DirectAccess : un jeu de lego – (Partie 1/7 : Fondamentaux)     Article par Benoît SAUTIERE (MVP Enterprise Security) Benoît SAUTIERE est référent technique et architecte infrastructure pour un Microsoft Gold Partner. En tant que MVP, Benoît participe au développement des offres autour des solutions d’infrastructure Microsoft et intervient en tant que Speaker aux Techdays 2010 et 2011. Mon parcours « Microsoft » a commencé avec Windows NT 3.51 et produits associés, pour progressivement me spécialiser sur les solutions d’infrastructures Microsoft et arriver aujourd’hui à Windows 2008 R2. C’est au TechEd 2008 que j’ai découvert ce qui deviendra DirectAccess, sujet que j’ai développé tout au long de nombreux billets sur mon blog : Simple by design, signant mes articles avec la mention « Simple and Secure by Design », maintenant complétée de « and Business compliant ». Spécialiste des infrastructures d’annuaire ainsi qu’impliqué dans les aspects sécurité des produits Microsoft, Benoît intervient auprès de grands comptes français voire internationaux pour son expertise dans ces domaines.

Articles Première partie : Fondamentaux Seconde partie : Préparation Troisième partie : PKI Quatrième partie : NLS Cinquième partie : UAG Sixième partie : DirectAccess Septième partie : Pour aller plus loin

Vous trouverez ci-dessous le début de l’article, n’hésitez pas à télécharger la suite directement en format pdf

Sommaire de l'article

• Introduction
  • Présentation du contexte
  • C’est quoi Forefront UAG 2010 par rapport à Forefront TMG 2010 ?
• Le puzzle DirectAccess
  • IPv6
  • IPsec
  • Pare-feu personnel
  • Systèmes d’exploitation
  • Name Resolution Policy Table
  • Network Location Server
  • Forefront Unified Access Gateway 2010
  • DirectAccess Connectivity Assistant
  • Network Access Protection
  • Authentification double facteur
  • Contexte matériel
  • Architecture de la maquette
  • Conclusion

>> Télécharger gratuitement l'intégralité de cet article <<

Introduction

Présentation du contexte

La mobilité prend de plus en plus de place au sein des entreprises. Il n’est pas rare aujourd’hui pour un cadre de disposer non plus d’un poste de travail mais bien d’un ordinateur portable connecté à Internet, disposant ainsi d’une connectivité avec le système d’information de son entreprise.

Problème, face à ce besoin de mobilité, les contraintes de sécurité telles que mises en œuvre jusqu’à maintenant montrent leurs limites. Jusqu’à maintenant, la conception de la sécurité faisait qu’on se focalisait sur la localisation de l’utilisateur pour déterminer si son accès doit être considéré comme sécurisé ou non. C’est l’approche du château fort.

		Dans cette approche, on considère que par ce que l’utilisateur est connecté sur le réseau interne, il est forcément « de confiance ». L’épaisseur des murs constitue un rempart inébranlable contre tout risque en provenance de l’extérieur. Cette approche a commencé à montrer ses limites avec l’arrivée du nomadisme. Des postes de travail sortent des murs et sont connectés à un réseau inconnu : Internet. Pire, ces postes s’y connectent pour ensuite revenir dans les murs de l’entreprise. Pour adresser cette problématique, on a décidé qu’il fallait demander à l’utilisateur de prouver son identité avec un moyen dont il dispose ainsi qu’une information qu’il est le seul à connaître : soit une authentification à double facteurs, communément représenté par la carte à puce.
		A ce stade, on ne traite qu’une partie de la problématique. On est capable de prouver son identité lorsqu’on se connecte. Cependant, rien n’est prévu concernant la sécurité du dit poste de travail. Le poste nomade ayant pour vocation de sortir de l’entreprise et être connecté à Internet, il est à la merci de toutes les menaces potentielles. Le problème, c’est quand un poste nomade infecté rentre dans l’entreprise. Par ce qu’il est dans l’entreprise, il est sécurisé! Problème, personne à l’entrée de l’entreprise ne vérifie que le poste ne présente pas de menace pour les autres postes. C’est quand on connecte le câble réseau qu’il est souvent trop tard ! On dispose bien de mécanismes de contrôles de conformité pour les postes nomades. Toute solution de VPN/SSL qui se respecte (UAG inclus) propose ce type de solution. Cependant, celles-ci n’étant pas utilisable sur le réseau LAN de l’entreprise, on ne peut garantir la sécurité des postes. Sur le réseau LAN, on peut déployer des solutions de gestion de la conformité, mécanismes d’isolation et de remédiation. Chez Microsoft, cela se nomme Network Access Protection et c’est la même solution pour le réseau interne et les postes nomades.
		Microsoft possède une gamme de produit orienté sur la sécurité et la gestion des identités. Cette gamme de produit a pour nom « Microsoft Forefront ». Au travers de cette gamme de nombreux produits sont déjà disponibles et d’autres arrivent pour aider à développer les entreprises en toute sécurité. Forefront fournit une protection qui prend en compte l’ensemble des systèmes et données de votre entreprise, tout en permettant l’accès de vos employés, en tout lieu, sur la base de leur identité. DirectAccess est une nouvelle approche de la mobilité permettant de : Répondre aux nouveaux besoins et usages Il est courant aujourd’hui que l’utilisateur en entreprise dispose d’un ordinateur portable devant lui permettre d’accéder au système d’information et ce qu’il soit dans les locaux de l’entreprise ou à l’extérieur. Rendre les utilisateurs plus mobiles Dès lors que l’utilisateur est de plus en plus nomade, il faut pouvoir lui proposer un accès aux ressources de l’entreprise le plus transparent possible. Un utilisateur nomade sans accès à ses ressources ne peut pas travailler. C’est un objectif fondamental de DirectAccess. Se connecter depuis n’importe où Du point de vue de l’utilisateur final, il doit pouvoir travailler depuis n’importe où, que ce soit à son domicile, chez un client dans un hôtel, un aéroport. Les limitations techniques ont toujours bridé les utilisateurs, ne pouvant accéder qu’à certaines ressources pour cause de contraintes techniques qui ne les concernent pas. La nouvelle approche réseau de DirectAccess permet de lever ces limitations. Rester connecté en permanence Un poste nomade est complexe à administrer car lorsqu’il est à l’extérieur de l’entreprise. DirectAccess change la donne car c’est le système d’exploitation qui va assurer la connexion au système d’information et son maintien. Le poste de travail sera même capable de changer de réseau (Wifi vers 3G par exemple). DirectAccess étend le réseau interne de l’entreprise jusqu’aux postes portables en situation de mobilité. Les postes de travail en situation de mobilité sont donc administrables de la même manière que les postes de bureau. Travailler plus efficacement Dès lors que l’utilisateur n’a pas à se soucier de comment se connecter au système d’information, il est immédiatement opérationnel, sans avoir à se soucier de la technologie sous-jacente

