• Article

Numéro spécial : Windows Server 2008

Accès réseau basé sur des stratégies avec Windows Server 2008

Ian Hameroff and Amith Krishnan

 

Vue d'ensemble:

  • Équilibre entre l'accès réseau et la sécurité
  • Une approche basée sur les stratégies de l'accès réseau
  • Les nouvelles technologies de sécurité dans Windows Server 2008

Beaucoup de choses ont été écrites à propos de la disparition des périmètres de réseau traditionnels provoquée par la mobilité toujours croissante des utilisateurs et la diversification continuelle des utilisateurs et des périphériques nécessitant

un accès aux ressources informatiques d'une entreprise. Pour augmenter la productivité, les utilisateurs comme les propriétaires de solutions métier génèrent une demande pour une expérience connectée à la fois fluide et exempte de procédures ennuyeuses. Ajoutez à cette situation déjà complexe un durcissement du cadre réglementaire, le paysage des menaces en évolution et les risques associés à la décentralisation de données.

Ceci a tendance à laisser les administrateurs Windows® embourbés au milieu de la difficile tâche de trouver un juste équilibre pour la sécurité : comment offrir un accès facile aux ressources tout en répondant aux besoins sans cesse en hausse en matière d'informations et de sécurité réseau.

Même s'il n'existe pas de solution unique à tous ces défis, vous disposez, en tant qu'administrateurs Windows, de plusieurs outils visant à améliorer les contrôles de sécurité, comme les pare-feu de périmètre, que vous avez déjà en place. Une méthode formidable pour approcher l'équilibre parfait entre l'accès et la sécurité consiste à passer des modèles de connectivité traditionnels à un modèle qui cherche à définir l'accès réseau de manière plus logique et stratégique.

Une approche de l'accès réseau basée sur les stratégies

Ressources réseau

L'accès réseau basé sur des stratégies vise à supprimer les restrictions existantes que vous rencontrez quand vous essayez de baser la confiance principalement sur les périmètres de topologie réseau. Par exemple, pouvez-vous vraiment déterminer si un périphérique est approuvé et autorisé à se connecter aux serveurs exécutant l'application de gestion des relations client, juste parce qu'il est connecté à l'un de vos ports commutés Ethernet derrière le pare-feu d'entreprise ?

Le nouveau modèle base plutôt ses décisions d'accès en authentifiant à la fois la posture de sécurité du périphérique et l'identité de l'utilisateur demandant l'accès, quel que soit l'emplacement depuis lequel il se connecte. Une fois authentifiée, cette même infrastructure peut alors être utilisée pour autoriser l'accès à certaines informations et ressources.

Passer d'une posture défensive à une plus focalisée sur l'accès implique différents éléments importants, notamment la mise en place de mécanismes capables de valider l'identité et la conformité à la stratégie des hôtes qui se connectent, de générer une identité utilisateur approuvée et de contrôler dynamiquement l'accès réseau en se basant sur ces attributs. Pour simplifier la gestion de ces divers éléments en mouvance, un magasin de stratégies centralisé est également un composant important.

Adopter une approche basée sur des stratégies peut vous aider à imbriquer un certain nombre de contrôles d'accès réseau potentiellement disparates et de contrôles de sécurité d'hôte dans une solution plus complète. Par la suite, ceci vous permet de déterminer les grands principes d'accès réseau au niveau d'une couche logique au-dessus du tissu de connectivité, ce qui fait ainsi évoluer les méthodes recommandées au niveau de la défense.

Par exemple, lorsqu’un utilisateur connecte son portable au réseau sans fil de l'organisation, le périphérique peut être vérifié au niveau de sa conformité avec les dernières exigences de configuration de sécurité. Une fois qu'il a été déterminé que le portable possède toutes les mises à jour d'antivirus actuelles et les correctifs de sécurité critiques et que tous ses contrôles de sécurité de point de terminaison sont activés (comme un pare-feu d'hôte), l'accès au réseau de l'entreprise peut lui être accordé. Alors, lorsque l'utilisateur tente d'accéder à une application professionnelle, la combinaison de l'état d'intégrité du portable et l'identité réseau de l'utilisateur permet de déterminer s'il est autorisé à se connecter aux ressources qui hébergent l'application. En opérant au niveau de cette couche logique sur l'infrastructure du réseau physique, il est possible d'appliquer continuellement des stratégies, même si l'utilisateur passe d'une connexion sans fil à une connexion câblée ou même une connexion d'accès à distance.

