570 likes | 821 Views
Se préparer à NAP. Cyril Voisin Chef de programme Sécurité Microsoft France. Sommaire. Rappels sur NAP Démo de configuration et de fonctionnement avec 802.1X Comment se préparer. NAP. Rappels. Votre politique, et non pas la topologie, définit le périmètre.
E N D
Se préparer à NAP Cyril Voisin Chef de programme Sécurité Microsoft France
Sommaire • Rappels sur NAP • Démo de configuration et de fonctionnement avec 802.1X • Comment se préparer
NAP Rappels
Votre politique, et non pas la topologie, définit le périmètre
Network Access ProtectionLa surcouche santé des réseaux • Validation vis à vis de la politique • Détermine si oui ou non les machines sont conformes avec la politique de sécurité de l’entreprise. Les machines conformes sont dites “saines” (ou « en bonne santé ») • Restriction réseau • Restreint l’accès au réseau selon l’état de santé des machines • Mise à niveau • Fournit les mises à jour nécessaires pour permettre à la machine de devenir “saine”. Une fois “en bonne santé”, les restrictions réseau sont levées • Maintien de la conformité • Les changements de la politique de sécurité de l’entreprise ou de l’état de santé des machines peuvent résulter dynamiquement en des restrictions réseau
Serveurs de politique Network Access Protection Réseau de l’entreprise Réseau restreint Serveurs de remèdes Vous pouvez… Puis-je avoir les mises à jour ? Mises à jour de politique en cours sur le serveur RADIUS (NPS) Puis-je avoir accès ? Voici mon « état de santé » Ce client doit-il être restreint en fonction de sa « santé » ? Demande d’accèsVoici mon nouvel état de santé Vous avez un accès restreint tant que vous n’avez pas amélioré les choses D’après la politique, le client n’est pas à jourMise en quarantaine du client, lui demandant de se mettre à jour En accord avec la politique, le client est à jour Accès accordé Client Périphérique d’accès réseau (DHCP, VPN, 802.1X, IPsec, passerelle TS) Server RADIUS (NPS) On donne accès au poste client à l’intranet
Network Access ProtectionComposants • Serveur de remédiation • Remediation Server • Client • System Health Agent • Quarantine Agent • QuarantineEnforcement Client • Serveur(s) de politique • Policy Server • Network Policy Server • Quarantine Server • System HealthValidator • Périphériques d’accès • QuarantineEnforcement Server RS PS SHA QS QA SHV QEC QES Serveur(s) deremédes Serveur(s) depolitique Mises à jour Stratégie de santé États de santé Demandes d’accès au réseau Client Serveur RADIUSNetwork Policy Server (NPS) Agents de santé (SHA) MS et tiers Certificat de santé System HealthValidators (SHV) MS et tiers Agent de quarantaine (QA) Périphériques d’accès au réseau (DHCP, 802.1X, VPN, TS) & Autorité d’enregistrement santé (HRA) Serveur de quarantaine (QS) Clients d’application (QEC) (DHCP, IPsec, 802.1X, VPN)
Network Access ProtectionRôles des composants • Serveur de remédiation • Distribue correctifs et signatures • Client • Vérifient l’état de santé du client • Coordination entre SHA et QEC • Méthode d’enforcement • Serveur(s) de politique • Fournit un SHV • Network Policy Server • Evalue la santé du client • Evalue la réponse du SHA • Périphériques d’accès • Méthode d’enforcement RS PS SHA QS QA SHV QEC QES Serveur(s) deremédiation Serveur(s) depolitique Mises à jour Stratégie de santé États de santé Demandes d’accès au réseau Client Serveur RADIUSNetwork Policy Server (NPS) Agents de santé (SHA) MS et tiers Certificat de santé System HealthValidators (SHV) MS et tiers Agent de quarantaine (QA) Périphériques d’accès au réseau (DHCP, 802.1X, VPN, TS) & Autorité d’enregistrement santé (HRA) Serveur de quarantaine (QS) Clients d’application (QEC) (DHCP, IPsec, 802.1X, VPN)
