La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Rappels sur NAP Démo de configuration et de fonctionnement avec 802.1X Comment se préparer.

Présentations similaires


Présentation au sujet: "Rappels sur NAP Démo de configuration et de fonctionnement avec 802.1X Comment se préparer."— Transcription de la présentation:

1

2 Rappels sur NAP Démo de configuration et de fonctionnement avec 802.1X Comment se préparer

3

4

5 Validation vis à vis de la politique Détermine si oui ou non les machines sont conformes avec la politique de sécurité de lentreprise. Les machines conformes sont dites saines (ou « en bonne santé ») Restriction réseau Restreint laccès au réseau selon létat de santé des machines Mise à niveau Fournit les mises à jour nécessaires pour permettre à la machine de devenir saine. Une fois en bonne santé, les restrictions réseau sont levées Maintien de la conformité Les changements de la politique de sécurité de lentreprise ou de létat de santé des machines peuvent résulter dynamiquement en des restrictions réseau

6 Demande daccès Voici mon nouvel état de santé Server RADIUS (NPS) Client Périphérique daccès réseau (DHCP, VPN, 802.1X, IPsec, passerelle TS) Serveurs de remèdes Puis-je avoir accès ? Voici mon « état de santé » Ce client doit-il être restreint en fonction de sa « santé » ? Mises à jour de politique en cours sur le serveur RADIUS (NPS) Vous avez un accès restreint tant que vous navez pas amélioré les choses Puis-je avoir les mises à jour ? Vous pouvez… Daprès la politique, le client nest pas à jour Mise en quarantaine du client, lui demandant de se mettre à jour Réseau de lentreprise Réseau restreint On donne accès au poste client à lintranet Serveurs de politique En accord avec la politique, le client est à jour Accès accordé

7 Serveur(s) de politique Policy Server Policy Server Network Policy Server Quarantine Server Quarantine Server System Health Validator System Health Validator Périphériques daccès Quarantine Enforcement Server Quarantine Enforcement Server Serveur RADIUS Network Policy Server (NPS) Serveur de quarantaine (QS) Client Agent de quarantaine (QA) Stratégie de santé Mises à jour États de santé Demandes daccès au réseau Serveur(s) de politique Serveur(s) de remédes Certificat de santé Périphériques daccès au réseau (DHCP, 802.1X, VPN, TS) & Autorité denregistrement santé (HRA) Agents de santé (SHA) MS et tiers System Health Validators (SHV) MS et tiers Clients dapplication (QEC) (DHCP, IPsec, 802.1X, VPN) Serveur de remédiation Remediation Server Remediation ServerClient System Health Agent System Health Agent Quarantine Agent Quarantine Agent Quarantine Enforcement Client Quarantine Enforcement Client SHA QA QEC RS PS SHV QS QES

8 Serveur RADIUS Network Policy Server (NPS) Serveur de quarantaine (QS) Client Agent de quarantaine (QA) Stratégie de santé Mises à jour États de santé Demandes daccès au réseau Certificat de santé Agents de santé (SHA) MS et tiers System Health Validators (SHV) MS et tiers Clients dapplication (QEC) (DHCP, IPsec, 802.1X, VPN) Serveur de remédiation Distribue correctifs et signatures Distribue correctifs et signaturesClient Vérifient létat de santé du client Vérifient létat de santé du client Coordination entre SHA et QEC Coordination entre SHA et QEC Méthode denforcement Méthode denforcement Serveur(s) de politique Fournit un SHV Fournit un SHV Network Policy Server Evalue la santé du client Evalue la santé du client Evalue la réponse du SHA Evalue la réponse du SHA Périphériques daccès Méthode denforcement Méthode denforcement SHA QA QEC RS PS SHV QS QES Périphériques daccès au réseau (DHCP, 802.1X, VPN, TS) & Autorité denregistrement santé (HRA) Serveur(s) de politique Serveur(s) de remédiation

