3/26/2017 3:55 PM Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP Architecte Infrastructure Microsoft.

Présentation au sujet: "3/26/2017 3:55 PM Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP Architecte Infrastructure Microsoft."— Transcription de la présentation:

1 3/26/2017 3:55 PM Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP Architecte Infrastructure Microsoft France © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

2 Agenda Introduction Protection des ressources grâce au filtrage applicatif Pourquoi le filtrage applicatif est-il nécessaire ? Présentation d’ISA Server 2004 Protection des accès aux réseaux Accès distants (VPN) avec ISA 2004 et NAP Accès aux réseaux locaux avec NAP (Network Access Protection) Synthèse Ressources utiles Questions / Réponses

3 Introduction

4 Quelques chiffres 95% de toutes les failles évitables avec une configuration alternative (CERT 2002) Environ 70% de toutes les attaques Web se passent au niveau de la couche Application (Gartner Group) Sur les 10 attaques les plus répandues, 8 sont effectuées au niveau application (Symantec Corp) De décembre 2003 à décembre 2004, +80% d’augmentation du nombre de vulnérabilités d’application Web découvertes (Symantec Corp)

5 Top 10 des attaques : 80% d’attaques au niveau de la couche 7
3/26/2017 3:55 PM Top 10 des attaques : 80% d’attaques au niveau de la couche 7 SQL Server DCOM RPC SMTP HTTP Top attacks (source : Symantec Corporation) © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

6 Augmentation des risques avec le développement de la mobilité
Développement du marché des PC portables et du nombre de systèmes non administrés dans les réseaux l’entreprise Postes personnels mais connectés sur le réseau de l’entreprise Postes des intervenants externes Points d’accès Wi-fi non déclarés Ordinateur portables qui ne sont pas à jour (du fait de leur mobilité) au niveau de correctifs de sécurité, signature anti-virale… Connexion à des réseaux tiers « inconnus » (hot spot wifi, clients, partenaires…) Accès VPN nomades Réseaux sans fils

7 Impact sur les entreprises
3/26/2017 3:55 PM Impact sur les entreprises Attaques au niveau de la couche application Implications Usurpation d’identité Site web défiguré Accès non autorisés Modification des données et journaux Vol d’informations propriétaire Interruption de service Mise en conformité ISO 17799 Bâle 2 (EU) Data Protection Act (EU) HIPAA (US) Sarbanes Oxley (US) Litiges Partage de fichiers illicites Piratage Responsabilités juridiques des entreprises et des RSSI En France le RSSI a obligation de moyens © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

8 Défense en profondeur Défenses du périmètre Défenses du réseau
3/26/2017 3:55 PM Défense en profondeur L’accès à une couche inférieure nécessite de passer au préalable par les couches supérieures. Tous les éléments constituant la sécurité de la plateforme sont ainsi répartis au sein de cette approche par couche  La gestion des accès aux réseaux fait partie des premières couches de protection d’une infrastructure Les pare-feu sont un élément de protection du périmètre et du réseau Défenses du périmètre Défenses du réseau Défenses des machines Défenses des applications Les pare-feu sont des lignes de défense Filtrage de paquets Stateful Inspection Détection d’intrusion Les pare-feu applicatifs deviennent indispensables car Encapsulation HTTP Chiffrement SSL Connexions anonymes Données et Ressources Sécurité physique Politiques de sécurité © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

9 Protection des ressources grâce au filtrage applicatif

10 Un paquet IP vu par un pare-feu « traditionnel »
3/26/2017 3:55 PM Un paquet IP vu par un pare-feu « traditionnel » Seul l’entête du paquet est analysé Le contenu au niveau de la couche application est comme une “boite noire” IP Header Source Address, Dest. Address, TTL, Checksum TCP Header Sequence Number Source Port, Destination Port, Checksum Application Layer Content ???????????????????????????????????????? La décision de laisser passer est basée sur les numéros de ports Le trafic légitime et les attaques applicatives utilisent les mêmes ports (ex : 80) Internet Trafic HTTP attendu Trafic HTTP non prévu Attaques Trafic non-HTTP Réseau d’entreprise © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

