Académique Documents
Professionnel Documents
Culture Documents
Projet d’étude :
« Implémentation d’une solution
NAC »
avec Cisco ISE
Enfin que tous ceux qui ont contribué, d’une manière ou d’une autre,
à l’aboutissement de ce travail, trouvent ici, l’expression de nos sincères
reconnaissances.
Merci à tous.
2
Résumé
3
Sommaire
Introduction générale ........................................................................................................................ 6
1.1. Introduction................................................................................................................................. 8
2.1. Introduction................................................................................................................................ 12
2.3.4. Licences.................................................................................................................................... 19
3.1. Introduction................................................................................................................................ 22
4
3.3.3. Jointure des deux plates-formes au contrôleur Active Directory ........................................... 30
4.1. Introduction................................................................................................................................ 55
Références ....................................................................................................................................…. 68
Glossaire ............................................................................................................................................69
5
Introduction générale
La sécurité des réseaux devient, de nos jours, un thème indispensable pour
garantir la disponibilité et l’efficacité des ressources sur le réseau. La spécification
de l’accès au réseau est devenue très importante pour la protection des ressources
soit des tentatives d’intrusions internes ou externes, lesquelles développent des
nouvelles techniques de jour en jour, ou encore des accès, aux données et
informations de haute importance ou très confidentielles, par des membres non
qualifiés. C’est pour cela que chaque utilisateur ou machine, voulant accéder au
réseau, doit être identifié et subir quelques tests de compatibilité avec le réseau
(intégration au domaine, existence d’un antivirus bien défini sur la machine qui veut
s’authentifier, etc.) ; il sera, par la suite, dirigé selon son identité et les droits d’accès
qui lui seront attribués vers les ressources et les sous réseaux auxquels il aura accès.
Ce projet représente une mise en place d’une solution de sécurité et de
conformité réseau qui traitera des aspects de manque de sécurité. Cela se traduit
par l'établissement d'un mécanisme d’authentification automatique, lors du
branchement du câble réseau ou en cas d'utilisation du réseau sans fil. Ceci est
valable pour un utilisateur permanent ; alors que pour un utilisateur temporaire
(visiteur), l'authentification s'effectue via le portail Web. Une fois authentifié, le
client (poste de travail) subira quelques tests destinés à s’assurer de sa conformité
vis-à-vis de la stratégie de sécurité prédéfinie. Après avoir effectué ces tests et si le
client présente des vulnérabilités qui nécessitent l’installation ou la mise à jour d’un
composant, il aura un accès restreint lui offrant les mises à jour nécessaires pour
établir les remèdes appropriés et atteindre ainsi un état conforme et sain.
Aussi, le présent rapport écrit-il la mise en place de cette solution. Dans son
premier chapitre, il abordera le cadre général du projet. Le deuxième chapitre
intitulé « État de l'art » est dédié aux concepts théoriques relatifs à notre solution.
Le troisième chapitre viendra détailler les étapes d'installation et les configurations
nécessaires des divers éléments composant la solution. Dans le quatrième et
dernier chapitre, nous clôturerons par l'exercice des tests nécessaires tendant à
nous prémunir d'un éventuel mauvais fonctionnement.
6
CHAPITRE 1 :
PRÉSENTATION DU
PROJET
7
1.1. Introduction
1.2.1. Histoires
Les phosphates marocains sont exploités dans le cadre d’un monopole d’État
confié à un établissement public créé en 1920 par le dahir du 7 août 1920, l’Office
Chérifien des Phosphates, devenu " Groupe OCP & quot; en 1975.
8
1.2.2. Activités de l’OCP :
Un des leaders mondiaux sur le marché du phosphate et ses dérivés, OCP
opère sur les cinq continents et dispose des plus importantes réserves de
phosphate au monde. Avec plus de 90 ans d’expérience dans la mine et 45 ans en
chimie, OCP offre l’une des plus larges gammes de roche pour divers usages.
Premier exportateur de phosphate brut et d’acide phosphorique dans le monde et
l’un des principaux exportateurs d’engrais phosphatés.
Première entreprise industrielle du Maroc, OCP contribue substantiellement au
développement de l’économie nationale par le biais de ses exportations.
OCP maîtrise toute la chaîne de création de valeur de l’industrie phosphatière
: extraction et traitement du minerai, transformation de cette matière première en
un produit liquide intermédiaire, l’acide phosphorique, et fabrication des produits
finis par concentration et granulation de cet acide ou par purification : engrais, acide
phosphorique purifié.
1.3. Besoin d'une solution NAC
Tout réseau informatique et particulièrement un réseau d'entreprise devrait
demeurer sain. Chaque administrateur est censé authentifier, autoriser, évaluer et
corriger les équipements filaires, sans fil et distants, avant de donner à leurs
utilisateurs un accès au réseau.
Aussi, le responsable doit reconnaître les utilisateurs, leurs appareils et leurs
rôles sur le réseau. Cette première étape intervient au niveau de la phase
d'authentification, avant que d'éventuels codes malveillants puissent endommager
le système.
