Département Télécommunications, Réseaux &

Informatique Ecole Nationale des Sciences

Appliquées d’El Jadida Université Chouaib
Doukkali
Réf : ISIC - T2-032- 2024

RAPPORT DE STAGE II

Filière : Ingénierie des Systèmes d'Information et de Communication (ISIC)

3ème année Cycle Ingénieur

ou Filière : Ingénierie Informatique et Technologies Emergentes (2ITE)

2ème ou 3ème année Cycle Ingénieur

Déploiement d’une solution NAC dans le réseau LAN
de Jorf Lasfar

Réalisé à : OCP Groupe

(du 8 Juillet 2024 à 6 septembre 2024)

Réalisé par :

RACHYQ Meryem

Encadré par :

[Link] ROMANI
Présenté le 23/09/2024 devant le jury composé de :

Prof. KARTIT, Professeur à l’ENSAJ

Prof. OUAISSA, Professeur à l’ENSAJ

Année Universitaire : 2023/2024

 Remerciements

Tout d’abord, je souhaite exprimer ma profonde gratitude à mon encadrant,Mouhcine

ROMANI ,pour son soutien constant, ses conseils avisés, et son accompagnement tout au
long de mon stage.

Je tiens également à remercier chaleureusement OCP Group et toute son équipe pour
m’avoir offert cette opportunité de stage au sein de leur entreprise. Leur accueil chaleureux,
leur collaboration et leur confiance ont été des éléments clés de ma réussite durant cette
période.

Ce stage a été une expérience inestimable qui m’a permis d’acquérir des compétences
professionnelles, de consolider mes connaissances académiques et de grandir sur le plan
personnel. Je suis reconnaissante envers tous ceux qui ont contribué à cette réussite.

Enfin, je souhaite adresser ma sincère reconnaissance à toutes les personnes qui ont
contribué à la réussite de mon stage et m’ont soutenue tout au long de cette expérience
enrichissante.

ii
 Liste des Abréviations
AAA - Authentication, Authorization, and Accounting

AD - Active Directory

ACL - Access Control List

CoA - Change of Authorization

ISE - Identity Services Engine

LAN - Local Area Network

MAC - Media Access Control

MAB - MAC Authentication Bypass

NAC - Network Access Control

PEAP - Protected Extensible Authentication Protocol

RADIUS - Remote Authentication Dial-In User Service

WLC - Wireless LAN Controller

VSA - Vendor-Specific Attribute

WPA - Wi-Fi Protected Access

iii
 Résumé
Face aux défis croissants de la sécurisation des réseaux dans les environnements in-
dustriels, l’usine Jorf Lasfar, opérée par le groupe OCP, a identifié le besoin urgent
d’implémenter une solution Network Access Control (NAC) pour protéger son réseau LAN.
Ce rapport décrit le travail effectué pour répondre à cette problématique.

Durant mon stage, j’ai entrepris une étude comparative approfondie de trois solutions NAC :
Cisco Identity Services Engine (ISE), Aruba ClearPass, et Fortinet FortiNAC. Cette étude
a été structurée autour de plusieurs critères de comparaison : les fonction- nalités de
sécurité, la compatibilité et l’intégration avec l’infrastructure existante, ainsi que la facilité
de déploiement et d’administration. De plus, une évaluation détaillée des coûts, incluant
les licences, l’installation, la configuration, la maintenance et le support,a été réalisée.

Le rapport présente les avantages et les inconvénients de chaque solution en fonction des
critères analysés. À l’issue de cette analyse, Cisco ISE a été choisie comme la solution
NAC la plus adaptée pour sécuriser le réseau LAN de l’usine Jorf Lasfar.

Ce stage m’a permis de développer des compétences techniques et analytiques, d’approfondir

mes connaissances académiques et de gagner une expérience précieuse dans un cadre pro-
fessionnel.

Mots-clés : Cisco ISE, NAC, LAN, Aruba ClearPass, Fortinet FortiNAC, Jorf Lasfar.

iv
 Abstract
Faced with the growing challenges of securing networks in industrial environments, the
Jorf Lasfar plant, operated by the OCP group, identified the urgent need to implement a
Network Access Control (NAC) solution to protect its LAN network. This report outlines
the work carried out to address this issue.

During my internship, I conducted an in-depth comparative study of three NAC solu- tions:
Cisco Identity Services Engine (ISE), Aruba ClearPass, and Fortinet FortiNAC. This study
was structured around several comparison criteria: security features, compat- ibility and
integration with the existing infrastructure, as well as ease of deployment and
administration. Additionally, a detailed cost evaluation, including licenses, installation,
configuration, maintenance, and support, was carried out.

The report presents the advantages and disadvantages of each solution based on the
analyzed criteria. Following this analysis, Cisco ISE was chosen as the most suitable NAC
solution to secure the LAN network of the Jorf Lasfar plant.

This internship allowed me to develop technical and analytical skills, deepen my academic
knowledge, and gain valuable experience in a professional setting.

Keywords: Cisco ISE, NAC, LAN, Aruba ClearPass, Fortinet FortiNAC, Jorf Lasfar.

v
 Table des matières
Introduction générale.................................................................................................................. 8

Présentation de l’organisme d’acceuil .................................................................................... 9

1. Introduction ................................................................................................................... 9

2. Office Chérifien des Phosphates OCP ......................................................................... 9

2.1. Fiche Technique ...................................................................................................... 9

2.2. Présentation du groupe OCP ............................................................................... 10

2.3. Activité de l’OCP................................................................................................. 10

2.4. Historique de l’OCP............................................................................................. 11

2.5. Filiales du groupe OCP ........................................................................................ 11

3. Service DSI-Direction des Systèmes d’information .................................................. 11

3.1. Rôles et Missions ................................................................................................... 11

3.2. Structure Organisationnelle .................................................................................. 12

4. Conclusion ................................................................................................................... 14

Contexte général du projet et état de l’Art ......................................................................... 15

1. Introduction ................................................................................................................. 15

2. Défis de sécurité ........................................................................................................... 15

3. Objectifs du projet ...................................................................................................... 16

3.1. But Principal : ...................................................................................................... 16

3.2. Objectifs Spécifiques ............................................................................................. 16

4. Importance de la Sécurisation du Réseau LAN ........................................................ 16

4.1. Risques de Sécurité : ............................................................................................... 16

4.2. Bénéfices d’une Solution NAC :............................................................................ 16

5. La Solution NAC ........................................................................................................ 17

5.1. Principe de Fonctionnement ................................................................................. 17

5.2. Architecture d’une Solution NAC ........................................................................... 18

6. Conclusion .................................................................................................................... 19

vi
Etude Comparative entre les Solutions NAC lesplus populaires ......................................... 20

1. Introduction .................................................................................................................. 20

2. Description des Solutions NAC ................................................................................... 20

2.1. Cisco Identity Services Engine (ISE) .................................................................... 20

2.2. Aruba ClearPass ..................................................................................................... 21

2.3. Fortinet FortiNAC .................................................................................................. 22

3. Fonctionnalités de Sécurité .......................................................................................... 22

3.1. Cisco Identity Services Engine (ISE) .................................................................... 22

3.2. Aruba ClearPass ..................................................................................................... 23

3.3. Fortinet FortiNAC .................................................................................................. 23

4. Compatibilité et Intégration ......................................................................................... 24

5. Facilité de Déploiement et d'Administration ................................................................ 24

5.1. Cisco Identity Services Engine (ISE) .................................................................... 24

5.2. Aruba ClearPass ..................................................................................................... 25

5.3. Fortinet FortiNAC .................................................................................................. 26

6. Évaluation des Coûts .................................................................................................... 26

6.1. Coûts de Licence .................................................................................................... 26

6.2. Coûts d'Installation et de Configuration ................................................................ 27

6.3. Coûts de Maintenance et de Support ..................................................................... 28

7. Analyse des Résultats ................................................................................................... 29

7.1. Cisco Identity Services Engine (ISE) .................................................................... 29

7.2. Aruba ClearPass ..................................................................................................... 29

7.3. Fortinet FortiNAC .................................................................................................. 30

8. Choix de la solution NAC la plus appropriée .............................................................. 30

9. Conclusion .................................................................................................................... 31

Implémentation de Cisco ISE pour la Gestion des Accès Réseau ........................................... 32

1. Introduction .................................................................................................................. 32

2. Architecture du réseau .................................................................................................. 32

vii
 3. Installation et intégration de Cisco ISE et Active Directory .......................................... 34

3.1. Installation du contrôleur de domaine (Active Directory) ..................................... 34

3.2. Installation et intégration de deux plates-formes Cisco ISE ................................... 34

3.3. Jointure des deux plates-formes au contrôleur Active Directory ........................... 38

4. Configuration de l'ISE................................................................................................... 39