11 3/26/2017 3:55 PM Le problème Les pare-feux traditionnels se focalisent sur le filtrage de paquets et le statefull inspection Aujourd’hui, la plupart des attaques contournent ce type de protection. Quelques exemples : Code Red & Nimda sur les serveurs IIS 4 et 5 OpenSSL/Slapper Blaster, Welchia sur le RPC Endpoint Mapper de Windows Slammer sur les serveurs SQL (ou MSDE) Santy-A sur les forums phpBB (Linux et Windows) Le premier ver dans la nature (in the wild) à exploiter une vulnérabilité d’une application Web Les ports et protocoles ne permettent plus de contrôler ce que font les utilisateurs OPenSSL/Slapper Versions of OpenSSL servers prior to 0.9.6e and pre-release version beta2 contain a remotely exploitable buffer overflow vulnerability. This vulnerability can be exploited by a client using a malformed key during the handshake process with an SSL server connection using the SSLv2 communication process Source : Symantec (Tread Report VII) Traditionally, network intrusion detection systems have provided adequate coverage of network-borne threats. However, the increasing use of Web application attacks and client-side exploitation, particularly through browser attacks and through malformed files such as images, are proving problematic for traditional intrusion detection systems Santy-A was also the first worm in the wild to exploit a vulnerability in a Web application rather than the underlying operating system or the Web server itself. Symantec expects that Santy is likely just the first in a new trend of worms exploiting these types of vulnerabilities. Another new development in bot communication is the use of POP3 to send commands. This was seen in Sconato,74 a bot that also contained keystroke-logging functionality. The bot would connect to a predefined mail server to retrieve messages containing attachments. Embedded within the attachments were commands that were able to direct the bot to manipulate various aspects of the compromised computer. Additionally, Sconato is able to respond to commands by sending messages to the mail server. Since POP3 communication is not uncommon on most networks, this traffic would be more likely to go undetected than a connection to an IRC server. Additionally, ports used for POP3 communication are less likely to be filtered or blocked at the network perimeter. The top 50 malicious code reported to Symantec saw an increase in malicious code containing SMTP relays, which seems to confirm that this activity is increasing Le filtrage de paquets & le statefull inspection ne sont plus suffisants pour se protéger des attaques actuelles © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

12 Plateforme Web classique et risques associés
3/26/2017 3:55 PM Plateforme Web classique et risques associés 2 zones réseau (Front End et Back End) + 2 pare-feu …mais toujours des risques en cas d’absence de filtrage applicatif Le risque ici est principalement l’attaque applicative. Par exemple : injections HTML injections SQL Injections PHP …. TCP 80 (HTTP) TCP 443 (HTTPS) Attacks targeting Web servers and Web applications continue to be feasible methods of compromising information; however, as noted by the significant presence of TCP ports 445 and 135, the majority of attacks remain attempts to compromise and control both desktop computers and servers alike. The Perl.Santy24 worm shows that widespread scanning for a port is not necessary for a worm to successfully target a Web technology. Vulnerabilities are design or implementation errors in information systems that can result in a compromise of the confidentiality, integrity, or availability of information stored upon or transmitted by the affected system. They are most often found in software, although they exist in all layers of information systems, from design or protocol specifications to physical hardware implementations. The vulnerabilities classified as easy to exploit are nearly all input validation errors in Web-based applications. This includes cross-site scripting, HTML injection, and SQL injection. The proportion of vulnerabilities for which no exploit is required has been steadily increasing with the proportion of Web application vulnerabilities TCP 1433 (MS-SQL) © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

