Partie 15 : Implémenter la protection d’accès réseau (NAP)
54. Vue d’ensemble de la protection d’accès réseau 54.1. Utilisation de la protection d’accès réseau pour appliquer les exigences d’intégrité des ordinateurs. La protection d’accès réseau NAP assure une protection complémentaire de l’ordinateur client et du réseau de l’organisation en vérifiant que les ordinateurs qui se connectent au réseau sont conformes aux stratégies réseau de l’organisation et aux stratégies de contrôle d’intégrité de client. Ceci protège le réseau contre les éléments nuisibles susceptibles d’être introduits par les ordinateurs clients, par exemple les virus informatiques, et, réciproquement, les ordinateurs clients contre les éléments nuisibles qui pourraient être introduits par le réseau auquel ils se connectent. 54.2. Scénarios de la protection d’accès réseau (NAP). La protection d'accès réseau est utile pour l'infrastructure réseau car elle vérifie l'état d'intégrité des ordinateurs suivants : • Ordinateurs portables itinérants • Ordinateurs de bureau • Ordinateurs portables externes à l'entreprise • Ordinateurs non gérés destinés à un usage privé 54.3. Décrire les méthodes de contrainte de mise en conformité NAP. Les méthodes de contrainte de mise en conformité NAP sont : Méthode Description Contrainte de mise en conformité • L'ordinateur doit être conforme pour pouvoir IPsec pour les communications communiquer avec d'autres ordinateurs conformes protégées par IPsec • Type de contrainte de mise en conformité NAP le plus puissant, qui peut être appliqué en fonction d'une adresse IP ou d'un numéro de port de protocole Contrainte de mise en conformité L'ordinateur doit être conforme pour pouvoir obtenir 802.1X pour les connexions un accès illimité via une connexion 802.1X câblées ou sans fil authentifiées (commutateur d'authentification ou point d'accès) par le protocole IEEE 802.1X Contrainte de mise en conformité L'ordinateur doit être conforme pour pouvoir obtenir VPN pour les connexions d'accès à un accès illimité via une connexion d'accès à distance distance Contrainte de mise en conformité • L'ordinateur doit être conforme pour pouvoir recevoir par DHCP pour la configuration une configuration d'adresse IPv4 à accès illimité de d'adresse basée sur DHCP DHCP • Il s'agit de la forme de contrainte de mise en conformité NAP la plus faible 54.4. Infrastructure réseau de la protection d’accès réseau (NAP).
Formateur : BADJOU 1/3
ISTA SAJ Filière TRI Année de formation 2017/2018
55. Vue d’ensemble des processus de contrainte de mise en conformité NAP
55.1. Processus de contrainte de mise en conformité NAP généraux Pour protéger l’accès au réseau, NAP utilise trois processus : la validation de stratégie, la contrainte de mise en conformité NAP assortie de restrictions réseau, la mise à jour et le suivi de la conformité. 55.1.1. Validation de stratégie Avec NPS, on peut créer des stratégies de contrôle d’intégrité de client en utilisant des programmes de validation d’intégrité système qui permettent à NAP de détecter, d’appliquer et de mettre à jour des configurations d’ordinateur client. L’Agent d’intégrité système de la sécurité Windows et le Validateur d’intégrité de la sécurité Windows fournissent les fonctionnalités suivantes pour les ordinateurs compatibles NAP : • Un logiciel de pare-feu est installé et activé sur l’ordinateur client. • Un logiciel antivirus est installé et exécuté sur l’ordinateur client. • Les dernières mises à jour antivirus ont été installées sur l’ordinateur client. • Un logiciel anti-espion est installé et exécuté sur l’ordinateur client. • Les dernières mises à jour anti-espion ont été installées sur l’ordinateur client. • Microsoft Update est activé sur l’ordinateur client. 55.1.2. Contrainte de mise en conformité NAP assortie de restrictions réseau Dans la stratégie réseau NPS, le paramètre de contrainte de mise en conformité NAP permet d’utiliser NAP pour limiter l’accès réseau ou observer l’état des ordinateurs clients compatibles NAP qui ne respectent pas à la stratégie de contrôle d’intégrité réseau. 55.1.3. Mise à jour Les ordinateurs clients non conformes qui sont placés dans un réseau restreint peuvent subir une mise à jour. La mise à jour est le processus consistant à mettre automatiquement à jour un ordinateur client pour le rendre conforme aux stratégies de contrôle d’intégrité actuelles. 55.1.4. Suivi de la conformité NAP peut mettre les ordinateurs clients déjà connectés au réseau en conformité avec la stratégie de contrôle d’intégrité. Cette fonctionnalité s’avère utile pour protéger un réseau de façon continue, dans la mesure où les stratégies de contrôle d’intégrité évoluent et où l’intégrité des ordinateurs clients change. 55.2. Contrainte de mise en conformité IPsec Dans le cadre des stratégies IPsec pour le Pare-feu Windows, la protection d’accès réseau NAP se déploie à l’aide d’un serveur de certificats d’intégrité, un serveur d’Autorité HRA, un serveur exécutant NPS et un client de contrainte IPsec. Le serveur de certificats d’intégrité délivre des certificats X.509 aux clients NAP reconnus conformes. Ces certificats sont ensuite utilisés pour authentifier les clients NAP lorsqu’ils initient des communications IPsec avec d’autres clients NAP sur un intranet, ainsi, la contrainte IPsec fournit la plus forte implémentation de la protection d’accès réseau NAP. 55.3. Contrainte de mise en conformité 802.1X La contrainte de mise en conformité NAP pour le contrôle d’accès réseau basé sur le port 802.1X est déployée à l’aide d’un serveur exécutant NPS et un composant client de contrainte hôte EAP. Avec la contrainte basée sur le port 802.1X, le serveur NPS demande à un commutateur d’authentification 802.1X ou à un point d’accès sans fil 802.1X de placer les clients 802.1X non conformes sur un réseau de mise à jour. Le serveur NPS limite l’accès réseau du client au réseau de mise à jour en appliquant des filtres IP ou un identificateur LAN virtuel à la connexion.
Formateur : BADJOU 2/3
ISTA SAJ Filière TRI Année de formation 2017/2018
55.4. Contrainte de mise en conformité VPN
La mise en conformité NAP pour les connexions VPN est déployée avec un composant serveur de contrainte VPN et un composant client de contrainte VPN. Grâce à cette méthode de contrainte, les serveurs VPN peuvent appliquer une stratégie de contrôle d’intégrité lorsque des ordinateurs clients tentent de se connecter au réseau par le biais d’une connexion VPN. La contrainte VPN fournit un accès réseau fortement limité pour tous les ordinateurs qui accèdent au réseau à l’aide d’une connexion VPN. 55.5. Contrainte de mise en conformité DHCP La contrainte de mise en conformité par DHCP est déployée avec un composant serveur de contrainte de mise en conformité NAP, un composant client de contrainte DHCP et un serveur NPS. À l’aide de la contrainte de mise en conformité par DHCP, les serveurs DHCP et NPS peuvent appliquer une stratégie de contrôle d’intégrité lorsqu’un ordinateur tente de louer ou renouveler une adresse IPv4.
![Module -Tcp Ip & Adressage Ip Niveau i [3asi 2017]@Formateur Final-1](https://imgv2-2-f.scribdassets.com/img/document/498281848/149x198/82ef100bba/1615449979?v=1)
