Dominique CASTAN a plus de 15 ans d’expérience dans le domaine de la sécurité. Il a été chef de produit sécurité chez Evidian où il a développé l’offre IAM (AccessMaster) et SSO (WiseGuard). Outre son activité de développement de l’offre, Dominique a participé à de nombreuses avant-ventes et missions de conseil en gestion des identités et des accès, IGC et Workflow des habilitations auprès de grands clients français et étrangers. En 2007, il intègre le pôle Conseil & Audit en Réseau et Sécurité du SI comme consultant sécurité. Dominique intervient sur des missions de conseil et d’audit en SSI et plus particulièrement sur des analyses de risques et de l’assistance aux maîtrises d’ouvrage dans les aspects organisation de la sécurité du SI.

Les menaces viennent de l’extérieur et de l’intérieur ; ces dernières sont très coûteuses

Une des méthodes particulièrement utilisée aujourd’hui pour attaquer un réseau d’entreprise est de s’en prendre aux stations de travail situées à sa périphérie. Par exemple, les postes de travail des utilisateurs nomades sont de formidables vecteurs d’attaque pour les hackers. Selon Kaspersky Lab, lors du 1 er semestre 2007, plus de 2 000 nouveaux programmes malveillants apparaissent en moyenne chaque mois pour contourner les protections les plus avancées.

Mais les risques les plus importants viennent de l’intérieur du réseau et sont le fait d’employés ou de sous-traitants malveillants. Selon le Computer Security Institute (CSI), le coût moyen d’une attaque interne est de 2,7 M$ contre 57 K$ pour une attaque externe. C’est à l’intérieur de l’entreprise que les données sensibles sont le plus facilement accessibles. De fait, les personnes connectées au réseau interne sont les plus à même de juger de la valeur des données et de les exploiter si elles y accèdent.

Le NAC : une solution pour limiter les risques d’attaques

Au-delà des technologies de type anti-virus ou de détection d’intrusion (IDS/IPS), les entreprises s’intéressent maintenant à des solutions qui associent l’état de la sécurité des points d’accès, les identités des utilisateurs et les conditions d’accès aux réseaux .

Dans ce contexte, un produit intégrant une fonction NAC est adapté pour limiter les risques d’attaques en répondant aux besoins suivants :

• Savoir par où ‘entre’ le poste de travail (réseau interne, accès VPN, filiale, partenaire),
• Authentifier correctement le poste de travail et son utilisateur,
• Mettre à jour le poste conformément à la politique de sécurité (signatures anti-virus, services pack et fixes de l’OS, etc.),
• Accéder à tout ou partie du réseau en fonction d’un profil de sécurité,
• Assurer la sécurité des accès des postes non maîtrisés (invités et partenaires),
• Suivre les accès de façon détaillée et exploitable par des tableaux de bord.

Un marché en pleine expansion

Selon IDC, le marché du NAC est en très forte croissance puisqu’il va passer de 526 millions de $ en 2006 pour atteindre 3,2 milliards de $ d’ici fin 2008. Sur ce marché les appliances vont se tailler la part du lion avec un chiffre d’affaires qui va être multiplié par 8,5 sur cette période.

Un marché qui reste divisé

Encouragés par des prévisions de forte croissance, de nombreux éditeurs et équipementiers s’engouffrent sur le marché du NAC. La majorité d’entre eux se présente comme fournisseur d'une solution complète ou d'un composant majeur du NAC. Toutefois, quatre types d’offres sont actuellement disponibles sur le marché :

• Les offres focalisées sur la ‘pré-admission’ au réseau, orientées analyse de la posture de la station de travail. Avant l'admission d'un PC au réseau, ces solutions permettent de détecter et de vérifier sa conformité et ses vulnérabilités. Elles contrôlent que l’utilisateur est bien reconnu, que son poste appartient à la société, que ses signatures antivirus sont à jour, que les clés de registre sont conformes, etc. Les plus en vue sont Symantec (Network Access Control), LockDown (Network Enforcer) et Sophos (NAC Advanced).
• Les offres qui veulent tirer parti du réseau lui-même et des capacités de filtrage des routeurs et commutateurs. Il s’agit des équipementiers réseaux. Ils offrent des moyens pour réorganiser la sécurité aux frontières du réseau de l’entreprise et pour réaliser du contrôle à l'intérieur du réseau lui-même. Pour cela, ils mettent en avant une politique d'accès aux ressources qui soit configurable dynamiquement en fonction de profils, du niveau de sécurité du poste et du moyen utilisé pour accéder au réseau. Les plus en vue sont Cisco (CNAC Appliance), Juniper (UAC Infranet) et Enterasys (Sentinel NAC),
• D’autres prônent la politique de sécurité et non la topologie du réseau pour définir le périmètre et le cloisonnement du réseau. Il s’agit de se présenter comme celui qui offre ‘la surcouche santé des réseaux’ de l’entreprise. C’est le cas de Microsoft avec sa solution NAP (Network Access Protection), qui arrive aussi sur ce marché. Son offre n’est pas encore complètement disponible car elle nécessite Longhorn Server qui devrait être annoncé en standard d’ici juin 2008. La stratégie de Microsoft est de passer des accords de partenariat avec des vendeurs d’anti-virus et d’équipements réseaux, pour offrir une solution d’administration de la politique de sécurité et le contrôle de posture des stations Vista et XP.
• Les solutions Open Source sont surtout orientées vers l’administration du réseau. Elles sont davantage des ensembles de briques avec une couverture assez limitée. Et plutôt réservées aux intégrateurs qui veulent répondre à des besoins bien ciblés comme par exemple, assurer la sécurité d’un réseau de serveurs ou contrôler l’intégrité d’un ensemble de fichiers sur différents systèmes. Les plus en vue sont les solutions FreeNAC et Open Source Tripwire.