13 Pare-feu niveau Application Pare-feu traditionnel
3/26/2017 3:55 PM Quel pare-feu utiliser ? Les pare-feu applicatif sont aujourd’hui nécessaires pour se protéger des attaques évoluées car ils permettent une analyse approfondie du contenu des paquets réseaux. Comprendre ce qu’il y a dans la partie données est désormais un pré requis Néanmoins, le remplacement n’est pas forcément la meilleure solution Effet entonnoir Réseau public Pare-feu niveau Application Pare-feu traditionnel Vers réseau interne, DMZ, … © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

14 Quand pare-feu te bloquera
HTTP tu utiliseras…

15 Http : le protocole universel…
… pour outrepasser un pare-feu ou un proxy Aujourd’hui, de nombreuses applications utilisent HTTP comme méthode d’encapsulation des protocoles propriétaires afin de s’affranchir des ouvertures de ports spécifiques sur les équipements filtrants : Messageries instantanées : MSN Messenger, Yahoo Messenger, ICQ… Logiciels P2P : Kazaa, Emule, Bitorrent, Exeem… Messagerie : Outlook 2003 (RPC sur HTTP)… Adware, Spyware : Gator… Chevaux de Troie

16 Plus fort que http : https 
3/26/2017 3:55 PM Plus fort que http : https  Une fois la session SSL établie, les proxies ou les pare-feu sont incapables de voir les données échangée. De nombreuses logiciels utilisent déjà cette solution. Exemple : Outlook 2003 (RPC over https) Comment réduire le risque ? Limiter les accès https : utilisation de listes blanches Bloquer les requêtes dans la phase de négociation Déchiffrer le SSL en sortie au niveau du proxy/firewall (Man In The Middle) Concept intéressant en terme de sécurité mais pas vraiment en terme de confidentialité Chiffre : Clusif 2004 FBI 2004 Ernst & Young 2004 Source : ETUDE DES SOLUTIONS DE FILTRAGE DES ECHANGES DE MUSIQUE SUR INTERNET DANS LE DOMAINE DU PEER TO PEER La mise en place de cryptages pourrait rendre inopérante (ou complexifier) la détection de trames P2P. Ce cryptage pourrait être mis en place : • Soit par la modification des protocoles peer-to-peer (en faisant par exemple évoluer les trames de connexion ou le suffixe des fichiers) – ce qui suppose à la fois une modification des applications clientes installées sur les postes de travail des internautes et des serveurs (serveurs Kazaa, eDonkey ou trackers Bittorrent) ; • Soit par la mise en place de protocole de tunneling de type SSL/HTTPS ou SSH, par exemple. Certains protocoles peer-to-peer sont déjà encryptés, notamment : • FreeNet (Winny) ; • SSL (SoftEther, EarthStation5, Filetopia) ; • SSH (SoftEther). SoftEther  SoftEther emulates a LAN Card and LAN Hub. Two or more computers with SoftEther installed and connected to the Internet can assemble a Virtual Private Network. One computer with a Global IP Address has to be the virtual hub. The other computer with a SoftEther LAN card installed could connect to the virtual hub. Communication between Virtual Hub and Virtual LAN Card is based on the SoftEther protocol. Connection can be directedr through a Proxy Server, SOCK Server or SSH Server. Even with strict firewall settings, connection can be made as Port usage can be easily changed. SoftEther is a  clinet/server software, clinet is a virtual ethernet card, when clinet connect to server(virtual hub), will useing https's tunneling and bridging, to bypass firewall and build a VPN Filetopia : Earthstation : 2)  If you are a university student behind a school firewall preventing you from using p2p programs, then you will be excited to use ES5 because ES5 penetrates university firewalls and nobody will know you are file sharing! So what happens when a user uses the HTTP protocol to "tunnel" other application protocols? The popular GoToMyPC is a remote access application that the vendor claims "does not compromise the integrity of your firewall" ( Oh really? As a firewall administrator, I open outbound HTTPS to selected users so that they can go to secure Web sites. I do not open outbound access to HTTPS (SSL) so that they can use remote access technologies that enable them to connect to their home computer and then transfer virus infected files from their home computer (which isn’t under our administrative control). And because the GoToMyPC application runs in an SSL tunnel, virtually no firewall on the market today (including the ISA firewall) can inspect the contents of the SSL stream once SSL session is negotiated. GoToMyPC is just one example of HTTP tunneling of non-Web applications. If you do a Google search of "HTTP tunnel" and you’ll come up with a slew of applications that allow users to subvert firewall policy by tunneling dangerous applications through an HTTP connection. For example, near the top of the list on the Google search is HTTP-Tunnel. You can see a list of applications your users can use with this software at As a firewall administrator, you enable users access to applications they have permission to access and they should not be able to use applications that they are not permitted to access. The HTTP tunneling software subverts firewall policy and security, and potentially violates corporate network access policies. © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

