Ce que valent les outils de contrôle d'accès réseau

21/09/2007 à 00h00

Si les offres NAC de Cisco, Landesk et Symantec filtrent bien la connexion des postes de travail au réseau, elles affichent encore des défauts de jeunesse.

Les solutions de contrôle d'accès au réseau (ou Network Access Control) jouent le rôle de portiers. Elles vérifient la conformité des postes par rapport aux exigences sécuritaires de l'entreprise. Un contrôle préalable des outils de sécurité (antivirus, antispyware, pare-feu) présents sur ces PC est effectué avant qu'ils ne soient admis dans le réseau. Dans le cas contraire, ils sont placés en quarantaine. Une procédure de remédiation est alors déclenchée, requérant des mises à jour ou correctifs logiciels sur le poste client non conforme. Les systèmes NAC reposent sur un trinôme : un serveur qui prend les décisions d'accès et délivre l'adresse IP, un serveur qui gère la quarantaine et la remédiation, et un agent logiciel sur PC.Pour effectuer un banc d'essai comparatif de plusieurs solutions, le laboratoire du groupe Tests a évalué des systèmes NAC ne dépendant pas de la fourniture obligée d'un matériel réseau de même marque. Les tests ont été réalisés sur un réseau local Ethernet filaire, le même pour tous, bâti sur un commutateur-routeur HP. Le laboratoire a réalisé ses tests sur la base d'un contrôle d'admission impliquant l'allocation d'adresses IP aux PC se connectant. Trois solutions ont été retenues : l'appliance de Cisco et les logiciels de Landesk et de Symantec.

Déploiement : l'appliance plus facile à installer que les logiciels

Cisco se distingue par sa simplicité d'installation, atout du boîtier spécialisé sur les solutions logicielles. A contrario, dans le cas de Security Suite de Landesk, plusieurs modules sont à installer. La solution requiert tout d'abord Landesk Management Suite 8.7, mais aussi un serveur DHCP propriétaire et un serveur de remédiation. Une opération assez longue et complexe. La suite logicielle de Symantec se déploie sur un seul serveur, et un logiciel additionnel a été mis sur le serveur DHCP de l'entreprise pour gérer la quarantaine, ce qui exige un paramétrage délicat. Hormis ce point, elle s'installe sans trop de difficulté.Il reste à déployer les logiciels jouant le rôle d'agents de contrôle de chaque solution sur les postes clients. Seul Landesk pousse, via le réseau, le téléchargement de l'agent dans la mesure où tout est géré depuis la console d'administration dans le cadre de la suite Landesk Management. Pour les deux autres solutions de Cisco et de Symantec, l'agent est configuré et distribué séparément sur les postes cibles.

Administration : des logiciels spécifiques un peu plus pointus

L'administration de la solution NAC s'effectue soit depuis une interface web soit par le biais d'un logiciel spécifique. Chez Cisco, toute la configuration passe au niveau du serveur CAM (Clean Access Manager) via une administration en mode web. L'ergonomie générale de l'interface Cisco se révèle satisfaisante, sauf lorsqu'il s'agit de gérer les règles de conformité. L'administration de la suite de logiciels Landesk nécessite plusieurs interfaces liées aux différents éléments qui la composent. L'interface logicielle de la solution Symantec se veut assez sobre et accessible. Pour éprouver la robustesse des solutions, le laboratoire a débranché le serveur de règles. Si les solutions Landesk et Symantec ont continué de fonctionner, puisque les règles de contrôle sont poussées sur les serveurs gérant les accès au réseau, celle de Cisco n'était plus opérationnelle. Le serveur Clean Access Server est en relation permanente avec le serveur Clean Access Manager pour connaître les règles de contrôle qu'il doit appliquer.