Une tentative de standardisation

Le consortium TCG (Trusted Computing Group) pousse, avec TNC (Trusted Network Connect), l’interopérabilité des différents vendeurs en se basant sur le protocole d’authentification 802.1x⁸ (niveau 2 pour les commutateurs et appliances , ainsi que l’interopérabilité de leurs différents composants). Ses leaders sont notamment : Juniper (UAC Infranet), Nortel (Secure Network Access), HP (Procurve) et StillSecure (Safe Access).

Les services de sécurité offerts par le NAC

Un produit NAC offre les services de sécurité suivants :

• Administration centralisée des politiques de sécurité (règles d’accès en fonction de rôles utilisateurs, tableaux de bord, etc.),
• Détection de la connexion d’un poste ou d’un serveur en périphérie ou au cœur du réseau,
• Authentification des utilisateurs et des postes de travail au niveau 2 (couche liaison) ou au niveau 3 (couche réseau) du modèle OSI,
• Analyse de la posture des stations de travail (signatures anti-virales, niveaux des correctifs de l’OS, valeurs des clés de registre, configuration des firewalls , etc.),
• Mise en quarantaine et réparation ( remediation ) des postes non conformes,
• Provisioning dynamique des règles de contrôle d’accès aux firewalls , appliances et commutateurs réseaux,
• Contrôle d’accès au réseau en fonction de règles offrant la capacité de bloquer des ports réseaux ou d’assigner des VLAN de quarantaine ou de production,
• Audit de l’activité des éléments se connectant aux différents réseaux, des conformités et des vulnérabilités des points d’accès.

Les composants du NAC : End-Point , Decision-Point et Enforcement-Point

Le End-Point est constitué d’un agent NAC, d’une Applet ou d’un Control ActiveX . C’est un client qui s’installe ou se télécharge sur le poste de travail. Il est non intrusif et effectue le contrôle de la posture et des vulnérabilités du poste de l’utilisateur.

Le Decision-Point est constitué d’une appliance d’administration servant également de relais vers un serveur d’authentification (Radius, Active Directory, autre annuaire). Cette appliance permet d’administrer les politiques de sécurité, de contrôler les postures et vulnérabilités, d’authentifier les postes et les utilisateurs et de prendre les décisions d’accès. Optionnellement, elle peut être associée à des serveurs d’anti-virus tiers. Le Decision-Point propage les décisions d’accès aux équipements en périphérie ou à l’intérieur du réseau.

L’ Enforcement-Point est constitué d’une appliance ou d’un commutateur permettant la prise en compte des décisions d’accès. Ce type d’ appliances est généralement à l’intérieur du réseau (mode In-Band ) et les commutateurs en périphérie (mode Out-Of-Band ).

Le NAC du point de vue de l’utilisateur

Le schéma présente un exemple de contrôle d’accès du poste de l’utilisateur aux applications de l’Intranet en fonction de politiques de sécurité.

Le NAC du point de vue de l’utilisateur

Lorsque l’utilisateur tente de se connecter au réseau filaire ou WiFi (1), son accès est bloqué par un commutateur en périphérie du réseau. Une appliance , l’ Enforcement-Point , redirige l’utilisateur vers une page de Login pour la saisie de son identifiant et de son mot de passe. L’ Enforcement-Point transmet ensuite le couple ‘identifiant/mot de passe’ à l’appliance Decision-Point . Cette dernière vérifie identifiant et mot de passe auprès d’un serveur d’authentification tiers (Radius ou LDAP).

Lorsque l’authentification est réussie, le Decision-Point retourne à l’ Enforcement-Point le profil de l’utilisateur et les consignes de sécurité à appliquer. La vérification du poste et l’évaluation de ses vulnérabilités (2) sont effectuées par l’agent NAC de l’ End-Point .

