Universit de Rennes 1 Centre de Ressources Informatiques CRI 263
Av du Gnral Leclerc CS 74205 35042 RENNES Cedex
tude du contrle d'accs au rseau (NAC)pour l'Universit de
Rennes1.Du 1 mars au 31 aot 2009
Sous la responsabilit de
Roger Negaret, CRI Universit Rennes1
Achour Moustefaoui, Ifsic / IrisaFrdric BoiventMaster STS - mention
INFORMATIQUE2e anne -professionnel - spcialit SSI
Scurit des systmes d'informations
Universit de Rennes 1
Septembre 2009
RsumLa scurit informatique est un sujet ancien et abondamment
trait, qu'elle concerne l'accs Internet, avec l'tude des flux
(pare-feu, dtection d'intrusions ...), ou la scurisation des postes
de travail et des serveurs. Depuis quelques annes, un nouvel
acronyme est apparu, NAC (Network Access Control) traduit par
contrle d'accs au rseau . Ni une technologie, ni une architecture,
le NAC est plus proche du concept. Le NAC est cens mettre en uvre
la politique de scurit d'un tablissement concernant aussi bien
l'identification et l'authentification des usagers (humain ou
matriel), que l'valuation du niveau de scurit de ses usagers (avant
et aprs connexion), ces informations tant utilises pour accorder ou
non l'accs aux ressources informatiques de l'entreprise. Base sur
un bilan technologique, une description de diffrentes solutions
disponibles et la prise en compte des contraintes existantes
l'Universit de Rennes1, une solution volutive est propose. Pour des
raisons techniques, lies aux quipements rseau en place, le niveau
de scurisation obtenu ne rpond actuellement pas la politique de
scurit souhaite par l'tablissement, le renouvellement de ces
quipements permettra d'voluer vers un contrle d'accs au rseau plus
efficace.AbstractComputer science security is an old subject that
has been widely investigated either on internet trafic analysis
(firewall, intrusion detection,...), or securing personal computer
and servers. Few years ago, a new acronym has appeared: NAC for
Network Access Control. Neither a technology nor an architecture
but rather a concept. It is supposed to implement the institution's
security policy dealing with identification and authentication of
users (human being and machines) as well the evaluation of the
security level of users (before and after connection). Those
informations will then be used to authorize or decline access to
the network. Based on a study of the NAC concept, on a description
of various solutions avaible on the market (commercial and free
software) and taken into account the existing constraints of the
University of Rennes1, we propose an evolutive NAC implementation.
For technical reasons that have to do with the network products
currently in activity, the resulting security level does not match
the security requirements of the university. However, the renewal
of the network equipements will allow a more efficient access
control.
RemerciementsJe tiens remercier tout particulirement et tmoigner
toute ma reconnaissance aux personnes suivantes, pour leur soutien
et encouragements tout au long de ces six mois de stage.Je remercie
Thierry BDOUIN, le directeur du Centre de Ressources Informatiques,
et Pierre Le Cloirec, directeur de l'ENSCR (cole National Suprieur
de Chimie de Rennes) pour m'avoir permis d'accder la formation de
Master Pro SSI.Roger NEGARET, RSSI de l'Universit de Rennes1 et
matre de stage, pour m'avoir guid aux moments dlicats et soutenu
dans mes choix.Pierre-Antoine Angelini, responsable du ple
Infrastructure du CRI pour sa confiance et son soutien cette
reprise d'tude.A Caroline Stekke et Julien Jourdan (dit Coin-Coin),
deux jeunes stagiaires avec qui j'ai partag le bureau et quelques
bons moments.A l'ensemble des personnels du CRI pour leur intrt
quand mon sujet de stage et leurs nombreux encouragements tout au
long de mon anne universitaire.Et pour finir, l'quipe rseaux,
c'est--dire, Messieurs Christian COUEPEL ('Bonne retraite
Christian!!!'), Fabrice JAUNET, Bertrand LESCAUT, Arnaud MEREL et
Gwen POIRIER pour avoir accept de me laisser partir et de me
laisser revenir dans cette quipe soude, efficace et
sympathique.
