Composantes d'une architecture NAC :

Malgré l'hétérogénéité des solutions de NAC, on peut distinguer différents éléments composant une architecture NAC : système d'extrémité, le système d'évaluation, le système de contrainte.

Le système d'extrémité (end points) :

L'élément de base qui est constitué par la machine physique qui souhaite accéder à des ressources, appelé ici système d'extrémité. C'est à partir de ce composant (poste de travail, imprimante, téléphone, etc.) que les informations relatives à l'authentification et à la conformité doivent être récupérées, aussi bien à la demande de connexion que de manière régulière durant la connexion.

Identification ET authentication:

Afin de connaître l'identité d'une entité (personne, ordinateur ) et, dans certains cas, valider l'authenticité de cette identification, plusieurs méthodes sont disponibles parmi lesquelles :

  • Utilisation de l'adresse MAC (Media Access Control) :

Ici, seule l'adresse MAC du système d'extrémité est utilisée pour l'identification. Sa mise en Ouvre est facile et peut se faire par exemple avec l'utilisation des requêtes DHCP (Dynamic Host Control Protocol). Il nécessite néanmoins la mise en place d'une base renseignée de toutes les adresses MAC autorisées à se connecter sur le réseau. Cette technique ne protège pas de l'usurpation d'identité, en forgeant son adresse MAC un utilisateur pourrait se faire passer pour une imprimante. Des techniques de prise d'empreinte du système d'exploitation peuvent limiter ce problème en associant et en vérifiant ces informations liées aux adresses MAC de la base.

  • Portail Web :

L'authentification à l'aide d'une page Web sécurisée, tels les portails captifs, avec pour l'avantage d'être accessible à tous les utilisateurs possédant un navigateur Web. En revanche, cette solution n'est pas envisageable pour les autres systèmes d'extrémité, les imprimantes par exemple.

Conformité :

Le but est de récupérer des informations sur l'état du système d'extrémité. Deux possibilités sont envisageables, avec un agent embarqué sur le poste utilisateur ou sans agent. Avec la solution à base d'agents, il faudra prendre en compte le temps d'exécution, la charge CPU, le niveau de sécurité des échanges agent/serveur et la méthode de déploiement de ces agents. Sans agent, le temps d'exécution est relativement long (scanner de vulnérabilités), ce qui peut contraindre à évaluer la conformité après la connexion.

Le système d'évaluation (Policy Decision Point)

Cet élément de l'infrastructure est crucial pour une politique de sécurité. À partir des informations recueillies sur le système d'extrémité, des informations sur la méthode d'accès (réseau filaire, sans-fil, VPN ou Virtual Private Network), mais aussi à l'aide d'informations sur le lieu où le moment de la demande d'accès, le système d'évaluation va décider d'un contexte de connexion en accord avec la politique de sécurité.

Un exemple simple de système d'évaluation serait l'utilisation des adresses MAC (Media Access Control) des systèmes d'extrémité pour déterminer leur VLAN (Virtual Local Area Network) d'appartenance, le choix de la mise en quarantaine serait fait si l'adresse MAC est inconnue.

Le système de contrainte (Enforcement)

C'est l'ensemble des éléments de l'infrastructure réseau permettant de détecter la demande d'accès au réseau et d'appliquer les décisions du système d'évaluation.

Les actions classiques mises en Suivre par le système de contrainte sont les suivantes:

  • positionner le système d'extrémité dans un VLAN particulier.
  • mettre en place des contrôles d'accès aux niveaux 2,3 ou 4 sur les équipements de bordure (commutateurs d'extrémité) ou plus près du Sur du réseau (routeurs, pare­feu, proxy), gérer la qualité de service, la bande passante.

Utilisation d'un serveur dédié

Ce serveur sera positionné en coupure, et capturera l'ensemble des paquets.

  • Avantages : facilité de déploiement, gestion centralisée.
  • Difficultés : cela peut créer un SPOF (Single Point Of Failure), adaptation à la montée en charge difficile.
  • Risque : les systèmes d'extrémité ont déjà un accès au réseau (ils se voient entre eux).

Utilisation du protocole 802.1X

Protocole d'accès au réseau, le 802.1X utilise EAP (extensible authentication Protocol) pour transporter les informations d'authentification entre le client et le serveur . Il est implanté aujourd'hui dans la plupart des équipements réseau, commutateurs et points d'accès sans-fil. Si l'authentification est valide, il est possible de modifier la configuration des ports du matériel réseau au travers d'attributs, le VLAN par exemple.

  • Avantage : isolation au plus près de la demande d'accès.
  • Difficultés : capacité des matériels existants, il faut un client sur le système d'extrémité, choisir la méthode d'authentification telle que EAP­MD5 (EAP­ Message Digest 5), EAP­TLS (EAP Transport Level Security), PEAP (Protected Extensible Authentication Protocol).
  • Risque : Dépendant de l'authentification utilisée (ex: EAP­MD5 est à éviter).

Le système de mise en conformité

Dans le cas où le système d'extrémité n'a pas été jugé compatible avec la politique d'accès (manque de correctifs de sécurité, pas d'antivirus, échec de l'authentification, etc.), il est nécessaire de prévoir un contexte réseau où le système pourra se mettre en conformité (mise à jour système, possibilité de télécharger un anti­virus, une base de signature à jour , demande de compte d'accès). Cette action de mise en conformité est parfois appelée « remédiation ».

La technique la plus communément employée est l'utilisation d'un VLAN spécifique redirigeant le trafic vers un portail captif Web qui doit guider l'utilisateur dans sa mise en conformité. On peut alors rencontrer quelques difficultés :

  • gérer les matériels sans navigateur Web (imprimante).
  • habituer l'utilisateur à ouvrir son navigateur en cas de soucis, même s'il ne souhaitait qu'utiliser son client de messagerie par exemple.
  • personnaliser la page Web en fonction du problème spécifique.

En plus de ces difficultés, un problème de sécurité est généré en positionnant dans le même réseau des machines potentiellement fragiles. Premièrement, il y a un risque de contamination mutuelle, deuxièmement, ce réseau peut être utilisé par un attaquant pour trouver des machines vulnérables.

results matching ""

    No results matching ""