Académique Documents
Professionnel Documents
Culture Documents
Référence :
Que les membres du jury trouvent ici mes profonds remerciements pour l’honneur
qu’ils m’ont fait en assistant à cette soutenance.
[Abou Hourayrah]
Résumé
Ce rapport s’inscrit dans le cadre de notre projet de fin d’études réalisé au sein de
l'entreprise Next Step IT, consistant à la mise en place d’une solution de contrôle d'accès au
réseau. Cette solution est constituée de plusieurs composants qui, en fonctionnant de façon
contigüe, permettront de filtrer l’accès au réseau en authentifiant tout hôte demandant l'accès
et d’effectuer, sur l’hôte authentifié, un ensemble de tests pour vérifier son état de « santé » et
le rendre conforme avec la stratégie de sécurité suivie.
Ces objectifs seront réalisés par l'implémentation d’une plateforme de sécurité fournie par
le leader mondial, Cisco Systems, et intégrée avec un service d’annuaire (Microsoft Active
Directory) afin d'assurer l’authentification, ainsi qu'un commutateur et un contrôleur de réseau
local sans fil servant à connecter les utilisateurs respectivement aux réseaux filaire et sans fil.
Abstract
This report is part of our graduation project realized within Next Step IT company,
consisting in the implementation of a network access control solution. This solution is
composed of several components, operating adjacently, allow to filter network access by
authenticating any host requesting access and to effect in this authenticated host a series of
tests to check its health status and whether it conforms with the followed security strategy.
Introduction générale...........................................................................................................1
Chapitre 3 : Réalisation...........................................................................................................20
3.1. Introduction.................................................................................................................21
3.2. Architecture du réseau...............................................................................................21
3.3. Installation et intégration de Cisco ISE et Active Directory..........................................23
3.3.1. Installation du contrôleur de domaine (Active Directory)......................................23
3.3.2. Installation et intégration de deux plates-formes Cisco ISE...................................23
3.3.3. Jointure des deux plates-formes au contrôleur Active Directory............................28
3.4. Configuration de l'ISE..................................................................................................29
3.4.1. Authentification...................................................................................................29
3.4.2. Posture & Client Provisioning...............................................................................32
Sommaire
3.4.3. Autorisation.........................................................................................................37
3.5. Configuration du Switch..............................................................................................38
3.5.1. Configuration globale...........................................................................................39
3.5.2. Configuration de l'interface...................................................................................41
3.6. Configuration du WLC................................................................................................43
3.7. Conclusion..................................................................................................................48
Conclusion et perspectives.................................................................................................. 59
Références...........................................................................................................................61
Glossaire..............................................................................................................................62
Liste des figures
La sécurité des réseaux devient, de nos jours, un thème indispensable pour garantir la
disponibilité et l’efficacité des ressources sur le réseau. La spécification de l’accès au réseau
est devenue très importante pour la protection des ressources soit des tentatives d’intrusions
internes ou externes, lesquelles développent des nouvelles techniques de jour en jour, ou encore
des accès, aux données et informations de haute importance ou très confidentielles, par des
membres non qualifiés. C’est pour cela que chaque utilisateur ou machine, voulant accéder au
réseau, doit être identifié et subir quelques tests de compatibilité avec le réseau (intégration au
domaine, existence d’un antivirus bien défini sur la machine qui veut s’authentifier, etc.); il
sera, par la suite, dirigé selon son identité et les droits d’accès qui lui seront attribués vers les
ressources et les sous réseaux auxquels il aura accès.
Aussi, le présent rapport décrit-il la mise en place de cette solution. Dans son premier
chapitre, il abordera le cadre général du projet. Le deuxième chapitre intitulé « État de l'art »
est dédié aux concepts théoriques relatifs à notre solution . Le troisième chapitre viendra détailler
les étapes d'installation et les configurations nécessaires des divers éléments composant la
solution. Dans le quatrième et dernier chapitre, nous clôturerons par l'exercice des tests nécessaires
tendant à nous prémunir d'un éventuel mauvais fonctionnement.
CHAPITRE 1 :
PRÉSENTATION DU
PROJET
Chapitre 1 Présentation du projet
1.1. Introduction
Au cours de ce chapitre, nous exposons le contexte général du projet. Aussi, nous
présentons, en premier lieu, l'entreprise d'accueil, le besoin de déploiement d'une solution
NAC ainsi que notre contribution reliée au besoin de l'entreprise et nous finissons par la
citation de la planification prévisionnelle et de la méthodologie de travail que nous aurons à
suivre.
Next Step IT est une société à responsabilité limitée, fondée au cours de l'année 2012,
implantée à Tunis, Mutuelleville et employant une quarantaine de personnes.
Next Step IT s’est trouvée sur une trajectoire de start-up réalisant quelques centaines
de milliers de dinars en 2012, trois millions de dinars en 2013 et le double en 2014.
Next Step IT propose le service d’audit des infrastructures des systèmes d'informations.
Les prestations d'audit ont
pour objectif d'établir un état des lieux des infrastructures
3 | Page
Chapitre 1 Présentation du projet
informatiques existantes afin d'évaluer les besoins et mettre en évidence tous les aspects
nécessaires pour optimiser l'environnement et l'organisation. Ainsi, Next Step IT accompagne
4 | Page
Chapitre 1 Présentation du projet
t-elle ses clients pour faire un choix stratégique sur l'évolution de son système d'information et ce
en toute connaissance de cause.
Étude et conseil
La réussite d’une solution dépend du soin apporté à sa conception. Next Step IT étudie
des solutions sur mesure, s’adaptant au contexte et aux besoins des entreprises. Elle
accompagne ses clients dans cette démarche :
o Recueil des besoins
o Analyse de l’existant et visites des sites
o Définition des spécifications techniques, fonctionnalités, performances, etc.
o Identification des contraintes, du budget et des délais
o Démonstration, mise en place de maquette et accompagnement au test
o Assistance à la rédaction des cahiers des charges
Intégration
Next Step IT est une spécialiste d'intégration de solutions d'infrastructure réseau, système,
sécurité et communications. Elle dédie une équipe composée d’un chef de projet, d’un
ingénieur commercial et d’ingénieurs et techniciens pour la durée du projet. Toute l’équipe
projet de Next Step IT est certifiée par les constructeurs partenaires. Elle est constituée de
techniciens et d’ingénieurs certifiés et formés en permanence sur ses solutions et sur les
différentes technologies qui touchent à son métier. Tous ses projets d'intégration passent par
une phase de préparation et planification, une phase de conception, une phase
d'implémentation et migration et enfin un transfert de compétence et une assistance au
démarrage.
