Network Accees Control. Où en êtes-vous?

Authentification renforcée, application de politiques de sécurité par utilisateurs, application et ressource réseau, vérification des mises à jour de sécurité et gestion d'un annuaire: le NAC (Network Access Control) c’est tout ça -une combinaison d'outils de protection déjà connus.

Pour Cisco, le NAC désigne un ensemble de méthodes communes liées au contrôle d'accès au réseau de l'entreprise. En matière de sécurité, ces méthodes doivent conduire à minimiser l'impact des programmes malveillants alors même que les entreprises tendent à être de plus en plus connectées… donc fragiles.

Objectif: d’une part contrôler les connexions distantes et, d’autre part, imposer des règles de sécurité selon les différents réseaux et les rôles des utilisateurs ou bien encore mettre à jour ses postes de travail et les nettoyer en cas d'infection, rappelle Symantec.

D’un acteur à l’autre, l’appellation peut changer. Soit autant de choix technologiques. Chez Juniper Networks, la plate-forme s'appelle UAC (United Access Control). Elle s’oppose au NAP (Network Access Protection) de Microsoft et au SNA (Secure Network Access) de Nortel. Deux initiatives de plates-formes de sécurité réseau communes restent neutres: la Trusted Computing Group et l'initiative Trusted Network Connect.

Le contrôle d’accès au réseau côté client est une solution strictement logicielle qui n’exige aucune modification d’éléments d’infrastructure: il s’agit de s’assurer que la machine de l’utilisateur respecte les politiques de sécurité et qu’elle n’est pas infectée pour lui accorder l’accès. Simple? En aparence.

Si 40% des entreprises ont tenté de mettre en oeuvre une solution NAC, estime Forrester Research, seulement 4% d’entre elles ont mené l’installation à terme. En cause, la complexité, la difficulté à faire évoluer la solution et son coût, critique McAfee. Qui épingle par ailleurs la nécessité aux entreprises de modifier leur réseau, leurs règles et leur façon de travailler.

Pour l’éditeur Sophos, les solutions de première génération ont vite montré leurs faiblesses. A l’entendre, elles étaient basées sur un modèle voué à l’échec dans la mesure où il ne respectait pas l’expertise et la responsabilité des différents groupes de l’organisation. Le «NAC 1.0» a également été incapable de réagir suffisamment vite face aux menaces et à l’évolution rapide ou pour satisfaire les besoins d’une force de travail de plus en plus mobile.

En déterminant le niveau d’accès approprié, on peut aller au-delà de la simple identité et du rôle de l’utilisateur et s’appuyer sur l’identité de la machine, le lieu d’accès, la méthode d’accès, l’heure, l’état et le statut de sécurité du dispositif, les menaces émergeantes et les réponses disponibles face à ces menaces.

Les politiques d’autorisation qui en ressortent se fondent sur les informations en temps réel de plus en plus fréquentes sur les mises à jour de sécurité. Décider si un ordinateur est entièrement sécurisé nécessite de disposer des informations nécessaires sur les correctifs de sécurité disponibles. Savoir si la protection anti-malware d’un ordinateur invité est à jour signifie que le système doit non seulement connaître le produit anti-virus choisi, mais également de savoir en permanence quelles mises à jour ont été publiées en matière de détection des menaces par chaque éditeur d’antiu-virus.

Se tenir au courant des menaces émergeantes et des réponses disponibles est essentiel pour déterminer les autorisations. Aujourd’hui, les meilleures solutions NAC d’extrémité évoluent pour permettre une gestion et un contrôle efficaces des autorisations et un contrôle efficaces des autorisations d’accès.

Aujourd’hui encore, gestion des identités (IAM) et contrôle d'accès réseau (NAC) sont deux mondes différents, gérés par des équipes qui ne communiquent que très peu… Pourquoi ne pas envisager d'oublier ces notions distinctes de contrôle d'accès au réseau et aux applications au profit d'un unique contrôle d'accès aux «ressources IT» dans leur ensemble, propose Juniper Networks.

Se pose alors, bien entendu, de savoir qui, dans l'entreprise, sera responsable de ce contrôle d'accès unique. Les métiers ou l’IT? Le modèle de workflow proposé par l'IAM pourrait offrir une piste de réponse: l’IT gère l'outil de workflow et les métiers - qui sont au plus près de l'utilisateur- s'occupent des habilitations.

Reste à faire communiquer IAM et NAC afin que les informations liées aux profils de l'un enrichissent les règles de l'autre. Sur le papier, ça tient. En pratique, nous en sommes loin. Une passerelle standardisée entre les deux n'est pas encore à l'ordre du jour. Toutefois, l'intérêt d'une telle collaboration entre des pièces aussi rationnelles et aussi critiques de la sécurité mérite très certainement réflexion.

C'est le réseau qui détecte les connexions des postes clients, avec lesquels il doit donc dialoguer. Pour ce faire, Cisco implémente la technologie NAC sur chacun des équipements. Alors que chez Microsoft, NAP sollicite des mécanismes standards, déjà mis en oeuvre sur des équipements existants, des serveurs DHCP, des passerelles de VPN ou Terminal Services. NAP peut aussi reposer sur les équipements compatibles NAC. Il s'agit là d'un premier point d'interopérabilité entre les deux technologies.

Un volet serveur est dédié à l'orchestration de l'architecture et plus spécialement à la définition et à l'application de la politique de sécurité. Chez Cisco, ces fonctions sont confiées à deux «appliances» -NAC Server et NAC Manager. Chez Microsoft, elles sont prises en charge par un serveur NAC, inclus dans Windows Server 2008.
Enfin, les postes clients doivent eux-mêmes être équipés d'agents NAC ou NAP, qui dialoguent avec leurs homologues serveurs et qui, le cas échéant, exécutent un processus de remédiation.

