SECTION I : PRINCIPE ET COMPOSANTES D~UNE
ARCHITECTURE NAC
I.1 Principe
Le NAC (Network Access Control) n'est pas une technique ou
une architecture, le NAC est plus proche d'un concept, d'une solution. Il est
censé répondre à la mise en Suvre de certaines parties de
la politique de sécurité concernant l'accès au
réseau local (filaire, sans-fil ou VPN), dont principalement :
Ø l'identification et l'authentification des
utilisateurs;
Ø l'évaluation du niveau de sécurité
des systèmes se connectant; Ø la gestion des invités ;
Ø le contrôle de l'activité;
Ø et parfois la détection d'intrusion
L'ensemble de ces informations sera utilisé pour
positionner le système demandant un accès dans un certain
environnement réseau, cet environnement sera choisi en fonction de la
politique de sécurité en vigueur.
I.2 Composantes d'une architecture NAC
Malgré
l'hétérogénéité des solutions de NAC, on
peut distinguer différents éléments composant une
architecture NAC : système d'extrémité, le système
d'évaluation, le système de contrainte
I.2.1 Le système d'extrémité (end
points)
L'élément de base qui est constitué par
la machine physique qui souhaite accéder à des ressources,
appelé ici système d'extrémité. C'est à
partir de ce composant (poste de travail, imprimante, téléphone,
etc.) que les informations relatives à l'authentification et à
la
conformité doivent être
récupérées, aussi bien à la demande de connexion
que de manière régulière durant la connexion.
I.2.1.1 Identification et
authentification
Afin de connaître l'identité d'une entité
(personne, ordinateur &) et, dans certains cas, valider
l'authenticité de cette identification, plusieurs méthodes sont
disponibles parmi lesquelles :
· Utilisation de l'adresse MAC (Media Access
Control)
Ici, seule l'adresse MAC du système
d'extrémité est utilisée pour l'identification. Sa mise en
Suvre est facile et peut se faire par exemple avec l'utilisation des
requêtes DHCP (Dynamic Host Control Protocol). Il
nécessite néanmoins la mise en place d'une base renseignée
de toutes les adresses MAC autorisées à se connecter sur le
réseau. Cette technique ne protège pas de l'usurpation
d'identité, en forgeant son adresse MAC un utilisateur pourrait se faire
passer pour une imprimante. Des techniques de prise d'empreinte du
système d'exploitation peuvent limiter ce problème en associant
et en vérifiant ces informations liées aux adresses MAC de la
base.
· Portail Web
L'authentification à l'aide d'une page Web
sécurisée, tels les portails captifs, avec pour l'avantage
d'être accessible à tous les utilisateurs possédant un
navigateur Web. En revanche, cette solution n'est pas envisageable pour les
autres systèmes d'extrémité, les imprimantes par
exemple.
I.2.1.2 Conformité
Le but est de récupérer des informations sur
l'état du système d'extrémité. Deux
possibilités sont envisageables, avec un agent embarqué sur le
poste utilisateur ou sans agent. Avec la solution à base d'agents, il
faudra prendre en compte le temps d'exécution, la charge CPU, le niveau
de sécurité des échanges agent/serveur et la
méthode de déploiement de ces agents. Sans agent, le temps
d'exécution est relativement long (scanner de
vulnérabilités), ce qui peut contraindre à évaluer
la conformité après la connexion.
I.2.2 Le système d'évaluation (Policy
Decision Point)
Cet élément de l'infrastructure est crucial
pour une politique de sécurité. À partir des informations
recueillies sur le système d'extrémité, des informations
sur la méthode d'accès (réseau filaire, sans-fil,
VPN ou Virtual Private Network), mais aussi à l'aide
d'informations sur le lieu ou le moment de la demande d'accès, le
système d'évaluation va décider d'un contexte de connexion
en accord avec la politique de sécurité.
Un exemple simple de système d'évaluation
serait l'utilisation des adresses MAC (Media Access
Control) des systèmes d'extrémité pour
déterminer leur VLAN (Virtual Local Area Network)
d'appartenance, le choix de la mise en quarantaine serait fait si l'adresse MAC
est inconnue.
| 
