Contrôle d'accès au réseau

Le contrôle d'accès au réseau ( NAC ; contrôle d'accès au réseau allemand ) est une technologie qui prend en charge la défense contre les virus , les vers et les accès non autorisés depuis le réseau. Avec NAC, la conformité des périphériques finaux aux directives est vérifiée lors de l' authentification . Est-ce que z. Si, par exemple, l'analyseur de virus n'est pas à jour ou si le système d'exploitation client ne dispose pas du dernier correctif de sécurité , le terminal concerné est placé en quarantaine et reçoit les mises à jour actuelles jusqu'à ce qu'il se conforme à nouveau aux consignes de sécurité applicables. Au départ, les fonctions requises pour cela étaient réparties sur les composants du réseau tels que les routeurs et les commutateurs . Toutes les fonctionnalités peuvent également être regroupées sur des appareils renforcés .

Tâches

Les tâches principales sont:

1. identification claire et attribution des rôles des utilisateurs et des appareils
2. Préservation des consignes de sécurité créées
3. Mise en quarantaine et récupération automatique des appareils finaux non conformes
4. Administration et création de directives et de rôles individuels pour différents groupes d'utilisateurs

conditions

Le contrôle d'accès au réseau répond essentiellement à deux exigences:

D'une part, un aperçu complet des appareils situés dans le réseau (de l'entreprise) et où ils sont connectés. Le type de terminal, comme les clients, les imprimantes, les systèmes de production, les guichets automatiques, les dispositifs médicaux, les tablettes, les smartphones, les réfrigérateurs, les machines à café, etc. ne doit pas jouer de rôle. Cette vue d'ensemble empêche les systèmes étrangers ou inconnus d' accéder au réseau interne (de l'entreprise) simplement en utilisant le WLAN ou une prise réseau libre. Cela signifie que seuls vos propres systèmes et ceux approuvés peuvent être exploités dans le réseau.

La deuxième exigence est une fonction dite de conformité, qui consiste à vérifier si les terminaux déjà présents sur le réseau, les exigences de sécurité ou les politiques de sécurité sont conformes à l'entreprise. Cela affecte généralement les propriétés telles que l'installation existante et l'état d'un programme antivirus ou d'un pare-feu de bureau . En outre, si les derniers correctifs Windows sont installés et parfois des vérifications encore plus poussées pour les correctifs existants pour des applications courantes telles que Firefox ou Adobe, qui peuvent être exploitées.

L'objectif est de ne faire fonctionner que des terminaux au sein de votre propre réseau qui répondent à toutes ces exigences et donc aux consignes de sécurité. Si un système ne résiste pas à l'examen, des contre-mesures appropriées (mise en quarantaine et réparation avec correctifs; reconfiguration du système) sont lancées.

Il existe également des différences dans l'interprétation de l'accès au réseau à surveiller ( LAN , WLAN , WAN ). Il existe différentes approches et implémentations techniques ainsi que des produits commerciaux et open source pour répondre à cette exigence .

l'histoire

En général, le contrôle d'accès au réseau est quelque chose qui a été discuté depuis que ces mêmes accès existaient. Il y avait des approches et des produits qui avaient plus ou moins de succès. Des infrastructures réseau hétérogènes, une couverture réseau insuffisante, une complexité élevée et des coûts élevés sont les raisons les plus courantes de l'échec des approches. La plupart des entreprises n'ont toujours pas de solution pour cela. De plus, il n'existe pas de définition claire du terme «contrôle d'accès au réseau», de sorte que les offres associées varient également fortement. Les autres termes qui ont également contribué à la confusion, puisqu'ils concernent essentiellement le même sujet, incluent «Network Admission Protocol» (NAP) et «Network Admission Control» (NAC).

Les technologies

Analyse réseau basée sur IP

Avec cette technologie, le réseau est scanné pour les adresses IP utilisées en envoyant un ping aux espaces d'adressage ou en lisant les caches ARP du routeur . Les appareils finaux ainsi reconnus sont alors généralement identifiés plus précisément par des scans supplémentaires afin de vérifier s'ils sont des appareils connus et approuvés.

Si des appareils tiers sont reconnus, leur communication est interrompue par diverses technologies ou, par exemple, redirigée vers un portail invité. Dans certains cas, le spoofing ARP est même utilisé, ce qui est en fait davantage une technologie d'attaque.

