Network Access Protection est une brique présente depuis Windows 2008. NAP doit être considéré comme une plateforme de gestion de la conformité qui est extensible.
Pour preuve, un produit tel que Forefront UAG vient y mettre son grain de sel avec un nouvel “enforcement client”. Depuis Windows 2008 R2, Network Access Protection est capable de proposer et gérer plusieurs stratégies de conformité.
La capacité à intégrer d’autres solutions et proposer plusieurs niveaux de conformité permettent de développer des nouveaux scénarios dans le domaine de la gestion de la conformité du poste de travail en entreprise.
Le cas du partenaire extérieur
C’est moi, ou plutôt nous tous qui intervenons chez nos clients respectifs. Se pose alors toujours la même problématique. Suis-je autorisé à connecter mon poste de travail au réseau? Lorsque la réponse est oui (Merci!), cela implique que notre poste de travail présente un certain nombre de garanties de sécurité tel que :
- Pare-Feu
- Antivirus
- Antispyware
- Mises à jour
Tout cela ressemble furieusement aux critères proposés par le System Health Agent de Windows. Dans le cas d’un scénario Network Access Protection basé autour de DHCP (ce qui est le cas le plus simple à mettre en œuvre), il suffit que je configure mon client NAP pour soumettre mon état de santé au travers de la méthode d’enforcement DHCP. Si je ne le fait pas, le serveur NPS va automatiquement me déclarer non conforme et me limiter fortement l’accès au réseau.
Le cas du poste d’entreprise
Dans le cas du poste d’entreprise, on attend de lui qu’il présente beaucoup plus de garanties. Pour les entreprises qui ont opté pour des antivirus et des pare-feu tiers, elles aimeraient en savoir un peu plus que les produits sont bien installés et opérationnel. Dans le cas des solutions McAfee, celle-ci présente l’intérêt d’être intégralement administrable au travers d’un ePolicy Orchestrator. Si on creuse un peu plus chez cet éditeur, on va trouver un produit nommé McAfee Network Access Control. C’est la solution de gestion de conformité de l’éditeur qui propose entre autre :
Coté client, l’agent McAfee Network Access Control est configuré pour opéré avec NAP. Cela signifie que le SHA de l’éditeur sera activé pour remonter les informations au SHV. Dans l’illustration ci-dessous, on constate que :
-
J’ai l’enforcement client DHCP actif
-
J’ai aussi l’enforcement client McAfee actif
-
Que mon poste n’est pas conforme
On peut aussi constater que j’ai deux SHA :
D’un point de vue Network Access Protection, on constate bien que mon poste n’est pas conforme. Ce qui manque, c’est le pourquoi.
Le pourquoi on va le trouver dans l’agent NAC de McAfee qui nous indique que mon poste de travail d’entreprise présente une grave lacune, il n’a pas le pare-feu de l’entreprise. Pour cette raison, le poste de travail est considéré par NAP comme non conforme.
Conclusion
Enrichir Network Access Protection avec une solution tierce est possible et présente un certain nombre d’avantages. D’une part, on peut simplement traiter le cas des partenaires extérieurs, et d’autre part, on dispose d’une plateforme unique pour gérer la conformité des postes de travail de l’entreprise.
La Méthode d’Enforcement DHCP de NAP travaille au niveau du client et non des équipements réseaux. C’est un premier pas vers la gestion de la conformité en attentant une refonte des réseaux d’agences pour intégrer des équipements réseaux supportant le 802.1.X et créer autant de VLAN de remédiation que de sites.
Grand merci à au consultant PHV dit “Pioupiou” grâce à qui j’ai pu travailler sur ce sujet. Suite à cet acte de bravoure il est élevé au rang de “PiouPiou Senior”.
Benoits – Simple and Secure by Design but Business compliant.
