Network Access Control

Qu’est-ce que le NAC ?

Le contrôle d’accès au réseau (NAC), également appelé contrôle d’admission au réseau, est une méthode visant à renforcer la sécurité, la visibilité et la gestion des accès à un réseau propriétaire. Il limite la disponibilité des ressources réseau aux terminaux et aux utilisateurs qui respectent une politique de sécurité définie.

Le NAC peut également fournir une protection de la sécurité des terminaux, telle qu’un logiciel antivirus, un pare-feu et une évaluation des vulnérabilités, en association avec des politiques d’application de la sécurité et des méthodes d’authentification du système.

Objectif

Les solutions NAC aident les organisations à contrôler l’accès à leurs réseaux grâce aux fonctionnalités suivantes :

Gestion du cycle de vie des politiques : Applique des politiques pour tous les scénarios professionnels sans avoir besoin de produits séparés ou de modules supplémentaires.
Établissement de profils et visibilité : Reconnaît les utilisateurs et leurs appareils et établit un profil avant qu’un code malveillant ne puisse endommager le réseau.
Accès invité au réseau : Gère les invités via un portail personnalisable en libre-service qui comprend l’enregistrement, l’authentification, le parrainage et un portail de gestion des invités.
Vérification de la posture de sécurité : Évalue la conformité aux politiques de sécurité en fonction du type d’utilisateur, du type d’appareil et du système d’exploitation.
Réponse aux incidents : Atténue les menaces réseau en appliquant des politiques de sécurité qui bloquent, isolent et réparent les appareils non conformes sans nécessiter l’intervention de l’administrateur.
Intégration bidirectionnelle : S’intègre à d’autres solutions de sécurité et de réseau via une API ouverte ou RESTful.

Pourquoi utiliser un NAC ?

Traditionnellement utilisés par les institutions financières, les entreprises ayant des exigences de sécurité élevées et certaines universités, l’utilisation des systèmes NAC augmente maintenant rapidement. Cette croissance est due à l’augmentation exponentielle des politiques d’apport de votre propre appareil (BYOD) et des appareils Internet des objets (IoT) sur le réseau, ainsi qu’à l’intégration de plus en plus accessible de la technologie NAC dans la gestion des appareils mobiles, les systèmes de gestion des informations et des événements de sécurité (SIEM), les pare-feu de nouvelle génération et les produits de détection des menaces.

Le NAC répond à plusieurs types traditionnels de besoins de sécurité :

Apportez votre propre appareil (BYOD) : Protège contre les vulnérabilités créées lorsque les employés utilisent leurs propres appareils ou utilisent des appareils de l’entreprise à distance.
Accès au réseau pour des non-employés : Accorde un accès temporaire à des non-employés, tels que des sous-traitants, des consultants et des partenaires.
Internet des objets (IoT) : Empêche les cybercriminels d’exploiter les appareils IoT connectés au réseau de l’entreprise mais souvent négligés en termes de sécurité et de surveillance.
Réponse aux incidents : Identifie les appareils compromis et désactive automatiquement l’accès pour empêcher une attaque de se propager sur le réseau.

Les types de contrôle d’accès réseau

Les outils NAC sont proactifs et conçus pour arrêter les accès non autorisés avant qu’ils ne se produisent. Ils protègent le périmètre réseau d’une organisation, y compris l’infrastructure physique, les appareils, les logiciels, les applications et les actifs basés sur le cloud.

Il existe deux types de NAC :

Pré-admission : Évalue les tentatives d’accès et n’autorise l’accès qu’aux appareils et utilisateurs autorisés.
Post-admission : Ré-authentifie les utilisateurs essayant d’entrer dans une autre partie du réseau ; limite également les mouvements latéraux pour limiter les dommages causés par les cyberattaques.

La sécurité réseau

Le NAC fait partie des éléments du plan de sécurité d’un réseau. Les technologies et les processus qui composent la sécurité du contrôle d’accès au réseau (NAC) existent sous diverses formes depuis de nombreuses années, à l’origine dans le cadre de systèmes de prévention des intrusions (IPS) ou intégrés dans divers autres produits, tels que les systèmes sans fil.

Cependant, dans le passé, la sécurité NAC n’était pas fournie de manière unifiée, contrairement à la manière dont elle peut maintenant être déployée.