17 ISA Server 2004 en quelques mots
2ème génération de pare-feu de Microsoft Pare-feu multicouches (3,4 et 7) Capacité de filtrage extensible Proxy applicatif Nouvelle architecture Intégration des fonctionnalités de VPN

18 La vue d’un paquet IP par ISA
3/26/2017 3:55 PM La vue d’un paquet IP par ISA Les entêtes du paquet et le contenu sont inspectés Sous réserve de la présence d’un filtre applicatif (comme le filtre HTTP) Application Layer Content <html><head><meta http- quiv="content-type" content="text/html; charset=UTF-8"><title>MSNBC - MSNBC Front Page</title><link rel="stylesheet" IP Header Source Address, Dest. Address, TTL, Checksum TCP Header Sequence Number Source Port, Destination Port, Checksum Les décisions de laisser passer sont basées sur le contenu Seul le trafic légitime et autorisé est traité Internet Trafic HTTP Attendu Trafic HTTP non attendu Attacks Trafic non HTTP Réseau d’entreprise © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

19 Architecture d’ISA Server 2004
Packet layer filtering 1 Protocol layer filtering 2 Application layer filtering 3 Kernel mode data pump: Performance optimization 4 Policy Store Policy Engine Web filter Web filter Web Proxy Filter Web Filter API (ISAPI) SMTP Filter RPC Filter DNS Filter App Filter Application Filter API Firewall service User Mode Firewall Engine TCP/IP Stack Kernel Mode NDIS

20 ISA Server 2004 : un produit évolutif
Filtrage applicatif Haute disponibilité Antivirus Détection d’intrusion Reporting Accélérateurs SSL Contrôle d’URLs Authentification + d’une trentaine de partenaires !!! Plus de partenaires sur :

21 Modèle réseau ISA Server 2004
Nombre de réseaux illimité Type d’accès NAT/Routage spécifique à chaque réseau Les réseaux VPN sont considérés comme des réseaux à part entière La machine ISA est considéré comme un réseau (LocalHost) Stratégie de filtrage par réseau Filtrage de paquet sur toutes les interfaces Internet VPN VPN Quarantaine DMZ_1 Local Area Network CorpNet_n ISA 2004 DMZ_n CorpNet_1 Toutes topologies / stratégies

22 Structure des règles de pare-feu ISA
Ensemble de règles ordonnées Règles systèmes puis règles utilisateur Plus logique et plus facile à comprendre (versus ISA Server 2000 notamment) Réseau(x) Adresse(s) IP Machine(s) Utilisateur(s) Groupe(s) Autoriser Interdire action sur traffic pour utilisateur depuis source vers destination avec conditions Réseau(x) Adresse(s) IP Machine(s) Serveur publié Site Web publié Planning Filtre applicatif Protocole IP Port(s) TCP/UDP

23 Scénarios de mise en œuvre d’ISA Server 2004
3/26/2017 3:55 PM Scénarios de mise en œuvre d’ISA Server 2004 Pare feu de périmètre Multi réseaux DMZ Protection des applications et réseaux internes Passerelle de filtrage applicatif Serveurs Web Serveurs de messagerie Protection des réseaux internes Accès sécurisé et optimisé à Internet Stratégies d’accès Cache Web Réseaux multi sites Sécurisation sites distants Intégration du VPN IPSec en mode Tunnel © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

