Rapport de stage OCP 2022

Projet d’étude :
« Implémentation d’une solution
NAC »
avec Cisco ISE

Lieu de stage : service informatique –groupe OCP

Période de stage : 03/07/2022 AU 03/08/2022
Filière : Ingénierie des réseaux intelligents et cyber sécurité
Établissement : École Nationale des Sciences Appliquées Khouribga

Réalisé par : Encadré par

ELAIDI Rania Mr. ELARCHI Nabil
BELHASSAN Fatima Ezzahrae Mr FALJANE Aziz
 Remerciements

Nous tenons à remercier tout particulièrement le groupe OCP de nous

avoir donné l’occasion de passer ce stage, et plus particulièrement le site
de Khouribga qui nous a bien accueilli.

Nous tenons à exprimer nos profondes gratitudes et nos sincères

remerciements à Mr ELARCHI Nabil pour avoir assuré l’encadrement de
ce travail et pour nous avoir apporté son soutien, sa disponibilité tout au
long de notre période de stage.

Nous tenons aussi à présenter nos remerciements au Mr FALJANE Aziz

pour nous avoir permis d’intégrer l’OCP dans le cadre d’un stage.

De même, nous remercions l’ensemble des agents de service Réseaux

et Informatique qui n’ont pas tardé à nous fournir toutes les informations
nécessaires et leurs explications dans les différentes unités de service
afin de bien comprendre le déroulement du travail.

Enfin que tous ceux qui ont contribué, d’une manière ou d’une autre,
à l’aboutissement de ce travail, trouvent ici, l’expression de nos sincères
reconnaissances.

Merci à tous.

2
 Résumé

Ce rapport s’inscrit dans le cadre de notre projet réalisé au sein du groupe

OCP, consistant à la mise en place d’une solution de contrôle d'accès au
réseau. Cette solution est constituée de plusieurs composants qui, en
fonctionnant de façon contigüe, permettront de filtrer l’accès au réseau
en authentifiant tout hôte demandant l'accès et d’effectuer, sur l’hôte
authentifié, un ensemble de tests pour vérifier son état de « santé » et le
rendre conforme avec la stratégie de sécurité suivie. Ces objectifs seront
réalisés par l'implémentation d’une plateforme de sécurité fournie par le
leader mondial, Cisco Systems, et intégrée avec un service d’annuaire
(Microsoft Active Directory) afin d'assurer l’authentification, ainsi qu'un
commutateur et un contrôleur de réseau local sans fil servant à
connecter les utilisateurs respectivement aux réseaux filaire et sans fil.

3
 Sommaire
Introduction générale ........................................................................................................................ 6

Chapitre 1 : Présentation du projet ................................................................................................... 7

1.1. Introduction................................................................................................................................. 8

1.2. Présentation de l'entreprise d'accueil ........................................................................................ 8

1.2.1. Histoires …................................................................................................................................ 8

1.2.2. Activités de l’OCP ..................................................................................................................... 9

1.3. Besoin d'une solution NAC .......................................................................................................... 9

1.4. Contribution ............................................................................................................................... 10

Chapitre 2 : État de l'art .................................................................................................................... 11

2.1. Introduction................................................................................................................................ 12

2.2. La solution NAC .......................................................................................................................... 12

2.2.1. Principe de fonctionnement ................................................................................................... 12

2.2.2. Architecture ............................................................................................................................ 13

2.3. La plate-forme Cisco ISE ............................................................................................................ 14

2.3.1. Définition ................................................................................................................................ 14

2.3.2. Comparaison entre ACS et ISE................................................................................................. 16

2.3.3. Fonctionnement ..................................................................................................................... 16

2.3.4. Licences.................................................................................................................................... 19

2.4. Conclusion .................................................................................................................................. 20

Chapitre 3 : Réalisation ..................................................................................................................... 21

3.1. Introduction................................................................................................................................ 22

3.2. Architecture du réseau .............................................................................................................. 22

3.3. Installation et intégration de Cisco ISE et Active Directory ....................................................... 24

3.3.1. Installation du contrôleur de domaine (Active Directory) ...................................................... 24

3.3.2. Installation et intégration de deux plates-formes Cisco ISE ................................................... 25

4
3.3.3. Jointure des deux plates-formes au contrôleur Active Directory ........................................... 30

3.4. Configuration de l'ISE ................................................................................................................. 31

3.4.1. Authentification ...................................................................................................................... 31

3.4.2. Posture & Client Provisioning ................................................................................................. 34

3.4.3. Autorisation ............................................................................................................................ 40

3.5. Configuration du Switch ............................................................................................................ 42

3.5.1. Configuration globale ............................................................................................................. 43

3.5.2. Configuration de l'interface..................................................................................................... 46

3.6. Configuration du WLC ................................................................................................................ 47

3.7. Conclusion .................................................................................................................................. 53

Chapitre 4 : Test et validation ........................................................................................................... 54

4.1. Introduction................................................................................................................................ 55

4.2. Réseau filaire ............................................................................................................................. 55

4.3. Réseau sans fil ........................................................................................................................... 59

4.4. Conclusion ................................................................................................................................. 66

Conclusion et perspectives ............................................................................................................... 67

Références ....................................................................................................................................…. 68

Glossaire ............................................................................................................................................69

5
 Introduction générale
La sécurité des réseaux devient, de nos jours, un thème indispensable pour
garantir la disponibilité et l’efficacité des ressources sur le réseau. La spécification
de l’accès au réseau est devenue très importante pour la protection des ressources
soit des tentatives d’intrusions internes ou externes, lesquelles développent des
nouvelles techniques de jour en jour, ou encore des accès, aux données et
informations de haute importance ou très confidentielles, par des membres non
qualifiés. C’est pour cela que chaque utilisateur ou machine, voulant accéder au
réseau, doit être identifié et subir quelques tests de compatibilité avec le réseau
(intégration au domaine, existence d’un antivirus bien défini sur la machine qui veut
s’authentifier, etc.) ; il sera, par la suite, dirigé selon son identité et les droits d’accès
qui lui seront attribués vers les ressources et les sous réseaux auxquels il aura accès.
Ce projet représente une mise en place d’une solution de sécurité et de
conformité réseau qui traitera des aspects de manque de sécurité. Cela se traduit
par l'établissement d'un mécanisme d’authentification automatique, lors du
branchement du câble réseau ou en cas d'utilisation du réseau sans fil. Ceci est
valable pour un utilisateur permanent ; alors que pour un utilisateur temporaire
(visiteur), l'authentification s'effectue via le portail Web. Une fois authentifié, le
client (poste de travail) subira quelques tests destinés à s’assurer de sa conformité
vis-à-vis de la stratégie de sécurité prédéfinie. Après avoir effectué ces tests et si le
client présente des vulnérabilités qui nécessitent l’installation ou la mise à jour d’un
composant, il aura un accès restreint lui offrant les mises à jour nécessaires pour
établir les remèdes appropriés et atteindre ainsi un état conforme et sain.
Aussi, le présent rapport écrit-il la mise en place de cette solution. Dans son
premier chapitre, il abordera le cadre général du projet. Le deuxième chapitre
intitulé « État de l'art » est dédié aux concepts théoriques relatifs à notre solution.
Le troisième chapitre viendra détailler les étapes d'installation et les configurations
nécessaires des divers éléments composant la solution. Dans le quatrième et
dernier chapitre, nous clôturerons par l'exercice des tests nécessaires tendant à
nous prémunir d'un éventuel mauvais fonctionnement.

6
 CHAPITRE 1 :
PRÉSENTATION DU
PROJET

7
 1.1. Introduction

Au cours de ce chapitre, nous exposons le contexte général du projet. Aussi,

nous présentons, en premier lieu, l'entreprise d'accueil, le besoin de déploiement
d'une solution NAC ainsi que notre contribution reliée au besoin de l'entreprise et
nous finissons par la citation de la planification prévisionnelle et de la méthodologie
de travail que nous aurons à suivre.

1.2. Présentation de l'entreprise d'accueil

Au cours de cette section, nous allons essayer de présenter l'entreprise au

sein de laquelle s'est déroulé le stage et ce, en rappelant ses chiffres clés ainsi que
les services qu'elle offre.

1.2.1. Histoires

Les phosphates marocains sont exploités dans le cadre d’un monopole d’État
confié à un établissement public créé en 1920 par le dahir du 7 août 1920, l’Office
Chérifien des Phosphates, devenu " Groupe OCP & quot; en 1975.

Le 1er mars 1921, l’activité d’extraction et de traitement démarre à Boujniba, dans

la région de Khouribga.

En 1965, avec la mise en service de Maroc Chimie à Safi, le Groupe OCP

devient également exportateur de produits dérivés. Henze ans plus tard,
précisément en 1976 le démarrage de nouvelles unités de valorisation du
phosphate à Safi Maroc Phosphore I ensuite Maroc Phosphore II. En1981, grâce à
l’augmentation de la demande, le Groupe OCP a renforcé sa capacité de production
en fondant le complexe Jorf Lasfar à El Jadida qui comporte Maroc Phosphore III et
IV.