Efficacité : certaines failles ne sont pas bloquées

Cisco vérifie les bases des registres, les fichiers, les services et les applications, mais n'effectue pas d'inventaire matériel du poste. Symantec opère de la même manière. Landesk effectue en plus un inventaire matériel des composants du poste. Notre laboratoire a également réalisé quelques tests pour vérifier l'efficacité du contrôle d'admission, avec un blocage éventuel de postes ?" selon des cas issus de situations réelles.Lorsqu'on désactive le pare-feu d'un poste ayant passé avec succès le contrôle d'accès, les solutions de Landesk et de Symantec placent ce poste en quarantaine, grâce à leur contrôle périodique de conformité des postes clients. Cette gestion de la quarantaine fait défaut à Cisco, puisqu'il n'effectue pas de contrôle périodique des postes clients déjà connectés. Ayant dû gérer l'accès d'un poste dont l'antivirus d'origine Kaspersky était présent mais non actif, les trois solutions l'ont tout de même accepté dans le réseau. L'accès aux postes dont l'antivirus ne démarre pas n'a pas été autorisé par Cisco et Symantec, grâce à leur contrôle fin de règles sur les antivirus. Chez Landesk, ce poste n'est pas bloqué en l'absence de règle de contrôle prédéfini sur l'activité d'une application. Enfin, les trois systèmes NAC, tels qu'ils ont été testés via un accès IP de niveau 3, n'ont pas bloqué un poste usurpant l'adresse MAC Ethernet (niveau 2) d'un poste ayant été déclaré comme conforme. Si l'on veut sécuriser le service d'accès via un serveur DHCP, on ne peut donc pas se reposer exclusivement sur ces NAC tels qu'ils ont été configurés.

Gestion de la quarantaine : un processus qui peut être automatisé

Pour Cisco, il n'y a pas de quarantaine. Sa solution NAC autorise ou non les postes à accéder au réseau de l'entreprise. Avec les solutions de Landesk et de Symantec, une quarantaine est gérée. Avec Landesk Trusted Access, tout poste se connectant au réseau se voit attribuer ?" selon le résultat du contrôle ?" une adresse dans le sous-réseau IP du réseau de quarantaine lorsqu'il n'est pas conforme, ou une adresse IP dans le réseau de production de l'entreprise. La solution de Symantec impose aux postes non conformes un sous-réseau IP restreint au serveur de remédiation. La remédiation des postes déclarés non conformes peut être automatisée pour les solutions de Landesk et de Symantec, avec possibilité de faire interagir l'utilisateur du poste si on le souhaite. Cette interaction manuelle est obligatoire pour la solution de Cisco. Avec Landesk et Cisco, l'utilisateur du poste soumis au contrôle d'accès peut être redirigé vers un portail web tant que celui-ci n'est pas admis ?" ce qui n'est pas le cas avec Symantec. Ce portail peut lui proposer l'installation de l'agent NAC ou un contrôle de conformité.redaction@01informatique.presse.fr

Un serveur NAC (Network Access Control) en action

1. Demande d'accès au réseau
Le poste client envoie une requête pour accéder au réseau. Celle-ci arrive au serveur DHCP de la solution NAC, qui attribue les adresses IP temporaires le temps de contrôler ce poste.

2. Dialogue avec le client NAC
Le serveur de la solution NAC (Enforcer) assume la charge de contrôler l'accès grâce aux règles de conformité qu'il fait appliquer. Il déclenche des échanges avec l'agent NAC installé sur le poste client.

3. Transmission de l'état de conformité
L'agent NAC du poste client transmet au serveur NAC un état de la conformité de ses différents éléments : le pare-feu, le système d'exploitation, les correctifs...

4. Application des règles
Au vu de l'état du poste client qui lui a été transmis, le serveur NAC vérifie la conformité et lui donne ou non l'accès au réseau. Dans ce dernier cas, il est alors mis en quarantaine.

5. Mise à jour du poste client
Le serveur de remédiation permet de mettre à niveau les postes non conformes au moyen d'actions appropriées de mises à jour.