4.1. Authentification ..................................................................................................... 39

5. Configuration du Switch .............................................................................................. 40

5.1. Configuration globale ............................................................................................ 41

6. Conclusion .................................................................................................................... 43

Conclusion générale ................................................................................................................. 44

Bibliographie ............................................................................................................................ 45

viii
 Liste des figures
Figure 1: Fiche Technique OCP ................................................................................................. 9
Figure 2:Historique de OCP ..................................................................................................... 11
Figure 3: Département des systèmes informatiques ................................................................. 12
Figure 4:Fonctionnement d’une solution NAC. ....................................................................... 18
Figure 5:Architecture des solutions NAC. ............................................................................... 19
Figure 6:cisco ise identity security engine ............................................................................... 21
Figure 7:architecture aruba clearPass ....................................................................................... 22
Figure 8:interface cisco ise ....................................................................................................... 25
Figure 9:interface aruba clearPass............................................................................................ 25
Figure 10:interface fortinet fortiNAC ...................................................................................... 26
Figure 11:Architecture du réseau ............................................................................................. 33
Figure 12:Ajout des rôles DNS et Active Directory ................................................................ 34
Figure 13:Paramètres de configuration réseau lors de l'installation ......................................... 35
Figure 14:Ajout des services de certificats Active Directory .................................................. 36
Figure 15:Importation du certificat de l'autorité de certification dans la plate-forme ............. 36
Figure 16: Génération du certificat par le service des certificats AD ...................................... 37
Figure 17:Enregistrement du noeud secondaire ....................................................................... 37
Figure 18:Ajout des machines au serveur DNS ....................................................................... 38
Figure 19:Ajout d'un groupe d'utilisateurs Active Directory à l'ISE........................................ 38
Figure 20:Règle d'authentification dot1x ................................................................................. 40
Figure 21:Règle d'authentification MAB ................................................................................. 40
Figure 22:Cisco Catalyst 3650 ................................................................................................. 41
Figure 23:Commandes globales saisies au niveau du Switch .................................................. 42
Figure 24:Activation du CoA au niveau du Switch ................................................................. 42
Figure 25:Activation de HTTP et HTTPS................................................................................ 43

ix
 Introduction générale
Ce rapport de stage se concentre sur le déploiement d’une solution Network Access Control
(NAC) pour sécuriser le réseau LAN de l’usine Jorf Lasfar, opérée par le groupe OCP.
Dans le cadre de ce projet, une attention particulière a été portée à l’évaluation des
différentes solutions NAC disponibles sur le marché afin de choisir la plus adaptée aux
besoins spécifiques de l’usine.

Pour commencer, ce rapport présente une description détaillée des trois solutions NAC les
plus populaires et les plus utilisées dans le secteur industriel : Cisco Identity Services En-
gine (ISE), Aruba ClearPass, et Fortinet FortiNAC. Chaque solution sera analysée en ter-
mes de fonctionnalités de sécurité, de compatibilité et d’intégration avec l’infrastructure
existante, ainsi que de la facilité de déploiement et d’administration.

Ensuite, une étude comparative approfondie de ces trois solutions sera effectuée. L’objectif de
cette comparaison est de fournir une vision claire et précise des avantages et des in-
convénients de chaque solution pour faciliter la prise de décision.

Enfin, une simulation de Cisco ISE sera réalisée sur une machine virtuelle. Cette sim-
ulation permettra de démontrer concrètement comment la solution peut être déployée,
configurée et administrée, ainsi que ses interactions avec l’infrastructure réseau existante.

Ce rapport vise non seulement à évaluer les différentes solutions NAC disponibles, mais
aussi à fournir des recommandations pratiques pour la mise en œuvre de la solution la plus
appropriée pour l’usine Jorf Lasfar. Grâce à cette analyse détaillée et à la simulation
pratique, nous espérons apporter une contribution significative à l’amélioration de la
sécurité du réseau LAN de l’usine.

8
 1
Présentation de l’organisme d’acceuil

1. Introduction
L’OCP Group, ou Office Chérifien des Phosphates, est une entreprise marocaine de
renommée mondiale spécialisée dans l’industrie des phosphates et de la chimie. Fondée en
1920, cette société est reconnue pour être un leader mondial dans son domaine, mais elle
offre également des opportunités passionnantes dans le domaine de la sécurité des réseaux .
En tant qu’étudiante en ingénierie d es s ys tèm es d’inf orm atio n et d e l a
com m un ic ati on j’ai eu l’opportunité enrichissante de réaliser mon stage au sein de
l’OCP Group. Bien que l’OCP soit principalement actif dans l’industrie agricole et minière,
j’ai découvert que l’entreprise s’intéresse également de près aux technologies de
l’information.

2. Office Chérifien des Phosphates OCP

2.1. Fiche Technique

Figure 1: Fiche Technique OCP

9
 [Link]ésentation du groupe OCP
L’activité principale de l’OCP est l’extraction, la production et la commercialisation
des phosphates et de produits dérivés. Les phosphates sont des matières premières essen-
tielles utilisées dans la fabrication d’engrais, qui jouent un rôle crucial dans l’amélioration
de la productivité agricole et la sécurité alimentaire mondiale. Avec plus d’un siècle
d’expérience, l’OCP a acquis une expertise inégalée dans le domaine des phosphates et de
la chimie, ce qui en fait l’un des leaders mondiaux de l’industrie. L’entreprise est engagée
dans une approche intégrée allant de l’extraction minière à la transformation chimique, en
passant par la recherche et l’innovation. Avec une présence mondiale et une clientèle
diversifiée, l’OCP exporte ses produits dans plus de 160 pays, ce qui en fait un acteur clé
sur la scène internationale de l’industrie des phosphates. L’OCP a une présence ou ses
produits sont distribués :

▪ Maroc - Le siège social et le pays d’origine de l’OCP Group ;

▪ Inde - L’OCP est actif en Inde, un marché important pour les phosphates et les
engrais ;
▪ Brésil - Le Brésil est un autre marché clé pour les produits phosphatés de l’OCP ;
▪ États-Unis - L’OCP a également des activités et des partenariats aux États-Unis ;
▪ France - La France est l’un des pays où les produits de l’OCP sont distribués.

2.3. Activité de l’OCP

Exploitation minière des phosphates : L’OCP est l’un des plus grands produc-teurs mondiaux
de phosphates. L’entreprise exploite des mines de phosphates au Maroc pour extraire les
ressources naturelles de phosphate nécessaires à ses activitésde production.
Production de phosphates : L’OCP transforme les phosphates bruts en pro- duits
phosphatés finis. Ces produits comprennent des engrais phosphatés tels quele phosphate
diammonique (DAP), le superphosphate triple (TSP), le phosphate monoammonique
(MAP), ainsi que d’autres produits chimiques et dérivés du phos-phate.
Fertilisants et engrais : L’OCP est un fournisseur mondial d’engrais et de fer- tilisants
destinés à l’agriculture. Ces produits sont essentiels pour améliorer la productivité agricole
et soutenir la sécurité alimentaire mondiale.
Recherche et développement : L’OCP investit dans la recherche et le développe-ment pour
améliorer ses processus de production, développer de nouveaux produits et technologies, et
promouvoir les meilleures pratiques environnementales.
Distribution et exportation : L’OCP exporte ses produits phosphatés vers plus de 160 pays
à travers le monde. L’entreprise dispose de bureaux de vente et d’installations de

10
distribution dans de nombreux pays pour répondre aux besoins mondiaux en engrais et
produits phosphatés.

2.4. Historique de l’OCP

Figure 2:Historique de OCP

2.5. Filiales du groupe OCP
Dans le but de diversification de son activité et afin de bénéficier d’une meilleure gestion
de la richesse que l’office a l’obligation de fructifier pour l’intérêt public, ce dernier a créé
plusieurs filiales qui forment à ce jour le groupe OCP, à savoir :

▪ SOTREG : Société du Transport Régional, est chargée du transport du personnel

du groupe OCP.
▪ SMESI : Société Marocaine des Etudes Spéciales et Industrielles.
▪ CERPHOS : Centre des Etudes et des Recherches des Phosphates, sa mission et
d’organiser et exécuter toute activité d’analyse, d’étude et de recherche scientifique
et technique.
▪ MARPHOCEAN : Société du Transport Maritime des Produits Chimiques, Il est
spécialisé dans le transport maritime de l’acide phosphorique, les engrais et d’autres
produits chimiques.
▪ IPSE : Institut de Promotion Socio-éducative.
▪ UIM : Union Industrielle du Montage.
▪ STAR : Société du Transport et d’Affrètement Réunis.

