Professional Documents
Culture Documents
Rfrence :
Remerciements
Rsum
Ce rapport sinscrit dans le cadre de notre projet de fin dtudes ralis au sein de
l'entreprise Next Step IT, consistant la mise en place dune solution de contrle d'accs au
rseau. Cette solution est constitue de plusieurs composants qui, en fonctionnant de faon
contige, permettront de filtrer laccs au rseau en authentifiant tout hte demandant l'accs et
deffectuer, sur lhte authentifi, un ensemble de tests pour vrifier son tat de sant et le
rendre conforme avec la stratgie de scurit suivie.
Ces objectifs seront raliss par l'implmentation dune plateforme de scurit fournie par
le leader mondial, Cisco Systems, et intgre avec un service dannuaire (Microsoft Active
Directory) afin d'assurer lauthentification, ainsi qu'un commutateur et un contrleur de rseau
local sans fil servant connecter les utilisateurs respectivement aux rseaux filaire et sans fil.
Abstract
This report is part of our graduation project realized within Next Step IT company,
consisting in the implementation of a network access control solution. This solution is composed
of several components, operating adjacently, allow to filter network access by authenticating any
host requesting access and to effect in this authenticated host a series of tests to check its health
status and whether it conforms with the followed security strategy.
This will be accomplished by implementing a security platform provided by the world
leader, Cisco Systems, and integrated with a directory service (Microsoft Active Directory) to
ensure authentication together with a switch and a Wireless LAN controller for connecting users
to the wired and wireless networks, respectively.
Sommaire
Introduction gnrale ........................................................................................................... 1
Chapitre 1 : Prsentation du projet .......................................................................................2
1.1.
Introduction.................................................................................................................................. 3
1.2.
1.2.1.
1.2.2.
1.3.
1.4.
Contribution ................................................................................................................................. 5
1.5.
1.6.
1.7.
Conclusion .................................................................................................................................... 6
Introduction.................................................................................................................................. 8
2.2.
La solution NAC.......................................................................................................................... 8
2.2.1.
2.2.2.
Architecture .......................................................................................................................... 9
2.2.3.
2.3.
2.3.1.
Dfinition ........................................................................................................................... 14
2.3.2.
2.3.3.
Fonctionnement ................................................................................................................ 16
2.3.4.
Licences............................................................................................................................... 18
2.4.
Conclusion .................................................................................................................................. 19
Introduction................................................................................................................................ 21
3.2.
3.3.
3.3.1.
3.3.2.
3.3.3.
3.4.
3.4.1.
Authentification ................................................................................................................. 29
3.4.2.
3.4.3.
3.5.
Autorisation ........................................................................................................................ 37
3.5.1.
3.5.2.
Configuration de l'interface.............................................................................................. 41
3.6.
3.7.
Conclusion .................................................................................................................................. 48
Introduction................................................................................................................................ 50
4.2.
Rseau filaire............................................................................................................................... 50
4.3.
4.4.
Conclusion .................................................................................................................................. 58
Introduction gnrale
La scurit des rseaux devient, de nos jours, un thme indispensable pour garantir la
disponibilit et lefficacit des ressources sur le rseau. La spcification de laccs au rseau est
devenue trs importante pour la protection des ressources soit des tentatives dintrusions internes
ou externes, lesquelles dveloppent des nouvelles techniques de jour en jour, ou encore des accs,
aux donnes et informations de haute importance ou trs confidentielles, par des membres non
qualifis. Cest pour cela que chaque utilisateur ou machine, voulant accder au rseau, doit tre
identifi et subir quelques tests de compatibilit avec le rseau (intgration au domaine, existence
dun antivirus bien dfini sur la machine qui veut sauthentifier, etc.); il sera, par la suite, dirig
selon son identit et les droits daccs qui lui seront attribus vers les ressources et les sous
rseaux auxquels il aura accs.
Ce projet reprsente une mise en place dune solution de scurit et de conformit rseau
qui traitera des aspects de manque de scurit. Cela se traduit par l'tablissement d'un mcanisme
dauthentification automatique, lors du branchement du cble rseau ou en cas d'utilisation du
rseau sans fil. Ceci est valable pour un utilisateur permanent; alors que pour un utilisateur
temporaire (visiteur), l'authentification s'effectue via le portail Web. Une fois authentifi, le client
(poste de travail) subira quelques tests destins sassurer de sa conformit vis--vis de la
stratgie de scurit prdfinie. Aprs avoir effectu ces tests et si le client prsente des
vulnrabilits qui ncessitent linstallation ou la mise jour dun composant, il aura un accs
restreint lui offrant les mises jour ncessaires pour tablir les remdes appropris et atteindre
ainsi un tat conforme et sain.
Aussi, le prsent rapport dcrit-il la mise en place de cette solution. Dans son premier
chapitre, il abordera le cadre gnral du projet. Le deuxime chapitre intitul tat de l'art est
ddi aux concepts thoriques relatifs notre solution . Le troisime chapitre viendra dtailler les
tapes d'installation et les configurations ncessaires des divers lments composant la solution.
Dans le quatrime et dernier chapitre, nous clturerons par l'exercice des tests ncessaires tendant
nous prmunir d'un ventuel mauvais fonctionnement.
CHAPITRE 1 :
PRSENTATION DU
PROJET
Chapitre 1
Prsentation du projet
pro
1.1. Introduction
Au cours de ce chapitre, nous exposons le contexte gnral du projet. Aussi, nous
prsentons, en premier lieu, l'entreprise d'accueil,
d'accuei le besoin de dploiement
ploiement d'une solution NAC
ainsi que notre contribution relie au besoin de l'entreprise et nous finissons par la citation de la
planification prvisionnelle et de la mthodologie
mt
de travail que nous aurons suivre.
suivre
Audit
Next Step IT propose le service daudit des infrastructures des systmes d'informations.
Les prestations d'audit ont pour objectif d'tablir un tat des lieux des infrastructures
informatiques existantes afin d'valuer les besoins et mettre en vidence tous les aspects
asp
ncessaires pour optimiser l'environnement et l'organisation. Ainsi, Next Step IT accompagne
3 | Page
Chapitre 1
Prsentation du projet
t-elle ses clients pour faire un choix stratgique sur l'volution de son systme d'information et ce
en toute connaissance de cause.
tude et conseil
La russite dune solution dpend du soin apport sa conception. Next Step IT tudie
des solutions sur mesure, sadaptant au contexte et aux besoins des entreprises. Elle accompagne
ses clients dans cette dmarche :
o Recueil des besoins
o Analyse de lexistant et visites des sites
o Dfinition des spcifications techniques, fonctionnalits, performances, etc.
o Identification des contraintes, du budget et des dlais
o Dmonstration, mise en place de maquette et accompagnement au test
o Assistance la rdaction des cahiers des charges
Intgration
Next Step IT est une spcialiste d'intgration de solutions d'infrastructure rseau, systme,
scurit et communications. Elle ddie une quipe compose dun chef de projet, dun ingnieur
commercial et dingnieurs et techniciens pour la dure du projet. Toute lquipe projet de Next
Step IT est certifie par les constructeurs partenaires. Elle est constitue de techniciens et
dingnieurs certifis et forms en permanence sur ses solutions et sur les diffrentes technologies
qui touchent son mtier. Tous ses projets d'intgration passent par une phase de prparation et
planification, une phase de conception, une phase d'implmentation et migration et enfin un
transfert de comptence et une assistance au dmarrage.