24 Protection des serveurs Web
3/26/2017 3:55 PM Protection des serveurs Web Filtrage avancé de HTTP Délégation d’authentification ISA pré authentifie les utilisateurs, éliminant les boites de dialogues redondantes et n’autorise que le trafic valide à passer …ce qui permet aux attaques applicatives, virus ou autres vers de se propager sans être détectés… ISA peut déchiffrer et inspecter le trafic SSL L’analyse des URL par ISA 2004 peut stopper les attaques Web au périmètre du réseau, y compris en cas d’utilisation de SSL Si le serveur Web fait une demande d’authentification - tout utilisateur sur Internet peut accéder à cette demande Analyse HTTP (URL, contenu…) SSL SSL SSL or HTTP Internet ISA Server 2004 Pare-feu traditionnel Web Client Certificat « Public » + sa clé privée Certificat « Privé » + sa clé privée SSL passe au travers des pare-feu traditionnels sans contrôle du fait du chiffrement… …et d’infecter les serveurs internes ! Une fois inspecté le trafic peut être envoyé vers le serveur interne de nouveau chiffré ou en clair. © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

25 Protection des accès sortants
Analyse HTTP (URL, entêtes, contenu…) IM P2P MS RPC… ISA Server 2004 Pare feu traditionnel HTTP, https, FTP… IM, P2P, MS RPC… HTTP IM, P2P, MS RPC… http, https, FTP Internet Client Exemples de signature d’applications :

26 Les versions d’ISA Server 2004
Édition Standard Inclus toutes les fonctionnalités de : Pare-feu (niveaux 3,4,7) Passerelle VPN Proxy cache sur un même serveur Disponible depuis Mai 2004 1 licence par processeur physique Également disponible sous la forme d’appliance Édition Entreprise Ajoute la haute disponibilité et la tolérance de panne Ajoute la capacité à monter en charge en utilisant plusieurs serveurs (groupes) Ajoute l’administration centralisée au niveau entreprise Disponible depuis Mars 2005 1 licence par processeur physique

27 Nouveautés de la version Entreprise
Groupes de serveurs Un ensemble de serveurs (entité d’administration) configurés de la même façon Jusqu’à 31 serveurs !!! Stratégies d’Entreprise Équilibrage de charge réseau Assistant de configuration dans la console d’ISA 2004 Surveillance des services NLB (Network Load Balancing) Cache Web distribué Support de CARP (Cache Array Routing Protocol) Deux nouveaux rôles d’administration Au niveau entreprise 5 au total (dont 3 au niveau groupe) Supervision centralisée et globale Serveur de configuration Configuration Storage Server (CSS)

28 Disponible en appliance
RimApp ROADBLOCK Firewall HP ProLiant DL320 Firewall/VPN/Cache Server Network Engines NS Appliances Celestix Application-Layer Firewall, VPN and Caching Appliance Pyramid Computer ValueServer Security Avantis ISAwall Corrent

29 Protection des accès aux réseaux de l’entreprise (VPN et Locaux)
Gestion des accès distants et des équipements connectés

30 Les attaques viennent aussi de l’interne
3/26/2017 3:55 PM Étude et statistiques sur la sinistralité informatique en France (2002) © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

