Guide de planification de la mise en œuvre de services de mise en quarantaine avec Microsoft Virtual Private Network
Chapitre 4 - Conception de la solution
Dernière mise à jour le 24 mai 2005
Sur cette page
Introduction
Implémentation de l'accès VPN pour les télétravailleurs
Remarques supplémentaires
Mise en œuvre de la surveillance et de la gestion
Résumé
Introduction
Maintenant que vous connaissez les facteurs que votre solution de réseau privé virtuel (VPN) doit prendre en compte, vous pouvez démarrer le processus de conception. Ce processus de conception consiste à identifier les éléments de planification essentiels et à établir une analyse logique des impératifs de la solution.
La Woodgrove National Bank a réalisé une évaluation des questions professionnelles, techniques et de sécurité que la solution doit résoudre. Ce chapitre aborde les questions de planification que les architectes système ont prises en compte, les conclusions auxquelles ils sont parvenus et les décisions qu'ils ont prises pour créer la solution choisie.
Implémentation de l'accès VPN pour les télétravailleurs
Les télétravailleurs de la Woodgrove National Bank doivent disposer d'une connexion fiable et conséquente au réseau de l'entreprise. Des difficultés ou une lenteur excessive des connexions génèrent un sentiment de frustration et entraînent une perte de confiance dans le service. La mise en œuvre de la quarantaine VPN pourrait accroître la frustration de l'utilisateur dans la mesure où la durée pour se connecter au réseau est plus longue. Le service informatique de la Woodgrove National Bank doit surveiller les délais de connexion et minimiser ces délais. Des scripts de connexion doivent informer les utilisateurs de l'état de la connexion à chaque étape du processus de connexion.
Les administrateurs réseau imposent que les ordinateurs distants soient conformes à la politique d'accès au réseau. La meilleure méthode de protection du réseau de l'entreprise consiste à mettre en quarantaine les ordinateurs distants et à vérifier qu'ils satisfont à la politique de sécurité réseau avant de leur accorder l'accès.
Concept de la solution
La solution intègre des scripts de pré-connexion, des agents client et des composants Microsoft® Windows Server™ 2003 Service Pack 1 (SP1). Les ordinateurs clients établissent la connexion VPN à l'aide d'un profil Connection Manager personnalisé. Un profil Connection Manager est un fichier exécutable à extraction automatique créé via le Kit d'administration de Connection Manager (Connection Manager Administration Kit - CMAK), qui inclut des scripts et des paramètres. Un script pré-tunnel oblige le client à effectuer une mise à jour de la sécurité avant la création de la connexion VPN. Les ordinateurs distants se procurent les mises à jour à partir de serveurs Internet gérés par la Woodgrove National Bank, depuis le site de l'éditeur du logiciel antivirus et depuis le site Web Microsoft Update.
L'ordinateur client établit une connexion VPN lorsqu'il a obtenu les mises à jour requises, et envoie les informations d'identification de l'utilisateur à l'aide du service d'authentification Internet (IAS) par rapport au service d'annuaire Active Directory®. Le serveur d'accès distant restreint ensuite la connexion entrante par filtrage réseau autorisant un accès limité aux ressources. Une fois que l'agent de connexion client a confirmé que l'ordinateur répond aux impératifs de sécurité, le serveur d'accès distant lève les restrictions de quarantaine et l'ordinateur client peut accéder aux ressources internes autorisées.
Conditions préalables
Avant d'entamer un projet de cette nature, il est nécessaire de respecter certaines conditions. La section suivante présente certaines conditions générales requises pour la quarantaine VPN.
Consultation des utilisateurs et des groupes
Lorsque vous planifiez une modification qui a des répercussions sur un service utilisateur, il est essentiel de consulter les utilisateurs et les groupes concernés. Les utilisateurs fournissent des commentaires précieux sur les problèmes et les performances des services. De plus, les utilisateurs peuvent préciser les fonctionnalités qu'ils souhaiteraient voir proposer par un nouveau service. Cependant, les utilisateurs doivent être conscients de ce qu'ils peuvent attendre et ne pas attendre du service. Prendre en compte ces attentes peut se révéler essentiel pour que la solution soit acceptée par les utilisateurs. L'entreprise peut évaluer la réussite du projet si des objectifs quantifiables sont définis.
La Woodgrove National Bank opère dans différentes pays/régions et possède des centres d'assistance régionaux. L'équipe initiale a effectué une enquête approfondie auprès des utilisateurs et des équipes de support en vue d'identifier et de « recruter » des utilisateurs, groupes et équipes de support susceptibles de participer aux pilotes.
Équipe projet
Il est important de prendre en compte à la fois le personnel et les compétences qui sont indispensables pour mettre en œuvre un projet de cette nature. L'équipe projet doit déterminer si les compétences requises sont disponibles en interne ou s'il est nécessaire de recruter du personnel supplémentaire. Étant donné que le projet n'implique pas tous les participants lors de chaque étape, il est nécessaire de vérifier leur disponibilité par rapporte au plan projet. Les rôles requis incluent les architectes réseau, les gestionnaires réseau, l'équipe de gestion des serveurs, les développeurs de scripts, l'équipe chargée de la sécurité de l'infrastructure ainsi que l'équipe chargée de la gestion du projet.
Planification de la solution
Durant le processus de planification, la Woodgrove National Bank a pris en compte les impératifs suivants :
nécessité de mettre en œuvre des déploiements pilotes ou des tests ;
nécessité d'administrer les serveurs réseau du périmètre avec les services Terminal Server ;
nécessité de mettre à niveau les scripts de quarantaine ;
nécessité de recueillir des données de performances.