Dans une seconde étape, la sûreté du réseau requiert la vérification de la
conformité des machines avec les politiques de sécurité. Ces politiques dépendent
du type d'utilisateur, du type d'équipement ou du système d'exploitation. En cas de
non-conformité, des réactions peuvent en résulter : blocage, isolation et
réparation.
9
Le déploiement d'une solution NAC (Network Admission Control ou
Network Access Control) permettra à l'administrateur de bénéficier de l'ensemble
de ces fonctions d'une manière plus efficace et plus performante.
1.4. Contribution
Cisco Systems, leader mondial des solutions réseaux, dispose d'un ensemble
de produits servant à mettre en place la solution NAC. Sa nouvelle politique tend à
adopter la plate-forme ISE (ou Identity Services Engine). Cependant, les
informations disponibles sur sa mise en place et sa configuration sont limitées du
moment qu'elle est récente.
10
CHAPITRE 2 :
ÉTAT DE L'ART
11
2.1. Introduction
Le contrôle d’accès au réseau (ou NAC) est un terme qui englobe diverses
technologies développées pour contrôler/restreindre l’accès au réseau par les
systèmes d’extrémité en fonction de leur « état de santé ». L’idée de base est que
les systèmes d’extrémité dangereux ou vulnérables (« en mauvaise santé ») ne
doivent pas communiquer sur le réseau de l’entreprise dans la mesure où ils
pourraient introduire un risque de sécurité pour les processus et les services
critiques. Une solution NAC empêchera un système d’extrémité en mauvaise santé
d’accéder normalement au réseau jusqu’à ce que la santé de ce système soit
assurée.
12
Après exécution du processus d’évaluation et d’autorisation du système
d’extrémité, s'il s'avère que ce dernier est non conforme aux politiques de sécurité
du réseau, on peut lui accorder un accès restreint ou encore le mettre en
quarantaine réseau. Le processus d’application des politiques de mise en
quarantaine fait intervenir des politiques de communication réseau très
granulaires, c’est-à-dire à base de flux et non pas une simple affectation à un VLAN.
En effet, regrouper tous les systèmes d’extrémité « en mauvaise santé » au sein du
même VLAN de quarantaine revient à les laisser s’infecter mutuellement avec de
nouvelles vulnérabilités. Les politiques réseau décrivent la manière dont le trafic
entrant sur des ports de commutation doit être traité au niveau du filtrage et du
balisage.
2.2.2. Architecture
13
Périphériques essayant d'accéder au réseau ou "Agents" (A) : inclut les
ordinateurs portables mobiles ou qui ne se connectent que rarement, les
utilisateurs invités ou les visiteurs ainsi que les utilisateurs de réseau
habituels qui tentent d'accéder au réseau d'entreprise.
Périphérique de contrôle d'accès au réseau (B) : du point de vue du
périphérique demandeur, le périphérique d'accès réseau fonctionne en tant
que périphérique réseau de « premier saut » qui lance le traitement Posture
Validation et le processus d'authentification.
Posture Validation Server (point de décision d'accès réseau) (C) : serveur en
arrière-plan dédié, également appelé "Posture Validation Server", qui évalue
les références d'authentification Posture (statut des périphériques qui
requièrent un accès) en fonction des règles de conformité.
Serveurs d'entreprise (D) : zone critique du réseau et que la solution NAC
protège des périphériques malsains, infectés ou vulnérables.
VLAN de quarantaine (E) : zone de réseau protégée virtuelle dans laquelle les
périphériques peuvent être sécurisés et corrigés, ré-analysés, puis ils
obtiennent un accès complet au réseau d'entreprise, ou restent conservés
avec un accès restreint aux ressources de réseau telle que l'Internet.
(LANDESK, 2013)
2.3. La plate-forme Cisco ISE
Dans ce qui suit, nous allons définir la plate-forme Cisco ISE, la comparer avec
son prédécesseur ACS et mettre l'accent sur les principaux standards auxquels elle
fait appel pour fonctionner et nous finissons par évoquer les licences requises pour
bénéficier de ses services.
2.3.1. Définition
Identity Services Engine (ISE) est la dernière génération des plates-formes de
contrôle d'accès proposées par Cisco et qui permet aux entreprises d'imposer leurs
politiques de sécurité lors de l'accès, de renforcer la sécurité de leurs infrastructures
et de rationaliser leurs opérations de services.
14
L'architecture unique de Cisco ISE permet aux entreprises de recueillir les
informations concernant les utilisateurs et les périphériques, en temps réel à partir
du réseau. L'administrateur peut ensuite utiliser ces informations pour prendre des
décisions de gouvernance proactive en liant l'identité à divers éléments du réseau,
y compris les commutateurs, les contrôleurs de réseau local sans fil (WLC) et les
passerelles des réseaux privés virtuels (VPN).
Le schéma suivant montre un exemple de déploiement de l'ISE au sein du
réseau :
15
2.3.2. Comparaison entre ACS et ISE
L'ACS ou Secure Access Control System est le prédécesseur de l'ISE. Le
tableau suivant présente une comparaison entre les deux :
16
Le standard 802.1X fait intervenir trois entités :
Le client ou "supplicant" qui est typiquement un PC
L'authentificateur (Switch, WLC)
Le serveur d'authentification ou "authentifcation server"
qui est un serveur RADIUS. 802.1x s'appuie sur EAP (Extensible
Authentication Protocol) qui présente un moyen pour
transporter un protocole d'authentification. (Vincent
REMAZEILLES, 2009).
