Network Access Protection Implémenté par Daniel Phaneuf et Maximo G. Diaz
Network Access Protection Il permet de verifier et de s’assurer que l’ordinateur client satisfait nos prequisites. Dans le but de cet exercice, nous avons désactivé le coupe feu de Windows, procédure ayant pour effet de faire échouer artificiellement la vérification faite par NAP. Pour cause, le poste de travail se retrouve dans le réseau de remédiation.
Problèmes: Implémentation. NAP est destiné pour être conjointement utilisé avec le service DHCP de Windows. Il a fallu ajouter certaines options DHCP qui seront à leur tour injectées aux postes qui ne respectent pas nos règles de conformités. Il faut également encadrer les postes ayant une carence vis-à-vis le protocole NAP.
Problème: Démarrage du « NAP Agent » Selon nos observations le service « napagent », responsable de la vérification de conformité auprès du serveur NAP, n’est pas démarré par défaut. Par conséquent, les postes de travail seront traités comme étant des postes non-capables.
Problème: Démarrage du « NAP Agent » Une solution était d’instruire le poste de travail pour que ce dernier puisse démarrer le service de manière automatique. Cette solution demeure difficilement envisageable, particulièrement dans une vaste infrastructure. Nous avons profité d’une installation d’Active Directory existante qui à son tour poussera une stratégie de groupe ayant pour effet de changer les options de démarrage du service « napagent . »
Problème: Démarrage du « NAP Agent » Il a donc été question d’ajouter un serveur DNS dans les options DHCP afin que le poste de travaille puisse minimalement se joindre au domaine et/ou communiquer avec un contrôleur de domaine afin d’obtenir des stratégies de groupe.
Problème: Conception La nature même du NAP comporte un risque de sécurité important. Un adversaire ayant des connaissances suffisantes en réseautique peut à son tour changer sa table de routage et esquiver NAP.
Problème: Vidéo sur Youtube La vidéo sur Youtube ne fait guère mention des options DHCP devant être poussées aux clients non-conformes. Il a fallu fouiller un peu sur Technet pour apprendre que le service napagent n’était pas démarré.
Suggestions: InterVLAN Nous avons manqué de temps afin d’implémenter NAP dans un réseau ayant plusieurs VLANs. Il nous semblerait que NAP puisse fonctionner dans un environnement InterVLAN, mais l’interpretation du routeur vis-à-vis la trame DHCP était difficilement prévisible.