SOMMAIRERsum2Abstract2Remerciements3Introduction5Prsentation du
Centre de Ressources Informatiques61 Fonction62 Organisation6Le
contrle d'accs au rseau81 Les principes du NAC81.1 Identification
et authentification91.2 valuation et conformit91.3 Isolement et
mise en conformit91.4 Contrle des activits91.5 Inventaire92 Les
composants d'une architecture NAC102.1 Le systme d'extrmit
(Endpoints)102.2 Le systme d'valuation (Policy Decision Point)132.3
Le systme de contrainte (Enforcement)142.4 Le systme de mise en
conformit162.5 Contrle des activits173 Solutions libres et
commerciales173.1 Normalisation de l'agent173.2 Quelques acteurs
commerciaux du NAC193.3 Quelques solutions libres ou open source
autour du NAC26Une solution pour l'universit281 Le contexte281.1
Architecture rseau281.2 Outils de gestion291.3 Gestion des postes
utilisateurs292 Mthodologie293 Les contraintes techniques303.1
Capacit des matriels rseau303.2 Les tlphones IP313.3 Test sur
d'autres commutateurs324 Solution retenue324.1 Les Critres
dcisionnels324.2 La solution propose36Conclusion41Table des
figures42
IntroductionLa gestion d'un rseau universitaire, du point de vue
de la scurit, est un vrai dfi. Que cela soit au niveau du public
rencontr, tudiants, chercheurs, administratifs et visiteurs ou des
services attendus, accs Web, grille de calcul, visio-confrence, et
mme tlphonie sur IP pour l'Universit de Rennes1, la diversit est le
matre mot. La mise en place d'une politique de scurit et son
respect rigoureux sont les objectifs du responsable de la scurit
des systmes d'informations et passe par la matrise des accs au
rseau informatique. C'est dans ce cadre qu'il m'a t demand d'tudier
la mise en place d'une solution de contrle d'accs au rseau (NAC)
afin de n'autoriser que les entits (personnes ou matriels) valides
accder aux donnes auxquelles elles ont droit et seulement
celles-ci. Afin de prserver la qualit gnrale du systme
d'information, il est aussi ncessaire de s'assurer de l'innocuit
des lments qui souhaitent s'y raccorder. Dans un premier temps, le
contrle d'accs sera prsent sous l'ensemble de ces aspects, des
solutions commerciales (ou non) seront aussi exposes. Ensuite, le
contexte spcifique de l'Universit sera donn au vu des besoins
architecturaux et organisationnels du NAC. Enfin, une solution sera
propose suite la mise en avant des critres dcisionnels ayant
contribu son choix. Prsentation du Centre de Ressources
Informatiques
FonctionLe CRI est une composante de l'Universit charge de grer
l'ensemble de l'infrastructure informatique de l'tablissement
(serveurs, quipements rseau, systmes de stockage, de sauvegarde,
d'impression, ), de produire, maintenir ou grer les logiciels
ncessaires au systme d'information mais aussi de rpondre aux
besoins des utilisateurs (gestion des salles informatiques, des
postes du personnel...). L'Universit de Rennes 1, c'est
actuellement plus de 20 000 tudiants, 1 600 enseignants,
enseignants-chercheurs et chercheurs et 1 000 personnels
administratifs, techniques et de services. Cette population est
rpartie sur une dizaine de sites en Bretagne dont Rennes, Lannion,
Saint-Malo et Saint-Brieuc pour les plus importants.OrganisationLe
CRI compte actuellement environ 70 personnes (titulaires et
contractuels) et est compos de cinq ples.Ple systme d'information
Hbergement et dveloppement des services web,
Dveloppement de l'ENT (Environnement numrique de travail),
Administration, suivi, tudes et dveloppement des applications de
gestion (enseignements, tudiants, personnels, ).
Ple informatique de campus Conseil, assistance et aide aux
personnels,
Mise disposition des salles libre-service,
Administration, suivi et volution du parc de matriel disposition
des tudiants et personnels.
Ple infrastructure Administration et volution de la tlphonie
analogique et IP,
Administration, volution et conseil concernant les
infrastructures de rseaux (filaires ou non),
Administration, volution et conseils concernant les services
d'intrt commun et les serveurs associs (messagerie, annuaires,
sauvegarde, stockage, ),
Prise en charge de la scurit du rseau.
Ple scurit Respect de la politique de scurit,Confidentialit des
informations.
Ple administration Accueil, standard, secrtariat,
Gestion des ressources humaines,
Gestion financire et comptable,
Gestion des dplacements et de la logistique.
C'est au sein du ple scurit et en collaboration avec l'ensemble
des autres ples que se droule mon stage.
Le contrle d'accs au rseau
Les principes du NACLe NAC (Network Access Control) n'est pas
une technique ou une architecture, le NAC est plus proche d'un
concept, d'une solution. Il est cens rpondre la mise en uvre de
certaines parties de la politique de scurit concernant l'accs au
rseau local (filaire, sans-fil ou VPN1Un VPN (Virtual Private
Network) est un rseau priv vituel permettant un accs au rseau local
depuis un rseau extrieur.