17
Le protocole EAP est extensible puisque tout mécanisme d'authentification
peut être encapsulé à l’intérieur des messages EAP. Au niveau supérieur se trouvent
les méthodes d'authentification, comme TLS, MSChap, SIM, etc. La trame EAP elle-
même est encapsulée dans une trame de transport. Cette encapsulation peut
s’effectuer soit dans une trame EAP over Radius, c’est-à-dire dans une trame
RADIUS, soit dans une trame EAPoL (EAP over LAN) qui est utilisée dans les réseaux
locaux, en particulier les réseaux locaux sans fil de type Wi-Fi. (Pujolle, 2008)
RADIUS (Remote Authentication Dial-In User Server)
Quel que soit le choix du mécanisme d'authentification entre le point d’accès
et le serveur d'authentification, les paquets EAP sont généralement acheminés
grâce au protocole RADIUS. RADIUS est depuis longtemps le protocole AAA
(Authentication, Authorization, Accounting) le plus largement adopté. Utilisé par
les ISP pour authentifier les utilisateurs, il est principalement conçu pour
transporter des données d'authentification, d’autorisation et de facturation entre
des NAS (Network Access Server) distribués, qui désirent authentifier leurs
utilisateurs et un serveur d’authentification partagé.
RADIUS utilise une architecture client-serveur qui repose sur le protocole
UDP. Les NAS, qui jouent le rôle de client, sont responsables du transfert des
informations envoyées par l’utilisateur vers les serveurs RADIUS. Ces derniers
prennent en charge la réception des demandes d’authentification,
l’authentification des utilisateurs et les réponses contenant toutes les informations
de configuration nécessaires aux NAS. Les serveurs RADIUS peuvent également agir
comme proxy pour d’autres serveurs RADIUS.
Si un équipement mobile a besoin d’accéder au réseau en utilisant RADIUS
pour l'authentification, il doit présenter au NAS des crédits d'authentification
(identifiant utilisateur, mot de passe, etc.). Ce dernier les transmet au serveur
RADIUS en lui envoyant un ACCESSREQUEST. Le NAS et les proxys RADIUS ne
peuvent interpréter ces crédits d'authentification car ces derniers sont chiffrés
entre l’utilisateur et le serveur RADIUS destinataire. À la réception de cette requête,
le serveur RADIUS vérifie l'identifiant du NAS puis les crédits d'authentification de
l’utilisateur dans une base de données LDAP (Lightweight Directory Access Protocol)
ou autre.
18
Les données d’autorisation échangées entre le client (le NAS) et le serveur
RADIUS sont toujours accompagnées d’un secret partagé. Ce secret est utilisé pour
vérifier l’authenticité et l’intégrité de chaque paquet entre le NAS et le serveur.
802.1X - EAP – RADIUS
Les messages EAP transportent les échanges d’authentification entre le client
et le serveur d'authentification. Le Switch ne fait que les relayer, toutefois de part
et d’autre du Switch, les messages EAP ne sont pas transportés de la même façon.
Entre le client et le Switch, EAP est directement dans la charge utile des trames
Ethernet. Entre le Switch et le serveur RADIUS, EAP est transporté dans les
messages RADIUS. La figure suivante explique les deux encapsulations :
19
Tableau 2 : Les services de l'ISE et les licences correspondantes
2.4. Conclusion
Dans ce présent chapitre, nous avons essayé de mettre en relief le principe
de fonctionnement de toute solution NAC, son architecture globale ainsi que les
différentes solutions disponibles ; néanmoins, nous nous sommes attardés sur une
solution particulière proposée par Cisco Systems, à savoir la plate-forme ISE.
La mise en place de cette plate-forme et la définition des politiques de
sécurité dépendent de l'architecture et de la nature du réseau à protéger, tels que
type d’utilisateurs, équipements déployés et sous-réseaux existants.
20
CHAPITRE 3 :
RÉALISATION
21
3.1. Introduction
Après avoir achevé les notions théoriques, nous passons à la mise en place
de notre solution, laquelle représente notre tâche principale. Au cours de ce
chapitre, nous nous attarderons sur les différentes configurations requises pour
assurer le contrôle d'accès des utilisateurs des réseaux filaires et sans fil. Ceci
revient essentiellement à paramétrer la plate-forme ISE, le commutateur ainsi que
le contrôleur du réseau sans fil ou le WLC.
3.2. Architecture du réseau
Afin d'implémenter notre solution, nous avons besoin d'une part, de deux
équipements et d'autre part, de quatre machines virtuelles.
Les équipements requis sont :
Un commutateur (Switch)
Un point d'accès
Les machines virtuelles requises serviront à installer :
Un contrôleur de domaine
Deux plates-formes Cisco ISE
Un contrôleur du réseau local sans fil (WLC)
L'installation des machines virtuelles s'est déroulée sur le serveur de
l'entreprise, lequel est doté des caractéristiques suivantes :
23
3.3. Installation et intégration de Cisco ISE et Active Directory
Avant d'entamer la configuration des trois principaux éléments de notre
solution, nous devrions passer par la préparation du terrain dans lequel la solution
sera déployée. Ceci consiste essentiellement à :
Installer le contrôleur de domaine.
