nos newsletters
Abonnez-vous à Micro Hebdo : 4,90 €/mois
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à la version digitale
Abonnez-vous à 01Business et Technologies : 19 €/mois
Le NAC, un menu à la carte
Présenté comme la solution à tout faire pour le contrôle d'accès réseau, le NAC (Network Access Control) peine pourtant à décoller. La technologie recouvre en réalité plusieurs besoins et ce, de manière très différente.
Lorsque nous avions souhaité, lors de l'été 2007, réaliser une enquête de terrain sur les entreprises utilisatrices du contrôle d'accès réseau (NAC), les acteurs du NAC semblaient bien en peine de citer des références de clients
et celles que nous avions pu obtenir, bien qu'intéressantes, ne mettaient en ?"uvre qu'une portion réduite ?" et simple ?" de ce que le contrôle d'accès réseau autorise.
En théorie, le NAC permet de contrôler de manière fine qui se connecte au réseau de l'entreprise, mais également de déterminer la conformité du poste client à une politique de sécurité décidée par l'entreprise. Dans sa plus
simple expression, ce contrôle de conformité peut se contenter d'exiger, entre autres, la présence d'un pare-feu personnel, d'un antivirus à jour et des derniers correctifs de sécurité. Mais la technologie autorise des combinaisons, presque
infinies, de ces différents critères : un poste moins sécurisé pourra être autorisé à se connecter à des ressources moins critiques, mais se voir refuser l'accès à des applications critiques. Ou bien un niveau de sécurité inférieur pourra être
accepté des postes internes connectés sur le réseau LAN, tandis que les accès distants nomades devront être parfaitement sûrs.
Le contrôle de conformité suffit-il ?
Ce contrôle de conformité des postes clients semble peu enthousiasmer les entreprises. ' Tout le monde n'en a pas besoin. Une université aura par exemple essentiellement un parc d'invités, tandis qu'un
grand compte aura beaucoup de nomades : le profil de l'entreprise va lui dicter ses besoins en matière de contrôle d'accès réseau ', tempère Julien Steunou, responsable intégration pour l'opérateur britannique
BT.
Cependant, sans contrôle d'intégrité, ne se prive-t-on pas de l'essence même du NAC ? Pas nécessairement, répond Julien Steunou, en expliquant que la technologie NAC est surtout une matrice constituée en abscisse des
multiples besoins auxquels la technologie peut répondre au-delà du contrôle d'intégrité (voir encadré) et en ordonnée des trois points de contrôle où la solution peut se déployer.
Pre-connect : pour le contrôle d'accès
Le contrôle effectué avant que la connexion du client ne soit établie est essentiellement l'apanage du protocole 802.1x. ' On va établir le contrôle au niveau du commutateur Ethernet le plus souvent.
L'idée est d'être au plus proche du poste et ainsi, même une connexion de poste à poste passera par la solution NAC ', distingue Julien Steunou. Mais, bien que cela soit la solution la plus élégante sur le papier, elle a du
mal à s'imposer en dehors du monde des réseaux Wi-Fi. Notamment parce que sur le réseau LAN Ethernet, il lui faut gérer une multitude d'exceptions (par exemple, que faire d'une imprimante qui n'aura pas de client 802.1x ?) et qu'il exige en
pratique l'installation du Service Pack3 de Windows XP ou des clients Vista. Sans oublier qu'il sera peut-être nécessaire de changer les commutateurs jugés trop anciens.
Le contrôle effectué post-connexion consiste à laisser les machines se connecter au réseau et à récupérer une adresse IP par le biais du DHCP. Le filtrage se fera alors en coupure entre le réseau d'accès et le réseau de
ressources. Cette coupure sera effectuée par un pare-feu authentifiant, entre autres ?" du plus simple, qui se contente d'autoriser une adresse IP, mais qui sera moins sûr lorsque plusieurs utilisateurs partagent une adresse IP au plus
complexe, qui conservera des sessions uniques pour chaque utilisateur, mais exigera alors un agent sur les postes. ' Le plus compliqué ici est de pouvoir distinguer le réseau d'accès de celui des
ressources ', tient à mettre en garde Julien Steunou.
Des solutions qui devront aller de concert
Enfin, faire du NAC sur le poste de travail est essentiellement l'affaire de la conformité. ' Une telle solution devra souvent être secondée par d'autres si l'entreprise veut faire du contrôle d'accès. En
revanche, si le besoin n'est que de la conformité, on peut imaginer un poste client se mettant tout seul en quarantaine s'il estime ne pas répondre aux exigences de l'entreprise ', résume le responsable intégration.
Dans une telle carte de l'offre, il devient clair que le NAC ne peut s'envisager qu'en panachant diverses solutions et non comme une technologie unique.
Le NAC répond indistinctement à quatre besoins
Contrôle d'accès simple : qui se connecte au réseau ? On peut y appliquer des paramètres en fonction de l'origine (géographique ou réseau) et de l'heure de la connexion.
Gestion des habilitations : celle-ci est alors descendue au niveau du réseau et n'est plus prise en charge par les applications ou les ressources. Cela exige de clairement identifier les ressources et les
identités.
Contrôle d'intégrité des postes clients : ne peut s'envisager sans une solution de remédiation pour les postes détectés comme non conformes (VLAN dédié ou lien avec un outil de patch management).
Visibilité du trafic LAN vers LAN : si l'on a habituellement une bonne visibilité des trafics entre le LAN et l'extérieur, on a peu de traces dun client qui accède à un serveur interne. Or, cela devient
de plus en plus nécessaire face aux exigences de conformité.
envoyer
par mail
par mail
imprimer
l'article
l'article