Contrôle d’accès réseau

Si vous disposez d’un boîtier de contrôle d’accès réseau (NAC), tel qu’un ISE Cisco, sur votre réseau, vous pouvez activer des filtres dans Endpoint Management pour définir les appareils comme conformes ou non conformes pour le contrôle d’accès réseau, en vous basant sur des règles ou des propriétés. Si un appareil géré dans Endpoint Management ne répond pas aux critères spécifiés, Endpoint Management le marque comme non conforme. Le boîtier NAC bloque les appareils non conformes sur votre réseau.

Pour les appareils iOS, vous pouvez déployer la stratégie VPN et activer un filtre NAC pour bloquer une connexion VPN pour les appareils sur lesquels des applications non conformes sont installées. Pour plus de détails, consultez la rubrique Configuration NAC iOS dans cet article.

Dans la console Endpoint Management, sélectionnez dans la liste les critères en fonction desquels un appareil est jugé non conforme.

Endpoint Management prend en charge les filtres de conformité au contrôle d’accès réseau (NAC) suivants :

Appareils anonymes : vérifie si un appareil est en mode anonyme. Cette vérification est disponible si Endpoint Management ne parvient pas à authentifier à nouveau l’utilisateur lorsqu’un appareil tente de se reconnecter.

Échec de l’attestation Samsung KNOX : vérifie si un appareil n’est pas parvenu à répondre à une requête du serveur d’attestation Samsung KNOX.

Applications sur liste noire : vérifie si un appareil dispose d’applications interdites, telles que définies dans une stratégie d’accès aux applications. Pour plus d’informations sur la stratégie d’accès aux applications, consultez la section Stratégies d’accès aux applications.

Appareils inactifs : vérifie si un appareil est inactif, tel que cela est défini par le paramètre Nombre de jours maximum d’inactivité dans la boîte de dialogue Propriétés du serveur. Pour de plus amples informations, consultez la section Propriétés du serveur.

Applications requises manquantes : vérifie si des applications nécessaires sont manquantes sur un appareil, tel que cela est défini dans une stratégie d’accès aux applications.

Applications non suggérées : vérifie si un appareil dispose d’applications non suggérées, telles que définies dans une stratégie d’accès aux applications.

Mot de passe non conforme : vérifie si le mot de passe utilisateur est conforme. Sur les appareils iOS et Android, Endpoint Management peut déterminer si le mot de passe actuel de l’appareil est conforme à la stratégie de code secret envoyée à l’appareil. Par exemple, sur iOS, l’utilisateur dispose de 60 minutes pour définir un mot de passe si Endpoint Management envoie une stratégie de code secret à l’appareil. Avant qu’un mot de passe ne soit défini par l’utilisateur, le code secret peut ne pas être conforme.

Appareils non conformes : vérifie si un appareil n’est pas conforme, en fonction de la propriété de l’appareil Non conforme. Cette propriété est généralement modifiée par les actions automatisées ou parce qu’un tiers utilise les API Endpoint Management.

État révoqué : vérifie si le certificat de l’appareil a été révoqué. Un appareil révoqué ne peut pas se réinscrire tant qu’il n’a pas été à nouveau autorisé.

Appareils Android rootés et iOS jailbreakés : vérifie si un appareil Android ou iOS est rooté ou jailbreaké.

Appareils non gérés : vérifie si un appareil est toujours dans un état géré, sous le contrôle d’Endpoint Management. Par exemple, un appareil exécuté en mode MAM ou un appareil désinscrit n’est pas géré.

Remarque :

le filtre Conformité/non conformité implicite définit la valeur par défaut uniquement sur les appareils qui sont gérés par Endpoint Management. Par exemple, les appareils sur lesquels une application en liste noire est installée ou qui ne sont pas inscrits sont marqués comme Non conformes par le boîtier NAC. Votre réseau bloque ces appareils.

Configuration NAC iOS

Par le biais des paramètres de stratégie dans NetScaler, Endpoint Management prend en charge le contrôle d’accès réseau (NAC) en tant que fonctionnalité de sécurité de point de terminaison pour les appareils iOS. Vous pouvez activer un filtre NAC pour bloquer une connexion VPN pour les appareils sur lesquels des applications non conformes sont installées. Lorsque la connexion VPN est bloquée, l’utilisateur ne peut accéder à aucune application ni aucun site Web via un VPN.