Lorsqu'il est mis en œuvre, l'accès réseau basé sur des stratégies peut délivrer une expérience de connexion plus lisse pour les utilisateurs, sans sacrifier la sécurité dans le processus. Pour les administrateurs, le renforcement des contrôles d'accès réseau de configurations de ports commutés ou de passerelles d'accès à distance peut simplifier la gestion. Dans les deux cas, le résultat final est une hausse de la productivité et une amélioration générale de l'intégrité du réseau de l'organisation, même lorsque les réseaux peuvent jouer le rôle d'hôte pour des parties ayant différents droits d'accès, telles que les invités (conviés ou autres), les fournisseurs, les partenaires et les employés.

Comme avec n'importe quel projet de sécurité, la première étape dans l'implémentation de moyens d'accès réseau basés sur des stratégies consiste à développer une série de stratégies opérationnelles holistiques. Ceci inclut normalement des indications pour :

  • la conformité des périphériques en matière de sécurité : que signifie l'intégrité pour un périphérique ?
  • le zonage logique du réseau : comment allez-vous différencier les périphériques malsains de ceux autorisés ?
  • la gestion des risques pour les informations : comment les données sensibles sont-elles classifiées et protégées de toute compromission ?

Heureusement, une grande variété de ressources de développement de stratégies est disponible dans le Centre de Sécurité Microsoft® TechNet (microsoft.com/technet/security).

Une fois que vous avez développé les stratégies d'accès, vous aurez besoin de sélectionner des technologies capables à la fois de les distribuer facilement et de les appliquer efficacement. À cette fin, inutile de chercher plus loin que Windows Server® 2008. Car Windows Server 2008 est non seulement la version la plus sûre de Windows Server à ce jour ; il offre également aux administrateurs une plate-forme de sécurité renforcée pouvant former la pierre angulaire d'une solution d'accès réseau basée sur des stratégies. Parmi sa longue liste de fonctionnalités nouvelles et améliorées, Windows Server 2008 fournit bon nombre des ingrédients nécessaires pour implémenter un accès sécurisé et basé sur les stratégies dans votre réseau, ce qui permet d'assurer la protection des informations sensibles contre la compromission.

Réseaux nouvelle génération

Au centre des avancements sur la sécurité réseau dans Windows Server 2008 se trouve la pile TCP/IP nouvelle génération, une mise à jour majeure à la fonctionnalité de mise en réseau de la plate-forme et aux services apparentés. Outre le fait d'offrir de meilleures performances réseau et une meilleure évolutivité, Windows Server 2008 renforce la sécurité par un ensemble de fonctionnalités de réseau intégrées qui constituent une base solide pour une solution d'accès réseau basée sur les stratégies.

IPSec (Internet Protocol security) est l'une des fonctionnalités qui a fait l'objet d'une mise à niveau significative dans Windows Server 2008, il pourrait jouer un rôle clé dans une approche d'accès réseau basée sur les stratégies. Maintenant, il ne s'agit pas d'utiliser IPSec comme un protocole de tunneling et de chiffrement, mais plutôt d'exploiter au mieux ses capacités d'authentification de réseau d'hôte à hôte. De plus, dans la mesure où IPSec fonctionne au niveau de la couche 3, il peut être utilisé pour appliquer des stratégies d'accès réseau à travers différents types de réseau.

Pour faciliter l'implémentation de contrôles d'accès réseau basés sur IPSec, Windows Server 2008 introduit une longue liste d'améliorations et de nouvelles fonctionnalités visant à simplifier la création, l'exécution et la maintenance de stratégies. Par exemple, le nombre et les types de méthodes d'authentification d'IPSec disponibles ont été augmentés. Ceci a été rendu possible par l'introduction de AuthIP (Authenticated IP), une extension du protocole IKE (Internet Key Exchange). AuthIP vous donne la capacité de rédiger des règles de sécurité de connexion (un autre nom pour les stratégies IPSec dans Windows Server 2008) qui exigent que des utilisateurs en communication s'authentifient avec succès pour ce qui est des informations d'identification de l'ordinateur, voire les informations d'identification d'utilisateur ou les données d'intégrité. Cette flexibilité supplémentaire permet de concevoir des réseaux logiques très sophistiqués sans nécessiter la mise à niveau de votre infrastructure de commutation et de routage.