31 3/26/2017 3:55 PM Les attaques internes ne sont pas toujours déclenchées de manière intentionnelle Le meilleur exemple est la propagation d’un ver comme Blaster (exploitation d’une faille RPC) ou Sasser. Source : Symantec Traditionally, the focus of security strategies has been on the network perimeter: servers, firewalls, and other assets with outward-facing exposure. However, a notable shift has occurred, with the security of client-side systems, primarily end-user desktop hosts, becoming increasingly important. This is because as administrators have become more effective in securing network perimeters, attackers have had to search for alternative entry points into targeted computing systems. As a result, vulnerability researchers and attackers are focusing more on client software installed on individual systems rather than on the underlying operating systems themselves. The Microsoft GDI+ Library JPEG Segment Length Integer Underflow Vulnerability89 is a good example of this. Symantec feels that the current shift towards client-side attacks will result in the use of worms as an initial propagation mechanism for attacks targeting specific vulnerabilities in client-side software. Viruses and worms are excellent ways for client-side attacks to propagate initially and Symantec believes that worms propagating by this method will become more common.90 This could mean that traditional security mechanisms and procedures will become less effective at protecting networks as a whole. Administrators and end users alike will have to exercise extra vigilance to ensure that these new infection vectors are adequately secured. © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

32 Les connexions distantes peuvent également compromettre la sécurité
3/26/2017 3:55 PM Les connexions distantes peuvent également compromettre la sécurité Le même exemple de propagation d’un ver comme Blaster ou Sasser au travers d’un VPN © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

33 Une approche de la segmentation
En terme de sécurité, les pare-feux sont couramment utilisés pour protéger les réseaux d’entreprise des réseaux publics comme Internet Aujourd’hui, il est devenu nécessaire de procéder à un découpage du réseau d’entreprise et d’aller au-delà de la simple segmentation réseau (VLANs) La segmentation des réseaux internes revient à implémenter le principe du pare-feu au cœur du réseau de l’entreprise en intégrant l’analyse (jusqu’au niveau de la couche application) des flux

34 Principes de la segmentation Classification
3/26/2017 3:55 PM Principes de la segmentation Classification Le découpage des réseaux consiste à définir des zones de confiances dans lesquelles des ressources peuvent être placées. Ce découpage nécessite au préalable la définition d’une classification adaptée aux besoins et contraintes de l’entreprise. © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

35 Contrôle et mise en conformité des postes lors des connexions
Les connexions distantes & les connexions au réseau local

36 Sécuriser les connexions VPN (1/2)
Exiger une authentification forte à 2 voire 3 facteurs : Ce que je sais : mot de passe, code PIN Ce que je possède : SmartCard, jeton, calculette… Ce que je suis : reconnaissance biométrique Augmenter le niveau de chiffrement des communications 3DES AES Journaliser, surveiller et analyser l’activité des utilisateurs connectés en VPN

37 Sécuriser les connexions VPN (2/2)
Vérifier lors de la connexion la conformité du poste client VPN: Mécanisme d’analyse Mise en quarantaine Limiter les accès autorisés pour les sessions VPN Seules les ressources nécessaires sont accessibles L’ensemble du réseau interne ne devrait pas être accessible Utiliser du filtrage applicatif pour analyser les communications à destination des ressources internes. Possibilité de faire de l’analyse antivirale Filtrage des flux RPC, http, FTP, SMTP, CIFS, DNS…

38 VPN et quarantaine avec ISA 2004

39 Network Access Protection (NAP)
Network Access Protection (NAP) est une plateforme destinée à contrôler la mise en conformité par rapport à la politique IT de l’entreprise (Ex : politique de mise à jour des OS et des antivirus) des machines Windows connectés aux réseaux de l’entreprise Les mécanismes de NAP vont permettre de restreindre l’accès au réseau de l’entreprise pour les postes non conformes tant qu’ils ne respectent pas la stratégie imposée. La première version de NAP sera disponible dans Windows Server "Longhorn" la prochaine version du système d’exploitation Windows Server. La plateforme NAP (Network Access Protection) n’est pas la même technologie que la mise en quarantaine réseau (Network Access Quarantine Control), qui est une fonctionnalité déjà disponible avec Windows 2003 pour les connexions VPN nomades