Analyse du trafic à l'aide d'appareils de passerelle

Pour l'analyse du trafic, des appliances ont été créées par divers fabricants qui vérifient le trafic réseau en ligne et voient ainsi également chaque périphérique qui communique sur le réseau. Les paquets de données provenant de systèmes indésirables peuvent simplement être «abandonnés» , ce qui signifie que les intrus ne peuvent plus communiquer sans entrave dans le réseau. Le problème ici est que ces appareils doivent être répartis sur tout le réseau pour pouvoir couvrir chaque sous-zone. Cela signifie qu'il doit y avoir un capteur dans chaque sous - réseau et surveiller le trafic. Cela rend généralement ces projets très longs, complexes et, surtout, très coûteux, car, en fonction de la taille de l'entreprise, un grand nombre d'appareils doivent être achetés. Le contrôle doit bien sûr être fait en temps réel, sinon un goulot d'étranglement sera créé qui ralentira la communication dans le réseau et perturbera ainsi le travail quotidien. Un autre point faible de cette technologie est que les intrus qui écoutent uniquement et donc n'envoient aucun paquet de données ne sont pas reconnus. L'espionnage par simple écoute clandestine est toujours possible sans restrictions.

Cependant, même si des appareils appropriés ont été distribués partout, il y a des zones qui ne peuvent pas être enregistrées. Les périphériques connectés à un commutateur peuvent généralement communiquer entre eux sans que le trafic de données ne passe par une appliance NAC. Cela signifie qu'au moins les voisins directs peuvent être attaqués et également exploités afin de pénétrer le réseau plus large à partir de ces appareils.

Agent basé

Ici, un agent est installé sur tous les périphériques finaux qui garantit que les périphériques finaux peuvent s'authentifier auprès d'un service central du réseau et que seuls les périphériques finaux correctement gérés (chiffrés) peuvent communiquer entre eux. Les systèmes externes ne peuvent pas se connecter directement aux propres appareils de l'entreprise. Le grand défi de cette approche, cependant, est de fournir des agents pour les nombreux systèmes d' exploitation différents et donc de couvrir l'ensemble du réseau.

Outre les approches propriétaires, cette catégorie comprend également la norme IEEE 802.1X, qui repose entre autres sur l'utilisation d'agents (supplicants) déjà fournis par le système d'exploitation. Néanmoins, la couverture complète de tous les participants au réseau n'est généralement pas garantie ici non plus - en particulier les anciens appareils et commutateurs ne prennent souvent pas en charge cette fonction.

802.1X est décrit en détail dans un article séparé - par souci d'exhaustivité, cependant, il convient de mentionner à ce stade qu'il s'agit d'une approche proactive. Si un appareil est connecté à un commutateur ou un point d'accès , il doit s'authentifier avec un ID approprié (par exemple, nom d'utilisateur et mot de passe ou certificat ). Le commutateur ou le point d'accès, à son tour, a la validité de l'ID vérifiée par un serveur RADIUS , qui, en plus d'un «Accepter» ou «Refuser», peut également transmettre diverses autres règles en réponse, telles que des VLAN attribués ou ACL . La principale complexité ici est l'administration du serveur RADIUS et des identités.

Basée sur le commutateur

En règle générale, le protocole SNMP est utilisé pour cela , ce qui offre la possibilité de communiquer avec presque tous les commutateurs, car presque tous les fabricants de commutateurs professionnels prennent en charge ce protocole. Selon les besoins, cependant, z. B. SSH ou d'autres protocoles (si possible cryptés) peuvent être utilisés.

Cette communication peut d'abord être utilisée pour obtenir une vue d'ensemble complète du réseau, quelle que soit la taille du réseau. Chaque appareil connecté à un port de commutateur et qui communique est reconnu. Dès qu'un nouveau périphérique est connecté, soit le commutateur informe activement le système NAC via un piège, soit le système NAC demande régulièrement au commutateur les périphériques actuellement connectés.

Les périphériques sont identifiés via l' adresse MAC , c'est pourquoi cette approche est souvent également appelée «NAC basé sur MAC». En conservant une liste blanche, vous pouvez définir quels appareils sont autorisés dans le réseau de l'entreprise et lesquels ne le sont pas. Un commutateur peut recevoir une commande du système NAC et reconfigurer un port réseau via le même chemin de communication que la détection. Donc, si un système étranger ou indésirable est connecté et reconnu en conséquence, z. B. le port réseau peut être désactivé automatiquement - l'appareil perd immédiatement la connexion réseau - physiquement!

