3. Fonctionnement de NAP
La technologie NAP permet de filtrer les machines provenant :
- se connectant au réseau local (DHCP)
- se connectant à distance (VPN : Virtual Private Network)
- se connectant au réseau local avec ou sans DHCP, par l'intermédiaire de certificat d'état (IPSec)
- Les trois modes gérés par NAP -
Dans les parties suivantes, nous allons étudier le fonctionnement de NAP dans le cas d'une connexion DHCP, puis d'une connexion VPN et enfin dans le cas d'utilisation d'une autorité de certification.
Listes de abréviations utilisés ci-après :
- NAP : Network Access Protection
- DHCP : Dynamic Hosts Configuration Protocol
- VPN : Virtual Private Network
- IAS : Internet Authentification Service
- QEC : Quarantine Enforcement Client
- QES : Quarantine Enforcement Server
- SHA : System Health Agent
- SHV : System Health Validator
3.1 NAP en DHCP
Fonctionnement du DHCP avec la technologie NAP :
Lorsqu'un client NAP essaye de se connecter au réseau local de l'entreprise, il crée une liste de SoH à l'aide de l'agent de quarantaine puis de chaque SHA. Il émet ensuite une requête DHCP pour obtenir une proposition de configuration IP.
Le QEC DHCP du serveur NAP reçoit cette demande accompagné de la liste de SoH puis la transmet au serveur IAS (RADIUS) qui la retransmet au serveur de quarantaine. Le serveur de quarantaine distribue chaque SoH de la liste aux SHV appropriés.
En retour, les SHV renvoient leurs réponses au Serveur de quarantaine qui crée une liste de SoHResponse. Cette liste est transmise au serveur IAS qui l'analyse et compare les données du client à la stratégie d'accès réseau. Selon cette analyse, le serveur IAS transmet au QES DHCP sa réponse concernant ou non la mise en quarantaine du client.
Selon cette réponse, le serveur DHCP (QES DHCP) crée une configuration d'adresse IP puis la transmet au client (QEC DHCP). Le client reçoit alors la proposition et prévient le serveur DHCP de son acceptation. Le serveur DHCP lui renvoi un accusé.
Mais alors comment un client NAP peut-il être bloqué dans le réseau restreint par le protocole DHCP ?
En fait, l'accès au réseau restreint ou au réseau global de l'entreprise par le client va dépendre de la configuration renvoyée par le serveur DHCP.
Prenons tout d'abord le cas d'un client NAP qui répond aux exigences du réseau :
Le client demande une adresse, il y'a vérification de son état de santé puis le serveur DHCP reçoit la décision positive du serveur IAS. Il va donc simplement crée une configuration d'adresse IP standard et qui fonctionne donc par conséquent sur tout le réseau.
Supposons maintenant que le client NAP ne soit pas au niveau requis par l'administrateur :
Il demande une adresse mais cette fois, le serveur IAS n'autorise par le serveur DHCP a l'admettre sur la totalité du réseau de l'entreprise. Le serveur DHCP lui crée donc une règle particulière : une adresse vers le routeur de 0.0.0.0 et un masque de sous-réseau de 255.255.255.255. Le client NAP ne peut donc pas communiquer avec la passerelle ni avec le sous-réseau.
Le client NAP ne peut donc pas communiquer avec le réseau de l'entreprise.
Pour tout de même l'autoriser à accéder aux serveurs de remède (serveurs de stratégie) le serveur DHCP crée des itinéraires statiques vers les serveurs nécessaires à sa mise à jour.
Dans ce cas, notre client NAP n'a donc accès à aucune autre ressource que celle définie par le serveur DHCP dans les itinéraires statiques.
Cependant, cette méthode présente un inconvénient. En effet, si un client paramètre lui-même sa configuration IP (notamment le masque de sous-réseau et la passerelle), il aura accès à la totalité du réseau même si son état ne réponds pas aux exigences requises.
