07 Septembre 2008    

La Lettre de mars 2006

Archives

Contrôle d'admission - NAC

Dossier - la lettre de mars 2006

CONTROLE D'ADMISSION - NAC (NETWORK ADMISSION CONTROL)  

On ne peut plus seulement vérifier l'identité de celui qui se connecte au réseau de l'entreprise. Il faut également vérifier que la machine utilisée est saine.
C'est le rôle du protocole NAC proposé par Cisco.

Qu'est-ce que NAC ?

NAC (Network Admission Control) est un protocole de communication proposé par Cisco.
Il s’appuie sur les services standards du réseau pour rajouter la connaissance de la posture de sécurité de la machine.
Beaucoup d'experts en sécurité, dont ceux de Cisco, considèrent désormais que le contrôle d’intégrité doit se faire sur le réseau.
C’est au moment où la machine demande l'accès au réseau qu'il convient de faire le contrôle. Il se situe dans l’équipement d’accès (switch, routeur...), au plus près de la source du risque ou de l’attaque.

Quel niveau de contrôle

NAC constitue une nouvelle phase dans la définition des critères d’accès au réseau. L'essentiel des contrôles d'accès était jusqu'alors concentré sur l’utilisateur (login avec mot de passe).
Les stratégies d’attaque ne dépendent plus seulement de l’action physique de l’utilisateur (ouverture d'un mail, accès à un site douteux....), mais dépendent aussi très souvent de sa machine qui est capable d'initier seule des processus malveillants.
Le contrôle d’admission c’est la capacité du système à faire :

  • un contrôle d’accès de l’utilisateur,
  • d'effectuer l’authentification de la machine,
  • de rajouter le contrôle de la posture de sécurité de la machine (état de sécurité).

Réaction à une attaque

C’est au moment de la connexion au réseau que l'on doit assurer le contrôle d’intégrité. Mais lorsque la machine est infectée, ou n'offre pas toutes les garanties de sécurité, que fait-on ?
NAC prévoit donc 3 séries d'action :

  • le contrôle d'admission de l'utilisateur et de sa machine,
  • la mise en quarantaine d'une machine non fiable,
  • la mise en oeuvre de contre-mesures.

Architecture NAC

Le dispositif met en scène 3 acteurs :

  • un serveur chargé de la politique de sécurité du réseau - Cisco Secure ACS (Access Contrôle Serveur)
  • un protocole de contrôle sur le point d'accès au réseau (PA WiFi, routeur, switch...),
  • un trust agent sur le poste de l'utilisateur (petite application).

 

Architecture NAC
Agrandir l'image

 
La politique de sécurité est définie par un responsable et paramétrée sur le serveur. Les critères requis sont classiquement :

  • les droits d'accès de l'utilisateur et de la machine (VLAN, applications...),
  • le niveau de mise à jour du système de la machine (ex. Windows XP SP2),
  • le niveau de mise à jour des dispositifs de sécurité individuels (antivirus, firewall...)

Procédure d'admission au réseau

Lorsqu'une machine tente de se connecter au réseau :

  • le point d'accès interroge le trust agent placé sur la machine et transmet la demande d'accès avec les informations sur sa posture de sécurité au serveur de politique de sécurité.
  • si la politique est conforme, le PC reçoit son adresse et accède à son VLAN,
  • si la machine n’est pas à jour, on la met dans un réseau de quarantaine où il n’y a personne.
  • on trouve dans cette zone de quarantaine un serveur de mise à jour (antivirus, patchs) capable de remettre la machine à niveau avant de pouvoir autoriser l'accès au réseau.

Il existe un mode de communication situé dans l’équipement d’accès et faisant un polling des clients et du serveur de politique. Le système peut donc également réagir à des événements intervenant pendant l'utilisation :

  • la machine change (par exemple l’utilisateur coupe l’antivirus),
  • la politique de sécurité change (par ex. mise à jour des VLANs),
  • la politique de l'antivirus change (par ex. mise à jour : il existe un protocole de discussion avec le serveur du constructeur d’antivirus HCAP),
  • on identifie une attaque quelque part dans le réseau (on peut alors décider de poser une commande NAC pour isoler une machine ou une zone).

Où installer NAC ?

95% des routeurs Cisco et 80 à 85 % des switchs installés chez les clients supportent déjà NAC. C'est un protocole ouvert, sans royalties. La présence d'éléments non conformes est prévue :

  • lorsque l'équipement n'est pas compatible NAC,
  • lorsque le client ne le manage pas (ex réseau WAN France Télécom qui manage le routeur),
  • le client ne contrôle pas les utilisateurs situés derrière les points d’accès (par exemple, les intervenants dans les hypermarchés, pour les promotions, la maintenance...).

    Lorsque NAC ne peut être installé sur le point d'accès et sur la machine, on dispose de 2 solutions :

    • on segmente le réseau. Les machines qui ne savent pas répondre aux interrogations de sécurité sont cantonnées dans une zone spéciale.
    • dans le cas d'un point d'accès étranger (non-compatible), une appliance peut être placée derrière, en tampon.


     
     
    Merci à Philippe Cunningham, responsable développement Sécurité, Cisco.
     
     


    • Les autres liens

    Recherche         
    fermer