par Allen Jones - Mis en ligne le 26/01/2005 - Publié en Décembre 2003
Améliorez la sécurité de l'accès à distance
La plupart des spécialistes de la sécurité
constatent que les clients dont
l'accès se fait à distance représentent
l'un des maillons faibles du réseau
d'entreprise. Malgré la simplicité actuelle
de la connectivité à distance sur
les connexions rapides à large bande, il
n'est pas facile d'imposer un minimum
de standards maison : logiciel antivirus
et pare-feu personnel ...Même dans des
réseaux bien gérés par une administration
centralisée, les utilisateurs distants
qui se connectent souvent au bureau
à partir de leurs PC personnels ne
sont pas soumis aux standards de sécurité
de l'entreprise. Par conséquent,
quand de nouveaux virus frappent le
réseau, le coupable est tout trouvé : les
AP (Access Points).
Les sociétés abordent souvent ce
problème en imposant un logiciel antivirus
et un pare-feu personnel sur
toute machine utilisée pour se connecter
au réseau. Mais, pour être efficace,
une réglementation doit avoir des
moyens d'imposition et de coercition
en cas de transgression.
C'est dans cet esprit que des fournisseurs
d'accès distant, comme
Check Point Software Technologies et
Cisco Systems, ont commencé à offrir
des produits qui obligent les clients
distants à respecter un minimum de
critères avant d'être autorisés à se
connecter au réseau d'entreprise.
Microsoft offre désormais des moyens
similaires dans Windows Server 2003.
Avec la fonction Network Access
Quarantine Control de Windows 2003,
vous pouvez mettre en quarantaine les
clients pratiquant l'accès à distance,
pendant qu'un script personnalisé
s'exécute sur le client distant. Ce script
peut comporter diverses requêtes. Il
peut, par exemple, vérifier si le client
possède un certain fichier, un logiciel
antivirus ou un ICF (Internet
Connection Firewall).
On peut utiliser Network Access
Quarantine Control avec Windows
2003, Windows XP, Windows 2000,
Windows Me, et Windows 98 Second
Edition (Win98SE). Pour en bénéficier,
il faut utiliser le CMAK (Connection
Manager Administration Kit) de
Windows 2003 pour créer un profil de
connexion spécial qui contient le
script à exécuter sur les clients distants.
Avant de voir comment mettre en
place une quarantaine, examinons
l'environnement RRAS. La figure 1
montre un réseau schématisé. Les
deux serveurs IAS1 et VPN1 exécutent
Windows 2003. IAS1 est un DC (domain
controller) qui exécute déjà l'IAS
(Internet Authentication Service).
VPN1 est un serveur VPN. Il faut configurer
le serveur VPN pour qu'il utilise
RADIUS (Remote Authentication Dial-
In User Service) et pas les références
de domaine pour authentifier les utilisateurs.
Il existe deux réseaux dans la figure
1. Le réseau 172.16.0.x est l'intranet et
le réseau 10.0.0.x se connecte à
l'Internet. Le client soumis au test utilise
XP et est un client distant qui se
connecte par Internet. Pour accélérer
l'opération de test de la fonction quarantaine,
vous devez établir votre réseau
de test en respectant ce schéma.
Pour des instructions détaillées sur la
façon d'établir un tel réseau de test,
voir l'article Microsoft « Step-by-Step
Guide for Setting Up VPN-Based
Remote Access in a Test Lab » (http://
www.microsoft.com/technet/prodtech
nol/windowsserver2003/deploy/confe
at/motevpn.asp).
A noter que dans la numérotation
de réseau utilisée dans cette configuration
de test, les réseaux soumis au test
sont mis de côté dans le cadre de la
RFC (Request for Comments) 1918 de
l'IETF (Internet Engineering Task
Force), qui demande d'allouer un certain
espace d'adresses IPv4 pour les réseaux
privés. Ces réseaux font ou ne font pas peut-être déjà partie de votre
réseau, donc veillez à conduire les tests
dans un lab isolé de vos ressources de
production. Si, par la suite, vous décidez
de mettre votre configuration de
test en production, vous devrez renuméroter
un ou les deux réseaux dans
votre installation de test de quarantaine
pour être en conformité avec l'espace
d'adresses qui vous a déjà été attribué
par votre ISP et votre intranet
existant.