Installer et intégrer deux plates-formes ISE.
Joindre les deux plates-formes au contrôleur.
3.3.1. Installation du contrôleur de domaine (Active Directory)
Active Directory est un service d'annuaire, ou contrôleur de domaine,
permettant de référencer et d'organiser des objets tels que les comptes utilisateurs
ou encore les autorisations et ce à l'aide de groupes de domaine. Les informations
peuvent ainsi être centralisées dans un annuaire de référence afin de faciliter
l'administration du réseau.
Le domaine représente l'unité de base chargée de regrouper les objets qui
partagent un même espace de nom. Par conséquent, notre domaine repose sur un
système DNS.
Le serveur DNS et le contrôleur Active Directory sont deux rôles à ajouter à
Windows Server.
24
Le nom de domaine que nous avons choisi est : NSIT.local (abréviation du
nom de l'entreprise : OCP Group)
3.3.2. Installation et intégration de deux plates-formes Cisco ISE
L'installation de l'ISE s'est déroulée sur l'un des serveurs de l'entreprise ayant
comme hyperviseur VMware ESXi. Nous y accédons à l'aide de VMware vSphere
Client.
En premier lieu, nous devons télécharger l'image .iso sur la banque de
données "datastore" du serveur.
25
172.25.0.201 : adresse IP privée de la machine
255.255.255.0 : masque de sous-réseau
172.25.0.254 : passerelle par défaut
nsit.local : nom de domaine que nous avons choisi
172.25.0.27 : adresse IP du serveur NTP (Network Time Protocol)
permettant de synchroniser l'horloge de la plate- forme. Un serveur NTP
a été installé sur Windows Server et sur lequel pointe l'ISE.
26
l'autorité est représentée par le contrôleur de domaine. La génération du certificat
est offerte par le service de certificats Active Directory.
27
Figure 12 : Importation du certificat d'autorité de certification dans le plat
28
Après avoir ajouté chaque certificat à la plate- forme correspondante, nous
sommes à même de les intégrer. L'enregistrement de la plate-forme secondaire au
niveau du primaire nécessite la spécification de son FQDN (ise- cisco2.nsit. local) et
des données d'authentification de l'administrateur. Il est à préciser que l'intégration
des deux plates plates-formes exige une conformité d'horloge (NTP).
29
connecter à l'interface du nœud secondaire et le promouvoir pour pouvoir
configurer les règles.
3.3.3. Jointure des deux plates-formes au contrôleur Active Directory
L'intégration du contrôleur avec la plate-forme ISE sera utile lors de la phase
d'authentification. En effet, l'authentification peut être effectuée à partir d'une
source externe et ce en s'appuyant sur les comptes utilisateurs et leurs groupes
respectifs.
La plate-forme doit être reconnue au niveau du contrôleur comme étant une
machine. Son FQDN (ise-cisco.nsit.local) doit aussi être résolu. Ceci nous conduit à
ajouter un hôte au niveau du serveur DNS, sinon une alerte s'affichera sur la plate-
forme.
30
3.4. Configuration de l'ISE
La configuration de l'ISE se résume principalement à la configuration des
politiques d'authentification, de "Client Provisioning" et posture et d'autorisation.
3.4.1. Authentification
Les politiques d'authentification à définir au niveau de l'ISE servent à
identifier les différents utilisateurs ou machines demandant l'accès au réseau et ce
en s'appuyant sur un ensemble de protocoles tels que Password Authentication
Protocol (PAP), Challenge-Handshake Authentication Protocol (CHAP), Extensible
Authentication Protocol (EAP) et Protected Extensible Authentication Protocol
(PEAP). Lors de l'ajout de la règle, nous devons choisir les protocoles permis pour
une telle méthode d'authentification et la source des identités (Identity Store).
Les sources qui peuvent être utilisées sont les suivantes :
Utilisateurs internes
Utilisateurs "Guest" (groupe d'utilisateurs défini sur la plate-forme)
Terminaux internes
Active Directory
Bases de données LDAP
RADIUS Token Server
Trois méthodes d'authentification sont supportées par l’ISE :
802.1X (abordé au cours du chapitre précédent)
MAC Authentication Bypass (MAB) : certains périphériques, tels que
l'imprimante réseau et le téléphone IP, ne supportent pas l'authentification
802.1X. Dans ce cas, elle pourra être effectuée en se référant à l'adresse MAC
L'authentification Web via un portail captif
Les règles d'authentification qui ont été définies se limitaient aux deux
premières méthodes. La première règle permet de vérifier l'existence des adresses
MAC des périphériques dans la liste interne. Cette règle sera aussi utile pour la
troisième méthode, laquelle est reportée à la phase d'autorisation. La seconde règle
sert à authentifier les comptes utilisateurs, en premier lieu à partir du contrôleur
Active Directory, puis à partir de la liste interne. En d’échec d'authentification pour
31
un utilisateur de domaine, la seconde règle donne la possibilité de tester avec un
utilisateur local. Ceci nous permettra de mieux localiser la défaillance ; il pourrait
s'agir d'une erreur d'intégration avec Active Directory ou d'une erreur au niveau de
l'authentification en se référant au domaine.
