Mettre en place le NETWORK ACCESS QUARANTINE CONTROL
par Mark Burnett. Mise en ligne : 06 Décembre 2006, Publication Windows IT Pro : Avril 2005
En théorie, la protection du réseau de votre entreprise est simple : sécuriser le périmètre pour déjouer les menaces venant de l’extérieur et tenir à jour les correctifs des systèmes internes pour les protéger contre ceux qui auraient franchi le premier rideau. On peut donc en déduire qu’un patching diligent, un scanning de virus et de puissants mots de passe devraient éliminer les incidents touchant à la sécurité du réseau – vrai ?En réalité, la sécurité du réseau n’est pas aussi simple. S’il est relativement aisé de protéger les systèmes internes, il est plus difficile de défendre le réseau étendu. Les utilisateurs qui travaillent sur les machines à leur domicile et les utilisateurs mobiles qui se connectent en déplacement, brouillent la frontière entre les systèmes internes et externes. Bien que vous ne puissiez pas contrôler ces systèmes externes, Microsoft a inclus dans Windows Server 2003 un procédé qui vous aidera à empêcher des systèmes non conformes de se connecter à votre réseau. Cette technologie, appelée Network Access Quarantine Control, met en quarantaine les connexions VPN distantes jusqu’à ce que les clients VPN prouvent qu’ils se conforment à la stratégie de sécurité du réseau. Voyons comment Network Access Quarantine Control fonctionne et comment configurer et exécuter les composantes côté serveur et côté client.
La mise en place d’un Network Access Quarantine Control est constituée d’un ou plusieurs clients d’accès distants exécutant un profil de connexion client que vous avez créé à l’aide du Windows 2003 Connection Manager Administration Kit (CMAK) ; un point de connexion, comme un serveur Windows 2003 exécutant RRAS ; et, si vous avez besoin de l’authentification RADIUS (Remote Authentication Dial-In User Service), d’un serveur RADIUS Network Access Quarantine Control-complaint tel que Windows 2003 utilisant IAS (Internet Authentication Service). Il faut aussi exécuter une composante d’écoute, comme le service Remote Access Quarantine Agent (rqs.exe), sur le serveur RRAS et une composante de notification, comme le service Remote Access Quarantine Client (rqc.exe) sur le client à distance. Le kit de ressources Windows 2003 contient ces deux outils.
Quand un client distant s’authentifie auprès d’un serveur RRAS armé pour la quarantaine, RRAS envoie un message RADIUS Access Request au serveur IAS. Celui-ci vérifie les références de l’utilisateur et, si la connexion est conforme à la règle d’accès à distance que vous avez établie, il l’accepte mais avec des restrictions de quarantaine. IAS envoie à RRAS un message Access-Accept avec les attributs MS-Quarantine- IPFilter et MS-Quarantine-Session-Timeout. RRAS établit la connexion mais n’accorde au client distant qu’un accès au réseau limité.
A ce stade, le client distant exécute le script de quarantaine, qui fait partie du profil client-connection. Le script vérifie si la configuration du client observe la règle de sécurité du réseau. Dans l’affirmative, le script notifie le service agent sur le serveur RRAS. Le service agent vérifie ensuite la version du script que le client indique, pour s’assurer qu’il s’agit de la version la plus récente. Si la version du script est valide, RRAS lève toutes les restrictions de quarantaine sur la connexion et le client peut donc utiliser celle-ci sans aucune restriction de quarantaine.
En revanche, si le script client signale que la machine n’est pas conforme à la règle du réseau, ou si le client indique une version ancienne du script, les restrictions de quarantaine restent en vigueur. Le client ne pourra alors accéder qu’aux ressources réseau que vous indiquez, comme une page Web avec des instructions et des téléchargements destinés à mettre le client en conformité, jusqu’à ce que le temps spécifié par l’attribut MS-Quarantine-Session-Timeout soit écoulé. A l’expiration de la limite de temps, le serveur RRAS déconnecte le client. Le script peut aussi prendre des mesures qui mettront automatiquement la machine en conformité.
iTPro.fr - La rédactionLe comité éditorial du site iTPro.fr est composé de journalistes informatiques, experts et contributeurs spécialistes des services, solutions et technologies informatiques d’entreprise.
