La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Protection des accès distants avec les services de quarantaine Cyril Voisin Chef de programme Sécurité Microsoft France.

Présentations similaires


Présentation au sujet: "Protection des accès distants avec les services de quarantaine Cyril Voisin Chef de programme Sécurité Microsoft France."— Transcription de la présentation:

1 Protection des accès distants avec les services de quarantaine Cyril Voisin Chef de programme Sécurité Microsoft France

2 Bon à savoir Pour récupérer les présentations mises à jour, se connecter sur rubrique événements Pour poser une question que vous navez pas eu le temps de poser durant une session Newsgroup sécurité : news://microsoft.public.fr.securite news://microsoft.public.fr.securite

3 La stratégie sécurité de Microsoft Isolation et résilience Authentification,Autorisation,Audit Excellencedelengineering Mise à jour avancée Conseils,Outils,Réponse

4 Sommaire La problématique Services de quarantaine de Windows Server 2003 SP1 (Network Access Quarantine Control) Contrôle et mise en conformité Architecture et composants Description du fonctionnement pas à pas Comment déployer Démo Autres considérations

5 Sommaire Les autres mécanismes de quarantaine Aperçu de la quarantaine avec le pare-feu ISA Server 2004 (traité partiellement dans une autre session) Différences principales Intérêt Le futur : NAP (Network Access Protection)

6 La problématique Accès ou sécurité ?

7 Accès ou sécurité : le dilemme De plus en plus dutilisateurs ont besoin de davantage daccès depuis des endroits de plus en plus variés De plus en plus demployés nomades qui travaillent depuis laéroport, lhôtel, la maison, les cafés, les hotspots… Laccès nest plus seulement limité aux collaborateurs mais aussi aux fournisseurs, aux clients, aux partenaires

8 Accès ou sécurité : le dilemme MAIS il ne faut pas que cela compromette la sécurité Que se passe-t-il si la machine qui se connecte Nest pas saine ? Nest pas à jour ? (tant au niveau des patches quau niveau des signatures dantivirus ou dantispyware ?) Na pas eu le temps de se mettre à jour ? (portable utilisant uniquement laccès à distance par intermittence) Laccès distant augmente les risques de sécurité PC non gérés et autres périphériques Périphériques pas à jour au niveau des correctifs de sécurité ou non protégés

9 Accès ou sécurité : le dilemme Moyens de protection classiques Authentification forte Chiffrement des communications Cependant, le niveau dauthentification et de chiffrement du VPN nempêche pas la propagation de vers depuis une machine infectée utilisée par un utilisateur authentifié…

10 Quarantaine dans Windows Server 2003 Network Access Quarantine Control

11 Solution VPN Windows Client Passerelle Protocoles Authentification Politique/Stratégie Client VPN intégré RRAS (Routing and Remote Access Services) Protocoles standards de lindustrie IAS (Internet Authentication Services) & Active Directory Clients MS VPN Windows Server 2003 Outils de déploiement Connection Manager Administration Kit

12 Composants de la solution VPN Client Passerelle Protocoles Authentification Outils de déploiement Politique/Stratégie Clients VPN intégrés L2TP/IPSEC avec NAT-T Windows Server 2003 Windows XP Windows 2000 PPTP Windows Server 2003 / Windows XP Windows 2000 Windows NT 4.0 Windows ME, 98 Clients supplémentaires Client L2TP/IPSEC pour Win9x, NT4.0 Incluant le support de NAT-T Clients VPN Microsoft

13 Quarantaine Solution de contrôle et de mise en conformité des postes lors des connexions distantes (portables ou machines à la maison ne présentant pas forcément toutes les garanties en termes dapplication des mises à jour de sécurité, dantivirus, dantispyware, etc.)