Afin d'autoriser plus qu'une source d'authentification pour une seule règle,
il a fallu ajouter une séquence de source d'identité ou "Identity Source Sequence"
permettant de vérifier les identités en consultant les sources par ordre. La figure
suivante montre la séquence définie :
32
Il est possible de définir des règles avec des conditions simples ou composées.
Une condition simple est basée sur un opérande, un opérateur tels que "equal to"
et "not equal to" ainsi qu'une valeur. Ces conditions peuvent être définies au niveau
de la librairie et appelées directement lors de la définition de la règle pour une
meilleure organisation. Une condition composée rassemble deux conditions
simples ou plus avec un opérateur OR ou AND. La figure suivante montre le
rassemblement de deux conditions existantes dans la librairie avec un opérateur OR
pour la règle "MAB".
La définition des règles repose sur les attributs du protocole RADIUS. Les
attributs constituent le principe le plus important du protocole Radius, aussi bien
dans sa version initiale que pour ses extensions. Les champs attributs sont le
fondement du protocole. Par conséquent, la bonne compréhension de leur
33
signification et de leur rôle est indispensable pour tirer le
meilleur parti de Radius. Chaque attribut possède un numéro approprié, auquel est
associé un nom. Il existe un grand nombre d’attributs dans le protocole Radius, mais
peu d’entre eux sont utiles dans le cas qui nous préoccupe ici
User-Name : cet attribut est envoyé par le NAS et contient l’identifiant qui va
servir de point d’entrée dans la base du serveur d’authentification
User-Password : il s’agit du mot de passe associé à User-Name, transmis par
le NAS. Le serveur d’authentification valide ce mot de passe en fonction de la
valeur enregistrée dans sa base de données.
NAS-Port : il s’agit du numéro de port du NAS sur lequel est connecté le poste
de travail. Cet attribut est transmis par le NAS. Son utilisation permettra
d’authentifier un poste de travail à condition qu’il soit connecté via ce numéro
de port. Dans le cas d’un commutateur, il s’agit du port physique sur lequel est
connecté le poste de travail.
Service-Type : indique le type de service demandé ou le type de service à
fournir. Pour une utilisation avec la norme 802.1X, seulement les valeurs
Framed, Authenticate Only et Call check ont un sens.
A titre d'exemple, la condition prédéfinie "Wired_802.1X" affecte les valeurs
suivantes aux attributs Service-Type et NAS-Port :
34
Cisco NAC Web Agent : un agent temporaire que les clients installent lors du
login et qui disparait une fois la session de login terminée. Il est recommandé
pour des utilisateurs ayant un accès pour une période bien déterminée.
Cisco NAC Agent : un agent persistant qui, une fois installé, subsiste sur une
machine Windows ou Mac pour permettre l'évaluation lors des prochaines
connexions. Il est généralement utilisé avec les utilisateurs du domaine.
Par ailleurs, ces agents peuvent faciliter la remédiation des machines en
affichant un message expliquant la procédure et en fournissant des fichiers à
télécharger et installer. La plateforme ISE donne la possibilité de rediriger les clients
vers une page de téléchargement des agents pour ceux qui n'en disposent pas et ce
grâce à une option à configurer au niveau du profil d’autorisation. Ce service est
appelé "Client Provisioning". La figure qui suivra expose les règles de "Client
Provisioning" définies : la première fournit l'agent temporaire "Web Agent" aux
invités "Guests", alors que la deuxième fournit l'agent persistant aux autres
utilisateurs qui sont principalement les membres du domaine. Il est à préciser que
l'ordre des règles est primordial pour assurer une bonne affectation. Par exemple,
en inversant l'ordre, tous les utilisateurs téléchargeront l'agent persistant et la
deuxième règle ne sera jamais appliquée.
35
Figure 24 : Exemples de la liste des agents NAC
Après avoir fourni les agents permettant l'évaluation de posture aux clients,
nous devons procéder à la phase de définition des règles de posture. Une règle
s'écrit :
Si condition(s) alors exigence
Aussi, une exigence peut être décomposée comme suit :
Si condition(s) alors action de remédiation
Dans une règle d'exigence, une condition simple peut être :
Un fichier : vérifier l'existence d'un fichier, la date du fichier ainsi que
sa version
Un registre : s'assurer de l'existence d'une clé de registre ou la valeur
de la clé
Une application : vérifier si une application est en train de fonctionner
Un service : vérifier si un service est en exécution
Nous pouvons aussi former une condition composée à base de conditions
simples ou composées. En outre, des conditions composées intégrées avec l'ISE
existent : Antivirus et Antispywares. Lors de l'ajout d'une condition d'antivirus et
après le choix du système d'exploitation, la liste des vendeurs s'affiche :
36
Figure 25 : Liste des vendeurs d'antivirus
Pour une telle condition, Cisco ISE donne la possibilité d'examiner la machine
pour vérifier l'existence de l'antivirus ou même la disposition d'une version récente.