), dont principalement :l'identification et l'authentification
des utilisateurs;
l'valuation du niveau de scurit des systmes se connectant;
la gestion des invits;
le contrle de l'activit;
et parfois la dtection d'intrusion.
L'ensemble de ces informations sera utilis pour positionner le
systme demandant un accs dans un certain environnement rseau, cet
environnement sera choisi en fonction de la politique de scurit en
vigueur. D'autres lments peuvent entrer en jeu pour le choix du
contexte rseau mettre en place, le lieu, le moment, et le moyen
utilis pour la connexion par exemple. La possibilit de modifier le
contexte d'accs rseau tout au long de la connexion d'un systme,
base sur de nouvelles valuations et authentifications, doit
permettre au NAC de maintenir un bon niveau de scurit. Le rle jou
par le NAC lui confre aussi la possibilit d'tre un lment important
dans un systme d'inventaire puisqu'il est cens connatre l'ensemble
du parc informatique d'un tablissement.Identification et
authentificationL'identification et l'authentification sont la base
du NAC. Connatre l'identit des entits qui souhaitent accder vos
ressources et pouvoir vrifier ces identits permet la mise en place
des rgles d'accs dcides lors de l'laboration de la politique de
scurit. Ces deux mcanismes peuvent tre employs, pour des systmes
physiques (ordinateurs, imprimantes, etc...), pour des
utilisateurs, ou bien pour les deux quand les rgles d'accs
appliquer un utilisateur dpendent du systme utilis (et
inversement).valuation et conformitLe besoin d'valuer les systmes
qui souhaitent accder des ressources s'est accru avec
l'augmentation de leur mobilit et de leur diversit. Ces systmes
peuvent tre aussi bien l'origine d'attaque utilisant le rseau que
les cibles de ces attaques. Il est donc apparu essentiel de rcuprer
un maximum d'informations sur ces systmes pour dcider de la
politique leur appliquer ( base de profil et de mise en
quarantaine).Isolement et mise en conformitLorsque le choix
d'interdire l'accs la ressource rseau demande a t fait, il est
ncessaire de mettre en place un dispositif permettant d'appliquer
cette interdiction mais aussi de permettre la mise en conformit du
systme d'extrmit par rapport aux rgles. Cela implique une capacit
communiquer avec le gestionnaire du systme (ou le systme
directement) pour l'informer des raisons de sa mise l'cart et des
actions qu'il doit mener pour respecter la politique de
scurit.Contrle des activitsUn contrle permanent des activits du
systme connect est utile pour pouvoir s'assurer du respect de la
politique de scurit. En cas d'infraction aux rgles, il est
intressant de pouvoir ragir en modifiant les accs aux ressources et
en informer le gestionnaire du systme.InventaireL'inventaire est un
rle connexe au NAC, puisque c'est en s'appuyant sur les
informations collectes qu'il est possible d'obtenir un tat des
lieux du parc informatique (historique ou temps rel). Cet
inventaire peut tre effectu sur les matriels physiques mais peut
aussi s'tendre jusqu'aux logiciels utiliss.Les composants d'une
architecture NACLe concept NAC existe car il rpond un besoin de
scurit toujours croissant. L'absence initiale de normalisation et
les diffrents enjeux auxquels se confronte le NAC ont gnr une
multitude de rponses. Les solutions commerciales manent aussi bien
des constructeurs de matriel rseau, de concepteurs de logiciel ou
de socits de service, si l'on ajoute les solutions du monde du
libre l'offre est plthorique et diversifie. Au moment de choisir
une solution, il faudra faire le tri entre diffrentes
architectures, mthodes et outils avec, chaque fois, une granularit
variable au niveau des informations obtenues, des actions possibles
et de la sret gnrale obtenue. Malgr l'htrognit des solutions de
NAC, on peut distinguer diffrents lments composant une architecture
NAC. Tout d'abord l'lment de base qui est constitu par la machine
physique qui souhaite accder des ressources, appel ici systme
d'extrmit. Le deuxime lment fondamental appel ici systme
d'valuation va tre en charge de dcider du contexte dans lequel va
tre plac le systme d'extrmit partir des informations recueillies
sur ce dernier. Le troisime lment, le systme de contrainte, est en
charge d'appliquer les modifications de contexte dcides par le
systme d'valuation. Le dernier lment est le systme de mise en
conformit, c'est un lieu de quarantaine o les systmes d'extrmit
auront la possibilit de devenir conformes la politique de scurit.