Schéma représentant le fonctionnement de NAP avec DHCP
Ci-dessous deux tableaux. Le premier présente la communication entre le client NAP et le serveur NAP lors de l'établissement de la connexion. Le second évoque le cas où le client s'est mis à jour et veut accéder à la totalité du réseau.
| Etape |
Emeteur |
Récepteur |
Action |
Contenu |
| |
| 1 |
QEC DHCP (Client) |
Agent de quarantaine (Client) |
Demande |
Liste de SoH |
| 2 |
Agent de quarantaine (Client) |
QEC DHCP (Client) |
Envoi |
Liste de SoH |
| 3 |
Client DHCP (Client) |
QES DHCP (Serveur) |
Envoi |
Liste de SoH (Message DHCPDiscover) |
| 4 |
QES DHCP (Serveur) |
IAS |
Envoi |
Liste de SoH (Message RADIUS Access-Request) |
| 5 |
IAS |
Serveur de quarantaine |
Envoi |
Liste de SoH |
| 6 |
Serveur de quarantaine |
SHV appropriés |
Envoi |
SoH |
| 7 |
SHV |
Serveur de quarantaine |
Envoi |
Liste de SoHResponse |
| 8 |
Serveur de quarantaine |
IAS |
Envoi |
Liste de SoHResponse |
| 9 |
IAS |
IAS |
Prise de décision |
Comparaison entre SoHResponse et stratégie d'accés réseau |
| 10 |
IAS |
QES DHCP (Serveur) |
Envoi |
Décision (Message RADIUS Access-Accept) |
| 11 |
QES DHCP (Serveur) |
QES DHCP (Serveur) |
Configuration adresse |
Création d'une configuration d'adresse IPv4 en fonction de la décision d'IAS |
| 12 |
QES DHCP (Serveur) |
QEC DHCP (Client) |
Envoi |
Configuration adresse IP (Message DHCPOffer) |
| 13 |
QEC DHCP (Client) |
QES DHCP (Serveur) |
Envoi |
Acceptation par le client de la configuration proposée (Message DHCPRequest) |
| 14 |
QES DHCP (Serveur) |
QEC DHCP (Client) |
Envoi |
Confirmation de la configuration et de la mise ou non en quarantaine (Message DHCPAck) |
Si le client doit se mettre à jour avant de pouvoir adhérer à la totalité du réseau de l'entreprise, il aura donc accès aux ressources nécessaires. Lorsque cette mise en conformité aura été effectuée, le client NAP réitérera sa demande.
| Etape |
Emeteur |
Récepteur |
Action |
Contenu |
|
| 1 |
QEC VPN |
Agent de quarantaine |
Envoi |
Liste de SoHResponse |
| 2 |
Agent de quarantaine |
SHA appropriés |
Envoi |
Liste de SoHResponse |
| 3 |
SHA |
SHA |
Correction |
Mise en conformité avec la stratégie d'accès réseau |
| 4 |
SHA |
Agent de quarantaine |
Envoi |
Liste de SoH mise à jour |
| 5 |
Agent de quarantaine |
QEC DHCP |
Envoi |
Liste de SoH mise à jour |
| 6 |
QEC DHCP |
QES DHCP |
Envoi |
Liste de SoH mise à jour (Message DHCPRequest) |
| 7 |
QES DHCP |
IAS |
Envoi |
Liste de SoH mise à jour (Message RADIUS Accss-Request) |
| 8 |
IAS |
Serveur de quarantaine |
Envoi |
Liste de SoH mise à jour |
| 9 |
Serveur de quarantaine |
SHV appropriés |
Envoi |
SoH mise à jour |
| 10 |
SHV |
Serveur de quarantaine |
Envoi |
Liste de SoHResponse |
| 11 |
Serveur de quarantaine |
IAS |
Envoi |
Liste de SoHResponse |
| 12 |
IAS |
IAS |
Prise de décision |
Comparaison entre SoHResponse et stratégie d'accés réseau |
| 13 |
IAS |
QES DHCP |
Envoi |
Décision (Message RADIUS Access-Accept) |
| 14 |
QES DHCP |
QES DHCP |
Configuration adresse |
Création d'une configuration d'adresse IPv4 en fonction de la décision d'IAS |
| 15 |
QES DHCP |
QEC DHCP |
Envoi |
Confirmation de la configuration hors quarantaine (Message DHCPAck) |
3.2 NAP en VPN
Pour rappel, le VPN permet à un utilisateur distant de se connecteur au réseau de son entreprise en utilisant sa connexion Internet. Cela lui permet d'avoir accès aux ressources locales (imprimantes, serveurs de fichier, messagerie, …) comme ci il était physiquement branché sur le réseau de l'entreprise.