Assistance technique
Next Step IT associe la compétence technique de son équipe et les outils informatiques
nécessaires afin d'apporter l'assistance technique adéquate et à haute valeur ajoutée à ses
clients. Le professionnalisme et l'expertise de Next Step IT garantissent à ses clients :
o Réactivité : les équipes interviennent directement là où on le souhaite, en fonction des
contraintes des clients:
o Efficacité : les techniciens trouvent la solution la plus appropriée dans les meilleurs
délais
o Transparence : ses interventions font l’objet de rapports et de transfert de compétence
o Savoir-faire : le problème du client est pris en charge par une équipe qualifiée,
expérimentée et certifiée
5 | Page
Chapitre 1 Présentation du projet
Support et maintenance
1.4. Contribution
6 | Page
Chapitre 1 Présentation du projet
1.6. Gestion du
projet
Lors de la discussion avec le représentant de l'entreprise, il s'est avéré que les services
à réaliser, lesquels sont intégrés dans la solution NAC, dépendent des fonctionnalités
disponibles dans la plate-forme ISE et des besoins des clients de Next Step IT. Par
conséquent, notre mise en place pourra subir de nombreuses modifications en fonction de
l'avancement.
Par ailleurs, nous avons opté pour une gestion de projet Agile, méthode plutôt adoptée
dans les développements informatiques et plus précisément la méthode SCRUM. Ses principales
caractéristiques sont :
La transparence : un langage commun doit permettre à tout observateur d'obtenir
rapidement une bonne compréhension du projet.
L'inspection : à intervalles réguliers, Scrum propose de faire le point sur les
différentes modifications produites, afin de détecter toute variation indésirable.
L'adaptation : si une dérive est constatée pendant l'inspection, le processus devra
alors être adapté.
1.7. Conclusion
Dans ce qui précède, nous avons abordé le contexte général de notre projet et plus
précisément l'environnement de réalisation et la gestion suivie. De même que la précision des
7 | Page
Chapitre 1 Présentation du projet
objectifs du projet par une planification prévisionnelle nous a permis d'assurer le bon
déroulement et de garantir le respect des délais.
8 | Page
CHAPITRE 2 :
ÉTAT DE L'ART
Chapitre 2 État de l'art
2.1. Introduction
Notre projet consistant à implémenter une solution NAC à base de la plate-forme
Cisco ISE, ce chapitre sera donc l’occasion de mettre l'accent sur les détails de cette solution
et particulièrement la plate-forme ISE dans le but de mieux comprendre la partie réalisation qui
sera traitée ultérieurement.
Le contrôle d’accès au réseau (ou NAC) est un terme qui englobe diverses
technologies développées pour contrôler/restreindre l’accès au réseau par les systèmes d’extrémité
en fonction de leur « état de santé ». L’idée de base est que les systèmes d’extrémité dangereux ou
vulnérables (« en mauvaise santé ») ne doivent pas communiquer sur le réseau de l’entreprise
dans la mesure où ils pourraient introduire un risque de sécurité pour les processus et les
services critiques. Une solution NAC empêchera un système d’extrémité en mauvaise santé
d’accéder normalement au réseau jusqu’à ce que la santé de ce système soit assurée.
Le bilan de santé d’un équipement connecté au réseau est également appelé « évaluation »
du système d’extrémité. Les systèmes d’extrémité peuvent être notamment des PC, des
imprimantes, des téléphones IP, des caméras de sécurité IP traditionnelles, etc. Cette
évaluation doit permettre de découvrir le niveau de vulnérabilité ou de menace acceptable
d’un système d’extrémité. Des éléments, tels que le niveau de patch de sécurité, la présence de
solutions antivirus/anticodes malveillants, les mises à jour de signatures antivirales/anticodes
malveillants, les applications en cours d’exécution et les ports ouverts peuvent tous être
analysés afin de déterminer l’état de santé global du système d’extrémité.
Après exécution du processus d’évaluation et d’autorisation du système d’extrémité,
s'il s'avère que ce dernier est non conforme aux politiques de sécurité du réseau, on peut lui
accorder un accès restreint ou encore le mettre en quarantaine réseau. Le processus
d’application des politiques de mise en quarantaine fait intervenir des politiques de
communication réseau très granulaires, c’est-à-dire à base de flux et non pas une simple
affectation à un VLAN. En effet, regrouper tous les systèmes d’extrémité « en mauvaise santé
» au sein du même VLAN de quarantaine revient à les laisser s’infecter mutuellement avec
8 | Page
Chapitre 2 État de l'art
de nouvelles vulnérabilités. Les
9 | Page
Chapitre 2 État de l'art
politiques réseau décrivent la manière dont le trafic entrant sur des ports de commutation doit
être traité au niveau du filtrage et du balisage.
Dans le cadre d’une solution NAC, la remédiation consiste à résoudre un problème à
des fins de conformité avec certaines politiques prédéfinies. Ce processus de remédiation
permet à l’utilisateur mis en quarantaine réseau de recouvrer sa conformité. Il est important que
ce dernier soit impliqué dans le processus de remédiation afin d’optimiser les performances
des processus métier. (Enterasys Secure Networks, 2007)
2.2.2. Architecture
10 |
Page
Chapitre 2 État de l'art
d'authentification Posture (statut des périphériques qui requièrent un accès) en fonction des
règles de conformité.
Serveurs d'entreprise (D) : zone critique du réseau et que la solution NAC
protège des périphériques malsains, infectés ou vulnérables.
VLAN de quarantaine (E) : zone de réseau protégée virtuelle dans laquelle
les périphériques peuvent être sécurisés et corrigés, ré-analysés, puis ils obtiennent un
accès complet au réseau d'entreprise, ou restent conservés avec un accès restreint aux
ressources de réseau telle que l'Internet. (LANDESK, 2013)
Plusieurs solutions NAC sont disponibles. Elles peuvent être classifiées sous deux
principales catégories : commerciales et libres.
Les solutions commerciales
De nombreuses solutions existent sur le marché. Les trois constructeurs suivants sont
les dominants : Cisco, Microsoft et Juniper. La solution CISCO est traitée avec pl+us de
détails vu qu'elle est utilisée lors de la réalisation de ce projet, alors que les deux autres seront
évoquées brièvement.
Solution Cisco
La gamme Cisco peut être définie par les caractéristiques suivantes :
Intégration de l’authentification avec ouverture de session unique
Cisco NAC joue le rôle de proxy d’authentification pour la plupart des formes
d’authentification, puisqu’il intègre de manière native Kerberos, LDAP (Lightweight
Directory Access Protocol), RADIUS, Active Directory et bien d’autres solutions encore.
Afin de minimiser la gêne pour les utilisateurs finaux, Cisco NAC supporte l’ouverture de session
unique pour les clients VPN, les clients sans fil et les domaines Windows Active Directory. Le
contrôle d’accès à base de rôles permet à l’administrateur de gérer de multiples profils utilisateurs
avec des niveaux de permission différents.
