10
2.1 - LES PRINCIPES DU NAC
2.3.3 Solution Choisie Pour la Sécurité 19
2.1 LES PRINCIPES DU NAC
Le NAC (Network Access Control) n'est pas une technique ou
une architecture, le NAC
est plus Proche d'un concept, d'une solution. Il est
censé répondre à la mise en oeuvre de
certaines parties de la politique de sécurité
concernant l'accès au réseau local (filaire, sans-fil
ou VPN), dont principalement:
-- l'identification et l'authentification des
utilisateurs;
-- l'évaluation du niveau de sécurité
des systèmes se connectant;
-- la gestion des « invités »;
-- le contrôle de l'activité;
-- et parfois la détection d'intrusion.
2.2 LES COMPOSANTS D'UNE ARCHITECTURE NAC
2.2.1 Le système d'extrémité
(Endpoints)
Il s'agit de l'élément de base qui est
constitué par la machine physique qui souhaite accéder à
des ressources C'est à partir de ce composant (poste de travail,
imprimante, téléphone, etc.) que les informations relatives
à l'authentification et à la conformité doivent être
récupérées, aussi bien à la demande de connexion
que de manière régulière durant la connexion.
2.2.1.1 Identification et authentification
Afin de connaître l'identité d'une entité
(personne, ordinateur ...) et, dans certains cas, valider l'authenticité
de cette identification, plusieurs méthodes sont disponibles.
Utilisation de l'adresse MAC Ici, seule
l'adresse MAC du système d'extrémité est utilisée
pour l'identification. C'est un moyen facile à mettre en oeuvre, par
exemple avec l'utilisation des requêtes DHCP. Il nécessite
néanmoins la mise en place d'une base renseignée de toutes les
adresses MAC autorisées à se connecter sur le réseau.
Cette technique ne protège pas de l'usurpation d'identité, en
forgeant son adresse MAC un utilisateur pourrait se faire passer pour une
imprimante. Des techniques de prise d'empreinte du système
d'exploitation
11
2.2 - LES COMPOSANTS D'UNE ARCHITECTURE NAC
peuvent limiter ce problème en associant et en
vérifiant ces informations liées aux adresses MAC de la base.
Portail Web L'authentification à
l'aide d'une page Web sécurisée (https), tels les portails
captifs, a l'avantage d'être accessible à tous les utilisateurs
possédant un navigateur Web. En revanche, cette solution n'est pas
envisageable pour les autres systèmes d'extrémité, les
imprimantes par exemple.
802.1X Le standard 802.1X (Port Based
Network Access Control) est un mécanisme d'au-thentification
utilisé au moment de l'accès au réseau. Basé sur
EAP, son principe repose sur des échanges sécurisés entre
le « supplicant » (l'utilisateur et sa machine), l'«
authenticator » (le point d'accès sans-fil, le commutateur, ...) et
l' « authentication server » (un serveur RADIUS par exemple). Si
l'identité de l'utilisateur (ou de la machine) est validée, le
commutateur ouvrira l'accès au réseau (le VLAN de l'utilisateur
peut être transmis par le serveur d'authentification).
| 
