers pieds noirs et
métropolitain laisse un vide obligeant le personnel
algérien à relever le défi maintenant ainsi plus de
800 bureaux de poste à l’état opérationnel.
Le premier timbre de poste de la république
algérienne a été émis le 1er novembre 1962
marquant par la même occasion une nouvelle page
dans l’histoire de la poste algérienne.
Le 14 janvier 2002, suite à la réforme du secteur de la poste et des télécommunications. Algérie
Poste voit le jour conformément au décret N°02/43. Elle a désormais pour mission principale
d’assurer le service public à travers deux principaux axes d’activités soient les services postaux
(courrier/colis, courrier exprès et philatélie) et les services financiers postaux (CCP, CNEP,
mandats, monétique (GAB) et le transfert électronique de fonds).
Algérie Poste compte aujourd’hui 24 417 employés dont 3732 facteurs et dispose de 3685 bureaux
de poste.

1.2. Services
 Courrier : assurer le transport, le traitement et la distribution des envois de la poste (lettres
et cartes postales, imprimés, livres, catalogues, journaux, et petits paquets) du régime
intérieur et extérieur ainsi que courrier hybride (impression des chèques) et dispose aussi
d’un centre de tri.
 Colis : assurer le transport, le traitement et la distribution des colis ordinaires et des colis
avec valeur déclarée (une indemnité de la valeur du contenu déclarée lors du dépôt de colis)
du service international. Le traitement des colis est assuré par quatre (04) centres répartis
3|Page
 dans les villes d’Alger, Oran, Annaba, Constantine avec un système de traçabilité courrier
et colis international (IPS : INTERNATIONAL POSTAL SEVICE).
 Philatélie : le service philatélie s'occupe de la vente des timbres de collection, des albums,
des cartes et des enveloppes.
 Le compte chèque postal (CCP) : le service des chèques postaux, avec les réseaux
informatiques reliant l’ensemble des bureaux de poste, permet d’effectuer différentes
opérations comme par exemple le paiement à vue ou bien le retrait à vue.
 Le mandat poste : c’est un service de transfert de fonds destinés à satisfaire les besoins de
la population (nationale et internationale)
 La Caisse d'épargne : Algérie Poste est prestataire de services pour le compte de la Caisse
Nationale d’épargne et de Prévoyance (CNEP) par la mise à disposition de son parc de
bureaux de poste. Les clients de la poste ont la possibilité d’ouvrir des comptes CNEP,
auprès des bureaux de poste.
 E- paiement : Le système E. Payement consiste à offrir aux clients CCP le service de
paiement électronique.

1.3. Besoin d’une Solution NAC

Tout réseau informatique et particulièrement un réseau d'entreprise devrait demeurer sain. Chaque

administrateur est censé authentifier, autoriser, évaluer et corriger les équipements filaires, sans fil
et distants, avant de donner à leurs utilisateurs un accès au
réseau. Aussi, le responsable doit reconnaître les utilisateurs, leurs appareils et leurs rôles sur le
réseau. Cette première étape intervient au niveau de la phase d'authentification, avant que
d’éventuels codes malveillants puissent endommager le système. Dans une seconde étape, la sûreté
du réseau requiert la vérification de la conformité des machines avec les politiques de sécurité. Ces
politiques dépendent du type d'utilisateur, du type d’équipement ou du système d'exploitation. En
cas de non-conformité, des réactions peuvent en résulter : blocage, isolation et réparation. Le
déploiement d'une solution NAC (Network Admission Control ou Network Access Control)
permettra à l'administrateur de bénéficier de l'ensemble de ces fonctions d'une manière plus
efficace et plus performante.

4|Page
1.4. Contribution
La gestion et l'administration d'une solution NAC s'effectuent d'une manière centralisée. Le noyau
de toute solution similaire est le point de décision ou la plate-forme dans laquelle sont définies les
politiques de sécurité à appliquer vis-à-vis du client. Cisco Systems, leader mondial des solutions
réseaux, dispose d'un ensemble de produits servant à mettre en place la solution NAC. Sa nouvelle
politique tend à adopter la plate-forme ISE (ou Identity Services Engine). Cependant, les
informations disponibles sur sa mise en place et sa configuration sont limitées du moment qu'elle
est récente. La réalisation de ce projet constitue donc une opportunité pour expérimenter cette
plate-forme et peut être une occasion pour solutionner les éventuels obstacles techniques qui
peuvent être rencontrés lors du déploiement; d'ailleurs les mêmes solutions seront déployées, à
l'avenir, par Algérie Poste auprès de ses clients.

1.5. Gestion du projet

Lors de la discussion avec le représentant de l'entreprise, il s'est avéré que les services à réaliser,
lesquels sont intégrés dans la solution NAC, dépendent des fonctionnalités disponibles dans la
plate-forme ISE et des besoins des clients d’Algérie Poste. Par conséquent, notre mise en place
pourra subir de nombreuses modifications en fonction de l'avancement. Par ailleurs, nous avons
opté pour une gestion de projet Agile, méthode plutôt adoptée dans les développements
informatiques et plus précisément la méthode SCRUM. Ses principales caractéristiques sont :
 La transparence : un langage commun doit permettre à tout observateur d'obtenir
rapidement une bonne compréhension du projet.
 L'inspection : à intervalles réguliers, SCRUM propose de faire le point sur les différentes
modifications produites, afin de détecter toute variation indésirable.
 L'adaptation : si une dérive est constatée pendant l'inspection, le processus devra alors être
adapté.

1.6. Conclusion
Dans ce qui précède, nous avons abordé le contexte général de notre projet et plus précisément
l'environnement de réalisation et la gestion suivie. De même que la précision des objectifs du
projet par une planification prévisionnelle nous a permis d'assurer le bon déroulement et de
garantir le respect des délais.

5|Page
 CHAPITRE 2

ETAT DE L’ART

6|Page
2.1. Introduction
Notre projet consistant à implémenter une solution NAC à base de la plate-forme Cisco ISE, ce
chapitre sera donc l’occasion de mettre l'accent sur les détails de cette solution et particulièrement
la plate-forme ISE dans le but de mieux comprendre la partie réalisation qui sera traitée
ultérieurement.

2.2. La Solution NAC

Dans cette partie, il est utile d'une part, de rappeler le principe de fonctionnement de la solution
NAC et son architecture globale et d'autre part, d'étudier certaines solutions disponibles.