Ceci est réalisable en analysant le fichier de définition de la version par les Agents
NAC. En conséquence, les versions reconnues par l'ISE doivent être mises à jour
continuellement.
Comme l'entreprise Next Step IT est un revendeur des produits Mcafee, nous
avons opté pour l'utilisation de ce vendeur dans la définition de la règle. Tout
utilisateur demandant l'accès au réseau doit disposer d'une version de l'antivirus
Mcafee.
37
Figure 27 : Choix des produits Mcafee dans la condition d'antivirus
38
Figure 29 : Définition de la règle d'exigence
Après avoir eu accès, un client peut désinstaller son anti-virus, ou d'une autre
manière, détourner la règle définie. Ceci nous oblige à revérifier la machine
périodiquement. Dans notre cas, nous avons appliqué une réévaluation régulière
d'une heure comme décrit dans la figure suivante.
39
Figure 32 : Réévaluation régulière
3.4.3. Autorisation
Les politiques d'autorisation à définir mettent en application les politiques
d'authentification et de posture ; ces politiques sont déclarées comme étant des
conditions. Sur la base de ces conditions, l'utilisateur aura l'autorisation appropriée.
Pour résumer, une règle d'autorisation s'écrit :
Si conditions (attributs ou groupes d'utilisateurs) alors permissions (profil
d'autorisation).
Dans notre cas, nous avons besoin des attributs d'authentification et de
posture ainsi que des groupes d'utilisateurs. Afin de vérifier l'état de la machine par
rapport à la règle de posture, nous avons recours à l'attribut "PostureStatus". Cet
attribut peut avoir trois valeurs :
Unknown : aucune donnée n'a été obtenue pour évaluer la machine ;
l'agent NAC n'est pas disponible
Noncompliant : la machine n'est pas conforme avec une ou plusieurs
règles
Compliant : la machine est conforme avec les règles
Afin de vérifier l'identité de l'utilisateur du domaine, nous avons recours à
l'attribut "ExternalGroups" et ce en prenant comme valeur le nom d'un groupe du
domaine.
40
Les utilisateurs inscrits sur le portail captif sont affectés directement à un
groupe d'utilisateur nommé "Guest", lequel peut être exploité lors de l'ajout de la
règle.
Avant d'additionner une règle, nous devons créer le profil d'autorisation
associé. Dans un tel profil, nous avons le choix entre plusieurs options telles que
l'affectation à un VLAN, la redirection vers un URL (portail d'authentification Web,
portail de Client Provisioning, URL externe, etc.), à base d'une liste de contrôle
d'accès, et même l'application d'un ACL sur le port du commutateur.
A titre d'exemple, nous avons créé le profil d'autorisation CWA permettant
de rediriger les utilisateurs vers le portail captif en se référant à la liste d'accès
définie au niveau des WLC et Switch et sur laquelle on s'attardera ultérieurement.
Après avoir terminé la création des profils, nous pouvons définir les règles.
Ces règles autorisent l'accès aux utilisateurs authentifiés au domaine ou via le
portail Web et ayant des machines conformes aux règles de posture. Un utilisateur
de domaine ne disposant pas de l’argent NAC ou non conforme avec les politiques
de posture est redirigé vers la page de Client Provisioning. Sinon, l'utilisateur est
redirigé vers le portail Web incluant une phase de validation de posture.
41
Figure 34 : Règles d'autorisation
3.5. Configuration du Switch
Dans cette partie, nous allons nous intéresser à la configuration du Switch qui
représente l'authentificateur pour les utilisateurs du réseau filaire. En effet, le
commutateur jouera le rôle d'intermédiaire entre le serveur RADIUS (ISE) et le
client.
Tout au long de la mise en place de notre solution, nous avons travaillé avec
trois modèles différents, à savoir le Cisco Catalyst 3560, le Cisco Catalyst 3650 et le
Cisco Catalyst 2960 et ce selon la disponibilité de l'un ou de l'autre, autrement dit,
selon les différents besoins des employés de l'entreprise.
42
Afin d'accéder au Switch, nous pouvons nous connecter directement en
utilisant un câble console ou à distance via SSH. Le service SSH est par défaut
désactivé au niveau du commutateur.
Pour l'activer, nous avons recours aux commandes suivantes :
crypto key generate RSA : générer la clé de chiffrement
line vty 0 4 : permettre quatre sessions d'accès à distance
simultanément
transport input ssh : activer le service SSH au lieu de Telnet
username <nom d'utilisateur> password <mot de passe> : spécifier
les données d'authentification
Il est à rappeler que des ports existant sur un commutateur peuvent
fonctionner selon différents modes. Dans les deux sections qui vont suivre nous
allons évoquer, en premier lieu, la configuration globale s'appliquant sur la totalité
du Switch et en second lieu, nous procédons à la configuration de l'interface.