Infrastructure réseau sécurisée • Enforcement d’abord – santé ensuite • NAP ne peut pas protéger le réseau des utilisateurs et systèmes malveillants • NAP est conçu comme la surcouche santé qui se met sur des systèmes de sécurité réseau • NAP est dépendant de ses mécanismes d’enforcement (=mécanismes de restrictions d’accès) • DHCP • 802.1X (EAP) • VPN (EAP/PEAP) • IPsec • Passerelle Terminal Services RDP/HTTP • La mise en œuvre d’IPsec, VPN, 802.1X, passerelle TS ou DHCP doit avoir été pensée et déployée en tant que solution de sécurité autonome, avant d’ajouter le contrôle de santé
Enforcement avec DHCP • Le serveur DHCP contrôle l’accès en définissant les routes • Option DHCP Router = 0.0.0.0 (donc pas de passerelle par défaut sur le client) • Masque de sous-réseau = 255.255.255.255 (donc pas de route pour le sous réseau) • Option Classeless Static Routes • Pour le serveur DHCP • Pour le serveur DNS • Pour les serveurs de mises à jour • D’où la possibilité de ne se connecter qu’à certaines adresses spécifiques
Enforcement avec DHCP • Option 220 MS vendorpour envoyer le bilan de santé (SoH) • Support IPv4 seulement (pas d’IPv6) • Inconvénient : comme la quarantaine DHCP repose sur des entrées dans la table de routage IPv4, impossible d’empêcher un administrateur local malveillant de changer manuellement la table de routage pour obtenir un accès complet au réseau • Tous les serveurs DHCP doivent être mis à jour
802.1X : port contrôlé et port non contrôlé Serveur d’authentification(RADIUS) Supplicant (Client) Authentificateur(switch ou point d’accès) Port non contrôlé Port contrôlé État non authentifié État authentifié Autres ressources Accès autorisé Accès bloqué
EAP (Extensible Authentication Protocol) Plug-in d’authentification sur le client et le serveur RADIUS MS CHAP v2 TLS SecurID GSS_API Kerberos Méthode TLS PEAP IKE MD5 EAP EAP Media … 802.11 PPP 802.3 802.5
EAPOL-start EAP-request/identity RADIUS-access-request (EAP) EAP-response/identity RADIUS-access-challenge (EAP) EAP-request RADIUS-access-request (EAP) EAP-response (credentials) RADIUS-access-accept (EAP) EAP-success Access allowed Authentification RADIUS authentication server Client supplicant Point d’accès authenticator Access blocked
PEAP - Microsoft, Cisco, RSA • Crée un tunnel TLS avec le certificat du serveur RADIUS uniquement • Authentifie le client dans ce tunnel • Le protocole d’authentification est protégé RADIUS-EAP EAPOL (802.1X) Certificat Serveur TLS EAP Authentification
Enforcement avec 802.1X • Quarantaine par mise en place de filtres IP ou par affectation à un VLAN • Peut utiliser • Une liste de bilans de santé (SoH) • Envoi par PEAP-TLV (comme VPN) • Un certificat de santé (X509) • Recommandé
Étapes démarrage Windows • Mise sous tension • Chargement des pilotes réseau • Connectivité réseau • Authentification machine 802.1X • Secure channelavec DC • Application GPO dont script démarrage • Affichage bannière de logon Ctrl+Alt+Suppr • Mise à jour GPO • DHCP • Authentification domaine • Authentification utilisateur 802.1X • Application GPO dont script logon • DHCP • Mise à jour GPO
Enforcement avec VPN • Support de PPTP ou de L2TP/IPsec • Nécessite une authentification basée sur PEAP • Prend en charge la renégociation PPP sans déconnexion • Les serveurs VPN contrôlent l’accès en appliquant des filtres IP
Enforcement avec IPsec • IPsec : mécanisme d’isolation au niveau hôte • Si vous utilisez déjà IPsec pour l’isolation de domaine ou de serveurs • NAP peut s’appuyer sur ce qui est d’ores et déjà en place pour isoler les machines non conformes • Politique IPsec • Nécessite des lettres de créance, comme un certificat de santé • Exemples : • Tous les pairs doivent présenter un certificat de santé • Tous les pairs doivent présenter un certificat de santé, sauf s’ils se connectent au port 80
AUTORISÉ AUTORISÉ Modèle d’isolation NAP basé sur IPsec Zone de quarantaine Zone limitrophe Zone protégée AUTORISÉ BLOQUÉ