3. Service DSI-Direction des Systèmes d’information

3.1.Rôles et Missions
Au sein de l’OCP, j’ai effectué mon stage au sein de la Direction des Systèmes d’Information
(DSI) qui est un pilier essentiel dans la gestion des technologies de l’information au sein

11
de l’entreprise. Sa mission principale est d’assurer la continuité des opérations informa-
tiques tout en soutenant les objectifs stratégiques de l’OCP. La DSI est responsable de
l’ensemble des systèmes d’information de l’entreprise, ce qui inclut la gestion des infras-
tructures, des applications, de la sécurité, et du support technique.

Figure 3: Département des systèmes informatiques

[Link] Organisationnelle
La DSI est organisée en plusieurs départements spécialisés, chacun ayant des responsabil-
ités spécifiques :

❖ Infrastructure Réseau

Gestion du réseau : Administration des réseaux locaux (LAN) et étendus (WAN) pour
assurer une communication fluide et sécurisée entre les différentssites de l’OCP.

Maintenance des équipements : Surveillance et maintenance des équipements réseau, y compris

les routeurs, switches, et pare-feu.

Optimisation des Performances : Amélioration des performances du réseau pour répondre aux
besoins croissants en matière de données et de communications.

❖ Sécurité Informatique

Gestion des riques : Identification et évaluation des risques liés à la sécurité des systèmes
d’information.

12
Protection des données : Mise en œuvre de solutions de sécurité telles que les pares-feux, les
systèmes de détection des intrusions (IDS), et les outils de chiffrement pour protéger les
données sensibles.

Conformités et Normes : Veille à ce que les systèmes d’information respectent les normes de
sécurité et les régulations en vigueur, comme le RGPD.

❖ Développement des Applications

Développement Interne : La DSI est responsable de la création d’applications sur mesure

adaptées aux besoins spécifiques de l’OCP. Cela inclut des outils pour la gestion des
opérations, tels que des systèmes ERP (Enterprise Resource Planning) pour la planification
et le suivi des ressources, des applications pour la gestion des stocks et des flux de
production, ainsi que des plateformes de communication interne pour faciliter la
collaboration entre les équipes.

Amélioration Continue : Les applications développées sont continuellement améliorées et

mises à jour pour répondre aux évolutions des besoins métiers et intégrer les dernières
innovations technologiques. La DSI veille également à ceque ces outils soient compatibles
avec les systèmes existants et qu’ils offrent une interface utilisateur conviviale.

❖ Gestion des Projets IT

Planification des Projets : La DSI assure la planification des projets technologiques en

définissant les objectifs, les ressources nécessaires et les délais. Cela inclut l’élaboration
de plans de projet détaillés et la coordination des équipes impliquées dans le
développement et la mise en œuvre des solutions.

Exécution des Projets : La mise en œuvre des projets est gérée avec rigueur pour garantir que
les solutions développées répondent aux spécifications et aux exigences définies. Cela
comprend le suivi des progrès, la gestion des risques et la résolution des problèmes qui
peuvent survenir pendant le développement.

Supervision et Évaluation : Après la mise en œuvre, la DSI supervise l’évaluation des

projets pour mesurer leur efficacité et leur impact sur les pro- cessus métiers. Les retours
d’expérience sont recueillis et analysés pour identi-fier les opportunités d’amélioration et
garantir que les solutions apportent les bénéfices attendus.

13
En résumé, le Service DSI de l’OCP joue un rôle crucial dans la gestion des technologies
de l’information, en assurant la sécurité, la performance et l’innovation des systèmes
informatiques au sein de l’entreprise.

4. Conclusion
En conclusion, mon stage au sein de l'OCP Group m'a permis de découvrir la diversité des
secteurs dans lesquels cette entreprise excelle, au-delà de son expertise bien connue dans
l'industrie des phosphates. J'ai pu constater de première main l'engagement de l'OCP dans
l'innovation technologique, notamment dans le domaine de la sécurité des réseaux, renforçant
ainsi mon intérêt pour les systèmes d'information. Cette expérience m'a non seulement enrichi(e)
professionnellement, mais m'a également ouvert des perspectives nouvelles sur l'intégration des
technologies de l'information dans des secteurs industriels variés.

14
 2
Contexte général du projet et état de
l’Art
1. Introduction
Dans un environnement industriel tel que l’usine Jorf Lasfar, la sécurité du réseau LAN est
cruciale pour garantir la continuité des opérations et la protection des données sensibles.
Ce chapitre explore les défis spécifiques auxquels l’usine est confrontée en matière de
sécurité réseau et définit les objectifs du projet visant à renforcer cette sécurité. Il met
en lumière l’importance d’une solution efficace de Network Access Control (NAC) pour
adresser ces défis, tout en détaillant les objectifs spécifiques du projet et l’importance de
sécuriser ce LAN.

2. Défis de sécurité
L’usine Jorf Lasfar est confrontée à divers défis en matière de sécurité réseau. Ces dé-
fis sont cruciaux pour garantir la protection des données sensibles et la continuité des
opérations. Les principaux défis incluent :

✓ Accès Non Autorisé : Avec un grand nombre d’appareils connectés au réseau, il est
difficile de contrôler et de surveiller les accès, ce qui augmente le risque d’accès
non autorisé par des individus malveillants.
✓ Vulnérabilité du réseau : Les équipements et logiciels obsolètes ou mal configurés
peuvent présenter des vulnérabilités exploitables par des attaquants.
✓ Gestion des Appareils : La diversité des appareils (ordinateurs, smartphones,
équipements IoT) nécessite des politiques de sécurité robustes pour assurer une
protection uniforme et efficace.

15
 ✓ Menaces Internes : Les menaces internes, qu’elles soient intentionnelles ou non,
représentent un risque significatif pour la sécurité du réseau. Les employés peuvent,
par inadvertance ou malveillance, compromettre la sécurité du système.

3. Objectifs du projet
[Link] Principal :
L’objectif principal de ce projet de stage est de déployer une solution Network Access
Control (NAC) pour renforcer la sécurité du réseau LAN de l’usine Jorf Lasfar. Cette
solution vise à sécuriser les accès réseau et à garantir que seuls les utilisateurs et dispositifs
autorisés puissent se connecter au réseau.

[Link] Spécifiques
Evaluation des solutions NAC : Analyser et comparer les principales solutions NAC
disponibles sur le marché pour identifier celles qui répondent le mieux aux besoins
spécifiques de l’usine.
Comparaison des coût : Évaluer les différents modèles de licence, les coûts d’installation,
de configuration, ainsi que les coûts de maintenance et de support associés à chaque
solution NAC.
Recommandation de la Meilleure Solution : Formuler une recommandation basée sur
l’analyse comparative des solutions, en tenant compte des critères de sécurité, de
compatibilité, de coût et de facilité de déploiement.

4. Importance de la Sécurisation du Réseau LAN

[Link] de Sécurité :
Intrusions et Attaques : Sans une solution NAC, le réseau LAN de l’usine est vulnérable aux
intrusions et aux attaques externes, qui peuvent entraîner la perte ou la compromission de
données critiques.
Perturbations des Opérations : Les failles de sécurité peuvent provoquer des interruptions de
service, affectant ainsi la continuité des opérations et la productivité.
Conformité Réglementaire : L’absence de mesures de sécurité adéquates peut entraîner des
non-conformités aux réglementations et aux normes de sécu-rité, exposant l’entreprise à
des sanctions et des amendes.

4.2.Bénéfices d’une Solution NAC :

Amélioration de la Sécurité : Une solution NAC permet de contrôler et de surveiller les accès
au réseau en temps réel, renforçant ainsi la protection contreles menaces internes et externes.

16
Elle assure que seuls les dispositifs conformesaux politiques de sécurité peuvent accéder au
réseau, réduisant ainsi les risquesd’infections et de cyberattaques.

Gestion des Accès : Elle facilite la gestion des accès en s’assurant que seuls les utilisateurs
et appareils autorisés peuvent se connecter, tout en offrantune visibilité complète sur
les connexions au réseau. Cette visibilité permet aux administrateurs de réseau de
détecter et de répondre rapidement à touteactivité suspecte.

Conformité et Réduction des Risques : En mettant en place des poli- tiques de sécurité et de
conformité, une solution NAC contribue à réduire les risques de sécurité et à assurer le
respect des normes et réglementations en vigueur. Cela inclut la conformité avec les
exigences de l’industrie, les normesde protection des données et les politiques internes de
l’entreprise. En outre, une solution NAC peut aider à identifier et à corriger les
vulnérabilités poten- tielles avant qu’elles ne soient exploitées par des attaquants, ce qui
renforce laposture globale de sécurité de l’organisation.