2.2.1. Principe de Fonctionnement

Le contrôle d’accès au réseau (ou NAC) est un terme qui englobe diverses technologies
développées pour contrôler/restreindre l’accès au réseau par les systèmes d’extrémité en fonction
de leur « état de santé ». L’idée de base est que les systèmes d’extrémité dangereux ou vulnérables
(« en mauvaise santé ») ne doivent pas communiquer sur le réseau de l’entreprise dans la mesure
où ils pourraient introduire un risque de sécurité pour les processus et les services critiques. Une
solution NAC empêchera un système d’extrémité en mauvaise santé d’accéder normalement au
réseau jusqu’à ce que la santé de ce système soit assurée. Le bilan de santé d’un équipement
connecté au réseau est également appelé « évaluation » du système d’extrémité. Les systèmes
d’extrémité peuvent être notamment des PC, des imprimantes, des téléphones IP, des caméras de
sécurité IP traditionnelles, etc. Cette évaluation doit permettre de découvrir le niveau de
vulnérabilité ou de menace acceptable d’un système d’extrémité. Des éléments, tels que le niveau
de patch de sécurité, la présence de solutions antivirus/anti codes malveillants, les mises à jour de
signatures antivirales/anti codes malveillants, les applications en cours d’exécution et les ports
ouverts peuvent tous être analysés afin de déterminer l’état de santé global du système d’extrémité.
Après exécution du processus d’évaluation et d’autorisation du système d’extrémité, s'il s'avère
que ce dernier est non conforme aux politiques de sécurité du réseau, on peut lui accorder un accès
restreint ou encore le mettre en quarantaine réseau. Le processus d’application des politiques de
mise en quarantaine fait intervenir des politiques de communication réseau très granulaires, c’est-
à-dire à base de flux et non pas une simple affectation à un VLAN. En effet, regrouper tous les
7|Page
systèmes d’extrémité « en mauvaise santé » au sein du même VLAN de quarantaine revient à les
laisser s’infecter mutuellement avec de nouvelles vulnérabilités.

Les politiques réseaux décrivent la manière dont le trafic entrant sur des ports de commutation doit
être traité au niveau du filtrage et du balisage. Dans le cadre d’une solution NAC, la remédiation
consiste à résoudre un problème à des fins de conformité avec certaines politiques prédéfinies. Ce
processus de remédiation permet à l’utilisateur mis en quarantaine réseau de recouvrer sa
conformité. Il est important que ce dernier soit impliqué dans le processus de remédiation afin
d’optimiser les performances des processus métier.

2.2.2. Architecture
L'implémentation d'une solution NAC nécessite l'existence d'un ensemble de composants.
Le diagramme ci-dessous montre l'ensemble de ces éléments et le flux de communication échangé:

 Périphériques essayant d'accéder au réseau ou "Agents" (A) : inclut les ordinateurs

portables mobiles ou qui ne se connectent que rarement, les utilisateurs invités ou les
visiteurs ainsi que les utilisateurs de réseau habituels qui tentent d'accéder au réseau
d'entreprise.
 Périphérique de contrôle d'accès au réseau (B) : du point de vue du périphérique
demandeur, le périphérique d'accès réseau fonctionne en tant que périphérique réseau de «
premier saut » qui lance le traitement Posture Validation et le processus d'authentification.

8|Page
  Posture Validation Server (point de décision d'accès réseau) (C) : serveur en arrière-plan
dédié, également appelé "Posture Validation Server", qui évalue les références
d'authentification Posture en fonction des règles de conformité.
 Serveurs d'entreprise (D) : zone critique du réseau et que la solution NAC protège des
périphériques malsains, infectés ou vulnérables.

 VLAN de quarantaine (E) : zone de réseau protégée virtuelle dans laquelle les
périphériques peuvent être sécurisés et corrigés, ré-analysés, puis ils obtiennent un accès
complet au réseau d'entreprise, ou restent conservés avec un accès restreint aux ressources
de réseau telle que l'Internet.

2.3. La plate-forme Cisco ISE

Dans ce qui suit, nous allons définir la plate-forme Cisco ISE, la comparer avec son prédécesseur
ACS et mettre l'accent sur les principaux standards auxquels elle fait appel pour fonctionner et
nous finissons par évoquer les licences requises pour bénéficier de ses services.

2.3.1. Définition
Identity Services Engine (ISE) est la dernière génération des plates-formes de contrôle d'accès
proposées par Cisco et qui permet aux entreprises d'imposer leurs politiques de sécurité lors de
l'accès, de renforcer la sécurité de leurs infrastructures et de rationaliser leurs opérations de
services. L'architecture unique de Cisco ISE permet aux entreprises de recueillir les informations
concernant les utilisateurs et les périphériques, en temps réel à partir du réseau. L'administrateur
peut ensuite utiliser ces informations pour prendre des décisions de gouvernance proactive en liant
l'identité à divers éléments du réseau, y compris les commutateurs, les contrôleurs de réseau local
sans fil (WLC) et les passerelles des réseaux privés virtuels (VPN).

Le schéma suivant montre un exemple de déploiement de l'ISE au sein du réseau :

9|Page
La plate-forme ISE peut être considérée comme étant un système de contrôle d'accès consolidé, à
base de règles et intégrant un sur-ensemble de fonctionnalités disponibles dans les plates-formes
existantes. Parmi ses caractéristiques, on peut citer :
- Fournit un support pour la découverte, le profilage "profiling", le placement à base
de règles et le suivi des périphériques d'extrémité sur le réseau.
- Combine l'authentification, l'autorisation, la traçabilité (AAA : authentication,
authorization, accounting), l'évaluation de posture et le profilage en une seule
application.
- Prend en charge l'évolutivité nécessaire pour soutenir un certain nombre de
scénarios de déploiement, du petit bureau aux grands environnements d'entreprise.

2.3.2. Comparaison entre ACS et ISE

L'ACS ou Secure Access Control System est le prédécesseur de l'ISE. Le tableau suivant présente
une comparaison entre les deux :

10 | P a g e
2.3.3. Fonctionnement
Lors de la phase d'authentification et pour communiquer avec le client ou sa machine, la plate-
forme ISE fait appel à un ensemble de normes et de protocoles. Ce sont principalement : 802.1X,
EAP et RADIUS.

 802.1X : 802.1X est un standard qui définit un mécanisme d'authentification pour l'accès au
réseau. 802.1X peut être comparé au protocole PPP, largement diffusé et nécessaire pour un
accès à Internet utilisant un modem. Le protocole PPP s'appuie sur un mécanisme embarqué,
chargé de l'authentification et pour lesquels deux sous-protocoles étaient proposés au choix :
PAP et CHAP.

Schématiquement, nous pourrions écrire : Accès Internet = modem + PPP + (PAP ou CHAP) +
TCP/IP. Au cas où 802.1X est utilisé sur un équipement tel que le commutateur (Switch),
l'utilisateur connectant son ordinateur au réseau (filaire ou sans fil) est obligé à s'authentifier
avant d'entamer toute activité. A l'issue du processus d'authentification et en cas de succès, le
client reçoit un profil réseau (TCP/IP et VLAN) ainsi qu'un assortiment de règles de sécurité.
Le standard 802.1X fait intervenir trois entités :
- Le client ou "supplicant" qui est typiquement un PC
- L'authentificateur (Switch, WLC)
- Le serveur d'authentification ou "authentifcation server" qui est un serveur
RADIUS. 802.1x s'appuie sur EAP (Extensible Authentication Protocol) qui
présente un moyen pour transporter un protocole d'authentification.

 EAP (Extensible Authentication Protocol) : Le besoin de compatibilité avec des

infrastructures d'authentification diversifiées et la nécessité de disposer de secrets partagés dans
des environnements multiples ont conduit à la genèse du protocole EAP, capable de transporter
des méthodes d'authentification indépendamment de leurs particularités. Le protocole EAP
fournit un cadre peu complexe pour le transport de protocoles d'authentification. Un message
comporte un en-tête de 5 octets et des données optionnelles, comme illustré dans la figure qui
suit.