Au fur et à mesure que cette technologie mûrit, de plus en plus d'options différentes ont été créées dans les commutateurs qui apportent certains avantages. Même dans le plus petit des réseaux, les VLAN sont déjà utilisés aujourd'hui. Les réseaux virtuels offrent un moyen pratique de segmenter le réseau indépendamment de la structure physique.

Étant donné que les VLAN sont également configurés sur les commutateurs, c'est une extension évidente du contrôle d'accès réseau non seulement pour pouvoir bloquer les ports réseau, mais aussi pour pouvoir les rediriger. Les systèmes externes ne doivent plus être complètement séparés du réseau, mais peuvent être commutés vers une zone d'invité distincte, où z. B. seul Internet est offert.

Le problème demeure que l'adresse MAC peut être forgée très facilement. Un intrus peut choisir n'importe quelle adresse - par exemple, la copier à partir de l'imprimante et la saisir pour accéder au réseau.

Pour cette raison, certaines solutions professionnelles vont encore plus loin et comparent de nombreuses autres propriétés système, telles que l'adresse IP, le nom d'hôte , le système d'exploitation ou les ports IP ouverts et fermés . En conséquence, cela signifie qu'un intrus doit non seulement forger l'adresse MAC pour y accéder, mais également toutes les autres propriétés. Si certaines parties des propriétés diffèrent, le système NAC peut déclencher une alarme en conséquence.

En plus de l'aspect sécurité, une gestion pratique des VLAN peut également être établie de cette manière, en ce que le VLAN appartenant au périphérique terminal est toujours automatiquement configuré pour chaque port. En conséquence, chaque employé, quel que soit l'endroit où il rejoint, dispose toujours de son environnement familier et des ressources dont il a besoin.

Identités

Lors du contrôle de l'accès au réseau, le principe est de déterminer et de gérer les identités des participants au réseau et d'accorder ou de refuser l'accès en conséquence. Une distinction doit être faite entre les identités des appareils et les identités des utilisateurs, puisque le contrôle d'accès au réseau est orienté appareil dans la première étape. Les utilisateurs sont à leur tour contrôlés au sein du réseau par d'autres systèmes, tels que le système d'autorisation dans Active Directory ou d'autres services d'annuaire .

Néanmoins, Active Directory ou, en principe, les services LDAP sont également des sources d'identité populaires qui peuvent également être utilisées pour le contrôle d'accès au réseau. Il existe les restrictions suivantes:

• La simple prise en compte des périphériques d'Active Directory est relativement simple et a généralement du sens pour simplifier la maintenance. Il convient de noter, cependant, que la définition des groupes de périphériques AD à contrôler dans quel segment de réseau ou VLAN doit être bien planifiée et structurée afin que les changements d'un côté ou de l'autre ne causent aucune difficulté.
• Il ne suffit certainement pas de regarder les utilisateurs depuis l'AD. Avec cette méthode, chaque employé peut emporter n'importe quel appareil avec lui et le faire fonctionner dans le réseau - un véritable contrôle d'accès au réseau n'est plus possible car les appareils non sécurisés peuvent obtenir un accès complet à tout moment.
• Une combinaison d'utilisateurs et de périphériques de l'AD pour déterminer les droits d'accès spécifiques n'est généralement pas très facile et crée un niveau de complexité élevé. Cependant, si différents accès doivent effectivement être accordés à différents utilisateurs sur le même terminal, ces règles doivent être soigneusement planifiées et mises en œuvre avec soin. En fonction de la complexité des souhaits, cela peut signifier un effort considérable, qui doit être soigneusement analysé au préalable pour déterminer s'il est opportun et / ou nécessaire.
  • L'Active Directory lui-même contrôle exactement quel employé a accès à quel serveur et à quels services de l'entreprise via les autorisations attribuées aux utilisateurs. Si un employé «normal» et plus tard un administrateur informatique se connectent à un seul et même appareil avec son compte utilisateur, cela permet de contrôler les accès autorisés. La modification du segment de réseau dans lequel se trouve le terminal n'est donc nécessaire que si les systèmes requis par l'administrateur ne peuvent pas être atteints dans le segment de réseau actuel. Cette situation ne se produit généralement que dans des réseaux très vastes et très structurés. En outre, le BSI recommande généralement de ne pas effectuer de mesures administratives à partir d'un système utilisateur régulier. Le code malveillant existant pourrait autrement recevoir des droits administratifs et causer des dommages considérables.
  • Par conséquent, dans la grande majorité des cas, l'autorisation des terminaux est suffisante, ou la réduction des règles à des cas particuliers très particuliers.