Mise en œuvre de déploiements pilotes et tests
La taille et l'étendue de l'organisation ont une influence décisive sur la taille et le nombre de pilotes. L'équipe informatique de la Woodgrove National Bank a mis en place deux déploiements pilotes, pour valider le concept et impliquer les utilisateurs expérimentés à mettre en évidence les points faibles et réduire les problèmes technologiques et commerciaux. Le déploiement pilote initial offrait un accès limité aux ressources de l'entreprise afin de vérifier que tous les ordinateurs qui semblaient répondre aux exigences de sécurité étaient exempts de problèmes de sécurité. Avant la mise en œuvre de la solution de quarantaine VPN, une organisation souhaite avoir la garantie qu'aucun ordinateur infecté ou qui ne dispose pas les mises à jour appropriées ne peut contourner les vérifications de sécurité de la quarantaine et exposer le réseau de l'entreprise. Le second pilote impliquait un nombre d'utilisateurs beaucoup plus important dont plusieurs utilisateurs inexpérimentés afin de tester de manière plus réaliste les problèmes de support susceptibles de se produire.
Administration des serveurs réseau du périmètre avec les services Terminal Server
Le service informatique de la Woodgrove National Bank utilise le mode d'administration des services Terminal Server pour gérer les serveurs appartenant au périmètre du réseau. L'équipe informatique doit ajouter cette liste aux serveurs de mise à jour Internet et aux serveurs d'accès distant VPN. Woodgrove doit réfléchir au mode de mise à jour et de gestion de ces serveurs.
Mise à niveau des scripts de quarantaine
Avec le temps, les scripts de quarantaine doivent être mis à jour pour intégrer les nouvelles versions des profils Connection Manager. La Woodgrove National Bank a choisi de distribuer les profils Connection Manager via un serveur Web qui requiert l'authentification des utilisateurs. Les utilisateurs de l'accès distant reçoivent un courrier électronique qui les informe de la disponibilité d'une nouvelle version.
Collecte des données relatives à la performance
La mesure des performances est un facteur essentiel pour l'amélioration du service. Le service informatique de la Woodgrove National Bank doit surveiller les serveurs afin d'analyser les performances, la fiabilité et la sécurité. L'équipe réseau doit être en mesure d'intégrer la solution de quarantaine VPN dans la structure de gestion et de surveillance existante.
Architecture de la solution
La solution de quarantaine VPN de la Woodgrove National Bank nécessite les composants suivants :
Ordinateurs clients exécutant Windows XP Professionnel avec Service Pack 2 ou version ultérieure.
Profils Connection Manager créés avec le Kit d'administration de Connection Manager (CMAK).
Scripts clients intégrés dans les packages du client Connection Manager.
Composant client de quarantaine VPN.
Un serveur d'accès distant Windows Server 2003 SP1 ou ultérieur sur lequel le service Agent RQS est installé.
Filtrage IP de quarantaine.
Service d'authentification Internet (Internet Authentication Services - IAS) sur Windows Server 2003.
Active Directory.
Dans un premier temps, le service informatique de la Woodgrove National Bank avait envisagé de proposer une prise en charge de toutes les versions de Windows actuellement déployées. Cependant, de plus en plus conscient des risques qu'encourent les ordinateurs connectés à Internet, le service informatique a décidé de généraliser l'utilisation du système d'exploitation Windows XP Professionnel SP2. La Woodgrove National Bank pouvait autoriser les connexions VPN des ordinateurs exécutant Windows XP Édition familiale SP2, mais il a été décidé de ne pas prendre en charge cette configuration car un ordinateur Windows XP Édition familiale ne peut pas joindre un domaine. La Woodgrove National Bank envisage d'étendre la solution aux ordinateurs familiaux des employés lorsque le service informatique mettra en place la solution initiale.
L'une des vérifications de pré-connexion consiste à confirmer que le Pare-feu Windows est activé. La Woodgrove National Bank ne spécifie aucune exception de filtrage dans le script mais autorise l'accès Bureau à distance post-connexion.
Le Kit d'administration de Connection Manager (CMAK) est l'outil qui permet de configurer le profil Connection Manager contenant tous les logiciels requis pour se connecter, y compris le composant de notification client (RQC.exe) et le script de quarantaine initial. La Woodgrove National Bank utilise un serveur Web pour distribuer ces profils. Lorsque la Woodgrove National Bank met à jour le profil Connection Manager, elle envoie aux utilisateurs un courrier électronique les informant que le nouveau profil est obligatoire à une certaine date.
Remarque : D'autres stratégies peuvent utiliser un autre mécanisme de distribution logicielle, comme une stratégie de groupe, ou Microsoft Systems Management Server (SMS) 2003, ou pour les utilisateurs qui souhaitent se connecter au réseau de l'entreprise à partir de leur ordinateur familial, il est possible de placer le profil sur une clé USB protégée par un mot de passe.
L'accès distant dans Windows Server 2003 fournit des fonctionnalités qui permettent de faire office d'hôte VPN et de routeur. Windows Server 2003 SP1 inclut le service Agent RQS (Remote Access Quarantine Service), lequel est un composant clé de la solution de quarantaine VPN. RQS est le composant d'écoute serveur, mis en œuvre en tant que fichier exécutable (RQS.exe). Le Kit d'administration de Connection Manager (CMAK) inclut le composant de notification (RQC.exe).
Le filtrage de port de quarantaine autorise uniquement les communications des ressources limitées sur le réseau lorsqu'un client VPN est mis en quarantaine. Le filtrage réseau permet à l'agent client de communiquer avec le composant d'écoute sur le serveur d'accès distant et d'autoriser l'authentification de l'utilisateur.
Le service IAS dans Windows Server 2003 correspond à l'implémentation Microsoft d'un serveur RADIUS et d'un serveur proxy RADIUS. L'IETF (Internet Engineering Task Force) décrit le protocole RADIUS dans les RFC 2865 et 2866. Le service IAS authentifie les demandes d'accès distant et fournit des informations de gestion des comptes. Le service informatique de la Woodgrove National Bank a des contrats avec divers fournisseurs d'accès Internet. De ce fait, l'accès Internet est possible depuis plusieurs pays/régions. Le fournisseur d'accès Internet configure ses serveurs RADIUS de façon à transmettre les demandes d'authentification aux serveurs IAS de la Woodgrove National Bank. Ce processus d'authentification nécessite l'utilisation d'un proxy RADIUS avec les serveurs RADIUS du fournisseur d'accès Internet et qu'il soit configuré pour pointer vers les serveurs IAS de la Woodgrove National Bank. En utilisant IAS, la Woodgrove National Bank peut tirer parti des fonctionnalités de gestion des comptes RADIUS pour analyser l'utilisation des connexions d'accès distant VPN.