5. La Solution NAC
Cette section rappelle le principe de fonctionnement des solutions NAC et présente une
vue d’ensemble de leur architecture. Nous analyserons également certaines des solutions
NAC disponibles sur le marché

[Link] de Fonctionnement
Le contrôle d’accès au réseau (NAC) est une technologie qui sécurise les réseaux en
vérifiant et en validant l’état de santé des dispositifs avant de leur permettre d’accéder
au réseau. Voici comment cela fonctionne :

• Évaluation de l’État de Santé : Lorsqu’un appareil tente de se connecter au réseau,

la solution NAC évalue son état de santé. Cette évaluation peut incluredes
vérifications telles que la présence de logiciels antivirus à jour, l’application des
derniers correctifs de sécurité, la fermeture des ports non sécurisés et la non-présence
de logiciels malveillants.
• Contrôle d’Accès : Si l’appareil satisfait les critères de sécurité définis, il est
autorisé à accéder au réseau avec les permissions appropriées. Si l’appareil ne
respecte pas ces critères, son accès peut être restreint ou il peut être placé en
quarantaine.
• Remédiation : Les appareils non conformes peuvent être guidés pour se mettre en
conformité. Par exemple, un appareil peut être redirigé vers un portail de mise à

17
 jour où l’utilisateur peut installer les correctifs nécessaires ou mettre à jour ses
logiciels antivirus.
• Isolation et Surveillance : Les appareils en quarantaine sont placés dans un
VLAN isolé où ils ne peuvent pas interagir avec le reste du réseau jusqu’à ce qu’ils
soient sécurisés. La solution NAC surveille constamment les appareils pour détecter
tout changement de leur état de santé et ajuste leur niveau d’accès en conséquence.

Figure 4:Fonctionnement d’une solution NAC.

5.2. Architecture d’une Solution NAC
L’implémentation d’une solution NAC nécessite plusieurs composants clés, dont les in-
teractions sont illustrées dans le diagramme ci-dessous.

• Périphériques essayant d’accéder au réseau ou "Agents" (A) : Incluent les ordinateurs

portables, les invités, les visiteurs, et les utilisateurs réguliers du réseau.
• Périphérique de contrôle d’accès au réseau (B) : Premier point de contact réseau pour
les périphériques tentant de se connecter, gérant la validation de posture et le
processus d’authentification.
• Serveur de Validation de Posture (Point de Décision d’Accès Réseau) (C) : Serveur
dédié qui évalue les informations d’authentification de posture despériphériques
selon les règles de conformité.
• Serveurs d’entreprise (D) : Zone critique du réseau protégée par la solution NAC
contre les périphériques compromis.

18
 • VLAN de Quarantaine (E) : Zone de réseau virtuelle sécurisée où les pé-
riphériques peuvent être corrigés, ré-évalués, et autorisés ou non à accéder au réseau
d’entreprise.

Figure 5:Architecture des solutions NAC.

6. Conclusion
En conclusion, la sécurisation du réseau LAN au sein de l'usine de Jorf Lasfar est une priorité
essentielle pour assurer la continuité des opérations et la protection des informations sensibles.
Ce chapitre a mis en évidence les défis uniques auxquels l'usine est confrontée en matière de
sécurité réseau et a souligné l'importance d'une solution de contrôle d'accès au réseau (NAC)
pour surmonter ces obstacles. Les objectifs du projet, clairement définis, visent non seulement
à renforcer la sécurité, mais aussi à garantir une gestion optimale des accès, contribuant ainsi à
la résilience et à l'efficacité opérationnelle de l'usine.

19
 3
Etude Comparative entre les Solutions
NAC les plus populaires
1. Introduction
Cette étude comparative se concentre sur l'évaluation de trois solutions de contrôle d'accès
réseau (NAC) pour le réseau LAN de Jorf Lasfar : Cisco Identity Services Engine (ISE), Aruba
ClearPass et Fortinet FortiNAC. Avec la prolifération des appareils connectés et les défis
croissants en matière de sécurité, le choix d'une solution NAC efficace est crucial. Chacune de
ces solutions est sélectionnée pour ses capacités distinctes en matière de sécurité, de
compatibilité et de facilité de gestion, visant à déterminer celle qui répond le mieux aux besoins
spécifiques de notre infrastructure réseau.

2. Description des Solutions NAC

[Link] Identity Services Engine (ISE)
Cisco Identity Services Engine (ISE) est une solution NAC robuste qui se distingue par ses
fonctionnalités avancées et son intégration native avec les infrastructures Cisco. Elle offre une
authentification multi-facteurs (MFA), prenant en charge des méthodes telles que les certificats,
les jetons et les mots de passe, renforçant ainsi la sécurité des accès réseau. ISE permet
également la création et l'application de politiques de sécurité granulaires basées sur l'identité
des utilisateurs, des appareils et leur contexte (heure, emplacement). En utilisant des protocoles
sécurisés comme TLS, elle assure le chiffrement des données pour protéger les communications.
Ses capacités de segmentation dynamique permettent une isolation efficace des menaces et la
protection des ressources critiques, tout en s'intégrant parfaitement avec les équipements Cisco
grâce à Cisco TrustSec, facilitant ainsi une gestion unifiée et l'automatisation des politiques de
sécurité à travers l'infrastructure réseau.

20
 Figure 6:cisco ise identity security engine
[Link] ClearPass
Aruba ClearPass est une solution NAC réputée pour sa flexibilité et sa puissance,
particulièrement appréciée pour ses capacités de contrôle d'accès basé sur les rôles et la gestion
des appareils IoT. Elle offre des politiques basées sur les rôles, permettant d'attribuer des droits
d'accès spécifiques en fonction du rôle de l'utilisateur (employé, invité, administrateur) et des
attributs des appareils tels que le type et le système d'exploitation. ClearPass utilise également
l'authentification contextuelle en intégrant des informations comme l'heure et l'emplacement
pour affiner les décisions d'authentification et d'autorisation. En ce qui concerne la gestion des
appareils IoT, ClearPass assure la détection automatique et la classification de ces dispositifs,
appliquant des politiques de sécurité adaptées et surveillant en temps réel leurs comportements
pour détecter toute activité suspecte et répondre rapidement aux menaces. En outre, son
intégration multi-fournisseurs permet une compatibilité étendue avec divers équipements
réseau et systèmes de gestion, offrant ainsi une flexibilité maximale dans des environnements
hétérogènes.

21
 Figure 7:architecture aruba clearPass
[Link] FortiNAC
Fortinet FortiNAC est une solution axée sur le contrôle d'accès basé sur l'identité, offrant des
capacités avancées de visualisation et de réponse aux incidents. Elle permet une authentification
précise des utilisateurs et des appareils via des identités uniques, renforçant ainsi la sécurité.
Grâce à un contrôle en temps réel, elle assure une surveillance continue des connexions et des
comportements des appareils pour détecter et isoler rapidement les menaces. Ses fonctionnalités
de visualisation incluent une cartographie détaillée du réseau, permettant de visualiser les
appareils connectés et leur emplacement, ainsi qu'une analyse des flux de données pour
identifier les comportements suspects et améliorer la sécurité réseau. De plus, FortiNAC
s'intègre de manière optimisée avec les solutions de sécurité et les équipements Fortinet,
assurant une gestion cohérente et unifiée de la sécurité.

3. Fonctionnalités de Sécurité
[Link] Identity Services Engine (ISE)
Cisco ISE est riche en fonctionnalités de sécurité avancées conçues pour protéger les réseaux
d'entreprise :

✓ MFA (Multi-Factor Authentication) : Supporte les certificats numériques, les

tokens matériels, et les mots de passe.
✓ Profiling et Posture Assessment : Identification et évaluation de l’état des appareils
pour garantir qu’ils respectent les politiques de sécurité.
✓ TrustSec : Utilisation de Security Group Tags (SGT) pour la segmentation et
l’application dynamique des politiques de sécurité.
22
 ✓ 802.1X et MAB (MAC Authentication Bypass) : Méthodes d’authentification
pour les accès filaires et sans fil.
✓ RADIUS et TACACS+ : Protocoles de gestion centralisée des accès et des
permissions.
✓ Encrypted Communications : Chiffrement via TLS/SSL pour sécuriser les
communications entre les composants du réseau.

[Link] ClearPass
Aruba ClearPass se distingue par ses capacités robustes de contrôle d'accès et de gestion des
appareils :

✓ Role-Based Access Control (RBAC) : Attribution de permissions basées sur les rôles
des utilisateurs et les attributs des appareils.
✓ Device Profiling : Identification et classification des appareils connectés, y compris
les dispositifs IoT.
✓ Guest Access Management : Portail invité avec auto-enregistrement et provisioning
temporaire des accès.
✓ Endpoint Compliance : Vérification de la conformité des appareils avec les
politiques de sécurité avant l’accès au réseau.
✓ AAA (Authentication, Authorization, Accounting) : Gestion centralisée des accès,
des autorisations et des audits.
✓ Context-Aware Policies : Application de politiques basées sur des informations
contextuelles telles que l’emplacement, l’heure et le type de connexion

[Link] FortiNAC
Fortinet FortiNAC propose une gamme de fonctionnalités techniques visant à renforcer la
sécurité réseau par une approche basée sur l'identité et la visibilité du réseau :

✓ Identity-Based Authentication : Authentification des utilisateurs et des

appareils basés sur des identités uniques.
✓ Network Visibility : Visualisation détaillée des appareils connectés et de leur
emplacement.
✓ Behavioral Monitoring : Surveillance continue des comportements des
appareils pour détecter les anomalies.
✓ Dynamic VLAN Assignment : Attribution dynamique des VLANs en fonction
des politiques de sécurité.