9 Enforcement dabord – santé ensuite NAP ne peut pas protéger le réseau des utilisateurs et systèmes malveillants NAP est conçu comme la surcouche santé qui se met sur des systèmes de sécurité réseau NAP est dépendant de ses mécanismes denforcement (=mécanismes de restrictions daccès) DHCP 802.1X (EAP) VPN (EAP/PEAP) IPsec Passerelle Terminal Services RDP/HTTP La mise en œuvre dIPsec, VPN, 802.1X, passerelle TS ou DHCP doit avoir été pensée et déployée en tant que solution de sécurité autonome, avant dajouter le contrôle de santé

10 Le serveur DHCP contrôle laccès en définissant les routes Option DHCP Router = (donc pas de passerelle par défaut sur le client) Masque de sous-réseau = (donc pas de route pour le sous réseau) Option Classeless Static Routes Pour le serveur DHCP Pour le serveur DNS Pour les serveurs de mises à jour Doù la possibilité de ne se connecter quà certaines adresses spécifiques

11 Option 220 MS vendor pour envoyer le bilan de santé (SoH) Support IPv4 seulement (pas dIPv6) Inconvénient : comme la quarantaine DHCP repose sur des entrées dans la table de routage IPv4, impossible dempêcher un administrateur local malveillant de changer manuellement la table de routage pour obtenir un accès complet au réseau Tous les serveurs DHCP doivent être mis à jour

12 Supplicant (Client) Authentificateur (switch ou point daccès) Serveur dauthentification (RADIUS) Port non contrôlé Port contrôlé État authentifié Accès autorisé Autres ressources État non authentifié Accès bloqué

13 Méthode EAP Media EAP MS CHAP v2 TLS SecurID PPP … TLS GSS_API Kerberos PEAPIKEMD5 Plug-in dauthentification sur le client et le serveur RADIUS

14 EAPOL-start EAP-request/identity EAP-response/identity RADIUS-access-request (EAP) EAP-request RADIUS-access-challenge (EAP) EAP-response (credentials) RADIUS-access-request (EAP) EAP-success RADIUS-access-accept (EAP) Access blocked Access allowed Client supplicant Point daccès authenticator RADIUS authentication server

15 Crée un tunnel TLS avec le certificat du serveur RADIUS uniquement Authentifie le client dans ce tunnel Le protocole dauthentification est protégé TLS EAP Authentification Certificat Serveur RADIUS-EAP EAPOL (802.1X)

16 Quarantaine par mise en place de filtres IP ou par affectation à un VLAN Peut utiliser Une liste de bilans de santé (SoH) Envoi par PEAP-TLV (comme VPN) Un certificat de santé (X509) Recommandé

17 Mise sous tension Chargement des pilotes réseau Authentification machine 802.1X Connectivité réseau DHCP Secure channel avec DC Mise à jour GPO Application GPO dont script démarrage Affichage bannière de logon Ctrl+Alt+Suppr Authentification domaine Authentification utilisateur 802.1X DHCP Mise à jour GPO Application GPO dont script logon

18 Support de PPTP ou de L2TP/IPsec Nécessite une authentification basée sur PEAP Prend en charge la renégociation PPP sans déconnexion Les serveurs VPN contrôlent laccès en appliquant des filtres IP

19 IPsec : mécanisme disolation au niveau hôte Si vous utilisez déjà IPsec pour lisolation de domaine ou de serveurs NAP peut sappuyer sur ce qui est dores et déjà en place pour isoler les machines non conformes Politique IPsec Nécessite des lettres de créance, comme un certificat de santé Exemples : Tous les pairs doivent présenter un certificat de santé Tous les pairs doivent présenter un certificat de santé, sauf sils se connectent au port 80

20 BLOQUÉ Zone de quarantaine Zonelimitrophe Zoneprotégée AUTORISÉ AUTORISÉAUTORISÉ Définitions des politiques Zone protégée Tous les systèmes ont un certificat de santé Certificat nécessaire pour se connecter à un système Zone limi- trophe Tous les systèmes ont un certificat de santé Certificat demandé mais non obligatoire pour se connecter à un système Zone de quaran- taine Pas de certificat de santé Pas de politique IPsec