11 | P a g e
 Le protocole EAP est extensible puisque tout mécanisme d'authentification peut être
encapsulé à l’intérieur des messages EAP. Au niveau supérieur se trouvent les méthodes
d'authentification, comme TLS, MSChap, SIM, etc. La trame EAP elle-même est
encapsulée dans une trame de transport. Cette encapsulation peut s’effectuer soit dans une
trame EAP over Radius, c’est-à-dire dans une trame RADIUS, soit dans une trame EAPoL
(EAP over LAN) qui est utilisée dans les réseaux locaux, en particulier les réseaux locaux
sans fil de type Wi-Fi.

 RADIUS (Remote Authentication Dial-In User Server): Quel que soit le choix du
mécanisme d'authentification entre le point d’accès et le serveur d'authentification, les paquets
EAP sont généralement acheminés grâce au protocole RADIUS. RADIUS est depuis
longtemps le protocole AAA (Authentication, Authorization, Accounting) le plus largement
adopté. Utilisé par les ISP pour authentifier les utilisateurs, il est principalement conçu pour
transporter des données d'authentification, d’autorisation et de facturation entre des NAS
(Network Access Server) distribués, qui désirent authentifier leurs utilisateurs et un serveur d’
authentification partagé. RADIUS utilise une architecture client-serveur qui repose sur le
protocole UDP. Les NAS, qui jouent le rôle de client, sont responsables du transfert des
informations envoyées par l’utilisateur vers les serveurs RADIUS. Ces derniers prennent en
charge la réception des demandes d’authentification, l’authentification des utilisateurs et les

12 | P a g e
 réponses contenant toutes les informations de configuration nécessaires aux NAS. Les serveurs
RADIUS peuvent également agir comme proxy pour d’autres serveurs RADIUS.
Si un équipement mobile a besoin d’accéder au réseau en utilisant RADIUS pour
l'authentification, il doit présenter au NAS des crédits d'authentification (identifiant utilisateur,
mot de passe, etc.).
Ce dernier les transmet au serveur RADIUS en lui envoyant un ACCESS-REQUEST. Le NAS
et les proxys RADIUS ne peuvent interpréter ces crédits d'authentification car ces derniers sont
chiffrés entre l’utilisateur et le serveur RADIUS destinataire. À la réception de cette requête, le
serveur RADIUS vérifie l'identifiant du NAS puis les crédits d'authentification de l'utilisateur
dans une base de données LDAP (Lightweight Directory Access Protocol) ou autre.
Les données d'autorisation échangées entre le client (Le NAS) et le serveur RADIUS sont
toujours accompagnées d'un secret partagé. Ce secret est utilisé pour vérifier l'authenticité et
l'intégrité de chaque paquet entre le NAS et le serveur.

 802.1X - EAP – RADIUS

Les messages EAP transportent les échanges d'authentification entre le client et le serveur
d'authentification. Le Switch ne fait que les relayer, toutefois de part et d'autre du Switch, les
messages EAP ne sont pas transportés de la même façon. Entre le client et le Switch, EAP est
directement dans la charge utile des trames Ethernet. Entre le Switch et le serveur RADIUS,
EAP est transporté dans les messages RADIUS.
La figure suivante explique les deux encapsulations :

13 | P a g e
2.4. Conclusion
Dans ce présent chapitre, nous avons essayé de mettre en relief le principe de fonctionnement de
toute solution NAC, son architecture globale ainsi que les différentes solutions disponibles;
néanmoins, nous nous sommes attardés sur une solution particulière proposée par Cisco Systems, à
savoir la plate-forme ISE. La mise en place de cette plate-forme et la définition des politiques de
sécurité dépendent de l'architecture et de la nature du réseau à protéger, tels que type d’utilisateurs,
équipements déployés et sous-réseaux existants.

CHAPITRE 3

14 | P a g e
REALISATION

15 | P a g e
3.1. Introduction
Après avoir achevé les notions théoriques, nous passons à la mise en place de notre solution,
laquelle représente notre tâche principale. Au cours de ce chapitre, nous nous attarderons sur les
différentes configurations requises pour assurer le contrôle d'accès des utilisateurs des réseaux
filaire et sans fil. Ceci revient essentiellement à paramétrer la plate-forme ISE, le commutateur
ainsi que le contrôleur du réseau sans fil ou le WLC.

3.2. Architecture du réseau

Afin d'implémenter notre solution, nous avons besoin d'une part, de deux équipements et d'autre
part, de quatre machines virtuelles. Les équipements requis sont :
- Un commutateur (Switch)
- Un point d'accès Les machines virtuelles requises serviront à installer :
- Un contrôleur de domaine
- Deux plates-formes Cisco ISE
- Un contrôleur du réseau local sans fil (WLC) L'installation des machines virtuelles
s'est déroulée sur le serveur de l'entreprise, lequel est doté des caractéristiques
suivantes :

Leur déploiement s'effectue au sein du réseau existant de l'entreprise. Par conséquent, le choix des
adresses est relié au plan d'adressage disponible ; les adresses à utiliser doivent appartenir au
réseau 172.25.0.0 et ayant comme masque 255.255.255.0. La figure ci-dessous explique
l'architecture suivie.

16 | P a g e
3.3. Installation et intégration de Cisco ISE et Active Directory
Avant d'entamer la configuration des trois principaux éléments de notre solution, nous devrions
passer par la préparation du terrain dans lequel la solution sera déployée. Ceci consiste
essentiellement à :
- Installer le contrôleur de domaine.

17 | P a g e
 - Installer et intégrer deux plates-formes ISE.
- Joindre les deux plates-formes au contrôleur.

3.3.1. Installation du contrôleur de domaine (Active Directory)

Active Directory est un service d'annuaire, ou contrôleur de domaine, permettant de référencer et
d'organiser des objets tels que les comptes utilisateurs ou encore les autorisations et ce à l'aide de
groupes de domaine. Les informations peuvent ainsi être centralisées dans un annuaire de référence
afin de faciliter l'administration du réseau. Le domaine représente l'unité de base chargée de
regrouper les objets qui partagent un même espace de nom. Par conséquent, notre domaine repose
sur un système DNS. Le serveur DNS et le contrôleur Active Directory sont deux rôles à ajouter à
Windows Server.

Le nom de domaine que nous avons choisi est : NSIT.local

3.3.2. Installation et intégration de deux plates-formes Cisco ISE

L'installation de l'ISE s'est déroulée sur l'un des serveurs de l'entreprise ayant comme hyperviseur
VMware ESXi. Nous y accédons à l'aide de VMware vSphere Client. En premier lieu, nous devons
télécharger l'image .iso sur la banque de données "datastore" du serveur.

