INFORMATIQUE - TRANSMISION – TELECOMMUNICATION

ENERGIE – CABLAGE INFORMATIQUE ET ELECTRIQUE

L’Intelligence Digitale

ASSEMIAN NOEL ARMAND Date création :

Auteur 11/05/2020
NICOLAS COMPAORE

Relecteur(s) ANGE AYITE Date validation :

Statut du
Version 01 Diffusion
document

METHODOLOGIE DE DEPLOIEMENT
DE LA SOLUTION CISCO ISE
INFORMATIQUE - TRANSMISION – TELECOMMUNICATION

ENERGIE – CABLAGE INFORMATIQUE ET ELECTRIQUE

L’Intelligence Digitale

SOMMAIRE

1. OBJECTIF DU PROJET ....................................... 3

2. RESUME ................................................................ 3
3. REALISATION ....................................................... 4
INFORMATIQUE - TRANSMISION – TELECOMMUNICATION

ENERGIE – CABLAGE INFORMATIQUE ET ELECTRIQUE

L’Intelligence Digitale

1. OBJECTIF DU PROJET
- Centraliser et unifier la gestion des politiques d'accès réseau pour offrir un
accès sécurisé et cohérent aux utilisateurs, qu'ils se connectent à au réseau via
une connexion filaire ou sans fil.
- Profiter d'une plus grande visibilité et d'une identification plus précise des
terminaux.
- La gestion simple et efficace des invités se connectant sur le réseau grâce à un
portail captif
- L'authentification des utilisateurs du Domain en se référant au standard 802.1X
- La vérification de la conformité des postes présents sur le réseau (présence
d’anti-virus, utilisateur du domaine …).

2. RESUME
Tout réseau informatique et particulièrement un réseau d'entreprise devrait
demeurer sain. Chaque administrateur est censé authentifier, autoriser, évaluer et
corriger les équipements filaires, sans fil et distants, avant de donner à leurs
utilisateurs un accès au réseau. Aussi, le responsable doit reconnaître les utilisateurs,
leurs appareils et leurs rôles sur le réseau. Cette première étape intervient au niveau
de la phase d'authentification, avant que d'éventuels codes malveillants puissent
endommager le système. Dans une seconde étape, la sûreté du réseau requiert la
vérification de la conformité des machines avec les politiques de sécurité. Ces
politiques dépendent du type d'utilisateur, du type d'équipement ou du système
d'exploitation. En cas de non-conformité, des réactions peuvent en résulter :
blocage, isolation et réparation. Le déploiement d'une solution NAC (Network
Admission Control ou Network Access Control), Cisco ISE (Identity Services Engine)
permettra à l'administrateur de bénéficier de l'ensemble de ces fonctions d'une
manière plus efficace et plus performante

La plate-forme ISE peut être considérée comme étant un système de contrôle

d'accès consolidé, à base de règles et intégrant un sur-ensemble de fonctionnalités
disponibles dans les plates-formes existantes. Parmi ses caractéristiques, on peut citer
:
INFORMATIQUE - TRANSMISION – TELECOMMUNICATION

ENERGIE – CABLAGE INFORMATIQUE ET ELECTRIQUE

L’Intelligence Digitale

- Fournit un support pour la découverte, le profilage "profiling", le placement à

base de règles et le suivi des périphériques d'extrémité sur le réseau.
- Combine l'authentification, l'autorisation, la traçabilité (AAA : authentication,
authorization, accounting), l'évaluation de posture et le profilage en une
seule application.
- Prend en charge l'évolutivité nécessaire pour soutenir un certain nombre de
scénarios de déploiement, du petit bureau aux grands environnements
d'entreprise.

3. REALISATION

La mise en place de plate-forme ISE et la définition des politiques de sécurité

dépendent de l'architecture et de la nature du réseau à protéger, tels que type
d’utilisateurs, équipements déployés et sous-réseaux existants. Tout au long du
déploiement, nous nous attarderons sur les différentes configurations requises pour
assurer le contrôle d'accès des utilisateurs des réseaux filaire. Ceci revient
essentiellement à paramétrer la plate-forme ISE, les commutateurs, et le contrôleur
du domaine, le principe est de permettre aux utilisateurs voulant accéder au réseau
de l’entreprise d’être confronter à une série de vérification de la machine.