Par exemple, dans la stratégie Accès aux applications, vous pouvez identifier une application donnée comme Interdite ou sur liste noire. Un utilisateur installe cette application. Lorsque l’utilisateur ouvre l’authentification unique Citrix et tente de se connecter au VPN, la connexion est bloquée. L’erreur suivante apparaît : Erreur lors du traitement de la demande. Contactez votre administrateur.

La configuration nécessite que vous mettiez à jour les stratégies NetScaler pour prendre en charge NAC. Dans la console Endpoint Management, vous activez les filtres NAC et déployez la stratégie VPN. Pour que cette fonctionnalité fonctionne sur les appareils, les utilisateurs installent le client VPN Citrix SSO à partir de l’Apple Store.

Les filtres NAC pris en charge sont les suivants :

  • Appareils anonymes
  • Applications sur liste noire
  • Appareils inactifs
  • Applications requises manquantes
  • Applications non suggérées
  • Mot de passe non conforme
  • Appareils non conformes
  • État révoqué
  • Appareils Android rootés et iOS jailbreakés
  • Appareils non gérés

Conditions préalables

  • NetScaler 12
  • Citrix SSO 1.0.1 installé sur les appareils

Pour mettre à jour les stratégies NetScaler afin de prendre en charge NAC

Les stratégies d’authentification et de sessions VPN que vous configurez doivent être avancées. Sur votre serveur VPN virtuel, depuis une fenêtre de console, procédez comme suit. Les adresses IP dans les commandes et les exemples sont fictives.

Ces étapes mettent à jour une instance NetScaler intégrée à un environnement Endpoint Management. Si NetScaler Gateway est configuré pour VPN et ne fait pas partie de l’environnement Endpoint Management, mais peut accéder au service Endpoint Management, vous pouvez également utiliser ces étapes.

  1. Supprimez et annulez la liaison de toutes les stratégies classiques si vous utilisez des stratégies classiques sur votre serveur virtuel VPN. Pour vérifier, tapez :

    show vpn vserver <VPN_VServer>

    Supprimez tout résultat contenant le terme « Classic ». Par exemple : VPN Session Policy Name: PL_OS_10.10.1.1 Type: Classic Priority: 0

    Pour supprimer la stratégie, tapez :

    unbind vpn vserver <VPN_VServer> -policy <policy_name>

  2. Créez la stratégie de session avancée correspondante en tapant ce qui suit.

    add vpn sessionPolicy <policy_name> <rule> <session action>

    Par exemple : add vpn sessionPolicy vpn_nac true AC_OS_10.10.1.1_A_

  3. Liez la stratégie à votre serveur virtuel VPN en tapant ce qui suit.

    bind vpn vserver _XM_Endpoint ManagementGateway -policy vpn_nac -priority 100

  4. Créez un serveur virtuel d’authentification en tapant ce qui suit.

    add authentication vserver <authentication vserver name> <service type> <ip address>

    Dans l’exemple add authentication vserver authvs SSL 0.0.0.0, 0.0.0.0 signifie que le serveur virtuel d’authentification n’est pas public.

  5. Liez un certificat SSL au serveur virtuel en tapant ce qui suit.

    bind ssl vserver <authentication vserver name> -certkeyName <Webserver certificate> Par exemple : bind ssl vserver authvs -certkeyName Star_mpg_citrix.pfx_CERT_KEY

  6. Associez un profil d’authentification au serveur virtuel d’authentification à partir du serveur virtuel VPN. Commencez par créer le profil d’authentification en tapant ce qui suit.

    add authentication authnProfile <profile name> -authnVsName <authentication vserver name>

    Par exemple :

    add authentication authnProfile xm_nac_prof -authnVsName authvs

  7. Associez le profil d’authentification au serveur virtuel VPN en tapant ce qui suit.

    set vpn vserver <vpn vserver name> -authnProfile <authn profile name>

    Par exemple :

    set vpn vserver _XM_Endpoint ManagementGateway -authnProfile xm_nac_prof

  8. Vérifiez la connexion de NetScaler à un appareil en tapant ce qui suit.

    curl -v -k https://<Endpoint Management server>:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid_<device_id>"

    Par exemple, cette requête vérifie la connectivité en obtenant l’état de conformité du premier appareil (deviceid_1) inscrit dans l’environnement :

    curl -v -k https://10.10.1.1:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid_1"

    Vous devriez voir une commande similaire à l’exemple suivant.

