Inscrivez-vous gratuitement à la Newsletter BFM Business
Si les offres NAC de Cisco, Landesk et Symantec filtrent bien la connexion des postes de travail au réseau, elles affichent encore des défauts de jeunesse.
Les solutions de contrôle d'accès au réseau (ou Network Access Control) jouent le rôle de portiers. Elles vérifient la conformité des postes par rapport aux exigences sécuritaires de l'entreprise. Un contrôle préalable des outils de
sécurité (antivirus, antispyware, pare-feu) présents sur ces PC est effectué avant qu'ils ne soient admis dans le réseau. Dans le cas contraire, ils sont placés en quarantaine. Une procédure de remédiation est alors déclenchée, requérant des mises à
jour ou correctifs logiciels sur le poste client non conforme. Les systèmes NAC reposent sur un trinôme : un serveur qui prend les décisions d'accès et délivre l'adresse IP, un serveur qui gère la quarantaine et la remédiation, et un agent
logiciel sur PC.Pour effectuer un banc d'essai comparatif de plusieurs solutions, le laboratoire du groupe Tests a évalué des systèmes NAC ne dépendant pas de la fourniture obligée d'un matériel réseau de même marque. Les tests ont été réalisés sur
un réseau local Ethernet filaire, le même pour tous, bâti sur un commutateur-routeur HP. Le laboratoire a réalisé ses tests sur la base d'un contrôle d'admission impliquant l'allocation d'adresses IP aux PC se connectant. Trois solutions ont été
retenues : l'appliance de Cisco et les logiciels de Landesk et de Symantec.
Déploiement : l'appliance plus facile à installer que les logiciels
Cisco se distingue par sa simplicité d'installation, atout du boîtier spécialisé sur les solutions logicielles. A contrario, dans le cas de Security Suite de Landesk, plusieurs modules sont à installer. La solution requiert tout
d'abord Landesk Management Suite 8.7, mais aussi un serveur DHCP propriétaire et un serveur de remédiation. Une opération assez longue et complexe. La suite logicielle de Symantec se déploie sur un seul serveur, et un logiciel additionnel a été mis
sur le serveur DHCP de l'entreprise pour gérer la quarantaine, ce qui exige un paramétrage délicat. Hormis ce point, elle s'installe sans trop de difficulté.Il reste à déployer les logiciels jouant le rôle d'agents de contrôle de chaque solution sur les postes clients. Seul Landesk pousse, via le réseau, le téléchargement de l'agent dans la mesure où tout est géré depuis la console
d'administration dans le cadre de la suite Landesk Management. Pour les deux autres solutions de Cisco et de Symantec, l'agent est configuré et distribué séparément sur les postes cibles.
Administration : des logiciels spécifiques un peu plus pointus
L'administration de la solution NAC s'effectue soit depuis une interface web soit par le biais d'un logiciel spécifique. Chez Cisco, toute la configuration passe au niveau du serveur CAM (Clean Access Manager) via une administration
en mode web. L'ergonomie générale de l'interface Cisco se révèle satisfaisante, sauf lorsqu'il s'agit de gérer les règles de conformité. L'administration de la suite de logiciels Landesk nécessite plusieurs interfaces liées aux différents éléments
qui la composent. L'interface logicielle de la solution Symantec se veut assez sobre et accessible. Pour éprouver la robustesse des solutions, le laboratoire a débranché le serveur de règles. Si les solutions Landesk et Symantec ont continué de
fonctionner, puisque les règles de contrôle sont poussées sur les serveurs gérant les accès au réseau, celle de Cisco n'était plus opérationnelle. Le serveur Clean Access Server est en relation permanente avec le serveur Clean Access Manager pour
connaître les règles de contrôle qu'il doit appliquer.
Efficacité : certaines failles ne sont pas bloquées
Cisco vérifie les bases des registres, les fichiers, les services et les applications, mais n'effectue pas d'inventaire matériel du poste. Symantec opère de la même manière. Landesk effectue en plus un inventaire matériel des
composants du poste. Notre laboratoire a également réalisé quelques tests pour vérifier l'efficacité du contrôle d'admission, avec un blocage éventuel de postes ?" selon des cas issus de situations réelles.Lorsqu'on désactive le pare-feu d'un poste ayant passé avec succès le contrôle d'accès, les solutions de Landesk et de Symantec placent ce poste en quarantaine, grâce à leur contrôle périodique de conformité des postes clients. Cette
gestion de la quarantaine fait défaut à Cisco, puisqu'il n'effectue pas de contrôle périodique des postes clients déjà connectés. Ayant dû gérer l'accès d'un poste dont l'antivirus d'origine Kaspersky était présent mais non actif, les trois
solutions l'ont tout de même accepté dans le réseau. L'accès aux postes dont l'antivirus ne démarre pas n'a pas été autorisé par Cisco et Symantec, grâce à leur contrôle fin de règles sur les antivirus. Chez Landesk, ce poste n'est pas bloqué en
l'absence de règle de contrôle prédéfini sur l'activité d'une application. Enfin, les trois systèmes NAC, tels qu'ils ont été testés via un accès IP de niveau 3, n'ont pas bloqué un poste usurpant l'adresse MAC Ethernet (niveau 2) d'un poste ayant
été déclaré comme conforme. Si l'on veut sécuriser le service d'accès via un serveur DHCP, on ne peut donc pas se reposer exclusivement sur ces NAC tels qu'ils ont été configurés.
Gestion de la quarantaine : un processus qui peut être automatisé
Pour Cisco, il n'y a pas de quarantaine. Sa solution NAC autorise ou non les postes à accéder au réseau de l'entreprise. Avec les solutions de Landesk et de Symantec, une quarantaine est gérée. Avec Landesk Trusted Access, tout poste
se connectant au réseau se voit attribuer ?" selon le résultat du contrôle ?" une adresse dans le sous-réseau IP du réseau de quarantaine lorsqu'il n'est pas conforme, ou une adresse IP dans le réseau de production de l'entreprise. La
solution de Symantec impose aux postes non conformes un sous-réseau IP restreint au serveur de remédiation. La remédiation des postes déclarés non conformes peut être automatisée pour les solutions de Landesk et de Symantec, avec possibilité de
faire interagir l'utilisateur du poste si on le souhaite. Cette interaction manuelle est obligatoire pour la solution de Cisco. Avec Landesk et Cisco, l'utilisateur du poste soumis au contrôle d'accès peut être redirigé vers un portail web tant que
celui-ci n'est pas admis ?" ce qui n'est pas le cas avec Symantec. Ce portail peut lui proposer l'installation de l'agent NAC ou un contrôle de conformité.redaction@01informatique.presse.fr
Votre opinion