Actualités
|
 |
Emploi
|
|
Start-up
|
|
Avis d'expert | |
Vidéos | |
Indicateurs
|
|
Distribution
|
|
Telecharger Pro
|
|
Livres blancs | |||||||||||||||||||||||||
Le NAC, un menu à la carte
par mail
l'article
Lorsque nous avions souhaité, lors de l'été 2007, réaliser une enquête de terrain sur les entreprises utilisatrices du contrôle d'accès réseau (NAC), les acteurs du NAC semblaient bien en peine de citer des références de clients et celles que nous avions pu obtenir, bien qu'intéressantes, ne mettaient en œuvre qu'une portion réduite – et simple – de ce que le contrôle d'accès réseau autorise.
En théorie, le NAC permet de contrôler de manière fine qui se connecte au réseau de l'entreprise, mais également de déterminer la conformité du poste client à une politique de sécurité décidée par l'entreprise. Dans sa plus simple expression, ce contrôle de conformité peut se contenter d'exiger, entre autres, la présence d'un pare-feu personnel, d'un antivirus à jour et des derniers correctifs de sécurité. Mais la technologie autorise des combinaisons, presque infinies, de ces différents critères : un poste moins sécurisé pourra être autorisé à se connecter à des ressources moins critiques, mais se voir refuser l'accès à des applications critiques. Ou bien un niveau de sécurité inférieur pourra être accepté des postes internes connectés sur le réseau LAN, tandis que les accès distants nomades devront être parfaitement sûrs.
Le contrôle de conformité suffit-il ?
Ce contrôle de conformité des postes clients semble peu enthousiasmer les entreprises. “ Tout le monde n'en a pas besoin. Une université aura par exemple essentiellement un parc d'invités, tandis qu'un grand compte aura beaucoup de nomades : le profil de l'entreprise va lui dicter ses besoins en matière de contrôle d'accès réseau ”, tempère Julien Steunou, responsable intégration pour l'opérateur britannique BT.
Cependant, sans contrôle d'intégrité, ne se prive-t-on pas de l'essence même du NAC ? Pas nécessairement, répond Julien Steunou, en expliquant que la technologie NAC est surtout une matrice constituée en abscisse des multiples besoins auxquels la technologie peut répondre au-delà du contrôle d'intégrité (voir encadré) et en ordonnée des trois points de contrôle où la solution peut se déployer.
Pre-connect : pour le contrôle d'accès
Le contrôle effectué avant que la connexion du client ne soit établie est essentiellement l'apanage du protocole 802.1x. “ On va établir le contrôle au niveau du commutateur Ethernet le plus souvent. L'idée est d'être au plus proche du poste et ainsi, même une connexion de poste à poste passera par la solution NAC ”, distingue Julien Steunou. Mais, bien que cela soit la solution la plus élégante sur le papier, elle a du mal à s'imposer en dehors du monde des réseaux Wi-Fi. Notamment parce que sur le réseau LAN Ethernet, il lui faut gérer une multitude d'exceptions (par exemple, que faire d'une imprimante qui n'aura pas de client 802.1x ?) et qu'il exige en pratique l'installation du Service Pack3 de Windows XP ou des clients Vista. Sans oublier qu'il sera peut-être nécessaire de changer les commutateurs jugés trop anciens.
Le contrôle effectué post-connexion consiste à laisser les machines se connecter au réseau et à récupérer une adresse IP par le biais du DHCP. Le filtrage se fera alors en coupure entre le réseau d'accès et le réseau de ressources. Cette coupure sera effectuée par un pare-feu authentifiant, entre autres – du plus simple, qui se contente d'autoriser une adresse IP, mais qui sera moins sûr lorsque plusieurs utilisateurs partagent une adresse IP au plus complexe, qui conservera des sessions uniques pour chaque utilisateur, mais exigera alors un agent sur les postes. “ Le plus compliqué ici est de pouvoir distinguer le réseau d'accès de celui des ressources ”, tient à mettre en garde Julien Steunou.
Des solutions qui devront aller de concert
Enfin, faire du NAC sur le poste de travail est essentiellement l'affaire de la conformité. “ Une telle solution devra souvent être secondée par d'autres si l'entreprise veut faire du contrôle d'accès. En revanche, si le besoin n'est que de la conformité, on peut imaginer un poste client se mettant tout seul en quarantaine s'il estime ne pas répondre aux exigences de l'entreprise ”, résume le responsable intégration.
Dans une telle carte de l'offre, il devient clair que le NAC ne peut s'envisager qu'en panachant diverses solutions et non comme une technologie unique.
Le NAC répond indistinctement à quatre besoins
Contrôle d'accès simple : qui se connecte au réseau ? On peut y appliquer des paramètres en fonction de l'origine (géographique ou réseau) et de l'heure de la connexion.
Gestion des habilitations : celle-ci est alors descendue au niveau du réseau et n'est plus prise en charge par les applications ou les ressources. Cela exige de clairement identifier les ressources et les identités.
Contrôle d'intégrité des postes clients : ne peut s'envisager sans une solution de remédiation pour les postes détectés comme non conformes (VLAN dédié ou lien avec un outil de patch management).
Visibilité du trafic LAN vers LAN : si l'on a habituellement une bonne visibilité des trafics entre le LAN et l'extérieur, on a peu de traces d'un client qui accède à un serveur interne. Or, cela devient de plus en plus nécessaire face aux exigences de conformité.
01net. - 01men - RMC - BFM Radio - BFM TV - TousLesPodcasts - 01informatique.fr - Association RMC-BFM