14 Architecture Profil CM Exécute un script personnalisé post connexionExécute un script personnalisé post connexion Le script exécute le notificateur RQC notifier avec la chaîne de résultatLe script exécute le notificateur RQC notifier avec la chaîne de résultat Listener RQS reçoit la chaîne de résultat du notificateurRQS reçoit la chaîne de résultat du notificateur Compare aux résultats possiblesCompare aux résultats possibles Enlève le compte à rebours si la réponse reçue indique que le client nest pas à jourEnlève le compte à rebours si la réponse reçue indique que le client nest pas à jour Enlève le filtre de quarantaine si le client est à jourEnlève le filtre de quarantaine si le client est à jour Options de quarantaine (VSA) Un compte à rebours limite la fenêtre de temps qui permet de notifier un résultat avant la déconnexion automatiqueUn compte à rebours limite la fenêtre de temps qui permet de notifier un résultat avant la déconnexion automatique Des filtres de quarantaine définissent laccès en quarantaineDes filtres de quarantaine définissent laccès en quarantaine Client RAS RRAS (ISA en option) Serveur IAS Quarantain e Internet Active Directory

15 Quarantaine daccès distant au réseau Un script client vérifie si le client respecte ou non la politique de sécurité de lentreprise Pare-feu personnel activé ? Dernières signatures antivirales téléchargées ? Mises à jour obligatoires installées ? Mise à jour de la table de routage désactivée ? Écran de veille protégé par mot de passe activé ? Si la vérification réussit, le client obtient un accès complet Si la vérification échoue, le client se trouve déconnecté à lexpiration du compte à rebours

16 Service dauthentification Internet (IAS) Connexion Authentification Autorisation VSA Quarantaine + Filtres normaux Résultat de la vérification des règles Suppression de la quarantaine Accès en Quarantaine Vérification de clients en quarantaine InternetCorpnet ClientRRASIAS Accès complet Quarantaine AD

17 Côté client ClientsWindows Server 2003 Windows XP Professionnel et Édition Familiale Windows 2000Windows Millennium EditionWindows 98 Seconde Édition Profils CM créés avec le Connection Manager Administration Kit (CMAK), fourni dans Windows Server 2003 SP1 Une action post-connexion qui exécute un script de conformité à la stratégie daccès Un script de conformité à la stratégie daccès Un composant de notification

18 Notification et script Composant de notification Le composant de notification envoie un message signalant la bonne exécution du script au serveur daccès distant de quarantaine Il est possible dutiliser soit un composant de notification propre, soit Rqc.exe, qui est fourni dans Windows Server 2003 SP1 Script de stratégie daccès Effectue des contrôles sur le système client distant pour vérifier sa conformité avec la stratégie daccès. Il peut sagir dun fichier exécutable ou dun simple fichier de commandes (fichier batch)

19 Côté serveur Un système exécutant lune des versions de Windows Server 2003 et RRAS (Routing and Remote Access), supportant les attributs RADIUS MS-Quarantine- IPFilter et MS-Quarantine-Session- Timeout pour imposer les paramètres de quarantaine Un composant recevant les notifications (listener) Par exemple : rqs.exe de Windows Server 2003 SP1

20 Stratégie daccès en quarantaine Il est possible dutiliser lattribut MS-Quarantine- IPFilter pour configurer les filtres dentrées/sorties afin de nautoriser que : Le trafic généré par lagent de notification. Si vous utilisez Rqc.exe et Rqs.exe avec leur port par défaut, alors le filtre des paquets entrants ne doit accepter que le trafic vers le port TCP 7250 Le trafic nécessaire aux messages Dynamic Host Configuration Protocol (DHCP) entre le client distant et le serveur daccès Le trafic nécessaire pour accéder aux ressources de quarantaine. Cela comprend des filtres permettant au client distant daccéder à des serveurs de résolution de noms (tels des serveurs DNS), de partage de fichiers, ou de sites Web

21 Description du fonctionnement 1.Le client distant utilise le profil CM installé pour se connecter au serveur daccès distant 2.Le client distant fournit ses informations dauthentification au serveur daccès distant 3.Le service Routing and Remote Access envoie une demande daccès RADIUS au serveur IAS 4.Le serveur IAS valide les informations dauthentification du client distant et, si elles sont valides, vérifie sa stratégie daccès distant. La tentative de connexion respecte les règles de quarantaine