    HTTP/1.1 200 OK
    < Server: Apache-Coyote/1.1
    < X-Citrix-Device-State: Non Compliant
    < Set-Cookie: ACNODEID=181311111;Path=/; HttpOnly; Secure
    
  9. Lorsque l’étape précédente réussit, créez l’action d’authentification Web sur Endpoint Management. Commencez par créer une expression de stratégie pour extraire l’ID d’appareil du plug-in VPN iOS. Tapez ce qui suit.

    add policy expression xm_deviceid_expression "HTTP.REQ.BODY(10000).TYPECAST_NVLIST_T(\'=\',\'&\').VALUE(\"deviceidvalue\")"

  10. Envoyez la requête à Endpoint Management en tapant ce qui suit. Dans cet exemple, l’adresse IP Endpoint Management est 10.207.87.82.

    add authentication webAuthAction xm_nac -serverIP 10.207.87.82 -serverPort 4443 -fullReqExpr q{"GET /Citrix/Device/v1/Check HTTP/1.1\r\n" + "Host: 10.207.87.82:4443\r\n" + "X-Citrix-VPN-Device-ID: " + xm_deviceid_expression + "\r\n\r\n"} -scheme https -successRule "HTTP.RES.STATUS.EQ(\"200\") &&HTTP.RES.HEADER(\"X-Citrix-Device-State\").EQ(\"Compliant\")"

    L’état HTTP 200 OK indique une réussite de NAC Endpoint Management. L’en-tête X-Citrix-Device-State doit avoir la valeur Compliant.

  11. Créez une stratégie d’authentification avec laquelle associer l’action en tapant ce qui suit.

    add authentication Policy <policy name> -rule <rule> -action <web auth action> Par exemple : add authentication Policy xm_nac_webauth_pol -rule "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"NAC\")" -action xm_nac

  12. Convertissez la stratégie LDAP existante en une stratégie avancée en tapant ce qui suit.

    add authentication Policy <policy_name> -rule <rule> -action <LDAP action name> Par exemple : add authentication Policy ldap_xm_test_pol -rule true -action 10.10.1.1_LDAP

  13. Ajoutez un intitulé de stratégie avec lequel associer la stratégie LDAP en tapant ce qui suit.

    add authentication policylabel <policy_label_name> Par exemple : add authentication policylabel ldap_pol_label

  14. Associez la stratégie LDAP à l’intitulé de stratégie en tapant ce qui suit.

    bind authentication policylabel ldap_pol_label -policyName ldap_xm_test_pol -priority 100 -gotoPriorityExpression NEXT

  15. Connectez un périphérique compatible pour effectuer un test NAC afin de vérifier si l’authentification LDAP réussit. Tapez ce qui suit.

    bind authentication vserver <authentication vserver> -policy <webauth policy> -priority 100 -nextFactor <ldap policy label> -gotoPriorityExpression END

  16. Ajoutez l’interface utilisateur à associer au serveur virtuel d’authentification. Tapez la commande suivante pour récupérer l’ID d’appareil.

    add authentication loginSchemaPolicy <schema policy>-rule <rule> -action lschema_single_factor_deviceid

  17. Liez le serveur virtuel d’authentification en tapant ce qui suit.

    bind authentication vserver authvs -policy lschema_xm_nac_pol -priority 100 -gotoPriorityExpression END

  18. Créez une stratégie d’authentification avancée LDAP pour activer la connexion Secure Hub. Tapez ce qui suit.

    add authentication Policy ldap_xm_test_pol -rule "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"NAC\").NOT" -action 10.200.80.60_LDAP

    bind authentication vserver authvs -policy ldap_xm_test_pol -priority 110 -gotoPriorityExpression NEXT

  19. Configurez la stratégie VPN. Pour plus d’informations sur la configuration de la stratégie VPN, consultez la section Stratégie VPN.

Configurer le contrôle d’accès réseau

  1. Dans la console Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Dans Serveur, cliquez sur Contrôle d’accès réseau. La page Contrôle d’accès réseau s’affiche.

    Écran des paramètres de contrôle d'accès réseau

  3. Cochez les cases correspondant aux filtres Définir comme non conforme que vous souhaitez activer.

  4. Cliquez sur Enregistrer.

Contrôle d’accès réseau