Network Accees Control

Une dénomination difficile à porter. La première génération NAC (Network Access Control) ne s’est d’ailleurs pas imposée: la solution ayant été jugée plus pénible à déployer que le problème à résoudre, de nombreuses entreprises ont eu du mal à justifier l'investissement. Aujourd’hui, on reconsidère son rôle.

Comme le note fort justement Infonetics dans une récente étude sur le sujet, le NAC n’a de sens que si l’image des connexions au réseau est complète. Or, ce fut loin d’être le cas. Microsoft, par exemple, n’identifiait que les systèmes Windows connectés, mais aucune information sur les imprimantes, les commutateurs, les routeurs et la plupart des smartphones… D’une manière générale, les solutions NAC basées sur la norme 802.1x ne généraient des informations que sur les seuls dispositifs dotés d’agents 802.1x…

Les solutions NAC n'ont pas évolué en vase clos, mais pour répondre aux mutations qui se sont succédées depuis 2003: l’explosion de la complexité du réseau, la multiplication des technologies, l’extension du type d'utilisateurs, la sophistication des «end-points»…

Non seulement on a besoin de tout «voir» sur le réseau, mais pour plus de sécurité, on doit aussi tout «savoir». Il est important de pouvoir identifier les dispositifs sur base de leur adresse IP, leur adresse MAC, leur nom d'hôte, leur ID Machine… C’est désormais une nécessité. Rares, en effet, sont les organisations qui maîtrisent le nombre d’équipements connectés -un nombre souvent sous-estimé. En cause, le plus souvent, les smartphones.

Aujourd’hui, un responsable de la sécurité doit savoir quelles applications sont en cours d'exécution sur les réseaux. Pour certaines entreprises, c'est une question de conformité réglementaire, tels que la garantie que le peer-to-peer et les applications de messagerie instantanée ne sont pas en cours d'exécution. Pour d'autres, c'est une question de sécurité de base. L’OS est-il bien patché? L’antivirus est-il exécuté?
Est-il à jour, mis à jour?

De nombreuses organisations ont déjà déployé la gestion des correctifs et des vulnérabilités. Ces systèmes fonctionnent bien pour les environnements statiques et gérés de bout-en-bout. Mais l'environnement informatique moderne est caractérisé son évolution rapide, une connectivité omniprésente et une explosion du nom-
nombre de paramètres non gérés.

Il faut désormais pouvoir identifier les systèmes d'exploitation sur le réseau,
inspecter les registres des différents dispositifs, recueillir des informations détaillées sur les applications s'exécutant sur le périphérique, vérifier les mises à jour, les profils… Quid, en particulier des clés USB? N’ont-elles pas été exploitées pour propager le virus Conficker? N’a-t-on pas vu ce dernier désactiver la fonction de lecture automatique?

Autre exemple, les smartphones, dont la fente pour carte microSD, est un sésame pour les hackers. Mais aussi les webcams, rarement sécurisées. Relevons encore les portables avec modems 3G intégré, autre type de menace périphérique. Via une solution NAC avancée, on peut vérifier les droits de son propriétaire, s’assurer notamment qu’il n’a pas été licencié et, si nécessaire, «tuer» la connexion…

Même souci vis-à-vis des utilisateurs «invités». La gestion s’en trouve complexifiée tant il faut aujourd’hui une réelle granularité dans la définition et l'application des règles d'accès. Quels sont les droits de ce nouveau collaborateur indépendant dont la mission s’arrêtera dans six mois? Et ceux de cet auditeur, sur place pour une courte durée, mais qui a besoin d'accéder en profondeur? On l’a compris, il faut suffisamment de connaissances sur les utilisateurs et les dispositifs qu'ils utilisent.

On peut affiner cette gestion, notamment sur base des activités et des responsabilités: R&D, vente, finance, etc. Ou au départ de groupes, de communautés. Pour spécifier, par exemple, le type de dispositif autorisé par fonction, les applications qui devraient ou ne devraient pas être en cours d'exécution, etc.

Autre forme d’usage, la gestion du comportement des utilisateurs. Notamment pour rappeler à l’ordre dès qu’il y a violation des «policies». Un avis peut alors être envoyé… avant d’envisager des mesures plus radicales. En ce sens, le NAC ouvre de nouveaux champs d’action.

- Fournir un accès réseau à des utilisateurs «invités»
- Contrôler et gérer les usages sur le réseau
- Assurer la politique de sécurité antivirus, les niveaux de patch, les processus
- Générer des rapports de conformité
- Assainir les systèmes qui ne sont pas conformes
- Gérer le stockage amovible
- Rendre visible tout ce qui est sur le réseau
- Prévenir les activités malveillantes

Arkoon
Bradford Networks
Cisco
Enterasys
F-Secure
HP Procurve
Juniper Networks
McAfee
Microsoft
NetClarity
Novell
SonicWALL
Sophos
StillSecure
SkyRecon
Symantec
Trend Micro