18 | P a g e
ISE requiert une machine virtuelle ayant au minimum les caractéristiques suivantes :
- Mémoire vive de 4GB
- Mémoire disque de 200gb
- 4 processeurs (CPUs)
- Deux cartes réseaux (NIC)
Lors du premier démarrage de la machine, certaines données ont été saisies pour commencer
l'installation, parmi lesquelles nous pouvons citer :
- ise-cisco2 : Nom de la machine, lequel sera ajouté ultérieurement aux DNS et
Active Directory
- 172.25.0.201 : Adresse IP de la machine
- 255.255.255.0 : Masque de sous-réseau
- 172.25.0.254 : Passerelle par défaut
- nsit.local : Nom de domaine
- 172.25.0.27 : Adresse IP du serveur NTP (Network Time Protocol) permettant de
synchroniser l'horloge de la plate-forme. Un serveur NTP a été installé sur Windows
Server et sur lequel pointe ISE
La machine contenant la plate-forme ISE est appelée "node".
Elle peut fonctionner selon deux modes :
- Standalone : déploiement d'une seule plate-forme assurant les différents services
- Primaire-secondaire : déploiement distribué, permettant la séparation des services et
le basculement "failover" entre les deux nœuds. Pour assurer la haute disponibilité,
nous avons opté pour la mise en place de deux plates-formes ISE. Leur intégration
nécessite une authentification mutuelle basée sur les certificats : chacune possède
son propre certificat, lequel doit être généré par l'autorité de certification. Dans
notre cas, l'autorité est représentée par le contrôleur de domaine. La génération du
certificat est offerte par le service de certificats Active Directory.

19 | P a g e
Ce service est accessible via une interface WEB à l'adresse suivante : https://172.25.0.27/certsrv
où 172.25.0.27 représente l'adresse du serveur Windows. La capture d'écran qui suit représente
l'interface Web du service.

L'ajout du certificat d'autorité de certification s'effectue manuellement. Nous l'avons téléchargé à

partir de l'interface Web et joint aux plates-formes pour assurer la reconnaissance des deux
certificats.

L'étape suivante consiste à générer les demandes des certificats "Certificate Request" à partir de
l'ISE afin de les traiter au niveau du service des certificats Active Directory. Le fichier de la

20 | P a g e
demande est par la suite ouvert avec un éditeur de texte et son contenu est collé au service
approprié. Le modèle de certificat à choisir est "Serveur Web".

Après avoir ajouté chaque certificat à la plate-forme correspondante, nous sommes à même de les
intégrer. L'enregistrement de la plate-forme secondaire au niveau de la primaire nécessite la
spécification de son FQDN (ise-cisco2.nsit.local) et des données d'authentification de
l'administrateur. Il est à préciser que l'intégration des deux plates-formes exige une conformité
d'horloge (NTP).

Le noeud peut assurer un ou plusieurs des services suivants :

21 | P a g e
 - Administration : permet de manipuler les configurations systèmes reliées aux
fonctionnalités telles que l'authentification et l'autorisation.
- Monitoring : Fournit les services de journalisation "log" et des outils de dépannage
"troubleshooting" avancés.
- Services de la politique "Policy Service": fournit l'accès au réseau, la validation de
posture, l'accès des visiteurs "Guests", "client provisioning" et les services de
profilage.

Dans un déploiement assurant la haute disponibilité, le nœud administratif primaire est le seul
nœud actif, et sur lequel s'effectuent tous les changements. Le nœud secondaire est en état d'attente
"standby" et reçoit d'une manière continue la configuration du nœud principal.
Par conséquent, il possède toujours une copie complète de la configuration. Au cas où le nœud
primaire est devenu hors service, le responsable doit se connecter à l'interface du nœud secondaire
et le promouvoir pour pouvoir configurer les règles.

3.3.3. Jointure des deux plates-formes au contrôleur Active Directory

L'intégration du contrôleur avec la plate-forme ISE sera utile lors de la phase d'authentification. En
effet, l'authentification peut être effectuée à partir d'une source externe et ce en s'appuyant sur les
comptes utilisateurs et leurs groupes respectifs. La plate-forme doit être reconnue au niveau du
contrôleur comme étant une machine. Son FQDN (ise-cisco.nsit.local) doit aussi être résolu. Ceci
nous conduit à ajouter un hôte au niveau du serveur DNS, sinon une alerte s'affichera sur la plate-
forme.

La requête de jointure requiert la saisie des coordonnées du compte de l'administrateur du domaine

ou celles d'un compte ayant les permissions d'ajout des machines et d'accès à la liste des groupes et
utilisateurs.

22 | P a g e
Une fois la jointure réussie, et en consultant la liste des machines existantes sur le contrôleur, nous
pouvons constater que la machine sur laquelle est installée Cisco ISE est automatiquement
additionnée.

Après avoir effectué la jointure à Active Directory, nous devons importer les groupes permettant
d'authentifier les utilisateurs du domaine et servant à affecter le profil d'autorisation approprié à
chaque utilisateur. Pour afficher les groupes dont on a besoin, il faut taper leurs noms, autrement il
faut taper "*" pour lister les groupes existants. La figure qui suit montre l'importation du groupe
"Utilisateurs du domaine".

23 | P a g e
3.4. Configuration de CISCO ISE
La configuration d’ISE se résume principalement à la configuration des politiques
d'authentification, de "Client Provisioning" et d'autorisation.

3.4.1. Authentification
Les politiques d'authentification à définir au niveau de l'ISE servent à identifier les différents
utilisateurs ou machines demandant l'accès au réseau et ce en s'appuyant sur un ensemble de
protocoles tels que Password Authentication Protocol (PAP), Challenge-Handshake
Authentication Protocol (CHAP), Extensible Authentication Protocol (EAP) et Protected
Extensible Authentication Protocol (PEAP). Lors de l'ajout de la règle, nous devons choisir les
protocoles permis pour une telle méthode d'authentification et la source des identités (Identity
Store).
Les sources qui peuvent être utilisées sont les suivantes :
- Utilisateurs internes
- Utilisateurs "Guest" (groupe d'utilisateurs défini sur la plate-forme)
- Terminaux internes
- Active Directory
- Bases de données LDAP
- RADIUS Token Server

Trois méthodes d'authentification sont supportées par ISE :

 802.1X (abordé au cours du chapitre précédent)
 MAC Authentication Bypass (MAB) : certains périphériques, tels que l'imprimante réseau et
le téléphone IP, ne supportent pas l'authentification 802.1X. Dans ce cas, elle pourra être
effectuée en se référant à l'adresse MAC.
 L'authentification Web via un portail captif.

Les règles d'authentification qui ont été définies se limitaient aux deux premières méthodes.
La première règle permet de vérifier l'existence des adresses MAC des périphériques dans
la liste interne. Cette règle sera aussi utile pour la troisième méthode, laquelle est reportée à
la phase d'autorisation. La seconde règle sert à authentifier les comptes utilisateurs, en
premier lieu à partir du contrôleur Active Directory, puis à partir de la liste interne. En cas
d'échec d'authentification pour un utilisateur de domaine, la seconde règle donne la

24 | P a g e
 possibilité de tester avec un utilisateur local. Ceci nous permettra de mieux localiser la
défaillance; il pourrait s'agir d'une erreur d'intégration avec Active Directory ou d'une
erreur au niveau de l'authentification en se référant au domaine.

Afin d'autoriser plus qu'une source d'authentification pour une seule règle, il a fallu ajouter une
séquence de source d'identité ou "Identity Source Sequence" permettant de vérifier les identités en
consultant les sources par ordre. La figure suivante montre la séquence définie :

Il est possible de définir des règles avec des conditions simples ou composées. Une condition
simple est basée sur un opérande, un opérateur tel que "equal to" et "not equal to" ainsi qu'une
valeur. Ces conditions peuvent être définies au niveau de la librairie et appelées directement lors de
la définition de la règle pour une meilleure organisation. Une condition composée rassemble deux
conditions simples ou plus avec un opérateur OR ou AND. La figure suivante montre le
rassemblement de deux conditions existantes dans la librairie avec un opérateur OR pour la règle
"MAB".

