Utilisation de NAP + DHCP

Introduction au NAP

NAP ou « Network Access Protection » est une technologie Microsoft introduite dans Windows Server 2008 autrefois appelé « Network Access Quarantine Control » dans Windows Server 2003. NAP permet de contrôler l’accès réseau d’un hôte à partir de la conformité du système hôte en question. On détermine si un hôte est sain ou pas en fonction d’options configurées sur le serveur.

Cette fonctionnalité améliore donc la sécurité réseau des entreprises qui elles-mêmes définissent des stratégies pour les clients de leur réseau. Les machines sont définies comme étant saines et peuvent donc accéder au réseau si et seulement si, elles répondent aux exigences définies par l’administrateur (Firewall actif / mises à jours activées / antivirus activé / …). Dans le cas contraire, elles seront isolées et n’auront pas d’accès au réseau tant qu’elles ne seront pas en conformité avec les stratégies.

Une remarque importante est à souligner : bien que le NAP permet de protéger l’accès au réseau, un client dont le pc passe correctement les vérifications du service NAP et accède au réseau, peut tout à fait pirater ce dernier.

Le DHCP sous Windows Server 2008

 

Dans le cadre des cours que j’ai donné à l’Henallux, il était demandé de faire un serveur DHCP sous Windows Server 2008 (R2). Chose qui a donné parfois pas mal de fil à retordre pour pas mal de mes étudiants.

C’est donc en pensant à eux et à la façon dont j’alimenterais encore une fois YanX.eu d’un tuto utile que je me suis décidé à faire un petit « Howto » pour la création d’un serveur DHCP. L’équivalent sous Linux arrivera incessamment sous peu.

En deux mots, le serveur DHCP sert à attribuer dynamiquement des adresses IP aux clients qui seront à même d’envoyer une requête à un serveur DHCP traînant dans le réseau mais aussi de recevoir la réponse en retour.

On ne va donc pas entrer dans les détails niveau réseau mais il faut savoir que de base, une requête DHCP venant du client est faite en broadcast. Cela signifie donc que la requête n’est pas censée aller au-delà d’un routeur. Toutefois, des fonctionnalités sympathiques se trouvant des appareils faisant office de routeur permettent de relayer ces requêtes et de les envoyer en dehors du réseau (ip helper-address chez Cisco)

Attaquons la configuration du serveur DHCP. Supposons que le serveur Windows 2008 est fraîchement installé, démarré, pré-configuré (IP statique, Hostname configuré, …). Nous allons commencer par installer le rôle Serveur DHCP

Il nous faut ensuite choisir la carte sur laquelle on veut voir le DHCP actif. Dans mon cas, je n’ai qu’une carte réseau mais en admettant que nous en avons deux (une côté LAN client et l’autre côté Internet dans le cas où le serveur ferait office de routeur), il faudra choisir la carte où notre serveur va répondre aux requêtes DHCP.

Ensuite, il faudra choisir un nom de domaine (dans le cas d’un Active Directory cela est assez important mais dans le cas d’un petit DHCP dans un réseau local, nous pouvons y mettre ce que nous voulons. Par exemple test.local . Pour en savoir un peu plus, ce « suffixe » qu’on envoie en DHCP sert essentiellement à résoudre des noms d’hôtes. Dans le cas d’un AD par exemple, si notre domaine est mydomain.com et qu’un client clientA fait partie de ce domaine, en faisant un ping clientA , on va en fait résoudre clientA.mydomain.com ).

Il faut également définir une ou deux IP de serveur DNS qui seront envoyés au client dans le paquet DHCP.

Le WINS (ancêtre du serveur DNS moderne) est de moins en moins utilisé. Je le désactive donc dans le cadre de ce tuto ;-) .

Après quoi, nous allons rajouter une (ou plusieurs) étendue(s) DHCP. On entend par étendue le sous-réseaux qui va bénéficier du DHCP avec tous ses paramètres (Passerelles, Bail, …).

Dans le Wizard de Windows Server 2008, on nous propose d’ajouter un nom d’étendue (permettant de repérer plus facilement une étendue dans l’arborescence quand on en dispose de plusieurs), une adresse de début et de fin (qui seront les IP distribuées aux clients), le masque de sous-réseau qui sera envoyé aux clients et la passerelle par défaut qui sera également envoyée.

Ensuite, on vient désactiver le mode DHCPv6. Dans le cas d’un petit réseau local, à part pour s’amuser, on n’implémente généralement pas l’IPv6.

Enfin, après un bref aperçu de ce que nous avons paramétré, nous pouvons installer le serveur DHCP. Ceci doit se terminer avec un « Installation réussie« . Le cas échéant, lisez attentivement le message d’erreur que vous seriez susceptible d’avoir.

Un coup d’oeil dans l’arborescence du Gestionnaire de serveur nous permet de visualiser l’étendue que nous avons configuré. C’est ici qu’on pourrait rajouter également des options que nous avons oublié dans l’assistant de configuration (par exemple une passerelle oubliée). Mais c’est ici aussi qu’on peut rajouter des options avancées non-proposées dans l’assistant (l’adresse d’un serveur de temps (NTP), …)

Il reste plus qu’à configurer nos clients en DHCP pour recevoir les adresses émanant du serveur. Le DHCP est très utile lorsqu’il s’agit d’une grande entreprise qui doit gérer de nombreux sous-réseaux. Une seule machine pouvant ainsi distribuer des adresses à une quantité de machine permet de gagner énormément de temps (à ne pas devoir configurer toutes les machines en IP statique au risque d’avoir des conflits IP notamment) mais aussi d’éviter les erreurs de configuration des postes clients.

Dans un petit réseau local, le DHCP permet à Monsieur Tout-le-monde de déballer son routeur et son PC puis d’utiliser directement sa machine pour surfer sur Internet sans devoir se tracasser de savoir ce qu’est une adresse IP.

En résumé, le DHCP c’est très bien et, en plus, le serveur DHCP n’est pas bien difficile à mettre en place :-).