Télécharger la présentation
1
Les NAC Network Access Control
2
Plan NAC : qu'est ce que c'est ? Les objectifs du NAC Les concepts
Concepts – pré admission Les mises en oeuvre Cisco Microsoft Les solutions libres PacketFence Zero Effort NAC (ZEN Conclusion
3
NAC : qu'est ce que c'est ? Ensemble de méthodes et de règles décrivant le contrôle d'accès au réseau de l'entreprise
4
Les objectifs du NAC Améliorer la sécurité en appliquant des règles globales dans l'ensemble de l'infrastrucure Améliorer les temps de réponses aux alertes de sécurité (ZeroDay attack) Amélioration de l'authentification
5
Les concepts Pré-admission (postes examinés avant la connexion au réseau: antivirus) ou post- admission (liées aux actions des utilisateurs) Agent (logiciel installé) / sans agent (utilisation de techniques de scan distantes) Out-of-band (utilisent l'infrastructure existante: blocage des switch)/en-ligne (1 appliance bloquant au niveau applicatif)
6
Les concepts – suite Remediation, quarantaine et portail captif
Mise en oeuvre NAC => blocage de postes si la sécurité est insuffisante => mécanisme de remédiation Les stratégies : Quarantaine Réseau à accès limité (VLAN) Portail captif intercepte les requêtes HTTP et redirige sur une page web indiquant comment mettre à jour le poste et obtenir l'accès
7
VMPS VLAN Managment Policy Server
Les switch (CISCO) interrogent un serveur spécifiant l'appartenance des ports à un VLAN. En fonction de l'adresse MAC du client, le port est affecté à un VLAN spécifique
8
Les mises en oeuvre CISCO Microsoft HP (switch Procurve) Nortel
Juniper Networks Sophos, Symantec, Trend Micro, ... et les solution opensource
9
Cisco Network Admission Control Appliance spécifique
Utilise les VLAN et les switches Cisco (!!)
10
Microsoft Network Access Protection
Plus orienté sur DHCP que sur 802.1X Permet de contrôler l'accès au réseau d'un PC si un anti-virus est installé, le pare-feu est actif, le poste appartient au domaine ... Contrôle l'accès depuis le serveur DHCP, le VPN, l'accès au domaine, les certificats IPSEC Clients et serveur NAP Nombreux accord signés Faiblesses si le client est en adressage statique
11
Les solutions libres En fort développement
Utilisent des briques d'infrastructures libres (Snort, Nessus, Mysql, PHP, Apache...) Les plus connues : PacketFence, et FreeNAC Les autres : Rings, NetReg, HUPnet, Ungoliant
12
PacketFence Zero Effort NAC (ZEN) – 1
Assure les fonctionnalités suivantes : Enregistrement des périphériques réseau Détecte les activité réseau anormales(worms, spyware, etc.) grâce à Snort Isole les éléments problématiques (VLAN de quarantaine) Portail captif Scan de vulnérabilité avec Nessus Isolation des VLAN (switch 3COM, Cisco, Dell, HP, Intel Linksys, ...) Support 802.1X avec FreeRADIUS
13
PacketFence - 2 Assure les fonctionnalités suivantes :
Intégration Wifi Détection DHCP qui permet de reconnaître téléphones IP, smartphones et tablettes Interface web et ligne de commande Peut réaffecter un port ne respectant pas la stratégie de sécurité à un VLAN particulier (quarantaine)
14
PacketFence - 3 Inclut Snort (pour la détection de motifs)
Et Nessus (pour la vérification des hôtes) Peut réaffecter un port ne respectant pas la stratégie de sécurité à un VLAN particulier (quarantaine) Dernière version (11/2011)
15
FreeNAC contrôle l'accès au réseau interne (NAC)
Développé par Swisscom Gère les switch Gère l'inventaire Gère les VLAN dédié aux visiteurs.
17
Les portail captifs Force un client web à afficher une page particulière pour authentification permet d'imposer un paiement Mise en oeuvre Redirection HTTP (interception et envoi Err 302) Redirection IP (couche 3) Redirection par DNS (renvoie l'adresse du portail)
18
Les portail captifs - 2 Demandent une authentification par une page HTTPS Gèrent RADIUS Exemples : PepperSpot Chilispot Monowall (FreeBSD) Pfsense (FreeBSD)
19
Conclusion Mécanismes très puissants
Encore sensibles aux fragilités de la couche MAC Configuration souvent complexe et lourde => investissement conséquent
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.