Assistance technique
Next Step IT associe la comptence technique de son quipe et les outils informatiques
ncessaires afin d'apporter l'assistance technique adquate et haute valeur ajoute ses clients.
Le professionnalisme et l'expertise de Next Step IT garantissent ses clients :
o Ractivit : les quipes interviennent directement l o on le souhaite, en fonction des
contraintes des clients:
o Efficacit : les techniciens trouvent la solution la plus approprie dans les meilleurs
dlais
o Transparence : ses interventions font lobjet de rapports et de transfert de comptence
o Savoir-faire : le problme du client est pris en charge par une quipe qualifie,
exprimente et certifie
4 | Page
Chapitre 1
Prsentation du projet
Support et maintenance
L'efficacit du centre de support qui accompagne le client dans la maintenance de ses
solutions rseaux garantit la rsolution rapide des incidents et la matrise des volutions de la
solution. Cette efficacit rsulte de la rapidit de prise en compte de la demande et de la
comptence des intervenants qui traitent la demande
1.4. Contribution
La gestion et l'administration d'une solution NAC s'effectuent d'une manire centralise.
Le noyau de toute solution similaire est le point de dcision ou la plate-forme dans laquelle sont
dfinies les politiques de scurit appliquer vis--vis du client.
Cisco Systems, leader mondial des solutions rseaux, dispose d'un ensemble de produits
servant mettre en place la solution NAC. Sa nouvelle politique tend adopter la plate-forme
ISE ( ou Identity Services Engine). Cependant, les informations disponibles sur sa mise en place
et sa configuration sont limites du moment qu'elle est rcente.
La ralisation de ce projet constitue donc une opportunit pour exprimenter cette plateforme et peut tre une occasion pour solutionner les ventuels obstacles techniques qui peuvent
tre rencontrs lors du dploiement; d'ailleurs les mmes solutions seront dployes, l'avenir,
par Next Step IT, auprs de ses clients.
5 | Page
Chapitre 1
Prsentation du projet
Fvrier
Mars
Avril
Mai
Juin
Recherche et
documentation
Prparation de
l'environnement
Rdaction du
rapport
Ralisation d'un
scnario de test
Mise en place
de la solution
Figure 2: Planification prvisionnelle
1.7. Conclusion
Dans ce qui prcde, nous avons abord le contexte gnral de notre projet et plus
prcisment l'environnement de ralisation et la gestion suivie. De mme que la prcision des
objectifs du projet par une planification prvisionnelle nous a permis d'assurer le bon
droulement et de garantir le respect des dlais.
6 | Page
CHAPITRE 2 :
TAT DE L'ART
Chapitre 2
tat de l'art
2.1. Introduction
Notre projet consistant implmenter une solution NAC base de la plate-forme Cisco
ISE, ce chapitre sera donc loccasion de mettre l'accent sur les dtails de cette solution et
particulirement la plate-forme ISE dans le but de mieux comprendre la partie ralisation qui sera
traite ultrieurement.
Chapitre 2
tat de l'art
politiques rseau dcrivent la manire dont le trafic entrant sur des ports de commutation doit
tre trait au niveau du filtrage et du balisage.
Dans le cadre dune solution NAC, la remdiation consiste rsoudre un problme des
fins de conformit avec certaines politiques prdfinies. Ce processus de remdiation permet
lutilisateur mis en quarantaine rseau de recouvrer sa conformit. Il est important que ce dernier
soit impliqu dans le processus de remdiation afin doptimiser les performances des processus
mtier. (Enterasys Secure Networks, 2007)
2.2.2. Architecture
L'implmentation d'une solution NAC ncessite l'existence d'un ensemble de
composants. Le diagramme ci-dessous montre l'ensemble de ces lments et le flux de
communication chang :
9 | Page
Chapitre 2
tat de l'art
d'authentification Posture (statut des priphriques qui requirent un accs) en fonction des
rgles de conformit.
Serveurs d'entreprise (D) : zone critique du rseau et que la solution NAC
protge des priphriques malsains, infects ou vulnrables.
VLAN de quarantaine (E) : zone de rseau protge virtuelle dans laquelle les
priphriques peuvent tre scuriss et corrigs, r-analyss, puis ils obtiennent un accs
complet au rseau d'entreprise, ou restent conservs avec un accs restreint aux ressources
de rseau telle que l'Internet. (LANDESK, 2013)
Cisco NAC joue le rle de proxy dauthentification pour la plupart des formes
dauthentification, puisquil intgre de manire native Kerberos, LDAP (Lightweight Directory
Access Protocol), RADIUS, Active Directory et bien dautres solutions encore. Afin de
minimiser la gne pour les utilisateurs finaux, Cisco NAC supporte louverture de session unique
pour les clients VPN, les clients sans fil et les domaines Windows Active Directory. Le contrle
daccs base de rles permet ladministrateur de grer de multiples profils utilisateurs avec des
niveaux de permission diffrents.
Cisco NAC supporte lanalyse de tous les systmes d'exploitation Windows, de Mac OS,
des machines Linux et des quipements de rseau autres que les PCs (consoles de jeu, PDA,
imprimantes, tlphones IP, etc.). Il effectue une analyse rseau et peut, si ncessaire, utiliser des
outils danalyse personnaliss. Cisco NAC peut vrifier nimporte quelle application identifie par
ses cls de registres, les services excuts ou les fichiers systmes.
10 | Page
Chapitre 2
tat de l'art
Mise en quarantaine
Cisco NAC peut placer les machines non conformes en quarantaine pour viter la
propagation des infections tout en lui ouvrant un accs des ressources de remdiation. La
quarantaine peut seffectuer sur un sous rseau de petite taille (type /30) ou sur un VLAN de
quarantaine.
Les mises jour automatiques des politiques de scurit fournies par Cisco dans le cadre
du service de maintenance logicielle standard permettent dobtenir des politiques prdfinies pour
les critres daccs rseau les plus courants, notamment les politiques qui vrifient les mises jour
critiques du systme d'exploitation comme des signatures antivirus et anti logiciels espions des
principaux produits du march. Cette fonction rduit les frais de gestion pour ladministrateur
rseau qui peut laisser au serveur Cisco NAC le soin de veiller la mise jour permanente des
politiques de scurit.
