lundi 20 novembre 2017

Accueil du site > Informatique > Sécurité Informatique > Les postes de travail devront montrer patte blanche

Les postes de travail devront montrer patte blanche

Jean-Pierre Blettner , 01 Réseaux

lundi 12 septembre 2005, sélectionné par Spyworld

logo

L’entreprise se protége de PC à risques en passant par des solutions propriétaires ou celles respectant le standard 802.1x.

En mars dernier, l’éditeur de solutions de sécurité F-Secure a rejoint le programme Network Admission Control (NAC) de Cisco Systems. NAC est une initiative destinée à vérifier l’intégrité des postes de travail, et plus particulièrement des PC nomades, avant qu’ils n’entrent sur le réseau local de l’entreprise, afin de stopper la propagation des codes malicieux. F-Secure se retrouve ainsi en compagnie d’éditeurs d’antivirus ou de pare-feu personnels comme Computer Associates, McAffee, Symantec, Trend Micro, et bien d’autres (IBM Tivoli, ISS, etc.). Mais, concrètement, qu’en est-il de NAC, alors que l’architecture a été annoncée il y a presque deux ans ?

Fin 2004, l’intégrateur Arche a maquetté NAC pour l’un de ses grands clients. « Ce qui est annoncé en phase I fonctionne » , annonce Stéphane Gobert, responsable de l’équipe sécurité d’Arche. Lors du test, un poste de travail a dialogué avec un routeur Cisco afin de vérifier que son antivirus d’origine Trend était à jour.

Un tri des adresses IP

Pour cela, un serveur ACS (Access control server) de Cisco et un serveur TMCM (Trend Micro Control Manager) de Trend Micro ont été mis en oeuvre. Le routeur gère une liste des adresses IP autorisées à se connecter sur le réseau de l’entreprise, et une liste des adresses IP qui seront orientées vers une zone de quarantaine. Les postes de travail qui le nécessitent se verront ainsi proposer une mise à jour de leur antivirus. Afin d’établir ce diagnostic, le routeur interroge l’agent CTA (Cisco Trust Agent) présent sur le PC, puis transmet les informations au serveur ACS, qui dialogue avec le serveur TMCM. L’adresse IP du poste est alors rangée soit dans la liste de quarantaine soit dans la liste d’accès normal.

Dans la phase I de NAC, ce sont les routeurs qui contrôlent les accès. Leur système d’exploitation IOS a été modifié en conséquence. Dans la phase II, ce contrôle sera disponible au sein des commutateurs Catalyst du réseau local. « Actuellement, résume Stéphane Gobert, NAC convient pour contrôler les accès de PC d’une agence vers le site central de l’entreprise. Dans la phase II, c’est l’accès au réseau local lui-même qui sera contrôlable. »

Et le calendrier s’accélère chez Cisco. « La phase II devrait être disponible dès juin » , avance Philippe Cunningham, responsable du développement de l’activité Sécurité du constructeur. NAC sera alors intégré aux commutateurs et aux points d’accès Wi-Fi. S’y ajoutera l’authentification des utilisateurs par le protocole 802.1x. Enfin, il y aura une extension de l’agent NAC et l’agent CTA, afin d’effectuer l’audit complet du poste de travail. « On ne vérifiera pas simplement le niveau du Service Pack de Windows installé, mais aussi les applications (Word, Excel ...) » , précise Philippe Cunningham. En attendant, il n’y a aucun déploiement de NAC, mais de nombreux pilotes, admet-il. « Les entreprises attendent la phase II, car la difficulté n’est pas de vérifier les protections des postes nomades lorsqu’ils se connectent depuis l’extérieur et passent via le pare-feu ou la passerelle VPN, mais lorsque, de retour dans l’entreprise, ils se branchent sur le réseau local. »

Quelle alternative ?

Face au futur NAC, quelle alternative ? On trouve des acteurs éditeurs, tels Check Point Software et Sygate, ou constructeurs, tels Alcatel et Enterasys. « Des éditeurs comme Sygate ou Check Point Software proposent des solutions reposant sur 802.1x » , décrit Stéphane Gobert. Dans ce cas, leurs solutions de sécurité (pare-feu personnel, IPS) interopèrent avec un agent 802.1x (baptisé supplicant ) sur le poste de travail. Le supplicant peut être fourni par un éditeur tiers comme Odyssey. Il réalise l’authentification auprès du commutateur du réseau local. Le dialogue s’effectue alors au niveau 2. Le login et le mot de passe sont gérés par un serveur Radius. « L’offre 802.1x de Sygate s’appuie sur un habillage du supplicant, réagit Philippe Cunningham. Les services sont similaires à ceux de NAC, une fois qu’on a installé les outils 802.1x sur le réseau. » Les architectures doivent alors être comparées en termes de coût d’exploitation, de facilité de déploiement et d’ouverture. Ironie de l’histoire, Sygate se trouve à la fois partiellement concurrent de Cisco et de sa solution CSA (Cisco security agent) , mêlant IDS hôte et pare-feu personnels, et son partenaire, puisqu’il a intégré l’initiative NAC.