Cisco NAC supporte l’analyse de tous les systèmes d'exploitation Windows, de Mac
OS, des machines Linux et des équipements de réseau autres que les PCs (consoles de jeu,
PDA, imprimantes, téléphones IP, etc.). Il effectue une analyse réseau et peut, si nécessaire,
utiliser des outils d’analyse personnalisés. Cisco NAC peut vérifier n’importe quelle application
identifiée par ses clés de registres, les services exécutés ou les fichiers systèmes.
11 | Page
Chapitre 2 État de l'art
Mise en quarantaine
Cisco NAC peut placer les machines non conformes en quarantaine pour éviter la
propagation des infections tout en lui ouvrant un accès à des ressources de remédiation. La
quarantaine peut s’effectuer sur un sous réseau de petite taille (type /30) ou sur un VLAN de
quarantaine.
Les mises à jour automatiques des politiques de sécurité fournies par Cisco dans le
cadre du service de maintenance logicielle standard permettent d’obtenir des politiques prédéfinies
pour les critères d’accès réseau les plus courants, notamment les politiques qui vérifient les mises à
jour critiques du système d'exploitation comme des signatures antivirus et anti logiciels
espions des principaux produits du marché. Cette fonction réduit les frais de gestion pour
l’administrateur réseau qui peut laisser au serveur Cisco NAC le soin de veiller à la mise à
jour permanente des politiques de sécurité.
Gestion centralisée
Remédiation et réparation
Solution Microsoft
12 | Page
Chapitre 2 État de l'art
d’exploitation et des logiciels critiques d’un ordinateur client.
13 | Page
Chapitre 2 État de l'art
Solution Juniper
La solution Juniper ou Unified Access Control (UAC) s'appuie sur les normes de
l'industrie, notamment 802.1X, RADIUS, IPsec et IF-MAP de TNC, lesquelles permettent
l'intégration de la solution UAC à n'importe quel équipement de sécurité et réseau tiers.
Elle combine l'identité des utilisateurs, le statut de sécurité des dispositifs et les
informations sur l’emplacement dans le réseau pour créer une stratégie de contrôle des accès,
14 | Page
Chapitre 2 État de l'art
unique pour chaque utilisateur (qui fait quoi et quand?). La solution peut être activée en couche 2
à l’aide du protocole 802.1X, ou en couche 3 via un déploiement de réseaux superposés. UAC
2.0 peut également être mis en œuvre dans un mode mixte qui utilise le protocole 802.1X pour
contrôler les admissions sur le réseau et la couche 3 pour contrôler les accès aux ressources.
La solution UAC comprend Junos Pulse, Junos Pulse Access Control Service, les
passerelles Junos Pulse MAG Series, les équipements de contrôle d'accès unifié IC Series,
ainsi que des points de mise en application d'Unified Access Control (UAC) comprenant tous
les commutateurs ou points d'accès 802.1X conformes au protocole IF-MAP de l’architecture
Trusted Network Connect (TNC).
Parmi ces équipements figurent, par exemple, les commutateurs EX Series, les points
d'accès pour réseau local WLA Series et les passerelles SRX Series. (Juniper Networks, 2011)
Plusieurs solutions libres existent. Les plus répandues sont FreeNAC et PacketFence.
FreeNAC
15 | Page
Chapitre 2 État de l'art
L'attribution d'un VLAN est basée sur l'adresse MAC d'une machine. En mode VMPS,
l'authentification et l'attribution ont lieu en une seule étape. En mode 802.1x,
l'authentification des utilisateurs (dans le domaine Windows), ou celle des machines (par
certificat), se déroule en premier, et ce n'est que par la suite que l'adresse MAC est utilisée
pour l'attribution du VLAN. (FreeNAC)
PacketFence
PacketFence est une solution de conformité réseau (NAC, Network Access Control)
entièrement libre, supportée et reconnue. Elle procure une liste impressionnante de
fonctionnalités tels :
L'enregistrement des composantes réseau grâce à un puissant portail captif
Le blocage automatique, si souhaité, des appareils indésirables tels que les produits
Apple et Sony, bornes sans fil et autres
L'enrayement de la propagation de vers et virus
Le freinage des attaques sur les serveurs ou les diverses composantes du réseau
La vérification de la conformité des postes présents sur le réseau (logiciels installés,
configurations particulières, etc.)
La gestion simple et efficace des invités se connectant sur le réseau
L'authentification des utilisateurs en se référant au standard 802.1X
L'isolation niveau-2 des composantes problématiques
L'intégration des détecteurs d'intrusions Snort et de vulnérabilités Nessus (Marcotte,
2013)
2.3.1. Définition
Identity Services Engine (ISE) est la dernière génération des plates-formes de contrôle
d'accès proposées par Cisco et qui permet aux entreprises d'imposer leurs politiques de
sécurité lors de l'accès, de renforcer la sécurité de leurs infrastructures et de rationaliser leurs
opérations de services.
L'architecture unique de Cisco ISE permet aux entreprises de recueillir les
informations concernant les utilisateurs et les périphériques, en temps réel à partir du réseau.
L'administrateur
16 | Page
Chapitre 2 État de l'art
peut ensuite utiliser ces informations pour prendre des décisions de gouvernance proactive en
liant l'identité à divers éléments du réseau, y compris les commutateurs, les contrôleurs de réseau
local sans fil (WLC) et les passerelles des réseaux privés virtuels (VPN).
Le schéma suivant montre un exemple de déploiement de l'ISE au sein du réseau :
La plate-forme ISE peut être considérée comme étant un système de contrôle d'accès
consolidé, à base de règles et intégrant un sur-ensemble de fonctionnalités disponibles dans
les plates-formes existantes. Parmi ses caractéristiques, on peut citer :
17 | Page
Chapitre 2 État de l'art
2.3.3. Fonctionnement
802.1X
18 | Page
Chapitre 2 État de l'art
Le protocole EAP est extensible puisque tout mécanisme d'authentification peut être
encapsulé à l’intérieur des messages EAP. Au niveau supérieur se trouvent les méthodes
d'authentification, comme TLS, MSChap, SIM, etc. La trame EAP elle-même est
encapsulée dans une trame de transport. Cette encapsulation peut s’effectuer soit dans une
trame EAP over Radius, c’est-à-dire dans une trame RADIUS, soit dans une trame EAPoL
(EAP over LAN) qui est utilisée dans les réseaux locaux, en particulier les réseaux locaux
sans fil de type Wi-Fi. (Pujolle, 2008)
Quel que soit le choix du mécanisme d'authentification entre le point d’accès et le serveur
d'authentification, les paquets EAP sont généralement acheminés grâce au protocole
RADIUS. RADIUS est depuis longtemps le protocole AAA (Authentication, Authorization,
Accounting) le plus largement adopté. Utilisé par les ISP pour authentifier les utilisateurs, il est
principalement conçu pour transporter des données d'authentification, d’autorisation et de
facturation entre des NAS (Network Access Server) distribués, qui désirent authentifier leurs
utilisateurs et un serveur d’ authentification partagé.