25 | P a g e
Une fois l'authentification réussie, la session procède à la phase d'autorisation. Des options offertes
par ISE permettent de vérifier la conformité avec les politiques d'autorisation même en cas d'échec
d'authentification. Ces options sont indispensables pour faire fonctionner l'authentification WEB.

L'authentification MAB sera considérée comme réussie même si l'adresse MAC de la machine est
introuvable. Ceci est réalisable en changeant l'action à "Continue" pour l'option "If user not found",
comme indiqué sur la figure qui suit :

La définition des règles repose sur les attributs du protocole RADIUS. Les attributs constituent le
principe le plus important du protocole RADIUS, aussi bien dans sa version initiale que pour ses
extensions. Les champs attributs sont le fondement du protocole. Par conséquent, la bonne
compréhension de leur signification et de leur rôle est indispensable pour tirer le meilleur parti de
RADIUS. Chaque attribut possède un numéro approprié, auquel est associé un nom. Il existe un
grand nombre d'attributs dans le protocole RADIUS, mais peu d'entre eux sont utiles dans le cas
qui nous préoccupe ici :
 User-Name : cet attribut est envoyé par le NAS et contient l'identifiant qui va servir de
point d'entrée dans la base du serveur d'authentification.
 User-Password : il 's’agit du mot de passe associé à User-Name, transmis par le NAS. Le
serveur d'authentification valide ce mot de passe en fonction de la valeur enregistrée dans
sa base de données.
26 | P a g e
  NAS-Port : il s'agit du numéro de port du NAS sur lequel est connecté le poste de travail.
Cet attribut est transmis par le NAS. Son utilisation permettra d'authentifier un poste de
travail à condition qu'il soit connecté via ce numéro de port. Dans le cas d'un commutateur,
il s'agit du port physique sur lequel est connecté le poste de travail.
 Service-Type : indique le type de service demandé ou le type de service à fournir. Pour
une utilisation avec la norme 802.1X, seulement dans les valeurs Framed, Authenticate
Only et Call Check ont un sens.

A titre d'exemple, la condition prédéfinie "Wired_802.1X" affecte les valeurs suivantes aux
attributs Service-Type et NAS-Port :

3.4.2. Posture & Client Provisioning

Les services de posture fournis par CISCO ISE permettent de vérifier la disponibilité des dernières
mises à jour au niveau de la machine du client ou l'existence de certaines applications telles que les
anti-virus et les anti-spywares.
Afin d'évaluer la machine, le client doit disposer de l'un de ces deux Agents :
 CISCO NAC Web Agent : un agent temporaire que les clients installent lors du login et
qui disparait une fois la session de login terminée. Il est recommandé pour des utilisateurs
ayant un accès pour une période bien déterminée.
 CISCO NAC Agent : un agent persistant qui, une fois installé, subsiste sur une machine
Windows ou Mac pour permettre l'évaluation lors des prochaines connexions. Il est
généralement utilisé avec les utilisateurs du domaine.
Par ailleurs, ces agents peuvent faciliter la remédiation des machines en affichant un message
expliquant la procédure et en fournissant des fichiers à télécharger et installer. La plate-forme ISE
donne la possibilité de rediriger les clients vers une page de téléchargement des agents pour ceux
qui n'en disposent pas et ce grâce à une option à configurer au niveau du profil d’autorisation. Ce
27 | P a g e
service est appelé "Client Provisioning". La figure qui suivra expose les règles de "Client
Provisioning" définies : la première fournit l'agent temporaire "Web Agent" aux invités "Guests",
alors que la deuxième fournit l'agent persistant aux autres utilisateurs qui sont principalement les
membres du domaine. Il est à préciser que l'ordre des règles est primordial pour assurer une bonne
affectation. Par exemple, en inversant l'ordre, tous les utilisateurs téléchargeront l'agent persistant
et la deuxième règle ne sera jamais appliquée.

Pour pouvoir choisir l'agent approprié, nous avons dû le télécharger directement sur la plate-forme
et ce à partir du site Cisco. Par conséquent, le nom de domaine cisco.com doit être résolu à partir
de l'ISE. La liste qui suit présente des versions multiples des deux types d'agents NAC,
temporaires et persistants

Après avoir fourni les agents permettant l'évaluation de posture aux clients, nous devons procéder
à la phase de définition des règles de posture. Une règle s'écrit :
Si = condition(s) = alors = exigence
Aussi, une exigence peut être décomposée comme suit :
Si = condition(s) = alors = action de remédiation

Dans une règle d'exigence, une condition simple peut être :

- un fichier : vérifier l'existence d'un fichier, la date du fichier ainsi que sa version
- un registre : s'assurer de l'existence d'une clé de registre ou la valeur de la clé
- une application : vérifier si une application est en train de fonctionner

28 | P a g e
 - un service : vérifier si un service est en exécution

Nous pouvons aussi former une condition composée à base de conditions simples ou composées.
En outre, des conditions composées intégrées avec ISE existent : Antivirus et Antispyware.
Pour une telle condition, CISCO ISE donne la possibilité d'examiner la machine pour vérifier
l'existence de l'antivirus ou même la disposition d'une version récente. Ceci est réalisable en
analysant le fichier de définition de la version par les Agent NAC. En conséquence, les versions
reconnues par ISE doivent être mises à jour continuellement.

Comme l'entreprise Algérie Poste est un revendeur des produits Kaspersky, nous avons opté pour
l'utilisation de ce vendeur dans la définition de la règle. Tout utilisateur demandant l'accès au
réseau doit disposer d'une version de l'antivirus Kaspersky.

Après avoir défini la condition d'antivirus, nous devons choisir l'action de remédiation. Il est
possible de permettre l'accès à des adresses IP bien définies servant à télécharger et mettre à jour
l'anti-virus tel que le site officiel de Kaspersky et ce lors de la déclaration de la liste d'accès (ACL),
ou d'offrir le fichier exécutable directement. Dans notre cas, nous avons importé le fichier
d'installation de l'antivirus sur la plate-forme pour qu'il soit téléchargeable directement.
Comme la condition d'antivirus et l'action de remédiation ont été ajoutées, il est possible de définir
la règle d'exigence ou "requirement". Cette règle sera utile pendant la définition de la règle de
posture. La règle de posture définie exige la disposition d'un antivirus Kaspersky pour tous les
utilisateurs de l'environnement Windows en faisant appel à celle qui vient d'être déclarée et
nommée "Kaspersky".

29 | P a g e
Après avoir eu accès, un client peut désinstaller son anti-virus, ou d'une autre manière, détourner la
règle définie. Ceci nous oblige à revérifier la machine périodiquement. Dans notre cas, nous avons
appliqué une réévaluation régulière d'une heure comme décrit dans la figure suivante.