Nous sommes ouverts à tous les thèmes portant sur les services, les solutions et les technologies informatiques d'entreprise. Notre seule condition sera la qualité de votre contribution, quel que soit votre thème de prédilection, actualités, annonces, lancements, stratégie, tutoriaux, trucs et astuces, bonnes pratiques... cette liste n'étant pas exhaustive, stay tuned, au plaisir de collaborer.
Le Guide essentiel de la reprise après sinistreDécouvrez en trois étapes essentielles, comment assurer la continuité de service et la survie de votre entreprise, de la maîtrise des concepts de la reprise sur sinistre et de la haute disponibilité jusqu’au calcul du coût des interruptions de service pour votre entreprise.Téléchargez le guide essentiel de la reprise après sinistre
Ressources Informatiques
MVP sur System Center Mark Cochrane
MVP Exchange Server David Pekmez
Architecte Solution Senior Office 365 Arnaud Alcabez
Actualités Informatiques
Ciena déploie un réseau 100G de 2 800 km 15/05/2012 | Réseaux | 100G
Dell annonce la deuxième vague de sa 12e génération PowerEdge 15/05/2012 | Dell | Serveur
Scott Thompson, PDG de Yahoo, contraint de démissionner 14/05/2012 | Nomination | Stratégie
Sécurité : Des attaques moins nombreuses mais plus dangereuses selon HP 10/05/2012 | Sécurité | Web
Imagine Cup – Le projet Cap Street en route vers Sydney 07/05/2012 | Imagine Cup | Microsoft
Du script PowerShell à l’interface web avec Poshboard 04/05/2012 | Scripting | PowerShell
SCCM 2012 : « Gérer 100 000 utilisateurs avec un seul serveur » 04/05/2012 | System Center 2012 | TechDays 2012
UseIT 2012 – Open Data, cloud computing et cybercriminalité au programme 04/05/2012 | Salon | Evènement
Hana, mobilité, cloud : Henri van der Vaeren dévoile la stratégie de SAP 04/05/2012 | SAP | Cloud Computing
Citrix Netscaler 10 : un ADC élastique 25/04/2012 | Citrix | Appliances
MMS 2012 - Windows Server 2012 sortira en fin d’année 20/04/2012 | Windows Server 2012 | Microsoft Management Summit
MMS 2012 – System Center 2012 est disponible 18/04/2012 | System Center 2012 | Microsoft Management Summit
Hitachi cible les marchés verticaux avec les solutions NAS de BlueArc 16/04/2012 | NAS | Stockage
À la une d'IT Pro Magazine : Server Core, Archivage, Big Data et Windows Intune 06/04/2012 | Cloud Computing | Big Data
Serena renforce son offre ITSM 05/04/2012 | Administrateur | Développement
Vidéos Informatiques
Travail Collaboratif Présentation du Dell XPS 13
Travail Collaboratif Premiers déploiements massifs de SharePoint Workspace en 2012
Cloud computing « Le cloud ne doit pas être une aire de non-droit »
Windows Server Du script PowerShell à l’interface web avec Poshboard
Liens Informatiques
Ressources iT Pro
1er Guide thématique dédié à la mise œuvre d’un Cloud PrivéIT Pro Magazine | 12 pages
Guide de protection des environnements Hyper-VITPro Magazine | 4 pages
Guide d’optimisation & synchronisation des données SharePointAvepoint | 18 pages
Booster les performances des plates-formes virtuelles ?Diskeeper | 12 pages
IT Pro Magazine Spécial Windows 8IT Pro Magazine | 60 pages
Le guide du stockage signé IT Pro MagazineIT Pro Magazine | 16 pages
Testez Acronis Backup & Recovery 11 Virtual EditionAcronis | 2 pages
