> Tech > Arrêter les clients suspects avec la nouvelle fonction Quarantine de Windows 2003

Arrêter les clients suspects avec la nouvelle fonction Quarantine de Windows 2003

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Allen Jones - Mis en ligne le 26/01/2005 - Publié en Décembre 2003

Améliorez la sécurité de l'accès à  distance

La plupart des spécialistes de la sécurité constatent que les clients dont l'accès se fait à  distance représentent l'un des maillons faibles du réseau d'entreprise. Malgré la simplicité actuelle de la connectivité à  distance sur les connexions rapides à  large bande, il n'est pas facile d'imposer un minimum de standards maison : logiciel antivirus et pare-feu personnel ...Même dans des réseaux bien gérés par une administration centralisée, les utilisateurs distants qui se connectent souvent au bureau à  partir de leurs PC personnels ne sont pas soumis aux standards de sécurité de l'entreprise. Par conséquent, quand de nouveaux virus frappent le réseau, le coupable est tout trouvé : les AP (Access Points).
Les sociétés abordent souvent ce problème en imposant un logiciel antivirus et un pare-feu personnel sur toute machine utilisée pour se connecter au réseau. Mais, pour être efficace, une réglementation doit avoir des moyens d'imposition et de coercition en cas de transgression.
C'est dans cet esprit que des fournisseurs d'accès distant, comme Check Point Software Technologies et Cisco Systems, ont commencé à  offrir des produits qui obligent les clients distants à  respecter un minimum de critères avant d'être autorisés à  se connecter au réseau d'entreprise. Microsoft offre désormais des moyens similaires dans Windows Server 2003. Avec la fonction Network Access Quarantine Control de Windows 2003, vous pouvez mettre en quarantaine les clients pratiquant l'accès à  distance, pendant qu'un script personnalisé s'exécute sur le client distant. Ce script peut comporter diverses requêtes. Il peut, par exemple, vérifier si le client possède un certain fichier, un logiciel antivirus ou un ICF (Internet Connection Firewall).
On peut utiliser Network Access Quarantine Control avec Windows 2003, Windows XP, Windows 2000, Windows Me, et Windows 98 Second Edition (Win98SE). Pour en bénéficier, il faut utiliser le CMAK (Connection Manager Administration Kit) de Windows 2003 pour créer un profil de connexion spécial qui contient le script à  exécuter sur les clients distants.
Avant de voir comment mettre en place une quarantaine, examinons l'environnement RRAS. La figure 1 montre un réseau schématisé. Les deux serveurs IAS1 et VPN1 exécutent Windows 2003. IAS1 est un DC (domain controller) qui exécute déjà  l'IAS (Internet Authentication Service). VPN1 est un serveur VPN. Il faut configurer le serveur VPN pour qu'il utilise RADIUS (Remote Authentication Dial- In User Service) et pas les références de domaine pour authentifier les utilisateurs.
Il existe deux réseaux dans la figure 1. Le réseau 172.16.0.x est l'intranet et le réseau 10.0.0.x se connecte à  l'Internet. Le client soumis au test utilise XP et est un client distant qui se connecte par Internet. Pour accélérer l'opération de test de la fonction quarantaine, vous devez établir votre réseau de test en respectant ce schéma. Pour des instructions détaillées sur la façon d'établir un tel réseau de test, voir l'article Microsoft « Step-by-Step Guide for Setting Up VPN-Based Remote Access in a Test Lab » (http:// www.microsoft.com/technet/prodtech nol/windowsserver2003/deploy/confe at/motevpn.asp).
A noter que dans la numérotation de réseau utilisée dans cette configuration de test, les réseaux soumis au test sont mis de côté dans le cadre de la RFC (Request for Comments) 1918 de l'IETF (Internet Engineering Task Force), qui demande d'allouer un certain espace d'adresses IPv4 pour les réseaux privés. Ces réseaux font ou ne font pas peut-être déjà  partie de votre réseau, donc veillez à  conduire les tests dans un lab isolé de vos ressources de production. Si, par la suite, vous décidez de mettre votre configuration de test en production, vous devrez renuméroter un ou les deux réseaux dans votre installation de test de quarantaine pour être en conformité avec l'espace d'adresses qui vous a déjà  été attribué par votre ISP et votre intranet existant.