3.4.3. Autorisation
Les politiques d'autorisation à définir mettent en application les politiques d'authentification et de
posture ; ces politiques sont déclarées comme étant des conditions. Sur la base de ces conditions,
l'utilisateur aura l'autorisation appropriée. Pour résumer, une règle d'autorisation s'écrit :
Si = conditions (attributs ou groupes d'utilisateurs) = alors = permissions (profil d'autorisation).
Dans notre cas, nous avons besoin des attributs d'authentification et de posture ainsi que des
groupes d'utilisateurs. Afin de vérifier l'état de la machine par rapport à la règle de posture, nous
avons recours à l'attribut « Posture Status ». Cet attribut peut avoir trois valeurs :
 Unknown : Aucune donnée n'a été obtenue pour évaluer la machine; l'agent NAC n'est pas
disponible.
 Noncompliant : La machine n'est pas conforme avec une ou plusieurs règles.
 Compliant : la machine est conforme avec les règles Afin de vérifier l'identité de
l'utilisateur du domaine, nous avons recours à l'attribut "ExternalGroups" et ce en prenant
comme valeur le nom d'un groupe du domaine. Les utilisateurs inscrits sur le portail captif
sont affectés directement à un groupe d'utilisateur nommé "Guest", lequel peut être exploité
lors de l'ajout de la règle. Avant d'additionner une règle, nous devons créer le profil
d'autorisation associé.
Dans un tel profil, nous avons le choix entre plusieurs options telles que l'affectation à un
VLAN, la redirection vers un URL (portail d'authentification Web, portail de Client
Provisioning, URL externe, etc.), à base d'une liste de contrôle d'accès, et même
l'application d'un ACL sur le port du commutateur. A titre d'exemple, nous avons créé le
profil d'autorisation CWA permettant de rediriger les utilisateurs vers le portail captif en se

30 | P a g e
 référant à la liste d'accès définie au niveau des WLC et Switch et sur laquelle on s'attardera
ultérieurement.

Après avoir terminé la création des profils, nous pouvons définir les règles. Ces règles autorisent
l'accès aux utilisateurs authentifiés au domaine ou via le portail Web et ayant des machines
conformes aux règles de posture. Un utilisateur de domaine ne disposant pas de l'agent NAC ou
non conforme avec les politiques de posture est redirigé vers la page de Client Provisioning. Sinon,
l'utilisateur est redirigé vers le portail Web incluant une phase de validation de posture.

3.5. Configuration du Switch

Dans cette partie, nous allons nous intéresser à la configuration du Switch qui représente
l'authentificateur pour les utilisateurs du réseau filaire. En effet, le commutateur jouera le rôle
d'intermédiaire entre le serveur RADIUS (ISE) et le client.
Tout au long de la mise en place de notre solution, nous avons travaillé avec trois modèles
différents, à savoir CISCO Catalyst 3560, 3650 et 2960.

31 | P a g e
Afin d'accéder au Switch, nous pouvons nous connecter directement en utilisant un câble console
ou à distance via SSH. Le service SSH est par défaut désactivé au niveau du commutateur.
Pour l'activer, nous avons recours aux commandes suivantes :

 crypto key generate RSA : générer la clé de chiffrement.

 line vty 0 4 : permettre quatre sessions d'accès à distance simultanément.
 transport input ssh : activer le service SSH au lieu de Telnet.
 username <nom d'utilisateur> password <mot de passe> : spécifier les données
d'authentification.
Il est à rappeler que des ports existant sur un commutateur peuvent fonctionner selon différents
modes. Dans les deux sections qui vont suivre nous allons évoquer, en premier lieu, la
configuration globale s'appliquant sur la totalité du Switch et en second lieu, nous procédons à la
configuration de l'interface.

3.5.1. Configuration globale

La commande aaa new-model permet d'activer les fonctions d'authentification, d'autorisation et de
comptabilité du Switch. Les commandes qui suivront définissent les services du serveur RADIUS
qui aura la charge d'authentifier les utilisateurs, de leur affecter des profils d'autorisation basés sur
les listes d'accès ou les VLANs et de garder une trace sur leur activité :
 aaa authentication dot1x default group radius
 aaa authorization network default group radius
 aaa accounting dot1x default start-stop group radius
 dot1x system-auth-control : servant à activer le 802.1x pour tout le Switch.

32 | P a g e
Après avoir activé le AAA et dot1x, il est nécessaire de déclarer l'adresse du serveur RADIUS
fournissant les services demandés ainsi qu'une clé d’authentification. Cette déclaration est
effectuée à l'aide de la commande
 radius-server host 172.25.0.200 key postedz
où 172.25.0.200 et postedz représentent respectivement l'adresse IP de Cisco ISE et la clé
d'authentification entre le commutateur et le serveur, laquelle est mentionnée lors de l'ajout du
Switch à la liste des périphériques réseaux au niveau de l'ISE. Les ordres d'application des ACLs
au niveau des ports, d'affectation des interfaces aux VLANs ou même de redirection vers des
URLs émis du Cisco ISE au Switch, font appel à un ensemble d'attributs avancés du protocole
RADIUS nommés VSA (Vendor Specific Attribute). Ces attributs sont échangés lors de
l'attribution des profils d'autorisation. Afin de bénéficier de ces fonctionnalités, il est indispensable
d'appliquer les commandes

 radius-server vsa send accounting

 radius-server vsa send authentication
La figure suivante représente les différentes commandes citées précédemment, étant précisé que la
commande de déclaration du serveur a été saisie deux fois, la première incluant l'adresse du nœud
primaire alors que la seconde inclut l'adresse du nœud secondaire.

Un utilisateur tentant d'accéder au réseau peut, en premier lieu, avoir un accès restreint pour raison
de non-conformité et ce avant d'avoir un accès plus étendu. Cela se traduit par l'affectation de
multiples profils d'autorisation pour une même session. Afin de supporter les requêtes de
changement du profil d'autorisation émanant de l'ISE, le CoA (Change of Authorization) doit être
activé au niveau du Switch à l'aide de la commande
 aaa server radius dynamic-author
33 | P a g e
Aussi, l'adresse du serveur émettant les requêtes doit être spécifiée en tapant la commande
 client <server ip-address> server-key <server-key string>.

Lors de la définition des profils d'autorisation, il est possible de rediriger les utilisateurs vers la
page Web du portail captif pour s'authentifier ou vers la page de téléchargement des agents NAC.
Dans ce cas, le Switch interceptera le flux HTTP et répondra à la commande GET de HTTP avec
l'URL spécifié, étant rappelé que ces URLs sont envoyés de l'ISE au Switch via les attributs VSA.
Pour assurer cette fonction de redirection, il est indispensable d'activer les services HTTP et
HTTPS via les commandes :

 ip http server
 ip http secure-server

Pour savoir quel trafic rediriger, Cisco ISE réfère à une liste d'accès déclarée au niveau du Switch ;
tout flux ayant comme réaction "permit" doit être redirigé. Il est à préciser que tout trafic à
rediriger autre que HTTP et HTTPS sera rejeté. Le tableau suivant expose les différentes règles
déclarées sous la liste d'accès :

34 | P a g e
Cette figure rassemble les différentes entrées de l'ACL de redirection.

