|
| |
|
|
 |
| Le NAC en quête de standards et de sécurité |
| Sans cadre précis, le contrôle d'accès au réseau continue de piétiner. Absence de standard, évolution incertaine et contraintes techniques fortes freinent son développement. Les besoins sont, eux, bien réels.
(12/02/2007) |
|
Le NAC - ou Network Access Control - se rapporte à un ensemble de méthodes liées au contrôle d'accès au réseau de l'entreprise. Ses applications dans le domaine de la sécurité sont multiples. Il s'agit aussi bien de minimiser l'impact des programmes malveillants, d'empêcher les connexions aux ressources de personnes non-autorisées, que de répondre à des exigences de conformité.
La multiplication des annonces de la part des offreurs contribue toutefois à en rendre le concept très abscons. Encouragés par des prévisions exaltées de croissance du marché (4 milliards de dollars d'ici à 2008), éditeurs et constructeurs se prétendent bien volontiers fournisseurs de solutions de contrôle d'accès réseau.
"Nous avons analysé les solutions NAC et leurs possibilités technologiques. Et dans le cadre de cette étude, nous avons été étonnés de découvrir un marché divisé dans lequel il n'y avait pas de définition commune ou de compréhension de ce à quoi était supposé répondre le NAC ou de ce que ces solutions devraient intégrer, particulièrement en termes de fonctionnalités", déclare Ofir Arkin, directeur technique d'Insightix, société spécialisée dans la sécurité des réseaux.
Un avis que partage Gérôme Billois, manager en sécurité pour Solucom et membre du Clusif : "Il y a un véritable mélange des genres sur la définition même du NAC et des solutions techniques qu'il recouvre. Vous avez ainsi d'un côté le pre-admission NAC qui, avant l'admission d'un PC dans le réseau, va contrôler que celui-ci est bien en conformité : utilisateur reconnu, poste appartenant à la société, signatures antivirus à jour, etc. Et, de l'autre côté, vous avez des acteurs qui essayent de vendre des solutions sous un label "post-admission NAC", mais qui se rapprochent en réalité plus d'analyse comportementale des flux."
De manière concrète, le contrôle d'accès peut être positionné à plusieurs niveaux : au plus prêt du poste de travail, des ressources, ou de manière intermédiaire, à l'intérieur du réseau (à la sortie d'un site, à l'entrée d'une zone spécifique réseau). La proximité avec la ressource à protéger doit permettre de garantir plus de précision et d'efficacité. Tandis que le contrôle au plus prêt du poste de travail sera plus générique et protégera l'ensemble du réseau.
"La vraie faiblesse du NAC découle de l'absence de standard et de direction claire"
(G. Billois - Solucom)
|
Premier constat manifeste : le marché est loin encore d'avoir atteint sa maturité. Des déploiements sur des périmètres précis et bien maîtrisés sont cependant possibles, notamment pour les réseaux d'accès distant ou confinés à des sites hautement sensibles (siège, R&D, direction financière, etc.). Ainsi pour l'administration de flottes de postes mobiles, le contrôle d'accès et de conformité peut aisément être appliqué, tout en offrant des performances satisfaisantes.
En revanche, le contrôle d'accès au réseau local se heurte à un degré de complexité bien supérieur. Celui-ci se caractérise en effet par l'hétérogénéité (des niveaux d'ancienneté des équipements variables) et pose par conséquent des problématiques de compatibilité technologiques, en particulier avec 802.1X, la norme permettant au réseau d'authentifier l'utilisateur ou l'équipement dès la connexion physique.
"Nous avons des retours d'expérience positifs sur du 802.1X dans le cadre de nouveaux sites où un renouvellement complet du parc de commutateurs avait été réalisé en conjonction ave la mise en uvre de la ToIP. Par contre, pour migrer un ancien site, les investissements sont plus lourds, en particulier pour renouveler l'infrastructure de niveau 2. Une solution alternative peut être de positionner un boîtier en coupure, agissant cette fois-ci au niveau trois, pour introduire des fonctions de contrôle d'accès avant d'entrer sur le réseau WAN ou entre des VLAN", précise Gérôme Billois.
"Aujourd'hui, la vraie faiblesse du NAC découle de l'absence de standard et de direction claire dans l'évolution des produits. Ce type de projet impliquant des investissements importants, la pérennité est indispensable", poursuit-il. Toutefois, le Trusted Computing Group et plus récemment l'IETF ont initié des démarches de standardisation. Cisco et Microsoft uvrent néanmoins pour faire de leurs technologies des standards de fait.
"Il est très aisé pour un utilisateur interne de contourner les contrôles"
(O. Arkin - Insightix)
|
Autre talon d'Achille du NAC, sa sécurité. "Il est très aisé à l'heure actuelle pour un utilisateur interne de contourner les contrôles imposés par la plupart des systèmes NAC du marché [
] Par exemple, la fonctionnalité de détection de la plupart des offres du marché ne permet pas de découvrir un nouveau périphérique se connectant au réseau. Elles sont en outre vulnérables au spoofing d'adresse MAC. La façon dont elles gèrent la mise en quarantaine est un autre vecteur d'attaque intéressant, tout comme la méthode employée pour imposer la politique d'accès", cite Ofir Arkin.
"L'information contextuelle en temps réel sur le parc IT fonctionnant sur les réseaux est le socle indispensable pour n'importe quelle application NAC. Ne pas connaître l'existence d'un composant signifie l'incapacité à s'en protéger ou à le sécuriser. Vous ne pouvez tout simplement pas appliquer une politique d'accès à un élément dont vous ignorer l'existence", conclut-il.
Les attentes de la part des entreprises sont cependant tangibles. Le NAC est notamment perçu comme un moyen de réorganiser la sécurité périmétrique et de pouvoir réaliser du contrôle à l'intérieur des réseaux. Le second besoin est de disposer d'une politique d'accès aux ressources qui soit configurable dynamiquement en fonction de profils, du niveau de sécurité du poste et du moyen utilisé pour accéder au réseau.
Attention toutefois à bien évaluer les contraintes organisationnelles imposées par le NAC. Le référentiel de conformité devra ainsi préalablement être synchronisé avec le niveau de sécurité des postes.
|
|
|
|
