rappels sur nap démo de configuration et de fonctionnement avec 802.1x comment se préparer
TRANSCRIPT
Cyril VoisinChef de programme SécuritéMicrosoft France
Se préparer à NAP
Sommaire
Rappels sur NAPDémo de configuration et de fonctionnement avec 802.1XComment se préparer
NAP
Rappels
Votre politique, et non pas la topologie, définit le périmètre
Network Access ProtectionLa surcouche santé des réseaux
Validation vis à vis de la politiqueDétermine si oui ou non les machines sont conformes avec la politique de sécurité de l’entreprise. Les machines conformes sont dites “saines” (ou « en bonne santé »)
Restriction réseauRestreint l’accès au réseau selon l’état de santé des machines
Mise à niveauFournit les mises à jour nécessaires pour permettre à la machine de devenir “saine”. Une fois “en bonne santé”, les restrictions réseau sont levées
Maintien de la conformitéLes changements de la politique de sécurité de l’entreprise ou de l’état de santé des machines peuvent résulter dynamiquement en des restrictions réseau
Demande d’accèsVoici mon nouvel
état de santé
Network Access Protection
Server RADIUS (NPS)
Client
Périphérique d’accès réseau(DHCP,
VPN,802.1X,IPsec,
passerelle TS)
Serveurs deremèdes
Puis-je avoir accès ?Voici mon « état de santé »
Ce client doit-il être restreint en fonction de sa « santé » ?
Mises à jour de politique en cours sur le serveur
RADIUS (NPS)
Vous avez un accès restreint tant que vous n’avez pas amélioré les choses
Puis-je avoir les mises à jour ?
Vous pouvez…
D’après la politique, le client n’est pas à jourMise en quarantaine du client, lui demandant de se mettre à jour
Réseau de l’entreprise
Réseau restreint
On donne accès au poste client à l’intranet
Serveurs de politique
En accord avec la politique, le client est à jour Accès accordé
Serveur(s) de politique Policy Server
Network Policy Server Quarantine Server System Health Validator
Périphériques d’accès Quarantine Enforcement Server
Serveur RADIUSNetwork Policy Server (NPS)
Serveur de quarantaine (QS)
Client
Agent de quarantaine (QA)
Stratégie de santéMises à jour
États de santé Demandes d’accès
au réseau
Serveur(s) depolitique
Serveur(s) deremédes
Certificat de santé
Périphériques d’accès au réseau (DHCP, 802.1X, VPN, TS) &
Autorité d’enregistrement santé (HRA)
Agents de santé (SHA)MS et tiers
System Health Validators(SHV) MS et tiers
Clients d’application (QEC)(DHCP, IPsec, 802.1X, VPN)
Network Access ProtectionComposantsServeur de remédiation
Remediation ServerClient
System Health Agent Quarantine Agent Quarantine Enforcement Client
SHAQA
QEC
RS PS
SHVQS
QES
Serveur RADIUSNetwork Policy Server (NPS)
Serveur de quarantaine (QS)
Client
Agent de quarantaine (QA)
Stratégie de santéMises à jour
États de santé Demandes d’accès
au réseau
Certificat de santé
Agents de santé (SHA)MS et tiers
System Health Validators(SHV) MS et tiers
Clients d’application (QEC)(DHCP, IPsec, 802.1X, VPN)
Network Access ProtectionRôles des composantsServeur de remédiation
Distribue correctifs et signatures Client
Vérifient l’état de santé du client Coordination entre SHA et QEC Méthode d’enforcement
Serveur(s) de politique Fournit un SHV
Network Policy Server Evalue la santé du client Evalue la réponse du SHA
Périphériques d’accès
Méthode d’enforcement
SHAQA
QEC
RS PS
SHVQS
QES
Périphériques d’accès au réseau (DHCP, 802.1X, VPN, TS) &
Autorité d’enregistrement santé (HRA)
Serveur(s) depolitique
Serveur(s) deremédiation
Infrastructure réseau sécurisée
Enforcement d’abord – santé ensuiteNAP ne peut pas protéger le réseau des utilisateurs et systèmes malveillants
NAP est conçu comme la surcouche santé qui se met sur des systèmes de sécurité réseauNAP est dépendant de ses mécanismes d’enforcement (=mécanismes de restrictions d’accès)
DHCP802.1X (EAP)VPN (EAP/PEAP)IPsecPasserelle Terminal Services RDP/HTTP
