Académique Documents
Professionnel Documents
Culture Documents
L’Intelligence Digitale
Statut du
Version 01 Diffusion
document
METHODOLOGIE DE DEPLOIEMENT
DE LA SOLUTION CISCO ISE
INFORMATIQUE - TRANSMISION – TELECOMMUNICATION
L’Intelligence Digitale
SOMMAIRE
L’Intelligence Digitale
1. OBJECTIF DU PROJET
- Centraliser et unifier la gestion des politiques d'accès réseau pour offrir un
accès sécurisé et cohérent aux utilisateurs, qu'ils se connectent à au réseau via
une connexion filaire ou sans fil.
- Profiter d'une plus grande visibilité et d'une identification plus précise des
terminaux.
- La gestion simple et efficace des invités se connectant sur le réseau grâce à un
portail captif
- L'authentification des utilisateurs du Domain en se référant au standard 802.1X
- La vérification de la conformité des postes présents sur le réseau (présence
d’anti-virus, utilisateur du domaine …).
2. RESUME
Tout réseau informatique et particulièrement un réseau d'entreprise devrait
demeurer sain. Chaque administrateur est censé authentifier, autoriser, évaluer et
corriger les équipements filaires, sans fil et distants, avant de donner à leurs
utilisateurs un accès au réseau. Aussi, le responsable doit reconnaître les utilisateurs,
leurs appareils et leurs rôles sur le réseau. Cette première étape intervient au niveau
de la phase d'authentification, avant que d'éventuels codes malveillants puissent
endommager le système. Dans une seconde étape, la sûreté du réseau requiert la
vérification de la conformité des machines avec les politiques de sécurité. Ces
politiques dépendent du type d'utilisateur, du type d'équipement ou du système
d'exploitation. En cas de non-conformité, des réactions peuvent en résulter :
blocage, isolation et réparation. Le déploiement d'une solution NAC (Network
Admission Control ou Network Access Control), Cisco ISE (Identity Services Engine)
permettra à l'administrateur de bénéficier de l'ensemble de ces fonctions d'une
manière plus efficace et plus performante
L’Intelligence Digitale
3. REALISATION
Nous configurons différents vlan au niveau des switch, ainsi nous aurons
Pour les utilisateurs ne faisant pas partir du contrôleur de Domain (invité), seront
redirigé vers un portail captif, ou ils recevront les accès par l’administrateur en
charge
L’Intelligence Digitale
La machine contenant la plate-forme ISE est appelée "node". Elle peut fonctionner
selon deux modes
Pour assurer la haute disponibilité, nous avons opté pour la mise en place de deux
plates-formes ISE. Leur intégration nécessite une authentification mutuelle basée sur
les certificats : chacune possède son propre certificat, lequel doit être généré par
l'autorité de certification (Certificate Authority). Dans notre cas, l'autorité est
représentée par le contrôleur de domaine. La génération du certificat est offerte par
le service de certificats Active Directory.
INFORMATIQUE - TRANSMISION – TELECOMMUNICATION
L’Intelligence Digitale
Dans cette partie nous allons nous intéresser à l’ajout d’équipement réseaux dans
L’ISE, l’intégration se fait avec l’aide des informations spécifiques à l’authentificateur
(switch) tels que le hostname et l’adresse du switch. En effet le commutateur jouera
le rôle d’intermédiaire entre le Serveur RADIUS (ISE) et le client.
- Utilisateurs Internes
- Utilisateurs “Guest“ (groupe d’utilisateurs défini sur la plate-forme)
- Active Directory
- 802 .1X ou DOT1X : est utilisé sur un équipement tel que le commutateur
(Switch), l'utilisateur connectant son ordinateur au réseau (filaire ou sans fil) est
obligé de s'authentifier avant d'entamer toute activité. Cette règle sert a
authentifier les comptes utilisateurs, en premier lieu à partir du contrôleur
Active directory, puis à partir d’une liste interne.
En cas d’échec il pourrait s’agir d’une erreur d’intégration à l’Active directory
ou d’une erreur au niveau de l’authentification en se référant au domaine.
- MAC authentication Bypass (MAB) : Certains périphériques tels que
l’imprimante, camera IP, IP phone ne supportant pas l’authentication
802.1X .Dans ce cas, elle pourra être effectuée en se référant à l’adresse
MAC.
- L’authentication Web via un portail captif : portail utilisé pour l’authentification
des Invitées
L’Intelligence Digitale
La stratégie d'autorisation définit les niveaux d'accès au réseau et les services à livrer
à un terminal basé sur l'état de posture. Les terminaux considérés non conformes
avec la stratégie de posture peuvent être mis en quarantaine jusqu'à ce qu'ils
deviennent conformes. Par exemple, une stratégie typique d'autorisation peut limiter
l'accès au réseau d'un utilisateur pour correction seulement. Si la correction par
l'agent ou l'utilisateur final est réussie, alors la stratégie d'autorisation peut accorder
l'accès au réseau privilégié à l'utilisateur. La stratégie est imposée avec l'affectation
dynamique VLAN.
Les utilisateurs invités auront pour accès l’internet et rien d’autre ainsi nous
configurons des DACL pour ses comptes
INFORMATIQUE - TRANSMISION – TELECOMMUNICATION
L’Intelligence Digitale