D'autres lments peuvent tre ajouts, systme d'inventaire ou systme
de dtection d'intrusion par exemple, il n'y a pas vraiment de
limite, le NAC se veut tre le couteau-suisse de la scurit.
L'ensemble de ces composants devra tre capable de fournir les
informations permettant de suivre en temps rel les diffrents
vnements d'un accs au rseau et de construire un historique en
respectant les lois relatives la conservation des donnes
individuelles. Le systme d'extrmit (Endpoints)C'est partir de ce
composant (poste de travail, imprimante, tlphone, etc) que les
informations relatives l'authentification et la conformit doivent
tre rcupres, aussi bien la demande de connexion que de manire
rgulire durant la connexion.Identification et authentificationAfin
de connatre l'identit d'une entit (personne, ordinateur ) et, dans
certains cas, valider l'authenticit de cette identification,
plusieurs mthodes sont disponibles.Utilisation de l'adresse
MAC2L'adresse MAC(Media Access Control) est un identifiant physique
d'une interface rseau.
Ici, seule l'adresse MAC du systme d'extrmit est utilise pour
l'identification. C'est un moyen facile mettre en uvre, par exemple
avec l'utilisation des requtes DHCP3Le DHCP (Dynamic Host
Configuration Protocol) est un protocole rseau permettant
d'attribuer les paramtres rseau d'une interface.
. Il ncessite nanmoins la mise en place d'une base renseigne de
toutes les adresses MAC autorises se connecter sur le rseau. Cette
technique ne protge pas de l'usurpation d'identit, en forgeant son
adresse MAC un utilisateur pourrait se faire passer pour une
imprimante. Des techniques de prise d'empreinte du systme
d'exploitation peuvent limiter ce problme en associant et en
vrifiant ces informations lies aux adresses MAC de la base.Portail
WebL'authentification l'aide d'une page Web scurise (https), tels
les portails captifs, a l'avantage d'tre accessible tous les
utilisateurs possdant un navigateur Web. En revanche, cette
solution n'est pas envisageable pour les autres systmes d'extrmit,
les imprimantes par exemple.802.1XLe standard 802.1X (Port Based
Network Access Control) est un mcanisme d'authentification utilis
au moment de l'accs au rseau. Bas sur EAP4EAP (Extensible
Authentication Protocol) est un mcanisme d'authentification.
, son principe repose sur des changes scuriss entre le
supplicant (l'utilisateur et sa machine), l'authenticator (le point
d'accs sans-fil, le commutateur, ...) et l' authentication server
(un serveur RADIUS5RADIUS (Remote Authentication Dial-In User
Service) est un protocole rseau d'authentification centralis.
par exemple). Si l'identit de l'utilisateur (ou de la machine)
est valide, le commutateur ouvrira l'accs au rseau (le VLAN6VLAN
(Virtual Local Area Network) Rseau local virtuel.
de l'utilisateur peut tre transmis par le serveur
d'authentification). ConformitLe but est de rcuprer des
informations sur l'tat du systme d'extrmit. Deux possibilits sont
envisageables, avec un agent embarqu sur le poste utilisateur ou
sans agent. Avec la solution base d'agents, il faudra prendre en
compte le temps d'excution, la charge CPU, le niveau de scurit des
changes agent/serveur et la mthode de dploiement de ces agents.
