Simple and secure by Design but Business compliant [Benoît SAUTIERE / MVP]

Simple, yes, Secure Maybe, by design for sure, Business compliant always

Common Tasks

Recent Posts

Tags

Community

Email Notifications

Blogs

Archives

mars 2011 - Posts

Respect pour le maitre!

En tant que MVP, j’ai eu l’occasion de me rendre à Seattle pour le MVP Summit. Au menu des nombreuses réjouissances, j’ai eu l’opportunité de rencontrer le grand maitre du noyau Windows et des outils Sysinternals en la personne de Mark Russinovich. Je ne peux que recommander le visionnage de ses interventions aux  différents évènements organisés par Microsoft (MVP Summit, TechEd, PDC) ainsi que son blog.

 

Cette fois, c’est du haut niveau avec l’analyse du fameux vers Stuxnet qui a récemment fait parler de lui. Juste du grand art : http://blogs.technet.com/b/markrussinovich/archive/2011/03/30/3416253.aspx

 

Respect pour le maitre. J’attend avec impatience la suite.

 

Benoits – Simple and Secure by Design but Business compliant.

Network Access Protection et au Delas!

Network Access Protection est une brique présente depuis Windows 2008.  NAP doit être considéré comme une plateforme de gestion de la conformité qui est extensible.

image

 

Pour preuve, un produit tel que Forefront UAG vient y mettre son grain de sel avec un nouvel “enforcement client”. Depuis Windows 2008 R2, Network Access Protection est capable de proposer et gérer plusieurs stratégies de conformité.

 

La capacité à intégrer d’autres solutions et proposer plusieurs niveaux de conformité permettent de développer des nouveaux scénarios dans le domaine de la gestion de la conformité du poste de travail en entreprise.

 

Le cas du partenaire extérieur

C’est moi, ou plutôt nous tous qui intervenons chez nos clients respectifs. Se pose alors toujours la même problématique. Suis-je autorisé à connecter mon poste de travail au réseau? Lorsque la réponse est oui (Merci!), cela implique que notre poste de travail présente un certain nombre de garanties de sécurité tel que :

  • Pare-Feu
  • Antivirus
  • Antispyware
  • Mises à jour

 

Tout cela ressemble furieusement aux critères proposés par le System Health Agent de Windows. Dans le cas d’un scénario Network Access Protection basé autour de DHCP (ce qui est le cas le plus simple à mettre en œuvre), il suffit que je configure mon client NAP pour soumettre mon état de santé au travers de la méthode d’enforcement DHCP. Si je ne le fait pas, le serveur NPS va automatiquement me déclarer non conforme et me limiter fortement l’accès au réseau.

 

Le cas du poste d’entreprise

Dans le cas du poste d’entreprise, on attend de lui qu’il présente beaucoup plus de garanties. Pour les entreprises qui ont opté pour des antivirus et des pare-feu tiers, elles aimeraient en savoir un peu plus que les produits sont bien installés et opérationnel. Dans le cas des solutions McAfee, celle-ci présente l’intérêt d’être intégralement administrable au travers d’un ePolicy Orchestrator. Si on creuse un peu plus chez cet éditeur, on va trouver un produit nommé McAfee Network Access Control. C’est la solution de gestion de conformité de l’éditeur qui propose entre autre :

  • De reconfigurer le client NAC en client NAP (donc un SHA)
  • D’interfacer la gestion de remédiation avec en SHV

 

Coté client, l’agent McAfee Network Access Control est configuré pour opéré avec NAP. Cela signifie que le SHA de l’éditeur sera activé pour remonter les informations au SHV. Dans l’illustration ci-dessous, on constate que :

  • J’ai l’enforcement client DHCP actif
  • J’ai aussi l’enforcement client McAfee actif
  • Que mon poste n’est pas conforme

 

NAP0

 

On peut aussi constater que j’ai deux SHA :

  • Celui de Windows qui me dit que tout est conforme
  • Celui de McAfee qui me dit qu’il y a des problème.

 

NAP1

 

D’un point de vue Network Access Protection, on constate bien que mon poste n’est pas conforme. Ce qui manque, c’est le pourquoi.

NAP2

 

Le pourquoi on va le trouver dans l’agent NAC de McAfee qui nous indique que mon poste de travail d’entreprise présente une grave lacune, il n’a pas le pare-feu de l’entreprise. Pour cette raison, le poste de travail est considéré par NAP comme non conforme.

 

NAP3

 

Conclusion

Enrichir Network Access Protection avec une solution tierce est possible et présente un certain nombre d’avantages. D’une part, on peut simplement traiter le cas des partenaires extérieurs, et d’autre part, on dispose d’une plateforme unique pour gérer la conformité des postes de travail de l’entreprise.

 

La Méthode d’Enforcement DHCP de NAP travaille au niveau du client et non des équipements réseaux. C’est un premier pas vers la gestion de la conformité en attentant une refonte des réseaux d’agences pour intégrer des équipements réseaux supportant le 802.1.X et créer autant de VLAN de remédiation que de sites.

 

Grand merci à au consultant PHV dit “Pioupiou” grâce à qui j’ai pu travailler sur ce sujet. Suite à cet acte de bravoure il est élevé au rang de “PiouPiou Senior”.

 

Benoits – Simple and Secure by Design but Business compliant.

Notre session Techdays 2011 disponible en vidéo

Si notre session “Retours d’expériences : implémentation de DirectAccess” vous intéresse, celle-ci est désormais disponible en ligne  à cette adresse.  

Get Microsoft Silverlight
DCSIMG
document.write("");

 

Simple and Secure By design but also “Kevin le Boulet”

Posted: 03-19-2011 8:35 by Benoît SAUTIERE | with no comments
Filed under:
Démarche d’analyse des problèmes de performances de TMG.

La semaine dernière, j’ai eu la chance d’assister au MVP Summit à une session de Yuri Diogenes, grand maitre du ForeFront Threat Management Gateway. Sous ISA Server, l’analyse et la compréhension des problèmes de performances était déjà complexe (Que des joli filtres ISAPI en cause, …). Avec TMG 2010, c’est devenu encore plus difficile. Grand merci au maitre du TMG de mettre à disposition un début de démarche d’analyse sous forme de Wiki.

 

Attention cependant, cette démarche a pour unique objectif de nous mettre sur la voie de la solution, d’identifier la cause la plus vraisemblable. Le pourquoi peut être lui plus compliqué à analyser car on rentre dans le monde du développement et des symboles de debug. Par contre, c’est typiquement le type d’information que pourrait demander le support Microsoft pour l’ouverture d’un ticket d’incident sur une problématique de performance TMG 2010.

 

Benoits – Simple and Secure by Design  but Business compliant.