Network Access Protection Enforcement - IPsec • IPsecest le seul mécanisme à fonctionner au niveau hôte • Ne peut pas être contourné en utilisant un hub ou des machines virtuelles • Si IPsecest déjà utilisé pour l’isolation de domaine ou de serveurs • NAP peut s’appuyer sur ce qui est d’ores et déjà en place pour isoler les machines non-conformes • Politique IPsec • Nécessite des lettres de créance, comme un certificat de santé • Exemples • Tous les pairs doivent présenter un certificat de santé • Tous les pairs doivent présenter un certificat de santé, sauf s’ils se connectent au port 80
Network Access Protection Enforcement - IPsec • Fonctionne en complément des technologies de protection niveau 2 • Défense en profondeur des segments où les switches & routeurs ont été mis à niveau • Possibilité d’isoler de manières spécifique des ports UDP/TCP et applications • Fonctionne avec les serveurs et l’infrastructure existante • Ne nécessite pas de remplacement/mise à jour des serveurs DHCP et VPN • Protection des segments où les switches & routeurs ont été mis à niveau • Offre une isolation flexible • Les systèmes en bonne santé peuvent accéder aux systèmes en quarantaine (pas vice versa) • Le modèle d’isolation est défini par la stratégie
Network Access Protection Flux réseau Serveurs de politique Serveurs de remèdiation Autorité de délivrance des certificats de santé Serveur DHCP HTTPS DHCP Serveur VPN RADIUS PEAP over PPP PEAP over EAPOL Eléments actifs réseau 802.1X Client Serveur RADIUS (NPS)
Serveur NPS (RADIUS, Longhorn) • Client RADIUS • Périphériques d’accès (Wi-Fi802.1X, commutateur authentifiant 802.1X) • Serveurs NAP (serveur VPN, serveur DHCP, HRA) • Paramètres NAP pour la détermination du niveau de santé et l’enforcement • Traitement des demandes de connexion • Configuration SHV • Configuration des SHV installés pour les prérequis de santé et les conditions d’erreurs • Modèles • Évaluation des prérequis de santé en termes de SHV installés et d’obligation de succès ou d’échec • Groupes de serveurs de remédiation • Ensemble de serveurs accessibles aux clients qui ont un accès limité (clients restreints) • Paramètres NAP
Stratégies d’accès distant (NPS) • Liste ordonnée de règles qui définissent si les connexions doivent être autorisées ou rejetées • Règle = condition(s), ensemble de paramètres de profil, permission + restrictions de connexion (en cas de connexion autorisée) • Les tentatives de connexion sont toujours autorisées (mais des restrictions peuvent être appliquées) • Do not enforce(pour les machines conformes) • Enforce (machines non conformes) • Configure Resources(choix d’un groupe de serveurs de remédiation) • DeferEnforcement(accès complet jusqu’à une date/heure) • Direct userswithlimitedaccess to a Web page for assistance • Configure URL • Update non compliant computers
Gestion des clients Non-NAP • Serveurs hors de la zone de protection • Nécessite une administration rapprochée • Préférable à une exemption des clients non-NAP • Stratégie IPsecspécifique • Isolation applicative ou port • Stratégie de groupe pour les clients et serveurs W2K+ • VLAN séparé • Serveurs périmètriques • Terminal Servers • Passerelles applicatives et VPN
802.1X et IPsec : au choix ! • NAP supporte les 2 technologies • Il est possible de les combiner comme 2 couches dans une stratégie de défense en profondeur • NAP vous offre la possibilité de positionner la protection au niveau • Réseau • Hôte • Application • Ou toute combinaison des 3 précédents selon les besoins, les risques, l’infrastructure existante et le cycle de mise à jour
Antivirus Logiciels de sécurité Correctifs Une centaine de partenaires Équipements de sécurité Périphériquesréseau Networking Devices Intégrateurs de systèmes Networking Devices