RADIUS utilise une architecture client-serveur qui repose sur le protocole UDP. Les
NAS, qui jouent le rôle de client, sont responsables du transfert des informations envoyées
par l’utilisateur vers les serveurs RADIUS. Ces derniers prennent en charge la réception des
demandes d’authentification, l’ authentification des utilisateurs et les réponses contenant
toutes les informations de configuration nécessaires aux NAS. Les serveurs RADIUS peuvent
également agir comme proxy pour d’autres serveurs RADIUS.
Si un équipement mobile a besoin d’accéder au réseau en utilisant RADIUS pour
l'authentification, il doit présenter au NAS des crédits d'authentification (identifiant utilisateur,
mot de passe, etc.). Ce dernier les transmet au serveur RADIUS en lui envoyant un ACCESS-
REQUEST. Le NAS et les proxys RADIUS ne peuvent interpréter ces crédits
d'authentification car ces derniers sont chiffrés entre l’utilisateur et le serveur RADIUS
19 | Page
Chapitre 2 État de l'art
destinataire. À la réception
20 | Page
Chapitre 2 État de l'art
de cette requête, le serveur RADIUS vérifie l'identifiant du NAS puis les crédits d'authentification
de l’utilisateur dans une base
de données LDAP (Lightweight Directory Access Protocol) ou
autre.
Les données d’autorisation échangées entre le client (le NAS) et le serveur RADIUS
sont toujours accompagnées d’un secret partagé. Ce secret est utilisé pour vérifier
l’authenticité et l’intégrité de chaque paquet entre le NAS et le serveur. (Pujolle, 2008)
Les messages EAP transportent les échanges d’authentification entre le client et le serveur
d'authentification. Le Switch ne fait que les relayer, toutefois de part et d’autre du Switch, les
messages EAP ne sont pas transportés de la même façon. Entre le client et le Switch, EAP est
directement dans la charge utile des trames Ethernet. Entre le Switch et le serveur RADIUS,
EAP est transporté dans les messages RADIUS. La figure suivante explique les deux
encapsulations :
2.3.4. Licences
La stratégie des licences suivie par Cisco vise à minimiser le nombre de licences à
commander en combinant les différents services. Actuellement, quatre paquets de licence ISE
CISCO sont disponibles : Base, Advanced, Plus et Wireless. La licence d'évaluation est
incluse dans la plate-forme ISE, offrant tous les services pour une durée de trois mois. La
licence à commander reste valide durant un, trois ou cinq ans. Le tableau qui suit expose les
différents services et les licences correspondantes.
21 | Page
Chapitre 2 État de l'art
2.4.Conclusion
22 | Page
CHAPITRE 3 :
RÉALISATION
Chapitre 3 Réalisation
3.1. Introduction
Après avoir achevé les notions théoriques, nous passons à la mise en place de notre
solution, laquelle représente notre tâche principale. Au cours de ce chapitre, nous nous
attarderons sur les différentes configurations requises pour assurer le contrôle d'accès des
utilisateurs des réseaux filaire et sans fil. Ceci revient essentiellement à paramétrer la plate-forme
ISE, le commutateur ainsi que le contrôleur du réseau sans fil ou le WLC.
Afin d'implémenter notre solution, nous avons besoin d'une part, de deux équipements
et d'autre part, de quatre machines virtuelles.
L'installation des machines virtuelles s'est déroulée sur le serveur de l'entreprise, lequel est
doté des caractéristiques suivantes :
21 | Page
Chapitre 3 Réalisation
22 | Page
Chapitre 3 Réalisation
Le nom de domaine que nous avons choisi est : NSIT.local (abréviation du nom de
l'entreprise : Next Step IT)
23 | Page
Chapitre 3 Réalisation
En premier lieu, nous devons télécharger l'image .iso sur la banque de données
"datastore" du serveur.
La plate-forme ISE requiert une machine virtuelle ayant au minimum les caractéristiques
suivantes :
Mémoire vive de 4 GB
Mémoire disque de 200 GB
4 processeurs (CPUs)
Deux cartes réseaux (2 NIC)
Lors du premier démarrage de la machine, certaines données ont été saisies pour
commencer l'installation, parmi lesquelles nous pouvons citer :
ise-cisco2 : nom de la machine lequel, sera ajouté ultérieurement aux DNS et
Active Directory
172.25.0.201 : adresse IP privée de la machine
255.255.255.0 : masque de sous-réseau
172.25.0.254 : passerelle par défaut
nsit.local : nom de domaine que nous avons choisi
172.25.0.27 : adresse IP du serveur NTP (Network Time Protocol) permettant de
synchroniser l'horloge de la plate-forme. Un serveur NTP a été installé sur Windows
Server et sur lequel pointe l'ISE.
24 | Page
Chapitre 3 Réalisation
La machine contenant la plate-forme ISE est appelée "node". Elle peut fonctionner
selon deux modes :
Standalone : déploiement d'une seule plate-forme assurant les différents services
Primaire-secondaire : déploiement distribué, permettant la séparation des services et le
basculement "failover" entre les deux nœuds.
Pour assurer la haute disponibilité, nous avons opté pour la mise en place de deux
plates-formes ISE. Leur intégration nécessite une authentification mutuelle basée sur les
certificats : chacune possède son propre certificat, lequel doit être généré par l'autorité de
certification (Certificate Authority). Dans notre cas, l'autorité est représentée par le contrôleur de
domaine. La génération du certificat est offerte par le service de certificats Active Directory.
25 | Page
Chapitre 3 Réalisation
L'étape suivante consiste à générer les demandes des certificats "Certificate Request" à
partir de l'ISE afin de les traiter au niveau du service des certificats Active Directory. Le fichier de
la demande est par la suite ouvert avec un éditeur de texte et son contenu est collé au service
approprié. Le modèle de certificat à choisir est "Serveur Web".
26 | Page
Chapitre 3 Réalisation
Une fois la jointure réussie, et en consultant la liste des machines existantes sur le
contrôleur, nous pouvons constater que la machine sur laquelle est installée Cisco ISE est
automatiquement additionnée.
28 | Page
Chapitre 3 Réalisation
Après avoir effectué la jointure à Active Directory, nous devons importer les groupes
permettant d'authentifier les utilisateurs du domaine et servant à affecter le profil
d'autorisation approprié à chaque utilisateur. Pour afficher les groupes dont on a besoin, il faut
taper leurs noms, autrement il faut taper "*" pour lister les groupes existants. La figure qui suit
montre l'importation du groupe "Utilisateurs du domaine".