40 NAP : principe de fonctionnement
3/26/2017 3:55 PM NAP : principe de fonctionnement Réseau de l’entreprise Réseau restreint (quarantaine) Remediation Servers (antivirus, système de maj de correctifs…) System Health Servers (défini les pré requis du client) Les voici Puis je avoir les mises à jour ? Mise à jour du serveur IAS avec les politiques en cours Demande d’accès ? Voici mon nouveau status Puis je avoir accès ? Voici mon status actuel Est ce que le client doit être restreint en fonction de son status? System Health Agent = Declares health (patch state, virus signature, system configuration, etc.) System Health Validator = Certifies declarations made by health agents Quarantine Enforcer = Negotiates access with specific network access devices Network Access Device = Facilitates health reporting, enforces network restrictions Quarantine Agent = Reports client health status, coordinates between SHA and QES Quarantine Server = Restricts client’s network access based on what SHV certifies System Health Server = Defines health requirements for system components on the client Remediation Server = Installs necessary patches, configurations, applications; brings client to healthy state Statements of Health (SoH) Vous avez droit à un accès restreint tant que vous n’êtes pas à jour En accord avec la politique, le client n’est pas à jour. Mise en quarantaine et demande au client de se mettre à jour En accord avec la politique, le client est à jour Accès autorisé Client Network Access Device (DHCP, VPN) IAS Policy Server System Health Agents Microsoft et 3rd Parties (AV/Patch/FW/Other) System Health Validators Microsoft et 3rd Parties Quarantine Agent Quarantine Enforcement Client Microsoft et 3rd Parties DHCP/VPN/IPsec/802.1x Quarantine Server Le Client obtient l’accès complet à l’Intranet © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

41 Scénarios d’utilisation de NAP
Validation de la politique réseau Mise en conformité Avec la politique Isolation réseau Accès au réseau local (LAN)  Machine de l’entreprise Comme un portable ou un PC de bureau de la compagnie Machine non compatible NAP ou à un visiteur Comme le PC portable d’un intervenant externe Connexion à des réseaux distants  Machine de l’entreprise Comme un portable de la compagnie Machine non managée ou non compatible NAP Comme la machine personnelle d’un employé

42 Bénéfices de NAP Focus sur la mise en conformité des politiques d’entreprise Les professionnels IT définissent les stratégies de sécurité Le système NAP isole les clients qui ne respectent pas ces stratégies Les clients isolés ont un accès restreint à des services leur permettant de revenir en conformité Architecture extensible Extensible via des solutions d’éditeurs tierces Basée sur des standards ouverts (DHCP, IPSec, Radius…) Possibilité d’utilisation de scripts personnalisés pour faire des tests complémentaires Fonctionne avec les infrastructures réseau existantes Réduit le risque de compromission du réseau

43 3/26/2017 3:55 PM Les partenaires NAP 1- Antivirus 2- Management et Update Management 3- Networking (Cisco est également un partenaire) 4- VPN 5- hardware 6- endpoint policy management & enforcement © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

44 Synthèse Contrôle des flux applicatifs
ISA Server 2004 est une solution répondant à ce besoin de filtrage au niveau de la couche Application devenu nécessaire pour protéger les infrastructures Microsoft et non Microsoft. Contrôle des connexions distantes VPN Déjà disponible avec ISA Server 2004 et Windows Filtrage applicatif et mise en quarantaine Contrôle des accès à tous les réseaux (LAN, distants) Avec Network Access Protection disponible avec Windows Longhorn Server

45 Ressources utiles Site Web Microsoft
3/26/2017 3:55 PM Ressources utiles Site Web Microsoft Webcast et séminaires TechNet (Gratuits) Sites externes isatools.org Newsgroup français Microsoft.public.fr.isaserver Kits de déploiement Blogs Blogs.msdn.com/squasta Kits d’évaluation ISA Server Version d’évaluation (120 jours) CD (livres blancs et guide déploiement) © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

46 Questions / Réponses

47 Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex
3/26/2017 3:55 PM Microsoft France 18, avenue du Québec Courtaboeuf Cedex © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.