Quant à la solution de Check Point, baptisée Integrity, elle est issue de la technologie de ZoneLabs. Elle emploie également un agent installé par l’administrateur, ou un ActiveX téléchargé par l’utilisateur dans le cas de l’option Integrity clientless . Reste le souci de 802.1x, qui fait que l’ensemble de l’infrastructure doit répondre à ce standard. C’est loin d’être le cas dans les entreprises, et l’installation de nouveaux équipements sera longue et coûteuse, estime-t-on chez Sygate. Au point que, sur les trois cents clients de l’éditeur, seuls trois utilisent cette approche. Les autres emploient le serveur de vérification de politique sécurité, Sygate Enforcer, qui dialogue avec les agents Sygate des postes de travail.

Des solutions matérielles

Enfin, il existe des solutions matérielles. Le cabinet d’analystes Forrester Research place l’architecture Secure Networks d’Enterasys, définie déjà depuis plusieurs années, en tête des solutions de sécurisation des réseaux de campus, et classe celle d’Alcatel en deuxième position.

Secure Networks centralise la définition de la politique de sécurité, et la distribue sur les ports des commutateurs. Elle ouvre des droits limités aux visiteurs, ou réagit automatiquement aux menaces détectées lors de la connexion d’un poste. Un serveur ASM (Automated security manager) enclenche des actions en réponse aux événements identifiés par un IDS, de type Dragon ou ISS.

Afin de distribuer la sécurité, Enterasys s’appuie sur les options de filtrage du trafic de ses commutateurs. Des règles peuvent être définies selon des critères de niveau 3 et 4 (adresses IP et ports TCP et UDP) sur chaque port, et implantées dans les Asic via une MIB spécifique. Dans une architecture hétérogène, mêlant des commutateurs d’autres constructeurs, le filtrage ne sera pas aussi fin, mais on pourra restreindre le poste à un VLan de quarantaine affecté dynamiquement.

Deux approches complémentaires

À cela s’ajoute la vérification de l’intégrité du poste de travail. Une première approche repose sur un agent logiciel placé sur le poste, et le protocole 802.1x. On retrouve alors, comme fournisseurs de technologie, Sygate et ZoneLabs (Check Point Software).

La seconde approche consiste à contrôler l’intégrité du poste depuis le réseau avec une sonde Nessus. Aucun logiciel n’est nécessaire sur le poste, ce qui simplifie le déploiement. Certains équipements tels que les téléphones IP ou les caméras ne peuvent d’ailleurs pas être équipés d’un agent. Les deux approches, avec ou sans agent, sont complémentaires. Cette dernière option est attendue pour le mois de juin.

L’arrivée de NAP de Microsoft en 2006

Microsoft prépare sa solution pour inspecter les postes de travail et leur restreindre les accès en cas de non-conformité. Baptisée NAP (Network Access Protection) , elle permet d’orchestrer les mises à jour logicielles, la configuration du pare-feu, l’antivirus, etc. NAP s’appuiera sur les infrastructures Windows (ActiveDirectory, SMS, Windows Update Service...). Disponibilité ? 2006, avec l’arrivée de la version de Windows baptisée Longhorn. Entre NAP et NAC, n’y a-t-il pas une solution de trop ? « Les vérifications se déroulent à des niveaux différents, ces technologies sont complémentaires » , estime Philippe Cunningham, de Cisco. Microsoft et Cisco vont d’ailleurs rendre interopérables leurs architectures respectives. Les agents NAP et NAC seraient fusionnés. Mais la liste des partenaires de NAP est longue et comprend aussi Enterasys, Sygate, Check Point Software..., tous concurrents de Cisco.

Authentifier au niveau 2, 3 ou 7

Alors que l’authentification 802.1x fonctionne au niveau 2 et recherche les informations concernant l’utilisateur dans un annuaire Radius, NAC, de Cisco, fonctionne au niveau 3 et utilise l’adressage IP. En phase II, l’agent CTA autorisera à la fois une authentification de niveau 3 dans les routeurs, et de niveau 2 en 802.1x dans les commutateurs ou les points d’accès Wi-Fi. La solution NAP de Microsoft, quant à elle, recherche ses informations au sein de l’annuaire ActiveDirectory, et utilise DHCP. Chez Enterasys, les utilisateurs sont identifiés par le biais de procédures 802.1x, Web (type http par login-password comme dans un hot spot Wi-Fi) ou adresse Mac. L’objectif de ces authentifications est toutefois commun. Il s’agit d’orienter un PC vers une zone de quarantaine si son antivirus, son IPS et son pare-feu personnel ou le niveau des correctifs ne sont pas à jour.

GIF - 39.9 ko

L’offre Secure Enterprise, de Sygate, vérifie l’intégrité des postes de travail, qu’il s’agisse de PC internes raccordés localement ou de PC extérieurs. L’agent Sygate intègre un pare-feu et un IPS, et contrôle l’état des protections (antivirus, signatures, règles des pare-feu, versions des fichiers, etc.).


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :