Simple and secure by Design but Business compliant [Benoît SAUTIERE / MVP]

Simple, yes, Secure Maybe, by design for sure, Business compliant always

Common Tasks

Recent Posts

Tags

Community

Email Notifications

Blogs

Archives

DirectAccess et les GPO

Dès lors que le poste de travail a accès au contrôleur de domaine, il a aussi accès aux stratégies de groupe. Les stratégies de groupes permettent de différencier les systèmes et ou les utilisateurs en fonction de plusieurs critères:

  • Emplacement dans l’annuaire Active Directory
  • Appartenance à un groupe
  • Résultat positif d’une requête WMI
  • Association à un site Active Directory

 

Autant pour les trois premiers, c’est facile à mettre en œuvre, autant pour le dernier cela pose pas mal de questions. Le fait qu’un système soit associé à un site Active Directory dépend du sous-réseau sur lequel il se trouve. Or, notre poste se trouve sur Internet lorsqu’il est en situation de mobilité. On ne vas quand même pas déclarer les sous-réseaux Internet dans notre console de site Active Directory quand même?

 

Quelques rappels

Lorsque le client Windows 7 se trouve en situation de mobilité, il fait appel aux protocole de transition vers IPV6 pour mettre en place les tunnels IPSEC. On dénombre trois :

  • 6to4
  • Teredo
  • IP-HTTPS

 

Pour faire court, 6to4 est utilisé par le client lorsque celui-ci se trouve directement connecté à Internet, disposant d’une adresse IPV4 publique. Teredo lui est utilisé par le système lorsqu’il dispose d’un accès Internet au travers de la translation d’adresse (NAT), donc d’une adresse IPV4 privée (voir RFC 1918). Enfin le dernier protocole est utilisé en dernier recours (ou si le mode Force Tunneling a été activé).

 

On sait maintenant qu’il faudra référencer trois sous-réseaux IPV6 dans la console de Site pour notre site “Clients DirectAccess externes”, il nous manque plus qu’à interpréter ces adresses. Le tableau ci-dessous va nous donner quelques pistes (Merci à Thomas Shinder).

IPV6Adressing

 

Dans le cadre de cette démonstration, ma plateforme DirectAccess est composée d’un unique serveur UAG illustrée ci-dessous :

Maquette

Donc mes adresses IPV4 publiques consécutives sont :

  • 131.107.0.2
  • 131.107.0.3

 

C’est très important. Pour la suite, reste plus qu’à se munir d’une calculatrice pour les conversions en Hexadécimal.

 

6to4

Pour l’interface 6to4, on comprend que l’adresse est générée en utilisant le formalisme suivant :

6to4 

Pour plus de précision, l’adresse IPV4 hexadécimale représente l’adresse IPV4 publique de notre routeur 6to4 qui est en fait notre serveur DirectAccess / UAG.

 

Teredo

Pour l’interface Teredo, l’adresse est générée selon le formalisme suivant :

Teredo

Ici encore, on retrouve l’adresse IPV4 publique de notre serveur Teredo qui n’est rien d’autre que notre serveur DirectAccess /UAG.

 

IP-HTTPS

Pour l’interface IP-HTTPS, c’est un peu plus complexe. Pour faire simple, il faut retenir que l’adresse sera générée selon le formalisme 6to4 :

IPHTTPS

 

Implémentation

l’implémentation se passera dans la console de “Active Directory Sites and Services”.

SITES AD 

On va commencer par s’assurer s’associer un sous-réseau IPV4 au sous-réseau “Default-First-Site-Name”. Cela nous permettra de bien identifier les clients sur le réseau LAN. Dans l’idéal, on dispose de réseaux dédiés pour les clients, ma maquette n’est pas représentative des bonnes pratiques.

 

Je continue par la création du site Active Directory “DirectAccess-Site” auquel, j’ai associé trois sous réseaux IPV6 puisqu’il y a trois protocoles de transition. Pour 6to4, je savais que mon adresse commence par “2002” auquel on associe l’adresse IPV4 du routeur 6to4 (première adresse IPV4 de notre serveur UAG), ce qui donne “2002:836b:64::/48”.

 

Pour Teredo, je savais que mon adresse commence par “2001”, toujours selon le même principe. Idem pour IPHTTPS puisque l’adresse IPV6 est générée sur la base d’une adresse Teredo, au moins pour la partie publique.

 

Note : Pour l’explication des masques réseaux IPV6, je vous renvoie vers l’excellentissime ouvrage de référence sur le sujet.

IPV6BOOK 

Client sur le LAN

Sur le LAN, notre client doit être en mode “dual stack”, donc avec une adresse IPV4 et une adresse IPV6 de type ISATAP tel qu’illustré ci-dessous :

IPCONFIG_LAN

Le “GPRESULT” doit donc indiquer qu’il dépend du site par défaut tel qu’illustré ci-dessous :

GPRESULT_LAN

Client sur Internet

Pour le client sur Internet, on a trois interfaces possibles (6to4, Teredo et IP-HTTPS). Pour le premier d’entre eux, on doit constater un IPCONFIG tel qu’illustré ci-dessous :

IPCONFIG_6to4

On constate bien la présence de l’interface IPV4 classique. L’interface ISATAP est désactivée car on se trouve sur Internet. Les interfaces 6to4 et Teredo sont elles actives. Dans le cas présent, ma connectivité Internet étant publique, je communique en 6to4. Si je désactive l’interface 6to4 avec la commande “NETSH INTERFACE 6TO4 SET STATE DISABLE”, le résultat de la commande IPCONFIG sera le suivant :

IPCONFIG_Teredo

En temps normal, ma maquette aurait du disposer d’un réseau de type Home avec du NAT mais par manque de temps, j’ai du utiliser ce subterfuge. Mon client utilise maintenant l’interface Teredo. Si maintenant je désactive l’interface Teredo avec la commande “NETSH INTERFACE TEREDO SET STATE DISABLE”, mon client n’a plus d’autre choix que d’utiliser l’interface IP-HTTPS, ce que l’on peut constater ci-dessous :

IPCONFIG_IPHTTPS

Il n’y a plus d’autre choix que ce protocole. Dans tous ces cas, le résultat de la commande GPRESULT est strictement identique :

GPRESULT_DirectAccess

Si le sous-réseau dont mon poste dépend n’est pas reconnu, le client est automatiquement associé au premier site Active Directory. Or, on constate bien qu’il est associé au site Active Directory dédié aux clients DirectAccess en situation de mobilité.

 

Conclusion

Cette subtilité autour des stratégies de groupe et d’IPV6 permet de différencier les stratégies de groupe qui sont appliquées lorsque les postes sont en situation de mobilité. On peut donc envisager des scénarios autour du renforcement de la sécurité du poste de travail. Par exemple, n’exiger l’authentification de la carte à puce que pour les accès réalisés en DirectAccess.

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)