21

22 IPsec est le seul mécanisme à fonctionner au niveau hôte Ne peut pas être contourné en utilisant un hub ou des machines virtuelles Si IPsec est déjà utilisé pour lisolation de domaine ou de serveurs NAP peut sappuyer sur ce qui est dores et déjà en place pour isoler les machines non-conformes Politique IPsec Nécessite des lettres de créance, comme un certificat de santé Exemples Tous les pairs doivent présenter un certificat de santé Tous les pairs doivent présenter un certificat de santé, sauf sils se connectent au port 80

23 Fonctionne en complément des technologies de protection niveau 2 Défense en profondeur des segments où les switches & routeurs ont été mis à niveau Possibilité disoler de manières spécifique des ports UDP/TCP et applications Fonctionne avec les serveurs et linfrastructure existante Ne nécessite pas de remplacement/mise à jour des serveurs DHCP et VPN Protection des segments où les switches & routeurs ont été mis à niveau Offre une isolation flexible Les systèmes en bonne santé peuvent accéder aux systèmes en quarantaine (pas vice versa) Le modèle disolation est défini par la stratégie

24 Flux réseau Serveur RADIUS (NPS) Client Serveurs de remèdiation politique Autorité de délivrance des certificats de santé Serveur DHCP Serveur VPN Eléments actifs réseau 802.1X HTTPS DHCP PEAP over PPP PEAP over EAPOL RADIUS

25 Client conforme Client non conforme DHCP Adresse IP complète, accès complet Ensemble restreint de routes VPN Accès complet VLAN restreint 802.1X Accès complet VLAN restreint IPsec Peut communiquer avec tout autre client géré Les machines gérées rejettent les tentatives de connexion des machines non conformes Complémente la protection au niveau de la couche 2 Fonctionne avec lexistant (serveurs, infrastructure) Isolation flexible

26 DHCPVPN802.1XIPsec Réseau local ou à distance LAN A distance LAN et WLAN Niveau de sécurité de la méthode Utilisation des serveurs existants NonNonOuiOui Utilisation de linfrastructure réseau existante OuiOuiNonOui Nouveaux scénarios comme lisolation dapplication NonNonNonOui

27 Client RADIUS Périphériques daccès (Wi-Fi 802.1X, commutateur authentifiant 802.1X) Serveurs NAP (serveur VPN, serveur DHCP, HRA) Paramètres NAP pour la détermination du niveau de santé et lenforcement Traitement des demandes de connexion Configuration SHV Configuration des SHV installés pour les prérequis de santé et les conditions derreurs Modèles Évaluation des prérequis de santé en termes de SHV installés et dobligation de succès ou déchec Groupes de serveurs de remédiation Ensemble de serveurs accessibles aux clients qui ont un accès limité (clients restreints) Paramètres NAP

28 Liste ordonnée de règles qui définissent si les connexions doivent être autorisées ou rejetées Règle = condition(s), ensemble de paramètres de profil, permission + restrictions de connexion (en cas de connexion autorisée) Les tentatives de connexion sont toujours autorisées (mais des restrictions peuvent être appliquées) Do not enforce (pour les machines conformes) Enforce (machines non conformes) Configure Resources (choix dun groupe de serveurs de remédiation) Defer Enforcement (accès complet jusquà une date/heure) Direct users with limited access to a Web page for assistance Configure URL Update non compliant computers

29 Clients LAN Il sera nécessaire dinstaller une mise à jour pour Windows XP afin de bénéficier de lagent de quarantaine Peut être déployé via les mécanismes habituels Au premier renouvellement dadresse, les clients peuvent être redirigés vers le serveur de remédiation De façon à se mettre en conformité Clients VPN Il est recommandé dutiliser Connection Manager Utiliser une action de type Pre-connect pour vérifier lexistence et installer la mise à jour de lagent de quarantaine Les clients doivent utiliser lauthentification EAP

30 Serveurs hors de la zone de protection Nécessite une administration rapprochée Préférable à une exemption des clients non-NAP Stratégie IPsec spécifique Isolation applicative ou port Stratégie de groupe pour les clients et serveurs W2K+ VLAN séparé Serveurs périmètriques Terminal Servers Passerelles applicatives et VPN

31 NAP supporte les 2 technologies Il est possible de les combiner comme 2 couches dans une stratégie de défense en profondeur NAP vous offre la possibilité de positionner la protection au niveau RéseauHôteApplication Ou toute combinaison des 3 précédents selon les besoins, les risques, linfrastructure existante et le cycle de mise à jour