La mise en œuvre d’IPsec, VPN, 802.1X, passerelle TS ou DHCP doit avoir été pensée et déployée en tant que solution de sécurité autonome, avant d’ajouter le contrôle de santé
Enforcement avec DHCP
Le serveur DHCP contrôle l’accès en définissant les routesOption DHCP Router = 0.0.0.0 (donc pas de passerelle par défaut sur le client)Masque de sous-réseau = 255.255.255.255 (donc pas de route pour le sous réseau)Option Classeless Static Routes
Pour le serveur DHCPPour le serveur DNSPour les serveurs de mises à jour
D’où la possibilité de ne se connecter qu’à certaines adresses spécifiques
Enforcement avec DHCP
Option 220 MS vendor pour envoyer le bilan de santé (SoH)Support IPv4 seulement (pas d’IPv6)Inconvénient : comme la quarantaine DHCP repose sur des entrées dans la table de routage IPv4, impossible d’empêcher un administrateur local malveillant de changer manuellement la table de routage pour obtenir un accès complet au réseauTous les serveurs DHCP doivent être mis à jour
802.1X : port contrôlé et port non contrôlé
Supplicant
(Client)
Authentificateur(switch ou
point d’accès)
Serveurd’authentification
(RADIUS)Port non contrôlé
Port contrôléÉtat authentifié
Accès autorisé
Autresressources
État non authentifié
Accès bloqué
EAP (Extensible Authentication Protocol)
Méthode
EAP
Media
EAP
MS
CH
AP
v2
TLS
Secu
rID
PPP 802.3 802.5 802.11 …
TLS GSS_API
Kerberos
PEAP IKE MD5
Plug-in d’authentification sur le client et le serveur RADIUS
EAPOL-start
EAP-request/identity
EAP-response/identity
RADIUS-access-request (EAP)
EAP-request RADIUS-access-challenge (EAP)
EAP-response (credentials)
RADIUS-access-request (EAP)
EAP-success RADIUS-access-accept (EAP)
Access blocked
Access allowed
AuthentificationClient
supplicantPoint d’accèsauthenticator
RADIUSauthentication
server
PEAP - Microsoft, Cisco, RSA
Crée un tunnel TLS avec le certificat du serveur RADIUS uniquementAuthentifie le client dans ce tunnelLe protocole d’authentification est protégé
TLSEAP
Authentification
CertificatServeur
RADIUS-EAPEAPOL (802.1X)
Enforcement avec 802.1X
Quarantaine par mise en place de filtres IP ou par affectation à un VLANPeut utiliser
Une liste de bilans de santé (SoH)Envoi par PEAP-TLV (comme VPN)
Un certificat de santé (X509)Recommandé
Étapes démarrage Windows
Mise sous tensionChargement des pilotes
réseau
Authentification machine
802.1X
Connectivité réseau
DHCPSecure
channel avec DC
Mise à jour GPO
Application GPO dont
script démarrage
Affichage bannière de
logon Ctrl+Alt+Sup
pr
Authentification domaine
Authentification utilisateur
802.1XDHCP Mise à jour
GPO
Application GPO dont
script logon
Enforcement avec VPN
Support de PPTP ou de L2TP/IPsecNécessite une authentification basée sur PEAPPrend en charge la renégociation PPP sans déconnexionLes serveurs VPN contrôlent l’accès en appliquant des filtres IP
Enforcement avec IPsec
IPsec : mécanisme d’isolation au niveau hôteSi vous utilisez déjà IPsec pour l’isolation de domaine ou de serveurs
NAP peut s’appuyer sur ce qui est d’ores et déjà en place pour isoler les machines non conformes
Politique IPsecNécessite des lettres de créance, comme un certificat de santéExemples :
Tous les pairs doivent présenter un certificat de santéTous les pairs doivent présenter un certificat de santé, sauf s’ils se connectent au port 80
Modèle d’isolation NAP basé sur IPsec
BLOQUÉ
Zone de quarantaine Zone
limitrophe
ZoneprotégéeAUTORISÉ
AUTORISÉ
AUTORISÉ
Définitions des politiques
Zone protégée
Tous les systèmes ont un certificat de santéCertificat nécessaire pour se connecter à un système
Zone limi-trophe
Tous les systèmes ont un certificat de santéCertificat demandé mais non obligatoire pour se connecter à un système
Zone de quaran-taine
Pas de certificat de santéPas de politique IPsec
Règle de sécurité de connexion
IPsec est le seul mécanisme à fonctionner au niveau hôte