La connexion VPN par NAP comporte deux parties :
- initialisation de la connexion VPN (étapes 1 à 6 du tableau)
- vérification de l'état de santé du client et prise de décision (étapes 7 à 19 du tableau)
Pour bloquer un utilisateur dans la zone réseau restreint, le serveur VPN met en place un système de filtres VPN qui permettent d'autoriser la communication uniquement vers les serveurs de remède.
| Etape |
Emeteur |
Récepteur |
Action |
Contenu |
|
| 1 |
Client VPN |
Serveur VPN |
Connexion |
Etablissement de la connexion VPN (PPTP ou L2TP) |
| 2 |
QES VPN |
QEC VPN |
Envoi |
Message EAP-Request/Identity |
| 3 |
QEC VPN |
QES VPN |
Envoi |
Message EAP-Response/Identity (nom d'utilisateur VPN) |
| 4 |
QES VPN |
IAS |
Envoi |
Message EAP-Response/Identity (nom d'utilisateur VPN) |
| 5 |
IAS |
Client VPN |
Envoi |
Message EAP-Request/Start |
| 6 |
Client VPN/IAS |
IAS/Client VPN |
Cryptage |
Négociation du cryptage pour le canal TLS |
|
| 7 |
IAS |
Client VPN |
Envoi |
Message PEAP-TLV (demande de la liste SoH) |
| 8 |
QEC VPN |
Agent de quarantaine |
Demande |
Liste de SoH |
| 9 |
QEC VPN |
IAS |
Envoi |
Liste de SoH (Message PEAP-TLV) |
| 10 |
IAS |
Client VPN |
Demande |
Authentification |
| 11 |
Client VPN |
IAS |
Envoi |
Authentification |
| 12 |
IAS |
Serveur de quarantaine |
Envoi |
Liste de SoH |
| 13 |
Serveur de quarantaine |
SHV appropriés |
Envoi |
SoH |
| 14 |
SHV |
Serveur de quarantaine |
Envoi |
Liste
de SoHResponse |
| 15 |
Serveur de quarantaine |
IAS |
Envoi |
Liste
de SoHResponse |
| 16 |
IAS |
IAS |
Prise de décision |
Comparaison entre SoHResponse et stratégie d'accés réseau |
| 17 |
IAS |
Client VPN |
Envoi |
Décision et liste de SoHResponse (Message PEAP-TLV) |
| 18 |
IAS |
Serveur VPN |
Envoi |
Décision (Message RADIUS Access-Accept) et mise en place de filtres si restreint |
| 19 |
Client VPN |
Serveur VPN |
Négociation |
Fin de l'établissement de la connexion VPN |
Lorsque le client NAP s'est mis à jour, il peut alors refaire une demande pour supprimer les filtres appliqués.
