Utilisation de NAP + DHCP

Introduction au NAP

NAP ou « Network Access Protection » est une technologie Microsoft introduite dans Windows Server 2008 autrefois appelé « Network Access Quarantine Control » dans Windows Server 2003. NAP permet de contrôler l’accès réseau d’un hôte à partir de la conformité du système hôte en question. On détermine si un hôte est sain ou pas en fonction d’options configurées sur le serveur.

Cette fonctionnalité améliore donc la sécurité réseau des entreprises qui elles-mêmes définissent des stratégies pour les clients de leur réseau. Les machines sont définies comme étant saines et peuvent donc accéder au réseau si et seulement si, elles répondent aux exigences définies par l’administrateur (Firewall actif / mises à jours activées / antivirus activé / …). Dans le cas contraire, elles seront isolées et n’auront pas d’accès au réseau tant qu’elles ne seront pas en conformité avec les stratégies.

Une remarque importante est à souligner : bien que le NAP permet de protéger l’accès au réseau, un client dont le pc passe correctement les vérifications du service NAP et accède au réseau, peut tout à fait pirater ce dernier.

Administration des périphériques réseaux par l’intermédiaire de l’Active Directory

Introduction

De nos jours, la sécurité est une d’une grande importance dans la quasi-totalité des entreprises à haute responsabilité. Nombreux sont les outils permettant de rendre les attaques externes « impossibles ». Le problème qui se pose actuellement se passe en interne de l’entreprise. Il faut également assurer une certaine sécurité au sein de celle-ci.
Le rôle NPS (Network Policy Server) va aider à l’administration des périphériques réseaux (tel qu’un switch par exemple).

Explications

Pour mieux comprendre le but du NPS (et des notions qui en découlent), quelques définitions s’imposent :

  • Network Policy and Access Services :
    Regroupement logique de rôles présent sur Windows Serveur. Il contient entre autre le rôle Network Policy Server.
  • Network Policy Server :
    Il s’agit d’un rôle disponible sur Windows serveur 2008 et 2008 R2. Le NPS va gérer l’authentification (serveur RADIUS) par le biais de l’Active Directory mais également les autorisations selon différents modes de connexions (locale, VPN, …).Grâce à lui, nous pourrons :
  • Accéder aux ressources de l’entreprise via une connexion à distance
  • S’authentifier grâce à l’Active Directory
  • Gérer les droits grâce aux GPOs
  • RADIUS :
    Le NPS peut être utilisé comme serveur RADIUS, Remote Authentication Dial-In User Service, pour permettre l’authentification, l’autorisation et la gestion des clients RADIUS.
  • Password Authentication Protocol :
    PAP un protocole d’authentification point à point. Les données sont transmises en claires et par conséquent ce protocole est non sécurisé.
  • La Voice facile avec Trixbox !

    Trixbox en quelques mots :

    Trixbox (connu auparavant sous le nom d’ Asterisk@Home) est un logiciel libre d’ autocommutateur téléphonique privé (PBX) ou IPBX basé sur le logiciel libre Asterisk.

    Trixbox a été offert initialement sous le nom d’Asterisk@Home. En octobre 2006, le produit a été renommé Trixbox après que Digium, l’éditeur du produit Asterisk, eut demandé que le mot « asterisk » ne soit pas utilisé dans le nom du produit.
    Le changement de nom était d’autant plus justifié que le produit avait à cette époque beaucoup plus de fonctionnalités qu »Astérisk.

    Trixbox CE est le logiciel qui a été téléchargé le plus souvent dans la liste des projets réalisés à partir du logiciel libre Asterisk selon Sourceforge.net.

    Trixbox CE est 100 % libre et sous licence GPLv2. Les membres fondateurs du projet Trixbox CE sont Kerry Garrison et Andrew Gillis.

    Il existe également une version PRO de Trixbox, déclinée sous plusieurs versions  :

    • Standard Edition (SE) ;
    • Enterprise Edition (EE) ;
    • Call Center Edition (CCE) ;
    • Unified Agent Edition (UAE).

    Le CD Trixbox inclut le noyau CentOS pour le système d’exploitation, Asterisk pour la partie IPBX et interface web, et Flash Operator Panel (FOP) pour la partie graphique de l’interface web.

    Une fois le produit installé, l’administration de Trixbox est entièrement réalisée depuis une interface web. Seul un accès SSH peut être parfois utile lors de l’ajout de nouveaux modules fonctionnels, comme par exemple les modules de gestion des téléphones SIP de Aastra Technologies.

    Source : wikipedia.org

    Enoncé de l’exercice:

    Vous disposez de la plage d’adresses IP 192.168.X.0 / 24X est un chiffre choisit aléatoirement (disons ici 1).

