2.3.1.3 Solution Cisco : CNAC
La solution NAC proposée par Cisco est
constituée de différents composants. Le « NAC Manager »
est une interface Web permettant de créer les politiques de
sécurité et de gérer les connexions en cours. Les
différents profils utilisateurs associés aux vérifications
de conformité, ainsi que les actions de remédiation, sont
configurés sur ce serveur. Le NAC Manager communique et gère le
NAC Server. Le « NAC Server » est un serveur qui va
accorder ou non l'accès au réseau en fonction des informations
recueillies sur les systèmes d'extrémité. C'est sur ce
serveur que sont situés les profils de sécurité, les
actions de remédiation etc... Ce serveur peut fonctionner en coupure ou
« out of band » au niveau 2 ou 3.
-- Le « NAC Agent » est un agent
léger installé sur les postes, chargé de collecter
17
2.3 - ÉTUDE COMPARATIVE DES SOLUTIONS
DISPONIBLES
des informations sur le poste et de les transmettre à
l'ACS (serveur Radius Cisco) au moment de la demande de connexion. Des
composants additionnels sont aussi proposés.
-- Le « NAC Profiler » est
chargé d'évaluer les systèmes d'extrémité
spécifiques comme les téléphones IP, les imprimantes, etc.
Ce module permet aussi de localiser physiquement les matériels
connectés et d'appliquer des profils en fonction d'informations
récupérées.
-- Le « NAC Guest Server » permet d'offrir et de
gérer les accès pour les visiteurs.
-- Le « Secure Access Control System
» (ACS) est un serveur jouant le rôle de serveur Radius ou
Tacacs qui va accorder ou non l'accès au réseau aux utilisateurs.
C'est lui qui communique avec les équipements réseaux sur
lesquels les connexions sont faites en jouant le rôle d' «
authenticator » lors de connexion 802.1X.
Le concept développé par Cisco est
l'utilisation de l'ensemble des composants du réseau (commutateurs,
routeurs, pare-feu, détecteurs d'intrusions...) pour collecter des
informations ou pour appliquer la politique de sécurité
décidée.
2.3.2 Les Solutions Libres
2.3.2.1 FreeNAC
La solution FreeNAC effectue l'authentification via deux
modes:
· Mode VMPS : les machines du réseau sont
identifiées par leur adresse MAC. Les utilisateurs ne sont pas
authentifiés dans ce mode.
· Mode 802.1x : les machines du réseau peuvent
être authentifiées par certificat et les utilisateurs d'un domaine
Windows par leur compte.
L'attribution d'un VLAN est basée sur l'adresse MAC
d'une machine. En mode VMPS, l'au-thentification et l'attribution ont lieu en
une seule étape. En mode 802.1x, l'authentification des utilisateurs
(dans le domaine Windows), ou celle des machines (par certificat), se
déroule en premier, et ce n'est que par la suite que l'adresse MAC est
utilisée pour l'attribution du VLAN. (FreeNAC).
| 