Sans agent, le temps d'excution peut tre long (scanner de
vulnrabilits), ce qui peut contraindre valuer la conformit aprs la
connexion. Agent permanentL'agent permanent est pr-install ou charg
la premire connexion. Cet agent a pour rle de rcuprer des
informations sur l'tat du systme d'extrmit (version systme,
correctifs de scurit, logiciels installs, prsence d'anti-virus, de
pare-feu, processus actifs, tat des services, etc...). Il doit
fournir ces informations au systme d'valuation au moment de la
connexion mais aussi sur demande (permettant une rvaluation
rgulire). En gnral ces agents sont dit lourds car les processus
dmarrs pour rcuprer les informations du systme d'extrmit ont un cot
CPU non ngligeable. L'installation de ces agents ncessite des
droits administrateur sur la machine. Le dploiement gnralis sur les
postes peuvent se faire par diffrentes techniques SMS (Systems
Management Server, Microsoft), Web, etc.Avantages : granularit fine
des informations, diffrents mcanismes d'authentification
possibles.Difficults : le dploiement, varit des systmes d'extrmit,
interoprabilit si les agents sont diffrents, le cot financier
ventuel, le cot CPU, l'accs possible des informations prives.Risque
: Quelle confiance peut-on accorder l'agent si le poste est
corrompu?Agent temporaireL'agent temporaire est charg sur le systme
d'extrmit chaque tentative de connexion, techniquement cela est
fait soit base d'applet Java, d'ActiveX7ActiveX : Composant
logiciel rutilisable pour Microsoft Windows
ou bien par le tlchargement d'un excutable (ne ncessitant pas de
droits administrateur). Son utilisation se fait, la plupart du
temps, dans le cadre d'accs de type portail captif ou d'accs de
type VPN. Le positionnement du systme d'valuation fournissant
l'agent est important. En coupure sur le rseau, les systmes
d'extrmit ont dj accs un rseau et peuvent communiquer entre eux
contrairement un positionnement au niveau du port physique de la
connexion (port de commutateur de bordure).Avantages : le
dploiement est facile, le cot financier faible, ne ncessite en
gnral qu'un navigateur Web.Difficults : ncessite l'ouverture d'un
navigateur Web (impossible pour une imprimante), le temps pass
l'analyse peut tre long.Risques : Quelle confiance peut accorder
l'utilisateur l'agent qui va tre install sur son poste?
L'utilisateur risque d'accepter n'importe quoi pour avoir sa
connexion.Sans agentDans ce cas de figure, il existe deux mthodes
potentiellement complmentaires :-l'utilisation d'outils rseaux
spcifiques (scanner de vulnrabilit, prise d'empreinte) Avantages :
Pas d'intervention sur le systme d'extrmit, transparent pour
l'utilisateur.Difficults : peut tre lent, qualit et prcision de
l'information faibles, prsence de pare-feu sur le systme
d'extrmit.Risque : existence d'outils de contournement (IpMorph). -
l'utilisation d'appel de procdure distance (RPC,WMI), permettant la
rcupration d'information sur le poste par l'excution de programmes
spcifiques.Avantage : transparent pour l'utilisateur.Difficult :
ncessit d'un compte administrateur sur toutes les machines.Risque :
une porte est ouverte sur le systme d'extrmit.Le systme d'valuation
(Policy Decision Point)Cet lment de l'infrastructure est crucial
pour la politique de scurit de l'tablissement. partir des
informations recueillies sur le systme d'extrmit, des informations
sur la mthode d'accs (rseau filaire, sans-fil, VPN), mais aussi
l'aide d'informations sur le lieu ou le moment de la demande
d'accs, le systme d'valuation va dcider d'un contexte de connexion
en accord avec la politique de scurit.Un exemple simple de systme
d'valuation serait l'utilisation des adresses MAC des systmes
d'extrmit pour dterminer leur VLAN d'appartenance, le choix de la
mise en quarantaine serait fait si l'adresse MAC est inconnue. La
complexit du systme d'valuation dpendra de la quantit
d'informations obtenue sur les systmes d'extrmit et de la complexit
de la politique d'accs mettre en place. Ce systme doit tre capable
de rejouer l'valuation de manire rgulire, tout le temps de la
connexion, permettant ainsi de se prmunir contre un changement
d'tat du systme d'extrmit.Le systme de contrainte (Enforcement)Rle
du systme de contrainteC'est l'ensemble des lments de
l'infrastructure rseau permettant de dtecter la demande d'accs au
rseau et d'appliquer les dcisions du systme d'valuation.Dans le cas
d'un NAC bas sur un matriel ddi (dit appliance) positionn en
coupure sur le rseau, c'est gnralement lui qui grera la connexion
du systme d'extrmit dans son ensemble et mettra en uvre la
politique dcide par le systme d'valuation.Si le systme NAC n'est
pas positionn en coupure (out-of-band), le systme de contrainte
doit s'appuyer sur l'infrastructure existante.Les actions
classiques mises en uvre par le systme de contrainte sont les
suivantes:-positionner le systme d'extrmit dans un VLAN
particulier.-mettre en place des contrles d'accs aux niveaux 2,3 ou
4 sur les quipements de bordure (commutateurs d'extrmit) ou plus
prs du cur du rseau (routeurs, pare-feu, proxy).-grer la qualit de
service, la bande passante.Diffrents systmes de
contrainte-Utilisation d'un serveur ddi, positionn en coupure, qui
capture l'ensemble des paquets :Avantages : facilit de dploiement,
gestion centralise.Difficults : cela peut crer un SPOF (Single
Point Of Failure), adaptation la monte en charge difficile.Risque :
les systmes d'extrmit ont dj un accs au rseau (ils se voient entre
eux).