Cyberattaque Target Corporation

Entre le 27 novembre 2013 et le 15 décembre 2013, Target s’est fait subtiliser plus de 40 millions de données bancaires, auxquelles s’ajoutent 70 millions de données personnelles.

La méthode d’attaque est classique, mais bien exécutée : les attaquants ont d’abord piraté un sous-traitant du distributeur chargé de la surveillance à distance des systèmes de chauffage et de climatisation.

Le système de facturation externe de Target, auquel le sous-traitant (et donc les attaquants) avait accès, n’étant pas complètement isolé du réseau interne, les cybercriminels ont réussi à s’y infiltrer, à voler 70 millions de données personnelles et à installer un logiciel malveillant sur quelques terminaux de paiements.

C’est là que nous pouvons voir l’utilité d’un NAC et aussi l’importance de sa bonne configuration.

L’authentification RADIUS

Le RADIUS est un protocole client-serveur permettant de centraliser des données d’authentification. Il a été inventé en 1991 par la société Livingston, qui fabriquait des serveurs d’accès au réseau pour du matériel uniquement équipé d’interfaces série. Il a par la suite fait l’objet d’une normalisation par l’IETF.

Le RADIUS est un protocole dénommé AAA (Authentication, Authorization, Accounting – Authentification, Autorisation et Traçabilité).

L’architecture AAA permet aux utilisateurs d’accéder aux périphériques en réseau qui leur ont été attribués et protège le réseau contre les accès non autorisés.

Authentification et Autorisation

Les systèmes de type ID utilisateur/mot de passe d’un périphérique réseau apportent uniquement un niveau primitif de sécurité. Un nombre limité d’identifiants de compte est configuré et doit être géré sur chaque dispositif matériel.

À chaque fois qu’un compte est ajouté, supprimé ou modifié, chaque système doit être traité individuellement, ce qui est coûteux et source d’erreurs.

En outre, les utilisateurs doivent mémoriser leur identifiant et leur mot de passe pour accéder à ces périphériques.

Étant donné le nombre sans cesse croissant d’informations de ce genre à mémoriser, retrouver les identifiants corrects peut devenir un problème. Et, puisque les identifiants et les mots de passe sont parfois transmis sur le réseau en clair, un simple équipement de suivi peut permettre de récupérer ces informations facilement et peut mettre en danger le réseau.

Les systèmes AAA permettent d’éliminer ces problèmes. Les identifiants et les mots de passe sont centralisés, et les comptes existants peuvent être utilisés pour accéder à de nouveaux équipements au fur et à mesure que le réseau change ou s’agrandit.

Les processus de mise à jour des comptes existants évitent les erreurs et les sources de frustration des utilisateurs. Les identifiants et les mots de passe sont chiffrés au moyen d’un algorithme de hachage. Par conséquent, les comptes sont protégés contre les accès malveillants.

L’utilisateur ou la machine envoie une requête à un serveur d’accès réseau (NAS) pour avoir une ressource particulière du réseau en fonction de ses identifiants.

Les identifiants sont envoyés au NAS par un protocole de liaison (par exemple le PPP) dans le cas où il y a plusieurs fournisseurs de DSL, d’appel ou à travers l’HTTPS.

À son tour, le NAS envoie un message RADIUS « Access Request » au serveur RADIUS, requérant de lui fournir l’accès via le protocole RADIUS.

Cette requête inclut les identifiants d’accès, typiquement sous la forme d’utilisateur/mot de passe ou un certificat fourni par l’utilisateur. La requête peut aussi contenir des informations supplémentaires. Ces informations sont connues par le NAS, elles peuvent être : une adresse IP, une adresse MAC, un numéro de téléphone, le type d’objet, etc.

Le serveur RADIUS vérifie si l’information est correcte à travers ses protocoles d’authentification qui peuvent être : le PAP, le CHAP ou l’EAP. La preuve d’authentification est vérifiée, avec les informations de connexion éventuelles telles que les privilèges d’accès réseau ou les privilèges de compte.

Historiquement, les serveurs RADIUS vérifiaient les informations des utilisateurs avec des bases de données stockées en local.