Les comptes d'utilisateurs et les appartenances aux groupes dans Active Directory régulent la connectivité et l'accès ultérieur aux ressources de l'entreprise de la Woodgrove National Bank. La banque utilise également des Objets de stratégie de groupe (GPO) pour configurer les stations de travail Windows afin qu'elles répondent à la politique de sécurité réseau de l'entreprise.
Fonctionnement de la solution
La figure suivante présente la mise en œuvre de la solution de quarantaine VPN de la Woodgrove National Bank.
.gif "Dd491977.PGFG0401(fr-fr,TechNet.10).gif")
Figure 4,1 Processus de quarantaine VPN de la Woodgrove National Bank
La solution de quarantaine VPN de la Woodgrove National Bank fonctionne comme suit :
L'utilisateur sélectionne le profil de connexion VPN. Une application peut également demander une ressource située sur l'intranet de l'entreprise.
Le profil Connection Manager établit une connexion à Internet à l'aide d'une entrée de connexion à distance. Si le client est déjà connecté à Internet, Connection Manager ignore cette étape.
Les actions de pré-tunnel personnalisées exécutent des scripts pour vérifier que l'ordinateur dispose des mises à jour de sécurité et des signatures antivirus à jour. L'ordinateur client se connecte à Microsoft Update pour installer ces mises à jour. Pour obtenir des exemples de scripts personnalisés adaptés aux actions de pré-tunnel personnalisées, consultez l'annexe A, « Exemples de scripts de quarantaine », de ce guide.
Si les mises à jour sont correctement appliquées, le profil Connection Manager se connecte au serveur VPN. Si une ou plusieurs mises à jour échouent, le profil Connection Manager informe l'utilisateur et met fin à la tentative de connexion VPN.
L'ordinateur client d'accès distant transmet les informations d'authentification au serveur d'accès distant, lequel envoie un message de demande d'accès (Access-Request) RADIUS au serveur IAS. Ce dernier authentifie les informations d'identification de l'utilisateur par rapport à Active Directory. Si les informations d'identification sont valides, le service d'authentification Internet vérifie les stratégies d'accès distant de cet utilisateur.
Le serveur VPN accepte la connexion et définit les filtres IP et le délai maximal de quarantaine. Le serveur IAS envoie un message d'accès accepté (Access-Accept) RADIUS qui contient les attributs MS-Quarantine-IPfilter et MS-Quarantine-Session-Timeout. Le serveur VPN applique ces attributs au filtre de quarantaine et définit le minuteur de session. L'ordinateur client d'accès distant est autorisé au trafic qui correspond aux filtres de quarantaine uniquement. Le client d'accès distant doit notifier le serveur d'accès distant que le script de quarantaine a été correctement exécuté avant d'avoir atteint le nombre de secondes spécifié dans le paramètre MS-Quarantine-Session-Timeout.
Le composant d'écoute informe le serveur d'accès distant que le client répond aux conditions de la stratégie. Le serveur d'accès distant reçoit cette notification sur le port TCP 7250 spécifiée dans l'attribut MS-Quarantine-IPfilter. Le serveur d'accès distant supprime les paramètres MS-Quarantine-IPfilter et MS-Quarantine-Session-Timeout de la connexion, puis il configure les contraintes de connexion standard, prescrites dans la stratégie d'accès distant.
L'utilisateur peut désormais accéder aux ressources réseau autorisées.
Remarque : Un script de post-connexion vérifie la version du package Connection Manager. Si la version sur l'ordinateur distant n'est pas à jour, c'est-à-dire qu'elle est plus ancienne que les deux dernières versions mineures ou que la dernière version principale, l'ordinateur distant télécharge le package Connection Manager le plus récent, informe l'utilisateur et abandonne la connexion. L'ordinateur distant possède à présent le correctif le plus récent et l'utilisateur peut de nouveau se connecter.
La mise en œuvre de cette solution requiert l'exécution de plusieurs processus sur le client et le serveur. La section suivante explique ces impératifs.
Mise en œuvre d'actions personnalisées à l'aide de scripts
Les scripts exécutés à différentes étapes du cycle de connexion effectuent la plupart des opérations côté client de la solution de quarantaine VPN. L'exécution de certaines vérifications sous forme d'actions de pré-tunnel ou de post-connexion est un élément essentiel de cette solution. Si une vérification spécifique n'est pas exécutée dans l'ordre, l'ordinateur peut être exposé à certaines vulnérabilités et des difficultés peuvent s'ensuivre. La section suivante contient la liste des vérifications élaborées pour cette solution.
Mise en œuvre de vérifications de pré-tunnel
Si le client ne s'est pas encore connecté, Connection Manager établit une connexion à Internet. Une fois que la connexion a été établie, les actions de pré-tunnel synchrones effectuent tous les contrôles de sécurité obligatoires avant d'établir le tunnel VPN.
Connection Manager exécute toutes les vérifications de sécurité requises de façon séquentielle. Connection Manager implémente chaque vérification sous forme d'une série de scripts. Les procédures suivantes présentent la logique de travail devant être appliquée aux scripts.
Système d'exploitation client pris en charge ?
Si la réponse est non, un message s'affiche et indique l'échec de la connexion à l'utilisateur.
Si la réponse est oui, continuez.
Logiciel antivirus installé et en cours d'exécution ?
Si la réponse est non, un message s'affiche et indique l'échec de la connexion à l'utilisateur. Tout logiciel requis dans le cadre d'une action de pré-tunnel doit être fourni dans l'installation de Connection Manager pour éviter d'effectuer l'installation à partir d'un serveur distant.
Si la réponse est oui, continue.
Mise à jour des fichiers de signature antivirus
En cas de succès, continue.