La nouvelle fonction quarantaine dépend
de CMAK, qui a la possibilité
d’exécuter des scripts avant ou après
l’appel ou la connexion. Après avoir
créé un profil Connection Manager,
vous aurez un fichier .exe distribuable
unique qui permet la distribution du
script nécessaire, des répertoires téléphoniques
facultatifs pour l’appel et
d’autres fichiers associés nécessaires
pour appliquer la fonction quarantaine.
Le script quarantaine emploie
l’utilitaire Remote Access Quarantine
Client (rqc.exe) qui est un outil
Microsoft Windows Server 2003
Resource Kit.
Quand un nouveau client tente de
se connecter à  un serveur VPN qui utilise
RRAS et a la fonction Network
Access Quarantine Control activée, le
serveur VPN (VPN1 en figure 1) transmet
les références fournies par l’utilisateur
reçues du client distant au serveur
IAS (IAS1 en figure 1) pour
l’authentification. Les références prennent
la forme de messages RADIUS
Access Request. Le serveur IAS valide
les références par rapport à  la stratégie
d’accès à  distance associée. Cette stratégie
spécifie quels utilisateurs peuvent
se connecter, quand ils le peuvent,
et les types de connexion à 
autoriser. Par ailleurs, une stratégie
d’accès à  distance peut obliger un
client à  rester en quarantaine jusqu’à 
ce qu’un script de quarantaine s’exécute
correctement sur sa machine.
Quand une stratégie d’accès à  distance
requiert la mise en quarantaine
des clients, le serveur IAS utilise deux
attributs RADIUS pour créer la quarantaine
: MS-Quarantine-IPFilter, qui définit
les restrictions IP à  appliquer aux
clients en quarantaine, et MS-Quarantine-
Session-Timeout, qui limite le
temps de mise en quarantaine d’un
client.
Une fois que le script de quarantaine
s’est exécuté correctement, rqc.
exe renvoie un message au serveur
VPN, lequel exécute un composant
écouteur appelé Remote Access Quarantine
Agent (rqs.exe). Après avoir vérifié
que le message vient bien de
rqc.exe, rqs.exe s’assure que le script
de quarantaine s’est bien exécuté et
que le client répond à  toutes les exigences.
Si les deux conditions sont
remplies, le serveur RAS lève la quarantaine
et l’utilisateur peut accéder
aux ressources que la stratégie d’accès
à  distance définit. Si le client ne répond
pas aux exigences, il reste en quarantaine jusqu’à  ce que l’utilisateur
déconnecte le client ou jusqu’à  ce que
le délai spécifié par l’attribut MS-Quarantine-
Session-Timeout soit écoulé,
auquel cas le serveur VPN abandonne
le client.
Lorsque des clients ne répondent
pas à  vos exigences, vous devez leur
fournir des ressources spéciales : par
exemple, une simple page Web qui explique
pourquoi ils sont en quarantaine,
et quelles actions correctives les
utilisateurs peuvent prendre pour se
mettre en conformité. Si vous demandez
aux clients distants d’avoir un logiciel
antivirus et si certains clients sont
en quarantaine parce qu’ils ne l’ont
pas, songez à  mettre à  leur disposition
le logiciel d’installation antivirus (ou
ses mises à  jour). Pour prendre de
telles décisions, appuyez-vous sur la
politique de sécurité et de licences de
l’entreprise.

Téléchargez gratuitement cette ressource

Le Guide d’Orchestration du Parcours client

Le Guide d’Orchestration du Parcours client

Au-delà de la clarification des nouveaux concepts de gestion du parcours client, ce guide vous permettra de définir, créer et mettre œuvre une orchestration complète articulée autour des trois volets essentiels au succès de l’expérience client et de l’entreprise.

Tech - Par iTPro.fr - Publié le 24 juin 2010