Au cours de cette présentation technique, nous allons présenter un des nombreux usages de Microsoft ForeFront Unified Access Gateway 2010, à savoir DirectAccess. Cet article est basé sur la version UAG 2010 SP1 disponible depuis décembre 2010. Etant donné que le sujet sera conséquent, cet article est donc découpé en plusieurs parties :

• Première partie : Fondamentaux
• Seconde partie : Préparation
• Troisième partie : PKI
• Quatrième partie : NLS
• Cinquième partie : UAG
• Sixième partie : DirectAccess
• Septième partie : Pour aller plus loin

Ce premier article a donc pour objectif de décortiquer toutes les briques utilisés dans DirectAccess. Par la suite, on rentrera dans la technique pure et dure et réaliserons l’assemblage du puzzle.

La mise en œuvre sera présentée en mode pas-à-pas et convient donc à tous les niveaux, exception peut-être de quelques digressions  dans les interpréteurs MS-DOS et PowerShell :p.

| Haut de page

C’est quoi Forefront UAG 2010 par rapport à Forefront TMG 2010 ?

C’est une bonne question, merci de l’avoir posée. Historiquement, chez Microsoft le premier produit de la gamme Forefront, c’était Microsoft Internet Security and Acceleration Server 2006, le pare-feu de Microsoft intégrant des fonctionnalités de filtrage avancés aussi bien au niveau réseau qu’applicatif.

C’est en 2006 que Microsoft a racheté la société Whales Communications et son produit « Intelligent Application Gateway and Application Optimizers ». Ce produit présentait la caractéristique d’embarquer ISA Server 2004 pour ses fonctions de pare-feu avancés ainsi que pour se protéger lui-même, rien de plus. Fin 2009, Microsoft a mis à disposition le successeur d’ISA Server : Forefront Threat Management Gateway 2010.

Tout naturellement, Microsoft se devait de proposer une nouvelle version d’IAG. Ce fut chose faîte fin 2009 avec ForeFront Unified Access Gateway 2010, réutilisant Forefront TMG 2010 pour se protéger. Si on doit différencier simplement TMG et UAG, on pourrait le résumer ainsi :

• Forefront TMG : Passerelle d’accès et de sécurisation
• Forefront UAG : Passerelle d’accès distant

Forefront UAG 2010 est un produit un peu différent des autres chez Microsoft car il se positionne sur plusieurs tableaux :

• La publication de ressources de l’entreprise à l’extérieur
• La sécurisation des accès aux ressources internes de l’entreprise

Autre caractéristique d’UAG, il est évolutif. Si une méthode d’authentification n’existe pas, rien ne nous empêche de la développer. UAG est donc d’une souplesse remarquable. Dans le cas qui nous occupe, c’est ses fonctions de sécurisation des accès aux ressources internes de l’entreprise qui nous intéressent, et plus précisément au travers de DirectAccess.

>> Télécharger gratuitement l'intégralité de cet article <<

| Haut de page