Projet Networking TNE

Mise en Place du NAC (802.1X) avec NPS

6 min de lecture

Phase 5 : Contrôle d’Accès Réseau (NAC 802.1X) avec NPS

1. Objectif de ce Document

Ce document détaille la mise en place d’une solution de Contrôle d’Accès au Réseau (NAC) basée sur le standard 802.1X. Nous utiliserons nos switches Zyxel compatibles comme points de contrôle et un serveur NPS (Network Policy Server) sous Windows Server comme cerveau d’authentification.

L’objectif est de s’assurer que seuls les appareils autorisés et authentifiés peuvent accéder au réseau filaire. Tout appareil inconnu ou non conforme sera soit bloqué, soit placé dans un VLAN de quarantaine.

2. Le “Pourquoi” : Le Vigile à l’Entrée de Chaque Salle

Jusqu’à présent, notre sécurité réseau est bonne, mais elle a une faiblesse : elle est basée sur la confiance. Si quelqu’un branche un ordinateur portable personnel sur une prise réseau murale dans la salle BTS, cet ordinateur obtiendra une adresse IP dans le VLAN 40 et aura accès aux ressources de ce VLAN.

Le NAC 802.1X, c’est comme poster un vigile à l’entrée de chaque salle de classe, devant chaque prise réseau.

  1. L’Élève (le PC Client) : Quand un PC est branché, il se présente à la prise réseau.
  2. Le Vigile (le Switch Zyxel) : Le switch ne lui ouvre pas la porte tout de suite. Il lui dit : “Halte ! Qui êtes-vous ? Montrez-moi vos papiers !“. Le switch bloque tout le trafic du PC, sauf la demande d’authentification.
  3. La Tour de Contrôle (le Serveur NPS) : Le switch prend les “papiers” (les identifiants) du PC et les envoie par radio à la tour de contrôle, notre serveur NPS, qui est directement relié à l’annuaire Active Directory.
  4. La Décision : Le serveur NPS vérifie l’identité dans l’Active Directory.
    • “Je connais cette machine, elle fait partie de notre domaine et elle est dans le bon groupe. Accès autorisé !” Le NPS envoie un message “Accepter” au switch.
    • “Je ne connais pas cet appareil. C’est un visiteur.” Le NPS envoie un message “Refuser” ou “Placer en quarantaine”.
  5. L’Action : Le switch exécute l’ordre. Soit il ouvre la porte et place le PC dans le VLAN normal (VLAN 40), soit il le connecte à une prise qui ne mène qu’à un sas d’isolement (le VLAN de quarantaine, VLAN 200), soit il coupe la connexion.

Cette méthode offre le plus haut niveau de sécurité pour un réseau local. Fini les appareils pirates sur le réseau.

3. Prérequis

  • Nos switches Zyxel sont compatibles 802.1X.
  • Une nouvelle VM Windows Server, vm-win-nps-01, a été créée (10.0.20.13) et jointe au domaine.
  • Un groupe de sécurité a été créé dans l’AD pour les ordinateurs autorisés, par exemple GRP-SEC-NAC-Computers-Allowed.

4. Procédure Pas-à-Pas (Synthèse)

Étape 1 : Installation du Rôle NPS

  1. Sur la VM vm-win-nps-01, via le Server Manager, installez le rôle Network Policy and Access Services.
  2. Dans les services de rôle, cochez uniquement Network Policy Server.

Étape 2 : Enregistrement du NPS dans Active Directory

  1. Ouvrez la console Network Policy Server.
  2. Faites un clic droit sur NPS (Local) et choisissez Register server in Active Directory. C’est une étape cruciale qui l’autorise à lire les propriétés des comptes lors des demandes d’authentification.

Étape 3 : Déclaration des Switches (Clients RADIUS)

Nous devons dire au NPS de faire confiance à nos switches.