| Etape |
Emeteur |
Récepteur |
Action |
Contenu |
|
| 1 |
QEC VPN |
Agent de quarantaine |
Envoi |
Liste de SoHResponse |
| 2 |
Agent de quarantaine |
SHA appropriés |
Envoi |
Liste de SoHResponse |
| 3 |
SHA |
SHA |
Correction |
Mise en conformité avec la stratégie d'accés réseau |
| 4 |
SHA |
Agent de quarantaine |
Envoi |
Liste de SoH mise à jour |
| 5 |
Agent de quarantaine |
QEC VPN |
Envoi |
Liste de SoH mise à jour |
| 6 |
QEC VPN |
IAS |
Envoi |
Liste de SoH mise à jour (Message PEAP-TLV) |
| 7 |
IAS |
Serveur de quarantaine |
Envoi |
Liste de SoH mise à jour (Message PEAP-TLV) |
| 8 |
Serveur de quarantaine |
SHV appropriés |
Envoi |
SoH mise à jour |
| 9 |
SHV |
Serveur de quarantaine |
Envoi |
Liste de SoHResponse |
| 10 |
Serveur de quarantaine |
IAS |
Envoi |
Liste de SoHResponse |
| 11 |
IAS |
IAS |
Prise de décision |
Comparaison entre SoHResponse et stratégie d'accés réseau |
| 12 |
IAS |
Client VPN |
Envoi |
Décision et liste de SoHResonse (Message PEAP-TLV) |
| 13 |
IAS |
Serveur VPN |
Envoi |
Décision (Message RADIUS Access-Accept) |
| 14 |
Serveur VPN |
Serveur VPN |
Suppression des filtres |
Suppresion des filtres de paquets IP de la connexion VPN |
3.3 NAP avec utilisation d’un certificat d’état
A la différence de la quarantaine DHCP et VPN, la quarantaine IPsec permet d'être appliquée sur chaque ordinateur du réseau. La quarantaine IPsec permet d'ignorer, sur les postes ayant un certificat d'état valide, les communications entrantes envoyées par des postes qui n'ont pas un certificat d'état valide.
La quarantaine IPsec divise le réseau en trois zones. Un ordinateur est membre d'une seule zone à la fois.
Voici une explication des différentes zones :
• La zone sécurisée : cette zone comprend les ordinateurs qui ont un certificat d'état valide. Les ordinateurs de cette zone exigent que les communications entrantes utilisent IPsec.
• La zone frontière : cette zone comprend les ordinateurs qui ont un certificat d'état valide. Cependant, les ordinateurs de cette zone n'exigent pas obligatoirement que les communications entrantes utilisent IPsec.
• La zone de quarantaine : cette zone comprend les ordinateurs qui n'ont pas de certificats d'état. Il s'agit d'ordinateurs qui n'ont pas effectués de contrôles d'état, qui sont invités sur le réseau ou encore qui ne sont pas compatibles NAP.
Les différentes zones communiquent de la façon suivante :
• Les ordinateurs de la zone sécurisée peuvent communiquer avec les ordinateurs des trois zones. Cependant ils n'accepteront pas les communications établies à partir d'ordinateur de la zone de quarantaine. Prenons un exemple, un ordinateur de la zone sécurisée peut demander un page web située sur un ordinateur qui appartient à la zone de quarantaine mais un ordinateur qui appartient à celle-ci n'aura pas cette possibilité.
• Les ordinateurs de la zone frontière peuvent aussi communiquer avec les ordinateurs des trois zones et acceptent les communications qui n'utilisent pas IPsec. Généralement, les membres de la zone de frontière incluront seulement le serveur de certificats d'état et les serveurs de stratégie NAP. Les serveurs de la zone frontière doivent être accessibles à partir des clients NAP de la zone de quarantaine, pour exécuter les fonctions correctives et obtenir les certificats d'état, et à partir des ordinateurs sains pour exécuter les fonctions correctives permanentes, renouveler les certificats d'état et gérer les ordinateurs de la zone frontière.
• Les ordinateurs de la zone de quarantaine peuvent communiquer seulement avec les ordinateurs de la zone frontière et de quarantaine. Cependant, ils acceptent tout de même les communications entrantes des ordinateurs de la zone de sécurité.