Cisco 3750 (testée avec Enterasys N1/DFE Platinum) Démo 802.1X
NAP Comment se préparer
Les fondations • NAP est la surcouche santé de vos réseaux, s’attache à la conformité vis à vis de votre politique et repose sur les technologies de sécurité réseau déjà existantes • Des technologies serveurs • Un modèle de conformité que le système peut faire respecter • Des technologies d’isolation réseau • Des outils de génération de rapports et d’analyse • Gestion de l’identité • Gestion de la conformité • Opérations matures (personnes, processus, technologies)
Tâches de préparation • Modéliser ce qui est pris en compte dans l’état de santé • Analyser les exemptions • Définition de zones de politique de santé • Analyse de l’infrastructure réseau sécurisée • Déploiement de serveurs NPS (RADIUS) • Sélection des moyens d’isolation (enforcement) dans chaque zone • Planification du déploiement et du définition du processus de gestion du changement • Tableaux de bord et mesures
Développer un modèle de conformité à la politique de santé • Que faire pour que NAP fonctionne bien ? • Définir les politiques de santé pour les réseaux qui doivent être protégés • Les personnes (et pas la technologie) définissent la politique • Définir les bases pour les réseaux utilisant NAP pour la gestion de la conformité • Quels paramètres sont requis pour accéder à ce réseau ? • Quels SHA (System Health Agents) doivent s’exécuter pour couvrir ces paramètres ? • Définir les processus qui maintiennent ces bases à jour • Les personnes et les processus assurent ces fonctions – pas la technologie • Surveiller la conformité – NAP permet d’automatiser cette tâche • Isoler lorsque c’est nécessaire – NAP permet d’automatiser cette tâche • Rapporter et corriger – NAP permet d’automatiser cette tâche
Modélisation de la santé • Disponibilité d’une politique de santé écrite et approuvée ? • Bien plus qu’une discussion technique – différentes divisions peuvent avoir des politiques différents • Quelles sont les bases pour l’entreprise ? Quelles sont les politiques “optimisées” ? • Bases : anti-virus, contrôle des correctifs, pare-feu personnel, etc. • Optimisées : configuration spéciale de l’OS, ensembles d’applications, allocations PKI, isolation IPsec, etc. • Nécessité d’allouer le temps nécessaire pour évaluer les risques de l’entreprises • Le contrôle de santé devrait être un mandat venant du sommet de l’entreprise • Nécessité d’allouer du temps pour travailler avec les différentes divisions et leurs architectes
Modélisation de l’état de santé • Qu’est-ce qui doit être protégé ? • Comment est-ce protégé aujourd’hui ? • Quelles politiques de santé existent ou ont besoin d’être crées ? • Comment sont gérées ces politiques ? • Quels sont les prérequis de santé qui vont être exigés ? • Est-ce que vous avez l’adhésion de tous les groupes (administrateurs réseau, administrateurs sécurité, administrateurs postes de travail) pour vous lancer ?
Analyse des exemptions • Des exemptions de base sont fournies par défaut en fonction du type et du niveau de système d’exploitation • Les exemptions doivent être gérables • Mettre en place un processus de documentation des exemptions afin de savoir en fin de compte où sont les trous ! • Plans d’atténuation des exemptions • Peut-on les isoler par d’autres moyens ? • Segmentation IP grâce à IPsec • Contrôle de VLAN • Accès extranet/invité
Zonage de politique de santé • Utiliser le profil de l’entreprise • Quels groupes ont besoin de quel accès à quelles données ? • Besoins des divisions • Géré ou non géré • Employés distant / accès à distance • Succursales • Exemptions ? • L’équipe informatique interne est-elle centralisée ou décentralisée ? • Quelles combinaisons de méthodes d’enforcement peuvent le mieux satisfaire les besoins de l’entreprise ?