Gestion centralise
La console de gestion Web du Cisco NAC permet ladministrateur de dfinir les types
danalyse exigibles pour chaque rle ainsi que les outils de remdiation ncessaires aux
rparations . Une mme console de gestion peut administrer plusieurs serveurs.
Remdiation et rparation
11 | Page
Chapitre 2
tat de l'art
Les dploiements de la technologie NAP exigent des serveurs dots de Windows Server
2008 ou 2012. De plus, cela suppose que des ordinateurs clients, excutant Windows XP,
Windows Vista, Windows 7 ou Windows 8, soient disponibles.
Le serveur central charg de lanalyse de dtermination de lintgrit pour la technologie
NAP est un ordinateur dot de Windows Server 2008 ou 2012 et dun serveur NPS (Network
Policy Server). NPS est limplmentation Windows du serveur et proxy RADIUS (Remote
Authentication Dial-In User Service). Le NPS remplace le service dauthentification Internet
(IAS ou Internet Authentication Service) dans le systme dexploitation Windows Server 2003.
Les priphriques daccs et les serveurs NAP assument la fonction de clients RADIUS
pour un serveur RADIUS NPS. NPS effectue une tentative dauthentification et dautorisation
dune connexion rseau puis, en fonction des stratgies de contrle dintgrit , dtermine la
conformit de lintgrit des ordinateurs et la manire de restreindre laccs rseau dun
ordinateur non conforme. (Microsoft, 2008)
Solution Juniper
La solution Juniper ou Unified Access Control (UAC) s'appuie sur les normes de
l'industrie, notamment 802.1X, RADIUS, IPsec et IF-MAP de TNC, lesquelles permettent
l'intgration de la solution UAC n'importe quel quipement de scurit et rseau tiers.
Elle combine l'identit des utilisateurs, le statut de scurit des dispositifs et les
informations sur lemplacement dans le rseau pour crer une stratgie de contrle des accs,
12 | Page
Chapitre
re 2
tat de l'art
unique
nique pour chaque utilisateur (qui fait quoi
q et quand?). La solution peut tre active en couche 2
laide du protocole 802.1X, ou en couche 3 via un dploiement de rseaux superposs. UAC
2.0 peut galement tre mis en uvre dans un mode mixte qui utilise le protocole 802.1X pour
contrler les admissions sur le rseau et la couche 3 pour contrler les accs aux ressources.
La solution UAC comprend Junos Pulse, Junos Pulse Access Control Service, les
passerelles Junos Pulse MAG Series, les quipements de contrle d'accs unifi IC Series, ainsi
que des points
ts de mise en application d'Unified Access Control (UAC) comprenant tous les
commutateurs ou points d'accs 802.1X conformes au protocole IF-MAP
IF MAP de larchitecture
Trusted Network Connect (TNC).
Parmi ces quipements figurent,
figurent par exemple, les commutateurss EX Series, les points
d'accs pour rseau local WLA Series et les passerelles SRX Series. (Juniper Networks, 2011)
La figure suivante prsente un exemple d'architecture pour une solution UAC :
Mode VMPS : les machines du rseau sont identifies par leur adresse MAC. Les
les utilisateurs
eurs d'un domaine Windows par leur
le compte.
13 | Page
Chapitre 2
tat de l'art
L'attribution d'un VLAN est base sur l'adresse MAC d'une machine. En mode VMPS,
l'authentification et l'attribution ont lieu en une seule tape. En mode 802.1x, l'authentification
des utilisateurs (dans le domaine Windows), ou celle des machines (par certificat), se droule en
premier, et ce n'est que par la suite que l'adresse MAC est utilise pour l'attribution du VLAN.
(FreeNAC)
PacketFence
PacketFence est une solution de conformit rseau (NAC, Network Access Control)
entirement libre, supporte et reconnue. Elle procure une liste impressionnante de
fonctionnalits tels :
L'enregistrement des composantes rseau grce un puissant portail captif
Le blocage automatique, si souhait, des appareils indsirables tels que les produits
Apple et Sony, bornes sans fil et autres
L'enrayement de la propagation de vers et virus
Le freinage des attaques sur les serveurs ou les diverses composantes du rseau
La vrification de la conformit des postes prsents sur le rseau (logiciels installs,
configurations particulires, etc.)
La gestion simple et efficace des invits se connectant sur le rseau
L'authentification des utilisateurs en se rfrant au standard 802.1X
L'isolation niveau-2 des composantes problmatiques
L'intgration des dtecteurs d'intrusions Snort et de vulnrabilits Nessus (Marcotte,
2013)
2.3.1. Dfinition
Identity Services Engine (ISE) est la dernire gnration des plates-formes de contrle
d'accs proposes par Cisco et qui permet aux entreprises d'imposer leurs politiques de scurit
lors de l'accs, de renforcer la scurit de leurs infrastructures et de rationaliser leurs oprations
de services.
L'architecture unique de Cisco ISE permet aux entreprises de recueillir les informations
concernant les utilisateurs et les priphriques, en temps rel partir du rseau. L'administrateur
14 | Page
Chapitre 2
tat de l'art
peut ensuite utiliser ces informations pour prendre des dcisions de gouvernance proactive en
liant l'identit divers lments du rseau, y compris les commutateurs, les contrleurs de rseau
local sans fil (WLC) et les passerelles des rseaux privs virtuels (VPN).
Le schma suivant montre un exemple de dploiement de l'ISE au sein du rseau :
La plate-forme ISE peut tre considre comme tant un systme de contrle d'accs
consolid, base de rgles et intgrant un sur-ensemble de fonctionnalits disponibles dans les
plates-formes existantes. Parmi ses caractristiques, on peut citer :
Fournit un support pour la dcouverte, le profilage "profiling", le placement base de
rgles et le suivi des priphriques d'extrmit sur le rseau.
Combine l'authentification, l'autorisation, la traabilit (AAA : authentication,
authorization, accounting), l'valuation de posture et le profilage en une seule application.
Prend en charge l'volutivit ncessaire pour soutenir un certain nombre de scnarios de
dploiement, du petit bureau aux grands environnements d'entreprise.
Cisco ACS
Cisco ISE
Oui
Non
Oui
Oui
Non
Non
Oui
Oui
Oui
Oui
15 | Page
Chapitre 2
tat de l'art
2.3.3. Fonctionnement
Lors de la phase d'authentification et pour communiquer avec le client ou sa machine, la
plate-forme ISE fait appel un ensemble de normes et de protocoles. Ce sont principalement :
802.1X, EAP et RADIUS.
802.1X
802.1X est un standard qui dfinit un mcanisme d'authentification pour l'accs au
rseau. 802.1X peut tre compar au protocole PPP, largement diffus et ncessaire pour un
accs Internet utilisant un modem. Le protocole PPP s'appuie sur un mcanisme embarqu,
charg de l'authentification et pour lequel deux sous-protocoles taient proposs au choix : PAP
et CHAP. Schmatiquement, nous pourrions crire :
Accs Internet = modem + PPP + (PAP ou CHAP) + TCP/IP.