32 Networking Devices

33

34

35 NAP est la surcouche santé de vos réseaux, sattache à la conformité vis à vis de votre politique et repose sur les technologies de sécurité réseau déjà existantes Des technologies serveurs Un modèle de conformité que le système peut faire respecter Des technologies disolation réseau Des outils de génération de rapports et danalyse Gestion de lidentité Gestion de la conformité Opérations matures (personnes, processus, technologies)

36 Modéliser ce qui est pris en compte dans létat de santé Analyser les exemptions Définition de zones de politique de santé Analyse de linfrastructure réseau sécurisée Déploiement de serveurs NPS (RADIUS) Sélection des moyens disolation (enforcement) dans chaque zone Planification du déploiement et du définition du processus de gestion du changement Tableaux de bord et mesures

37 Que faire pour que NAP fonctionne bien ? Définir les politiques de santé pour les réseaux qui doivent être protégés Les personnes (et pas la technologie) définissent la politique Définir les bases pour les réseaux utilisant NAP pour la gestion de la conformité Quels paramètres sont requis pour accéder à ce réseau ? Quels SHA (System Health Agents) doivent sexécuter pour couvrir ces paramètres ? Définir les processus qui maintiennent ces bases à jour Les personnes et les processus assurent ces fonctions – pas la technologie Surveiller la conformité – NAP permet dautomatiser cette tâche Isoler lorsque cest nécessaire – NAP permet dautomatiser cette tâche Rapporter et corriger – NAP permet dautomatiser cette tâche

38 Disponibilité dune politique de santé écrite et approuvée ? Bien plus quune discussion technique – différentes divisions peuvent avoir des politiques différents Quelles sont les bases pour lentreprise ? Quelles sont les politiques optimisées ? Bases : anti-virus, contrôle des correctifs, pare-feu personnel, etc. Optimisées : configuration spéciale de lOS, ensembles dapplications, allocations PKI, isolation IPsec, etc. Nécessité dallouer le temps nécessaire pour évaluer les risques de lentreprises Le contrôle de santé devrait être un mandat venant du sommet de lentreprise Nécessité dallouer du temps pour travailler avec les différentes divisions et leurs architectes

39 Quest-ce qui doit être protégé ? Comment est-ce protégé aujourdhui ? Quelles politiques de santé existent ou ont besoin dêtre crées ? Comment sont gérées ces politiques ? Quels sont les prérequis de santé qui vont être exigés ? Est-ce que vous avez ladhésion de tous les groupes (administrateurs réseau, administrateurs sécurité, administrateurs postes de travail) pour vous lancer ?

40 Des exemptions de base sont fournies par défaut en fonction du type et du niveau de système dexploitation Les exemptions doivent être gérables Mettre en place un processus de documentation des exemptions afin de savoir en fin de compte où sont les trous ! Plans datténuation des exemptions Peut-on les isoler par dautres moyens ? Segmentation IP grâce à IPsec Contrôle de VLAN Accès extranet/invité

41 Utiliser le profil de lentreprise Quels groupes ont besoin de quel accès à quelles données ? Besoins des divisions Géré ou non géré Employés distant / accès à distance Succursales Exemptions ? Léquipe informatique interne est-elle centralisée ou décentralisée ? Quelles combinaisons de méthodes denforcement peuvent le mieux satisfaire les besoins de lentreprise ?

42 Quelle infrastructure est en place pour la prise en charge les politiques de santé ? Y a-t-il une IGC (PKI) ? Quels sont les serveurs RADIUS et à quoi sont-ils utilisés? VPN? Sappuient sur Active Directory ? Y a-t-il des commutateurs compatibles 802.1X ? Quels sont les SHA/SHV dont vous avez besoin pour appliquer les politiques de santé ? Est-il possible de repenser larchitecture de linfrastructure ? Logique et physique ? Mise en place de linfrastructure & planning de mise à jour