En 1998, il franchit une nouvelle étape en lançant la fabrication et

l’exportation d’acide phosphorique purifié. Parallèlement, de nombreux
partenariats sont développés avec des opérateurs industriels du secteur, au Maroc
et à l’étranger.

8
 1.2.2. Activités de l’OCP :
Un des leaders mondiaux sur le marché du phosphate et ses dérivés, OCP
opère sur les cinq continents et dispose des plus importantes réserves de
phosphate au monde. Avec plus de 90 ans d’expérience dans la mine et 45 ans en
chimie, OCP offre l’une des plus larges gammes de roche pour divers usages.
Premier exportateur de phosphate brut et d’acide phosphorique dans le monde et
l’un des principaux exportateurs d’engrais phosphatés.
Première entreprise industrielle du Maroc, OCP contribue substantiellement au
développement de l’économie nationale par le biais de ses exportations.
OCP maîtrise toute la chaîne de création de valeur de l’industrie phosphatière
: extraction et traitement du minerai, transformation de cette matière première en
un produit liquide intermédiaire, l’acide phosphorique, et fabrication des produits
finis par concentration et granulation de cet acide ou par purification : engrais, acide
phosphorique purifié.
1.3. Besoin d'une solution NAC
Tout réseau informatique et particulièrement un réseau d'entreprise devrait
demeurer sain. Chaque administrateur est censé authentifier, autoriser, évaluer et
corriger les équipements filaires, sans fil et distants, avant de donner à leurs
utilisateurs un accès au réseau.
Aussi, le responsable doit reconnaître les utilisateurs, leurs appareils et leurs
rôles sur le réseau. Cette première étape intervient au niveau de la phase
d'authentification, avant que d'éventuels codes malveillants puissent endommager
le système.
Dans une seconde étape, la sûreté du réseau requiert la vérification de la
conformité des machines avec les politiques de sécurité. Ces politiques dépendent
du type d'utilisateur, du type d'équipement ou du système d'exploitation. En cas de
non-conformité, des réactions peuvent en résulter : blocage, isolation et
réparation.

9
 Le déploiement d'une solution NAC (Network Admission Control ou
Network Access Control) permettra à l'administrateur de bénéficier de l'ensemble
de ces fonctions d'une manière plus efficace et plus performante.
1.4. Contribution

La gestion et l'administration d'une solution NAC s'effectuent d'une manière

centralisée. Le noyau de toute solution similaire est le point de décision ou la plate-
forme dans laquelle sont définies les politiques de sécurité à appliquer vis-à-vis du
client.

Cisco Systems, leader mondial des solutions réseaux, dispose d'un ensemble
de produits servant à mettre en place la solution NAC. Sa nouvelle politique tend à
adopter la plate-forme ISE (ou Identity Services Engine). Cependant, les
informations disponibles sur sa mise en place et sa configuration sont limitées du
moment qu'elle est récente.

La réalisation de ce projet constitue donc une opportunité pour expérimenter

cette plateforme et peut être une occasion pour solutionner les éventuels obstacles
techniques qui peuvent être rencontrés lors du déploiement ; d'ailleurs les mêmes
solutions seront déployées, à l'avenir, par Next Step IT, auprès de ses clients.

10
 CHAPITRE 2 :
ÉTAT DE L'ART

11
 2.1. Introduction

Notre projet consistant à implémenter une solution NAC à base de la plate-

forme Cisco ISE, ce chapitre sera donc l’occasion de mettre l'accent sur les détails
de cette solution et particulièrement la plate-forme ISE dans le but de mieux
comprendre la partie réalisation qui sera traitée ultérieurement.

2.2. La solution NAC

Dans cette partie, il est utile d'une part, de rappeler le principe de

fonctionnement de la solution NAC et son architecture globale et d'autre part,
d'étudier certaines solutions disponibles.

2.2.1. Principe de fonctionnement

Le contrôle d’accès au réseau (ou NAC) est un terme qui englobe diverses
technologies développées pour contrôler/restreindre l’accès au réseau par les
systèmes d’extrémité en fonction de leur « état de santé ». L’idée de base est que
les systèmes d’extrémité dangereux ou vulnérables (« en mauvaise santé ») ne
doivent pas communiquer sur le réseau de l’entreprise dans la mesure où ils
pourraient introduire un risque de sécurité pour les processus et les services
critiques. Une solution NAC empêchera un système d’extrémité en mauvaise santé
d’accéder normalement au réseau jusqu’à ce que la santé de ce système soit
assurée.

Le bilan de santé d’un équipement connecté au réseau est également appelé

« évaluation » du système d’extrémité. Les systèmes d’extrémité peuvent être
notamment des PC, des imprimantes, des téléphones IP, des caméras de sécurité IP
traditionnelles, etc. Cette évaluation doit permettre de découvrir le niveau de
vulnérabilité ou de menace acceptable d’un système d’extrémité. Des éléments,
tels que le niveau de patch de sécurité, la présence de solutions antivirus/anticodes
malveillants, les mises à jour de signatures antivirales/anticodes malveillants, les
applications en cours d’exécution et les ports ouverts peuvent tous être analysés
afin de déterminer l’état de santé global du système d’extrémité.

12
 Après exécution du processus d’évaluation et d’autorisation du système
d’extrémité, s'il s'avère que ce dernier est non conforme aux politiques de sécurité
du réseau, on peut lui accorder un accès restreint ou encore le mettre en
quarantaine réseau. Le processus d’application des politiques de mise en
quarantaine fait intervenir des politiques de communication réseau très
granulaires, c’est-à-dire à base de flux et non pas une simple affectation à un VLAN.
En effet, regrouper tous les systèmes d’extrémité « en mauvaise santé » au sein du
même VLAN de quarantaine revient à les laisser s’infecter mutuellement avec de
nouvelles vulnérabilités. Les politiques réseau décrivent la manière dont le trafic
entrant sur des ports de commutation doit être traité au niveau du filtrage et du
balisage.

Dans le cadre d’une solution NAC, la remédiation consiste à résoudre un

problème à des fins de conformité avec certaines politiques prédéfinies. Ce
processus de remédiation permet à l’utilisateur mis en quarantaine réseau de
recouvrer sa conformité. Il est important que ce dernier soit impliqué dans le
processus de remédiation afin d’optimiser les performances des processus métier.
(Enterasys Secure Networks, 2007)

2.2.2. Architecture

L'implémentation d'une solution NAC nécessite l'existence d'un ensemble de

composants. Le diagramme ci-dessous montre l'ensemble de ces éléments et le flux
de communication échangé :

Figure 1 : Architecture globale d'une solution NAC

13
  Périphériques essayant d'accéder au réseau ou "Agents" (A) : inclut les
ordinateurs portables mobiles ou qui ne se connectent que rarement, les
utilisateurs invités ou les visiteurs ainsi que les utilisateurs de réseau
habituels qui tentent d'accéder au réseau d'entreprise.
 Périphérique de contrôle d'accès au réseau (B) : du point de vue du
périphérique demandeur, le périphérique d'accès réseau fonctionne en tant
que périphérique réseau de « premier saut » qui lance le traitement Posture
Validation et le processus d'authentification.
 Posture Validation Server (point de décision d'accès réseau) (C) : serveur en
arrière-plan dédié, également appelé "Posture Validation Server", qui évalue
les références d'authentification Posture (statut des périphériques qui
requièrent un accès) en fonction des règles de conformité.
 Serveurs d'entreprise (D) : zone critique du réseau et que la solution NAC
protège des périphériques malsains, infectés ou vulnérables.
 VLAN de quarantaine (E) : zone de réseau protégée virtuelle dans laquelle les
périphériques peuvent être sécurisés et corrigés, ré-analysés, puis ils
obtiennent un accès complet au réseau d'entreprise, ou restent conservés
avec un accès restreint aux ressources de réseau telle que l'Internet.
(LANDESK, 2013)
2.3. La plate-forme Cisco ISE
Dans ce qui suit, nous allons définir la plate-forme Cisco ISE, la comparer avec
son prédécesseur ACS et mettre l'accent sur les principaux standards auxquels elle
fait appel pour fonctionner et nous finissons par évoquer les licences requises pour
bénéficier de ses services.
2.3.1. Définition
Identity Services Engine (ISE) est la dernière génération des plates-formes de
contrôle d'accès proposées par Cisco et qui permet aux entreprises d'imposer leurs
politiques de sécurité lors de l'accès, de renforcer la sécurité de leurs infrastructures
et de rationaliser leurs opérations de services.

14
 L'architecture unique de Cisco ISE permet aux entreprises de recueillir les
informations concernant les utilisateurs et les périphériques, en temps réel à partir
du réseau. L'administrateur peut ensuite utiliser ces informations pour prendre des
décisions de gouvernance proactive en liant l'identité à divers éléments du réseau,
y compris les commutateurs, les contrôleurs de réseau local sans fil (WLC) et les
passerelles des réseaux privés virtuels (VPN).
Le schéma suivant montre un exemple de déploiement de l'ISE au sein du
réseau :

Figure 2 : Déploiement d'une solution de contrôle d'accès basée sur ISE

La plate-forme ISE peut être considérée comme étant un système de contrôle

d'accès consolidé, à base de règles et intégrant un sur-ensemble de fonctionnalités
disponibles dans les plates-formes existantes. Parmi ses caractéristiques, on peut
citer :
 Fournit un support pour la découverte, le profilage "profiling", le placement
à base de règles et le suivi des périphériques d'extrémité sur le réseau.
 Combine l'authentification, l'autorisation, la traçabilité (AAA : authentication,
authorization, accounting), l'évaluation de posture et le profilage en une
seule application.
 Prend en charge l'évolutivité nécessaire pour soutenir un certain nombre de
scénarios de déploiement, du petit bureau aux grands environnements
d'entreprise.