Pare-feu Windows avec sécurité avancée

Le nouveau Pare-feu Windows avec sécurité avancée se base sur les fonctionnalités d'IPSec que nous venons de décrire. En combinant les règles de sécurité de connexion IPSec avec les filtres de pare-feu dans une seule stratégie, le nouveau Pare-feu Windows ajoute une autre dimension d'accès réseau basée sur des stratégies : des actions de pare-feu d'authentification plus intelligentes.

Selon la figure 1, vous avez maintenant trois options au choix quand vous définissez l'action spécifique qu'un filtre de pare-feu entrant ou sortant doit effectuer : autoriser, bloquer ou autoriser seulement si sécurisé. Lorsque « Autoriser la connexion si elle est sécurisée » est sélectionnée, le Pare-feu Windows exploite les capacités d'authentification réseau d'hôte à hôte d'IPSec pour déterminer si un hôte ou un utilisateur demandant une connexion doit être approuvé en fonction de la stratégie que vous avez définie. La règle de pare-feu vous permet de stipuler quels utilisateurs, quels ordinateurs et quels groupes ont le droit d'établir la connexion. Il est intéressant de noter que ceci ajoute une couche supplémentaire de protection, complétant ainsi les contrôles d'accès existants au niveau de l'application et du système d'exploitation.

Figure 1 Définition des règles d'authentification du pare-feu

Figure 1** Définition des règles d'authentification du pare-feu **(Cliquer sur l'image pour l'agrandir)

Maintenant, vous devez commencer à voir comment imbriquer ces différents contrôles de sécurité réseau par le biais d'une stratégie centralisée pour obtenir une méthode plus efficace et évolutive de gérer l'accès réseau.

Revenons à l'exemple de l'application CRM : L'administrateur peut créer une règle de trafic entrant pour les serveurs exécutant l'application CRM de l'entreprise (via le fichier exécutable du programme ou les ports de service) avec l'option « Autoriser la connexion si elle est sécurisée » sélectionnée. Dans la même stratégie de pare-feu, l'administrateur peut spécifier que seuls les membres du groupe d'utilisateurs de l'application CRM peuvent se connecter à cette application réseau, comme illustré à la figure 2. Si vous prenez ce même concept et que vous l'appliquez à toutes les communications réseau parmi tous les ordinateurs gérés sur votre réseau, vous avez maintenant ajouté une couche d'isolation de serveur et de domaine à votre stratégie d'accès réseau basée sur des stratégies.

Figure 2 Les administrateurs peuvent spécifier qui se peut connecter en fonction de cette stratégie

Figure 2** Les administrateurs peuvent spécifier qui se peut connecter en fonction de cette stratégie **(Cliquer sur l'image pour l'agrandir)

Isolation du serveur et du domaine

Dans la mesure où la plupart des organisations connaissent une augmentation du nombre d'invités et autres périphériques non gérés qui se connectent à leurs réseaux, avoir les moyens de séparer et de protéger vos hôtes approuvés est devenu plus que jamais une question critique. La bonne nouvelle est qu'il existe de nombreuses façons pour isoler les ordinateurs de confiance et gérés des autres sur le réseau. Cependant, vous devez savoir que beaucoup de ces options s'avèrent coûteuses (elles utilisent des systèmes de câblage physique séparés, par exemple) et difficiles à maintenir (comme les VLAN commutés) au fur et à mesure que les réseaux grandissent.

L'isolation de serveur et de domaine peut fournir une méthode plus rentable et gérable pour segmenter votre environnement en réseaux sécurisés et isolés logiquement. Comme l'indique la figure 3, vous utilisez essentiellement les mêmes règles de sécurité de connexion (c'est-à-dire, les stratégies IPSec) que celles décrites précédemment, mais vous les mappez à tous vos ordinateurs gérés via la Stratégie de groupe Active Directory®. Ceci a pour résultat une stratégie d'accès réseau qui exige que tous les utilisateurs s'authentifient entre eux avec succès avant le démarrage de toutes communications. Puisque cette isolation s'opère à la couche 3, l'exécution de ces contrôles d'accès touche les concentrateurs, les commutateurs et les routeurs au-delà des limites physiques et géographiques.

Figure 3 Définition des exigences d'authentification en accord avec vos besoins d'accès réseau

Figure 3** Définition des exigences d'authentification en accord avec vos besoins d'accès réseau **(Cliquer sur l'image pour l'agrandir)

Pour créer un réseau isolé, les divers ordinateurs sur le réseau doivent être séparés en fonction du type d'accès désiré. Les stratégies peuvent être définies de sorte que les ordinateurs sur un réseau isolé puissent établir des communications avec tous les ordinateurs sur le réseau, y compris ceux qui ne sont pas situés sur le réseau isolé. À l'inverse, les ordinateurs qui ne sont pas sur le réseau isolé ne peuvent pas établir de communication avec les ordinateurs qui le sont. En fait, les ordinateurs sur le réseau isolé ignoreront toutes les requêtes de communication provenant des ordinateurs en dehors du réseau isolé.

