Administration des périphériques réseaux par l’intermédiaire de l’Active Directory

Introduction

De nos jours, la sécurité est une d’une grande importance dans la quasi-totalité des entreprises à haute responsabilité. Nombreux sont les outils permettant de rendre les attaques externes « impossibles ». Le problème qui se pose actuellement se passe en interne de l’entreprise. Il faut également assurer une certaine sécurité au sein de celle-ci.
Le rôle NPS (Network Policy Server) va aider à l’administration des périphériques réseaux (tel qu’un switch par exemple).

Explications

Pour mieux comprendre le but du NPS (et des notions qui en découlent), quelques définitions s’imposent :

    • Network Policy and Access Services :
      Regroupement logique de rôles présent sur Windows Serveur. Il contient entre autre le rôle Network Policy Server.
    • Network Policy Server :
      Il s’agit d’un rôle disponible sur Windows serveur 2008 et 2008 R2. Le NPS va gérer l’authentification (serveur RADIUS) par le biais de l’Active Directory mais également les autorisations selon différents modes de connexions (locale, VPN, …).Grâce à lui, nous pourrons :
      • Accéder aux ressources de l’entreprise via une connexion à distance
      • S’authentifier grâce à l’Active Directory
      • Gérer les droits grâce aux GPOs
    • RADIUS :
      Le NPS peut être utilisé comme serveur RADIUS, Remote Authentication Dial-In User Service, pour permettre l’authentification, l’autorisation et la gestion des clients RADIUS.
    • Password Authentication Protocol :
      PAP un protocole d’authentification point à point. Les données sont transmises en claires et par conséquent ce protocole est non sécurisé.

Représentation schématique

2 - POC

 

De cette manière un utilisateur faisant partie d’un certain groupe (présent dans l’Active Directory) pourra accéder au switch (en Telnet ou console).

Méthodologie

Après avoir créé son domaine, on va créer un groupe cisco_admin (ou un autre nom, qu’importe).

3 - Users and Computers Active Directory

Les membres de ce groupe pourront se connecter au switch.

On ajoute ensuite le rôle Network Policy and Access Services.

4 - Add Roles

On choisit NPS comme rôle à activer pour le Network Policy Access Services:

5 - Add Roles 2

Une fois que le rôle est installé, on peut débuter la configuration.

Tout d’abord, on crée autant de client RADIUS qu’il n’y a de périphérique. Ici, il n’y en aura donc qu’un seul:

6 - New RADIUS Client

On configure le client comme ceci :

  • Friendly name: nom du matériel
  • Address (IP ou DNS) : adresse du switch ou routeur (ici, le switch)
  • Shared Secret: un secret partagé avec votre périphérique réseau (c’est ce même secret qu’il va falloir entrer sur le switch plus tard)

7 - New RADIUS Client 2

Un nouveau client doit alors apparaître après avoir cliqué sur OK.

8 - Visualiser le nouveau client

On va maintenant créer une nouvelle Network Policy :

9 - New Network Policy

On donne un nom à la règle :

10 - Policy Name

On doit ajouter une condition sur un groupe d’utilisateurs. Dans notre cas, il faudra choisir le groupe cisco_admin :

11 - User Groups

On définit  en cochant Access granted que les utilisateurs répondant aux conditions précédentes auront accès.

12 - Specify Access Permission

On choisit l’authentification PAP :

13 - Configure Authentication Methods

On sélectionne Virtual(VPN) dans NAS port type :

14 - Configure Constraints

Si on veut également pouvoir se connecter en console, il faut également cocher Async (Modem) :

15 - NAS Port Type

On choisit Services-type LOGIN:

16 - Configure Settings

On choisit Cisco comme vendeur et on sélectionne CISCO-AV-Pair. On clique ensuite sur Add:

17 - Configure Settings 2

On met dans Attribute value la valeur shell:priv-lvl=15 (permet de passer directement en mode enable, ce qui revient à peu près à la même chose qu’être en « root » sur un machine Linux) :

18 - Configure Settings 3

Après avec cliqué plusieurs fois sur Next, la configuration pour le serveur est maintenant terminée.

Rendons nous sur le switch, on y rajoute un login / mot de passe avec privilège 15 :

# username test privilege 15 password pass
# aaa new-model
# radius-server host ip.du.serveur.radius
# radius-server key le_secret
# aaa authentication login group radius local

L’option radius permet de se connecter à un serveur radius pour l’authentification, local permettra d’avoir toujours un accès en « local » si le serveur radius ne répond pas.