15
 2.3.2. Comparaison entre ACS et ISE
L'ACS ou Secure Access Control System est le prédécesseur de l'ISE. Le
tableau suivant présente une comparaison entre les deux :

Tableau 1 : Comparaison ACS vs ISE

2.3.3. Fonctionnement
Lors de la phase d'authentification et pour communiquer avec le client ou sa
machine, la plate-forme ISE fait appel à un ensemble de normes et de protocoles.
Ce sont principalement : 802.1X, EAP et RADIUS.
 802.1X
802.1X est un standard qui définit un mécanisme d'authentification pour
l'accès au réseau. 802.1X peut être comparé au protocole PPP, largement diffusé
et nécessaire pour un accès à Internet utilisant un modem. Le protocole PPP
s'appuie sur un mécanisme embarqué, chargé de l'authentification et pour
lequel deux sous-protocoles étaient proposés au choix : PAP et CHAP.
Schématiquement, nous pourrions écrire :
Accès Internet = modem + PPP + (PAP ou CHAP) + TCP/IP.
Au cas où 802.1X est utilisé sur un équipement tel que le commutateur
(Switch), l'utilisateur connectant son ordinateur au réseau (filaire ou sans fil) est
obligé à s'authentifier avant d'entamer toute activité. A l'issue du processus
d'authentification et en cas de succès, le client reçoit un profil réseau (TCP/IP et
VLAN) ainsi qu'un assortiment de règles de sécurité.

16
 Le standard 802.1X fait intervenir trois entités :
 Le client ou "supplicant" qui est typiquement un PC
 L'authentificateur (Switch, WLC)
 Le serveur d'authentification ou "authentifcation server"
qui est un serveur RADIUS. 802.1x s'appuie sur EAP (Extensible
Authentication Protocol) qui présente un moyen pour
transporter un protocole d'authentification. (Vincent
REMAZEILLES, 2009).

 EAP (Extensible Authentication Protocol)

Le besoin de compatibilité avec des infrastructures d'authentification
diversifiées et la nécessité de disposer de secrets partagés dans des
environnements multiples ont conduit à la genèse du protocole EAP, capable de
transporter des méthodes d'authentification indépendamment de leurs
particularités.
Le protocole EAP fournit un cadre peu complexe pour le transport de
protocoles d'authentification. Un message comporte un en-tête de 5 octets et des
données optionnelles, comme illustré dans la figure qui suit.

Figure 3 : Datagramme EAP

17
 Le protocole EAP est extensible puisque tout mécanisme d'authentification
peut être encapsulé à l’intérieur des messages EAP. Au niveau supérieur se trouvent
les méthodes d'authentification, comme TLS, MSChap, SIM, etc. La trame EAP elle-
même est encapsulée dans une trame de transport. Cette encapsulation peut
s’effectuer soit dans une trame EAP over Radius, c’est-à-dire dans une trame
RADIUS, soit dans une trame EAPoL (EAP over LAN) qui est utilisée dans les réseaux
locaux, en particulier les réseaux locaux sans fil de type Wi-Fi. (Pujolle, 2008)
 RADIUS (Remote Authentication Dial-In User Server)
Quel que soit le choix du mécanisme d'authentification entre le point d’accès
et le serveur d'authentification, les paquets EAP sont généralement acheminés
grâce au protocole RADIUS. RADIUS est depuis longtemps le protocole AAA
(Authentication, Authorization, Accounting) le plus largement adopté. Utilisé par
les ISP pour authentifier les utilisateurs, il est principalement conçu pour
transporter des données d'authentification, d’autorisation et de facturation entre
des NAS (Network Access Server) distribués, qui désirent authentifier leurs
utilisateurs et un serveur d’authentification partagé.
RADIUS utilise une architecture client-serveur qui repose sur le protocole
UDP. Les NAS, qui jouent le rôle de client, sont responsables du transfert des
informations envoyées par l’utilisateur vers les serveurs RADIUS. Ces derniers
prennent en charge la réception des demandes d’authentification,
l’authentification des utilisateurs et les réponses contenant toutes les informations
de configuration nécessaires aux NAS. Les serveurs RADIUS peuvent également agir
comme proxy pour d’autres serveurs RADIUS.
Si un équipement mobile a besoin d’accéder au réseau en utilisant RADIUS
pour l'authentification, il doit présenter au NAS des crédits d'authentification
(identifiant utilisateur, mot de passe, etc.). Ce dernier les transmet au serveur
RADIUS en lui envoyant un ACCESSREQUEST. Le NAS et les proxys RADIUS ne
peuvent interpréter ces crédits d'authentification car ces derniers sont chiffrés
entre l’utilisateur et le serveur RADIUS destinataire. À la réception de cette requête,
le serveur RADIUS vérifie l'identifiant du NAS puis les crédits d'authentification de
l’utilisateur dans une base de données LDAP (Lightweight Directory Access Protocol)
ou autre.

18
 Les données d’autorisation échangées entre le client (le NAS) et le serveur
RADIUS sont toujours accompagnées d’un secret partagé. Ce secret est utilisé pour
vérifier l’authenticité et l’intégrité de chaque paquet entre le NAS et le serveur.
 802.1X - EAP – RADIUS
Les messages EAP transportent les échanges d’authentification entre le client
et le serveur d'authentification. Le Switch ne fait que les relayer, toutefois de part
et d’autre du Switch, les messages EAP ne sont pas transportés de la même façon.
Entre le client et le Switch, EAP est directement dans la charge utile des trames
Ethernet. Entre le Switch et le serveur RADIUS, EAP est transporté dans les
messages RADIUS. La figure suivante explique les deux encapsulations :

Figure 4 : Encapsulation des messages EAP

2.3.4. Licences
La stratégie des licences suivie par Cisco vise à minimiser le nombre de
licences à commander en combinant les différents services. Actuellement, quatre
paquets de licence ISE CISCO sont disponibles : Base, Advanced, Plus et Wireless. La
licence d'évaluation est incluse dans la plate-forme ISE, offrant tous les services
pour une durée de trois mois. La licence à commander reste valide durant un, trois
ou cinq ans. Le tableau qui suit expose les différents services et les licences
correspondantes.

19
 Tableau 2 : Les services de l'ISE et les licences correspondantes
2.4. Conclusion
Dans ce présent chapitre, nous avons essayé de mettre en relief le principe
de fonctionnement de toute solution NAC, son architecture globale ainsi que les
différentes solutions disponibles ; néanmoins, nous nous sommes attardés sur une
solution particulière proposée par Cisco Systems, à savoir la plate-forme ISE.
La mise en place de cette plate-forme et la définition des politiques de
sécurité dépendent de l'architecture et de la nature du réseau à protéger, tels que
type d’utilisateurs, équipements déployés et sous-réseaux existants.

20
CHAPITRE 3 :
RÉALISATION

21
 3.1. Introduction
Après avoir achevé les notions théoriques, nous passons à la mise en place
de notre solution, laquelle représente notre tâche principale. Au cours de ce
chapitre, nous nous attarderons sur les différentes configurations requises pour
assurer le contrôle d'accès des utilisateurs des réseaux filaires et sans fil. Ceci
revient essentiellement à paramétrer la plate-forme ISE, le commutateur ainsi que
le contrôleur du réseau sans fil ou le WLC.
3.2. Architecture du réseau
Afin d'implémenter notre solution, nous avons besoin d'une part, de deux
équipements et d'autre part, de quatre machines virtuelles.
Les équipements requis sont :
 Un commutateur (Switch)
 Un point d'accès
Les machines virtuelles requises serviront à installer :
 Un contrôleur de domaine
 Deux plates-formes Cisco ISE
 Un contrôleur du réseau local sans fil (WLC)
L'installation des machines virtuelles s'est déroulée sur le serveur de
l'entreprise, lequel est doté des caractéristiques suivantes :

Figure 5 : Résumé sur les caractéristiques du serveur

22
 Leur déploiement s'effectue au sein du réseau existant de l'entreprise. Par
conséquent, le choix des adresses est relié au plan d'adressage disponible ; les
adresses à utiliser doivent appartenir au réseau 172.25.0.0 et ayant comme masque
255.255.255.0.
La figure ci-dessous explique l'architecture suivie.