23
 ✓ Integration with FortiGate : Synchronisation avec les pare-feux Fortinet pour
l’application des politiques de sécurité.
✓ Rogue Device Detection : Détection et isolation des appareils non autorisés.

4. Compatibilité et Intégration

Pour évaluer l'efficacité d'une solution NAC, il est essentiel de comprendre comment elle
s'intègre avec votre infrastructure réseau existante et sa capacité à travailler avec d'autres
solutions et équipements. Le tableau ci-dessous compare Cisco Identity Services Engine (ISE),
Aruba ClearPass et Fortinet FortiNAC sur ces critères :

Critères Cisco Identity Services Aruba ClearPass Fortinet FortiNAC

Engine (ISE)

Compatibilité Parfait pour les Hautement compatible Compatible avec les

avec équipements Cisco, avec divers équipements
l'infrastructure compatible avec les équipements, y compris Fortinet et autres
réseau
équipements non-Cisco via Cisco, Juniper, et HP, fabricants grâce aux
existante
RADIUS et TACACS+. en utilisant RADIUS et protocoles
TACACS+. standards.

Capacité à Bonne intégration avec les Large intégration avec Intégration efficace
s'intégrer avec solutions Cisco et tierces les solutions de sécurité avec les solutions
d'autres via des API. tierces et des API Fortinet et autres
solutions et
robustes. équipements via des
équipements
API et connecteurs.

5. Facilité de Déploiement et d'Administration

Pour évaluer la facilité de déploiement et d'administration des solutions NAC, nous comparons
l'interface utilisateur, les processus d'automatisation, la complexité de la configuration et les
exigences en matière de formation du personnel

[Link] Identity Services Engine (ISE)

• Interface utilisateur riche en fonctionnalités, mais peut sembler complexe pour les
nouveaux utilisateurs.

24
 Figure 8:interface cisco ise

• Capacités d'automatisation avancées avec des workflows pour l'approvisionnement des

utilisateurs et des appareils, et des politiques dynamiques basées sur des rôles.
• Configuration initiale complexe nécessitant une bonne compréhension des réseaux et
des politiques de sécurité.
• Formation approfondie recommandée pour tirer pleinement parti de toutes les
fonctionnalités.
[Link] ClearPass
• Interface intuitive et conviviale, facilitant la gestion des politiques de sécurité au
quotidien.

Figure 9:interface aruba clearPass

25
 • Fonctionnalités d'automatisation robustes, incluant l'intégration avec des systèmes de
gestion des identités et l'automatisation des réponses aux incidents.
• Configuration relativement simple grâce à son interface intuitive et ses assistants de
configuration.
• Courbe d'apprentissage moins raide, facilitée par la documentation et les ressources
disponibles, bien que la formation soit nécessaire.
[Link] FortiNAC
• Interface utilisateur claire et facile à naviguer, avec certaines fonctionnalités avancées
nécessitant un apprentissage supplémentaire.

Figure 10:interface fortinet fortiNAC

• Options d'automatisation pour la mise en œuvre des politiques de sécurité, incluant des
scripts personnalisables et des intégrations avec d'autres solutions Fortinet.
• Configuration modérée avec des outils et des guides pour aider à l'installation, bien que
certaines fonctionnalités avancées puissent nécessiter une expertise spécifique.
• Formation nécessaire pour maîtriser les fonctionnalités avancées, avec des bases
relativement rapides à apprendre.

6. Évaluation des Coûts

[Link]ûts de Licence
Les solutions NAC (Network Access Control) offrent des modèles de licence variés, adaptés
aux besoins spécifiques des organisations. Voici une comparaison des modèles de licence pour
Cisco Identity Services Engine (ISE), Aruba ClearPass et Fortinet FortiNAC :

• Cisco Identity Services Engine (ISE) :

o Modèle par appareil : Cisco ISE facture en fonction du nombre d'appareils
(switches, routeurs, points d'accès) connectés et gérés par le système.

26
 o Modèle par utilisateur : Cette option de licence est basée sur le nombre
d'utilisateurs ou de sessions simultanées sur le réseau.
o Licences de fonctionnalités : Cisco propose des licences spécifiques pour des
fonctionnalités avancées, telles que la gestion des profils, le BYOD (Bring Your
Own Device), et la protection contre les malwares avancés (AMP). Ces licences
peuvent être souscrites séparément, ce qui permet aux entreprises de choisir les
fonctionnalités dont elles ont besoin.
• Aruba ClearPass :
o Modèle par appareil : Les licences ClearPass peuvent être achetées selon le
nombre d'appareils gérés, offrant une flexibilité pour les réseaux de différentes
tailles.
o Modèle par utilisateur : Cette licence est basée sur le nombre d'utilisateurs
finaux ou de sessions actives, ce qui permet une adaptation aux besoins de
l'entreprise.
o Licences de services et fonctionnalités : ClearPass propose des modules
supplémentaires, comme le Guest Access et l'Enterprise Mobility Management
(EMM), avec des options de licence pour des fonctionnalités spécifiques.
• Fortinet FortiNAC :
o Modèle par appareil : FortiNAC utilise un modèle de licence basé sur le nombre
d'appareils connectés au réseau, incluant les équipements réseau et les endpoints
(terminaux).
o Modèle par utilisateur : Les licences peuvent être basées sur le nombre
d'utilisateurs ou d'appareils connectés.
o Licences de fonctionnalités : FortiNAC offre des options pour des
fonctionnalités spécifiques, telles que la visibilité réseau avancée et la gestion
des vulnérabilités. Ces licences peuvent être personnalisées en fonction des
besoins de l'organisation.

[Link]ûts d'Installation et de Configuration

Solution NAC Complexité Coûts d'Installation Besoins en
d'Installation et de Configuration Formation
Cisco Identity -Installation complexe -Services - Formation
Services Engine -Exigences matérielles professionnels intensive
(ISE) spécifiques souvent requis, coût nécessaire en
élevé raison de la

27
 -Nécessite des licences - Coûts d'achat de complexité du
supplémentaires pour matériel système
certaines fonctionnalités supplémentaire et de
licences
Aruba ClearPass -Flexibilité et - Coûts modérés pour -Formation
compatibilité élevées les services recommandée
-Nécessite une professionnels pour maximiser
planification adéquate -Varie selon la l'efficacité et la
pour l'intégration des complexité des sécurité
fonctionnalités fonctionnalités
Fortinet FortiNAC - Considéré comme plus - Coûts généralement - Formation
simple à installer inférieurs moins intensive,
-Intégration facile , - Moins de services surtout pour les
surtout avec d'autres professionnels requis utilisateurs
produits Fortinet l'écosystème
Fortinet

[Link]ûts de Maintenance et de Support

L'évaluation des coûts de maintenance et des services de support pour les solutions NAC
(Network Access Control) est essentielle pour comprendre le coût total de possession (TCO) et
assurer une opération continue et sécurisée. Voici une analyse des contrats de maintenance et
des services de support pour Cisco Identity Services Engine (ISE), Aruba ClearPass, et Fortinet
FortiNAC :

Cisco Identity Services Engine (ISE) propose des contrats de maintenance qui incluent
généralement des mises à jour logicielles et des correctifs de sécurité. Ces contrats peuvent être
annuels ou multi-annuels, offrant des options pour des engagements à long terme. Le support
technique est disponible 24/7, avec des options pour un support avancé ou dédié. Cependant,
les coûts associés à ces services peuvent être élevés, surtout si l'organisation choisit des options
de support étendues pour une assistance plus réactive ou spécialisée.

Aruba ClearPass, en revanche, offre des contrats de maintenance flexibles qui incluent
également des mises à jour et des correctifs. Les options de support technique varient,
permettant aux organisations de choisir le niveau de service qui correspond le mieux à leurs
besoins, que ce soit pour un support standard ou prioritaire. Les coûts de maintenance pour

28
Aruba ClearPass sont généralement modérés, mais peuvent varier en fonction du niveau de
support choisi, offrant ainsi une flexibilité budgétaire.

