I.2.3 Le système de contrainte (Enforcement)
C'est l'ensemble des éléments de l'infrastructure
réseau permettant de détecter la demande d'accès au
réseau et d'appliquer les décisions du système
d'évaluation.
Les actions classiques mises en Suvre par le système de
contrainte sont les suivantes:
> positionner le système d'extrémité
dans un VLAN particulier.
> mettre en place des contrôles d'accès aux
niveaux 2,3 ou 4 sur les équipements de bordure (commutateurs
d'extrémité) ou plus près du cSur du réseau
(routeurs, pare-feu, proxy), gérer la qualité de service, la
bande passante.
I.2.3.1 Utilisation d'un serveur dédié
Ce serveur sera positionné en coupure, et capturera
l'ensemble des paquets.
> Avantages : facilité de déploiement, gestion
centralisée.
> Difficultés : cela peut créer un SPOF (Single
Point Of Failure), adaptation à la montée en charge difficile.
> Risque : les systèmes d'extrémité ont
déjà un accès au réseau (ils se voient entre
eux).
I.2.3.2 Utilisation du protocole 802.1X
Protocole d'accès au réseau, le 802.1X utilise
EAP (extensible authentication Protocol) pour transporter les
informations d'authentification entre le client et le serveur. Il est
implanté aujourd'hui dans la plupart des équipements
réseau, commutateurs et points d'accès sans-fil. Si
l'authentification est valide, il est possible de modifier la configuration des
ports du matériel réseau au travers d'attributs, le VLAN par
exemple.
> Avantage : isolation au plus près de la demande
d'accès.
> Difficultés : capacité des
matériels existants, il faut un client sur le système
d'extrémité, choisir la méthode d'authentification telle
que EAP-MD5 (EAP-Message Digest 5), EAP-TLS
(EAP Transport Level Security), PEAP (Protected
Extensible Authentication Protocol).
> Risque : Dépendant de l'authentification
utilisée (ex: EAP-MD5 est à éviter).
I.2.4 Le système de mise en conformité
Dans le cas où le système
d'extrémité n'a pas été jugé compatible avec
la politique d'accès (manque de correctifs de sécurité,
pas d'antivirus, échec de l'authentification, etc), il est
nécessaire de prévoir un contexte réseau où le
système pourra se mettre en conformité (mise à jour
système, possibilité de télécharger un anti-virus,
une base de signature à jour, demande de compte d'accès). Cette
action de mise en conformité est parfois appelée «
remédiation ».
La technique la plus communément employée est
l'utilisation d'un VLAN spécifique redirigeant le trafic vers un portail
captif Web qui doit guider l'utilisateur dans sa mise en conformité. On
peut alors rencontrer quelques difficultés :
> gérer les matériels sans navigateur Web
(imprimante);
> habituer l'utilisateur à ouvrir son navigateur en
cas de soucis, même s'il ne souhaitait qu'utiliser son client de
messagerie par exemple;
> personnaliser la page Web en fonction du problème
spécifique;
En plus de ces difficultés, un problème de
sécurité est généré en positionnant dans le
même réseau des machines potentiellement fragiles.
Premièrement, il y a un risque de contamination mutuelle,
deuxièmement, ce réseau peut être utilisé par un
attaquant pour trouver des machines vulnérables.
| 