Figure 6 : Architecture du réseau

23
 3.3. Installation et intégration de Cisco ISE et Active Directory
Avant d'entamer la configuration des trois principaux éléments de notre
solution, nous devrions passer par la préparation du terrain dans lequel la solution
sera déployée. Ceci consiste essentiellement à :
 Installer le contrôleur de domaine.
 Installer et intégrer deux plates-formes ISE.
 Joindre les deux plates-formes au contrôleur.
3.3.1. Installation du contrôleur de domaine (Active Directory)
Active Directory est un service d'annuaire, ou contrôleur de domaine,
permettant de référencer et d'organiser des objets tels que les comptes utilisateurs
ou encore les autorisations et ce à l'aide de groupes de domaine. Les informations
peuvent ainsi être centralisées dans un annuaire de référence afin de faciliter
l'administration du réseau.
Le domaine représente l'unité de base chargée de regrouper les objets qui
partagent un même espace de nom. Par conséquent, notre domaine repose sur un
système DNS.
Le serveur DNS et le contrôleur Active Directory sont deux rôles à ajouter à
Windows Server.

Figure 7 : Ajout des rôles DNS et Active Directory

24
 Le nom de domaine que nous avons choisi est : NSIT.local (abréviation du
nom de l'entreprise : OCP Group)
3.3.2. Installation et intégration de deux plates-formes Cisco ISE
L'installation de l'ISE s'est déroulée sur l'un des serveurs de l'entreprise ayant
comme hyperviseur VMware ESXi. Nous y accédons à l'aide de VMware vSphere
Client.
En premier lieu, nous devons télécharger l'image .iso sur la banque de
données "datastore" du serveur.

Figure 8 : Téléchargement de l'image .iso sur la datastore

La plate-forme ISE requiert une machine virtuelle ayant au minimum les

caractéristiques suivantes :
 Mémoire vive de 4 GB
 Mémoire disque de 200 GB
 4 processeurs (CPUs)
 Deux cartes réseaux (2 NIC)
Lors du premier démarrage de la machine, certaines données ont été saisies
pour commencer l'installation, parmi lesquelles nous pouvons citer :
 ise-cisco2 : nom de la machine lequel , sera ajouté ultérieurement aux
DNS et Active Directory

25
  172.25.0.201 : adresse IP privée de la machine
 255.255.255.0 : masque de sous-réseau
 172.25.0.254 : passerelle par défaut
 nsit.local : nom de domaine que nous avons choisi
 172.25.0.27 : adresse IP du serveur NTP (Network Time Protocol)
permettant de synchroniser l'horloge de la plate- forme. Un serveur NTP
a été installé sur Windows Server et sur lequel pointe l'ISE.

Figure 9 : Paramètres de configuration réseau lors de l'installation

La machine contenant la plate-forme ISE est appelée "node". Elle peut

fonctionner selon deux modes :
 Standalone : déploiement d'une seule plate-forme assurant les
différents services
 Primaire-secondaire : déploiement distribué, permettant la séparation
des services et le basculement "failover" entre les deux noeuds.
Pour assurer la haute disponibilité, nous avons opté pour la mise en place de
deux plates-formes ISE. Leur intégration nécessite une authentification mutuelle
basée sur les certificats : chacune possède son propre certificat, lequel doit être
généré par l'autorité de certification (Certificate Authority). Dans notre cas,

26
l'autorité est représentée par le contrôleur de domaine. La génération du certificat
est offerte par le service de certificats Active Directory.

Figure 10 : Ajout des services de certificats Active Directory

Ce service est accessible via une interface WEB à l'adresse suivante :

https://172.25.0.27/certsrv ou 172.25.0.27 représente l'adresse du serveur
Windows. La capture d'écran qui suit représente l'interface Web du service.

Figure 11 : Interface WEB du service de certificats Microsoft Active Directory

L'ajout du certificat d'autorité de certification s'effectue manuellement. Nous

l'avons téléchargé à partir de l'interface Web et joint aux plates-formes pour
assurer la reconnaissance des deux certificats.

27
 Figure 12 : Importation du certificat d'autorité de certification dans le plat

L'étape suivante consiste à générer les demandes des certificats "Certificate

Request" à partir de l'ISE afin de les traiter au niveau du service des certificats Active
Directory. Le fichier de la demande est par la suite ouvert avec un éditeur de texte
et son contenu est collé au service approprié. Le modèle de certificat à choisir est
"Serveur Web".

Figure 13 : Génération du certificat par le service des certificats AD

Figure 14 : Détails du certificat généré pour le deuxième nœud

28
 Après avoir ajouté chaque certificat à la plate- forme correspondante, nous
sommes à même de les intégrer. L'enregistrement de la plate-forme secondaire au
niveau du primaire nécessite la spécification de son FQDN (ise- cisco2.nsit. local) et
des données d'authentification de l'administrateur. Il est à préciser que l'intégration
des deux plates plates-formes exige une conformité d'horloge (NTP).

Figure 15 : Enregistrement du noeud secondaire

Le noeud peut assurer un ou plusieurs des services suivants :

 Administration : permet de manipuler les configurations systèmes
reliées aux fonctionnalités telles que l'authentification et l'autorisation.
 Monitoring : fournit les services de journalisation "log" et des outils de
dépannage "troubleshooting" avancés
 Services de la politique "Policy Service" : fournit l'accès au réseau, la
validation de posture, l'accès des visiteurs "Guests", "client provisioning" et
les services de profilage.
Dans un déploiement assurant la haute disponibilité, le noeud administratif
primaire est le seul noeud actif, et sur lequel s'effectuent tous les changements. Le
noeud secondaire est en état d'attente "standby" et reçoit d'une manière continue
la configuration du noeud principal.
Par conséquent, il possède toujours une copie complète de la configuration.
Au cas où le nœud primaire est devenu hors service, le responsable doit se

29
connecter à l'interface du nœud secondaire et le promouvoir pour pouvoir
configurer les règles.
3.3.3. Jointure des deux plates-formes au contrôleur Active Directory
L'intégration du contrôleur avec la plate-forme ISE sera utile lors de la phase
d'authentification. En effet, l'authentification peut être effectuée à partir d'une
source externe et ce en s'appuyant sur les comptes utilisateurs et leurs groupes
respectifs.
La plate-forme doit être reconnue au niveau du contrôleur comme étant une
machine. Son FQDN (ise-cisco.nsit.local) doit aussi être résolu. Ceci nous conduit à
ajouter un hôte au niveau du serveur DNS, sinon une alerte s'affichera sur la plate-
forme.

Figure 16 : Ajout des machines au serveur DNS

La requête de jointure requiert la saisie des coordonnées du compte de

l'administrateur du domaine ou celles d'un compte ayant les permissions d'ajout
des machines et d'accès à la liste des groupes et utilisateurs.

Figure 17 : Ajout d'un groupe d'utilisateurs Active Directory à l'ISE

30
 3.4. Configuration de l'ISE
La configuration de l'ISE se résume principalement à la configuration des
politiques d'authentification, de "Client Provisioning" et posture et d'autorisation.
3.4.1. Authentification
Les politiques d'authentification à définir au niveau de l'ISE servent à
identifier les différents utilisateurs ou machines demandant l'accès au réseau et ce
en s'appuyant sur un ensemble de protocoles tels que Password Authentication
Protocol (PAP), Challenge-Handshake Authentication Protocol (CHAP), Extensible
Authentication Protocol (EAP) et Protected Extensible Authentication Protocol
(PEAP). Lors de l'ajout de la règle, nous devons choisir les protocoles permis pour
une telle méthode d'authentification et la source des identités (Identity Store).
Les sources qui peuvent être utilisées sont les suivantes :
 Utilisateurs internes
 Utilisateurs "Guest" (groupe d'utilisateurs défini sur la plate-forme)
 Terminaux internes
 Active Directory
 Bases de données LDAP
 RADIUS Token Server
Trois méthodes d'authentification sont supportées par l’ISE :
 802.1X (abordé au cours du chapitre précédent)
 MAC Authentication Bypass (MAB) : certains périphériques, tels que
l'imprimante réseau et le téléphone IP, ne supportent pas l'authentification
802.1X. Dans ce cas, elle pourra être effectuée en se référant à l'adresse MAC
 L'authentification Web via un portail captif
Les règles d'authentification qui ont été définies se limitaient aux deux
premières méthodes. La première règle permet de vérifier l'existence des adresses
MAC des périphériques dans la liste interne. Cette règle sera aussi utile pour la
troisième méthode, laquelle est reportée à la phase d'autorisation. La seconde règle
sert à authentifier les comptes utilisateurs, en premier lieu à partir du contrôleur
Active Directory, puis à partir de la liste interne. En d’échec d'authentification pour

31
un utilisateur de domaine, la seconde règle donne la possibilité de tester avec un
utilisateur local. Ceci nous permettra de mieux localiser la défaillance ; il pourrait
s'agir d'une erreur d'intégration avec Active Directory ou d'une erreur au niveau de
l'authentification en se référant au domaine.