Au cas o 802.1X est utilis sur un quipement tel que le commutateur (Switch),
l'utilisateur connectant son ordinateur au rseau (filaire ou sans fil) est oblig s'authentifier avant
d'entamer toute activit. A l'issue du processus d'authentification et en cas de succs, le client
reoit un profil rseau (TCP/IP et VLAN) ainsi qu'un assortiment de rgles de scurit. (5)
Le standard 802.1X fait intervenir trois entits :
Le client ou "supplicant" qui est typiquement un PC
L'authentificateur (Switch, WLC)
Le serveur d'authentification ou "authentifcation server" qui est un serveur RADIUS.
802.1x s'appuie sur EAP (Extensible Authentication Protocol) qui prsente un moyen
pour transporter un protocole d'authentification. (Vincent REMAZEILLES, 2009)
16 | Page
Chapitre 2
tat de l'art
Le protocole EAP est extensible puisque tout mcanisme d'authentification peut tre
encapsul lintrieur des messages EAP. Au niveau suprieur se trouvent les mthodes
d'authentification, comme TLS, MSChap, SIM, etc. La trame EAP elle-mme est encapsule
dans une trame de transport. Cette encapsulation peut seffectuer soit dans une trame EAP over
Radius, cest--dire dans une trame RADIUS, soit dans une trame EAPoL (EAP over LAN) qui
est utilise dans les rseaux locaux, en particulier les rseaux locaux sans fil de type Wi-Fi.
(Pujolle, 2008)
Chapitre
re 2
tat de l'art
de cette requte, le serveur RADIUS vrifie l'identifiant du NAS puis les crdits d'authentification
de lutilisateur
lisateur dans une base de donnes LDAP (Lightweight Directory Access Protocol) ou
autre.
Les donnes dautorisation changes entre le client (le NAS) et le serveur RADIUS sont
toujours accompagnes dun secret partag. Ce secret est utilis pour vrifier
vrifie lauthenticit et
lintgrit de chaque paquet entre le NAS et le serveur.
serveur (Pujolle, 2008)
2.3.4. Licences
La stratgie des licences suivie par Cisco vise minimiser le nombre de licences
commander en combinant les diffrents services. Actuellement, quatre paquets de licence ISE
CISCO sont disponibles : Base, Advanced, Plus et Wireless.. La licence d'valuation est incluse
in
dans la plate-forme ISE, offrant tous les services pour une dure de trois mois. La licence
commander reste valide durant un, trois ou cinq ans. Le tableau qui suit expose les diffrents
services et les licences correspondantes.
18 | Page
Chapitre 2
tat de l'art
Licences
Base - Wireless
Base - Wireless
Base - Wireless
Base - Wireless
Advanced - Wireless
Plus - Advanced - Wireless
Plus - Advanced - Wireless
Advanced - Wireless
Plus - Advanced - Wireless
Plus - Advanced - Wireless
Plus - Advanced - Wireless
Base - Wireless
2.4. Conclusion
Dans ce prsent chapitre, nous avons essay de mettre en relief le principe de
fonctionnement de toute solution NAC, son architecture globale ainsi que les diffrentes
solutions disponibles; nanmoins, nous nous sommes attards sur une solution particulire
propose par Cisco Systems, savoir la plate-forme ISE.
La mise en place de cette plate-forme et la dfinition des politiques de scurit dpendent
de l'architecture et de la nature du rseau protger, tels que type d utilisateurs, quipements
dploys et sous-rseaux existants.
19 | Page
CHAPITRE 3 :
RALISATION
Chapitre 3
Ralisation
3.1. Introduction
Aprs avoir achev les notions thoriques, nous passons la mise en place de notre
solution, laquelle reprsente notre tche principale. Au cours de ce chapitre, nous nous
attarderons sur les diffrentes configurations requises pour assurer le contrle d'accs des
utilisateurs des rseaux filaire et sans fil. Ceci revient essentiellement paramtrer la plate-forme
ISE, le commutateur ainsi que le contrleur du rseau sans fil ou le WLC.
21 | Page
Chapitre 3
Ralisation
22 | Page
Chapitre 3
Ralisation
Le nom de domaine que nous avons choisi est : NSIT.local (abrviation du nom de
l'entreprise : Next Step IT)
23 | Page
Chapitre 3
R
Ralisation
Figure 12:
12 Tlchargement de l'image .iso sur la datastore
La plate-forme
forme ISE requiert une machine virtuelle ayant au minimum les caractristiques
suivantes :
Mmoire vive de 4 GB
Mmoire disque de 200 GB
4 processeurs (CPUs)
Deux cartes rseaux (2 NIC)
Lors du premier dmarrage de la machine, certaines donnes ont t saisies pour
commencer l'installation, parmi lesquelles nous pouvons citer :
ise-cisco2 : nom de la machine lequel,
lequel sera ajout ultrieurement aux DNS et
Active Directory
172.25.0.201 : adresse IP prive de la machine
255.255.255.0 : masque de sous-rseau
172.25.0.254 : passerelle par dfaut
nsit.local : nom de domaine que nous avons choisi
172.25.0.27 : adresse IP du serveur NTP (Network Time Protocol) permettant de
synchroniser l'horloge de la plate-forme.
plate forme. Un serveur NTP a t install sur Windows
Server et sur lequel pointe l'ISE.
24 | Page
Chapitre 3
Ralisation
La machine contenant la plate-forme ISE est appele "node". Elle peut fonctionner selon
deux modes :
plates-formes ISE. Leur intgration ncessite une authentification mutuelle base sur les
certificats : chacune possde son propre certificat, lequel doit tre gnr par l'autorit de
certification (Certificate Authority). Dans notre cas, l'autorit est reprsente par le contrleur de
domaine. La gnration du certificat est offerte par le service de certificats Active Directory.
Ce
service
est
accessible
https://172.25.0.27/certsrv
via
une
interface
WEB
l'adresse
suivante
25 | Page
Chapitre 3
R
Ralisation
L'tape suivante consiste gnrer les demandes des certificats "Certificate Request"
partir de l'ISE afin de les traiter au niveau du service des certificats Active Directory.
Director Le fichier de
la demande est par la suite ouvert avec un diteur de texte et son contenu est coll au service
appropri. Le modle de certificat choisir est "Serveur Web".
26 | Page
Chapitre 3
R
Ralisation
seul nud actif, et sur lequel s'effectuent tous les changements. Le nud secondaire est en tat
d'attente "standby" et reoit d'une manire continue la configuration du nud principal.
27 | Page
Chapitre 3
Ralisation
Par consquent, il possde toujours une copie complte de la configuration. Au cas o le nud
primaire est devenu hors service, le responsable doit se connecter l'interface du nud
secondaire et le promouvoir pour pouvoir configurer les rgles.