Ne peut pas être contourné en utilisant un hub ou des machines virtuelles
Si IPsec est déjà utilisé pour l’isolation de domaine ou de serveurs
NAP peut s’appuyer sur ce qui est d’ores et déjà en place pour isoler les machines non-conformes
Politique IPsecNécessite des lettres de créance, comme un certificat de santéExemples
Tous les pairs doivent présenter un certificat de santéTous les pairs doivent présenter un certificat de santé, sauf s’ils se connectent au port 80
Network Access Protection Enforcement - IPsec
Fonctionne en complément des technologies de protection niveau 2
Défense en profondeur des segments où les switches & routeurs ont été mis à niveauPossibilité d’isoler de manières spécifique des ports UDP/TCP et applications
Fonctionne avec les serveurs et l’infrastructure existante
Ne nécessite pas de remplacement/mise à jour des serveurs DHCP et VPNProtection des segments où les switches & routeurs ont été mis à niveau
Offre une isolation flexibleLes systèmes en bonne santé peuvent accéder aux systèmes en quarantaine (pas vice versa)Le modèle d’isolation est défini par la stratégie
Network Access Protection Enforcement - IPsec
Network Access Protection
Flux réseau
Serveur RADIUS
(NPS)
Client
Serveurs deremèdiation
Serveurs de politiqueAutorité de délivrance
des certificats de santé
Serveur DHCP
Serveur VPN
Eléments actifsréseau 802.1X
HTTPS
DHCP
PEAP over PPPPEAP over EAPOL
RA
DIU
S
Client conforme Client non conforme
DHCP Adresse IP complète, accès complet
Ensemble restreint de routes
VPN Accès complet VLAN restreint
802.1X Accès complet VLAN restreint
IPsec
Peut communiquer avec tout autre client géré
Les machines gérées rejettent les tentatives de connexion des machines non conformes
Complémente la protection au niveau de la couche 2Fonctionne avec l’existant (serveurs, infrastructure) Isolation flexible
Options d’enforcement
Options d’enforcement
DHCP VPN 802.1X IPsec
Réseau local ou à distance
LAN A distance
LAN et WLAN
LAN et WLAN
Niveau de sécurité de la méthode
+ ++ ++ +++
Utilisation des serveurs existants
Non Non Oui Oui
Utilisation de l’infrastructure réseau existante
Oui Oui Non Oui
Nouveaux scénarios comme l’isolation d’application
Non Non Non Oui
Serveur NPS (RADIUS, Longhorn)
Client RADIUSPériphériques d’accès (Wi-Fi 802.1X, commutateur authentifiant 802.1X) Serveurs NAP (serveur VPN, serveur DHCP, HRA)
Paramètres NAP pour la détermination du niveau de santé et l’enforcementTraitement des demandes de connexionConfiguration SHV
Configuration des SHV installés pour les prérequis de santé et les conditions d’erreurs
ModèlesÉvaluation des prérequis de santé en termes de SHV installés et d’obligation de succès ou d’échec
Groupes de serveurs de remédiationEnsemble de serveurs accessibles aux clients qui ont un accès limité (clients restreints)
Paramètres NAP
Stratégies d’accès distant (NPS)
Liste ordonnée de règles qui définissent si les connexions doivent être autorisées ou rejetéesRègle = condition(s), ensemble de paramètres de profil, permission + restrictions de connexion (en cas de connexion autorisée)Les tentatives de connexion sont toujours autorisées (mais des restrictions peuvent être appliquées)
Do not enforce (pour les machines conformes)Enforce (machines non conformes)
Configure Resources (choix d’un groupe de serveurs de remédiation)Defer Enforcement (accès complet jusqu’à une date/heure)Direct users with limited access to a Web page for assistanceConfigure URLUpdate non compliant computers
Gestion des clients Non-NAP
Serveurs hors de la zone de protectionNécessite une administration rapprochéePréférable à une exemption des clients non-NAP
Stratégie IPsec spécifiqueIsolation applicative ou portStratégie de groupe pour les clients et serveurs W2K+
VLAN séparéServeurs périmètriques
Terminal ServersPasserelles applicatives et VPN
802.1X et IPsec : au choix !