Ce schéma résume les différentes façons de sécurité entre les trois zones :
Ci-dessous deux tableaux. Le premier présente la communication entre le client NAP et le serveur NAP lors de l'établissement de la connexion.
| Etape |
Emeteur |
Récepteur |
Action |
Contenu |
| |
| 1 |
client NAP |
client NAP |
Demarre |
pare feu activé , aucune exception |
| 2 |
client NAP |
client NAP |
Accès réseau |
le client à accès au réseau et configuration d'adresse IP |
| 3 |
QEC |
serveur de certification d'état |
Canal HTTPS |
création du canal https entre le client et le serveur |
| 4 |
QEC |
serveur de certification d'état |
Envoi |
envoi données d'identification et SoH |
| 5 |
serveur de certificat |
serveur IAS |
Envoi |
liste SoH ( Message RADIUS Acess-Request) |
| 6 |
serveur IAS |
serveur de quarantaine |
Envoi |
Le serveur IAS reçoit le message RADIUS Access-Request, extrait la liste de SoH des attributs spécifiques au fournisseur RADIUS et la transmet au composant Serveur de quarantaine.
|
| 7 |
serveur de certificat |
SHV |
Envoi |
recoit la liste et transfert au SHV |
| 8 |
SHV |
serveur de quarantaine |
Envoi |
SHV analyse , construit en envoi SoHResponse |
| 9 |
serveur de quarantaine |
IAS |
Envoi |
liste SoH response |
| 10 |
IAS |
IAS |
Prise de décision |
compare liste SoHPesponse avec stratégie d'accès réseau configuré |
| 11 |
IAS |
fournisseur RADIUS
|
Envoie reponse |
envoi RADIUS Access-Accept |
| 12 |
serveur de certificat |
QEC Ipsec |
Envoi |
liste SoHPesponse et emet un certificat d'etat |
Le schéma suivant montre la communication entre le client NAP et le serveur NAP lors de l'établissement de la connexion :
Le deuxième tableau représente un client qui est a jour et qui veut appartenir aux ordinateurs de la zone de sécurité.
| Etape |
Emeteur |
Récepteur |
Action |
Contenu |
| |
| 1 |
QEC Ipsec |
agent de quarantaine |
Envoi |
SohResponse |
| 2 |
agent de quarantaine |
SHA |
Envoi |
SohResponse |
| 3 |
SHA |
SHA |
Analyse |
création du canal https entre le client et le serveur |
| 4 |
SHA |
agent de quarantaine
|
Envoi |
SoH mise à jour |
| 5 |
agent de quarantaine |
QEC Ipsec |
Collecte et envoi |
collecte , crée et envoie la liste de SoH |
| 6 |
QEC Ipsec |
IAS |
Envoi |
liste SoH |
| 7 |
serveur de certificat d'état |
serveur IAS |
Envoi |
liste SoH ( message RADIUS Access-Request ) |
| 8 |
serveur IAS |
Serveur de quarantaine |
Envoi |
liste SoH |
| 9 |
serveur de quarantaine |
SHV approprié |
Envoi |
liste SoH |
| 10 |
SHV |
Serveur de quarantaine |
Envoi |
SohResponse |
| 11 |
serveur de quarantaine |
IAS |
Envoi |
SohResponse |
| 12 |
IAS |
IAS |
Prise de décision |
compare liste SoHPesponse avec stratégie d'accès réseau configuré |
| 13 |
IAS |
serveur de certificat d'état |
Envoi |
envoi RADIUS Access-Accept |
| 14 |
serveur de certificat d'état |
client NAP |
Envoi |
liste SoHPesponse et emet un certificat d'etat |
 Introduction
1. Présentation de NAP
1.1 Qu'est-ce que NAP ?
1.2 Exemples de solutions
1.3 Partenaires et collaborations
2. Architecture d'un réseau utilisant NAP
2.1 Architecture du réseau
2.2 Composition du serveur NAP
2.3 Composition du client
3. Fonctionnement de NAP
3.1 NAP en DHCP
3.2 NAP en VPN
3.3 NAP avec utilisation d’un certificat d’état
Conclusion
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Décrouvrez Network Acces Protection : NAP
Accès
direct aux définitions :