Une fois la jointure russie, et en consultant la liste des machines existantes sur le
contrleur, nous pouvons constater que la machine sur laquelle est installe Cisco ISE est
automatiquement additionne.
28 | Page
Chapitre 3
Ralisation
Aprs avoir effectu la jointure Active Directory, nous devons importer les groupes
permettant d'authentifier les utilisateurs du domaine et servant affecter le profil d'autorisation
appropri chaque utilisateur. Pour afficher les groupes dont on a besoin, il faut taper leurs
noms, autrement il faut taper "*" pour lister les groupes existants. La figure qui suit montre
l'importation du groupe "Utilisateurs du domaine".
3.4.1. Authentification
Les politiques d'authentification dfinir au niveau de l'ISE servent identifier les
diffrents utilisateurs ou machines demandant l'accs au rseau et ce en s'appuyant sur un
ensemble de protocoles tels que Password Authentication Protocol (PAP), Challenge-Handshake
Authentication Protocol (CHAP), Extensible Authentication Protocol (EAP) et Protected
Extensible Authentication Protocol (PEAP). Lors de l'ajout de la rgle, nous devons choisir les
protocoles permis pour une telle mthode d'authentification et la source des identits (Identity
Store).
Les sources qui peuvent tre utilises sont les suivantes :
Utilisateurs internes
Utilisateurs "Guest" (groupe d'utilisateurs dfini sur la plate-forme)
Terminaux internes
Active Directory
Bases de donnes LDAP
RADIUS Token Server
29 | Page
Chapitre 3
R
Ralisation
Afin d'autoriser plus qu'une source d'authentification pour une seule rgle, il a fallu
ajouter une squence de source d'identit ou "Identity Source Sequence" permettant de vrifier
les identits
ts en consultant les sources par ordre. La figure suivante montre la squence dfinie :
30 | Page
Chapitre 3
R
Ralisation
Il est possible de dfinir des rgles avec des conditions simples ou composes. Une
condition simple est base sur un oprande, un oprateur tels que "equal to" et "not equal to"
ainsi qu'une valeur. Ces conditions peuvent tre dfinies au niveau de la librairie et appeles
directement lors de la dfinition de la rgle pour une meilleure organisation. Une condition
compose rassemble deux conditions simples ou plus avec un oprateur OR ou AND. La figure
suivante montre le rassemblement de deux conditions
conditions existantes dans la librairie avec un
oprateur OR pour la rgle "MAB".
AB".
La dfinition des rgles repose sur les attributs du protocole RADIUS. Les attributs
constituent le principe le plus important du protocole Radius, aussi bien dans sa version initiale
que pour ses extensions. Les champs attributs sont le fondement du protocole. Par consquent, la
bonne comprhension de leur signification et de leur rle est indispensable pour tirer le meilleur
parti de Radius. Chaque attribut
but possde un numro appropri,
appropri auquel est associ un nom. Il
existe un grand nombre dattributs dans le protocole Radius, mais peu dentre eux sont utiles
31 | Page
Chapitre 3
R
Ralisation
User-Password : il sagit
agit du mot de passe associ User-Name,
Name, transmis par le NAS. Le
serveur dauthentification valide ce mot de passe en fonction de la valeur enregistre dans
sa base de donnes
NAS-Port : ill sagit du numro de port du NAS sur lequel est connect le poste de
travail. Cet attribut est transmis par le NAS. Son utilisation permettra dauthentifier un
poste de travail condition quil soit connect via ce numro de port. Dans le cas dun
commutateur, il sagit du port physique sur lequel est connect le poste de travail.
travail
Service-Type : indique
ndique le type de service demand ou le type de service fournir. Pour
une utilisation avec la norme 802.1X, seulement les valeurs Framed, Authenticate Only
et Call check ont un sens.
A titre d'exemple, la condition prdfinie "Wired_802.1X" affecte les valeurs suivantes
Cisco NAC Web Agent : un agent temporaire que les clients installent
installe lors du login et
qui disparait une fois la session de login termine. Il est recommand pour des utilisateurs
ayant un accs pour une priode bien dtermine.
32 | Page
Chapitre 3
Ralisation
Par ailleurs, ces agents peuvent faciliter la remdiation des machines en affichant un
message expliquant la procdure et en fournissant des fichiers tlcharger et installer. La plateforme ISE donne la possibilit de rediriger les clients vers une page de tlchargement des agents
pour ceux qui n'en disposent pas et ce grce une option configurer au niveau du profil
dautorisation. Ce service est appel "Client Provisioning". La figure qui suivra expose les rgles
de "Client Provisioning" dfinies : la premire fournit l'agent temporaire "Web Agent" aux invits
"Guests", alors que la deuxime fournit l'agent persistant aux autres utilisateurs qui sont
principalement les membres du domaine. Il est prciser que l'ordre des rgles est primordial
pour assurer une bonne affectation. Par exemple, en inversant l'ordre, tous les utilisateurs
tlchargeront l'agent persistant et la deuxime rgle ne sera jamais applique.
Pour pouvoir choisir l'agent appropri, nous avons d le tlcharger directement sur la
plate-forme et ce partir du site Cisco . Par consquent, le nom de domaine cisco.com doit tre
rsolu partir de l'ISE. La liste qui suit prsente des versions multiples des deux types d'agents
NAC, temporaires et persistants.
Aprs avoir fourni les agents permettant l'valuation de posture aux clients, nous devons
procder la phase de dfinition des rgles de posture. Une rgle s'crit :
Si condition(s) alors exigence
Aussi, une exigence peut tre dcompose comme suit :
Si condition(s) alors action de remdiation
33 | Page
Chapitre 3
R
Ralisation
Pour une telle condition, Cisco ISE donne la possibilit d'examiner la machine pour
p
vrifier l'existence de l'antivirus ou mme la disposition d'une version rcente. Ceci est ralisable
en analysant le fichier de dfinition de la version par les Agents NAC.. En consquence, les
versions reconnues par l'ISE doivent tre mises jour continuellement.
Figure 32:
32 Champs remplir d'une condition d'antivirus
34 | Page
Chapitre 3
Ralisation
Comme l'entreprise Next Step IT est un revendeur des produits Mcafee, nous avons opt
pour l'utilisation de ce vendeur dans la dfinition de la rgle. Tout utilisateur demandant l'accs au
rseau doit disposer d'une version de l'antivirus Mcafee.
Aprs avoir dfini la condition d'antivirus, nous devons choisir l'action de remdiation. Il
est possible de permettre l'accs des adresses IP bien dfinies servant tlcharger et mettre
jour l'anti-virus tel que le site officiel de Mcafee et ce lors de la dclaration de la liste d'accs
(ACL), ou d'offrir le fichier excutable directement. Dans notre cas, nous avons import le
fichier d'installation de l'antivirus sur la plate-forme pour qu'il soit tlchargeable directement.