3.5.2. Configuration de l'interface

Une fois la configuration globale est achevée, nous procédons à la configuration de l'interface
permettant de mettre en application les politiques d'authentification définies précédemment et ce
au niveau de Cisco ISE. Le commutateur offre la possibilité de définir plus qu'une méthode
d'authentification sur un même port. Cependant, l'ordre de vérification devrait être mentionné.
Dans notre cas, nous avons recours aux deux méthodes, MAB et Dot1x. L'authentification Web est
incluse avec l'authentification MAB.
Nous commençons par affecter l'interface au VLAN 340 utilisé pour le réseau local de l'entreprise
et la faire fonctionner en mode ACCESS du moment qu'un PC sera directement connecté.
Afin d'activer l'authentification 802.1X sur le port et interdire tout trafic sauf celui du protocole
EAPOL (Extensible Authentication Protocol over LAN), nous utilisons la commande :
 dot1x port-control auto

35 | P a g e
En combinant cette commande avec la commande
 dot1x pae authenticator
le Switch devrait initier l'authentification dès le branchement du câble, autrement dit, dès que
l'interface change son état de "DOWN" à "UP".
Pour que l'authentification MAB soit activée, il suffit de taper la commande mab tout court.
A cet instant, les deux méthodes d'authentification sont activées et il ne nous reste qu'à favoriser le
dot1x par rapport au MAB. Ceci est réalisable à l'aide de la commande :
 authentication order dot1x mab

3.6. Configuration du WLC

Une seconde catégorie d'utilisateurs peut accéder au réseau : ce sont les utilisateurs du réseau sans
fil. Leurs machines doivent être connectées au point d'accès, lequel peut fonctionner selon deux
modes :
 Mode léger (Lightweight) : dans une architecture centralisée, le point d'accès fonctionne
en mode léger ; le contrôleur du réseau local sans fil ou Wireless LAN Controller (WLC)
auquel est connecté, gère la configuration et contrôle les transactions.
 Mode autonome : chaque point d'accès est configuré séparément et contrôle son propre
trafic. Un WLC Cisco peut être déployé en tant qu'équipement ou sur une machine virtuelle
(virtual WLC). Dans ce projet, le contrôleur a été installé sur une machine ; un fichier ayant
l'extension .OVA, et téléchargé à partir du site officiel, a été importé sur le serveur de
l'entreprise. La figure suivante représente un WLC Hardware :
36 | P a g e
Le modèle de point d'accès utilisé est CISCO Aironet 1041N. Il a été branché sur une prise RJ45
pour pouvoir communiquer avec le contrôleur installé sur le serveur.

Après lui avoir affecté une adresse IP et précisé l'adresse du WLC, le point d'accès est
automatiquement détecté au niveau du contrôleur grâce au protocole CAPWAP.

Les utilisateurs tentant de bénéficier de l'accès sans fil se classifient sous deux catégories, les
utilisateurs temporaires (ou visiteurs) et les utilisateurs persistants appartenant au domaine. Cela se

37 | P a g e
traduit par la diffusion de deux SSID différents; chaque WLAN possède ses propres politiques de
sécurité.

Le premier SSID diffusé "PFE-NSIT" est dédié aux visiteurs, sur lequel nous devons activer le
filtrage par adresse MAC équivalent à l'authentification MAB. Bien que la machine ne soit pas
connue par ISE, elle sera considérée comme étant authentifiée avec l'option "If user not found"
configurée précédemment au niveau de la plate-forme.

L'authentification auprès de la plate-forme nécessitait l'addition du serveur d'authentification

RADIUS inclus à la plate-forme au WLC. La figure suivante montre les différents champs
disponibles et qui doivent être configurés lors de l'ajout.

38 | P a g e
L'activation de "Support for RFC 3576", comme indiqué dans la figure précédente, est similaire à
la commande aaa server radius dynamic-author saisie au niveau du Switch. En effet, cette
option permet d'accepter les requêtes de changement d'autorisation (CoA). Aussi, nous précisons la
clé secrète partagée entre ISE et WLC.
Une fois le serveur d'authentification ajouté, il a fallu l'additionner à la configuration de ce WLAN
sous l'onglet "AAA Servers"; par défaut, l'authentification s'effectue localement. La même
configuration a été appliquée pour le serveur de comptabilité pour avoir une traçabilité de
l'utilisateur, comme mentionné sur la capture qui suit.

Aussi, et pour autoriser l'affectation dynamique des profils d'autorisation (CoA), nous devions
cocher la case "Allow AAA Override" et changer la valeur de NAC State à RADIUS NAC.

39 | P a g e
L'attribution des adresses IP privées aux machines s'effectue automatiquement à l'aide du serveur
DHCP déclaré. La plage d'adresses est déjà définie au niveau du pare-feu de l'entreprise, il suffit de
mentionner son adresse au WLC comme nous pouvons l'observer sur la figure qui suit.

La même configuration est à reprendre avec le deuxième WLAN sauf que la politique de sécurité
qui doit être changée par WPA2-802.1X au lieu de Mac Filtering. Contrairement au commutateur,
une seule méthode d'authentification peut être activée sur un même WLAN.

40 | P a g e
Après avoir terminé la configuration des deux WLANs, et à l’instar de la liste d’accès déclarée au
niveau du Switch, nous devons ajouter une ACL permettant de préciser le type de trafic à rediriger,
étant précisé que les entrées doivent être déclarées inversement au Switch ;une règle « permit » est
remplacée par « deny » et vice versa. Nous n’avons pas eu recours à additionner une règle pour le
trafic DHCP tant qu’il est autorisé par défaut.

3.7. Conclusion
Tout au long de ce troisième chapitre, nous avons essayé d'aborder les configurations nécessaires
des différents éléments constituant notre solution et ce, en alternant entre la citation des principes
de fonctionnement et celle des configurations appliquées, tout en illustrant avec les figures
explicatives. Bien que la solution soit configurée et mise en place, une phase de test est
indispensable afin de valider le comportement des différents composants vis-à-vis des machines
tentant d'accéder au réseau.

41 | P a g e
CHAPITRE 4

TEST ET
VERIFICATION

42 | P a g e
4.1. Introduction
Une fois la solution mise en place, nous procédons à la phase de test dans le but de nous assurer du
bon fonctionnement des équipements et de la configuration. La vérification consiste à essayer de se
connecter, aux réseaux filaire et sans fil, avec des scénarios différents et ce, en variant la méthode
d'authentification et en faisant intervenir des machines avec des états de "santé" divers.

4.2. Réseau filaire

Le premier test à effectuer nous permettra de nous garantir du bon déroulement de
l’authentification au domaine et de la validation de posture pour un utilisateur du réseau câblé. Par
défaut sur un système Windows, l’authentification 802.1X est désactivée sur les cartes réseau
Ethernet. Par conséquent, nous devons ajouter et démarrer le service « Configuration automatique
de réseau câblé », responsable de l’exécution de l’authentification IEEE 802.1X sur les interfaces
Ethernet. Après avoir lancé "services.msc" et cliqué sur le service correspondant, la fenêtre
suivante s'affiche pour démarrer le service.

43 | P a g e
L'étape suivante consiste à activer l'authentification 802.1X sur l'interface Ethernet. La méthode
d'authentification par défaut (PEAP) a été conservée tant qu'elle est supportée par la plate-forme
ISE.