29 | Page
Chapitre 3 Réalisation
Les règles d'authentification qui ont été définies se limitaient aux deux premières
méthodes. La première règle permet de vérifier l'existence des adresses MAC des périphériques
dans la liste interne. Cette règl sera aussi utile pour la troisième méthode, laquelle est reportée à
la phase d'autorisation. La seconde règle sert à authentifier les comptes utilisateurs, en premier
lieu à partir du contrôleur Active Directory, puis à partir de la liste interne. En d'échec
d'authentification pour un utilisateur de domaine, la seconde règle donne la possibilité de
tester avec un utilisateur local. Ceci nous permettra de mieux localiser la défaillance ; il
pourrait s'agir d'une erreur d'intégration avec Active Directory ou d'une erreur au niveau de
l'authentification en se référant au domaine.
Afin d'autoriser plus qu'une source d'authentification pour une seule règle, il a fallu
ajouter une séquence de source d'identité ou "Identity Source Sequence" permettant de vérifier
les identités en consultant les sources par ordre. La figure suivante montre la séquence définie
:
30 | Page
Chapitre 3 Réalisation
Figure 25: Définition de la séquence "Use_AD_then_local"
31 | Page
Chapitre 3 Réalisation
Il est possible de définir des règles avec des conditions simples ou composées. Une
condition simple est basée sur un opérande, un opérateur tels que "equal to" et "not equal to"
ainsi qu'une valeur. Ces conditions peuvent être définies au niveau de la librairie et appelées
directement lors de la définition de la règle pour une meilleure organisation. Une condition
composée rassemble deux conditions simples ou plus avec un opérateur OR ou AND. La figure
suivante montre le rassemblement de deux conditions existantes dans la librairie avec un
opérateur OR pour la règle "MAB".
La définition des règles repose sur les attributs du protocole RADIUS. Les attributs
constituent le principe le plus important du protocole Radius, aussi bien dans sa version
initiale que pour ses extensions. Les champs attributs sont le fondement du protocole. Par
conséquent, la bonne compréhension de leur signification et de leur rôle est indispensable pour
tirer le meilleur parti de Radius. Chaque attribut possède un numéro approprié, auquel est
associé un nom. Il existe un grand nombre d’attributs dans le protocole Radius, mais peu
d’entre eux sont utiles
32 | Page
Chapitre 3 Réalisation
Les services de posture fournis par Cisco ISE permettent de vérifie la disponibilité des
dernières mises à jour au niveau de la machine du client ou l'existence de certaines
applications tels que les anti-virus et les anti-spywares. Afin d'évaluer la machine, le client doit
disposer de l'un de ces deux Agents :
Cisco NAC Web Agent : un agent temporaire que les clients installent lors du login et
qui disparait une fois la session de login terminée. Il est recommandé pour des utilisateurs
ayant un accès pour une période bien déterminée.
Cisco NAC Agent : un agent persistant qui, une fois installé, subsiste sur une machine
Windows ou Mac pour permettre l'évaluation lors des prochaines
connexions. Il est
généralement utilisé avec les utilisateurs du domaine.
33 | Page
Chapitre 3 Réalisation
Par ailleurs, ces agents peuvent faciliter la remédiation des machines en affichant un
message expliquant la procédure et en fournissant des fichiers à télécharger et installer. La
plate- forme ISE donne la possibilité de rediriger les clients vers une page de téléchargement des
agents pour ceux qui n'en disposent pas et ce grâce à une option à configurer au niveau du
profil d’autorisation. Ce service est appelé "Client Provisioning". La figure qui suivra expose les
règles de "Client Provisioning" définies : la première fournit l'agent temporaire "Web Agent" aux
invités "Guests", alors que la deuxième fournit l'agent persistant aux autres utilisateurs qui
sont principalement les membres du domaine. Il est à préciser que l'ordre des règles est
primordial pour assurer une bonne affectation. Par exemple, en inversant l'ordre, tous les
utilisateurs téléchargeront l'agent persistant et la deuxième règle ne sera jamais appliquée.
Pour pouvoir choisir l'agent approprié, nous avons dû le télécharger directement sur la
plate-forme et ce à partir du site Cisco . Par conséquent, le nom de domaine cisco.com doit
être résolu à partir de l'ISE. La liste qui suit présente des versions multiples des deux types
d'agents NAC, temporaires et persistants.
Après avoir fourni les agents permettant l'évaluation de posture aux clients, nous
devons procéder à la phase de définition des règles de posture. Une règle s'écrit :
Si condition(s) alors exigence
Aussi, une exigence peut être décomposée comme suit :
Si condition(s) alors action de remédiation
34 | Page
Chapitre 3 Réalisation
Nous pouvons aussi former une condition composée à base de conditions simples ou
composées. En outre, des conditions composées intégrées avec l'ISE existent : Antivirus et
Antispywares. Lors de l'ajout d'une condition d'antivirus et après le choix du système
d'exploitation, la liste des vendeurs s'affiche :
Pour une telle condition, Cisco ISE donne la possibilité d'examiner la machine pour
vérifier l'existence de l'antivirus ou même la disposition d'une version récente. Ceci est réalisable
en analysant le fichier de définition de la version par les Agents NAC. En conséquence, les
versions reconnues par l'ISE doivent être mises à jour continuellement.
35 | Page
Chapitre 3 Réalisation
Comme l'entreprise Next Step IT est un revendeur des produits Mcafee, nous avons
opté pour l'utilisation de ce vendeur dans la définition de la règle. Tout utilisateur demandant
l'accès au réseau doit disposer d'une version de l'antivirus Mcafee.
Après avoir défini la condition d'antivirus, nous devons choisir l'action de remédiation.
Il est possible de permettre l'accès à des adresses IP bien définies servant à télécharger et
mettre à jour l'anti-virus tel que le site officiel de Mcafee et ce lors de la déclaration de la liste
d'accès (ACL), ou d'offrir le fichier exécutable directement. Dans notre cas, nous avons
importé le fichier d'installation de l'antivirus sur la plate-forme pour qu'il soit téléchargeable
directement.
36 | Page
Chapitre 3 Réalisation
La règle de posture définie exige la disposition d'un antivirus Mcafee pour tous les
utilisateurs de l'environnement Windows en faisant appel à celle qui vient d'être déclarée et
nommée "Mcafee".
Après avoir eu accès, un client peut désinstaller son anti-virus, ou d'une autre manière,
détourner la règle définie. Ceci nous oblige à revérifier la machine périodiquement. Dans
notre cas, nous avons appliqué une réévaluation régulière d'une heure comme décrit dans la
figure suivante.