Figure 18 : Règles d'authentification

Afin d'autoriser plus qu'une source d'authentification pour une seule règle,
il a fallu ajouter une séquence de source d'identité ou "Identity Source Sequence"
permettant de vérifier les identités en consultant les sources par ordre. La figure
suivante montre la séquence définie :

Figure 19 : Définition de la séquence "Use_AD_then_local"

32
 Il est possible de définir des règles avec des conditions simples ou composées.
Une condition simple est basée sur un opérande, un opérateur tels que "equal to"
et "not equal to" ainsi qu'une valeur. Ces conditions peuvent être définies au niveau
de la librairie et appelées directement lors de la définition de la règle pour une
meilleure organisation. Une condition composée rassemble deux conditions
simples ou plus avec un opérateur OR ou AND. La figure suivante montre le
rassemblement de deux conditions existantes dans la librairie avec un opérateur OR
pour la règle "MAB".

Figure 20 : Condition composée (exemple : MAB)

Une fois l'authentification réussie, la session procède à la phase

d'autorisation. Des options offertes par l'ISE permettent de vérifier la conformité
avec les politiques d'autorisation même en cas d'échec d'authentification. Ces
options sont indispensables pour faire fonctionner l'authentification WEB.
L'authentification MAB sera considérée comme réussie même si l'adresse MAC de
la machine est introuvable. Ceci est réalisable en changeant l'action à "Continue"
pour l'option "If user not found", comme indiqué sur la figure qui suit :

Figure 21 : Succès de l'authentification au cas où l'adresse MAC est introuvable

La définition des règles repose sur les attributs du protocole RADIUS. Les
attributs constituent le principe le plus important du protocole Radius, aussi bien
dans sa version initiale que pour ses extensions. Les champs attributs sont le
fondement du protocole. Par conséquent, la bonne compréhension de leur

33
signification et de leur rôle est indispensable pour tirer le
meilleur parti de Radius. Chaque attribut possède un numéro approprié, auquel est
associé un nom. Il existe un grand nombre d’attributs dans le protocole Radius, mais
peu d’entre eux sont utiles dans le cas qui nous préoccupe ici
 User-Name : cet attribut est envoyé par le NAS et contient l’identifiant qui va
servir de point d’entrée dans la base du serveur d’authentification
 User-Password : il s’agit du mot de passe associé à User-Name, transmis par
le NAS. Le serveur d’authentification valide ce mot de passe en fonction de la
valeur enregistrée dans sa base de données.
 NAS-Port : il s’agit du numéro de port du NAS sur lequel est connecté le poste
de travail. Cet attribut est transmis par le NAS. Son utilisation permettra
d’authentifier un poste de travail à condition qu’il soit connecté via ce numéro
de port. Dans le cas d’un commutateur, il s’agit du port physique sur lequel est
connecté le poste de travail.
 Service-Type : indique le type de service demandé ou le type de service à
fournir. Pour une utilisation avec la norme 802.1X, seulement les valeurs
Framed, Authenticate Only et Call check ont un sens.
A titre d'exemple, la condition prédéfinie "Wired_802.1X" affecte les valeurs
suivantes aux attributs Service-Type et NAS-Port :

Figure 22 : Attributs RADIUS de l'authentification DOT1X sur le réseau filaire

3.4.2. Posture & Client Provisioning
Les services de posture fournis par Cisco ISE permettent de vérifier la
disponibilité des dernières mises à jour au niveau de la machine du client ou
l'existence de certaines applications tels que les anti-virus et les anti-spyware. Afin
d'évaluer la machine, le client doit disposer de l'un de ces deux Agents :

34
  Cisco NAC Web Agent : un agent temporaire que les clients installent lors du
login et qui disparait une fois la session de login terminée. Il est recommandé
pour des utilisateurs ayant un accès pour une période bien déterminée.
 Cisco NAC Agent : un agent persistant qui, une fois installé, subsiste sur une
machine Windows ou Mac pour permettre l'évaluation lors des prochaines
connexions. Il est généralement utilisé avec les utilisateurs du domaine.
Par ailleurs, ces agents peuvent faciliter la remédiation des machines en
affichant un message expliquant la procédure et en fournissant des fichiers à
télécharger et installer. La plateforme ISE donne la possibilité de rediriger les clients
vers une page de téléchargement des agents pour ceux qui n'en disposent pas et ce
grâce à une option à configurer au niveau du profil d’autorisation. Ce service est
appelé "Client Provisioning". La figure qui suivra expose les règles de "Client
Provisioning" définies : la première fournit l'agent temporaire "Web Agent" aux
invités "Guests", alors que la deuxième fournit l'agent persistant aux autres
utilisateurs qui sont principalement les membres du domaine. Il est à préciser que
l'ordre des règles est primordial pour assurer une bonne affectation. Par exemple,
en inversant l'ordre, tous les utilisateurs téléchargeront l'agent persistant et la
deuxième règle ne sera jamais appliquée.

Figure 23 : Règles du Client Provisioning

Pour pouvoir choisir l'agent approprié, nous avons dû le télécharger

directement sur la plate-forme et ce à partir du site Cisco. Par conséquent, le nom
de domaine cisco.com doit être résolu à partir de l'ISE. La liste qui suit présente des
versions multiples des deux types d'agents NAC, temporaires et persistants.

35
 Figure 24 : Exemples de la liste des agents NAC

Après avoir fourni les agents permettant l'évaluation de posture aux clients,
nous devons procéder à la phase de définition des règles de posture. Une règle
s'écrit :
Si condition(s) alors exigence
Aussi, une exigence peut être décomposée comme suit :
Si condition(s) alors action de remédiation
Dans une règle d'exigence, une condition simple peut être :
 Un fichier : vérifier l'existence d'un fichier, la date du fichier ainsi que
sa version
 Un registre : s'assurer de l'existence d'une clé de registre ou la valeur
de la clé
 Une application : vérifier si une application est en train de fonctionner
 Un service : vérifier si un service est en exécution
Nous pouvons aussi former une condition composée à base de conditions
simples ou composées. En outre, des conditions composées intégrées avec l'ISE
existent : Antivirus et Antispywares. Lors de l'ajout d'une condition d'antivirus et
après le choix du système d'exploitation, la liste des vendeurs s'affiche :

36
 Figure 25 : Liste des vendeurs d'antivirus

Pour une telle condition, Cisco ISE donne la possibilité d'examiner la machine
pour vérifier l'existence de l'antivirus ou même la disposition d'une version récente.
Ceci est réalisable en analysant le fichier de définition de la version par les Agents
NAC. En conséquence, les versions reconnues par l'ISE doivent être mises à jour
continuellement.

Figure 26 : Champs à remplir d'une condition d'antivirus

Comme l'entreprise Next Step IT est un revendeur des produits Mcafee, nous
avons opté pour l'utilisation de ce vendeur dans la définition de la règle. Tout
utilisateur demandant l'accès au réseau doit disposer d'une version de l'antivirus
Mcafee.

37
 Figure 27 : Choix des produits Mcafee dans la condition d'antivirus

Après avoir défini la condition d'antivirus, nous devons choisir l'action de

remédiation. Il est possible de permettre l'accès à des adresses IP bien définies
servant à télécharger et mettre à jour l'anti-virus tel que le site officiel de Mcafee
et ce lors de la déclaration de la liste d'accès (ACL), ou d'offrir le fichier exécutable
directement. Dans notre cas, nous avons importé le fichier d'installation de
l'antivirus sur la plate-forme pour qu'il soit téléchargeable directement.

Figure 28 : Ajout du fichier de remédiation

Comme la condition d'antivirus et l'action de remédiation ont été ajoutées, il

est possible de définir la règle d'exigence ou "requirement". Cette règle sera utile
pendant la définition de la règle de posture.

38
 Figure 29 : Définition de la règle d'exigence

Avec le fichier de remédiation, nous avons la possibilité d'afficher un message

expliquant la procédure et la cause de non-conformité. Dans notre cas, le message
suivant sera affiché :

Figure 30 : Affichage d'un message avec l'agent NAC

La règle de posture définie exige la disposition d'un antivirus Mcafee pour

tous les utilisateurs de l'environnement Windows en faisant appel à celle qui vient
d'être déclarée et nommée "Mcafee".

Figure 31 : Règle de posture

Après avoir eu accès, un client peut désinstaller son anti-virus, ou d'une autre
manière, détourner la règle définie. Ceci nous oblige à revérifier la machine
périodiquement. Dans notre cas, nous avons appliqué une réévaluation régulière
d'une heure comme décrit dans la figure suivante.

39
 Figure 32 : Réévaluation régulière
3.4.3. Autorisation
Les politiques d'autorisation à définir mettent en application les politiques
d'authentification et de posture ; ces politiques sont déclarées comme étant des
conditions. Sur la base de ces conditions, l'utilisateur aura l'autorisation appropriée.
Pour résumer, une règle d'autorisation s'écrit :
Si conditions (attributs ou groupes d'utilisateurs) alors permissions (profil
d'autorisation).
Dans notre cas, nous avons besoin des attributs d'authentification et de
posture ainsi que des groupes d'utilisateurs. Afin de vérifier l'état de la machine par
rapport à la règle de posture, nous avons recours à l'attribut "PostureStatus". Cet
attribut peut avoir trois valeurs :
 Unknown : aucune donnée n'a été obtenue pour évaluer la machine ;
l'agent NAC n'est pas disponible
 Noncompliant : la machine n'est pas conforme avec une ou plusieurs
règles
 Compliant : la machine est conforme avec les règles
Afin de vérifier l'identité de l'utilisateur du domaine, nous avons recours à
l'attribut "ExternalGroups" et ce en prenant comme valeur le nom d'un groupe du
domaine.