En cas d'échec, la connexion continue avec un avertissement ou un message s'affiche pour indiquer la déconnexion à l'utilisateur.
Client Mises à jour automatiques Windows configuré ?
Si la réponse est non, configurez le client du service des Mises à jour automatiques Windows.
En cas de succès, continue.
En cas d'échec, la connexion continue avec un avertissement ou un message s'affiche pour indiquer la déconnexion à l'utilisateur.
Si la réponse est oui, continue.
Télécharger et installer les mises à jour logicielles prioritaires
En cas de succès, continue.
En cas d'échec, la connexion continue avec un avertissement ou un message s'affiche pour indiquer la déconnexion à l'utilisateur.
L'utilisateur doit se connecter via une connexion par modem (facultatif)
Si cette option est utilisée, continue.
Si cette option n'est pas utilisée, la connexion continue avec un avertissement ou un message s'affiche pour indiquer la déconnexion à l'utilisateur. La mise en œuvre de cette vérification implique que seuls les ordinateurs appartenant à un domaine peuvent se connecter et les clients distants doivent rejoindre le domaine en se connectant préalablement au réseau local de l'entreprise. Si vous utilisez cette option, il est impossible de rejoindre un domaine via une connexion à distance, sauf si le service informatique de la Woodgrove National Bank octroie une exception temporaire aux contrôles de sécurité obligatoires (consultez la rubrique Gestion des exceptions et des exclusions plus loin dans ce chapitre).
Exécuter des contrôles de sécurité personnalisés supplémentaires (facultatif)
Étant donné que l'accès Internet est uniquement disponible à ce stade du processus de connexion, vous devez concevoir des contrôles de sécurité personnalisés en tenant compte de cette limitation.
Remarque : Pour obtenir une description de plusieurs exemples de scripts, consultez l'annexe A, « Exemples de scripts de quarantaine », de ce guide.
Connection Manager enregistre les résultats de ces actions de pré-tunnel dans le Registre sous la clé suivante :
HKEY_CURRENT_USER\Software\MyCompany\MyConnectionManager\PreTunnelResults.
Les actions de pré-tunnel doivent systématiquement aboutir, et l'action de post-connexion du service Agent RQS doit vérifier ces résultats pour déterminer l'état à envoyer au serveur VPN. Cette approche permet une gestion des exceptions souple sans modifier Connection Manager. La figure suivante présente la logique de script des actions de pré-tunnel personnalisées que la Woodgrove National Bank utilise.
.gif "Dd491977.PGFG0402(fr-fr,TechNet.10).gif")
Figure 4,2 Actions de pré-tunnel de la Woodgrove National Bank
Mise en œuvre des vérifications de post-connexion
Une fois que le client a été soumis avec succès aux vérifications de pré-tunnel, Connection Manager établit la connexion VPN. Les scripts de post-connexion peuvent accomplir des actions de gestion et des vérifications supplémentaires facultatives lorsque le client a obtenu l'accès au réseau de l'entreprise.
Connexion VPN
Une fois que toutes les actions de pré-tunnel ont été effectuées, Connection Manager établit une connexion au serveur VPN.
Envoi d'une notification
Connection Manager utilise le composant client (RQC.exe) pour envoyer une clé partagée au service Agent RQS (RQS.exe) sur le serveur VPN, lequel supprime alors la quarantaine.
Expiration du mot de passe
La Woodgrove National Bank exécute un script qui détermine si l'expiration du mot de passe est imminente, puis notifie l'utilisateur si une modification est requise.
Remarque : La notification d'expiration du mot de passe intervient uniquement lorsqu'un client utilise l'option Ouvrir une session en utilisant une connexion réseau à distance pour se connecter à distance au réseau de l'entreprise.
Actualisation de la stratégie de groupe
Si un client appartenant à un domaine n'utilise pas l'option Ouvrir une session en utilisant une connexion réseau à distance pour se connecter à distance au réseau de l'entreprise, les mises à jour des stratégies de groupe ne sont pas appliquées. Il est donc possible que vous soyez moins protégé lorsqu’une stratégie de groupe est utilisée pour définir des options de sécurité critiques sur les clients. Pour minimiser ce problème potentiel, la Woodgrove National Bank exécute un script de post-connexion qui actualise les stratégies de groupe une fois que l'utilisateur a ouvert une session. Un script utilise la commande gpupdate.exe /force /wait:0 pour actualiser immédiatement les paramètres de stratégie de groupe. Pour plus d'informations sur les utilitaires de mise à jour de stratégie de groupe, consultez l'article Description de l'utilitaire de mise à jour de Stratégie de groupe à l'adresse https://support.microsoft.com/kb/298444.
La figure suivante offre une description détaillée de la logique des scripts personnalisés d'actions de post-connexion.
.gif "Dd491977.PGFG0403(fr-fr,TechNet.10).gif")
Figure 4,3 Actions de post-connexion de la Woodgrove National Bank
Création et distribution des profils Connection Manager
Connection Manager fournit une méthode pratique pour donner aux utilisateurs un accès rapide, simple et fiable aux ressources de l'entreprise. La Woodgrove National Bank a décidé de mettre en place ses connexions VPN personnalisées par le biais de profils Connection Manager créés par son service informatique via le Kit d'administration de Connection Manager (CMAK).
Dans la mesure où la Woodgrove National Bank configure les connexions de dizaines de milliers de clients et des centaines de numéros de téléphone, le service informatique doit examiner les informations suivantes avant la configuration :
La configuration des connexions VPN ou des connexions par modem varie en fonction de facteurs tels que l'emplacement, l'heure, etc.
Pour éviter que des erreurs se produisent, les utilisateurs ne sont pas autorisés à configurer ou à modifier les propriétés des connexions VPN ou des connexions par modem.
Certaines fonctions doivent être dynamiques et le personnel informatique de la Woodgrove National Bank gère ces valeurs pour garantir la conformité à la politique de sécurité.
La méthode de configuration doit pouvoir évoluer.
Le tableau suivant présente certaines des fonctions de Connection Manager pour les connexions d'accès à distance que le service informatique de la Woodgrove National Bank utilise.