Arrêter les clients suspects avec la nouvelle fonction Quarantine de Windows 2003
La nouvelle fonction quarantaine dépend
de CMAK, qui a la possibilité
d’exécuter des scripts avant ou après
l’appel ou la connexion. Après avoir
créé un profil Connection Manager,
vous aurez un fichier .exe distribuable
unique qui permet la distribution du
script nécessaire, des répertoires téléphoniques
facultatifs pour l’appel et
d’autres fichiers associés nécessaires
pour appliquer la fonction quarantaine.
Le script quarantaine emploie
l’utilitaire Remote Access Quarantine
Client (rqc.exe) qui est un outil
Microsoft Windows Server 2003
Resource Kit.
Quand un nouveau client tente de
se connecter à un serveur VPN qui utilise
RRAS et a la fonction Network
Access Quarantine Control activée, le
serveur VPN (VPN1 en figure 1) transmet
les références fournies par l’utilisateur
reçues du client distant au serveur
IAS (IAS1 en figure 1) pour
l’authentification. Les références prennent
la forme de messages RADIUS
Access Request. Le serveur IAS valide
les références par rapport à la stratégie
d’accès à distance associée. Cette stratégie
spécifie quels utilisateurs peuvent
se connecter, quand ils le peuvent,
et les types de connexion à
autoriser. Par ailleurs, une stratégie
d’accès à distance peut obliger un
client à rester en quarantaine jusqu’à
ce qu’un script de quarantaine s’exécute
correctement sur sa machine.
Quand une stratégie d’accès à distance
requiert la mise en quarantaine
des clients, le serveur IAS utilise deux
attributs RADIUS pour créer la quarantaine
: MS-Quarantine-IPFilter, qui définit
les restrictions IP à appliquer aux
clients en quarantaine, et MS-Quarantine-
Session-Timeout, qui limite le
temps de mise en quarantaine d’un
client.
Une fois que le script de quarantaine
s’est exécuté correctement, rqc.
exe renvoie un message au serveur
VPN, lequel exécute un composant
écouteur appelé Remote Access Quarantine
Agent (rqs.exe). Après avoir vérifié
que le message vient bien de
rqc.exe, rqs.exe s’assure que le script
de quarantaine s’est bien exécuté et
que le client répond à toutes les exigences.
Si les deux conditions sont
remplies, le serveur RAS lève la quarantaine
et l’utilisateur peut accéder
aux ressources que la stratégie d’accès
à distance définit. Si le client ne répond
pas aux exigences, il reste en quarantaine jusqu’à ce que l’utilisateur
déconnecte le client ou jusqu’à ce que
le délai spécifié par l’attribut MS-Quarantine-
Session-Timeout soit écoulé,
auquel cas le serveur VPN abandonne
le client.
Lorsque des clients ne répondent
pas à vos exigences, vous devez leur
fournir des ressources spéciales : par
exemple, une simple page Web qui explique
pourquoi ils sont en quarantaine,
et quelles actions correctives les
utilisateurs peuvent prendre pour se
mettre en conformité. Si vous demandez
aux clients distants d’avoir un logiciel
antivirus et si certains clients sont
en quarantaine parce qu’ils ne l’ont
pas, songez à mettre à leur disposition
le logiciel d’installation antivirus (ou
ses mises à jour). Pour prendre de
telles décisions, appuyez-vous sur la
politique de sécurité et de licences de
l’entreprise.
Téléchargez cette ressource
Guide de Sécurité IA et IoT
Compte tenu de l'ampleur des changements que l'IA est susceptible d'entraîner, les organisations doivent élaborer une stratégie pour se préparer à adopter et à sécuriser l'IA. Découvrez dans ce Livre blanc Kaspersky quatre stratégies efficaces pour sécuriser l'IA et l'IoT.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Teams Live Event: Kollective ou Microsoft ECDN ?
- Baromètre de la Transformation digitale 2024 en France
- Le secteur financier reste dans la ligne de mire des cyberattaquants
- CyberPatriot ®, le SOC de dernière génération de CHEOPS TECHNOLOGY
- L’IA comme levier d’évangélisation du COMEX à la cybersécurité