Les serveurs RADIUS d’aujourd’hui, en plus de cette possibilité, utilisent des sources d’authentification externes telles que le SQL, le Kerberos, le LDAP ou l’Active Directory pour authentifier les utilisateurs.

Lors d’une connexion, le serveur RADIUS retourne une de ces trois réponses suivantes au NAS :

Access Reject
Access Challenge
Access Accept
L’utilisateur a inconditionnellement un accès refusé à toutes les stratégies réseaux. Les raisons peuvent être :
- L’impossibilité de fournir une identification
- Les identifiants ne correspondent pas aux stratégies réseaux
Access Challenge
Des informations de connexion comme un second mot de passe, un code PIN, un token sont nécessaires. On utilise souvent cette méthode d’authentification car elle est plus complexe. Un tunnel sécurisé doit être établi entre l’utilisateur/machine et le serveur RADIUS. De cette façon, les identifiants d’accès sont cachés au NAS.
Access Accept
L’utilisateur a accès au réseau. Une fois l’utilisateur authentifié, le serveur RADIUS va régulièrement vérifier que l’utilisateur a l’autorisation d’utiliser les services réseaux demandés. Par exemple, un utilisateur peut être autorisé à utiliser le Wi-Fi de l’entreprise mais pas son VPN. Une fois encore, cette information peut être stockée sur le serveur RADIUS ou peut être vérifiée par une source externe (LDAP / AD).
Chacune de ces trois réponses RADIUS peut inclure un attribut « Reply-Message » qui peut donner la raison du refus, la rapidité de l’échange ou alors un message de bienvenue. Le texte peut être retourné à l’utilisateur par une redirection sur un site web.
Des attributs d’autorisation sont transmis en stipulant les termes de connexion au réseau. Par exemple, les attributs suivants peuvent être inclus dans un Access-Accept :
- Une adresse IP spécifique peut être attribuée
- Le pool d’adresse IP dans lequel l’IP peut être choisie
- Le temps maximum et les horaires où l’utilisateur peut se connecter
- Une liste d’accès, une file de priorité
- Des paramètres L2TP
- Des paramètres VLAN
- Des paramètres de QoS
Traçabilité
Quand l’accès au réseau est accordé par le NAS, un « Accounting Start » (un paquet RADIUS contenant le champ Acct-Status-Type avec la valeur « Start ») est envoyé par le NAS au serveur RADIUS pour lui signaler la connexion du client. L’enregistrement Start contient les identifiants de l’utilisateur, son point d’attachement et un identifiant de session unique.
Périodiquement, l’enregistrement « Interim Update » (un paquet RADIUS contenant le champ Acct-Status-Type avec la valeur « Interim-Update ») peut être envoyé par le NAS au serveur RADIUS pour le mettre à jour en fonction de la session active. L’enregistrement « Interim » transmet des informations sur le temps d’ouverture de session et sur l’usage des données en temps réel.
Finalement, quand la session de l’utilisateur est fermée, le NAS envoie un « Accounting Stop » (un paquet RADIUS contenant le champ Acct-Status-Type avec la valeur « Stop ») au serveur RADIUS, lui donnant des informations sur l’usage final en termes de temps, des paquets transférés, des données transférées, la raison de la déconnexion et d’autres informations liées à l’accès réseau de l’utilisateur.
Typiquement, un client va envoyer des paquets Accounting-Request jusqu’à ce qu’il reçoive un accusé de réception Accounting-Response.
Le protocole 802.1X
Le protocole 802.1X permet de contrôler l’accès d’équipements informatiques à des réseaux locaux, qu’ils soient filaires ou Wi-Fi. Ce guide présente le protocole de façon succincte, ainsi que les objectifs de sécurité auxquels il permet de répondre. Il aborde ensuite les recommandations de déploiement de l’ANSSI et présente différents cas d’usage destinés à aider le lecteur dans la mise en œuvre de ce protocole.
Cette norme d’authentification présente quelques avantages significatifs par rapport au mot de passe de réseau sans fil typique utilisé par de nombreuses entreprises :
- Il s’assure que les clients sans fil se connectent à votre réseau sans fil. Il est très facile pour un attaquant de créer un réseau sans fil portant le même nom que le vôtre et de faire en sorte que des clients s’y connectent et envoient sans le savoir des données sensibles dessus.