40
 Les utilisateurs inscrits sur le portail captif sont affectés directement à un
groupe d'utilisateur nommé "Guest", lequel peut être exploité lors de l'ajout de la
règle.
Avant d'additionner une règle, nous devons créer le profil d'autorisation
associé. Dans un tel profil, nous avons le choix entre plusieurs options telles que
l'affectation à un VLAN, la redirection vers un URL (portail d'authentification Web,
portail de Client Provisioning, URL externe, etc.), à base d'une liste de contrôle
d'accès, et même l'application d'un ACL sur le port du commutateur.
A titre d'exemple, nous avons créé le profil d'autorisation CWA permettant
de rediriger les utilisateurs vers le portail captif en se référant à la liste d'accès
définie au niveau des WLC et Switch et sur laquelle on s'attardera ultérieurement.

Figure 33 : Profil d'autorisation CWA

Après avoir terminé la création des profils, nous pouvons définir les règles.
Ces règles autorisent l'accès aux utilisateurs authentifiés au domaine ou via le
portail Web et ayant des machines conformes aux règles de posture. Un utilisateur
de domaine ne disposant pas de l’argent NAC ou non conforme avec les politiques
de posture est redirigé vers la page de Client Provisioning. Sinon, l'utilisateur est
redirigé vers le portail Web incluant une phase de validation de posture.

41
 Figure 34 : Règles d'autorisation
3.5. Configuration du Switch
Dans cette partie, nous allons nous intéresser à la configuration du Switch qui
représente l'authentificateur pour les utilisateurs du réseau filaire. En effet, le
commutateur jouera le rôle d'intermédiaire entre le serveur RADIUS (ISE) et le
client.
Tout au long de la mise en place de notre solution, nous avons travaillé avec
trois modèles différents, à savoir le Cisco Catalyst 3560, le Cisco Catalyst 3650 et le
Cisco Catalyst 2960 et ce selon la disponibilité de l'un ou de l'autre, autrement dit,
selon les différents besoins des employés de l'entreprise.

Figure 35 : Cisco Catalyst 3650

42
 Afin d'accéder au Switch, nous pouvons nous connecter directement en
utilisant un câble console ou à distance via SSH. Le service SSH est par défaut
désactivé au niveau du commutateur.
Pour l'activer, nous avons recours aux commandes suivantes :
 crypto key generate RSA : générer la clé de chiffrement
 line vty 0 4 : permettre quatre sessions d'accès à distance
simultanément
 transport input ssh : activer le service SSH au lieu de Telnet
 username <nom d'utilisateur> password <mot de passe> : spécifier
les données d'authentification
Il est à rappeler que des ports existant sur un commutateur peuvent
fonctionner selon différents modes. Dans les deux sections qui vont suivre nous
allons évoquer, en premier lieu, la configuration globale s'appliquant sur la totalité
du Switch et en second lieu, nous procédons à la configuration de l'interface.
3.5.1. Configuration globale
La commande aaa new-model permet d'activer les fonctions
d'authentification, d'autorisation et de comptabilité du Switch . Les commandes qui
suivront définissent les services du serveur RADIUS qui aura la charge d'authentifier
les utilisateurs, de leur affecter des profils d'autorisation basés sur les listes d'accès
ou les VLANs et de garder une trace sur leur activité :
 aaa authentication dot1x default group radius
 aaa authorization network default group radius
 aaa accounting dot1x default start-stop group radius
La commande suivante dont nous avons besoin est dot1x system-auth-
control servant à activer le 802.1x pour tout le Switch. Après avoir activé le AAA et
dot1x, il est nécessaire de déclarer l'adresse du serveur RADIUS fournissant les
services demandés ainsi qu'une clé d’authentification. Cette déclaration est
effectuée à l'aide de la commande radius-server host 172.25.0.200 key OCP où
172.25.0.200 et OCP représentent respectivement l'adresse IP de Cisco ISE et la clé
d'authentification entre le commutateur et le serveur, laquelle est mentionnée lors
de l'ajout du Switch à la liste des périphériques réseaux au niveau de l'ISE.
43
 Les ordres d'application des ACLs au niveau des ports, d'affectation des
interfaces aux VLANs ou même de redirection vers des URLs émis du Cisco ISE au
Switch, font appel à un ensemble d'attributs avancés du protocole RADIUS nommés
VSA (Vendor Specific Attribute).
Ces attributs sont échangés lors de l'attribution des profils d'autorisation.
Afin de bénéficier de ces fonctionnalités, il est indispensable d'appliquer les
commandes radius-server vsa send accounting et radius-server vsa send
authentication. La figure suivante représente les différentes commandes citées
précédemment, étant précisé que la commande de déclaration du serveur a été
saisie deux fois, la première incluant l'adresse du noeud primaire alors que la
seconde inclut l'adresse du noeud secondaire.

Figure 36 : Commandes globales saisies au niveau du Switch

Un utilisateur tentant d'accéder au réseau peut, en premier lieu, avoir un

accès restreint pour raison de non-conformité et ce avant d'avoir un accès plus
étendu. Cela se traduit par l'affectation de multiples profils d'autorisation pour une
même session. Afin de supporter les requêtes de changement du profil
d'autorisation émanant de l'ISE, le CoA (Change of Authorization) doit être activé
au niveau du Switch à l'aide de la commande aaa server radius dynamic-author.
Aussi, l'adresse du serveur émettant les requêtes doit être spécifiée en tapant la
commande client <server ip-address> server-key <server-key string>.

44
 Figure 37 : Activation du CoA au niveau du Switch

Lors de la définition des profils d'autorisation, il est possible de rediriger les

utilisateurs vers la page Web du portail captif pour s'authentifier ou vers la page de
téléchargement des agents NAC. Dans ce cas, le Switch interceptera le flux HTTP et
répondra à la commande GET de HTTP avec l'URL spécifié, étant rappelé que ces
URLs sont envoyés de l'ISE au Switch via les attributs VSA. Pour assurer cette
fonction de redirection, il est indispensable d'activer les services HTTP et HTTPS via
les commandes ip http server et ip http secure-server.

Figure 38 : Activation de HTTP et HTTPS

Pour savoir quel trafic rediriger, Cisco ISE réfère à une liste d'accès déclarée
au niveau du Switch ; tout flux ayant comme réaction "permit" doit être redirigé. Il
est à préciser que tout trafic à rediriger autre que HTTP et HTTPS sera rejeté. Le
tableau suivant expose les différentes règles déclarées sous la liste d'accès :

Tableau 3 : Entrées de l'ACL de redirection

45
 Cette figure rassemble les différentes entrées de l'ACL de redirection.

Figure 39 : ACL de redirection

3.5.2. Configuration de l'interface
Une fois la configuration globale est achevée, nous procédons à la
configuration de l'interface permettant de mettre en application les politiques
d'authentification définies précédemment et ce au niveau de Cisco ISE.
Le commutateur offre la possibilité de définir plus qu'une méthode
d'authentification sur un même port. Cependant, l'ordre de vérification devrait être
mentionné. Dans notre cas, nous avons recours aux deux méthodes, MAB et Dot1x.
L'authentification Web est incluse avec l'authentification MAB.
Le diagramme suivant récapitule les méthodes d'authentification suivies :

Figure 40 : Diagramme des méthodes d'authentification

46
 Nous commençons par affecter l'interface au VLAN 340 utilisé pour le réseau
local de l'entreprise et la faire fonctionner en mode Access du moment qu'un PC
sera directement connecté.
Afin d'activer l'authentification 802.1X sur le port et interdire tout trafic sauf
celui du protocole EAPOL (Extensible Authentication Protocol over LAN), nous
utilisons la commande dot1x port-control auto. En combinant cette commande
avec la commande dot1x pae authenticator, le Switch devrait initier
l'authentification dès le branchement du câble, autrement dit, dès que l'interface
change son état de "down" à "up".
Pour que l'authentification MAB (Mac Authentication Bypass) soit activée, il
suffit de taper la commande mab tout court.
A cet instant, les deux méthodes d'authentification sont activées et il nous
reste à favoriser le dot1x par rapport au MAB. Ceci est réalisable à l'aide la
commande authentication order dot1x mab.
La figure suivante regroupe les différentes commandes appliquées à
l'interface :

Figure 41 : Configuration de l'interface

3.6. Configuration du WLC
Une seconde catégorie d'utilisateurs peut accéder au réseau : ce sont les
utilisateurs du réseau sans fil . Leurs machines doivent être connectées au point
d'accès, lequel peut fonctionner selon deux modes :
47
  Mode léger (Lightweight) : dans une architecture centralisée, le point
d'accès fonctionne en mode léger ; le contrôleur du réseau local sans fil ou
Wireless LAN Controller (WLC) auquel est connecté, gère la configuration et
contrôle les transactions.
 Mode autonome : chaque point d'accès est configuré séparément et
contrôle son propre trafic.
Un WLC Cisco peut être déployé en tant qu'équipement ou sur une machine
virtuelle (virtual WLC). Dans ce projet, le contrôleur a été installé sur une machine ;
un fichier ayant l'extension .OVA, et téléchargé à partir du site officiel, a été importé
sur le serveur de l'entreprise. La figure suivante représente un WLC Hardware :

Figure 42: Cisco 2500 Series Wireless Controller

Le modèle de point d'accès utilisé est Cisco Aironet 1041N. Il a été branché
sur une prise RJ45 pour pouvoir communiquer avec le contrôleur installé sur le
serveur.

