DirectAccess : un jeu de lego – (Partie 1/7 : Fondamentaux)
|
Vous trouverez ci-dessous le début de l’article, n’hésitez pas à télécharger la suite directement en format pdf
Sommaire de l'article
- Introduction
- Présentation du contexte
- C’est quoi Forefront UAG 2010 par rapport à Forefront TMG 2010 ?
- Le puzzle DirectAccess
- IPv6
- IPsec
- Pare-feu personnel
- Systèmes d’exploitation
- Name Resolution Policy Table
- Network Location Server
- Forefront Unified Access Gateway 2010
- DirectAccess Connectivity Assistant
- Network Access Protection
- Authentification double facteur
- Contexte matériel
- Architecture de la maquette
- Conclusion
>> Télécharger gratuitement l'intégralité de cet article <<
Introduction
Présentation du contexte
La mobilité prend de plus en plus de place au sein des entreprises. Il n’est pas rare aujourd’hui pour un cadre de disposer non plus d’un poste de travail mais bien d’un ordinateur portable connecté à Internet, disposant ainsi d’une connectivité avec le système d’information de son entreprise.
Problème, face à ce besoin de mobilité, les contraintes de sécurité telles que mises en œuvre jusqu’à maintenant montrent leurs limites. Jusqu’à maintenant, la conception de la sécurité faisait qu’on se focalisait sur la localisation de l’utilisateur pour déterminer si son accès doit être considéré comme sécurisé ou non. C’est l’approche du château fort.
Dans cette approche, on considère que par ce que l’utilisateur est connecté sur le réseau interne, il est forcément « de confiance ». L’épaisseur des murs constitue un rempart inébranlable contre tout risque en provenance de l’extérieur. Cette approche a commencé à montrer ses limites avec l’arrivée du nomadisme. Des postes de travail sortent des murs et sont connectés à un réseau inconnu : Internet. Pire, ces postes s’y connectent pour ensuite revenir dans les murs de l’entreprise. Pour adresser cette problématique, on a décidé qu’il fallait demander à l’utilisateur de prouver son identité avec un moyen dont il dispose ainsi qu’une information qu’il est le seul à connaître : soit une authentification à double facteurs, communément représenté par la carte à puce. |
||
A ce stade, on ne traite qu’une partie de la problématique. On est capable de prouver son identité lorsqu’on se connecte. Cependant, rien n’est prévu concernant la sécurité du dit poste de travail. Le poste nomade ayant pour vocation de sortir de l’entreprise et être connecté à Internet, il est à la merci de toutes les menaces potentielles. Le problème, c’est quand un poste nomade infecté rentre dans l’entreprise. Par ce qu’il est dans l’entreprise, il est sécurisé! Problème, personne à l’entrée de l’entreprise ne vérifie que le poste ne présente pas de menace pour les autres postes. C’est quand on connecte le câble réseau qu’il est souvent trop tard ! On dispose bien de mécanismes de contrôles de conformité pour les postes nomades. Toute solution de VPN/SSL qui se respecte (UAG inclus) propose ce type de solution. Cependant, celles-ci n’étant pas utilisable sur le réseau LAN de l’entreprise, on ne peut garantir la sécurité des postes. Sur le réseau LAN, on peut déployer des solutions de gestion de la conformité, mécanismes d’isolation et de remédiation. Chez Microsoft, cela se nomme Network Access Protection et c’est la même solution pour le réseau interne et les postes nomades. |
||
Microsoft possède une gamme de produit orienté sur la sécurité et la gestion des identités. Cette gamme de produit a pour nom « Microsoft Forefront ». Au travers de cette gamme de nombreux produits sont déjà disponibles et d’autres arrivent pour aider à développer les entreprises en toute sécurité. Forefront fournit une protection qui prend en compte l’ensemble des systèmes et données de votre entreprise, tout en permettant l’accès de vos employés, en tout lieu, sur la base de leur identité. DirectAccess est une nouvelle approche de la mobilité permettant de :
|
Au cours de cette présentation technique, nous allons présenter un des nombreux usages de Microsoft ForeFront Unified Access Gateway 2010, à savoir DirectAccess. Cet article est basé sur la version UAG 2010 SP1 disponible depuis décembre 2010. Etant donné que le sujet sera conséquent, cet article est donc découpé en plusieurs parties :
- Première partie : Fondamentaux
- Seconde partie : Préparation
- Troisième partie : PKI
- Quatrième partie : NLS
- Cinquième partie : UAG
- Sixième partie : DirectAccess
- Septième partie : Pour aller plus loin
Ce premier article a donc pour objectif de décortiquer toutes les briques utilisés dans DirectAccess. Par la suite, on rentrera dans la technique pure et dure et réaliserons l’assemblage du puzzle.
La mise en œuvre sera présentée en mode pas-à-pas et convient donc à tous les niveaux, exception peut-être de quelques digressions dans les interpréteurs MS-DOS et PowerShell :p.
| Haut de page
C’est quoi Forefront UAG 2010 par rapport à Forefront TMG 2010 ?
C’est une bonne question, merci de l’avoir posée. Historiquement, chez Microsoft le premier produit de la gamme Forefront, c’était Microsoft Internet Security and Acceleration Server 2006, le pare-feu de Microsoft intégrant des fonctionnalités de filtrage avancés aussi bien au niveau réseau qu’applicatif.
C’est en 2006 que Microsoft a racheté la société Whales Communications et son produit « Intelligent Application Gateway and Application Optimizers ». Ce produit présentait la caractéristique d’embarquer ISA Server 2004 pour ses fonctions de pare-feu avancés ainsi que pour se protéger lui-même, rien de plus. Fin 2009, Microsoft a mis à disposition le successeur d’ISA Server : Forefront Threat Management Gateway 2010.
Tout naturellement, Microsoft se devait de proposer une nouvelle version d’IAG. Ce fut chose faîte fin 2009 avec ForeFront Unified Access Gateway 2010, réutilisant Forefront TMG 2010 pour se protéger. Si on doit différencier simplement TMG et UAG, on pourrait le résumer ainsi :
- Forefront TMG : Passerelle d’accès et de sécurisation
- Forefront UAG : Passerelle d’accès distant
Forefront UAG 2010 est un produit un peu différent des autres chez Microsoft car il se positionne sur plusieurs tableaux :
- La publication de ressources de l’entreprise à l’extérieur
- La sécurisation des accès aux ressources internes de l’entreprise
Autre caractéristique d’UAG, il est évolutif. Si une méthode d’authentification n’existe pas, rien ne nous empêche de la développer. UAG est donc d’une souplesse remarquable. Dans le cas qui nous occupe, c’est ses fonctions de sécurisation des accès aux ressources internes de l’entreprise qui nous intéressent, et plus précisément au travers de DirectAccess.
>> Télécharger gratuitement l'intégralité de cet article <<
| Haut de page