Nous configurons différents vlan au niveau des switch, ainsi nous aurons

- un vlan Assignment (vlan utilisé pour la phase d’authenticité et d’autorisation

de l’utilisateur après vérification, l’utilisateur sera redirigé dans son vlan de
destination.)
- un vlan pour utilisateurs,
- un vlan quarantaine (vlan dédié aux utilisateurs jugés non conforme par l’ISE,
n’ayant accès a aucune ressource à part les serveurs dédié pour leur mise à
niveau ex : serveur de mise à jour ou d’antivirus). permet grâce aux différentes
politiques d'empêcher l'accès au réseau à un terminal ou de limiter cet accès
à ce terminal. La mise en quarantaine déplace un terminal de son VLAN
Assignment vers un VLAN de mise en quarantaine

Pour les utilisateurs ne faisant pas partir du contrôleur de Domain (invité), seront
redirigé vers un portail captif, ou ils recevront les accès par l’administrateur en
charge

STEP1 : Installation et intégration de deux plates-formes Cisco ISE

INFORMATIQUE - TRANSMISION – TELECOMMUNICATION

ENERGIE – CABLAGE INFORMATIQUE ET ELECTRIQUE

L’Intelligence Digitale

Lors du premier démarrage de la machine, certaines données sont saisies pour

commencer l’installation, parmi lesquelles nous pouvons citer

 Nom de la machine lequel, sera ajouté aux DNS et Active directory

 adresse privée de la machine
 masque de sous-réseau
 passerelle par défaut
 nom du domaine
 adresse IP du serveur NTP permettant de synchroniser l’horloge de la
plateforme. Cette adresse correspond à un server NTP publique

La machine contenant la plate-forme ISE est appelée "node". Elle peut fonctionner
selon deux modes

 Standalone : déploiement d'une seule plate-forme assurant les différents

services

Primaire-secondaire : déploiement distribué, permettant la séparation des services et

le basculement "failover" entre les deux nœuds

STEP 2 : Jointure des deux plates-formes au contrôleur Active Directory

L'intégration du contrôleur avec la plate-forme ISE sera utile lors de la phase

d'authentification. En effet, l'authentification peut être effectuée à partir d'une
source externe et ce en s'appuyant sur les comptes utilisateurs et leurs groupes
respectifs. La plate-forme doit être reconnue au niveau du contrôleur comme étant
une machine. Son FQDN doit aussi être résolu. Ceci nous conduit à ajouter un hôte
au niveau du serveur DNS, sinon une alerte s'affichera sur la plate-forme.

STEP 3 : Configuration des certificats

Pour assurer la haute disponibilité, nous avons opté pour la mise en place de deux
plates-formes ISE. Leur intégration nécessite une authentification mutuelle basée sur
les certificats : chacune possède son propre certificat, lequel doit être généré par
l'autorité de certification (Certificate Authority). Dans notre cas, l'autorité est
représentée par le contrôleur de domaine. La génération du certificat est offerte par
le service de certificats Active Directory.
INFORMATIQUE - TRANSMISION – TELECOMMUNICATION

ENERGIE – CABLAGE INFORMATIQUE ET ELECTRIQUE

L’Intelligence Digitale

STEP 4 : Ajouts des équipements Réseaux (Switch, firewall)

Dans cette partie nous allons nous intéresser à l’ajout d’équipement réseaux dans
L’ISE, l’intégration se fait avec l’aide des informations spécifiques à l’authentificateur
(switch) tels que le hostname et l’adresse du switch. En effet le commutateur jouera
le rôle d’intermédiaire entre le Serveur RADIUS (ISE) et le client.

STEP 5 : Configurations des profils d’authentifications

Les politiques d'authentification à définir au niveau de l'ISE servent à identifier les

différents utilisateurs ou machines demandant l'accès au réseau et ce en s'appuyant
sur un ensemble de protocoles. Lors de l'ajout de la règle, nous devons choisir les
protocoles permis pour une telle méthode d'authentification et la source des
identités (Identity Store).

