2. Architecture d'un réseau utilisant NAP
Nous allons étudier ici les différents composants nécessaires à l'établissement d'un réseau NAP.
Nous procéderons en trois parties, l'architecture d'un réseau NAP, puis nous détaillerons les composants internes du serveur NAP et du client NAP.
2.1 Architecture du réseau
Un réseau utilisant Microsoft Network Access Protection fait appel à divers éléments pour fonctionner.
Ces éléments sont semblables à beaucoup de réseau actuel, à savoir :
- un serveur DHCP : il lui reviendra la charge d'attribuer des adresses IP aux clients du réseau
- un serveur Active Directory : il permettra aux clients de confirmer leurs identifications
- un serveur VPN (Virtual Private Network) : il permet la connexion au réseau local de clients distants par l'intermédiaire d'Internet
- un serveur IAS (Internet Authentification Service) : il est en charge de gérer la stratégie d'accès réseau des clients DHCP ou VPN
- un serveur de certificat d'état : il est chargé d'émettre des certificats pour les clients NAP sains
- un réseau restreint
Ces services sont généralement présents dans les entreprises. Cependant, on remarque que NAP nécessite en plus un réseau restreint.
Ce réseau restreint devrait donc contenir des serveurs permettant aux clients de se mettre en conformité avec la politique de sécurité de l'intranet.
Par exemple si l'administrateur refuse les clients n'ayant pas installés les dernières mises à jour de Microsoft pour Windows, un serveur contenu dans cette zone restreinte lui permet de les mettre à jour. On pourra procéder de la même façon avec les définitions de virus par exemple.
- Réseau utilisant la technologie NAP
-
Sur un réseau utilisant la technologie NAP , nous pouvons trouver différents types de machines :
- serveur NAP : utilisant Windows Server Longhorn, il gère l'application de l'accès réseau restreint
- serveur IAS : utilisant Windows Server Longhorn, il est chargé d'appliquer la stratégie système (sur de petit réseau, il peut être inclut sur le serveur NAP)
- serveur de stratégie (serveur de remède) : contient les mises à jour pour la mise en conformité des clients NAP présent dans le réseau restreint
- serveur de certificat d'état : utilisant Windows Server Longhorn, il émet des certificats d'état (IPsec) aux clients NAP
- client NAP : fonctionnant sous Windows XP Service Pack 2
En résumé, un réseau NAP est un réseau proche d'un réseau standard disposant en plus d'une zone restreinte équipée de serveur de mise en conformité des clients.
2.2 Composition du serveur NAP
Deux possibilités sont prévues en ce qui concerne le serveur NAP, qui est destiné à fonctionner sous Microsoft Windows Server 2003 :
- le serveur NAP est couplé à un serveur IAS
- le serveur NAP dispose de son propre service IAS
La méthode la plus simple dans le cas d'un seul serveur NAP et IAS est d'intégrer ce dernier sur le serveur NAP. Cela permet de n'utiliser qu'une machine au lieu de deux. Cependant, cette méthode présente un inconvénient puisque dans le cas de l'utilisation de plusieurs serveurs NAP, il faudra les configurer séparément avec les règles d'accès réseau de votre entreprise.
D'une manière générale, il est plus intéressant de choisir d'intégrer le service IAS sur le serveur NAP lorsqu'un seul serveur NAP est installé dans l'entreprise. Da utilisant Windows Server Longhornns le cas contraire, pour simplifier l'administration, il est judicieux de configurer un serveur IAS auquel les différents serveurs NAP feront appel.
- Le serveur se compose de plusieurs couches
-
Le serveur d'application de quarantaine (QES pour Quarantine Enforcement Server) :
QES est chargé de récupérer l'état d'un client NAP puis de le transmettre à IAS pour évaluation. En cas de refus, QES peut gérer l'accès au réseau restreint au client NAP.
Initialement il existe deux types de QES, étant tout deux une nouvelle fonctionnalité à leur service respectif :
- le QES DHCP : il utilise les messages DHCP pour communiquer entre les clients NAP et le service QEP DHCP. De nouvelles options DHCP sont disponibles pour paramétrer l'accès réseau restreint
- le QES VPN : il utilise l'encapsulation EAP (Extensible Authentification Protocol) RADIUS pour transmettre l'état du client NAP au service QEP VPN. L'implémentation est réalisée par le biais du filtrage des paquets IP.
Le serveur IAS RADIUS :
Le serveur IAS RADIUS de Windows Server Longhorn a été mis à jour pour intégrer directement le serveur de quarantaine, l'API SHV ainsi que les SHV pouvant être installés.
Ce serveur est chargé de l'authentification du client NAP.
Le serveur de quarantaine :
Il est chargé de collecter la liste de SoH transmise par IIS, puis de les distribuer au SHV concerné.
Inversement il récupère les SoHResponse envoyé par les SHV puis les transmet à IAS pour évaluation.
Le validateur de l'état du système (SHV pour System Health Validator) :
SHV est chargé de vérifier que les informations SoH sont conformes aux valeurs requises. Il renvoi alors une SoHResponse.
2.3 Composition du client
| Un client NAP dispose de Microsoft Windows XP équipé du Service Pack 2 mais aussi de composants supplémentaires.
Le client d'application de quarantaine (QEC pour Quarantine Enforcement Client) :
Comme pour les QES il existe différents types de QEC, qui dépendent du type d'accès réseau utilisé.
Initialement sont présent deux types de QEC :
L'agent de quarantaine :
Conserve une liste à jour de l'état actuel du client NAP. Il facilite aussi la communication entre les QEC et les SHA.
L'agent de l'état du système (SHA pour System Health Agent) :
Un SHA est un composant additionnel qui définit des exigences et qui peut-être fourni aussi bien par
Microsoft que par un tierce éditeur.
|
- Le client se compose de plusieurs couches
-
|
 Introduction
1. Présentation de NAP
1.1 Qu'est-ce que NAP ?
1.2 Exemples de solutions
1.3 Partenaires et collaborations
2. Architecture d'un réseau utilisant NAP
2.1 Architecture du réseau
2.2 Composition du serveur NAP
2.3 Composition du client
3. Fonctionnement de NAP
3.1 NAP en DHCP
3.2 NAP en VPN
3.3 NAP avec utilisation d’un certificat d’état
Conclusion
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Décrouvrez Network Acces Protection : NAP