35 | Page
Chapitre 3
Ralisation
La rgle de posture dfinie exige la disposition d'un antivirus Mcafee pour tous les
utilisateurs de l'environnement Windows en faisant appel celle qui vient d'tre dclare et
nomme "Mcafee".
Aprs avoir eu accs, un client peut dsinstaller son anti-virus, ou d'une autre manire,
dtourner la rgle dfinie. Ceci nous oblige revrifier la machine priodiquement. Dans notre
cas, nous avons appliqu une rvaluation rgulire d'une heure comme dcrit dans la figure
suivante.
36 | Page
Chapitre 3
Ralisation
3.4.3. Autorisation
Les politiques d'autorisation dfinir mettent en application les politiques
d'authentification et de posture ; ces politiques sont dclares comme tant des conditions. Sur la
base de ces conditions, l'utilisateur aura l'autorisation approprie. Pour rsumer, une rgle
d'autorisation s'crit :
Si conditions (attributs ou groupes d'utilisateurs) alors permissions (profil
d'autorisation).
Dans notre cas, nous avons besoin des attributs d'authentification et de posture ainsi que
des groupes d'utilisateurs. Afin de vrifier l'tat de la machine par rapport la rgle de posture,
nous avons recours l'attribut "PostureStatus" . Cet attribut peut avoir trois valeurs :
Unknown : aucune donne n'a t obtenue pour valuer la machine; l'agent NAC n'est
pas disponible
37 | Page
Chapitre 3
R
Ralisation
Aprs avoir termin la cration des profils, nous pouvons dfinir les rgles. Ces rgles
autorisent l'accs aux utilisateurs authentifis au domaine ou via le portail Web et ayant des
machines conformes aux rgles de posture. Un
Un utilisateur de domaine ne disposant pas de l'agent
NAC ou non conforme avec les politiques de posture est redirig vers la page de Client
Provisioning . Sinon, l'utilisateur est redirig vers le portail Web incluant une phase de validation
de posture.
Afin d'accder au Switch, nous pouvons nous connecter directement en utilisant un cble
console ou distance via SSH. Le service SSH est par dfaut dsactiv au niveau du
commutateur.
38 | Page
Chapitre 3
Ralisation
Chapitre 3
Ralisation
serveur a t saisie deux fois, la premire incluant l'adresse du nud primaire alors que la seconde
inclut l'adresse du nud secondaire.
Un utilisateur tentant d'accder au rseau peut, en premier lieu, avoir un accs restreint
pour raison de non-conformit et ce avant d'avoir un accs plus tendu. Cela se traduit par
l'affectation de multiples profils d'autorisation pour une mme session. Afin de supporter les
requtes de changement du profil d'autorisation manant de l'ISE, le CoA (Change of
Authorization) doit tre activ au niveau du Switch l'aide de la commande aaa server radius
dynamic-author. Aussi, l'adresse du serveur mettant les requtes doit tre spcifie en tapant la
commande client <server ip-address> server-key <server-key string>.
Lors de la dfinition des profils d'autorisation, il est possible de rediriger les utilisateurs
vers la page Web du portail captif pour s'authentifier ou vers la page de tlchargement des
agents NAC. Dans ce cas, le Switch interceptera le flux HTTP et rpondra la commande GET
de HTTP avec l'URL spcifi, tant rappel que ces URLs sont envoys de l'ISE au Switch via
les attributs VSA. Pour assurer cette fonction de redirection, il est indispensable d'activer les
services HTTP et HTTPS via les commandes ip http server et ip http secure-server.
40 | Page
Chapitre 3
Ralisation
Pour savoir quel trafic rediriger, Cisco ISE rfre une liste d'accs dclare au niveau du
Switch ; tout flux ayant comme raction "permit" doit tre redirig . Il est prciser que tout
trafic rediriger autre que HTTP et HTTPS sera rejet. Le tableau suivant expose les diffrentes
rgles dclares sous la liste d'accs :
Entres de l'ACL
Description
"client provisioning"
Chapitre 3
R
Ralisation
Figure 46:
46 Diagramme des mthodes d'authentification
Nous commenons par affecter l'interface au VLAN 340 utilis pour le rseau local de
l'entreprise et la faire fonctionner en mode Access du moment qu'un PC sera directement
connect.
Afin d'activer l'authentification 802.1X sur le port et interdire tout trafic sauf celui du
protocole EAPOL (Extensible
Extensible Authentication
Auth
Protocol over LAN),
), nous utilisons la commande
dot1x port-control auto. En combinant cette commande avec la commande dot1x pae
authenticator, le Switch devrait initier l'authentification ds le branchement du cble, autrement
dit, ds que l'interface change son tat de "down" "up".
Pour que l'authentification MAB (Mac Authentication Bypass) soit active, il suffit de
taper la commande mab tout court.
A cet instant, les deux mthodes d'authentification sont actives et il nous reste
favoriser le dot1x par rapport au MAB. Ceci est ralisable l'aide la commande authentication
order dot1x mab.
42 | Page
Chapitre 3
Ralisation
43 | Page
Chapitre 3
R
Ralisation
Le modle de point d'accs utilis est Cisco Aironet 1041N. Il a t branch sur une prise
RJ45 pour pouvoir communiquer avec le contrleur install sur le serveur.
Aprs lui avoir affect une adresse IP et prcis l'adresse du WLC, le point d'accs est
automatiquement dtect au niveau du contrleur grce au protocole CAPWAP.
Les utilisateurs tentant de bnficier de l'accs sans fil se classifient sous deux catgories,
les utilisateurs temporaires (ou visiteurs) et les utilisateurs persistants appartenant au domaine.
Cela se traduit par la diffusion
fusion de deux SSID diffrents ; chaque WLAN possde ses propres
politiques de scurit.
44 | Page
Chapitre 3
R
Ralisation
L'authentification
auprs
de
la
plate
plate-forme
ncessitait
l'addition
du
serveur
d'authentification
authentification RADIUS inclus la plate-forme au WLC.. La figure suivante montre les
diffrents champs disponibles et qui doivent tre configurs lors de l'ajout .
L'activation de "Support for RFC 3576",, comme indiqu dans la figure prcdente, est
similaire la commande aaa server radius dynamic-author
dynamic
saisie au niveau du Switch. En effet,
cette option permet d'accepter les requtes de changement d'autorisation (CoA). Aussi, nous
prcisons la cl secrte partage entre l'ISE et le WLC.
Une fois le serveur d'authentification ajout, il a fallu l'additionner la configuration de
ce WLAN sous
us l'onglet "AAA Servers";
Servers" par dfaut, l'authentification s'effectue localement. La
mme configuration a t applique pour le serveur de comptabilit pour avoir une traabilit de
l'utilisateur, comme mentionn sur la capture qui suit.
45 | Page
Chapitre 3
R
Ralisation
Aussi, et pour autoriser l'affectation dynamique des profils d'autorisation (CoA), nous
devions cocher la case "Allow AAA Override" et changer la valeur de NAC State Radius NAC.