Figure 43 : Cisco Aironet 1041N

48
 Après lui avoir affecté une adresse IP et précisé l'adresse du WLC, le point
d'accès est automatiquement détecté au niveau du contrôleur grâce au protocole
CAPWAP.

Figure 44 : Détection du point d'accès au WLC

Les utilisateurs tentant de bénéficier de l'accès sans fil se classifient sous deux
catégories, les utilisateurs temporaires (ou visiteurs) et les utilisateurs persistants
appartenant au domaine. Cela se traduit par la diffusion de deux SSID différents ;
chaque WLAN possède ses propres politiques de sécurité.

Figure 45 : Diffusion de deux SSID

Le premier SSID diffusé « PFE-NSIT » est dédié aux visiteurs, sur lequel nous
devons activer le filtrage par adresse MAC équivalent à l'authentification MAB. Bien
que la machine ne soit pas connue par l'ISE, elle sera considérée comme étant
authentifiée avec l'option "If user not found" configurée précédemment au niveau
de la plate-forme.

Figure 46 : Activation du filtrage MAC

49
 L'authentification auprès de la plate-forme nécessitait l'addition du serveur
d'authentification RADIUS inclus à la plate-forme au WLC. La figure suivante montre
les différents champs disponibles et qui doivent être configurés lors de l'ajout.

Figure 47 : Ajout du serveur RADIUS au WLC

L'activation de "Support for RFC 3576", comme indiqué dans la figure

précédente, est similaire à la commande aaa server radius dynamic-author saisie au
niveau du Switch. En effet, cette option permet d'accepter les requêtes de
changement d'autorisation (CoA). Aussi, nous précisons la clé secrète partagée
entre l'ISE et le WLC.
Une fois le serveur d'authentification ajouté, il a fallu l'additionner à la
configuration de ce WLAN sous l'onglet "AAA Servers" ; par défaut,
l'authentification s'effectue localement. La même configuration a été appliquée
pour le serveur de comptabilité pour avoir une traçabilité de l'utilisateur, comme
mentionné sur la capture qui suit.

50
 Figure 48 : Ajout des serveurs d'authentification et d'autorisation

Aussi, et pour autoriser l'affectation dynamique des profils d'autorisation

(CoA), nous devions cocher la case "Allow AAA Override" et changer la valeur de
NAC State à Radius NAC.

Figure 49 : Activation du CoA

L’attribution des adresses IP privées aux machines s’effectue

automatiquement à l’aide du serveur DHCP déclaré. La plage d’adresses est déjà
définie au niveau du pare-feu « Cyberam » de l’entreprise, il suffit de mentionner
son adresse au WLC comme nous pouvons l'observer sur la figure qui suit :

51
 Figure 50 : Configuration DHCP

La même configuration est à reprendre avec le deuxième WLAN sauf que la

politique de sécurité qui doit être changée par WPA2-802.1X au lieu de Mac
Filtering. Contrairement au commutateur, une seule méthode d'authentification
peut être activée sur un même WLAN.

Figure 51 : Politique de sécurité du deuxième WLAN "PFE-NSIT2"

52
 Après avoir terminé la configuration des deux WLANs, et à l’instar de la liste
d’accès déclarée au niveau du Switch, nous devons ajouter une ACL permettant de
préciser le type de trafic à rediriger, étant précisé que les entrées doivent être
déclarées inversement au Switch ; une règle « permit » est remplacée par « deny »
et vice versa. Nous n’avons pas eu recours à additionner une règle pour le trafic
DHCP tant qu’il est autorisé par défaut.

Figure 52 : ACL de redirection

3.7. Conclusion
Tout au long de ce troisième chapitre, nous avons essayé d'aborder les
configurations nécessaires des différents éléments constituant notre solution et ce,
en alternant entre la citation des principes de fonctionnement et celle des
configurations appliquées, tout en illustrant avec les figures explicatives.
Bien que la solution soit configurée et mise en place, une phase de test est
indispensable afin de valider le comportement des différents composants vis-à-vis
des machines tentant d'accéder au réseau.

53
 CHAPITRE 4 :
TEST ET VALIDATION

54
 4.1. Introduction
Une fois la solution mise en place, nous procédons à la phase de test dans le
but de nous assurer du bon fonctionnement des équipements et de la
configuration. La vérification consiste à essayer de se connecter, aux réseaux filaire
et sans fil, avec des scénarios différents et ce, en variant la méthode
d'authentification et en faisant intervenir des machines avec des états de "santé"
divers.

4.2. Réseau filaire

Le premier test à effectuer nous permettra de nous garantir du bon
déroulement de l’authentification au domaine et de la validation de posture pour
un utilisateur du réseau câblé.

Par défaut sur un système Windows, l’authentification 802.1X est désactivée

sur les cartes réseau Ethernet. Par conséquent, nous devons ajouter et démarrer le
service « Configuration automatique de réseau câblé », responsable de l’exécution
de l’authentification IEEE 802.1X sur les interfaces Ethernet.

Après avoir lancé "services.msc" et cliqué sur le service correspondant, la

fenêtre suivante s'affiche pour démarrer le service.

Figure 53 : Ajout et démarrage du service DOT1X

55
 L’étape suivante consiste à activer l’authentification 802.1X sur l’interface
Ethernet. La méthode d’authentification par défaut (PEAP) a été conservée tant
qu’elle est supportée par la plate-forme ISE.

Figure 54 : Activation du DOT1X sur la carte Ethernet

Dès le branchement du câble sur l’interface Ethernet, une fenêtre s’affiche

demandant de saisir le nom d’utilisateur et le mot de passe pour s’authentifier au
niveau du domaine du moment que les données de la session existante ne sont pas
automatiquement utilisées.

Figure 55 : Fenêtre d'authentification

56
 Après avoir saisi les données du compte utilisateur, et en essayant d’accéder
à la page http://www.google.fr , nous nous sommes trouvés redirigés vers la page
de « Client Provisionning » fournissant l’Agent NAC persistant.

Figure 56 : Redirection vers la page de Client Provisioning

En cliquant sur le bouton « Cliquez pour installer l’agent », le téléchargement

de l’Agent se lance. En l’exécutant, nous recevons un message indiquant la non-
conformité de notre machine avec la politique de sécurité et fournissant un accès
temporaire pour télécharger le fichier de remédiation tant que l’antivirus Mcafee
n’est pas disponible sur notre machine. La figure qui suit représente une capture du
message reçu au niveau de l’agent.

Figure 57 : Message obtenu sur l'Agent NAC

57
 Le deuxième test que nous effectuons consiste à vérifier l'authentification
MAB. Pour le faire, nous désactivons l'authentification 802.1X sur l'interface pour
que l'authentification par adresse MAC soit automatiquement utilisée.

Au niveau du Switch, nous pouvons observer le déroulement de

l'authentification :

Figure 58 : Évènements d'authentification observés au commutateur

Pour nous assurer de la bonne affectation du profil d'autorisation, nous

pouvons avoir recours au commutateur et utiliser la commande show
authentication session interface GigabitEthernet1/0/23 detail. Les résultats affichés
dans la section Server Policies confirment le téléchargement de l'URL de redirection
à partir de l'ISE et l'utilisation de l'ACL adéquat pour connaître quel trafic doit être
redirigé.

58
 Figure 59 : Détails de l'authentification sur l'interfaceGigabitEthernet1/0/23

4.3. Réseau sans fil

Nous débutons par la vérification de la diffusion des deux SSIDs (PFE-NSIT et
PFENSIT2) et ce en consultant la liste des réseaux sans fil disponibles à partir de
notre PC.

Figure 60 : Détection des SSIDs

En tentant de nous connecter PFE-NSIT2 et après avoir activé

l'authentification 802.1X, deux champs s'affichent demandant la saisie du nom
d'utilisateur et du mot de passe comme illustré sur la figure suivante.

59
 Figure 61 : Authentification DOT1X pour le SSID "PFE-NSIT2

Après avoir tapé les coordonnées, nous sommes redirigés vers la page de CCP
(Client Provisioning Portal) pour télécharger l'agent NAC. Une fois installé, cet Agent
nous indique que notre accès au réseau est restreint pour raison de non-conformité
tel qu’il est montré sur la figure et nous suggère la réparation de la machine pour
avoir un accès complet.

Figure 62 : Accès restreint à un utilisateur du réseau sans fil

60
 Un invité, n'appartenant pas au domaine, est appelé à se connecter à PFE-
NSIT. Dès qu'il se connecte, il se trouve redirigé vers le portail captif sur son
navigateur.