37 | Page
Chapitre 3 Réalisation
3.4.3. Autorisation
Dans notre cas, nous avons besoin des attributs d'authentification et de posture ainsi
que des groupes d'utilisateurs. Afin de vérifier l'état de la machine par rapport à la règle de
posture, nous avons recours à l'attribut "PostureStatus" . Cet attribut peut avoir trois valeurs :
Unknown : aucune donnée n'a été obtenue pour évaluer la machine; l'agent NAC
n'est pas disponible
Noncompliant : la machine n'est pas conforme avec une ou plusieurs règles
Compliant : la machine est conforme avec les règles
38 | Page
Chapitre 3 Réalisation
Après avoir terminé la création des profils, nous pouvons définir les règles. Ces règles
autorisent l'accès aux utilisateurs authentifiés au domaine ou via le portail Web et ayant des
machines conformes aux règles de posture. Un utilisateur de domaine ne disposant pas de
l'agent
NAC ou non conforme avec les politiques de posture est redirigé vers la page de Client
Provisioning . Sinon, l'utilisateur est redirigé vers le portail Web incluant une phase de validation
de posture.
Dans cette partie, nous allons nous intéresser à la configuration du Switch qui
représente l'authentificateur pour les utilisateurs du réseau filaire. En effet, le commutateur
jouera le rôle d'intermédiaire entre le serveur RADIUS (ISE) et le client.
Tout au long de la mise en place de notre solution, nous avons travaillé avec trois
modèles différents, à savoir le Cisco Catalyst 3560, le Cisco Catalyst 3650 et le Cisco
Catalyst 2960 et ce selon la disponibilité de l'un ou de l'autre, autrement dit, selon les
différents besoins des employés de l'entreprise.
39 | Page
Chapitre 3 Réalisation
commutateur.
40 | Page
Chapitre 3 Réalisation
Il est à rappeler que des ports existant sur un commutateur peuvent fonctionner selon
différents modes. Dans les deux sections qui vont suivre nous allons évoquer, en premier lieu,
la configuration globale s'appliquant sur la totalité du Switch et en second lieu, nous procédons
à la configuration de l'interface.
La commande suivante dont nous avons besoin est dot1x system-auth-control servant à
activer le 802.1x pour tout le Switch. Après avoir activé le AAA et dot1x, il est nécessaire de
déclarer l'adresse du serveur RADIUS fournissant les services demandés ainsi qu'une clé
d’authentification. Cette déclaration est effectuée à l'aide de la commande radius-server host
172.25.0.200 key nextstep où 172.25.0.200 et nextstep représentent respectivement l'adresse IP
de Cisco ISE et la clé d'authentification entre le commutateur et le serveur, laquelle est
mentionnée lors de l'ajout du Switch à la liste des périphériques réseaux au niveau de l'ISE.
Les ordres d'application des ACLs au niveau des ports, d'affectation des interfaces aux
VLANs ou même de redirection vers des URLs émis du Cisco ISE au Switch, font appel à un
ensemble d'attributs avancés du protocole RADIUS nommés VSA (Vendor Specific Attribute)
. Ces attributs sont échangés lors de l'attribution des profils d'autorisation. Afin de bénéficier
de ces fonctionnalités, il est indispensable d'appliquer les commandes radius-server vsa
send accounting et radius-server vsa send authentication. La figure suivante représente
les différentes commandes citées précédemment, étant précisé que la commande de
41 | Page
Chapitre 3 Réalisation
déclaration du
42 | Page
Chapitre 3 Réalisation
serveur a été saisie deux fois, la première incluant l'adresse du nœud primaire alors que la seconde
inclut l'adresse du nœud secondaire.
Un utilisateur tentant d'accéder au réseau peut, en premier lieu, avoir un accès restreint
pour raison de non-conformité et ce avant d'avoir un accès plus étendu. Cela se traduit par
l'affectation de multiples profils d'autorisation pour une même session. Afin de supporter les
requêtes de changement du profil d'autorisation émanant de l'ISE, le CoA (Change of
Authorization) doit être activé au niveau du Switch à l'aide de la commande aaa server
radius dynamic-author. Aussi, l'adresse du serveur émettant les requêtes doit être spécifiée en
tapant la commande client <server ip-address> server-key <server-key string>.
43 | Page
Chapitre 3 Réalisation
Pour savoir quel trafic rediriger, Cisco ISE réfère à une liste d'accès déclarée au niveau du
Switch ; tout flux ayant comme réaction "permit" doit être redirigé . Il est à préciser que tout
trafic à rediriger autre que HTTP et HTTPS sera rejeté. Le tableau suivant expose les
différentes règles déclarées sous la liste d'accès :
44 | Page
Chapitre 3 Réalisation
Nous commençons par affecter l'interface au VLAN 340 utilisé pour le réseau local de
l'entreprise et la faire fonctionner en mode Access du moment qu'un PC sera directement
connecté.
Afin d'activer l'authentification 802.1X sur le port et interdire tout trafic sauf celui du
protocole EAPOL (Extensible Authentication Protocol over LAN), nous utilisons la
commande dot1x port-control auto. En combinant cette commande avec la commande
dot1x pae authenticator, le Switch devrait initier l'authentification dès le branchement du câble,
autrement dit, dès que l'interface change son état de "down" à "up".
Pour que l'authentification MAB (Mac Authentication Bypass) soit activée, il suffit de
taper la commande mab tout court.
A cet instant, les deux méthodes d'authentification sont activées et il nous reste à
favoriser le dot1x par rapport au MAB. Ceci est réalisable à l'aide la commande
authentication order dot1x mab.
45 | Page
Chapitre 3 Réalisation
Un WLC Cisco peut être déployé en tant qu'équipement ou sur une machine virtuelle
(virtual WLC). Dans ce projet, le contrôleur a été installé sur une machine ; un fichier ayant
l'extension .OVA, et téléchargé à partir du site officiel, a été importé sur le serveur de
l'entreprise. La figure suivante représente un WLC Hardware :
46 | Page
Chapitre 3 Réalisation
Le modèle de point d'accès utilisé est Cisco Aironet 1041N. Il a été branché sur une
prise RJ45 pour pouvoir communiquer avec le contrôleur installé sur le serveur.
Après lui avoir affecté une adresse IP et précisé l'adresse du WLC, le point d'accès est
automatiquement détecté au niveau du contrôleur grâce au protocole CAPWAP.
Les utilisateurs tentant de bénéficier de l'accès sans fil se classifient sous deux catégories,
les utilisateurs temporaires (ou visiteurs) et les utilisateurs persistants appartenant au domaine.
Cela se traduit par la diffusion de deux SSID différents ; chaque WLAN possède ses propres
politiques de sécurité.
Le premier SSID diffusé "PFE-NSIT" est dédié aux visiteurs, sur lequel nous devons
activer le filtrage par adresse MAC équivalent à l'authentification MAB. Bien que la machine
ne soit pas connue par l'ISE, elle sera considérée comme étant authentifiée avec l'option "If
user not found" configurée précédemment au niveau de la plate-forme.