-Utilisation du protocole 802.1X :Dfinition : Protocole d'accs
au rseau, le 802.1X utilise EAP pour transporter les informations
d'authentification entre le client et le serveur. Il est implant
aujourd'hui dans la plupart des quipements rseau, commutateurs et
points d'accs sans-fil. Si l'authentification est valide, il est
possible de modifier la configuration des ports du matriel rseau au
travers d'attributs, le VLAN par exemple.Avantage : isolation au
plus prs de la demande d'accs.Difficults : capacit des matriels
existants, il faut un client sur le systme d'extrmit8S'il n'y a pas
de client sur le systme d'extrmit, la plupart des matriels rseau
utilisent la technique d'authentification par adresse MAC
(MAC-Auth-Bypass chez Cisco) permettant l'utilisation de l'adresse
MAC comme login et mot de passe pour l'authentification, ncessitant
alors un enregistrement pralable sur le serveur
d'authentification.
, choisir la mthode d'authentification (EAP-MD5, EAP-TLS,
EAP-TTLS, PEAP, etc)Risque : Dpendant de l'authentification utilise
(ex: EAP-MD5 est viter) -Utilisation du mcanisme VMPS (VLAN
Management Policy Server) :Dfinition : C'est une technique utilise
sur les commutateurs Cisco permettant d'attribuer un VLAN un port
en fonction de l'adresse MAC de la machine connecte sur ce port.
Ncessite un serveur o sont enregistres les correspondances entre
adresses MAC et numro ou nom de VLAN.Avantage : la simplicit.
Difficults : maintenance de la base de connaissance (adresses
MAC/VLAN), gestion impossible de plusieurs adresses MAC par port,
commutateurs Cisco seulement et en cours d'abandon par le
constructeur.Risque : usurpation d'adresse MAC.-Utilisation du DHCP
pour envoyer le bon profil IP (adresse, routeur, masque) au systme
d'extrmit:Avantage: simplicit.Difficult : aucune. Risque : le
systme d'extrmit doit jouer le jeu (ne pas utiliser d'adresse IP
fixe)
-Utilisation de trap9Paquet SNMP mis par un matriel rseau
lorsqu'un vnement se produit.
SNMP10SNMP (Simple Network Management Protocol) est un protocole
de communication permettant d'administrer les matriels rseau.
(link up et link down) mis par les matriels rseau, permettant de
dtecter la connexion physique d'un systme d'extrmit :Avantage :
adaptable une grande partie des matriels rseau.Difficult :
aucuneRisques : risque de dni de service avec des instabilits de
liens, usurpation d'adresse MAC, les traps utilisent le protocole
UDP ce qui n'assure pas la dlivrance de l'information, besoin de
maintenir un tat de l'ensemble des ports.Le systme de mise en
conformitDans le cas o le systme d'extrmit n'a pas t jug compatible
avec la politique d'accs (manque de correctifs de scurit, pas
d'antivirus, chec de l'authentification, etc) il est ncessaire de
prvoir un contexte rseau o le systme pourra se mettre en conformit
(mise jour systme, possibilit de tlcharger un anti-virus, une base
de signature jour, demande de compte d'accs). Cette action de mise
en conformit est parfois appele remdiation. La technique la plus
communment employe est l'utilisation d'un VLAN spcifique
redirigeant le trafic vers un portail captif Web qui doit guider
l'utilisateur dans sa mise en conformit. Quelques difficults
apparaissent alors :grer les matriels sans navigateur Web
(imprimante);
habituer l'utilisateur ouvrir son navigateur en cas de soucis,
mme s' il ne souhaitait qu'utiliser son client de messagerie par
exemple;
personnaliser la page Web en fonction du problme spcifique;
En plus de ces difficults, un problme de scurit est gnr en
positionnant dans le mme rseau des machines potentiellement
fragiles. Premirement, il y a un risque de contamination mutuelle,
deuximement, ce rseau peut tre utilis par un attaquant pour trouver
des machines vulnrables.Une autre technique est base sur les
capacits de l'agent, rsidant sur le poste, communiquer avec le
systme hte ou communiquer avec l'utilisateur. Sur instruction du
systme d'valuation l'agent pourrait forcer une mise jour logiciel
ou donner les instructions adquates l'utilisateur.Contrle des
activitsAprs avoir subi l'ensemble des contrles et avoir t
positionn dans le contexte dsir, un systme peut avoir un
comportement ne rpondant pas la politique de scurit. En observant
par exemple la bande passante monopolise par un utilisateur, il
peut tre utile d'utiliser les techniques de mise en conformit pour
isoler et informer l'utilisateur du non respect de la charte qu'il
a accepte.La mise en place de systme de dtection d'intrusions
(IDS), comportemental ou par signatures, peut aussi permettre de
dcider de la mise l'cart d'un systme d'extrmit de manire dynamique.