NAP supporte les 2 technologiesIl est possible de les combiner comme 2 couches dans une stratégie de défense en profondeurNAP vous offre la possibilité de positionner la protection au niveau
Réseau HôteApplicationOu toute combinaison des 3 précédents selon les besoins, les risques, l’infrastructure existante et le cycle de mise à jour
Networking Devices
Networking Devices
Antivirus
Logiciels de sécurité
Correctifs
Équipements de sécurité
Périphériques réseau
Intégrateurs de systèmes
Une centaine de partenaires
Cisco 3750 (testée avec Enterasys N1/DFE Platinum)
Démo 802.1X
NAP
Comment se préparer
Les fondations
NAP est la surcouche santé de vos réseaux, s’attache à la conformité vis à vis de votre politique et repose sur les technologies de sécurité réseau déjà existantes
Des technologies serveursUn modèle de conformité que le système peut faire respecterDes technologies d’isolation réseauDes outils de génération de rapports et d’analyseGestion de l’identitéGestion de la conformitéOpérations matures (personnes, processus, technologies)
Tâches de préparation
Modéliser ce qui est pris en compte dans l’état de santéAnalyser les exemptionsDéfinition de zones de politique de santéAnalyse de l’infrastructure réseau sécuriséeDéploiement de serveurs NPS (RADIUS) Sélection des moyens d’isolation (enforcement) dans chaque zonePlanification du déploiement et du définition du processus de gestion du changementTableaux de bord et mesures
Développer un modèle de conformité à la politique de santéQue faire pour que NAP fonctionne bien ?
Définir les politiques de santé pour les réseaux qui doivent être protégésLes personnes (et pas la technologie) définissent la politique
Définir les bases pour les réseaux utilisant NAP pour la gestion de la conformitéQuels paramètres sont requis pour accéder à ce réseau ?Quels SHA (System Health Agents) doivent s’exécuter pour couvrir ces paramètres ?
Définir les processus qui maintiennent ces bases à jourLes personnes et les processus assurent ces fonctions – pas la technologie
Surveiller la conformité – NAP permet d’automatiser cette tâcheIsoler lorsque c’est nécessaire – NAP permet d’automatiser cette tâcheRapporter et corriger – NAP permet d’automatiser cette tâche
Modélisation de la santé
Disponibilité d’une politique de santé écrite et approuvée ?Bien plus qu’une discussion technique – différentes divisions peuvent avoir des politiques différents
Quelles sont les bases pour l’entreprise ? Quelles sont les politiques “optimisées” ?Bases : anti-virus, contrôle des correctifs, pare-feu personnel, etc.Optimisées : configuration spéciale de l’OS, ensembles d’applications, allocations PKI, isolation IPsec, etc.
Nécessité d’allouer le temps nécessaire pour évaluer les risques de l’entreprisesLe contrôle de santé devrait être un mandat venant du sommet de l’entrepriseNécessité d’allouer du temps pour travailler avec les différentes divisions et leurs architectes
Modélisation de l’état de santé
Qu’est-ce qui doit être protégé ?Comment est-ce protégé aujourd’hui ? Quelles politiques de santé existent ou ont besoin d’être crées ?Comment sont gérées ces politiques ?Quels sont les prérequis de santé qui vont être exigés ?Est-ce que vous avez l’adhésion de tous les groupes (administrateurs réseau, administrateurs sécurité, administrateurs postes de travail) pour vous lancer ?
Analyse des exemptions
Des exemptions de base sont fournies par défaut en fonction du type et du niveau de système d’exploitationLes exemptions doivent être gérables
Mettre en place un processus de documentation des exemptions afin de savoir en fin de compte où sont les trous !Plans d’atténuation des exemptions
Peut-on les isoler par d’autres moyens ?Segmentation IP grâce à IPsecContrôle de VLANAccès extranet/invité
Zonage de politique de santé
Utiliser le profil de l’entrepriseQuels groupes ont besoin de quel accès à quelles données ?
Besoins des divisionsGéré ou non géréEmployés distant / accès à distanceSuccursales
Exemptions ?L’équipe informatique interne est-elle centralisée ou décentralisée ?Quelles combinaisons de méthodes d’enforcement peuvent le mieux satisfaire les besoins de l’entreprise ?
Analyse de l’infrastructure réseau
Quelle infrastructure est en place pour la prise en charge les politiques de santé ?Y a-t-il une IGC (PKI) ? Quels sont les serveurs RADIUS et à quoi sont-ils utilisés? VPN? S’appuient sur Active Directory ?Y a-t-il des commutateurs compatibles 802.1X ?
Quels sont les SHA/SHV dont vous avez besoin pour appliquer les politiques de santé ?Est-il possible de repenser l’architecture de l’infrastructure ?
Logique et physique ?Mise en place de l’infrastructure & planning de mise à jour
Quelles questions se poser?
Quelle est la stratégie d’accès appropriée ?Comment traiter les différentes populations de clients ?
Clients NAP et conformesClients NAP et non-conformesNon clients NAP
Quelle est la bonne segmentation du réseau ?Où faut il positionner les ressources sensibles ?
