> Tech > Mettre en place le NETWORK ACCESS QUARANTINE CONTROL

Mettre en place le NETWORK ACCESS QUARANTINE CONTROL

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Mark Burnett. Mise en ligne : 06 Décembre 2006, Publication Windows IT Pro : Avril 2005

En théorie, la protection du réseau de votre entreprise est simple : sécuriser le périmètre pour déjouer les menaces venant de l’extérieur et tenir à jour les correctifs des systèmes internes pour les protéger contre ceux qui auraient franchi le premier rideau. On peut donc en déduire qu’un patching diligent, un scanning de virus et de puissants mots de passe devraient éliminer les incidents touchant à la sécurité du réseau – vrai ?En réalité, la sécurité du réseau n’est pas aussi simple. S’il est relativement aisé de protéger les systèmes internes, il est plus difficile de défendre le réseau étendu. Les utilisateurs qui travaillent sur les machines à leur domicile et les utilisateurs mobiles qui se connectent en déplacement, brouillent la frontière entre les systèmes internes et externes. Bien que vous ne puissiez pas contrôler ces systèmes externes, Microsoft a inclus dans Windows Server 2003 un procédé qui vous aidera à empêcher des systèmes non conformes de se connecter à votre réseau. Cette technologie, appelée Network Access Quarantine Control, met en quarantaine les connexions VPN distantes jusqu’à ce que les clients VPN prouvent qu’ils se conforment à la stratégie de sécurité du réseau. Voyons comment Network Access Quarantine Control fonctionne et comment configurer et exécuter les composantes côté serveur et côté client.

Network Access Quarantine Control est un outil Microsoft Windows Server 2003 Resource Kit dont le mécanisme permet d’exécuter des scripts côté client, qui remplissent des fonctions du genre : vérifier les correctifs à chaud installés, mettre à jour le logiciel antivirus, ou vérifier le paramétrage du pare-feu. Lors de la connexion des clients VPN, on peut effectuer toute tâche du ressort d’un fichier batch, d’un script ou d’un exécutable.

 La mise en place d’un Network Access Quarantine Control est constituée d’un ou plusieurs clients d’accès distants exécutant un profil de connexion client que vous avez créé à l’aide du Windows 2003 Connection Manager Administration Kit (CMAK) ; un point de connexion, comme un serveur Windows 2003 exécutant RRAS ; et, si vous avez besoin de l’authentification RADIUS (Remote Authentication Dial-In User Service), d’un serveur RADIUS Network Access Quarantine Control-complaint tel que Windows 2003 utilisant IAS (Internet Authentication Service). Il faut aussi exécuter une composante d’écoute, comme le service Remote Access Quarantine Agent (rqs.exe), sur le serveur RRAS et une composante de notification, comme le service Remote Access Quarantine Client (rqc.exe) sur le client à distance. Le kit de ressources Windows 2003 contient ces deux outils.

Quand un client distant s’authentifie auprès d’un serveur RRAS armé pour la quarantaine, RRAS envoie un message RADIUS Access Request au serveur IAS. Celui-ci vérifie les références de l’utilisateur et, si la connexion est conforme à la règle d’accès à distance que vous avez établie, il l’accepte mais avec des restrictions de quarantaine. IAS envoie à RRAS un message Access-Accept avec les attributs MS-Quarantine- IPFilter et MS-Quarantine-Session-Timeout. RRAS établit la connexion mais n’accorde au client distant qu’un accès au réseau limité.

A ce stade, le client distant exécute le script de quarantaine, qui fait partie du profil client-connection. Le script vérifie si la configuration du client observe la règle de sécurité du réseau. Dans l’affirmative, le script notifie le service agent sur le serveur RRAS. Le service agent vérifie ensuite la version du script que le client indique, pour s’assurer qu’il s’agit de la version la plus récente. Si la version du script est valide, RRAS lève toutes les restrictions de quarantaine sur la connexion et le client peut donc utiliser celle-ci sans aucune restriction de quarantaine.

En revanche, si le script client signale que la machine n’est pas conforme à la règle du réseau, ou si le client indique une version ancienne du script, les restrictions de quarantaine restent en vigueur. Le client ne pourra alors accéder qu’aux ressources réseau que vous indiquez, comme une page Web avec des instructions et des téléchargements destinés à mettre le client en conformité, jusqu’à ce que le temps spécifié par l’attribut MS-Quarantine-Session-Timeout soit écoulé. A l’expiration de la limite de temps, le serveur RRAS déconnecte le client. Le script peut aussi prendre des mesures qui mettront automatiquement la machine en conformité.

Téléchargez gratuitement cette ressource

Protection des Données : 10 Best Practices

Protection des Données : 10 Best Practices

Le TOP 10 des meilleures pratiques, processus et solutions de sécurité pour mettre en œuvre une protection efficace des données et limiter au maximum les répercutions d’une violation de données.

Tech - Par iTPro.fr - Publié le 24 juin 2010