3.5.1. Configuration globale
La commande aaa new-model permet d'activer les fonctions
d'authentification, d'autorisation et de comptabilité du Switch . Les commandes qui
suivront définissent les services du serveur RADIUS qui aura la charge d'authentifier
les utilisateurs, de leur affecter des profils d'autorisation basés sur les listes d'accès
ou les VLANs et de garder une trace sur leur activité :
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
La commande suivante dont nous avons besoin est dot1x system-auth-
control servant à activer le 802.1x pour tout le Switch. Après avoir activé le AAA et
dot1x, il est nécessaire de déclarer l'adresse du serveur RADIUS fournissant les
services demandés ainsi qu'une clé d’authentification. Cette déclaration est
effectuée à l'aide de la commande radius-server host 172.25.0.200 key OCP où
172.25.0.200 et OCP représentent respectivement l'adresse IP de Cisco ISE et la clé
d'authentification entre le commutateur et le serveur, laquelle est mentionnée lors
de l'ajout du Switch à la liste des périphériques réseaux au niveau de l'ISE.
43
Les ordres d'application des ACLs au niveau des ports, d'affectation des
interfaces aux VLANs ou même de redirection vers des URLs émis du Cisco ISE au
Switch, font appel à un ensemble d'attributs avancés du protocole RADIUS nommés
VSA (Vendor Specific Attribute).
Ces attributs sont échangés lors de l'attribution des profils d'autorisation.
Afin de bénéficier de ces fonctionnalités, il est indispensable d'appliquer les
commandes radius-server vsa send accounting et radius-server vsa send
authentication. La figure suivante représente les différentes commandes citées
précédemment, étant précisé que la commande de déclaration du serveur a été
saisie deux fois, la première incluant l'adresse du noeud primaire alors que la
seconde inclut l'adresse du noeud secondaire.
44
Figure 37 : Activation du CoA au niveau du Switch
Pour savoir quel trafic rediriger, Cisco ISE réfère à une liste d'accès déclarée
au niveau du Switch ; tout flux ayant comme réaction "permit" doit être redirigé. Il
est à préciser que tout trafic à rediriger autre que HTTP et HTTPS sera rejeté. Le
tableau suivant expose les différentes règles déclarées sous la liste d'accès :
46
Nous commençons par affecter l'interface au VLAN 340 utilisé pour le réseau
local de l'entreprise et la faire fonctionner en mode Access du moment qu'un PC
sera directement connecté.
Afin d'activer l'authentification 802.1X sur le port et interdire tout trafic sauf
celui du protocole EAPOL (Extensible Authentication Protocol over LAN), nous
utilisons la commande dot1x port-control auto. En combinant cette commande
avec la commande dot1x pae authenticator, le Switch devrait initier
l'authentification dès le branchement du câble, autrement dit, dès que l'interface
change son état de "down" à "up".
Pour que l'authentification MAB (Mac Authentication Bypass) soit activée, il
suffit de taper la commande mab tout court.
A cet instant, les deux méthodes d'authentification sont activées et il nous
reste à favoriser le dot1x par rapport au MAB. Ceci est réalisable à l'aide la
commande authentication order dot1x mab.
La figure suivante regroupe les différentes commandes appliquées à
l'interface :
Le modèle de point d'accès utilisé est Cisco Aironet 1041N. Il a été branché
sur une prise RJ45 pour pouvoir communiquer avec le contrôleur installé sur le
serveur.
48
Après lui avoir affecté une adresse IP et précisé l'adresse du WLC, le point
d'accès est automatiquement détecté au niveau du contrôleur grâce au protocole
CAPWAP.
Les utilisateurs tentant de bénéficier de l'accès sans fil se classifient sous deux
catégories, les utilisateurs temporaires (ou visiteurs) et les utilisateurs persistants
appartenant au domaine. Cela se traduit par la diffusion de deux SSID différents ;
chaque WLAN possède ses propres politiques de sécurité.
Le premier SSID diffusé « PFE-NSIT » est dédié aux visiteurs, sur lequel nous
devons activer le filtrage par adresse MAC équivalent à l'authentification MAB. Bien
que la machine ne soit pas connue par l'ISE, elle sera considérée comme étant
authentifiée avec l'option "If user not found" configurée précédemment au niveau
de la plate-forme.
49
L'authentification auprès de la plate-forme nécessitait l'addition du serveur
d'authentification RADIUS inclus à la plate-forme au WLC. La figure suivante montre
les différents champs disponibles et qui doivent être configurés lors de l'ajout.
50
Figure 48 : Ajout des serveurs d'authentification et d'autorisation
51
Figure 50 : Configuration DHCP
52
Après avoir terminé la configuration des deux WLANs, et à l’instar de la liste
d’accès déclarée au niveau du Switch, nous devons ajouter une ACL permettant de
préciser le type de trafic à rediriger, étant précisé que les entrées doivent être
déclarées inversement au Switch ; une règle « permit » est remplacée par « deny »
et vice versa. Nous n’avons pas eu recours à additionner une règle pour le trafic
DHCP tant qu’il est autorisé par défaut.
53
CHAPITRE 4 :
TEST ET VALIDATION
54
4.1. Introduction
Une fois la solution mise en place, nous procédons à la phase de test dans le
but de nous assurer du bon fonctionnement des équipements et de la
configuration. La vérification consiste à essayer de se connecter, aux réseaux filaire
et sans fil, avec des scénarios différents et ce, en variant la méthode
d'authentification et en faisant intervenir des machines avec des états de "santé"
divers.