  1. Dans la console NPS, déroulez RADIUS Clients and Servers.
  2. Faites un clic droit sur RADIUS Clients et New.
  3. Pour chaque switch de l’infrastructure :
    • Friendly Name : Le nom du switch (ex: sw-bts-access-01).
    • Address (IP or DNS) : L’adresse IP du switch (10.0.10.X).
    • Shared Secret : Créez un mot de passe long et complexe (un “secret partagé”). C’est ce mot de passe qui sécurisera la communication entre le switch et le NPS. Notez-le précieusement.

Étape 4 : Création des Politiques d’Accès

C’est ici que nous définissons la logique “Qui a le droit de se connecter et sous quelles conditions ?“.

  1. Dans la console NPS, allez dans Policies.

  2. Connection Request Policies : Créez une nouvelle politique qui définit que les authentifications venant de nos switches doivent être traitées localement.

  3. Network Policies : C’est la politique principale. Créez-en une nouvelle :

    • Policy Name : NAC-Wired-Access-Allowed
    • Conditions : Ajoutez les conditions qui doivent être remplies. Par exemple :
      • NAS Port Type Ethernet
      • Windows Groups CIEL-MELEC\GRP-SEC-NAC-Computers-Allowed (Le PC qui tente de se connecter doit être membre de ce groupe).
    • Constraints : Choisissez les méthodes d’authentification (ex: Microsoft: Protected EAP (PEAP)).
    • Settings :
      • Dans RADIUS Attributes, ajoutez les attributs qui seront renvoyés au switch si l’authentification réussit. C’est ici que la magie opère.
      • Tunnel-Private-Group-ID : 40 (Ceci ordonne au switch de placer l’utilisateur dans le VLAN 40).
      • Tunnel-Type : Virtual LANs (VLAN)
      • Tunnel-Medium-Type : 802

  4. Créez une seconde politique, placée en dessous, qui intercepte tous les autres. Si un appareil ne correspond pas à la première politique, il tombera dans celle-ci, qui pourra par exemple le placer dans le VLAN de quarantaine (en renvoyant le Tunnel-Private-Group-ID 200).

Étape 5 : Activation du 802.1X sur un Port de Switch

  1. Connectez-vous à l’interface d’un switch (ex: sw-bts-access-01).
  2. Configurez l’authentification RADIUS globale en pointant vers votre serveur NPS (10.0.20.13) et en utilisant le “secret partagé” que vous avez défini.
  3. Sur un port de test (ex: le port 10), activez l’authentification 802.1X. La commande exacte varie selon les constructeurs, mais le principe est aaa authentication port-based-access-control authenticator.
  4. Configurez ce port pour qu’il place les utilisateurs non authentifiés ou en attente dans le VLAN de quarantaine (le “Guest VLAN”).

5. Points de Validation

  • Scénario 1 (Succès) :
    1. Prenez un poste de travail qui est bien membre du groupe AD GRP-SEC-NAC-Computers-Allowed.
    2. Branchez-le sur le port 10 du switch.
    3. Après quelques secondes, l’authentification doit réussir. Le poste doit obtenir une adresse IP dans le VLAN 40 (10.0.40.x) et avoir un accès normal.
    4. Dans les logs d’événements de sécurité du serveur NPS, vous devez voir une entrée “Network Policy Server granted access to a user”.
  • Scénario 2 (Échec) :
    1. Prenez un ordinateur portable personnel (qui n’est pas dans le domaine et donc pas dans le groupe autorisé).
    2. Branchez-le sur le port 10.
    3. L’authentification va échouer. Le switch doit alors basculer le port dans le VLAN de quarantaine. Le poste obtiendra une adresse IP dans le VLAN 200 (10.0.200.x) avec un accès très limité (par exemple, juste un accès à Internet, sans accès aux ressources internes).

Notre réseau est maintenant protégé contre les accès non autorisés au niveau le plus fondamental. L’étape suivante est de s’intéresser à la sécurité physique de nos serveurs : le UEFI.

Vue Graphique

Liens retour