Tableau 4,1 : Fonctionnalités Connection Manager utilisées par le service informatique de la Woodgrove Bank
Fonctionnalité |
Fonction |
|---|---|
Personnalisation |
L'aide, les messages, les icônes et les graphiques personnalisés donnent à l'ensemble un aspect propre à l'entreprise. Les packages Connection Manager peuvent fournir des numéros de support technique locaux pour les utilisateurs itinérants. |
Actions personnalisées |
Pour accomplir les mises à jour des applications et de la connexion. |
Le service informatique de la Woodgrove National Bank peut distribuer les profils Connection Manager aux utilisateurs distants par le biais d'un CD, de la messagerie électronique, du site Web ou du partage de fichiers. La banque distribue d'ores et déjà les logiciels et les mises à jour via un site Web Internet. Étant donné que l'infrastructure de prise en charge est déjà en place, la Woodgrove National Bank a choisi d'utiliser cette méthode pour distribuer les profils Connection Manager.
Utilisation du filtrage IP pour l'accès au réseau de quarantaine
Les actions personnalisées associées à la prise en charge des attributs spécifiques permettent à Connection Manager de gérer l'accès au réseau de quarantaine. Les attributs spécifiques sont des extensions autorisées du standard RADIUS, mais qui ne sont pas définis dans le RFC 2138. Les attributs fournisseur Microsoft spécifiés par la version Windows Server 2003 du service d'authentification Internet (IAS) sont les suivants :
MS-Quarantine-IPFilter
MS-Quarantine-Session-Timeout
Paramètre MS-Quarantine-IPFilter
Ce paramètre autorise le trafic entrant à partir du composant Agent client RQC une fois que le script a été correctement exécuté. Par exemple, le réseau de la Woodgrove National Bank doit autoriser les protocoles DNS et DHCP afin qu'un client distant puisse communiquer avec les serveurs d'infrastructure durant les opérations de quarantaine.
Remarque : Autoriser les filtres à laisser passer du trafic affaiblit la sécurité globale. Incluez le trafic adéquat dans la définition du réseau de quarantaine uniquement lorsque cela est indispensable.
Le tableau suivant présente les ports TCP/IP qu'ouvre le filtre IP de quarantaine de la Woodgrove National Bank.
Tableau 4,2 : Ports TCP/IP ouverts dans le filtre de quarantaine VPN
Numéro du port |
Utilisation |
Commentaires |
|---|---|---|
UDP 67, 68 |
DHCP |
Demande une adresse IP pour le client |
UDP 53 |
DNS |
Résolution de noms |
UDP 137 |
WINS |
Résolution de noms NetBIOS |
TCP 139, 445 |
Partage de fichiers |
Activation uniquement si cela est absolument nécessaire ; permet une session NetBIOS et le partage de fichiers SMB |
TCP 7250 |
RQC, RQS |
Permet la communication entre l'agent client de quarantaine VPN et le composant d'écoute côté serveur |
MS-Quarantine-Session-Timeout
Cet attribut définit le délai maximal autorisé de quarantaine. Si le script n'est pas terminé avant la fin de ce délai, le serveur d'accès distant déconnecte l'ordinateur client. La Woodgrove National Bank a appliqué un délai maximal de 120 secondes, ce qui conduit à la suppression de moins de 1 % des connexions entrantes.
La figure suivante illustre les attributs spécifiques qui doivent être configurés dans la stratégie d'accès distant pour gérer la quarantaine VPN.
.gif "Dd491977.PGFG0404(fr-fr,TechNet.10).gif")
Figure 4,4 Attributs MS-Quarantine requis pour la quarantaine VPN.
Durant le test pilote, vérifiez si la suppression d'un port autorisé dans le filtre IP de quarantaine empêche le client de se connecter. Modifiez la valeur de délai de sorte qu'elle corresponde au paramètre le plus faible possible, puis ajoutez une petite marge pour prendre en compte l'éventuelle latence du réseau ou l'utilisation de liaisons lentes.
Remarques supplémentaires
Cette section aborde certains points supplémentaires pris en compte par le service informatique de la Woodgrove National Bank pour la mise en œuvre de la quarantaine VPN.
Configuration des journaux et de la gestion de comptes
L'utilisation du service d'authentification Internet (IAS) présente un avantage : la prise en charge intégrée des journaux de connexion client par le biais de RADIUS. La Woodgrove National Bank veut assurer la surveillance des personnes qui se connectent au réseau de l'entreprise. Il n'est pas impératif d'utiliser la consignation des connexions pour la mise en œuvre d'une solution d'accès distant à l'aide de la quarantaine VPN, mais Microsoft recommande vivement de le faire. RADIUS/IAS permet à la Woodgrove National Bank d'analyser les tendances de connexion, dans le but d'améliorer le service.
Chaque serveur RADIUS IAS recueille les données de session utilisateur dans SQL Server 2000 Desktop Engine (MSDE 2000), qui est une base de données SQL Server 2000 locale légère. Cette base de données peut recueillir les données de performances des serveurs d'infrastructure et les données spécifiques au client, et elle s'exécute sur chaque serveur IAS qui collecte les données des sessions utilisateur.
Le serveur IAS transfère les données de WMSDE vers une base de données SQL Server 2000 centrale, et ce, pratiquement en temps réel. Cette méthode garantit une utilisation économique des licences SQL Server et n'affecte en rien les performances.
La Woodgrove National Bank a déployé des serveurs SQL Server régionaux de collecte des données afin de recueillir les données des sessions d'accès distant. Pour plus d'informations sur la configuration de l'ouverture de session SQL Server avec le service d'authentification Internet (IAS), consultez Déploiement de l'ouverture de session SQL Server avec le service d'authentification Internet Windows Server 2003 (Deploying SQL Server Logging with Windows Server 2003 Internet Authentication Service (IAS)) à l'adresse suivante : www.microsoft.com/downloads/details.aspx?FamilyId=6E4357F7-4070-4902-95F1-3AD411D963B2.