Dans ce cas, la ractivit de l'infrastructure se protger est bonne
mais le risque d'erreur est aussi important, de plus les risques de
dnis de service ne sont pas ngligeables.Solutions libres et
commercialesNormalisation de l'agentIETFL'Internet Engineering Task
Force (IETF) a constitu un groupe de travail, le Network Endpoint
Assessment (NEA). Ce groupe de travail, reconnaissant qu'un certain
nombre de protocoles existaient dj dans le domaine du NAC, a dcid
de publier un ensemble d'exigences concernant l'aspect
client/serveur avec la RFC 5209. Le principe retenu ct client NEA
est constitu d'changes entre des collecteurs de posture (Posture
Collectors ) qui sont chargs de rcolter des informations sur le
client. Ces collecteurs de posture transmettent les informations un
broker au travers d'une API11Une API (Application Programming
Interface) est un ensemble de programmes permettant une
interoprabilit entre composants logiciel.
qui va, son tour, les transmettre un ou plusieurs demandeurs
d'accs rseau (Posture Transport) qui sont chargs d'effectuer la
partie authentification de l'accs au rseau et d'envoyer ces
informations au serveur NEA.Du cot serveur, on retrouve les trois
niveaux avec une diffrence au niveau collecteurs de posture puisque
dnomm ici vrificateurs de posture (PostureValidators)( Fig.1).
Figure 1: NEA Reference Model
La priorit du travail de l'IETF a t positionne sur
l'interoprabilit entre clients et serveurs. Suite cette
publication, un appel a t lanc pour recueillir des propositions de
spcifications de protocoles rpondant aux exigences de la RFC 5209.
Une seule proposition a t faite l'IETF avec les protocoles
nea-pa-tncet nea-pb-tnc qui dcrivent respectivement les protocoles
IF-M 1.0 et IF-TNCCS 2.0 dvelopps par le Trusted Computing Group
(TCG). Une analyse de compatibilit de ces deux protocoles avec la
RFC5209 est positionne en annexe ces deux drafts.Trusted Computing
Group et Trusted Network Connect (TNC)Le TCG est un regroupement
d'industriels ayant pour but, l'origine, le dveloppement de ce que
l'on appelle une informatique de confiance. Crateur du Trusted
Platform Module (TPM), le groupement propose une architecture
ouverte et un ensemble de standards concernant le NAC, le Trusted
Network Connect (TNC). L'interoprabilit du TNC avec l'agent
Microsoft Network Access Protection (NAP) est ralise depuis mai
2007(Fig.2).
Figure 2: Modle TCG/TNC
Quelques acteurs commerciaux du NACLes trois principaux acteurs
commerciaux du NAC sont actuellement Microsoft, Cisco et Juniper.
Il est intressant de constater que si historiquement les
constructeurs de matriel rseau se sont empars du march, c'est
aujourd'hui le dveloppeur de systme d'exploitation et de logiciels
informatiques qui semble tre le mieux positionn pour dominer le
march. Ce changement est certainement le reflet de la tendance
embarquer sur les systmes d'extrmit le maximum d'outils de scurit,
une volution dj prsente au niveau des pare-feu.Il existe sur le
march de nombreuses solutions, ce march n'est pas encore mature,
disparition d'acteurs ou rachat sont actuellement assez
courants.Microsoft : Network Access Protection (NAP)Source: Vido -
Microsoft TechDays 2008 Cyril Voisin - Quatre
fonctionnalits:conformit la politique de scurit,
mise en quarantaine (optionnelle),
mise niveau automatique (auto-remdiation),
suivi en continu.
Le client/agent NAP est disponible sur :Windows XP
sp3,Vista,7,
Windows server 2008 , 2008R2, (client et serveur de la solution
NAC),
Il existe des agents pour Redhat, OpenSuse, Suse, Centos,
Ubuntu, Fedora, Mac OS (disponible entre autre chez le vendeur
Aventa system http://www.avendasys.com/products/technologies.php
pour 802.1X et DHCP),
Pas sur Windows mobile pour l'instant.