47 | Page
Chapitre 3 Réalisation
L'activation de "Support for RFC 3576", comme indiqué dans la figure précédente, est
similaire à la commande aaa server radius dynamic-author saisie au niveau du Switch. En effet,
cette option permet d'accepter les requêtes de changement d'autorisation (CoA). Aussi, nous
précisons la clé secrète partagée entre l'ISE et le WLC.
Une fois le serveur d'authentification ajouté, il a fallu l'additionner à la configuration
de ce WLAN sous l'onglet "AAA Servers"; par défaut, l'authentification s'effectue
localement. La même configuration a été appliquée pour le serveur de comptabilité pour avoir
une traçabilité de l'utilisateur, comme mentionné sur la capture qui suit.
48 | Page
Chapitre 3 Réalisation
Aussi, et pour autoriser l'affectation dynamique des profils d'autorisation (CoA), nous
devions cocher la case "Allow AAA Override" et changer la valeur de NAC State à Radius NAC.
49 | Page
Chapitre 3 Réalisation
La même configuration est à reprendre avec le deuxième WLAN sauf que la politique
de sécurité qui doit être changée par WPA2-802.1X au lieu de Mac Filtering. Contrairement
au commutateur, une seule méthode d'authentification peut être activée sur un même WLAN.
Après avoir terminé la configuration des deux WLANs, et à l’instar de la liste d’accès
déclarée au niveau du Switch, nous devons ajouter une ACL permettant de préciser le type de
trafic à rediriger, étant précisé que les entrées doivent être déclarées inversement au Switch ;
50 | Page
Chapitre 3 Réalisation
une règle « permit » est remplacée par « deny » et vice versa. Nous n’avons pas eu recours à
additionner une règle pour le trafic DHCP tant qu’il est autorisé par défaut.
3.7. Conclusion
Tout au long de ce troisième chapitre, nous avons essayé d'aborder les configurations
nécessaires des différents éléments constituant notre solution et ce, en alternant entre la
citation des principes de fonctionnement et celle des configurations appliquées, tout en
illustrant avec les figures explicatives.
Bien que la solution soit configurée et mise en place, une phase de test est
indispensable afin de valider le comportement des différents composants vis-à-vis des
machines tentant d'accéder au réseau.
51 | Page
CHAPITRE 4 :
TEST ET VALIDATION
Chapitre 4 Test et validation
4.1. Introduction
Une fois la solution mise en place, nous procédons à la phase de test dans le but de
nous assurer du bon fonctionnement des équipements et de la configuration. La vérification
consiste à essayer de se connecter, aux réseaux filaire et sans fil, avec des scénarios différents
et ce, en variant la méthode d'authentification et en faisant intervenir des machines avec des
états de "santé" divers.
4.2.Réseau filaire
Le premier test à effectuer nous permettra de nous garantir du bon déroulement de
l’authentification au domaine et de la validation de posture pour un utilisateur du réseau câblé.
Par défaut sur un système Windows, l’authentification 802.1X est désactivée sur les cartes
réseau Ethernet. Par conséquent, nous devons ajouter et démarrer le service « Configuration
automatique de réseau câblé », responsable de l’exécution de l’authentification IEEE 802.1X
sur les interfaces Ethernet.
Après avoir lancé "services.msc" et cliqué sur le service correspondant, la fenêtre suivante
s'affiche pour démarrer le service .
50 | Page
Chapitre 4 Test et validation
Dès le branchement du câble sur l’interface Ethernet, une fenêtre s’affiche demandant
de saisir le nom d’utilisateur et le mot de passe pour s’authentifier au niveau du domaine
du moment que les données de la session existante ne sont pas automatiquement utilisées.
Après avoir saisi les données du compte utilisateur, et en essayant d’accéder à la page
http://www.google.fr , nous nous sommes trouvés redirigés vers la page de "Client
Provisioning" fournissant l’Agent NAC persistant.
51 | Page
Chapitre 4 Test et validation
Le deuxième test que nous effectuons consiste à vérifier l'authentification MAB . Pour
le faire, nous désactivons l'authentification 802.1X sur l'interface pour que l'authentification
par adresse MAC soit automatiquement utilisée.
52 | Page
Chapitre 4 Test et validation
Pour nous assurer de la bonne affectation du profil d'autorisation, nous pouvons avoir
recours au commutateur et utiliser la commande show authentication session interface
GigabitEthernet1/0/23 detail. Les résultats affichés dans la section Server Policies confirment
le téléchargement de l'URL de redirection à partir de l'ISE et l'utilisation de l'ACL adéquat
pour connaître quel trafic doit être redirigé.
53 | Page
Chapitre 4 Test et validation
Après avoir tapé les coordonnées, nous sommes redirigés vers la page de CCP (Client
Provisioning Portal) pour télécharger l'agent NAC. Une fois installé, cet Agent nous indique
que notre accès au réseau est restreint pour raison de non-conformité tel qu'il est montré sur la
figure et nous suggère la réparation de la machine pour avoir un accès complet.
54 | Page
Chapitre 4 Test et validation
Comme nous l'observons sur la figure précédente, un lien d'inscription est disponible.
Le mot de passe du compte "Guest" est généré aléatoirement alors que son nom d'utilisateur se
génère à partir du nom et du prénom . Aussi, une version mobile du portail invité est fournie :
Nous pouvons aussi désactiver l'enregistrement automatique des membres sur le portail et
nous limiter à la création des comptes via le portail responsable ou "Sponsor", lequel est
accessible au lien suivant : https://172.25.0.200:8443/sponsorportal/. L'authentification sur
55 | Page
Chapitre 4 Test et validation
ce portail s'est effectué avec un compte utilisateur créé au niveau de la plate-forme et doté des
privilèges d'un "sponsor".
Lors de la création du compte, nous devons choisir la durée de vie du compte en lui
affectant un des profils existants sur la plate-forme . Dans l'exemple qui suit, le compte sera
actif durant une période de huit heures.
Figure 72: Création d'un compte Guest d'une durée de huit heures
56 | Page
Chapitre 4 Test et validation
Nous avons testé de nouveau et ce après avoir installé l'antivirus Mcafee. L'agent NAC
nous a présenté un accès plus étendu au réseau, comme mentionné sur la figure ci-dessous.
57 | Page
Chapitre 4 Test et validation
D'autres détails sont aussi disponibles au niveau du log de Cisco ISE, tels que les
attributs VSA échangés avec le WLC et précisant l'ACL et l'URL de redirection, ainsi que
l'attribut Called-Station-ID mentionnant l'adresse MAC du point d'accès et le SSID associé.