22 Connexion AuthentificationInternetCorpnet ClientRRASIAS Quarantaine Description du fonctionnement

23 5.La connexion est acceptée avec les restrictions de quarantaine. Le serveur IAS envoie une autorisation daccès RADIUS, contenant entre autres les attributs MS-Quarantine-IPFilter et MS-Quarantine-Session-Timeout (cet exemple suppose que les 2 attributs sont configurés dans la règle daccès distant correspondante) Le client distant et serveur daccès complètent la connexion distante, ce qui inclut lobtention dune adresse IP et dautres paramétrages Le client distant et serveur daccès complètent la connexion distante, ce qui inclut lobtention dune adresse IP et dautres paramétrages

24 Description du fonctionnement 7.Le service Routing and Remote Access configure les paramètres MS-Quarantine- IPFilter et MS-Quarantine-Session-Timeout pour la connexion. A ce point, le client distant ne peut envoyer que du trafic respectant les filtres de quarantaine et dispose du nombre de secondes spécifié par MS-Quarantine-Session- Timeout pour notifier au serveur daccès que le script sest effectué avec succès 8.Le profil CM exécute le script de quarantaine comme action de post-connexion

25 Connexion Authentification Autorisation VSA Quarantaine + Filtres normaux Accès en QuarantaineInternetCorpnet ClientRRASIAS Quarantaine Description du fonctionnement

26 Le script de quarantaine vérifie que le système du client distant est conforme à la stratégie des pré-requis de configuration. Si tous ces tests de contrôle sont réussis, le script exécute Rqc.exe avec ces paramètres de commande, dont lun contient le libellé de la version du script de quarantaine inclus dans le profil CM Le script de quarantaine vérifie que le système du client distant est conforme à la stratégie des pré-requis de configuration. Si tous ces tests de contrôle sont réussis, le script exécute Rqc.exe avec ces paramètres de commande, dont lun contient le libellé de la version du script de quarantaine inclus dans le profil CM Rqc.exe envoie une notification au serveur daccès distant, indiquant que le script sest exécuté avec succès. La notification inclut le libellé de la version du script de quarantaine Rqc.exe envoie une notification au serveur daccès distant, indiquant que le script sest exécuté avec succès. La notification inclut le libellé de la version du script de quarantaine

27 Description du fonctionnement 11.La notification est reçue par le composant listener (Rqs.exe). Le trafic nécessaire à la notification a été accepté car correspondant aux échanges autorisés par les filtres de quarantaine configurés par lattribut MS- Quarantine-IPFilter de la règle daccès distant correspondante 12. Le composant listener compare le libellé de la version du script contenu dans le message de notification avec ceux configurés dans le Registre et renvoie un message indiquant que cette version du script est soit valide, soit invalide

28 Description du fonctionnement 13.Si la version du script est valide, le composant listener invoque lAPI MprAdminConnectionRemoveQuarantine(), qui permet au service Routing and Remote Access de supprimer les paramètres MS-Quarantine- IPFilter et MS-Quarantine-Session-Timeout de la connexion et configure les conditions de la connexion normale. Dés lors, le client distant dispose dun accès normal à lintranet 14.Le composant « listener » enregistre dans le journal Système un événement détaillant la connexion en quarantaine

29 Connexion Authentification Autorisation VSA Quarantaine + Filtres normaux Résultat de la vérification des règles Suppression de la quarantaine Accès en QuarantaineInternetCorpnet ClientRRAS Accès complet Quarantaine Description du fonctionnement IAS

30 Comment déployer le contrôle daccès par quarantaine Créer des ressources de quarantaine Créer un script ou un programme qui valide la configuration client Installer Rqs.exe sur les serveurs daccès Créer un nouveau profil CM de quarantaine avec CMAK de Windows Server 2003 Distribuer le profil CM pour linstaller sur les postes distants Configurer la stratégie daccès par quarantaine

31 Créer des ressources de Quarantaine Serveurs de résolution de noms (tels que des serveurs DNS et WINS [Windows Internet Name Service]) Autoriser la résolution de noms DNS ou NetBIOS pendant que le client est en quarantaine. Cela est important quand vous référencez des serveurs de fichiers, des sites Web, ou dautres types de ressources par leur nom Serveurs de fichiers Autoriser laccès à des fichiers partagés, utilisés pour installer les composants nécessaires sur les clients distants, tels mises à jour de signatures de virus ou profils CM Serveurs Web Autoriser laccès aux pages Web contenant les instructions et les liens vers les composants à installer sur les clients distants