    Configuration basique 

    1. Vous mettez en place deux IP-PBX en machine virtuelle « Trixbox » :
    2. Sur la trixbox1, vous créez deux extensions 101 et 102
    3. Sur la trixbox2, vous créez trois extensions 201 202 et 203
    4. 201 et 202 savent s’appeler et communiquer ensemble
    5. 101 et 102 savent s’appeler et communiquer ensemble

    L’Active Directory pour débutants

    L’Active Directory, c’est quoi ? 

    L’Active Directory est un annuaire référençant les personnes (nom, prénom, numéro de téléphone, …) mais également toute sorte d’objet (serveurs, imprimantes, …).

    Il permet de recenser toutes les informations concernant le réseau, que ce soient les utilisateurs, les machines ou les applications. Il constitue ainsi le noyau central de toute l’architecture réseau et a pour vocation de permettre à un utilisateur de retrouver et d’accéder à n’importe quelle ressource identifiée par ce service. 

    Active Directory est donc un outil destiné aux utilisateurs mais constitue également un outil d’administration et de gestion du réseau. Il fournit des outils permettant de gérer la répartition de l’annuaire sur le réseau, sa duplication, la sécurisation et le partitionnement de l’annuaire de l’entreprise.

    La structure d’Active Directory lui permet de gérer de façon centralisée des réseaux pouvant aller de quelques ordinateurs à des réseaux d’entreprises répartis sur de multiples sites.

    Préparatif

    Un laboratoire vaut mieux qu’un long discours. Nous allons en apprendre d’avantage en nous amusant.

    Vous aurez besoin d’une machine Windows Server 2008 R2 ainsi que d’une machine cliente (ici un Windows Seven).

    Le serveur aura 2 cartes réseaux, une vers Internet et l’autre vers le réseau local.
    Celle vers Internet sera en DHCP (chez moi 192.168.1.X) et celle concernant le réseau local sera en statique (10.1.X.X,  X = 1 donc l’adresse du serveur 2008 sera 10.1.1.1/24).

    Le domaine sera Namurdomain.be.

    Installation/MAJ : iTunes par GPO

    Itunes :

    Télécharger la version 32 bits ou 64 bits du logiciel iTunes (dans ce cas-ci la version 32 bits): http://www.apple.com/fr/itunes/download/

    Lorsque le téléchargement est terminé, il faut extraire l’archive en utilisant par exemple 7zip.

    Le fichier SetupAdmin.exe ne nous sera d’aucune utilisé, on le supprime.
    Ce qui nous laisse comme contenu du dossier (qui doit être accessible pour les utilisateurs via un dossier partagé par exemple) :

    Contenu Archive

    On peut aussi supprimer AppleSoftwareUpdate.msi.

    On doit maintenant télécharger et installer Orca MSI Editor : http://www.technipages.com/download-orca-msi-editor.html

    AppleApplicationSupport.msi ne nécessite aucune modification. On le laissera donc tel qu’il est.

    On s’occupe alors du fichier iTunes.msi, il suffit simplement de drag and drop dans ORCA :

    Orca

    On se rend dans View puis Summary Information … et on supprime l’ensemble des Languages à l’exception du 1033.

    Orca 2

    On clique sur OK et on sauvegarde les changements. Ensuite, on se rend dans Transform puis New Transform, il faut changer :

    • Dans Component trouver iTunesDesktopShortcuts et modifier le paramètre Condition de cette manière : DESKTOP_SHORTCUTS= »0″
    • Property puis IAcceptLicense mettre la valeur à Yes
    • Property puis SCHEDULE_ASUW et mettre la valeur à 0
    • Dans Shortcut, supprimer la ligne AboutiTunes  (en faisant un clic droit)

    On génère le fichier .mst : Transform -> Generate Transform. On l’enregistre sous le nom iTunes.mst.

    On s’occupe maintenant du Bonjour.msi. Comme précédemment, on ne laisse que le 1033 et on fait un New Transform. On modifie :

    • Property puis IAcceptLicense, on met la valeur à Yes
    • LaunchCondition puis NOT BNEWERPRODUCTISINSTALLED, on supprime la ligne
    • Shortcut et on supprime toutes les lignes

    On génère le fichier .mst : Transform -> Generate Transform. On l’enregistre sous le nom Bonjour.mst.

    Au tour du fichier AppleMobileDeviceSupport.msi à être modifié. Même procédé qu’avant, il faut modifier :

    • Property puis IAcceptLicense, mettre la valeur à Yes
    • LaunchCondition puis NOT BNEWERPRODUCTISINSTALLED, il faut supprimer cette ligne

    On génère le fichier .mst : Transform -> Generate Transform. On l’enregistre sous le nom AppleMobileDeviceSupport.mst.

    On peut quitter Orca.

    On s’occupe maintenant de la GPO. Comme pour Adobe : Computer Configuration –> Policies –> Software Settings –> Software Installation.