46 | Page
Chapitre 3
Ralisation
La mme configuration est reprendre avec le deuxime WLAN sauf que la politique de
scurit qui doit tre change par WPA2-802.1X au lieu de Mac Filtering. Contrairement au
commutateur, une seule mthode d'authentification peut tre active sur un mme WLAN.
Aprs avoir termin la configuration des deux WLANs, et linstar de la liste daccs
dclare au niveau du Switch, nous devons ajouter une ACL permettant de prciser le type de
trafic rediriger, tant prcis que les entres doivent tre dclares inversement au Switch ;
47 | Page
Chapitre 3
Ralisation
une rgle permit est remplace par deny et vice versa. Nous navons pas eu recours
additionner une rgle pour le trafic DHCP tant quil est autoris par dfaut.
3.7. Conclusion
Tout au long de ce troisime chapitre, nous avons essay d'aborder les configurations
ncessaires des diffrents lments constituant notre solution et ce, en alternant entre la citation
des principes de fonctionnement et celle des configurations appliques, tout en illustrant avec les
figures explicatives.
Bien que la solution soit configure et mise en place, une phase de test est indispensable
afin de valider le comportement des diffrents composants vis--vis des machines tentant
d'accder au rseau.
48 | Page
CHAPITRE 4 :
TEST ET VALIDATION
Chapitre 4
Test et validation
4.1. Introduction
Une fois la solution mise en place, nous procdons la phase de test dans le but de nous
assurer du bon fonctionnement des quipements et de la configuration. La vrification consiste
essayer de se connecter, aux rseaux filaire et sans fil, avec des scnarios diffrents et ce, en
variant la mthode d'authentification et en faisant intervenir des machines avec des tats de
"sant" divers.
50 | Page
Chapitre 4
Test et validation
val
Aprs avoir saisi les donnes du compte utilisateur, et en essayant daccder la page
http://www.google.fr , nous nous sommes trouvs redirigs vers la page de "Client
Client Provisioning"
Provisioning
fournissant lAgent NAC persistant.
persistant
51 | Page
Chapitre 4
Test et validation
val
Figure 62:
62 Redirection vers la page de Client Provisioning
Le deuxime test que nous effectuons consiste vrifier l'authentification MAB . Pour le
faire,, nous dsactivons l'authentification 802.1X sur l'interface pour que l'authentification par
adresse MAC soit automatiquement utilise.
52 | Page
Chapitre 4
Test et validation
Pour nous assurer de la bonne affectation du profil d'autorisation, nous pouvons avoir
recours au commutateur et utiliser la commande show authentication session interface
GigabitEthernet1/0/23 detail. Les rsultats affichs dans la section Server Policies confirment
le tlchargement de l'URL de redirection partir de l'ISE et l'utilisation de l'ACL adquat pour
connatre quel trafic doit tre redirig.
53 | Page
Chapitre 4
Test et validation
val
Aprs avoir tap les coordonnes, nous sommes redirigs vers la page de CCP (Client
Provisioning Portal) pour tlcharger l'agent NAC. Une fois install, cet Agent nous indique que
notre accs au rseau est restreint pour raison de non-conformit
non
tel qu'il est montr sur la figure
et nous suggre la rparation de la machine pour avoir un accs complet.
54 | Page
Chapitre 4
Test et validation
val
Comme nous l'observons sur la figure prcdente,, un lien d'inscription est disponible. Le
mot de passe du compte "Guest" est gnr alatoirement alors que son nom d'utilisateur se
gnre partir du nom et du prnom . Aussi, une version mobile du portail invit est fournie :
Nous pouvons aussi dsactiver l'enregistrement automatique des membres sur le portail et
nous limiter la cration des comptes via le portail responsable ou "Sponsor", lequel est
accessible au lien suivant : https://172.25.0.200:8443/sponsorportal/.
https://172.25.0.200:8443/sponsorportal/ L'authentification sur
55 | Page
Chapitre 4
Test et validation
val
Lors de la cration du compte, nous devons choisir la dure de vie du compte en lui
affectant un des profils existants sur la plate-forme
plate
. Dans l'exemple qui suit,, le compte sera actif
durant une priode de huit heures.
56 | Page
Chapitre 4
Test et validation
Nous avons test de nouveau et ce aprs avoir install l'antivirus Mcafee. L'agent NAC
nous a prsent un accs plus tendu au rseau, comme mentionn sur la figure ci-dessous.
57 | Page
Chapitre 4
Test et validation
val
4.4. Conclusion
Cette partie du rapport tait consacre l'essai de la solution avec diffrents scnarios afin
de prouver son bon fonctionnement et son efficacit et ce, en essayant de connecter une machine
au rseau, ou encore en se rfrant aux services disponibles au sein des composants,
composants tel que le
systme de journalisation de la plate-forme
plate
Cisco ISE.
58 | Page
Conclusion et perspectives
Dans le cadre de ce projet ralis au sein de l'entreprise Next Step IT, et partant dun
souci de scurit et dun besoin de protection des ressources critiques et vitales d'une manire
permanente, nous avons mis en place une solution de contrle d'accs relative aux rseaux filaire
et sans fil. La solution est encore plus ncessaire quand on sait que, dans certains tablissements,
le nombre dutilisateurs qui sollicitent frquemment le rseau est trs important.
La solution adopte, lors de la ralisation du projet, s'appuie sur des produits proprit
Cisco : le point d'accs, le commutateur, le contrleur du rseau local sans fil (WLC) ainsi que
la plate-forme ISE reprsentant la dernire gnration des plates-formes de contrle d'accs
proposes par Cisco, tant prcis que l'entreprise Next Step IT est spcialiste d'intgration de
solutions d'infrastructure rseau reposant essentiellement sur les quipements Cisco.
Une fois dploye, la solution a permis de ragir, en temps rel, toute tentative de
connexion au rseau par rfrence aux politiques de scurit prdfinies au niveau de la plateforme Cisco ISE. En effet et en premier lieu, l'utilisateur est appel s'authentifier en prsentant
son compte utilisateur et le mot de passe associ au cas o il appartient au domaine, sinon et s'il
s'agit d'un utilisateur invit, il s'authentifie travers un portail Web en s'y inscrivant
temporairement ou bien il obtient un compte cr par le responsable et autorisant aussi un accs
momentan. Ltape qui suit la vrification de la lgitimit de l'utilisateur est celle de la validation
de l'tat des machines ; chacune doit disposer de l'antivirus Mcafee. Dans le cas contraire,
l'utilisateur bnficie d'une priode de grce, au cours de laquelle, un fichier de remdiation lui est
offert afin de pouvoir accder.
A l'instar du test de l'antivirus, d'autres balayages, proposs par la plate-forme, pourront
tre effectus, telle que la vrification de l'tat de mise jour du systme d'exploitation et de
l'existence de certaines applications de scurit et ce, dans le but de garantir davantage la sret
du rseau.