32 Où placer les ressources de quarantaine ? Désigner ou placer toutes les ressources de quarantaine sur un sous-réseau séparé. Lavantage de cette approche est que vous navez quà configurer quun seul filtre dentrée/sortie pour vos ressources de quarantaine Désigner différents serveurs de votre intranet en tant que ressources de quarantaine, indépendamment de leur emplacement. Lavantage de cette approche est que vous pouvez utiliser des serveurs existants pour héberger les ressources de quarantaine, profitant de leur sous- utilisation

33 Créer un script ou un programme qui valide la configuration client Le script ou programme de quarantaine que vous créez peut être soit un fichier exécutable (*.exe) soit un simple fichier de commandes (*.cmd ou *.bat). Dans le script, exécuter la série de tests permettant de vérifier que le client distant est conforme aux stratégies daccès. Si tous ces tests sont réussis, le script doit exécuter Rqc.exe avec les paramètres suivants : rqc /conn %CONNNAME% /port %PORT% /domain %DOMAIN% /user %USERNAME% /sig %REMOVAL% /log %RQS_LOGMESSAGE%

34 Déploiement Installer rqs.exe sur les serveurs RRAS

35 Créer un nouveau profil CM de quarantaine avec CMAK Un profil CM de quarantaine est juste un profil CM normal daccès distant par modem ou VPN, complété par : Une action post-connexion pour exécuter le script ou le programme créé pour vérifier la conformité à la stratégie daccès et inclure le script ou le programme dans le profil Le composant de notification au profil

36 Distribuer le profil CM aux clients distants Le profil est un fichier exécutable qui doit être exécuté sur les clients distants pour installer le profil et configurer la connexion avec quarantaine : Envoyer le fichier exécutable du profil ou proposer un lien vers le profil dans un courriel. Placer le fichier exécutable sur une page Web Exécuter le profil à partir des scripts de démarrage ou des scripts de login au domaine.

37 Configurer une stratégie daccès distant avec Quarantaine Créer une stratégie daccès pour les connexions à distance normales en utilisant un modèle classique de stratégie daccès. Modifier cette nouvelle stratégie en ajoutant les attributs MS-Quarantine- Session-Timeout et MS-Quarantine- IPFilter

38 Autres considérations

39 Si les tests de conformité échouent Le script peut diriger lutilisateur distant vers une page Web La page décrit comment obtenir les composants nécessaires Si la réponse de notification indique une version invalide du script, le script peut proposer à lutilisateur distant dinstaller le dernier profil CM à partir dun répertoire partagé ou dune page Web

40 Restreindre laccès au serveur VPN Dans le cas dun VPN dédié, restreindre laccès aux seuls ports nécessaires à la connexion VPN : Src addr Src mask Dest addr Dest mask Protocol Src port Dest port Description AnyAnyAnyAny47AnyAnyGRE AnyAnyAnyAnyTCP1723Any PPTP Inbound AnyAnyAnyAnyTCPAny1723 PPTP Outbound AnyAnyAnyAnyUDP500500ISAKMP AnyAnyAnyAnyUDP L2TP

41 Restreindre les droits dutilisation VPN Utiliser la stratégie RAS pour accorder la connectivité VPN quaux utilisateurs ayant une activité professionnelle nécessitant un accès distant Définir les utilisateurs par « Control access through Remote Access Policy » Exploiter les notions de groupes et dutilisateurs Windows pour faire respecter les droits dutilisation VPN

42 Aperçu de stratégie daccès Configuration de Domaine La permission daccès distant des propriétés du compte utilisateur est définie à Control access through Remote Access Policy Le compte utilisateur est inclus dans le groupe VPN_Users de lannuaire Active Directory Configuration de la stratégie daccès distant Nom de la stratégie : Remote Access VPN Connections Méthode daccès : VPN Utilisateur ou Groupe : Groupe avec EXAMPLE\VPN_Users sélectionné Méthodes dauthentification : Extensible Authentication Protocol avec Smart card ou autres Certificats, Microsoft Encrypted Authentication version 2 (MS-CHAP v2), et Microsoft Encrypted Authentication (MS-CHAP) sélectionnés Niveau de chiffrement : Strong encryption et Strongest encryption sélectionnés