Fortinet FortiNAC se distingue par une tarification compétitive pour ses contrats de
maintenance, qui couvrent également les mises à jour logicielles et les correctifs. Le support
technique standard est complété par des options de mise à niveau pour un support plus étendu.
En outre, Fortinet offre un accès à une communauté active et des ressources en ligne, ce qui
peut être particulièrement utile pour les équipes techniques. Les coûts de maintenance et de
support pour Fortinet FortiNAC sont généralement plus bas, ce qui en fait une option attractive
pour les organisations cherchant à contrôler leurs dépenses tout en bénéficiant d'un support de
qualité.

7. Analyse des Résultats

[Link] Identity Services Engine (ISE)
❖ Avantages :
Fonctionnalités Complètes : Cisco ISE offre une gestion robuste des identités et des appareils,
une application des politiques, une évaluation des risques et des rapports de conformité. Ces
fonctionnalités permettent une visibilité approfondie et un contrôle strict des accès au réseau.

Intégration Étendue : Bonne intégration avec d'autres produits Cisco, ce qui est bénéfique
pour les entreprises utilisant déjà l'infrastructure Cisco.

❖ Inconvénients :
Complexité et Coût : L'interface utilisateur est complexe, ce qui peut nécessiter une formation
spécialisée pour les administrateurs. Les coûts de licence et de maintenance peuvent être élevés,
en particulier avec des options de support premium.

❖ Impact Potentiel :
Infrastructure : L'intégration étroite avec les produits Cisco peut faciliter le déploiement si le
site de Jorf Lasfar utilise déjà des solutions Cisco. Toutefois, la complexité de la configuration
peut nécessiter un investissement initial significatif en formation et en adaptation des systèmes
existants.

[Link] ClearPass
❖ Avantages :
Flexibilité : Offre une compatibilité multifournisseur et une interface utilisateur intuitive. Les
options de support sont variées, permettant une personnalisation en fonction des besoins
spécifiques.

29
Coût Modéré : Les coûts de maintenance sont généralement modérés, et le modèle de licence
est flexible (par appareil ou utilisateur).

❖ Inconvénients :
Complexité Moyenne : Bien que l'interface soit intuitive, l'intégration avec des systèmes variés
peut parfois poser des défis, surtout pour les configurations complexes.

❖ Impact Potentiel :
Infrastructure : Pour Jorf Lasfar, ClearPass pourrait être avantageux grâce à sa flexibilité et
sa capacité à s'intégrer avec des équipements de différents fournisseurs. Cette solution peut
aider à simplifier la gestion des politiques de sécurité et à améliorer la visibilité sur le réseau
sans nécessiter un changement majeur dans l'infrastructure existante.

[Link] FortiNAC
❖ Avantages :
Tarification Compétitive : FortiNAC est souvent cité pour ses coûts de maintenance plus bas
et son bon rapport qualité-prix, avec une interface utilisateur conviviale.

Simplicité et Communauté : L'interface est facile à utiliser et bénéficie d'un support

communautaire actif, ce qui peut réduire les besoins de formation.

❖ Inconvénients :
Capacités d'Intégration Limitées : Bien que FortiNAC offre des fonctionnalités solides de
visibilité et de contrôle, certaines intégrations avec des solutions tierces peuvent ne pas être
aussi développées que celles de Cisco ou Aruba.

❖ Impact Potentiel :
Infrastructure : FortiNAC peut être une option économique et efficace pour Jorf Lasfar,
surtout si le site utilise déjà des produits Fortinet. Cependant, des considérations doivent être
faites concernant l'intégration avec d'autres systèmes non Fortinet. Cette solution pourrait
simplifier la gestion des accès tout en offrant une bonne visibilité sur le réseau.

8. Choix de la solution NAC la plus appropriée

Après une analyse approfondie des solutions NAC disponibles Cisco Identity Services Engine
(ISE), Aruba ClearPass, et Fortinet FortiNAC ,il est recommandé de choisir Cisco Identity
Services Engine (ISE) ,pour le réseau LAN de Jorf Lasfar.

Justification :

• Fonctionnalités Avancées et Évolutives : Cisco ISE propose des fonctionnalités

30
 complètes pour la gestion des identités et des accès, la segmentation du réseau, et la
protection contre les menaces. Pour une infrastructure complexe comme celle de Jorf
Lasfar, ces fonctionnalités permettent une gestion centralisée et sécurisée, essentielle
pour assurer l'intégrité et la disponibilité du réseau.
• Intégration avec les Équipements Existants : L'infrastructure de Jorf Lasfar, déjà
équipée en partie par des technologies Cisco, bénéficie d'une intégration transparente
avec Cisco ISE. Cette compatibilité facilite l'administration et permet une meilleure
utilisation des ressources existantes, tout en réduisant les coûts d'intégration et de
formation.
• Support Technique et Sécurité : Cisco propose un support technique 24/7, crucial
pour une grande entreprise comme Jorf Lasfar, où la disponibilité et la sécurité des
systèmes sont des priorités absolues. Des services de support avancé sont disponibles
pour répondre rapidement aux incidents critiques, minimisant ainsi les temps d'arrêt et
les risques pour l'entreprise.
• Conformité et Gestion des Risques : Jorf Lasfar, en tant que grande entreprise opérant
dans un environnement complexe, doit respecter des normes strictes de conformité et
gérer efficacement les risques. Cisco ISE fournit les outils nécessaires pour la gestion
des accès et la surveillance continue, garantissant ainsi une conformité aux régulations
et une sécurité renforcée.
• Évolutivité et Flexibilité : Avec une infrastructure complexe et en constante évolution,
Jorf Lasfar a besoin d'une solution NAC capable de s'adapter aux changements. Cisco
ISE offre cette évolutivité, permettant d'intégrer facilement de nouveaux utilisateurs,
appareils, et sites, tout en maintenant une gestion centralisée et sécurisée.
En conclusion, Cisco ISE est la solution NAC idéale pour Jorf Lasfar en raison de ses capacités
avancées, de son intégration facile avec l'infrastructure existante, et de son support technique
robuste.

9. Conclusion
En conclusion, cette étude comparative a permis de mettre en lumière les forces et les faiblesses
des solutions NAC Cisco ISE, Aruba ClearPass, et Fortinet FortiNAC dans le contexte du
réseau LAN de Jorf Lasfar. Les critères d'évaluation tels que la sécurité, la compatibilité et la
facilité de gestion ont révélé que chaque solution possède des atouts spécifiques. Cependant, en
tenant compte des besoins uniques de notre infrastructure, Cisco ISE s'est distinguée comme la
solution la plus adaptée, offrant un équilibre optimal entre robustesse de la sécurité, flexibilité
d'intégration et efficacité opérationnelle

31
 4
Implémentation de Cisco ISE pour la
Gestion des Accès Réseau
1. Introduction
Ce chapitre se concentre sur l'implémentation et la configuration de Cisco Identity Services
Engine (ISE), en détaillant les étapes requises pour intégrer efficacement cette solution dans
l'infrastructure réseau. Nous examinerons les fonctionnalités principales de Cisco ISE, son
intégration avec Active Directory, ainsi que la gestion des équipements d'accès au réseau.
L'objectif est de fournir une compréhension approfondie du déploiement et de la configuration
de Cisco ISE pour répondre aux exigences de sécurité du réseau.

2. Architecture du réseau
Pour implémenter la solution, il faut utiliser deux équipements physiques et quatre machines
virtuelles, configurés comme suit :
• Équipements Nécessaires
Commutateur (Switch) : Modèle recommandé : Cisco Catalyst (par exemple, Catalyst 2960)
Rôle : Connecter les machines virtuelles et le point d'accès au réseau, tout en supportant les
protocoles nécessaires pour Cisco ISE tels que 802.1X et RADIUS.
Point d'Accès (AP) : Modèle recommandé : Cisco Aironet 1800 Series ou Catalyst 9100 Series.
Rôle : Fournir la connectivité sans fil aux utilisateurs et interagir avec le contrôleur du réseau
sans fil (WLC) pour l'application des politiques de sécurité.
• Machines Virtuelles Requises
Contrôleur de Domaine : Rôle : Gérer l’authentification centralisée via Active Directory pour
Cisco ISE.
Configuration : Windows Server, 4 CPU, 8 GB RAM, 100 GB de stockage.

32
Deux Instances de Cisco ISE : Rôle : Gérer les politiques de sécurité, l'authentification, et
l'autorisation avec une configuration en haute disponibilité (HA).
Configuration : Cisco ISE 3.x, 8 CPU, 32 GB RAM, 300 GB de stockage pour chaque instance.
Contrôleur du Réseau Local Sans Fil (WLC) : Rôle : Gérer les points d'accès et appliquer
les politiques de sécurité transmises par Cisco ISE.
Configuration : Cisco 9800-CL (VM), 4 CPU, 8 GB RAM, 50 GB de stockage.

