Network Access Protection and IPSEC : épisode 1

C’est le début d’un nouveau marathon (ou la nouvelle saison de 24 heures chrono). Je ne vais pas m’attarder sur les aspects liés à la conception d’une infrastructure NAP. Pour cela, l’IPD traitant de NAP est plutôt bien fait. Je vais donc immédiatement passer à la mise en œuvre dans un cas assez simple mais représentatif tout de même.

Le scénario retenu est celui de NAP utilisant IPSEC comme méthode d’enforcement avec des clients Windows Seven et Windows Server 2008 R2, tout ce petit monde sera connecté à un seul réseau LAN tel qu’illustré ci-dessous :

image

Cette mise en œuvre permettra de démontrer :

  • Comment mettre en œuvre les pré-requis liés à NAP
  • Comment isoler les postes de travail déclarés conformes
  • Comment autoriser un accès limité aux ressources du réseau lorsqu’on n’est pas conforme
  • Comment autoriser l’accès à certaines ressources uniquement si on est conforme

Bien évidemment, ce scénario à ses limites (je ne vais pas tout donner non plus), à savoir :

  • La mise en œuvre d’une CA d’entreprise hors ligne
  • Comment travailler avec des critères de conformité plus complexes (autres que ceux proposés par le centre de sécurité du système d’exploitation)?
  • La haute disponibilité d’une telle infrastructure
  • La mise à disposition de services pour l’auto-remédiation
  • Comment traiter les accès extérieurs (vous avez dit DirectAccess?)
  • Comment traiter les systèmes pas encore conforme car fraichement installés

Certes ce sont tous des sujets importants mais qui ne peuvent être traités qu’au cas par cas, en fonction des scénarios et contraintes imposées

Maintenant que les limites sont posées, rentrons dans le vif du sujet avec la longue phase d’installation des systèmes d’exploitation.

Pour les stations de travail, j’ai retenu Windows Seven. D’une part par ce que c’est le dernier OS à la mode mais aussi par ce que la configuration sera plus simple. Il est techniquement possible de faire du NAP IPSEC avec Windows XP SP3, mais c’est juste un peu plus compliqué à réaliser (pas d’intégration d’IPSEC avec le pare-feu par exemple, …).

Pour les serveurs, tous seront installés avec Windows Server 2008 R2 entreprise Edition. D’un point de vue technique, il aurait été possible d’utiliser la version standard de Windows Server 2008 R2 car celle-ci autorise enfin la manipulation des gabarits de certificats dans ADCS. j’avoue que c’est un peu par fainéantise mais aussi que quelque part j’ai une idée derrière la tête avec DirectAccess, …)

image2

Serveur dc.corp.Windows2008R2.Com

  • OS : Windows 2008 R2 Entreprise Edition
  • Nom d’hôte (FQDN) : dc.corp.Windows2008R2.Com
  • Configuration réseau : 192.168.0.100/24 (pas de passerelle)
  • Raccordé au domaine : corp.Windows2008R2.com

Serveur nps.corp.Windows 2008R2.com

  • OS : Windows 2008 R2 Entreprise Edition
  • Nom d’hôte (FQDN) : nps.corp.Windows 2008R2.com
  • Configuration réseau : 192.168.0.101/24 (pas de passerelle)
  • Raccordé au domaine : corp.Windows2008R2.com

Serveur secure.corp.Windows2008R2

  • OS : Windows 2008 R2 Entreprise Edition
  • Nom d’hôte (FQDN) : secure.corp.Windows 2008R2.com
  • Configuration réseau : 192.168.0.102/24 (pas de passerelle)
  • Raccordé au domaine : corp.Windows2008R2.com

Seven1.corp.Windows2008R2.Com

  • OS : Windows Seven ultimate
  • Nom d’hôte (FQDN) : Seven1.corp.Windows2008R2.Com
  • Configuration réseau : DHCP
  • Raccordé au domaine : corp.Windows2008R2.com

Seven2.corp.Windows2008R2.Com

  • OS : Windows Seven ultimate
  • Nom d’hôte (FQDN) : Seven2.corp.Windows2008R2.Com
  • Configuration réseau : DHCP
  • Raccordé au domaine : corp.Windows2008R2.com

Voila pour la phase initiale de mise en œuvre. Pour le prochain billet, nous rentrerons dans l’intimité de NAP IPSEC avant d’attaquer le problème par la face nord, (PKI hell). Bienvenu dans le petit monde de NAP.

Benoîts – Simple and Secure by Design

Benoit

Simple, yes, Secure Maybe, by design for sure, Business compliant always!

Les derniers articles par Benoit (tout voir)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.