43 Filtrage de paquets par profil RAS Les stratégies RAS peuvent être utilisées pour spécifier un ensemble de filtres de paquets IP, appliqués aux connexion à distance Elles peuvent également empêcher les clients VPN denvoyer des paquets dont ils ne sont pas la source Protection contre le risque de clients VPN agissant comme des routeurs pour des éléments non authentifiés

44 Exemples de script Exemples de script de vérification de la configuration client s.aspx?FamilyID=a290f2ee-0b55-491e- bc4c b2462&displaylang=en s.aspx?FamilyID=a290f2ee-0b55-491e- bc4c b2462&displaylang=en s.aspx?FamilyID=a290f2ee-0b55-491e- bc4c b2462&displaylang=en

45 Démo Réalisée par Arnaud Jumelet

46 Les limites 1.Utilisateurs malveillants 2.Intégrité du script de quarantaine 3.Systèmes Wi-Fi et 802.1x 4.Numéro de version vulnérable 5.Possibilité dusurpation de la notification 6.Reverse Engineering

47 ISA Server 2004

48 La quarantaine dans ISA Server Vérifier lors de la connexion la conformité du poste client VPN: Mécanisme danalyse Mise en quarantaine Limiter les accès autorisés pour les sessions VPN Seules les ressources nécessaires sont accessibles Lensemble du réseau interne ne devrait pas être accessible Utiliser du filtrage applicatif pour analyser les communications à destination des ressources internes. Possibilité de faire de lanalyse antivirale Filtrage des flux RPC, http, SMTP, CIFS, DNS…

49 DMZ_1 Modèle réseau ISA Server 2004 Nombre de réseaux illimité Type daccès NAT/Routage spécifique à chaque réseau Les réseaux VPN sont considérés comme des réseaux à part entière La machine ISA est considéré comme un réseau (LocalHost) Stratégie de filtrage par réseau Filtrage de paquet sur toutes les interfaces Internet VPN ISA 2004 Toutes topologies / stratégies CorpNet_1 DMZ_n Local Area Network CorpNet_n VPN Quarantaine

50 action traffic utilisateur source destination conditions action sur traffic pour utilisateur depuis source vers destination avec conditions Structure des règles de pare-feu ISA Autoriser Interdire Protocole IP Port(s) TCP/UDP Réseau(x) Adresse(s) IP Machine(s) Réseau(x) Adresse(s) IP Machine(s) Serveur publié Site Web publié Planning Filtre applicatif Utilisateur(s) Groupe(s) Ensemble de règles ordonnées Règles systèmes puis règles utilisateur Plus logique et plus facile à comprendre (versus ISA Server 2000 notamment)

51 Processus avec RRAS+ISA Ressources de quarantaine Le client se connecte RRAS+ISA assigne le client au réseau clients VPN en quarantaine, autorisant ainsi un accès à un nombre limité de ressources Un script côté client vérifie les paramètres de la configuration Le script nenvoie pas une notification de réussite à RRAS+ISA Le client peut se mettre à jour depuis les ressources de quarantaine RRAS+ISA déconnecte le client à lexpiration du temps accordé

52 Processus avec RRAS+ISA Réseau interne Ressources de quarantaine Le client se connecte RRAS+ISA assigne le client au réseau clients VPN en quarantaine, autorisant ainsi un accès à un nombre limité de ressources Un script côté client vérifie les paramètres de la configuration Le script envoie une notification de réussite à RRAS+ISA RRAS+ISA assigne le client au réseau clients VPN, fournissant ainsi laccès au réseau interne

53 VPN et quarantaine avec ISA 2004

54 Intérêt Restreint les accès pendant la quarantaine ET après (nouvre donc pas le réseau interne dans son intégralité pour les clients VPN) Filtrage applicatif Au niveau du filtrage pendant la quarantaine, plus adapté pour les grands réseaux (MS IT a rencontré un problème de taille de paquet RADIUS compte tenu du grand nombre de ressources à offrir en quarantaine) Permet lutilisation de Windows 2000 Server Plus dinfos sur le sujet lors de la session qui suit : « Mise en œuvre de réseaux privés virtuels (VPN) avec ISA Server 2004 : principes et bénéfices », démonstrations à lappui !