Services de nomsServices d’authentificationApplicatifs
Comment déployer l’infrastructure NAP ?Serveurs RADIUS et Autorité de CertificationServeurs DHCP / VPN / TS et éléments réseauServeurs de remédiation
Sélection de l’enforcement par zone
Créer une matrice de planificationClients gérés vs. non gérésClients filaires vs. sans fil
Donner des scénarios spécifiques à l’entreprise quand une méthode d’enforcement serait plus appropriée qu’une autreLes méthodes d’enforcement peuvent être combinées
Zone Méthode d’enforcement
Version de politique
Filaire/Sans fil
Géré
Zone A IPsec 1.2.5 Filaire 100%Zone B 802.1X/IPsec 2.5.7 Les 2 100%Zone C DHCP/IPsec 1.2.5 Les 2 65%
Sélection de l’enforcement pour zone d’accès distantÉvident pour les zones d’accès distant : utilisation du VPN
La planification d’un déploiement de VPN n’est pas triviale (projet indépendant)Si des solutions VPN existent déjà alors il faut les étendre pour prendre en charge l’enforcement de la politique de santéLe choix de VPN devra s’intégrer avec les opérations IPsec – planifier en connaissance de cause !Considérations de bande passante :
La bande passante est-elle assez large pour la remédiation ?
Maintenir les opérations
Évaluer et suivre le risque lié à la
vulnérabilité
Si risque haut ou critique, màj
politique et notifier clients
Développer critère d’analyse pour
détecter conformité
Analyser la conformité p/r politique sur
réseau
Faire respecter la politique après une période de grâce
Mesurer et créer rapports
surveillance conformité
6
5
2
3
1
4
Vulnérabilité identifiée
Planning de mise en œuvre & gestion du changement
L’absence de gestion du changement peut avoir un résultat désastreuxUne des fonctions utiles de NAP est le fonctionnement multi-mode
Mode Reporting : pour avoir une bonne vue des ressources réseau, clients, zonesLe mode Reporting est simple et efficace comme outil de planification
Mode Provisioning : pour le dimensionnement (analyse d’impact des packages de mises à jour sur les différentes zones)Mode Enforcement : quand tous les impacts ont été évalués et approuvés
Tableaux de bord
La meilleure façon d’améliorer la réponse à incident est d’avoir des mesures à analyser
Combien de temps pour sceller une zone ?Faut-il ajuster la politique ou la remédiation dans une zone donnée ? Quels sont les objectifs (mesures) à atteindre pour chaque zone ? Pour l’entreprise ?
Il y aura un incident de sécurité/santéNAP est un moyen d’atténuation que vous pouvez mettre en œuvre proactivementLa technologie DÉPEND de vos processus
En résumé
Contrôle d’accès au réseau basé sur la politique de santéFlexibilité grâce au choix de la méthode d’enforcement
Protection au niveau de l’accès au réseau et/ou de l’accès à l’hôte et/ou de l’accès à l’application selon les besoins, les risques, l’infrastructure existante et le cycle de mise à jour
Large support de l’industriePlateforme avec une architecture extensible , basée sur les standards : solution multivendeur de bout en boutLarge écosystème de partenaires (une centaine) : préservation des investissements déjà effectués
Préparation : la technologie ne peut pas tout : Aide à automatiser la surveillance de la conformité, isolation si nécessaire, rapports / correctionles personnes définissent la politique de santé, les bases et les processus de maintien à jour de ces bases
Autres sessions
Déployer l’isolation avec IPsecWindows Vista : améliorations du firewall et IPsecLonghorn Server de A à Z
Références
La session NAP des JMS 2006 disponible en PPT & vidéos depuis http://www.microsoft.com/france/securite/jms/infor.mspx
PPT :http://download.microsoft.com/download/5/9/F/59F51CAC-B200-4E11-9221-CB7213661F7E/[300]_Controle_sante_machines_(NAP).ppt
Vidéo :http://www.microsoft.com/france/events/event.aspx?EventID=118771226http://www.microsoft.com/france/events/event.aspx?EventID=118771227http://www.microsoft.com/france/events/event.aspx?EventID=118771228
Attributs RADIUS pour NAPMicrosoft-Quarantine-State
Machine access should beFull AccessQuarantinedProbation until a certain time
Microsoft-Quarantine-Grace-Time Specified date and time for probation
Microsoft-IPv4-Remediation-ServersCollection of IPv4 addresses of fixup servers
Microsoft-IPv6-Remediation-ServersCollection of IPv6 addresses of fixup servers
Microsoft-Attribute-Not-Quarantine-CapableMachine requesting access is not participating in NAP