Mise en œuvre de déploiements pilotes
Avant de déployer une solution d'accès distant dans un environnement de production, vous devez tester la solution dans le cadre d'un déploiement pilote. Idéalement, un déploiement pilote est une version à plus petite échelle de la solution planifiée.
La Woodgrove National Bank a mis en place deux programmes pilotes : un programme pilote initial pour les utilisateurs expérimentés et un programme pilote plus général intégrant un plus grand nombre de participants. L'équipe informatique de la Woodgrove National Bank était chargée de surveiller le programme pilote et d'utiliser les résultats afin d'améliorer la conception finale.
Garantir une haute disponibilité
Étant donné que la Woodgrove National Bank opère à l'échelle internationale et possède des sites dans différents pays, le scénario de la solution doit être particulièrement fiable. Par conséquent, la Woodgrove National Bank doit prendre des dispositions pour gérer la disponibilité, notamment :
plusieurs serveurs VPN à équilibrage de charge ;
serveurs IAS à équilibrage de charge ;
serveurs de mises à jour antivirus et de mises à jour logicielles à tolérance de panne ;
redondance des chemins du réseau interne afin que le défaut d'un routeur ou d'un commutateur n'empêche pas l'accès aux serveurs internes.
Le service informatique de la Woodgrove National Bank utilise Microsoft Application Center 2000 pour assurer la prise en charge des clusters d'application Web et de l'équilibrage de la charge réseau (load balancing) pour ses sites Web. Microsoft Application Center et l'équilibrage de la charge réseau peuvent également assurer la tolérance de pannes pour les serveurs de mise à jour Internet. La Woodgrove National Bank utilise l'équilibrage de la charge réseau, fonctionnalité standard de Windows Server 2003 Enterprise Edition qui permet d'équilibrer la charge sur les serveurs IAS.
Garantir une bande passante réseau adéquate
Les architectes système doivent tenir compte des chemins réseau existants, des temps de connexion attendus, ainsi que du type et de l'étendue du trafic d'accès distant prévu. La bande passante supplémentaire requise par les utilisateurs distants ne doit pas être sous-estimée.
Les déploiements pilotes doivent contribuer à analyser le trafic d'accès distant et à évaluer son incidence sur l'infrastructure existante. Il est important que les essais incluent des employés dans le cadre d'une utilisation normale, car la solution ne peut pas être une réussite si le service est médiocre. Les commutateurs réseau qui permettent de paramétrer de la qualité de service l'évaluation (QoS) peuvent limiter l'incidence du trafic d'accès distant sur d'autres utilisateurs.
La Woodgrove National Bank dispose d'une connexion Internet de bonne qualité avec une bande passante élevée. La banque utilise la plus grande partie de la bande passante existante pour l'accès interne à Internet pour la navigation et la messagerie électronique. Par conséquent, il est possible que des réglages soient nécessaires pour gérer le trafic d'accès distant supplémentaire.
Gestion des exceptions et des exclusions
Les architectes système de la Woodgrove National Bank savent que la solution doit pouvoir s'adapter aux situations dans lesquelles les besoins de l'entreprise requièrent qu'un ou plusieurs périphériques soient exemptés temporairement des conditions requises de la quarantaine. Par exemple, l'équipe informatique devra peut-être accorder une exception pour l'accès des cadres dirigeants lorsqu'ils ont une réunion très importante. C'est pour cette raison que la solution d'accès VPN doit prendre en charge les exceptions.
L'incapacité à fournir des exceptions pour un ordinateur peut forcer l'administrateur à supprimer les conditions requises d'accès distant. Si les exceptions ne peuvent être gérées, l'équipe informatique ne peut déployer la solution.
Remarque : Le service informatique de la Woodgrove National Bank doit être la seule autorité en droit de déterminer si l'entreprise a besoin d'une exemption qui justifie le risque de sécurité.
L'entreprise doit envisager les scénarios d'exception suivants :
Membres n'appartenant pas à un domaine. Des entreprises peuvent autoriser certains clients distants qui ne sont pas membres d'un domaine à accéder au réseau. Cependant, cette exception entraîne une surcharge de gestion car de nombreuses autres options de sécurité et de gestion requièrent une stratégie de groupe. Les stratégies de groupe sont disponibles uniquement pour les ordinateurs qui sont membres d'un domaine.
Option d'ouverture de session de domaine. Si l'utilisateur d'un ordinateur faisant partie d'un domaine ne sélectionne pas l'option "ouverture de session Windows" lorsqu'il lance une connexion depuis le Gestionnaire de connexions, Windows ouvre la session de l'utilisateur en utilisant les informations d'identification mises en cache. Il est possible que l'authentification grâce aux informations d'identification mises en cache échoue lorsque les mots de passe changent ou expirent.
Délais des applications. Une défaillance peut se produire si un ordinateur est en quarantaine et que délai d'attente d'une application expire. Ceci peut entraîner une corruption des données.
Il existe une solution pour contourner ce problème, consistant à créer des exceptions au filtrage IP autorisant le trafic de l'application même lorsque le client distant est en quarantaine. Cette approche présente un inconvénient : il entraîne un travail supplémentaire d'identification du trafic réseau lié à l'application et créer des exceptions de filtrage supplémentaires.
Microsoft recommande de limiter le plus possible les exceptions au filtrage lors de la quarantaine et d'utiliser des actions de pré-tunnel personnalisées pour résoudre ce problème. L'implémentation incorrecte du filtrage IP de quarantaine peut exposer les contrôleurs de domaine au réseau de quarantaine.
Certaines configurations peuvent réduire le délai auquel les applications sont confrontées lorsqu'elles se connectent à un réseau de quarantaine. Bien que Microsoft déconseille les configurations qui exposent le réseau, les entreprises peuvent fournir des solutions de contournement pour les applications essentielles. Il est possible d'envisager les solutions suivantes :
Fournir des informations aux utilisateurs
Utiliser un délai d'expiration de quarantaine uniquement
Utiliser une notification immédiate
Fournir des informations aux utilisateurs
Vous pouvez communiquer des informations aux utilisateurs via l'interface de Connection Manager, afin de leur indiquer à quel stade du processus de connexion ils se situent. Vous pouvez ainsi réduire la frustration qu'ils ressentent lorsque rien ne semble se produire.