Figure 63 : Portail invité

Comme nous l'observons sur la figure précédente, un lien d'inscription est

disponible. Le mot de passe du compte "Guest" est généré aléatoirement alors que
son nom d'utilisateur se génère à partir du nom et du prénom, Aussi, une version
mobile du portail invité est fournie :

61
 Figure 64 : Inscription via la version mobile du portail captif

Nous pouvons aussi désactiver l'enregistrement automatique des membres

sur le portail et nous limiter à la création des comptes via le portail responsable ou
"Sponsor", lequel est accessible au lien suivant :
https://172.25.0.200:8443/sponsorportal/. L'authentification sur ce portail s'est
effectué avec un compte utilisateur créé au niveau de la plate-forme et doté des
privilèges d'un "sponsor".

Figure 65 : Interface du portail responsable

62
 Lors de la création du compte, nous devons choisir la durée de vie du compte
en lui affectant un des profils existants sur la plate-forme. Dans l'exemple qui suit,
le compte sera actif durant une période de huit heures.

Figure 67 : Création d’un compte Guest d'une durée de huit heures

Après la saisie du nom d'utilisateur et du mot de passe au niveau du portail

invité, nous sommes redirigés vers la page de Client Provisioning. L'agent
temporaire se lance pour vérifier la posture de la machine du moment que nous
utilisons un compte Guest. Cet agent est lancé sous une fenêtre du navigateur. Une
fois l'analyse est terminée, il nous indique la non-conformité avec la politique de
posture.

63
 Figure 68 : Validation de posture avec un agent temporaire

Nous avons testé de nouveau et ce après avoir installé l'antivirus Mcafee.

L'agent NAC nous a présenté un accès plus étendu au réseau, comme mentionné
sur la figure ci-dessous.

Figure 69 : Accès complet au réseau

64
 En consultant le log de la plate-forme ISE, nous pouvons constater l'évolution
suivante :

1. Succès de l'authentification MAB

2. Succès de l'authentification via le portail invité
3. Validation de posture de la machine
4. Succès de l'autorisation dynamique ou CoA (changement du profil
d'autorisation de CWA à PermitAccess)

Figure 70 : Log de la plate-forme ISE

D'autres détails sont aussi disponibles au niveau du log de Cisco ISE, tels que
les attributs VSA échangés avec le WLC et précisant l'ACL et l'URL de redirection,
ainsi que l'attribut Called-Station-ID mentionnant l'adresse MAC du point d'accès et
le SSID associé.

Figure 71 : Détails de la session

65
 4.4. Conclusion
Cette partie du rapport était consacrée à l'essai de la solution avec différents
scénarios afin de prouver son bon fonctionnement et son efficacité et ce, en
essayant de connecter une machine au réseau, ou encore en se référant aux
services disponibles au sein des composants, tel que le système de journalisation
de la plate-forme Cisco ISE.

66
 Conclusion et perspectives
Dans le cadre de ce projet réalisé au sein du Groupe OCP, nous avons mis en
place une solution de contrôle d'accès relative aux réseaux filaire et sans fil. La
solution est encore plus nécessaire quand on sait que, dans certains
établissements, le nombre d’utilisateurs qui sollicitent fréquemment le réseau est
très important.

La solution adoptée, lors de la réalisation du projet, s'appuie sur des

produits propriété Cisco : le point d'accès, le commutateur, le contrôleur du
réseau local sans fil (WLC) ainsi que la plate-forme ISE représentant la dernière
génération des plates-formes de contrôle d'accès proposées par Cisco.

Une fois déployée, la solution a permis de réagir, en temps réel, à toute

tentative de connexion au réseau par référence aux politiques de sécurité
prédéfinies au niveau de la plateforme Cisco ISE. En effet et en premier lieu,
l'utilisateur est appelé à s'authentifier en présentant son compte utilisateur et le
mot de passe associé au cas où il appartient au domaine, sinon et s'il s'agit d'un
utilisateur invité, il s'authentifie à travers un portail Web en s'y inscrivant
temporairement ou bien il obtient un compte créé par le responsable et
autorisant aussi un accès momentané. L’étape qui suit la vérification de la
légitimité de l'utilisateur est celle de la validation de l'état des machines ; chacune
doit disposer de l'antivirus Mcafee. Dans le cas contraire, l'utilisateur bénéficie
d'une période de grâce, au cours de laquelle, un fichier de remédiation lui est
offert afin de pouvoir accéder.

A l'instar du test de l'antivirus, d'autres balayages, proposés par la plate-

forme, pourront être effectués, telle que la vérification de l'état de mise à jour du
système d'exploitation et de l'existence de certaines applications de sécurité et ce,
dans le but de garantir davantage la sûreté du réseau.

Bien évidemment, différentes techniques d'attaque existent; elles tendent à

retrouver par tous les moyens le mot de passe, ce qui permet aux intrus d’usurper
l'identité de l'un des utilisateurs pour accéder au réseau. Afin de les confronter,
nous pouvons avoir recours à une authentification forte, concaténant au moins
deux facteurs d'authentification, tels que les certificats numériques et les mots de
passe à usage unique (OTP) ; ceci est réalisable en intégrant la plate-forme Cisco
ISE avec des sources d'identité externes.
67
 Références

Cisco Systems Description de la gamme Cisco NAC [En ligne]. - 2006. - 4 Février
2015.
Enterasys Secure Networks Network Access Control (Contrôle d’accès au réseau)
[En ligne]. - 2007. - 2 Mars 2015.
FreeNAC Contrôle d'accès réseau [En ligne]. - 20 Mars 2015. -
http://freenac.net/fr/solutions/lanaccesscontrol.
Juniper Networks Unified Access Control [En ligne]. - Novembre 2011. - 15 Mars
2015.
LANDESK Centre d'aide Compréhension des composants NAC de base Centre
d'aide
LANDESK [En ligne] // site Web LANDESK Help Center. - 2013. - 12 Mars 2015. -
https://help.landesk.com/Topic/Index/FRA/LDMS/9.5/Content/Windows/nac_c_b
asic_com ponents.htm.
Marcotte Ludovic PacketFence 4.1 : une solution BYOD/NAC dans la cour des
grands [Enligne] // Linuxfr. - 17 Décembre 2013. - 22 Mars 2015. -
http://linuxfr.org/news/packetfence-4-1-une-solution-byod-nac-dans-la-cour-des-
grands.
Microsoft Protection d’accès réseau (NAP) [En ligne] // Microsoft. - Janvier 2008.
- 12 Mars 2015. - https://technet.microsoft.com/fr-
fr/library/cc753550%28v=ws.10%29.aspx.
Pujolle Guy Les réseaux [Livre]. - [s.l.] : Eyrolles, 2008. - p. 880.
Vincent REMAZEILLES La sécurité des réseaux avec Cisco [Livre]. - [s.l.] : Editions
ENI,- 2009. - p. 40.

68
 Glossaire
 802.1X : standard permettant de contrôler l'accès aux équipements du
réseau

 AAA (Authentication, Authorization, Accounting) : AAA correspond à un

protocole qui réalise trois fonctions : l'authentification, l'autorisation, et la
traçabilité

 ACL (Access Control List) : les ACLs servent principalement au filtrage des
paquets sur les interfaces physiques

 CHAP (Challenge Handshake Authentication Protocol) : protocole

d'authentification pour PPP à base de challenge, ce qui le rend bien plus sûr
que son précédent PAP.

 CA (Certificate Authority) : a pour mission, après vérification de l'identité du

demandeur du certificat, de signer, émettre et maintenir les certificats

 CPP (Client Provisioning Portal) : portail appartenant à la plate-forme ISE et

permettant de fournir les Agents NAC

 CWA (Central Web Authentication) : portail Web qui permet aux utilisateurs
de s'inscrire et de s'authentifier. Aussi, elle peut inclure la validation de
posture (CPP).

 DHCP (Dynamic Host Configuration Protocol) : permet, à partir d'un serveur,

de télécharger la configuration réseau vers un ordinateur (adresse IP,
paramètre TCP/IP, etc.)

 DNS (Domain Name System) : service de noms reposant sur des serveurs et
permettant de convertir un nom en une adresse IP

 EAP (Extensible Authentication Protocol) : protocole de communication

réseau embarquant de multiples méthodes d'authentification, pouvant être
utilisé sur les liaisons point à point, les réseaux filaires et les réseaux sans fil
69
 FQDN (Fully Qualified Domain Name) : est un nom de domaine qui révèle la
position absolue d'un nœud dans l'arborescence DNS en indiquant tous les
domaines de niveau supérieur jusqu'à la racine

 LDAP (Lightweight Directory Access Protocol) : est à l'origine un protocole

permettant l'interrogation et la modification des services d'annuaire. Il a
cependant évolué pour représenter une norme pour les systèmes
d'annuaires.

 MAB (Mac Authentication Bypass) : authentification de niveau 2 basée sur les

adresses MAC et fournie par Cisco

 MAC (Medium Access Control) : couche logicielle qui a pour rôle de structurer
les bits d'information en trames adaptées au support physique et de gérer les
adresses physiques des cartes réseaux (Adresses MAC)

70