Un domaine Active Directory et une appartenance de domaine sont utilisés pour appliquer la stratégie réseau. Les ordinateurs membres du domaine acceptent uniquement les communications authentifiées et sécurisées provenant des autres ordinateurs membres du domaine. Facultativement, vous pouvez imposer le chiffrement de toute communication à l'intérieur du domaine isolé.

L'isolation de serveur et de domaine fournit des avantages significatifs en matière de coûts puisqu'aucune modification majeure n'est apportée à l'infrastructure réseau ou aux applications existantes. Cette solution crée un voile de protection activé par stratégie qui non seulement permet de se défendre contre les coûteuses attaques du réseau et l'accès non autorisé aux ressources du réseau de confiance mais elle ne nécessite pas non plus de maintenance continue en fonction des modifications dans la topologie du réseau.

Protection d’accès réseau

Comme décrit précédemment, la solution d'isolation de serveur et de domaine assure la séparation logique des divers ordinateurs et serveurs sur le réseau. Même si cette solution empêche l'accès non autorisé au réseau, il n'y a pas de garantie qu'un ordinateur autorisé ne sera pas la cause d'une menace pour la sécurité.

La Protection de l'accès réseau (NAP) est une plate-forme intégrée à Windows Server 2008 qui permet d'assurer que les ordinateurs se connectant à un réseau ou communiquant sur un réseau répondent aux critères d'intégrité d'un système (c'est-à-dire, la conformité à la sécurité et la stratégie) que vous avez définis.

Même les utilisateurs autorisés sont souvent responsables de la propagation de virus et de logiciels espions sur le réseau. Par exemple, lorsqu'un utilisateur prend des vacances, son ordinateur peut cesser d'être conforme aux exigences en matière de sécurité déterminées par l'administrateur. Ceci peut avoir des répercussions sérieuses si un correctif ou une signature imposé publié en l'absence de l'utilisateur n'est pas installé sur l'ordinateur.

Cela va bien au-delà des capacités dont dispose un administrateur pour suivre chaque utilisateur qui se connecte au réseau. Il faut donc un outil automatisé capable de vérifier la conformité de l'intégrité de chaque ordinateur connecté au réseau et de corriger tout ce qui est détecté non conforme, le tout basé sur une stratégie centrale. C'est ce que fait NAP, en ajoutant toutefois une autre couche à votre solution d'accès réseau basée sur des stratégies.

L'agent NAP, intégré dans le système d'exploitation de l'ordinateur client (tel que dans Windows Vista®) ou installé séparément (pour les versions antérieures de Windows de même que les autres systèmes d'exploitation), signale tous les problèmes de conformité au Serveur de stratégie réseau (NPS), qui est le moteur de stratégie intégré à Windows Server 2008. C'est dans le NPS que vous définissez les stratégies de conformité que chaque périphérique doit respecter.

Il est nécessaire de limiter les périphériques qui échouent aux vérifications de conformité, mais il est aussi important d'assurer une option de mise en quarantaine et de correction. La Protection d'accès réseau fournit l'option permettant soit de corriger automatiquement le périphérique dans le cas où la solution de pare-feu ou d'antivirus est activée, soit de manuellement corriger le périphérique en le repoussant dans une zone de quarantaine. Ici, le périphérique a accès à un serveur de mise à jour avec les derniers correctifs, les dernières mises à jour et les dernières signatures. Une fois que l'utilisateur a mis à jour le périphérique manuellement, l'accès au réseau lui est autorisé s'il réussit la vérification de la conformité.

Grâce à l'ubiquité, l'accès réseau est devenu beaucoup plus simple. Cependant, ceci a créé une charge de travail supplémentaire pour garantir que les périphériques sont intègres et conformes quel que soit le mécanisme d'accès. Les ordinateurs peuvent accéder au réseau via un commutateur compatible 802.1X normal ou un point d'accès sans fil, ou ils peuvent se connecter à distance depuis le domicile de l'utilisateur en utilisant une connexion VPN ou une connexion à distance basée sur Terminal Services. La Protection d'accès réseau assure non seulement la conformité pour les ordinateurs qui se connectent via ces mécanismes différents mais elle fournit également l'application des stratégies d'accès au niveau du serveur DHCP, du commutateur 802.1X, de la passerelle VPN, de la passerelle Terminal Services ou du point d'accès sans fil compatible 802.1X.