    On ajoute comme Package, les différents .msi sans oublier les .mst correspondants.

    Pour iTunes.msi, il faut sélectionner l’option suivante :

    iTunes

    Dans Computer Configuration à Preferences à Windows Settings à Registry, on va créer un nouveau Registry

    Registry

    – Hive: HKEY_LOCAL_MACHINE
    – Key Path: SOFTWARE\Apple Computer, Inc.\iTunes\Parental Controls\Default
    – Value name: AdminFlags (do not tick Default)
    – Value type: REG_DWORD
    – Value data: Please see the next step to work out your particular value.
    – Base: Decimal

    Tableau des valeurs : 

    Item Value
    kParentalFlags_Locked 1
    kParentalFlags_DisablePodcasts 2
    kParentalFlags_DisableMusicStore 4
    kParentalFlags_DisableSharing 8
    kParentalFlags_DisableExplicitContent 16
    kParentalFlags_DisableRadio 32
    kParentalFlags_RestrictMovieContent 64
    kParentalFlags_RestrictTVShowContent 128
    kParentalFlags_DisableCheckForUpdates 256
    kParentalFlags_RestrictGames 512
    kParentalFlags_DisableMiniStore 1024
    kParentalFlags_DisableAutomaticDeviceSync 2048
    kParentalFlags_DisableGetAlbumArtwork 4096
    kParentalFlags_DisablePlugins 8192
    kParentalFlags_DisableOpenStream 16384
    kParentalFlags_DisableAppleTV 32768
    kParentalFlags_DisableDeviceRegistration 65536
    kParentalFlags_DisableDiagnostics 131072
    kParentalFlags_AllowITunesUAccess 262144
    kParentalFlags_RequireEncryptedBackups 524288
    kParentalFlags_DisableHomeSharing 1048576
    kParentalFlags_DisableCheckForAppUpdates 2097152
    kParentalFlags_DisableCheckForDeviceUpdates 4194304
    kParentalFlags_DisablePing 8388608
    kParentalFlags_DisableFirstRunWelcomeWindow 16777216

    Ce qui est utilisé ici :

    • kParentalFlags_Locked: You must include this or users will be able to override your settings.
    • kParentalFlags_DisableSharing
    • kParentalFlags_DisableExplicitContent
    • kParentalFlags_DisableHomeSharing
    • kParentalFlags_DisableCheckForAppUpdates
    • kParentalFlags_DisablePing
    • kParentalFlags_DisableFirstRunWelcomeWindow

    Valeur :  1 + 8 +16 + 1048576 + 2097152 + 8388608 + 16777216 = 28311577.

    QuickTimes

    Après l’avoir téléchargé, on fait pareil pour QuickTimes.msi et on modifie:

    • Dans InstallExecuteSequence, on met PreventDowngrade à 0
    • Dans Properties, on ajoute DESKTOP_SHORTCUTS avec la valeur  0 et on change SCHEDULE_ASUW de 1 à 0

    On génère le fichier .mst : Transform -> Generate Transform. On l’enregistre sous le nom QuickTimes.mst.

    On place maintenant le .msi (avec le .mst) dans notre GPO.

    Il faudra également ajouter un WMI Filter :

    WMI Filter

    Script pour fixer l’ordre d’installation des éléments :

    Via une autre GPO, on va fixer l’exécution d’un script au démarrage de l’ordinateur (Computer Configuration à Policies à Windows Settings à Script à Startup).

    Le script .bat :

    @echo off
    
    start /wait msiexec /i "\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\AppleApplicationSupport.msi" /qn
    
    start /wait msiexec /i "\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\AppleMobileDeviceSupport.msi" TRANSFORMS="\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\AppleMobileDeviceSupport.mst" /qn 
    
    start /wait msiexec /i "\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\Bonjour.msi" TRANSFORM="\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\Bonjour.mst" /qn
    
    start /wait msiexec /i "\\WINGPO\quicktime_quicktime_7.71.80.42_francais_anglais_9524\QuickTime.msi" TRANSFORMS="\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\QuickTime.mst" /qn
    
    start /wait msiexec /i "\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\iTunes.msi" TRANSFORM="\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\iTunes.mst" /qn

    Il faut que cette GPO s’exécute avant celle concernant iTunes + QuickTimes:

    Ordre GPO

    Un petit gpupdate /force pour éventuellement accélérer le processus et c’est terminé.

    Une erreur pourrait s’afficher (Apple Application Support is required to run iTunesHelper – Error 2) lorsque l’utilisateur ouvre sa session, mais lorsqu’il cliquera sur l’icône d’iTunes, il va s’exécuter sans problème.

    Erreur

    Lorsqu’une nouvelle version sera disponible, on enlèvera les anciens .msi et on refera la même procédure pour les nouveaux.