55 Network Access Protection (NAP)

56 NAP Technologie sappliquant à tout type de connexion réseau (distante mais aussi et surtout locale) 3 fonctions de base Validation de la politique de conformité (Health Policy Validation) Restriction des clients Mise en conformité (Health Remediation) NAP est la surcouche santé de vos systèmes de sécurité réseau. NAP est la surcouche santé de vos systèmes de sécurité réseau. Prévu pour Windows Server « Longhorn » (en 2007) Prévu pour Windows Server « Longhorn » (en 2007)

57 Bénéfices de NAP Architecture Extensible Extensible via des solutions déditeurs tierces Basée sur des standards ouverts (DHCP, IPSec, Radius, 802.1x…) Possibilité dutilisation de scripts personnalisés pour faire des tests complémentaires Fonctionne avec les infrastructures réseau existantes Réduit le risque de compromission du réseau

58 Demande daccès ? Voici mon nouveau status Est ce que le client doit être restreint en fonction de son status? En accord avec la politique, le client nest pas à jour. Mise en quarantaine et demande au client de se mettre à jour Puis je avoir accès ? Voici mon status actuel En accord avec la politique, le client est à jour Accès autorisé NAP : principe de fonctionnement IAS Policy Server Client Network Access Device (DHCP, VPN) Remediation Servers (antivirus, système de maj de correctifs…) Mise à jour du serveur IAS avec les politiques en cours Vous avez droit à un accès restreint tant que vous nêtes pas à jour Puis je avoir les mises à jour ? Les voici Réseau de lentreprise Réseau restreint (quarantaine) Le Client obtient laccès complet à lIntranet System Health Servers (défini les pré requis du client) System Health Validators Microsoft et 3 rd Parties Quarantine Server System Health Agents Microsoft et 3 rd Parties (AV/Patch/FW/Other) Quarantine Agent Quarantine Enforcement Client Microsoft et 3 rd Parties DHCP/VPN/IPsec/802.1x

59 Scénarios dutilisation de NAP Machine de lentreprise Comme un portable ou un PC de bureau de la compagnie Machine de lentreprise Comme un portable de la compagnie Accès au réseau local (LAN) Machine non compatible NAP ou à un visiteur Comme le PC portable dun intervenant externe Connexion à des réseaux distants Machine non managée ou non compatible NAP Comme la machine personnelle dun employé Validation de la politique réseau Mise en conformité Avec la politique Isolation réseau

60 Bénéfices de NAP Focus sur la mise en conformité des politiques dentreprise Les professionnels IT définissent les stratégies de sécurité Le système NAP isole les clients qui ne respectent pas ces stratégies Les clients isolés ont un accès restreint à des services leur permettant de revenir en conformité Architecture extensible Extensible via des solutions déditeurs tierces Basée sur des standards ouverts (DHCP, IPSec, Radius…) Possibilité dutilisation de scripts personnalisés pour faire des tests complémentaires Fonctionne avec les infrastructures réseau existantes Réduit le risque de compromission du réseau

61 Les partenaires NAP

62 RessourcesRessources

63 Ressources Site sécurité : Quarantaine dans Windows Server ne.mspx ne.mspx Installer un lab avec quarantaine : 52dd-4bbe-8a75-f8fbb76cd28a&DisplayLang=en 52dd-4bbe-8a75-f8fbb76cd28a&DisplayLang=enVPN Retours dexpérience de Microsoft en tant quentreprise ISA Server NAP

64 Microsoft France 18, avenue du Québec Courtaboeuf Cedex


Télécharger ppt "Protection des accès distants avec les services de quarantaine Cyril Voisin Chef de programme Sécurité Microsoft France."

Présentations similaires


Annonces Google