Utiliser un délai d'expiration de quarantaine uniquement
Cette configuration implique la définition de l'attribut MS-Quarantine-Session-Timeout mais pas celle de l'attribut MS-Quarantine-IPFilter. Le serveur d'accès distant accorde au client d'accès distant un accès normal qui n'est pas limité par les filtres de paquets de quarantaine. Cependant, le client d'accès distant doit quand même envoyer un message de notification indiquant qu'il est conforme aux stratégies réseau. Le serveur d'accès distant déconnecte l'ordinateur client si ce dernier n'envoie pas la notification avant l'expiration du délai de session de quarantaine.
Cette configuration présente l'avantage de ne pas nécessiter le paramétrage de filtres IP de quarantaine et de pas entraîner de délai pour les applications. L'accès distant est accordé comme s'il n'y avait pas de quarantaine. Cette configuration présente l'inconvénient d'accorder au client distant un accès normal au réseau même pendant la quarantaine et même s'il n'est pas conforme aux stratégies réseau. Cette situation présente une faille évidente de sécurité.
Utiliser une notification immédiate
Dans cette configuration, le script de quarantaine exécute le fichier RQC.exe pour envoyer la notification avant la fin des tests. Le serveur d'accès distant supprime les restrictions de quarantaine de la connexion et le client d'accès distant dispose d'un accès normal immédiat. Cependant, au niveau du script de quarantaine, les tests de conformité à la politique réseau est toujours exécutée. Si un des tests échoue, le script de quarantaine notifie l'utilisateur des actions correctives à entreprendre et déconnecte automatiquement l'utilisateur après un laps de temps spécifique, imitant le mode quarantaine et l'utilisation d'un délai maximal de quarantaine.
Remarque : Dans cette configuration, vous devez configurer les attributs MS-Quarantine-Session-Timeout ou MS-Quarantine-IPFilter pour fournir les restrictions de quarantaine requises lorsque l'ordinateur possède un script ou un package Connection Manager obsolète.
La notification immédiate présente un avantage dans la mesure où les problèmes de délai des applications sont inexistants. L'accès distant est accordé comme s'il n'y avait pas de quarantaine. Cependant, cette approche n'est pas recommandée.
Pratiques recommandées
Cette section présente certaines méthodes recommandées de la solution mise en œuvre par la Woodgrove National Bank. Les pratiques recommandées incluent :
utiliser une stratégie de quarantaine bloquant l'ensemble du trafic ;
prendre en charge l'ouverture de session via une connexion d'accès à distance ;
utiliser des actions de pré-tunnel personnalisées pour les vérifications de sécurité obligatoires ;
inclure les logiciels dans le package client.
Utilisation d'une stratégie de quarantaine bloquant l'ensemble du trafic
Lors de la connexion, le serveur DHCP affecte une adresse IP au client. Le composant de notification du client (RQC.exe) tente de transmettre la clé partagée au composant d'écoute du serveur (RQS.exe) sur le serveur d'accès de l'entreprise. Le composant serveur RQS écoute uniquement sur l'adresse IP interne du serveur d'accès distant. Il s'agit de la seule adresse IP avec laquelle la stratégie de mise en quarantaine doit autoriser les communications. Le filtre IP doit bloquer tout le reste du trafic tant que le composant serveur RQS n'a pas reçu la clé partagée de la part du composant client RQC et que le serveur d'accès distant n'a pas levé la quarantaine.
Prise en charge de l'ouverture de session via une connexion d'accès à distance
Lorsque des utilisateurs distants sélectionnent l'option Ouvrir une session en utilisant une connexion réseau à distance lors de l'ouverture de leur session Windows, leur ordinateur peut recevoir une actualisation de la stratégie de groupe presque de la même manière que les clients du réseau local. Ce paramètre permet une administration homogène des clients internes et distants.
Remarque : Il n'existe aucune méthode permettant d'appliquer un script de démarrage ou assigner des tâches liées aux logiciels via une connexion d'accès à distance.
Grâce à cette option, les utilisateurs peuvent recevoir une notification d'expiration de leur mot de passe, et le compte d'ordinateur peut être actualisé si nécessaire. Étant donné que les paramètres de stratégie de groupe s'appliquent aux clients distants après le processus de connexion, la première action post-connexion dans Connection Manager doit consister à supprimer la quarantaine VPN. Un délai lors de la suppression de la quarantaine peut entraîner l'échec de l'actualisation de la stratégie de groupe, de la notification d'expiration du mot de passe et de l'actualisation du compte d'ordinateur.
Vous pouvez faire en sorte que les paramètres de stratégie de groupe s'appliquent de manière homogène aux clients VPN et aux clients du réseau local si vous désactivez le paramètre Détection d'une liaison lente dans au moins un objet de stratégie de groupe qui s'applique à tous les clients. L'organisation doit veiller à tester et évaluer l'incidence globale de ce paramètre avant d'envisager sa mise en œuvre. Vous ne devez implémenter cette option qu'en cas de nécessité absolue. Pour plus d'informations sur les paramètres de stratégie de groupe, consultez Introduction à la stratégie de groupe dans Windows Server 2003 à l'adresse suivante : www.microsoft.com/windowsserver2003/techinfo/overview/gpintro.mspx.
Pour plus d'informations sur la détection d'une liaison lente, consultez Spécification d'une stratégie de groupe pour la détection d'une liaison lente à l'adresse suivante : www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dmebb\_gpu\_fvfu.asp.
Utilisation d'actions de pré-tunnel personnalisées pour les vérifications de sécurité obligatoires
Pour éviter les délais inutiles en quarantaine, accomplissez toutes les vérifications de sécurité en tant qu'actions de pré-tunnel personnalisées. Si le client d'accès distant traite ces mises à jour avant la connexion, l'attente sera moindre pour l'utilisateur.