Le déploiement s'effectue dans le réseau existant de l'entreprise. Ainsi, les adresses IP choisies
doivent correspondre au plan d'adressage en place. Les adresses utilisées seront donc issues du
réseau [Link] avec un masque de sous-réseau de [Link]. La figure ci-dessous
illustre l'architecture mise en place.

Figure 11:Architecture du réseau

33
 3. Installation et intégration de Cisco ISE et Active Directory
[Link] du contrôleur de domaine (Active Directory)
Active Directory est un service d'annuaire, ou contrôleur de domaine, qui permet de référencer
et d'organiser des objets tels que les comptes utilisateurs et les autorisations, en utilisant des
groupes de domaine. Les informations sont centralisées dans un annuaire, ce qui facilite
l'administration du réseau.
Le domaine est l'unité de base qui regroupe les objets partageant le même espace de noms, ce
qui signifie que notre domaine est basé sur un système DNS. Pour mettre en place ce domaine,
il est nécessaire d'ajouter deux rôles à Windows Server : le serveur DNS et le contrôleur Active
Directory.

Figure 12:Ajout des rôles DNS et Active Directory

3.2. Installation et intégration de deux plates-formes Cisco ISE

▪ Accès et Préparation de l'Environnement

L'installation de Cisco ISE a été réalisée sur l'un des serveurs de l'entreprise utilisant VMware
ESXi comme hyperviseur à l'aide de VMware vSphere Client.

La première étape consistait à télécharger l'image ISO de Cisco ISE sur le datastore du serveur.

▪ Configuration de la Machine Virtuelle

Pour chaque instance de Cisco ISE, il faut créé une machine virtuelle (VM) avec les
caractéristiques minimales suivantes :

Mémoire vive : 4 GB

Espace disque : 200 GB

34
Processeurs : 4 CPUs

Cartes réseaux : 2 NIC (Network Interface Cards)

▪ Installation de Cisco ISE

Lors du premier démarrage de la machine virtuelle, plusieurs informations ont été saisies pour
lancer l'installation de Cisco ISE :

Nom de la machine : ise-cisco2, qui sera ajouté ultérieurement au DNS et à Active Directory.

Adresse IP : [Link] (adresse IP privée de la machine)

Masque de sous-réseau : [Link]

Passerelle par défaut : [Link]

Nom de domaine : [Link]

Adresse IP du serveur NTP : [Link], utilisée pour synchroniser l'horloge de la plate-forme

avec un serveur NTP installé sur Windows Server.

▪ Intégration au Réseau

Après l'installation de Cisco ISE, la machine a été intégrée au réseau en étant reliée au DNS et
à Active Directory, permettant ainsi une gestion centralisée et sécurisée des accès au réseau.

Figure 13:Paramètres de configuration réseau lors de l'installation

La machine hébergeant la plate-forme ISE est appelée un "nœud" et peut fonctionner selon deux
modes :

35
Standalone : Un déploiement unique où une seule plate-forme assure tous les services.

Primaire-secondaire : Un déploiement distribué permettant la séparation des services et un

basculement ("failover") entre les deux nœuds.

Pour garantir une haute disponibilité, il est envisageable de déployer deux plates-formes ISE.
Leur intégration nécessiterait une authentification mutuelle basée sur des certificats, où chaque
nœud posséderait son propre certificat. Ces certificats devraient être générés par une autorité de
certification (Certificate Authority). Dans ce cas, l'autorité de certification pourrait être
représentée par le contrôleur de domaine, et la génération des certificats serait réalisée via le
service de certificats Active Directory.

Figure 14:Ajout des services de certificats Active Directory

L'ajout du certificat d'autorité de certification s'effectue manuellement. Nous l'avons téléchargé
à partir de l'interface Web et joint aux plates-formes pour assurer la reconnaissance des deux
certificats.

Figure 15:Importation du certificat de l'autorité de certification dans la plate-forme

L'étape suivante consiste à générer les demandes des certificats "Certificate Request" à partir de
l'ISE afin de les traiter au niveau du service des certificats Active Directory. Le fichier de la

36
demande est par la suite ouvert avec un éditeur de texte et son contenu est collé au service
approprié. Le modèle de certificat à choisir est "Serveur Web".

Figure 16: Génération du certificat par le service des certificats AD

Une fois chaque certificat ajouté à la plate-forme correspondante, il est possible de procéder à
leur intégration. L'enregistrement de la plate-forme secondaire auprès de la plate-forme
primaire nécessite la spécification de son FQDN ([Link]) ainsi que les données
d'authentification de l'administrateur. Il est important de noter que l'intégration des deux plates-
formes requiert une synchronisation de l'horloge via NTP.

Figure 17:Enregistrement du noeud secondaire

Le nœud peut assurer un ou plusieurs des services suivants :

Administration : Permet de gérer les configurations système liées à des fonctionnalités telles
que l'authentification et l'autorisation.

37
Monitoring : Fournit des services de journalisation ("logs") et des outils de dépannage avancés
("troubleshooting").

Policy Service : Offre des services tels que l'accès au réseau, la validation de posture, l'accès
des visiteurs ("Guests"), le provisionnement des clients, et le profilage.

Dans un déploiement visant la haute disponibilité, le nœud administratif primaire est le seul
nœud actif, où tous les changements sont effectués. Le nœud secondaire reste en mode attente
("standby") et reçoit continuellement la configuration du nœud principal, conservant ainsi une
copie complète de celle-ci.

Si le nœud primaire devient indisponible, l'administrateur doit se connecter à l'interface du

nœud secondaire et le promouvoir pour pouvoir continuer à configurer les règles.

[Link] des deux plates-formes au contrôleur Active Directory

L'intégration du contrôleur avec la plate-forme ISE est essentielle pour la phase
d'authentification. En effet, l'authentification peut être réalisée à partir d'une source externe en
utilisant les comptes utilisateurs et leurs groupes respectifs.

Pour cela, la plate-forme ISE doit être reconnue par le contrôleur en tant que machine. Son
FQDN ([Link]) doit également être résolu. Cela nécessite l'ajout d'un hôte
dans le serveur DNS, faute de quoi une alerte s'affichera sur la plate-forme.

Figure 18:Ajout des machines au serveur DNS

La requête de jointure requiert la saisie des coordonnées du compte de l'administrateur du
domaine ou celles d'un compte ayant les permissions d'ajout des machines et d'accès à la liste
des groupes et utilisateurs.

Figure 19:Ajout d'un groupe d'utilisateurs Active Directory à l'ISE

38
 4. Configuration de l'ISE
[Link]
Les politiques d'authentification définies dans Cisco ISE permettent d'identifier les utilisateurs
ou les machines tentant d'accéder au réseau en utilisant divers protocoles tels que le Password
Authentication Protocol (PAP), le Challenge-Handshake Authentication Protocol (CHAP),
l'Extensible Authentication Protocol (EAP) et le Protected Extensible Authentication Protocol
(PEAP). Lors de la création d'une règle, il est nécessaire de sélectionner les protocoles autorisés
pour la méthode d'authentification ainsi que la source des identités (Identity Store).

Les sources d'identité possibles incluent :

• Utilisateurs internes
• Utilisateurs invités (définis sur la plateforme)
• Terminaux internes
• Active Directory
• Bases de données LDAP
• Serveur de jetons RADIUS

Cisco ISE supporte trois méthodes d'authentification :

• 802.1X (expliqué dans le chapitre précédent)

• MAC Authentication Bypass (MAB) : utilisée pour les périphériques ne prenant pas
en charge 802.1X, comme les imprimantes réseau ou les téléphones IP, en se basant sur
leur adresse MAC.
• Authentification Web via un portail captif

Les règles d'authentification définies sont limitées aux deux premières méthodes. La première
règle vérifie l'existence des adresses MAC des périphériques dans la liste interne, et sera
également utile pour la troisième méthode, qui intervient lors de la phase d'autorisation. La
deuxième règle authentifie les comptes utilisateurs, d'abord via le contrôleur Active Directory,
puis à partir de la liste interne. En cas d'échec de l'authentification pour un utilisateur de
domaine, cette règle permet de tester avec un utilisateur local. Cela facilite le diagnostic de la
panne, qui pourrait être due à une erreur d'intégration avec Active Directory ou à une défaillance
de l'authentification basée sur le domaine.

39
 Figure 20:Règle d'authentification dot1x

Figure 21:Règle d'authentification MAB

La combinaison de ces deux stratégies assure que, même si un appareil ne prend pas en charge
l'authentification via 802.1X, il pourra toujours accéder au réseau grâce à l'authentification
basée sur l'adresse MAC (MAB). Ainsi, tous les appareils, qu'ils soient compatibles ou non
avec 802.1X, peuvent être authentifiés et contrôlés efficacement, offrant à la fois une sécurité
accrue et une flexibilité pour différents types de dispositifs sur le réseau de l'entreprise.