Les sources qui peuvent être utilisées sont

- Utilisateurs Internes
- Utilisateurs “Guest“ (groupe d’utilisateurs défini sur la plate-forme)
- Active Directory

Trois méthodes d’authentifications sont supportées par L’ISE :

- 802 .1X ou DOT1X : est utilisé sur un équipement tel que le commutateur
(Switch), l'utilisateur connectant son ordinateur au réseau (filaire ou sans fil) est
obligé de s'authentifier avant d'entamer toute activité. Cette règle sert a
authentifier les comptes utilisateurs, en premier lieu à partir du contrôleur
Active directory, puis à partir d’une liste interne.
En cas d’échec il pourrait s’agir d’une erreur d’intégration à l’Active directory
ou d’une erreur au niveau de l’authentification en se référant au domaine.
- MAC authentication Bypass (MAB) : Certains périphériques tels que
l’imprimante, camera IP, IP phone ne supportant pas l’authentication
802.1X .Dans ce cas, elle pourra être effectuée en se référant à l’adresse
MAC.
- L’authentication Web via un portail captif : portail utilisé pour l’authentification
des Invitées

STEP 5 : Configurations des règles d’autorisations basées sur la posture et le client

provisionning
INFORMATIQUE - TRANSMISION – TELECOMMUNICATION

ENERGIE – CABLAGE INFORMATIQUE ET ELECTRIQUE

L’Intelligence Digitale

La stratégie d'autorisation définit les niveaux d'accès au réseau et les services à livrer
à un terminal basé sur l'état de posture. Les terminaux considérés non conformes
avec la stratégie de posture peuvent être mis en quarantaine jusqu'à ce qu'ils
deviennent conformes. Par exemple, une stratégie typique d'autorisation peut limiter
l'accès au réseau d'un utilisateur pour correction seulement. Si la correction par
l'agent ou l'utilisateur final est réussie, alors la stratégie d'autorisation peut accorder
l'accès au réseau privilégié à l'utilisateur. La stratégie est imposée avec l'affectation
dynamique VLAN.

Politique de posture aura pour vérification sur les machines utilisateur,

- La vérification d’un Antivirus ou anti-malware bien précis et ses mises jours

- La vérification et les mises à jour de l’OS
- L’utilisation d’un disque amovible (l’utilisateur disposant d’une clé USB inséré
sur sa machine, n’aura donc pas accès au réseau de l’entreprise)

Afin d'exécuter l'estimation de posture d'un terminal, il est nécessaire de le ravitailler

avec un agent. Les agents sont des applications qui résident sur les machines
clientes se connectant au réseau Cisco ISE. Dans notre cas nous allons procéder à
une configuration par GPO poussant ainsi l’agent persistant (Anyconnect) sur
chaque poste utilisateur.

Les agents peuvent être persistants ou temporels. Les agents persistants

(Anyconnect) sont installés sur l'équipement et se chargent chaque fois qu'un nouvel
utilisateur se connecte. Les agents temporels (temporal agent) quant à eux, sont
basés sur le Web et sont dynamiquement téléchargés sur le client (invité) pour
chaque nouvelle session.

L'agent web (temporel) est retiré du client après l'ouverture de la session

Step 6 : configuration Portail captif

Nous aurons deux types de portails captil,

- Le sponsor portail : portail utilisé par l’administrateur pour la gestion des

comptes invités
- Et le portail Invité : portail de redirection pour les utilisateurs dit invité

Les utilisateurs invités auront pour accès l’internet et rien d’autre ainsi nous
configurons des DACL pour ses comptes
INFORMATIQUE - TRANSMISION – TELECOMMUNICATION

ENERGIE – CABLAGE INFORMATIQUE ET ELECTRIQUE

L’Intelligence Digitale

Step 7 : Device Admin

La gestion des accès au équipement sera gérer par le CISCO ISE couplé au
contrôleur de domaine ainsi les utilisateurs ayant droit au accès doivent être
membre du domaine et appartenir à un groupe d’admin déclaré dans l’AD

Nous mode de gestion

- Radius : Pour les équipements non CISCO

- Et TACAS : pour la gestion des switch cisco
-

Step 8 : Configuration des Backup

Configuration des sauvegardes sur un serveur

- Installation du rôle « Serveur IIS » sur le serveur

- Création de répertoire sur le dossier mappé au Cisco ISE ainsi nous aurons des
sauvegardes automatiques, ainsi que les Schedule Nous avons choisi une
fréquence mensuelle pour l’exécution des BACKUP