Dans la figure 4, le réseau a déjà été isolé en utilisant la solution d'isolation de serveur et de domaine. L'utilisation de la Protection d'accès réseau (NAP) avec tel un réseau isolé offre des avantages supplémentaires pour garantir la conformité de l'intégrité des ordinateurs qui se connectent au réseau. Le client, au démarrage, envoie sa déclaration d'intégrité (SoH) à l'Autorité d’inscription d’intégrité (HRA), en d'autres termes un serveur de certificats. L'Autorité d’inscription d’intégrité transmet la déclaration d'intégrité au serveur NPS pour la validation de stratégie. Si la déclaration d'intégrité est valide, l'autorité HRA envoie au client NAP un certificat d'intégrité et le client peut alors établir la communication sécurisée basée sur IPSec avec les ressources sécurisées. Si la déclaration d'intégrité n'est pas valide, l'autorité HRA indique au client NAP comment corriger son état d'intégrité et n'émet pas de certificat d'intégrité. Le client NAP ne peut pas établir la communication avec les autres ordinateurs qui exigent un certificat d'intégrité pour l'authentification IPSec. Cependant, le client NAP peut communiquer avec le serveur de mise à jour pour rétablir sa conformité.

Figure 4 Protection de l'accès réseau avec mise en application d'IPsec

Figure 4** Protection de l'accès réseau avec mise en application d'IPsec **(Cliquer sur l'image pour l'agrandir)

Assemblage

Bien que nous ayons juste effleuré la surface des nouvelles fonctionnalités et fonctions dans Windows Server 2008, il est important de reconnaître comment chaque composant se base sur le précédent. La différence avec l'approche traditionnelle de défense est l'infrastructure de stratégie sous-jacente qu'offre Windows Server 2008, telle que la Stratégie de groupe Active Directory.

Grâce à cette expérience intégrée, vous bénéficierez d'une solide base de travail pour définir et déployer une solution d'accès réseau basée sur des stratégies sans devoir supprimer des investissements existants. En plaçant la décision d'accès à un niveau plus logique et centré sur les stratégies, vous avez l'opportunité de faire pencher en votre faveur l'équilibre entre facilité d'accès et renforcement de la sécurité.

Microsoft a publié un bon nombre d'instructions qui détaillent les domaines technologiques mentionnés dans cet article. Nous vous recommandons dans un premier temps de consulter ces articles et ces guides détaillés pour vous familiariser avec le fonctionnement des diverses fonctionnalités. (Les liens dans l'encadré « Ressources réseau » peuvent vous offrir un point de départ pour cela.) Ensuite, envisagez de réaliser chaque étape de manière à fournir une base solide pour l'étape suivante.

Par exemple, créez un ensemble de règles de pare-feu d'authentification pour vos applications critiques, comme présenté dans la section Pare-feu Windows avec sécurité avancée. Une fois que vous êtes à l'aise avec cela, vous pouvez développer les règles de sécurité de connexion afin d'isoler votre domaine de réseau, puis d'ajouter là-dessus la protection de l'accès réseau. Les avantages de l'implémentation d'une stratégie d'accès réseau basée sur des stratégies peuvent être très importants, notamment parce qu'elle vous aide à suivre le rythme du monde sans cesse en évolution que nous appelons nos réseaux d'entreprise.

Ian Hameroff est responsable produit senior dans le groupe Security and Access Product Marketing chez Microsoft. Il est responsable de la gestion de produits et de la commercialisation des technologies de mise en réseau de la plate-forme Windows Server. Ian dirige la stratégie de mise sur le marché des réseaux et des solutions Windows Server orientées vers des initiatives clés en matière de réseau et de sécurité, telles que l'isolation de serveur et de domaine, les réseaux évolutifs et l'adoption d'IPv6.

Amith Krishnan est responsable de produit senior dans le groupe Security and Access Product Marketing chez Microsoft et il a pour responsabilités la gestion et la commercialisation de produits pour les réseaux Windows Server et les initiatives de sécurité telles que la protection de l'accès réseau et les liaisons sans fil sécurisées. Il développe également la stratégie commercialisation et assure la promotion de ces solutions.

© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.