Bien videmment, diffrentes techniques d'attaque existent; elles tendent retrouver par
tous les moyens le mot de passe, ce qui permet aux intrus dusurper l'identit de l'un des
utilisateurs pour accder au rseau. Afin de les confronter, nous pouvons avoir recours une
authentification forte, concatnant au moins deux facteurs d'authentification, tels que les
certificats numriques et les mots de passe usage unique (OTP) ; ceci est ralisable en intgrant
la plate-forme Cisco ISE avec des sources d'identit externes.
Rfrences
Cisco Systems Description de la gamme Cisco NAC [En ligne]. - 2006. - 4 Fvrier 2015.
Enterasys Secure Networks Network Access Control (Contrle daccs au rseau) [En ligne]. 2007. - 2 Mars 2015.
FreeNAC
Contrle
d'accs
rseau
[En
http://freenac.net/fr/solutions/lanaccesscontrol.
ligne]. -
20
Mars
2015. -
Juniper Networks Unified Access Control [En ligne]. - Novembre 2011. - 15 Mars 2015.
LANDESK Centre d'aide Comprhension des composants NAC de base Centre d'aide
LANDESK [En ligne] // site Web LANDESK Help Center. - 2013. - 12 Mars 2015. https://help.landesk.com/Topic/Index/FRA/LDMS/9.5/Content/Windows/nac_c_basic_com
ponents.htm.
Marcotte Ludovic PacketFence 4.1 : une solution BYOD/NAC dans la cour des grands [En
ligne] // Linuxfr. - 17 Dcembre 2013. - 22 Mars 2015. - http://linuxfr.org/news/packetfence-41-une-solution-byod-nac-dans-la-cour-des-grands.
Microsoft Protection daccs rseau (NAP) [En ligne] // Microsoft. - Janvier 2008. - 12 Mars
2015. - https://technet.microsoft.com/fr-fr/library/cc753550%28v=ws.10%29.aspx.
Pujolle Guy Les rseaux [Livre]. - [s.l.] : Eyrolles, 2008. - p. 880.
Vincent REMAZEILLES La scurit des rseaux avec Cisco [Livre]. - [s.l.] : Editions ENI,
2009. - p. 40.
61 | Page
Glossaire
802.1X : standard permettant de contrler l'accs aux quipements du rseau
AAA (Authentication, Authorization, Accounting) : AAA correspond un protocole qui ralise trois
fonctions : l'authentification, l'autorisation, et la traabilit
ACL (Access Control List) : les ACLs servent principalement au filtrage des paquets sur les interfaces
physiques
CHAP (Challenge Handshake Authentication Protocol) : protocole d'authentification pour PPP
base de challenge, ce qui le rend bien plus sr que son prcdent PAP.
CA (Certificate Authority) : a pour mission, aprs vrification de l'identit du demandeur du certificat,
de signer, mettre et maintenir les certificats
CPP (Client Provisioning Portal) : portail appartenant la plate-forme ISE et permettant de fournir les
Agents NAC
CWA (Central Web Authentication) : portail Web qui permet aux utilisateurs de s'inscrire et de
s'authentifier. Aussi, elle peut inclure la validation de posture (CPP).
DHCP (Dynamic Host Configuration Protocol) : permet, partir d'un serveur, de tlcharger la
configuration rseau vers un ordinateur (adresse IP, paramtre TCP/IP, etc.)
DNS (Domain Name System) : service de noms reposant sur des serveurs et permettant de convertir
un nom en une adresse IP
EAP (Extensible Authentication Protocol) : protocole de communication rseau embarquant de
multiples mthodes d'authentification, pouvant tre utilis sur les liaisons point point, les rseaux filaires
et les rseaux sans fil
FQDN (Fully Qualified Domain Name) : est un nom de domaine qui rvle la position absolue d'un
nud dans l'arborescence DNS en indiquant tous les domaines de niveau suprieur jusqu' la racine
LDAP (Lightweight Directory Access Protocol) : est l'origine un protocole permettant
l'interrogation et la modification des services d'annuaire. Il a cependant volu pour reprsenter une
norme pour les systmes d'annuaires.
MAB (Mac Authentication Bypass) : authentification de niveau 2 base sur les adresses MAC et
fournie par Cisco
MAC (Medium Access Control) : couche logicielle qui a pour rle de structurer les bits d'information
en trames adaptes au support physique et de grer les adresses physiques des cartes rseaux (Adresses
MAC)
62 | Page
Glossaire
MS-CHAP : version amliore du protocole CHAP propose par Microsoft
NAS (Network Access Server) : client RADIUS faisant office d'intermdiaire entre l'utilisateur final et le
serveur
NTP (Network Time Protocol) : protocole permettant de synchroniser l'horloge d'une machine sur une
rfrence d'horloge
PAP (Password Authentication Protocol) : protocole d'authentification pour PPP. Les donnes sont
transmises en texte clair sur le rseau ce qui le rend par consquent non scuris.
PEAP (Protected Extensible Authentication Protocol) : driv du protocole EAP, fournissant un
canal de transmission plus scuris (tunnel TLS).
PPP (Point-to-Point Protocol) : protocole de la couche liaison utilis sur les lignes srie tlphoniques
ou spcialises
RADIUS (Remote Authentication Dial-In User Server) : protocole client-serveur permettant de
centraliser des donnes d'authentification
RSA (River Shamir et Adelman) : algorithme de chiffrement cls publiques et cls secrtes portant le
nom de ses concepteurs.
TACACS+ : version plus rcente du protocole TACACS (protocole AAA fourni par Cisco)
TCP/IP (Transport Network Protocol/Internetwork Protocol) : protocole de transport des donnes
sous forme de paquets, universellement utilis sur les rseaux LAN et WAN
TLS : protocole qui garantit la confidentialit entre les applications communicantes et leurs utilisateurs sur
Internet.
UDP (User Datagram Protocol) : quivalent de TCP mais en mode non connect, sans les mcanismes
de contrle de flux, de reprise sur erreur et autres options
VLAN (Virtual Local Area Network) : ce mcanisme permet de crer plusieurs rseaux virtuels au sein
dun mme rseau physique et dallouer des configurations spcifiques pour chaque rseau virtuel cr
VMware ESXi : hyperviseur dvelopp par VMware et permettant de dployer des machines virtuelles
VPN (Virtual Private Network) : technique qui simule un rseau priv dans un rseau public dans le but
d'offrir plus de scurit
VSA (Vendor Specific Attributes) : RADIUS est extensible; de nombreux fournisseurs de matriels et
de logiciels RADIUS mettent en uvre leurs propres variantes en utilisant des attributs VSA
WLC (Wireless LAN Controller) : permet de grer le rseau local sans fil en contrlant les points
d'accs, grant les interfrences, assurant le handover, etc.
63 | Page