4.4.Conclusion
Cette partie du rapport était consacrée à l'essai de la solution avec différents scénarios afin
de prouver son bon fonctionnement et son efficacité et ce, en essayant de connecter une
machine au réseau, ou encore en se référant aux services disponibles au sein des composants,
tel que le système de journalisation de la plate-forme Cisco ISE.
58 | Page
Conclusion et perspectives
Dans le cadre de ce projet réalisé au sein de l'entreprise Next Step IT, et partant d’un
souci de sécurité et d’un besoin de protection des ressources critiques et vitales d'une manière
permanente, nous avons mis en place une solution de contrôle d'accès relative aux réseaux
filaire et sans fil. La solution est encore plus nécessaire quand on sait que, dans certains
établissements, le nombre d’utilisateurs qui sollicitent fréquemment le réseau est très
important.
La solution adoptée, lors de la réalisation du projet, s'appuie sur des produits propriété
Cisco : le point d'accès, le commutateur, le contrôleur du réseau local sans fil (WLC) ainsi
que la plate-forme ISE représentant la dernière génération des plates-formes de contrôle
d'accès proposées par Cisco, étant précisé que l'entreprise Next Step IT est spécialiste
d'intégration de solutions d'infrastructure réseau reposant essentiellement sur les équipements
Cisco.
Une fois déployée, la solution a permis de réagir, en temps réel, à toute tentative de
connexion au réseau par référence aux politiques de sécurité prédéfinies au niveau de la plate-
forme Cisco ISE. En effet et en premier lieu, l'utilisateur est appelé à s'authentifier en
présentant son compte utilisateur et le mot de passe associé au cas où il appartient au domaine,
sinon et s'il s'agit d'un utilisateur invité, il s'authentifie à travers un portail Web en s'y
inscrivant temporairement ou bien il obtient un compte créé par le responsable et autorisant
aussi un accès momentané. L’étape qui suit la vérification de la légitimité de l'utilisateur est celle
de la validation de l'état des machines ; chacune doit disposer de l'antivirus Mcafee. Dans le
cas contraire, l'utilisateur bénéficie d'une période de grâce, au cours de laquelle, un fichier de
remédiation lui est offert afin de pouvoir accéder.
Cisco Systems Description de la gamme Cisco NAC [En ligne]. - 2006. - 4 Février 2015.
Enterasys Secure Networks Network Access Control (Contrôle d’accès au réseau) [En ligne]. -
2007. - 2 Mars 2015.
Juniper Networks Unified Access Control [En ligne]. - Novembre 2011. - 15 Mars 2015.
LANDESK Centre d'aide Compréhension des composants NAC de base Centre d'aide
LANDESK [En ligne] // site Web LANDESK Help Center. - 2013. - 12 Mars 2015. -
https://help.landesk.com/Topic/Index/FRA/LDMS/9.5/Content/Windows/nac_c_basic_com
ponents.htm.
Marcotte Ludovic PacketFence 4.1 : une solution BYOD/NAC dans la cour des grands [En
ligne] // Linuxfr. - 17 Décembre 2013. - 22 Mars 2015. - http://linuxfr.org/news/packetfence-
4- 1-une-solution-byod-nac-dans-la-cour-des-grands.
Microsoft Protection d’accès réseau (NAP) [En ligne] // Microsoft. - Janvier 2008. - 12 Mars
2015. - https://technet.microsoft.com/fr-fr/library/cc753550%28v=ws.10%29.aspx.
Vincent REMAZEILLES La sécurité des réseaux avec Cisco [Livre]. - [s.l.] : Editions ENI,
2009. - p. 40.
61 | Page
Glossaire
AAA (Authentication, Authorization, Accounting) : AAA correspond à un protocole qui réalise trois
fonctions : l'authentification, l'autorisation, et la traçabilité
ACL (Access Control List) : les ACLs servent principalement au filtrage des paquets sur les interfaces
physiques
CPP (Client Provisioning Portal) : portail appartenant à la plate-forme ISE et permettant de fournir
les Agents NAC
CWA (Central Web Authentication) : portail Web qui permet aux utilisateurs de s'inscrire et de
s'authentifier. Aussi, elle peut inclure la validation de posture (CPP).
DHCP (Dynamic Host Configuration Protocol) : permet, à partir d'un serveur, de télécharger la
configuration réseau vers un ordinateur (adresse IP, paramètre TCP/IP, etc.)
DNS (Domain Name System) : service de noms reposant sur des serveurs et permettant de convertir
un nom en une adresse IP
FQDN (Fully Qualified Domain Name) : est un nom de domaine qui révèle la position absolue d'un
nœud dans l'arborescence DNS en indiquant tous les domaines de niveau supérieur jusqu'à la racine
MAB (Mac Authentication Bypass) : authentification de niveau 2 basée sur les adresses MAC et
fournie par Cisco
MAC (Medium Access Control) : couche logicielle qui a pour rôle de structurer les bits
d'information en trames adaptées au support physique et de gérer les adresses physiques des cartes
réseaux (Adresses MAC)
62 | Page
Glossaire
NAS (Network Access Server) : client RADIUS faisant office d'intermédiaire entre l'utilisateur final et le
serveur
NTP (Network Time Protocol) : protocole permettant de synchroniser l'horloge d'une machine sur une
référence d'horloge
PAP (Password Authentication Protocol) : protocole d'authentification pour PPP. Les données sont
transmises en texte clair sur le réseau ce qui le rend par conséquent non sécurisé.
PPP (Point-to-Point Protocol) : protocole de la couche liaison utilisé sur les lignes série téléphoniques
ou spécialisées
RSA (River Shamir et Adelman) : algorithme de chiffrement à clés publiques et à clés secrètes portant le
nom de ses concepteurs.
TACACS+ : version plus récente du protocole TACACS (protocole AAA fourni par Cisco)
TLS : protocole qui garantit la confidentialité entre les applications communicantes et leurs utilisateurs sur
Internet.
UDP (User Datagram Protocol) : équivalent de TCP mais en mode non connecté, sans les
mécanismes de contrôle de flux, de reprise sur erreur et autres options
VLAN (Virtual Local Area Network) : ce mécanisme permet de créer plusieurs réseaux virtuels au
sein d’un même réseau physique et d’allouer des configurations spécifiques pour chaque réseau virtuel
créé
VMware ESXi : hyperviseur développé par VMware et permettant de déployer des machines virtuelles
VPN (Virtual Private Network) : technique qui simule un réseau privé dans un réseau public dans le but
d'offrir plus de sécurité
VSA (Vendor Specific Attributes) : RADIUS est extensible; de nombreux fournisseurs de matériels et
de logiciels RADIUS mettent en œuvre leurs propres variantes en utilisant des attributs VSA
WLC (Wireless LAN Controller) : permet de gérer le réseau local sans fil en contrôlant les points
d'accès, gérant les interférences, assurant le handover, etc.
63 | Page