44 | P a g e
Dès le branchement du câble sur l'interface Ethernet, une fenêtre s'affiche demandant de saisir le
nom d'utilisateur et le mot de passe pour s'authentifier au niveau du domaine du moment que les
données de la session existante ne sont pas automatiquement utilisées.

Après avoir saisi les données du compte utilisateur, et en essayant d'accéder à la page
https://www.google.com , nous sommes redirigés vers la page "Client Provisioning" fournissant
l'Agent NAC persistant.

En cliquant sur le bouton "Cliquez pour installer l'agent", le téléchargement de l'agent se lance. En
l'exécutant, nous recevons un message indiquant la non-conformité de notre machine avec la
politique de sécurité et fournissant un accès temporaire pour télécharger le fichier de remédiation

45 | P a g e
tant que l'antivirus Kaspersky n'est pas disponible sur notre machine. La figure qui suit représente
une capture du message reçu au niveau de l'agent.

Le deuxième test que nous effectuons consiste à vérifier l'authentification MAB. Pour le faire,
nous désactivons l'authentification 802.1X sur l'interface pour que l'authentification par adresse
MAC soit automatiquement utilisée.

Au niveau du Switch, nous pouvons observer le déroulement de l'authentification :

46 | P a g e
Pour nous assurer de la bonne affectation du profil d'autorisation, nous pouvons avoir recours au
commutateur et utiliser la commande :
 show authentication session interface GigabitEthernet1/0/23 detail
Les résultats affichés dans la section Server Policies confirment le téléchargement de l'URL de
redirection à partir de l'ISE et l'utilisation de l'ACL adéquat pour connaître quel trafic doit être
redirigé.

4.3. Réseau sans-fil

Nous débutons par la vérification de la diffusion des deux SSIDs (PFE-NSIT et PFE-NSIT2) et ce
en consultant la liste des réseaux sans fil disponibles à partir de notre PC.

En tentant de nous connecter à PFE-NSIT2 et après avoir activé l'authentification 802.1X, deux
champs s'affichent demandant la saisie du nom d'utilisateur et du mot de passe comme illustré sur
la figure suivante.

47 | P a g e
Après avoir tapé les coordonnées, nous sommes redirigés vers la page de CPP (Client Provisioning
Portal) pour télécharger l'agent NAC. Une fois installé, cet Agent nous indique que notre accès au
réseau est restreint pour raison de non-conformité tel qu'il est montré sur la figure et nous suggère
la réparation de la machine pour avoir un accès complet.

48 | P a g e
Un invité, n'appartenant pas au domaine, est appelé à se connecter à PFE-NSIT. Dès qu'il se
connecte, il se trouve redirigé vers le portail captif sur son navigateur.

Comme nous l'observons sur la figure précédente, un lien d'inscription est disponible. Le mot de
passe du compte "Guest" est généré aléatoirement alors que son nom d'utilisateur se génère à partir
du nom et du prénom.

49 | P a g e
Lors de la création du compte, nous devons choisir la durée de vie du compte en lui affectant un
des profils existants sur la plate-forme. Dans l'exemple qui suit, le compte sera actif durant une
période de huit heures.

Après la saisie du nom d'utilisateur et du mot de passe au niveau du portail invité, nous sommes
redirigés vers la page de Client Provisioning. L'agent temporaire se lance pour vérifier la posture
de la machine du moment que nous utilisons un compte Guest. Cet agent est lancé sous une fenêtre
de navigateur. Une fois que l'analyse est terminée, il nous indique la non-conformité avec la
politique de posture.

50 | P a g e
Nous avons testé de nouveau et ce après avoir installé l'antivirus Kaspersky. L'agent NAC nous a
présenté un accès plus étendu au réseau, comme mentionné sur la figure ci-dessous.

En consultant le log de la plate-forme ISE, nous pouvons constater l'évolution suivante :

- Succès de l'authentification MAB
- Succès de l'authentification via le portail invité
- Validation de posture de la machine
- Succès de l'autorisation dynamique ou CoA (changement du profil d'autorisation de
CWA à PermitAccess)

D'autres détails sont aussi disponibles au niveau du log de CISCO ISE, tels que les attributs VSA
échangés avec le WLC et précisant l'ACL et l'URL de redirection, ainsi que l'attribut Called-
Station-ID mentionnant l'adresse MAC du point d'accès et le SSID associé.

51 | P a g e
4.4. Conclusion
Cette partie du rapport était consacrée à l'essai de la solution avec différents scénarios afin de
prouver son bon fonctionnement et son efficacité et ce, en essayant de connecter une machine au
réseau, ou encore en se référant aux services disponibles au sein des composants, tel que le
système de journalisation de la plate-forme CISCO ISE.

52 | P a g e
 Conclusion Générale

Dans le cadre de ce projet réalisé au sein de l'entreprise Algérie Poste, et partant d’un souci de
sécurité et d’un besoin de protection des ressources critiques et vitales d'une manière permanente,
nous avons mis en place une solution de contrôle d'accès relative aux réseaux filaire et sans fil. La
solution est encore plus nécessaire quand on sait que, dans certains établissements, le nombre
d’utilisateurs qui sollicitent fréquemment le réseau est très important. La solution adoptée, lors de
la réalisation du projet, s'appuie sur des produits propriété Cisco : le point d'accès, le commutateur,
le contrôleur du réseau local sans fil (WLC) ainsi que la plate-forme ISE représentant la dernière
génération des plates-formes de contrôle d'accès proposées par Cisco, étant précisé que l'entreprise
Algérie Poste est spécialiste d'intégration de solutions d'infrastructure réseau reposant
essentiellement sur les équipements Cisco. Une fois déployée, la solution a permis de réagir, en
temps réel, à toute tentative de connexion au réseau par référence aux politiques de sécurité
prédéfinies au niveau de la plate-forme Cisco ISE. En effet et en premier lieu, l'utilisateur est
appelé à s'authentifier en présentant son compte utilisateur et le mot de passe associé au cas où il
appartient au domaine, sinon et s'il s'agit d'un utilisateur invité, il s'authentifie à travers un portail
Web en s'y inscrivant temporairement ou bien il obtient un compte créé par le responsable et
autorisant aussi un accès momentané. L’étape qui suit la vérification de la légitimité de l'utilisateur
est celle de la validation de l'état des machines ; chacune doit disposer de l'antivirus Kaspersky.
Dans le cas contraire, l'utilisateur bénéficie d'une période de grâce, au cours de laquelle, un fichier
de remédiation lui est offert afin de pouvoir accéder. A l'instar du test de l'antivirus, d'autres
balayages, proposés par la plate-forme, pourront être effectués, telle que la vérification de l'état de
mise à jour du système d'exploitation et de l'existence de certaines applications de sécurité et ce,
dans le but de garantir davantage la sûreté du réseau. Bien évidemment, différentes techniques
d'attaque existent; elles tendent à retrouver par tous les moyens le mot de passe, ce qui permet aux
intrus d’usurper l'identité de l'un des utilisateurs pour accéder au réseau. Afin de les confronter,
nous pouvons avoir recours à une authentification forte, concaténant au moins deux facteurs
d'authentification, tels que les certificats numériques et les mots de passe à usage unique (OTP), et
ceci est réalisable en implémentant et en configurant la plate-forme Cisco ISE.

53 | P a g e