43 Quelle est la stratégie daccès appropriée ? Comment traiter les différentes populations de clients ? Clients NAP et conformes Clients NAP et non-conformes Non clients NAP Quelle est la bonne segmentation du réseau ? Où faut il positionner les ressources sensibles ? Services de noms Services dauthentification Applicatifs Comment déployer linfrastructure NAP ? Serveurs RADIUS et Autorité de Certification Serveurs DHCP / VPN / TS et éléments réseau Serveurs de remédiation

44 Créer une matrice de planification Clients gérés vs. non gérés Clients filaires vs. sans fil Donner des scénarios spécifiques à lentreprise quand une méthode denforcement serait plus appropriée quune autre Les méthodes denforcement peuvent être combinées Zone Méthode denforcement Version de politique Filaire/Sans fil Géré Zone A IPsec1.2.5Filaire100% Zone B 802.1X/IPsec2.5.7 Les 2 100% Zone C DHCP/IPsec1.2.5 Les 2 65%

45 Évident pour les zones daccès distant : utilisation du VPN La planification dun déploiement de VPN nest pas triviale (projet indépendant) Si des solutions VPN existent déjà alors il faut les étendre pour prendre en charge lenforcement de la politique de santé Le choix de VPN devra sintégrer avec les opérations IPsec – planifier en connaissance de cause ! Considérations de bande passante : La bande passante est-elle assez large pour la remédiation ?

46 Évaluer et suivre le risque lié à la vulnérabilité Si risque haut ou critique, màj politique et notifier clients Développer critère danalyse pour détecter conformité Analyser la conformité p/r politique sur réseau Faire respecter la politique après une période de grâce Mesurer et créer rapports surveillance conformité Vulnérabilité identifiée

47 Labsence de gestion du changement peut avoir un résultat désastreux Une des fonctions utiles de NAP est le fonctionnement multi-mode Mode Reporting : pour avoir une bonne vue des ressources réseau, clients, zones Le mode Reporting est simple et efficace comme outil de planification Mode Provisioning : pour le dimensionnement (analyse dimpact des packages de mises à jour sur les différentes zones) Mode Enforcement : quand tous les impacts ont été évalués et approuvés

48 La meilleure façon daméliorer la réponse à incident est davoir des mesures à analyser Combien de temps pour sceller une zone ? Faut-il ajuster la politique ou la remédiation dans une zone donnée ? Quels sont les objectifs (mesures) à atteindre pour chaque zone ? Pour lentreprise ? Il y aura un incident de sécurité/santé NAP est un moyen datténuation que vous pouvez mettre en œuvre proactivement La technologie DÉPEND de vos processus

49 Contrôle daccès au réseau basé sur la politique de santé Flexibilité grâce au choix de la méthode denforcement Protection au niveau de laccès au réseau et/ou de laccès à lhôte et/ou de laccès à lapplication selon les besoins, les risques, linfrastructure existante et le cycle de mise à jour Large support de lindustrie Plateforme avec une architecture extensible, basée sur les standards : solution multivendeur de bout en bout Large écosystème de partenaires (une centaine) : préservation des investissements déjà effectués Préparation : la technologie ne peut pas tout : Aide à automatiser la surveillance de la conformité, isolation si nécessaire, rapports / correction les personnes définissent la politique de santé, les bases et les processus de maintien à jour de ces bases

50 Déployer lisolation avec IPsec Windows Vista : améliorations du firewall et IPsec Longhorn Server de A à Z

51 La session NAP des JMS 2006 disponible en PPT & vidéos depuis or.mspx or.mspx or.mspx PPT : B200-4E CB F7E/[300]_Controle_sante_machines_(NAP).pp t B200-4E CB F7E/[300]_Controle_sante_machines_(NAP).pp t Vidéo : D= D= D= D= D= D=

52

53 Microsoft-Quarantine-State Machine access should be Full Access Quarantined Probation until a certain time Microsoft-Quarantine-Grace-Time Specified date and time for probation Microsoft-IPv4-Remediation-Servers Collection of IPv4 addresses of fixup servers Microsoft-IPv6-Remediation-Servers Collection of IPv6 addresses of fixup servers Microsoft-Attribute-Not-Quarantine-Capable Machine requesting access is not participating in NAP


Télécharger ppt "Rappels sur NAP Démo de configuration et de fonctionnement avec 802.1X Comment se préparer."

Présentations similaires


Annonces Google