2.2.5 Contrôle des activités
Après avoir subi l'ensemble des contrôles et
avoir été positionné dans le contexte
désiré, un système peut avoir un comportement ne
répondant pas à la politique de sécurité. En
observant par exemple la bande passante monopolisée par un utilisateur,
il peut être utile d'utiliser les techniques de mise en conformité
pour isoler et informer l'utilisateur du non-respect de la charte qu'il a
acceptée. La mise en place de système de détection
d'intrusions (IDS), comportemental ou par signatures, peut aussi permettre de
décider de la mise à l'écart d'un système
d'extrémité de manière dynamique. Dans ce cas, la
réactivité de l'infrastructure à se protéger est
bonne mais le risque d'erreur est aussi important, de plus les risques de
dénis de service ne sont pas négligeables.
2.3 - ÉTUDE COMPARATIVE DES SOLUTIONS
DISPONIBLES
2.3 ÉTUDE COMPARATIVE DES SOLUTIONS
DISPONIBLES
Plusieurs solutions NAC sont disponibles. Elles peuvent
être classifiées sous deux principales catégories :
commerciales et libres.
2.3.1 Les Solutions Commerciales
2.3.1.1 Microsoft : Network Access Protection (NAP)
Les déploiements de la technologie NAP exigent des
serveurs dotés de Windows Server 2008 ou 2012 et plus . De plus, cela
suppose que des ordinateurs clients, exécutant Windows XP, Windows
Vista, Windows 7 ou Windows 8, soient disponibles. Le serveur central
chargé de l'analyse de détermination de l'intégrité
pour la technologie NAP est un ordinateur doté de Windows Server 2008 ou
2012 et d'un serveur NPS (Network Policy Server). NPS est
l'im-plémentation Windows du serveur et proxy RADIUS (Remote
Authentication Dial-In User Service). Le NPS remplace le service
d'authentification Internet (IAS ou Internet Authentication Service) dans le
système d'exploitation Windows Server 2003. Les
périphériques d'accès et les serveurs NAP assument la
fonction de clients RADIUS pour un serveur RADIUS NPS. NPS effectue une
tentative d'authentification et d'autorisation d'une connexion réseau
puis, en fonction des stratégies de contrôle
d'intégrité, détermine la conformité de
l'intégrité des ordinateurs et la manière de restreindre
l'accès réseau d'un ordinateur non conforme.
FIGURE 2.1. Architecture d'une solution Microsoft NAP
15
16
2.3 - ÉTUDE COMPARATIVE DES SOLUTIONS
DISPONIBLES
2.3.1.2 Solution Juniper
La solution Juniper ou Unified Access Control (UAC) s'appuie
sur les normes de l'in-dustrie, notamment 802.1X, RADIUS, IPsec et IF-MAP de
TNC, lesquelles permettent l'intégration de la solution UAC à
n'importe quel équipement de sécurité et réseau
tiers. Elle combine l'identité des utilisateurs, le statut de
sécurité des dispositifs et les informations sur l'emplacement
dans le réseau pour créer une stratégie de contrôle
des accès, unique pour chaque utilisateur (qui fait quoi et quand?). La
solution peut être activée en couche 2 à l'aide du
protocole 802.1X, ou en couche 3 via un déploiement de réseaux
superposés. UAC peut également être mis en oeuvre dans un
mode mixte qui utilise le protocole 802.1X pour contrôler les admissions
sur le réseau et la couche 3 pour contrôler les accès aux
ressources.La figure suivante présente un exemple d'architecture pour
une solution UAC :
FIGURE 2.2. Architecture de la solution Juniper UAC
| 