Les 3 solutions comparées

Modèle : NAC Appliance

Commentaires : Cette offre inclut deux serveurs au format 1U. Le Clean Access Server, qui gère les admissions, attribue aussi dynamiquement des adresses IP. Il dépend du Clean Access Manager pour obtenir les règles de conformité qu'il applique au poste client. Le premier serveur s'installe en coupure physique sur le réseau de l'entreprise : il est traversé par le trafic entrant auquel il a appliqué le contrôle d'accès. Le second héberge les règles de sécurité. L'administration s'effectue via une interface web. Sur les postes clients, un logiciel NAC Clean Access Agent doit être installé.

Les plus :
Ergonomie de l'interface de configuration.
Facilité de déploiement.
Installation en mode coupure physique.

Les moins :
Pas de quarantaine en cas de non-conformité du poste.
Pas de contrôle périodique de la conformité d'un poste déjà connecté au réseau.
intervention obligatoire de l'utilisateur pour la remédiation.

Modèle : Security Suite 8.7

Commentaires : Cette solution NAC comprend plusieurs logiciels, à savoir un serveur DHCP propriétaire pour l'attribution dynamique des adresses, un serveur hébergeant le c?"ur de la solution Security Suite 8.7, et un serveur de remédiation pour les postes déclarés non conformes. La gestion du NAC s'appuie sur la console d'administration Landesk, composée de multiples modules reposant sur un même logiciel, le Landesk Management Suite 8.7. Un agent logiciel Landesk Trust Agent doit être installé sur les postes clients.

Les plus :
Automatisation de la remédiation pour les postes non conformes.
Contrôle périodique de la conformité d'un poste déjà connecté au réseau.
Déploiement des agents de contrôle en mode push sur les postes clients.

Les moins :
Installation initiale longue.
Interface d'administration complexe, du fait de ses nombreux modules.
Pas de règle de contrôle prédéfini concernant l'activité d'une application présente sur le poste client.

Modèle : Network Access Control 5.1.5

Commentaires : Cette solution repose sur un seul serveur logiciel et sur l'installation d'un module logiciel d'extension se greffant au serveur DHCP de l'entreprise, couplé à un paramétrage à effectuer sur ledit serveur. Le module d'extension se nomme Symantec Integrated Enforcer for Microsoft DHCP Servers. L'éditeur dispose de deux agents logiciels à installer sur les postes clients : l'agent de protection et l'agent ' enforcement '. C'est le premier qui a été utilisé pour les besoins du test.

Les plus :
Automatisation de la remédiation pour les postes non conformes.
Contrôle périodique de la conformité d'un poste déjà connecté au réseau.
Ergonomie de l'interface d'administration du NAC.

Les moins
Installation d'un module logiciel au sein du serveur DHCP de l'entreprise.
Pas de redirection des postes non conformes vers un portail web.
Autorisation d'une machine non couplable avec l'authentification d'une personne.

3 questions à... : Vincent Foucher, responsable avant-vente chez Telindus

Un intégrateur réseau spécialisé dans la sécurité

Le marché des systèmes NAC est-il bien établi ?
' Non, il se cherche encore. Les offres de produits émanent d'acteurs très divers (éditeurs de sécurité, équipementiers réseau...). En outre, nombre de solutions restent propriétaires. '

Quelles conditions faut-il réunir pour déployer une NAC ?
' Si les équipements réseau sont peu récents, il y a un risque de devoir les faire évoluer. NAC Framework, de Cisco, s'appuie sur les commutateurs de dernière génération du constructeur. '

Vaut-il mieux adopter des solutions à base de boîtiers spécialisés ?
' En général, l'appliance s'installe dans le réseau de la société en mode coupure et prend en charge le processus dautorisation des postes connectés. Cela convient aux réseaux de moyenne densité, pas aux infrastructures importantes et à très haut débit. '

Frédéric Bergé

Votre opinion