5. Configuration du Switch
Dans cette section, nous aborderons la configuration du commutateur, qui joue le rôle
d'authentificateur pour les utilisateurs du réseau filaire. Le commutateur agit en tant
qu'intermédiaire entre le serveur RADIUS (ISE) et le client. Au cours de la mise en œuvre de
notre solution, nous avons utilisé trois modèles différents de commutateurs : le Cisco Catalyst
3560, le Cisco Catalyst 3650 et le Cisco Catalyst 2960, en fonction de leur disponibilité et des
besoins spécifiques des employés de l'entreprise.

40
 Figure 22:Cisco Catalyst 3650
Pour accéder au commutateur, il est possible de se connecter directement via un câble console
ou à distance via SSH. Par défaut, le service SSH est désactivé sur le commutateur. Pour
l'activer, voici les commandes à utiliser :

• crypto key generate RSA : génère la clé de chiffrement.

• line vty 0 4 : permet jusqu'à quatre sessions d'accès à distance simultanées.

• transport input ssh : active le service SSH à la place de Telnet.

• username <nom d'utilisateur> password <mot de passe> : définit les informations

d'authentification.

Il est important de noter que les ports d'un commutateur peuvent fonctionner en différents
modes. Dans les sections suivantes, nous aborderons d'abord la configuration globale applicable
à l'ensemble du commutateur, puis nous passerons à la configuration des interfaces.

[Link] globale
La commande aaa new-model active les fonctions d'authentification, d'autorisation et de
comptabilité sur le commutateur. Les commandes suivantes définissent les services du serveur
RADIUS, chargé de l'authentification des utilisateurs, de l'attribution de profils basés sur les
ACL ou les VLANs, et du suivi de leur activité :

• aaa authentication dot1x default group radius

• aaa authorization network default group radius

• aaa accounting dot1x default start-stop group radius

41
Ensuite, il faut utiliser la commande dot1x system-auth-control pour activer le 802.1x sur
l'ensemble du commutateur. Une fois le AAA et le 802.1x activés, il devient nécessaire de
spécifier l’adresse du serveur RADIUS et la clé d'authentification avec la commande radius-
server host [Link] key OCP, où [Link] correspond à l'IP de Cisco ISE et "OCP"
est la clé utilisée lors de l’ajout du commutateur dans la liste des dispositifs réseaux d'ISE.

Les instructions pour l'application d'ACLs, l'attribution des interfaces VLAN ou encore la
redirection d'URL depuis Cisco ISE vers le commutateur passent par des attributs RADIUS
spécifiques appelés VSA (Vendor Specific Attributes). Pour activer ces fonctionnalités, il faut
utiliser les commandes radius-server vsa send accounting et radius-server vsa send
authentication.

La figure suivante illustre toutes ces commandes. Notez que la commande de déclaration du
serveur est répétée deux fois, la première pour le nœud principal et la seconde pour le nœud
secondaire.

Figure 23:Commandes globales saisies au niveau du Switch

Un utilisateur tentant d'accéder au réseau peut initialement se voir accorder un accès restreint
en raison de non-conformité, avant de recevoir un accès plus étendu. Cela implique l'attribution
de plusieurs profils d'autorisation au cours d'une même session. Pour permettre les
modifications de profil d'autorisation envoyées par Cisco ISE, la fonctionnalité Change of
Authorization (CoA) doit être activée sur le commutateur avec la commande aaa server radius
dynamic-author. De plus, l'adresse IP du serveur émettant les requêtes CoA doit être spécifiée
en utilisant la commande client <adresse-ip du serveur> server-key <clé du serveur>.

Figure 24:Activation du CoA au niveau du Switch

Lors de la définition des profils d'autorisation, il est possible de rediriger les utilisateurs vers
une page Web de portail captif pour l'authentification ou vers une page de téléchargement des
agents NAC. Dans ce cas, le commutateur intercepte le trafic HTTP et répond à la commande

42
GET avec l'URL spécifiée, envoyée par Cisco ISE au commutateur via les attributs VSA. Pour
permettre cette redirection, il est essentiel d'activer les services HTTP et HTTPS sur le
commutateur en utilisant les commandes ip http server et ip http secure-server.

Figure 25:Activation de HTTP et HTTPS

6. Conclusion
Ce chapitre a fourni une vue d'ensemble complète de l'implémentation de Cisco Identity
Services Engine (ISE), en détaillant les étapes de configuration et d'intégration avec Active
Directory. Bien que la phase de test n'ait pas pu être réalisée en raison de contraintes de temps
et de limitations matérielles, la configuration théorique décrite offre une base solide pour
déployer Cisco ISE et répondre aux exigences de sécurité du réseau. Des tests pratiques
ultérieurs permettront de valider et d'affiner ces configurations.

43
 Conclusion générale
Ce rapport de stage a porté sur le déploiement d'une solution Network Access Control (NAC)
pour sécuriser le réseau LAN de l'usine Jorf Lasfar, opérée par le groupe OCP. Après une
évaluation approfondie des principales solutions NAC disponibles Cisco Identity Services
Engine (ISE), Aruba ClearPass, et Fortinet FortiNAC nous avons choisi de focaliser sur Cisco
ISE en raison de sa robustesse et de sa compatibilité avec les besoins spécifiques de l'usine.

La comparaison détaillée des solutions a permis de mettre en évidence les forces et les faiblesses
de chacune, facilitant ainsi la décision en faveur de Cisco ISE. Cependant, bien que la
configuration théorique de Cisco ISE ait été élaborée, la phase de tests pratiques n’a pas pu être
réalisée en raison de contraintes de temps et de limitations matérielles.

En résumé, ce rapport a non seulement fourni une analyse comparative des solutions NAC, mais
a également présenté la mise en œuvre théorique de Cisco ISE. Les recommandations formulées
visent à améliorer la sécurité du réseau LAN de l'usine Jorf Lasfar, en attendant que des tests
pratiques soient effectués pour confirmer l’efficacité de la solution dans un environnement réel.

44
 Bibliographie
[1] "Comparing Network Access Control Solutions", disponible sur Gartner, (consulté le
04/09/2024).

[2] "Network Access Control (NAC) Technology Comparison", sur TechTarget, (consulté le
04/09/2024).

[3] "NAC Solutions Overview and Comparison", disponible sur Forrester, (consulté le
04/09/2024).

[4] "Cisco ISE vs Aruba ClearPass vs Fortinet FortiNAC: A Comprehensive Comparison", sur
Network World, (consulté le 04/09/2024).

[5] "OCP Group - Sécurité des Réseaux", sur Groupe OCP, (consulté le 04/09/2024).

[6] "Understanding NAC Technologies and Their Differences", disponible sur CSO Online,
(consulté le 04/09/2024).

[7] "Network Access Control Solutions: A Buyer’s Guide", sur Dark Reading, (consulté le
04/09/2024).

[8] "Comparing NAC Technologies: Cisco, Aruba, and Fortinet", disponible sur Infosecurity
Magazine, (consulté le 04/09/2024).

[9] "Cisco ISE - The Ultimate Guide", sur Network Computing, (consulté le 04/09/2024).

[10] "Comprehensive NAC Solution Review", disponible sur Security Today, (consulté le
04/09/2024)

45
Ce rapport présente le travail effectué durant mon stage au sein du
Groupe OCP, axé sur l'analyse et l'implémentation de solutions de
contrôle d'accès réseau pour l'infrastructure LAN de l'usine Jorf
Lasfar. L'objectif principal était d'examiner diverses solutions NAC
disponibles et de déployer celle la plus adaptée aux exigences
spécifiques de l'entreprise.

Le projet a commencé par une présentation approfondie du Groupe OCP, comprenant son
historique, sa structure organisationnelle, et ses besoins en matière de sécurité réseau. Cette
phase a été suivie d'une analyse détaillée des mécanismes de contrôle d'accès réseau.

Une étude comparative des solutions NAC, incluant Cisco Identity Services Engine (ISE),
Aruba ClearPass, et Fortinet FortiNAC, a permis de sélectionner Cisco ISE comme la solution
la plus appropriée. L'implémentation de Cisco ISE a comporté son intégration avec Active
Directory, la configuration des équipements réseau, et l'élaboration des politiques
d'authentification et d'autorisation.

En raison de contraintes de temps et de limitations matérielles, les tests pratiques n'ont pas pu
être réalisés. Cependant, une configuration théorique détaillée a été fournie, offrant une
perspective sur le déploiement et la gestion de Cisco ISE dans un environnement opérationnel.

Mots-clés : Solution NAC, Contrôle d'accès réseau, Cisco Identity Services Engine (ISE),
Aruba ClearPass, Fortinet FortiNAC, Sécurité réseau.

RACHYQ Meryem

Filière : Ingénierie des Systèmes d'Information et de Communication (ISIC)

3ème année Cycle Ingénieur

46