Analyse de l’infrastructure réseau • Quelle infrastructure est en place pour la prise en charge les politiques de santé ? • Y a-t-il une IGC (PKI) ? • Quels sont les serveurs RADIUS et à quoi sont-ils utilisés? VPN? S’appuient sur Active Directory ? • Y a-t-il des commutateurs compatibles 802.1X ? • Quels sont les SHA/SHV dont vous avez besoin pour appliquer les politiques de santé ? • Est-il possible de repenser l’architecture de l’infrastructure ? • Logique et physique ? • Mise en place de l’infrastructure & planning de mise à jour
Quelles questions se poser? • Quelle est la stratégie d’accès appropriée ? • Comment traiter les différentes populations de clients ? • Clients NAP et conformes • Clients NAP et non-conformes • Non clients NAP • Quelle est la bonne segmentation du réseau ? • Où faut il positionner les ressources sensibles ? • Services de noms • Services d’authentification • Applicatifs • Comment déployer l’infrastructure NAP ? • Serveurs RADIUS et Autorité de Certification • Serveurs DHCP / VPN / TS et éléments réseau • Serveurs de remédiation
Sélection de l’enforcement par zone • Créer une matrice de planification • Clients gérés vs. non gérés • Clients filaires vs. sans fil • Donner des scénarios spécifiques à l’entreprise quand une méthode d’enforcement serait plus appropriée qu’une autre • Les méthodes d’enforcement peuvent être combinées
Sélection de l’enforcement pour zone d’accès distant • Évident pour les zones d’accès distant : utilisation du VPN • La planification d’un déploiement de VPN n’est pas triviale (projet indépendant) • Si des solutions VPN existent déjà alors il faut les étendre pour prendre en charge l’enforcement de la politique de santé • Le choix de VPN devra s’intégrer avec les opérations IPsec – planifier en connaissance de cause ! • Considérations de bande passante : • La bande passante est-elle assez large pour la remédiation ?
Maintenir les opérations Vulnérabilité identifiée 1 Évaluer et suivre le risque lié à la vulnérabilité 6 2 Mesurer et créer rapports surveillance conformité Si risque haut ou critique, màj politique et notifier clients 5 3 Faire respecter la politique après une période de grâce Développer critère d’analyse pour détecter conformité 4 Analyser la conformité p/r politique sur réseau
Planning de mise en œuvre & gestion du changement • L’absence de gestion du changement peut avoir un résultat désastreux • Une des fonctions utiles de NAP est le fonctionnement multi-mode • Mode Reporting : pour avoir une bonne vue des ressources réseau, clients, zones • Le mode Reporting est simple et efficace comme outil de planification • Mode Provisioning : pour le dimensionnement (analyse d’impact des packages de mises à jour sur les différentes zones) • Mode Enforcement : quand tous les impacts ont été évalués et approuvés
Tableaux de bord • La meilleure façon d’améliorer la réponse à incident est d’avoir des mesures à analyser • Combien de temps pour sceller une zone ? • Faut-il ajuster la politique ou la remédiation dans une zone donnée ? • Quels sont les objectifs (mesures) à atteindre pour chaque zone ? Pour l’entreprise ? • Il y aura un incident de sécurité/santé • NAP est un moyen d’atténuation que vous pouvez mettre en œuvre proactivement • La technologie dépend de vos processus
En résumé • Contrôle d’accès au réseau basé sur la politique de santé • Flexibilité grâce au choix de la méthode d’enforcement • Protection au niveau de l’accès au réseau et/ou de l’accès à l’hôte et/ou de l’accès à l’application selon les besoins, les risques, l’infrastructure existante et le cycle de mise à jour • Large support de l’industrie • Plateforme avec une architecture extensible , basée sur les standards : solution multivendeur de bout en bout • Large écosystème de partenaires (une centaine) : préservation des investissements déjà effectués • Préparation : la technologie ne peut pas tout : • Aide à automatiser la surveillance de la conformité, isolation si nécessaire, rapports / correction • les personnes définissent la politique de santé, les bases et les processus de maintien à jour de ces bases
Autres sessions • Déployer l’isolation avec IPsec • Windows Vista : améliorations du firewall et IPsec • Longhorn Server de A à Z
Références • La session NAP des JMS 2006 disponible en PPT & vidéos depuis http://www.microsoft.com/france/securite/jms/infor.mspx • PPT : • http://download.microsoft.com/download/5/9/F/59F51CAC-B200-4E11-9221-CB7213661F7E/[300]_Controle_sante_machines_(NAP).ppt • Vidéo : • http://www.microsoft.com/france/events/event.aspx?EventID=118771226 • http://www.microsoft.com/france/events/event.aspx?EventID=118771227 • http://www.microsoft.com/france/events/event.aspx?EventID=118771228