Contrle daccs au rseau Emmanuel REUTER Journe ARAMIS

  • Slides: 13
Download presentation
Contrôle d’accès au réseau Emmanuel REUTER Journée ARAMIS 11 Avril 2013 Emmanuel Reuter /

Contrôle d’accès au réseau Emmanuel REUTER Journée ARAMIS 11 Avril 2013 Emmanuel Reuter / 11/04/2013 Intervenant - date

I. Glossaire • • NAC : Network Access Control NAS : Network Access Server

I. Glossaire • • NAC : Network Access Control NAS : Network Access Server GVRP : Generic Vlan Registration Protocol Radius : Remote Authentication Dial-In User Service Attribute value pairs : Attributs renvoyés par le radius LDAP : Lightweight Directory Access Protocol BYOD : Bring your Own Device Emmanuel Reuter / 11/04/2013 Intervenant - date

I. IFSTTAR : Etat des lieux • Architecture réseau complexe distribuée sur le territoire

I. IFSTTAR : Etat des lieux • Architecture réseau complexe distribuée sur le territoire Français • 8 sites IFSTTAR • Plus de 200 switches • Plus de 1700 machines • Environ 80 portables • Environ 35 tablettes • +… BYOD Emmanuel Reuter / 11/04/2013 Intervenant - date

I. Problématique du contrôle d’accès au réseau • Enjeu : Faire en sorte que

I. Problématique du contrôle d’accès au réseau • Enjeu : Faire en sorte que chacun des réseaux informatiques restent protégés et que les utilisateurs aient accès aux ressources –Personnels de l’IFSTTAR –Thésards, personnes de passage –Prestataires –Machines pilotées depuis l’extérieur –Les filiales Emmanuel Reuter / 11/04/2013 Intervenant - date

I. Problématique du contrôle d’accès au réseau • Chaque personnel de l’IFSTTAR doit pouvoir

I. Problématique du contrôle d’accès au réseau • Chaque personnel de l’IFSTTAR doit pouvoir se déplacer sur tous les sites –Portables via le Wifi –Portables connectés sur le réseau filaire –Tablettes, Smartphones, etc. . • Eviter la multiplication des adresses MAC des machines dans les différents DHCP • Dans tous les cas, il faut diminuer l’intervention humaine pour ce type d’urgence • Contrôler qui/quoi se connecte Emmanuel Reuter / 11/04/2013 Intervenant - date

II. Solution • Basée sur un LDAP central –Structure du LDAP • Objectclass dhcp.

II. Solution • Basée sur un LDAP central –Structure du LDAP • Objectclass dhcp. Host • Attribut dhcp. HWAddress • Attribut dhcp. Vlan • Attribut ieee 802 Tout fonctionne ensuite sur le LDAP –Un serveur DHCP par site qui récupère ses données dans le LDAP IFSTTAR –Une base de données Mysql pour conserver les logs des connexions – Tout le réseau est configuré de la même manière : fixe ou migrant – Une seule déclaration des adresses MAC dans le LDAP, quelque soit le site – N’importe quelle machine de l’IFSTTAR peut se connecter n’importe où Emmanuel Reuter / 11/04/2013 Intervenant - date

II. Solution • dhcp. Statements: fixed-address 192. 168. 182. . 193 • dhcp. Vlan:

II. Solution • dhcp. Statements: fixed-address 192. 168. 182. . 193 • dhcp. Vlan: 182 • object. Class: dhcp. Host • object. Class: dhcp. Options • object. Class: ieee 802 Device • object. Class: radiusprofile • dhcp. Option: broadcast-address 137. 121. 162. 255 • dhcp. Option: routers 192. 168. 182. 201 • dhcp. Option: subnet-mask 255. 0 • dhcp. HWAddress: ethernet 00: 0 b: 86: ca: d 3: 88 • mac. Address: 00: 0 b: 86: ca: d 3: 88 • uid: 000 b 86 cad 388 • radius. Tunnel. Assignment. Id: 182 • radius. Tunnel. Private. Group. Id: 182 • radius. Tunnel. Type: VLAN • radius. Tunnel. Medium. Type: IEEE-802 Emmanuel Reuter / 11/04/2013 Intervenant - date