En plus des annuaires Active Directory et LDAP, il existe diverses autres sources d'identité, telles que diverses bases de données, par ex. B. Systèmes d'assistance ou CMDB ou produits de gestion d'appareils mobiles . Fondamentalement, chaque répertoire avec des identités de périphérique peut être utilisé pour simplifier l'introduction et la maintenance du contrôle d'accès au réseau. Les différences sont que certaines «sources» peuvent être authentifiées en direct, tandis que d'autres ne peuvent être utilisées que pour apprendre les identités et doivent être synchronisées avec le système NAC pour cela.

Accès temporaire pour les invités et autres visiteurs

Étant donné que l'accès au réseau est protégé contre l'accès par des «périphériques non-société» par le contrôle d'accès au réseau, les solutions NAC commerciales sont généralement proposées en conjonction avec un portail invité. De cette manière, les périphériques externes et les utilisateurs peuvent avoir un accès temporaire aux ressources définies - l'identité correspondante est temporairement tolérée dans le réseau. La mise en œuvre technique d'un tel portail est décrite en détail dans l'article séparé « Portail captif ».

Avec les systèmes mobiles de plus en plus diversifiés, les exigences d'accès plus complexes des employés et le besoin croissant de permettre aux techniciens de maintenance d'avoir un accès réseau dédié, cette exigence augmente.

Animés par le thème «apportez votre propre appareil», les portails invités sont en partie élargis pour donner aux employés la possibilité d'enregistrer leurs propres appareils et de les faire fonctionner dans le réseau de l'entreprise.

Conformité

Dans le cadre du contrôle d'accès au réseau, la conformité fait généralement référence à la conformité informatique, dans laquelle une distinction doit être faite entre l'objectif et les exigences. Dans ce contexte, il est particulièrement intéressant de savoir si les terminaux respectent les consignes de sécurité et sont «conformes» à cet égard. Les directives portent alors principalement sur des détails relatifs à la sécurité tels que l'état du programme antivirus (version, actif / inactif, âge des signatures ), l'état du pare-feu de bureau, le niveau du correctif (système d'exploitation, navigateur , plug-ins et autres applications), l'état du cryptage, etc.

Ce statut peut être déterminé à distance ou par agent. Les appareils terminaux sont scannés à distance principalement via WMI, SNMP ou NMAP. Des requêtes basées sur un navigateur via ActiveX ou JavaScript sont également possibles . Avec les droits locaux appropriés, les agents ont la possibilité de vérifier beaucoup plus en profondeur et pas seulement de s'appuyer sur des clés de registre ou des API d'autres fabricants. Alors z. Par exemple, les versions de fichier peuvent être comparées aux valeurs cibles à l' aide d'une valeur de hachage au lieu de simplement vérifier si l'installation d'un correctif a été entrée dans la base de données d' enregistrement alors que l'installation a échoué.

Il existe également différentes stratégies pour le moment de l'examen. Alors qu'un agent peut vérifier en permanence l'état et Si, par exemple, vous connaissez déjà l'état du terminal avant la connexion au réseau, des tests sans agent doivent être effectués à certains moments, dans certaines situations et / ou de manière cyclique.

L'option la plus sûre est de passer le test avant l'admission au réseau, ce qui est souvent difficile à mettre en œuvre dans la pratique. Les tests sont donc souvent réalisés par la suite et conduisent si nécessaire à un verrouillage réactif du système.

Outre les deux variantes décrites, certaines solutions de contrôle d'accès au réseau offrent également la possibilité de connaître l'état de conformité du terminal à partir de produits tiers et de le traiter en conséquence. Alors z. Par exemple, un serveur Microsoft WSUS peut servir de source d'informations de conformité concernant l'état du correctif, les solutions antivirus informent le système NAC des périphériques finaux infectés ou les solutions SIEM demandent au système NAC d'isoler les périphériques finaux affectés en cas de menace.

Le contrôle d'accès au réseau est donc d'une importance capitale dans les stratégies de sécurité, car les possibilités de réaction sont très efficaces et peuvent être mises en œuvre extrêmement rapidement avec un couplage direct des systèmes de sécurité.

Voir également

• Périmètre défini par logiciel

liens web

• BSI: document de synthèse sur le contrôle d'accès au réseau
• Bases de la combinaison du contrôle d'accès réseau (NAC) et de la gestion des informations et des événements de sécurité (SIEM)