Chez Microsoft, seuls les PC sous Windows Vista et XP SP3 en sont dotés. Mais des éditeurs tiers fournissent des agents NAP pour Linux, Unix et MacOS. De son côté, Cisco propose des agents pour la plupart des systèmes. Enfin, une infrastructure NAC peut aussi s'appuyer sur des PC équipés d'agents NAP. C'est le second point d'interopérabilité entre les deux technologies.

La technologie n’est pas tout. Le projet suppose la capacité de classer ses utilisateurs par groupes et définir les politiques d'accès adéquates. Or, à écouter les intégrateurs, les clients identifient le plus souvent leur risque le plus élevé et structurent leur infrastructure NAC pour s'en protéger, sans créer une hiérarchie de menaces plus large...

Autre pré-requis: se préparer à supporter l'authentification 802.1x, un standard utilisé par la plupart des technologies NAC comme base pour appliquer des politiques de contrôle d'accès au réseau. Le standard est notamment supporté par Microsoft dans les dernières moutures de Windows, mais il est aussi de plus en plus intégré aux périphériques réseaux tels que les téléphones IP...


Utile: tout démarrer en mode «observation» afin d'évaluer quel pourcentage de PC et portables ne se conforme pas aux politiques d'accès. En effet, le risque d'activer NAC en mode opérationnel sans être passé par une phase d'observation est de se retrouver avec une grande proportion d'utilisateurs coupée du réseau…

Enfin, ne pas tout attendre du NAC. Les solutions ne couvrent pas toutes les situations. Il y a aura toujours des exceptions. Le succès des architectures NAC repose avant tout sur la coopération entre vendeurs, car nombre d'entreprises ont des réseaux hétérogènes et ne sont pas prêtes à les confier à un seul fabricant. Au besoin, faire pression sur les fournisseurs pour régler les différents problèmes.

1- Contrôle d'accès simple - En somme, qui se connecte au réseau? On peut y appliquer des paramètres en fonction de l'origine (géographique ou réseau) et de l'heure de la connexion.



2- Gestion des habilitations - Descendue au niveau du réseau, elle n'est plus prise en charge par les applications ou les ressources. Cela exige de clairement identifier les ressources et les identités. 



3- Contrôle d'intégrité des postes clients – Possible, mais envisager avec une solution de remédiation pour les postes détectés comme non conformes (VLAN dédié ou lien avec un outil de patch management).



4- Visibilité du trafic LAN vers LAN - Si l'on a habituellement une bonne visibilité des trafics entre le LAN et l'extérieur, on a peu de traces d'un client qui accède à un serveur interne. Or, cela devient de plus en plus nécessaire face aux exigences de conformité.

Cisco l'a inventé, Microsoft le réussit! La dernière étude de Forrester Research sur les principaux vendeurs de solutions de Network Access Control (septembre 2008) salue la qualité de l'offre de Microsoft. Mieux! le cabinet la positionne devant Cisco et Juniper.

Dix acteurs sous la loupe, 73 critères d’évaluation. Microsoft arrive en tête. Même si l’offre NAP (Network Access Protection) est sortie après le NAC de Cisco, aujourd’hui la plus reconnue, Microsoft a su s'imposer rapidement. Point fort, son réseau de partenaires étendu dont les diverses solutions interopèrent avec NAP. La base de clients de Windows Server, d'Active Directory et de System Center Configuration Manager n'est évidemment pas étrangère à ce succès…

Cisco, Juniper Networks et Bradford Networks suivent de près. Les deux premiers disposent d'une offre NAC mâture sur le plan technologique, facile à administrer et d'utilisation aisée. Un support de différentes méthodes de contrôle et la capacité de s'étendre à des parcs importants de machines valent à la solution NAC Director de Bradford Networks de figurer dans le peloton de tête. Forrester Research loue également la stratégie de cet éditeur peu connu, centré sur l'intégration du NAC dans des environnements virtualisés et avec des solution d'IAM (Identity and Access Management).

Dans la catégorie des solutions NAC logicielles, Symantec, McAfee et StillSecure se distinguent.

Bradford Networks
Cisco
Enterasys
F-Secure
HP Procurve
Juniper Networks
McAfee
Microsoft
NetClarity
SonicWALL
Sophos
StillSecure
SkyRecon
Symantec

Une offre mondiale de services gérés dédiée au NAC: un pari sur l'innovation qui peut profiter au NAC comme à l’opérateur spécialisé.

Pour l'heure, seul Cisco NAC est intégré à la plate-forme de gestion de sécurité de Verizon Business. Le support de solutions tierces NAC est annoncé, sans qu'un agenda soit d'actualité. A terme 17 différentes solutions doivent être intégrées. On attend notamment sa position vis-à-vis de NAP. Microsoft étant maître sur le poste client, l'agent NAP aurait tendance à devenir l'agent de facto dans les déploiements NAC. Ce qui nécessite que Verizon Business évalue l'interopérabilité réelle de l'agent NAP avec les solutions NAC du marché.

En offrant un tel service, l’opérateur ne manquera pas de populariser le NAC. Le recours aux services gérés est sans nul doute la solution la plus simple pour aborder le NAC. Aujourd’hui encore, estime l’opérateur, les entreprises reconnaissent avoir du mal à cerner le périmètre et l'ensemble des usages.

Etant le seul MSSP (Managed Security Services Provider) positionnés sur le NAC, Verizon Businerss se donne une chance de pénétrer de nouveaux comptes et, une fois dans la place, de placer ses autres services de sécurité.