12
2.2.3.2 Différents systèmes de
contrainte
13
2.2 - LES COMPOSANTS D'UNE ARCHITECTURE NAC
Systèmes
|
Avantages
|
Difficultés
|
Risques
|
Serveur Dédiée posi-
tionnée en coupure qui capture l'ensemble des Paquets
|
Facilité de
déploiement, gestion
centralisée
|
Cela peut créer un SPOF (Single Point Of Failure),
adaptation à la montée en charge difficile
|
Les systèmes d'extrémité ont
déjà un accès au réseau (ils se voient entre
eux)
|
Protocole 802.1X
|
Isolation au plus près
de la demande
d'accès
|
Capacité des matériels existants, il faut un
client sur le système d'extrémité, choisir la
méthode d'authentification (EAPMD5, EAPTLS...)
|
Dépendant de l'authentification utilisée (ex :
EAPMD5 est à éviter)
|
VMPS (VLAN Mana- gement Policy Ser- ver)
|
La simplicité
|
Maintenance de la base de connaissance (adresses MAC/VLAN),
gestion impossible de plusieurs adresses MAC par port, commutateurs Cisco
seulement et en cours d'abandon par le constructeur
|
Usurpation d'adresse
MAC
|
DHCP pour en-
voyer le bon profil
IP (adresse, routeur, masque) au système
d'extrémité
|
La simplicité
|
Aucune
|
Le système d'extrémité doit jouer le jeu
(ne pas utiliser d'adresse IP fixe)
|
Trap SNMP (« link up » et «
link down ») émis par les matériels réseau,
permettant de détecter la connexion physique d'un système
d'extrémité
|
Adaptable à une grande partie des matériels
réseau. Difficulté
|
La complexité liée à la configuration des
agents SNMP
|
Risque de déni de service avec des instabilités
de liens, usurpation d'adresse MAC, les traps utilisent le protocole UDP ce qui
n'assure pas la délivrance de l'information, besoin de maintenir un
état de l'ensemble des ports
|
|
TABLE 2.1 - Différents systèmes de contrainte
14
2.2 - LES COMPOSANTS D'UNE ARCHITECTURE NAC
2.2.4 Le système de mise en
conformité
Dans le cas où le système
d'extrémité n'a pas été jugé compatible avec
la politique d'accès (manque de correctifs de sécurité,
pas d'antivirus, échec de l'authentification, etc.) il est
nécessaire de prévoir un contexte réseau où le
système pourra se mettre en conformité (mise à jour
système, possibilité de télécharger un antivirus,
une base de signature à jour, demande de compte d'accès). Cette
action de mise en conformité est parfois appelée «
remédiation ».
La technique la plus communément employée est
l'utilisation d'un VLAN spécifique redirigeant le trafic vers un portail
captif Web qui doit guider l'utilisateur dans sa mise en conformité.
Quelques difficultés apparaissent alors:
-- Gérer les matériels sans navigateur Web
(imprimante);
-- Habituer l'utilisateur à ouvrir son navigateur en
cas de soucis, même s'il ne souhaitait qu'utiliser son client de
messagerie par exemple;
-- Personnaliser la page Web en fonction du problème
spécifique; En plus de ces difficultés, un problème de
sécurité est généré en positionnant dans le
même réseau des machines potentiellement fragiles.
Premièrement, il y a un risque de contamination mutuelle,
deuxièmement, ce réseau peut être utilisé par un
attaquant pour trouver des machines vulnérables.
| 