55
L’étape suivante consiste à activer l’authentification 802.1X sur l’interface
Ethernet. La méthode d’authentification par défaut (PEAP) a été conservée tant
qu’elle est supportée par la plate-forme ISE.
56
Après avoir saisi les données du compte utilisateur, et en essayant d’accéder
à la page http://www.google.fr , nous nous sommes trouvés redirigés vers la page
de « Client Provisionning » fournissant l’Agent NAC persistant.
58
Figure 59 : Détails de l'authentification sur l'interfaceGigabitEthernet1/0/23
59
Figure 61 : Authentification DOT1X pour le SSID "PFE-NSIT2
Après avoir tapé les coordonnées, nous sommes redirigés vers la page de CCP
(Client Provisioning Portal) pour télécharger l'agent NAC. Une fois installé, cet Agent
nous indique que notre accès au réseau est restreint pour raison de non-conformité
tel qu’il est montré sur la figure et nous suggère la réparation de la machine pour
avoir un accès complet.
60
Un invité, n'appartenant pas au domaine, est appelé à se connecter à PFE-
NSIT. Dès qu'il se connecte, il se trouve redirigé vers le portail captif sur son
navigateur.
61
Figure 64 : Inscription via la version mobile du portail captif
62
Lors de la création du compte, nous devons choisir la durée de vie du compte
en lui affectant un des profils existants sur la plate-forme. Dans l'exemple qui suit,
le compte sera actif durant une période de huit heures.
63
Figure 68 : Validation de posture avec un agent temporaire
64
En consultant le log de la plate-forme ISE, nous pouvons constater l'évolution
suivante :
D'autres détails sont aussi disponibles au niveau du log de Cisco ISE, tels que
les attributs VSA échangés avec le WLC et précisant l'ACL et l'URL de redirection,
ainsi que l'attribut Called-Station-ID mentionnant l'adresse MAC du point d'accès et
le SSID associé.
65
4.4. Conclusion
Cette partie du rapport était consacrée à l'essai de la solution avec différents
scénarios afin de prouver son bon fonctionnement et son efficacité et ce, en
essayant de connecter une machine au réseau, ou encore en se référant aux
services disponibles au sein des composants, tel que le système de journalisation
de la plate-forme Cisco ISE.
66
Conclusion et perspectives
Dans le cadre de ce projet réalisé au sein du Groupe OCP, nous avons mis en
place une solution de contrôle d'accès relative aux réseaux filaire et sans fil. La
solution est encore plus nécessaire quand on sait que, dans certains
établissements, le nombre d’utilisateurs qui sollicitent fréquemment le réseau est
très important.
Cisco Systems Description de la gamme Cisco NAC [En ligne]. - 2006. - 4 Février
2015.
Enterasys Secure Networks Network Access Control (Contrôle d’accès au réseau)
[En ligne]. - 2007. - 2 Mars 2015.
FreeNAC Contrôle d'accès réseau [En ligne]. - 20 Mars 2015. -
http://freenac.net/fr/solutions/lanaccesscontrol.
Juniper Networks Unified Access Control [En ligne]. - Novembre 2011. - 15 Mars
2015.
LANDESK Centre d'aide Compréhension des composants NAC de base Centre
d'aide
LANDESK [En ligne] // site Web LANDESK Help Center. - 2013. - 12 Mars 2015. -
https://help.landesk.com/Topic/Index/FRA/LDMS/9.5/Content/Windows/nac_c_b
asic_com ponents.htm.
Marcotte Ludovic PacketFence 4.1 : une solution BYOD/NAC dans la cour des
grands [Enligne] // Linuxfr. - 17 Décembre 2013. - 22 Mars 2015. -
http://linuxfr.org/news/packetfence-4-1-une-solution-byod-nac-dans-la-cour-des-
grands.
Microsoft Protection d’accès réseau (NAP) [En ligne] // Microsoft. - Janvier 2008.
- 12 Mars 2015. - https://technet.microsoft.com/fr-
fr/library/cc753550%28v=ws.10%29.aspx.
Pujolle Guy Les réseaux [Livre]. - [s.l.] : Eyrolles, 2008. - p. 880.
Vincent REMAZEILLES La sécurité des réseaux avec Cisco [Livre]. - [s.l.] : Editions
ENI,- 2009. - p. 40.
68
Glossaire
802.1X : standard permettant de contrôler l'accès aux équipements du
réseau
ACL (Access Control List) : les ACLs servent principalement au filtrage des
paquets sur les interfaces physiques
CWA (Central Web Authentication) : portail Web qui permet aux utilisateurs
de s'inscrire et de s'authentifier. Aussi, elle peut inclure la validation de
posture (CPP).
DNS (Domain Name System) : service de noms reposant sur des serveurs et
permettant de convertir un nom en une adresse IP
MAC (Medium Access Control) : couche logicielle qui a pour rôle de structurer
les bits d'information en trames adaptées au support physique et de gérer les
adresses physiques des cartes réseaux (Adresses MAC)
70