- L’authentification est propre à l’utilisateur. Le mot de passe du réseau sans fil n’est pas le même pour tout le monde. Les personnes qui quittent et dont le compte est désactivé perdent immédiatement l’accès.
RADIUS Cloud
Avec la prédominance du télétravail dans la manière de travailler actuelle, de nombreuses organisations transfèrent leur infrastructure vers une solution de Cloud. Grâce à des solutions de gestion des identités d’accès, des solutions RADIUS Cloud sont apparues comme JumpCloud ou encore Cisco ISE, permettant une approche multiplateforme.
Présentation des solutions NAC
PacketFence
PacketFence est une solution de conformité réseau gratuite. Procurant une liste impressionnante de fonctionnalités telles qu’un portail captif pour l’enregistrement ou la remédiation, une gestion centralisée des réseaux filaire et sans fil, le support pour le 802.1X, l’isolation niveau 2 des composantes problématiques, l’intégration au détecteur d’intrusions Snort et au détecteur de vulnérabilités Nessus, elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.
PacketFence nécessite certains composants pour fonctionner :
- Une base de données (MariaDB)
- Un serveur Web (Apache)
- Un serveur DHCP (PacketFence)
- Un serveur RADIUS (FreeRADIUS)
- Un firewall (iptables)
S’ils ne sont pas présents, ces paramètres seront installés et configurés durant l’installation du package PacketFence.
Microsoft NPS
Le NPS de chez Microsoft peut être utilisé en tant que serveur RADIUS. Pour ce faire, il faut configurer les serveurs d’accès réseau, tels que les points d’accès sans fil et les serveurs VPN, en tant que clients RADIUS dans le NPS. Il faut également configurer les stratégies réseau utilisées par NPS pour autoriser les demandes de connexion. On peut éventuellement configurer la gestion des comptes RADIUS de sorte que le NPS enregistre les informations de gestion des comptes dans des fichiers journaux sur le disque dur local ou dans une base de données Microsoft SQL Server.
Microsoft NPS peut aussi être utilisé comme proxy RADIUS, permettant de configurer des stratégies de demande de connexion indiquant au serveur NPS les demandes de connexion à transférer vers d’autres serveurs RADIUS et vers quels serveurs RADIUS on souhaite transférer des demandes de connexion.
Cisco ISE
L’ISE est un contrôleur d’accès réseau chez Cisco. Il permet de créer et d’appliquer des stratégies d’accès réseau à l’ensemble d’une organisation pour l’authentification et l’autorisation des demandes de connexion. Il possède de nombreuses possibilités de supervision, de stratégies réseaux et de profiling.
L’ISE peut utiliser un domaine Active Directory Domain Services (ADDS) ou la base de données de comptes d’utilisateurs SAM locale pour authentifier les informations d’identification de l’utilisateur pour les tentatives de connexion.
La solution Cisco est celle qui présente le plus d’outils, comme l’utilisation possible du BYOD ou la possibilité d’isoler directement des machines présentant des menaces pour le système d’information.
Conclusion
Choisir d’implémenter NAC peut améliorer considérablement la posture de sécurité du réseau d’une organisation en permettant un meilleur contrôle sur les appareils qui accèdent au réseau et sur ce à quoi ils ont accès. En plaçant efficacement les parties non fiables, telles que les visiteurs ou les tiers, dans des segments de réseau spécifiques, le risque d’une violation intentionnelle ou accidentelle peut être réduit.
Déterminez si les principaux avantages du NAC, tels qu’un meilleur contrôle sur le BYOD et l’IoT, un accès plus granulaire aux partages réseau et une meilleure protection contre les APT, valent l’investissement. Tenez compte du fait que la mise en œuvre du NAC nécessite non seulement des dépenses initiales, mais également un investissement continu sous la forme de licences supplémentaires, de formation, de surveillance du système NAC et de réponse aux alertes.
Et, n’oubliez pas, NAC doit également travailler en harmonie avec les systèmes de sécurité informatique existants. Un certain nombre de produits de contrôle d’accès au réseau s’intègrent directement aux systèmes MDM ou SIEM existants, qui disposent de consoles de gestion centrales, et réduisent les coûts associés à l’administration et à la formation.

Étiqueté blog

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.