Inclure les logiciels dans le package client.
L'entreprise doit s'assurer que l'ordinateur distant dispose des logiciels qui lui sont indispensables pour établir la connexion. Vous devriez distribuer ces logiciels dans le cadre du package Connection Manager pour limiter les appels au support technique et les problèmes de configuration.
Mise en œuvre de la surveillance et de la gestion
Une solution de quarantaine VPN doit permettre d'affecter et d'analyser les alarmes et l'atteinte de certains seuils appropriés afin de surveiller l'état opérationnel de la solution. La solution permettre de surveiller l'ensemble du réseau, une seule ressource ou une liste de ressources en temps réel. La surveillance doit présenter les indicateurs nécessaires à l'entreprise en charge du support technique opérationnel. En cas de non-respect de cette exigence, le service chargé de la sécurité n'est pas en mesure de déterminer si la solution protège les connexions d'accès distant.
Contrôle des opérations de quarantaine
La section ci-après inclut plusieurs points supplémentaires à prendre en compte pour le contrôle des opérations de quarantaine VPN. Les éléments à prendre en compte sont les suivants :
Assurez-vous qu'il existe une étroite collaboration entre les différentes équipes situées dans différents fuseaux horaires lorsque vous résolvez les problèmes des clients distants dans de grandes entreprises. Des tests rigoureux et un déploiement pilote approprié permettent de réduire les besoins en termes de dépannage.
Assurez-vous que vous comprenez bien les scénarios d'accès distant, les menaces qui pèsent sur la sécurité, ainsi que les compromis entre les deux. Les dirigeants de l'entreprise doivent classer par ordre de priorité les ressources qui nécessitent le plus de protection et déterminer un équilibre entre le coût et les risques.
Anticipez les défis techniques que vous devrez relever, tels que les routines d'installation et la distribution des CD. Prenez en compte les outils de gestion d'entreprise supplémentaires qui pourront être nécessaires dans le processus de planification.
Surveillez et gérez dès le départ les problèmes de performances potentiels et définissez les attentes des utilisateurs. Par exemple, les utilisateurs distants qui ne se sont pas connectés récemment au réseau par le biais de l'accès distant risquent d'attendre un certain temps l'ouverture de session s'ils utilisent l'option Ouverture de session Windows. Si le client nécessite un Service Pack, l'ouverture de session pourrait durer plusieurs heures en fonction du débit de sa connexion. Pour éviter cette attente prolongée, l'équipe informatique de la Woodgrove National Bank peut envoyer un courrier électronique à l'utilisateur lui proposant de recevoir un CD ou de recourir à un site de téléchargement.
Procédez à une mise à niveau vers les technologies les plus récentes des ordinateurs clients et serveurs dès les premières étapes de la conception du projet. Vous disposez ainsi d'une base solide pour la solution, ce qui permet d'éliminer la majorité des problèmes que l'entreprise serait susceptible de rencontrer lors du déploiement de la solution. L'effort consenti devrait contribuer à renforcer la stabilité du service et à réduire les coûts du support technique pour les utilisateurs.
Mettez en œuvre le projet par phases et prévoyez suffisamment de temps entre les différentes phases telles que l'adoption du projet par les utilisateurs, la stabilisation des processus et du système réseau et ajustements éventuels. Les phases qui se chevauchent peuvent nuire aux utilisateurs du service. De même, les difficultés en termes d'identification et d'isolement des problèmes dans le service peuvent augmenter considérablement.
N'oubliez pas que les ordinateurs domestiques des employés sont des biens personnels qui leur appartiennent et qu'ils ne sont pas gérés par le service informatique de l'entreprise. Si un employé ne souhaite pas ou ne peut pas installer la solution matérielle et logicielle requise pour l'accès distant à partir de cet ordinateur, il existe d'autres options. Par exemple, Microsoft Outlook® Web Access représente une solution sécurisée qui offre aux employés des connexions chiffrées à leurs données personnelles (messagerie électronique, contacts, tâches et fonctions de calendrier) et aux dossiers publics de Microsoft Exchange Server 2003.
Extension de la solution
La solution de quarantaine VPN n'assure pas de protection contre une personne malveillante qui aurait dérobé les informations d'identification d'un utilisateur et se connecterait au réseau. Pour réduire ce risque, vous pouvez réfléchir à l'éventualité d'utiliser des certificats numériques contenus dans les cartes à puce.
Les dispositifs d'authentification à deux facteurs tels que les cartes à puce renforcent la sécurité de votre réseau, tout en offrant la possibilité aux employés de travailler à distance. La mise en œuvre des cartes à puce repose sur le protocole EAP-TLS (Extensible Authentication Protocol – Transport Level Security).
Dans la mesure où la Woodgrove National Bank dispose d'une infrastructure de clés publiques depuis un certain temps, elle peut étendre la solution d'accès distant à l'utilisation des cartes à puce. Pour plus d'informations sur la planification d'une authentification à deux facteurs, consultez le Guide de planification de la sécurisation des accès par carte à puce (Secure Access Using Smart Cards Planning Guide) à l'adresse suivante : https://go.microsoft.com/fwlink/?LinkId=41313.
Résumé
Grâce aux nouvelles fonctionnalités de Windows Server 2003 SP1, les entreprises peuvent mettre en œuvre la quarantaine VPN de manière fiable avec une prise en charge totale. Il est essentiel de planifier correctement le déploiement de la quarantaine VPN afin que les utilisateurs distants ne subissent pas d'interruptions de service inutiles. Ce guide a abordé les facteurs et les processus qui interviennent pour planifier une mise en œuvre de quarantaine VPN, et il a décrit de quelle manière la Woodgrove National Bank a mis en œuvre cette solution pour son réseau. Pour plus d'informations sur la méthode de mise en œuvre d'une quarantaine VPN, consultez l'annexe C, « Liens connexes », du présent document.
.gif "Dd491977.icon_exe(fr-fr,TechNet.10).gif"){kind=icon}
Guide de planification de la mise en œuvre de services de mise en quarantaine avec Microsoft Virtual Private Network