Les NAC Network Access Control

Plan NAC : qu'est ce que c'est ? Les objectifs du NAC Les concepts Concepts – pré admission Les mises en oeuvre Cisco Microsoft Les solutions libres PacketFence Zero Effort NAC (ZEN Conclusion

NAC : qu'est ce que c'est ? Ensemble de méthodes et de règles décrivant le contrôle d'accès au réseau de l'entreprise

Les objectifs du NAC Améliorer la sécurité en appliquant des règles globales dans l'ensemble de l'infrastrucure Améliorer les temps de réponses aux alertes de sécurité (ZeroDay attack) Amélioration de l'authentification

Les concepts Pré-admission (postes examinés avant la connexion au réseau: antivirus) ou post- admission (liées aux actions des utilisateurs) Agent (logiciel installé) / sans agent (utilisation de techniques de scan distantes) Out-of-band (utilisent l'infrastructure existante: blocage des switch)/en-ligne (1 appliance bloquant au niveau applicatif)

Les concepts – suite Remediation, quarantaine et portail captif Mise en oeuvre NAC => blocage de postes si la sécurité est insuffisante => mécanisme de remédiation Les stratégies : Quarantaine Réseau à accès limité (VLAN) Portail captif intercepte les requêtes HTTP et redirige sur une page web indiquant comment mettre à jour le poste et obtenir l'accès

VMPS VLAN Managment Policy Server Les switch (CISCO) interrogent un serveur spécifiant l'appartenance des ports à un VLAN. En fonction de l'adresse MAC du client, le port est affecté à un VLAN spécifique

Les mises en oeuvre CISCO Microsoft HP (switch Procurve) Nortel Juniper Networks Sophos, Symantec, Trend Micro, ... et les solution opensource

Cisco Network Admission Control Appliance spécifique Utilise les VLAN et les switches Cisco (!!)

Microsoft Network Access Protection Plus orienté sur DHCP que sur 802.1X Permet de contrôler l'accès au réseau d'un PC si un anti-virus est installé, le pare-feu est actif, le poste appartient au domaine ... Contrôle l'accès depuis le serveur DHCP, le VPN, l'accès au domaine, les certificats IPSEC Clients et serveur NAP Nombreux accord signés Faiblesses si le client est en adressage statique

Les solutions libres En fort développement Utilisent des briques d'infrastructures libres (Snort, Nessus, Mysql, PHP, Apache...) Les plus connues : PacketFence, et FreeNAC Les autres : Rings, NetReg, HUPnet, Ungoliant

PacketFence Zero Effort NAC (ZEN) – 1 Assure les fonctionnalités suivantes : Enregistrement des périphériques réseau Détecte les activité réseau anormales(worms, spyware, etc.) grâce à Snort Isole les éléments problématiques (VLAN de quarantaine) Portail captif Scan de vulnérabilité avec Nessus Isolation des VLAN (switch 3COM, Cisco, Dell, HP, Intel Linksys, ...) Support 802.1X avec FreeRADIUS

PacketFence - 2 Assure les fonctionnalités suivantes : Intégration Wifi Détection DHCP qui permet de reconnaître téléphones IP, smartphones et tablettes Interface web et ligne de commande Peut réaffecter un port ne respectant pas la stratégie de sécurité à un VLAN particulier (quarantaine)

PacketFence - 3 Inclut Snort (pour la détection de motifs) Et Nessus (pour la vérification des hôtes) Peut réaffecter un port ne respectant pas la stratégie de sécurité à un VLAN particulier (quarantaine) Dernière version 3.0.3 (11/2011)

FreeNAC contrôle l'accès au réseau interne (NAC) Développé par Swisscom Gère les switch Gère l'inventaire Gère les VLAN dédié aux visiteurs.

Les portail captifs Force un client web à afficher une page particulière pour authentification permet d'imposer un paiement Mise en oeuvre Redirection HTTP (interception et envoi Err 302) Redirection IP (couche 3) Redirection par DNS (renvoie l'adresse du portail)

Les portail captifs - 2 Demandent une authentification par une page HTTPS Gèrent RADIUS Exemples : PepperSpot Chilispot Monowall (FreeBSD) Pfsense (FreeBSD)

Conclusion Mécanismes très puissants Encore sensibles aux fragilités de la couche MAC Configuration souvent complexe et lourde => investissement conséquent