III. Architecture de la solution Routeur Portail Captif Free. Radius Mysql NAS NAS Dhcp

III. Architecture de la solution Routeur Portail Captif Free. Radius Mysql NAS NAS Dhcp Ldap Emmanuel Reuter / 11/04/2013 Intervenant - date

III. Architecture de la solution • Un replicat LDAP par site • Un DHCP

III. Architecture de la solution • Un replicat LDAP par site • Un DHCP local qui interroge le LDAP local • Le backup est assuré, par la configuration des : – Switches vers le radius de Marne pour l’accès au réseau – Cœurs de réseaux pour le secours DHCP vers Marne Emmanuel Reuter / 11/04/2013 Intervenant - date

III. Architecture de la solution • Quid du Nomadisme – Relativement aisé d’installer le

III. Architecture de la solution • Quid du Nomadisme – Relativement aisé d’installer le certificat « maison » sur son matériel personnel – Comment savoir quelle machine se connecte au Wifi • Matériel IFSTTAR • Matériel personnel Emmanuel Reuter / 11/04/2013 Intervenant - date

III. Architecture de la solution • On dérive la solution du NAC filaire –

III. Architecture de la solution • On dérive la solution du NAC filaire – Contrôle via le Radius du Certificat – Contrôle via le Radius de l’adresse Wifi de la machine qui se connecte • Deux cas : – Portable maison => deux adresses Ethernet – Tablettes, Smartphones => une seule adresse Ethernet Utilisation du champ « mac. Address » ieee 802 Device Emmanuel Reuter / 11/04/2013 Intervenant - date

III. Politique actuelle • Matériel IFSTTAR – Accès complet au réseau • Matériel Tablette/Smartphone

III. Politique actuelle • Matériel IFSTTAR – Accès complet au réseau • Matériel Tablette/Smartphone – Accès au réseau limité • Même si c’est du matériel IFSTTAR • Matériel personnel – Renvoyé dans une zone de quarantaine (id filaire) Emmanuel Reuter / 11/04/2013 Intervenant - date

Questions ? D’autres informations à http: //www. associationaristote. fr/doku. php/public: seminaires: seminaire-2013 -02 -07

Questions ? D’autres informations à http: //www. associationaristote. fr/doku. php/public: seminaires: seminaire-2013 -02 -07 Emmanuel Reuter / 11/04/2013 Intervenant - date

Emmanu Emmanuel Villar Emmanuel Villarrubia Emmanuel Villarrubia EmmanuelEmmanu Emmanuel Villar Emmanuel Villarrubia Emmanuel Villarrubia Emmanuel
Contrle daccs au rseau en utilisant NAP PleContrle daccs au rseau en utilisant NAP Ple
MACMLS Mandatory Access Control Contrle daccs obligatoire niveauxMACMLS Mandatory Access Control Contrle daccs obligatoire niveaux
Rappel de la mthode de contrle daccs enRappel de la mthode de contrle daccs en
Modles Principaux de contrle daccs ACM DAC MACModles Principaux de contrle daccs ACM DAC MAC
INF 6153 Infos Gnrales Systmes de contrle daccsINF 6153 Infos Gnrales Systmes de contrle daccs
Liste de contrle daccs Jean Robert HOUNTOMEY hrobertiservicesListe de contrle daccs Jean Robert HOUNTOMEY hrobertiservices
Adaptation darchitectures logicielles de contrle daccs dans lesAdaptation darchitectures logicielles de contrle daccs dans les
Evidian Du contrle daccs multifacteur la gestion desEvidian Du contrle daccs multifacteur la gestion des
PROJET TECHNOLOGIQUE CONTRLE DACCS CANTINE Husson Jessy ANNEPROJET TECHNOLOGIQUE CONTRLE DACCS CANTINE Husson Jessy ANNE
MACMLS Mandatory Access Control Contrle daccs obligatoire niveauxMACMLS Mandatory Access Control Contrle daccs obligatoire niveaux
INF 6153 Infos Gnrales Systmes de contrle daccsINF 6153 Infos Gnrales Systmes de contrle daccs