Vous êtes sur la page 1sur 3

ISTA SAJ Filière TRI Année de formation 2017/2018

Partie 15 : Implémenter la protection d’accès réseau (NAP)


54. Vue d’ensemble de la protection d’accès réseau
54.1. Utilisation de la protection d’accès réseau pour appliquer les exigences d’intégrité des
ordinateurs.
La protection d’accès réseau NAP assure une protection complémentaire de l’ordinateur client et du réseau
de l’organisation en vérifiant que les ordinateurs qui se connectent au réseau sont conformes aux stratégies
réseau de l’organisation et aux stratégies de contrôle d’intégrité de client. Ceci protège le réseau contre les
éléments nuisibles susceptibles d’être introduits par les ordinateurs clients, par exemple les virus
informatiques, et, réciproquement, les ordinateurs clients contre les éléments nuisibles qui pourraient être
introduits par le réseau auquel ils se connectent.
54.2. Scénarios de la protection d’accès réseau (NAP).
La protection d'accès réseau est utile pour l'infrastructure réseau car elle vérifie l'état d'intégrité des
ordinateurs suivants :
• Ordinateurs portables itinérants
• Ordinateurs de bureau
• Ordinateurs portables externes à l'entreprise
• Ordinateurs non gérés destinés à un usage privé
54.3. Décrire les méthodes de contrainte de mise en conformité NAP.
Les méthodes de contrainte de mise en conformité NAP sont :
Méthode Description
Contrainte de mise en conformité • L'ordinateur doit être conforme pour pouvoir
IPsec pour les communications communiquer avec d'autres ordinateurs conformes
protégées par IPsec • Type de contrainte de mise en conformité NAP le plus
puissant, qui peut être appliqué en fonction d'une
adresse IP ou d'un numéro de port de protocole
Contrainte de mise en conformité L'ordinateur doit être conforme pour pouvoir obtenir
802.1X pour les connexions un accès illimité via une connexion 802.1X
câblées ou sans fil authentifiées (commutateur d'authentification ou point d'accès)
par le protocole IEEE 802.1X
Contrainte de mise en conformité L'ordinateur doit être conforme pour pouvoir obtenir
VPN pour les connexions d'accès à un accès illimité via une connexion d'accès à distance
distance
Contrainte de mise en conformité • L'ordinateur doit être conforme pour pouvoir recevoir
par DHCP pour la configuration une configuration d'adresse IPv4 à accès illimité de
d'adresse basée sur DHCP DHCP
• Il s'agit de la forme de contrainte de mise en
conformité NAP la plus faible
54.4. Infrastructure réseau de la protection d’accès réseau (NAP).

Formateur : BADJOU 1/3


ISTA SAJ Filière TRI Année de formation 2017/2018

55. Vue d’ensemble des processus de contrainte de mise en conformité NAP


55.1. Processus de contrainte de mise en conformité NAP généraux
Pour protéger l’accès au réseau, NAP utilise trois processus : la validation de stratégie, la contrainte de
mise en conformité NAP assortie de restrictions réseau, la mise à jour et le suivi de la conformité.
55.1.1. Validation de stratégie
Avec NPS, on peut créer des stratégies de contrôle d’intégrité de client en utilisant des programmes de
validation d’intégrité système qui permettent à NAP de détecter, d’appliquer et de mettre à jour des
configurations d’ordinateur client.
L’Agent d’intégrité système de la sécurité Windows et le Validateur d’intégrité de la sécurité Windows
fournissent les fonctionnalités suivantes pour les ordinateurs compatibles NAP :
• Un logiciel de pare-feu est installé et activé sur l’ordinateur client.
• Un logiciel antivirus est installé et exécuté sur l’ordinateur client.
• Les dernières mises à jour antivirus ont été installées sur l’ordinateur client.
• Un logiciel anti-espion est installé et exécuté sur l’ordinateur client.
• Les dernières mises à jour anti-espion ont été installées sur l’ordinateur client.
• Microsoft Update est activé sur l’ordinateur client.
55.1.2. Contrainte de mise en conformité NAP assortie de restrictions réseau
Dans la stratégie réseau NPS, le paramètre de contrainte de mise en conformité NAP permet d’utiliser NAP
pour limiter l’accès réseau ou observer l’état des ordinateurs clients compatibles NAP qui ne respectent pas
à la stratégie de contrôle d’intégrité réseau.
55.1.3. Mise à jour
Les ordinateurs clients non conformes qui sont placés dans un réseau restreint peuvent subir une mise à
jour. La mise à jour est le processus consistant à mettre automatiquement à jour un ordinateur client pour le
rendre conforme aux stratégies de contrôle d’intégrité actuelles.
55.1.4. Suivi de la conformité
NAP peut mettre les ordinateurs clients déjà connectés au réseau en conformité avec la stratégie de contrôle
d’intégrité. Cette fonctionnalité s’avère utile pour protéger un réseau de façon continue, dans la mesure où
les stratégies de contrôle d’intégrité évoluent et où l’intégrité des ordinateurs clients change.
55.2. Contrainte de mise en conformité IPsec
Dans le cadre des stratégies IPsec pour le Pare-feu Windows, la protection d’accès réseau NAP se déploie à
l’aide d’un serveur de certificats d’intégrité, un serveur d’Autorité HRA, un serveur exécutant NPS et un
client de contrainte IPsec. Le serveur de certificats d’intégrité délivre des certificats X.509 aux clients NAP
reconnus conformes. Ces certificats sont ensuite utilisés pour authentifier les clients NAP lorsqu’ils initient
des communications IPsec avec d’autres clients NAP sur un intranet, ainsi, la contrainte IPsec fournit la
plus forte implémentation de la protection d’accès réseau NAP.
55.3. Contrainte de mise en conformité 802.1X
La contrainte de mise en conformité NAP pour le contrôle d’accès réseau basé sur le port 802.1X est
déployée à l’aide d’un serveur exécutant NPS et un composant client de contrainte hôte EAP. Avec la
contrainte basée sur le port 802.1X, le serveur NPS demande à un commutateur d’authentification 802.1X
ou à un point d’accès sans fil 802.1X de placer les clients 802.1X non conformes sur un réseau de mise à
jour. Le serveur NPS limite l’accès réseau du client au réseau de mise à jour en appliquant des filtres IP ou
un identificateur LAN virtuel à la connexion.

Formateur : BADJOU 2/3


ISTA SAJ Filière TRI Année de formation 2017/2018

55.4. Contrainte de mise en conformité VPN


La mise en conformité NAP pour les connexions VPN est déployée avec un composant serveur de
contrainte VPN et un composant client de contrainte VPN. Grâce à cette méthode de contrainte, les
serveurs VPN peuvent appliquer une stratégie de contrôle d’intégrité lorsque des ordinateurs clients tentent
de se connecter au réseau par le biais d’une connexion VPN. La contrainte VPN fournit un accès réseau
fortement limité pour tous les ordinateurs qui accèdent au réseau à l’aide d’une connexion VPN.
55.5. Contrainte de mise en conformité DHCP
La contrainte de mise en conformité par DHCP est déployée avec un composant serveur de contrainte de
mise en conformité NAP, un composant client de contrainte DHCP et un serveur NPS. À l’aide de la
contrainte de mise en conformité par DHCP, les serveurs DHCP et NPS peuvent appliquer une stratégie de
contrôle d’intégrité lorsqu’un ordinateur tente de louer ou renouveler une adresse IPv4.

Formateur : BADJOU 3/3

Vous aimerez peut-être aussi