Si le poste n’est pas conforme à la politique de sécurité (3a), il est isolé dans une zone de quarantaine. L’accès de l’utilisateur est alors limité au serveur de Remédiation qui va distribuer les mises à jour des signatures d’antivirus ou les mises à niveau de l’OS.

Une fois la Remédiation effectuée avec succès, en fonction du profil de sécurité de l’utilisateur, l’ Enforcement-Point (3b) autorise le poste à accéder à un VLAN de production, à un VLAN ‘utilisateur’ dédié aux collaborateurs de l’entreprise ou à un VLAN ‘invité’ pour accueillir les utilisateurs externes à l’organisation.

Exemples de projets NAC  : ‘nomades’, ‘stations de travail’ et ‘portails invités’

Des déploiements sur des périmètres précis et bien maîtrisés voient le jour. Les projets de PC ‘nomades’ sont souvent déployés en premier. En effet, ils impactent moins l’exploitation. Il s’agit de protéger les accès distants basés sur des liaisons de type VPN SSL ou IPSec. Notons que le NAC est dédié à sécuriser le réseau d'entreprise des accès non autorisés et à protéger les communications. Des solutions complémentaires sont recommandées pour assurer la protection du poste de travail mobile lui-même : anti-virus et firewall personnel, authentification forte, chiffrement des données disque dur, etc.

Les projets ‘station de travail’ de type LAN ou WiFi, plus au cœur du réseau de l’entreprise sont plus complexes à mettre en œuvre. En effet, il faut réviser les procédures d’exploitation et souvent passer par une phase préliminaire. Ces projets se focalisent sur l’accès aux VLAN de production, les campus sans fil et les ressources centralisées accessibles à partir des succursales d’entreprise.

Les projets de ‘portails’ Web pour les accès des invités et des partenaires externes sont également très demandés. Ils permettent la création sécurisée de comptes invités. Après acceptation des conditions générales d’utilisation, ils offrent des accès restreints.

Les avantages du NAC

Il permet :

• De contrôler de façon granulaire qui a accès à quoi,
• D’adapter la politique de sécurité en fonction des lieux d’accès, des postes maîtrisés (employés) ou non maîtrisés (sous-traitants, invités) et des méthodes d’authentification déployées,
• D’auditer de façon détaillée afin d’émettre des rapports et des alertes. Celles-ci sont alors utilisées pour surveiller les systèmes d'extrémité et les accès aux différents cloisonnements des réseaux internes,
• De diminuer les coûts de déploiement de la sécurité réseau en offrant une administration centralisée. Pour simplifier les tâches d’administration, la politique de sécurité du NAC s’appuie sur les rôles utilisateurs et habilitations déjà définis dans les annuaires d’identités de l’entreprise,
• D’être transparent pour les utilisateurs en s’intégrant au login Windows ou à une solution de Single Sign-On (SSO),
• D’assurer une mise à jour automatique des postes de travail (signatures, patches OS, clés de registre, etc.),
• D’assurer une mise à jour des décisions d’accès vers les équipements qui lui sont compatibles comme des firewalls ou des commutateurs d’accès.

Des faiblesses qui freinent encore son déploiement

La principale faiblesse du NAC découle de l’absence de standards clairs. En effet, un projet NAC peut demander une mise à jour des équipements réseaux car l’interopérabilité entre équipements est encore limitée.

L’ouverture existe tout de même. Les clients ayant des équipements hétérogènes en périphérie du réseau peuvent privilégier des solutions basées sur la standardisation TNG. Mais, cela s’effectue le plus souvent sur de nouveaux sites ou lors du renouvellement complet du parc de commutateurs, comme par exemple pour la mise en œuvre de la VoIP.

Le NAC peut également être une solution coûteuse pour s’adapter aux besoins d’un déploiement sur la totalité du réseau de l’entreprise. On privilégiera un déploiement par paliers ou par projets.

Conclusion

Les attentes des entreprises sont tangibles. Le NAC est une méthode pertinente dans le déploiement de réseaux IP sécurisés. Alliant la sécurité des points d’accès, les identités des utilisateurs et les conditions d’accès aux réseaux, cette technologie offre un moyen innovant et performant d’identifier et de prévenir les risques d’attaque du réseau de l’entreprise.

L’offre NAC sur le marché se dynamise rapidement sous l’impulsion des besoins en contrôle d’accès VPN, WiFi et VoIP. La prolifération des équipements pour ‘nomades’, la multiplication des ‘clients’ du système d’information et le développement de la téléphonie sur IP font peser des exigences croissantes, tant au niveau du périmètre, qu’au niveau du cœur du réseau. Offrant des moyens de sécurité cohérents contre les menaces, une capacité à réagir rapidement aux alertes tout en allégeant les tâches d’administration, le NAC est un moyen à considérer pour améliorer la sécurité des réseaux de l’entreprise.

Glossaire