La politique de scurit est dfinie sur un serveur (Policy
Decision Point), vrifie par des mesures faites sur la machine qui
se connecte et qui possde l'agent NAP. L'agent NAP doit fournir un
bilan de sant de la machine. l'agent NAP, sont ajouts diffrents
plugins12Un plugin est un logiciel venant en complter un autre.
SHA (System Health Agent) qui regardent chacun un aspect
spcifique du systme d'extrmit (anti-virus, pare-feu, registre,
etc). Du cot serveur sont installs un NPS (Network Policy Server)
qui est un serveur RADIUS (toutes les demandes d'accs passent par
lui), un serveur d'administration NAP et des SHV (System Health
Validator) chargs de communiquer avec les SHA pour valuer le systme
d'extrmit. Les SHV peuvent communiquer avec des serveurs de
politique (exemple: serveur de correctifs). Le rsultat de
l'valuation va conditionner le futur accs donn au systme d'extrmit.
Les changes SHA SHV respectent le protocole IF-TNCCS-SOH du TCG
TNC. Les SHA et SHV sont crs par les vendeurs de logiciels pour tre
intgrs l'agent NAP(Fig.3).Cinq mthodes de contraintes sont
possibles:802.1X : Le bilan de sant est fourni au moment de
l'authentification qui n'est possible qu'en PEAP13PEAP (Protected
Extensible Authentication Protocol) est une mthode
d'authentification
. En fonction du bilan de sant le systme d'extrmit est positionn
dans un VLAN. Pour l'authentification trois processus doivent tre
lancs sur le poste (dot3svc, EapHost et l'agent NAP).
IPSec14IPSec (Internet Protocol Security) permet de scuriser une
communication par l'utilisation de moyen cryptographique.
: La connexion est accepte si la machine prsente un certificat
de bonne sant. La PKI qui dlivre le certificat de sant est mise en
uvre par le serveur NAP HRA (Health Registration Authority) en
relation avec le serveur PDP (Policy Decision Point),
DHCP : Le bilan de sant est donn au moment de la requte DHCP, le
serveur DHCP fournit, soit une adresse valide, soit l'adresse
ip=0.0.0.0, le masque=255.255.255.255 et une route vers des
serveurs de remdiation. Il n'y a pas d'authentification, ce sont
les options 220 MS Vendor du DHCP qui sont utiliss,
VPN : Le bilan de sant est fourni au moment de
l'authentification. C'est l'utilisation de filtres IP qui permet de
dlimiter l'environnement pour le systme d'extrmit.
L'authentification est faite en PEAP over PPP. C'est le serveur VPN
qui gre l'ensemble de la connexion en relation avec le serveur
(Policy Decision Point),
Terminal Server : RDP over HTTPS, donne accs une station de
travail, un serveur de terminaux ou rien, en fonction du bilan de
sant.
Au niveau de l'agent NAP, sont positionns des EC (Enforcement
Client) qui vont changer avec des ES (Enforcement Server) que sont
les serveurs VPN, IPSec, etc. La partie auto-remdiation est assure
en donnant un accs aux SHA des serveurs WSUS (Windows Server Update
Services) ou au site Web de Windows Update par exemple.Le suivi en
continu est assur par la capacit du serveur de conformit tre
l'initiative d'une nouvelle valuation.Figure 3: Schma Microsoft
NAP
Cisco : CNACLa solution NAC propose par Cisco est constitue de
diffrents composants.Le NAC Manager est une interface Web
permettant de crer les politiques de scurit et de grer les
connexions en cours. Les diffrents profils utilisateurs associs aux
vrifications de conformit, ainsi que les actions de remdiation,
sont configurs sur ce serveur. Le Nac Manager communique et gre le
NAC Server.
Le NAC Server est un serveur qui va accorder ou non l'accs au
rseau en fonction des informations recueillies sur les systmes
d'extrmit. C'est sur ce serveur que sont situs les profils de
scurit, les actions de remdiation etc... Ce serveur peut
fonctionner en coupure ou out of band au niveau 2 ou 3.
Le NAC Agent est un agent lger install sur les postes, charg de
collecter des informations sur le poste et de les transmettre l'ACS
(serveur Radius Cisco) au moment de la demande de connexion.Des
composants additionnels sont aussi proposs.
Le NAC Profiler est charg d'valuer les systmes d'extrmit
spcifiques comme les tlphones IP, les imprimantes, etc Ce module
permet aussi de localiser physiquement les matriels connects et
d'appliquer des profils en fonction d'informations rcupres.
Le NAC Guest Server permet d'offrir et de grer les accs pour les
visiteurs.
Le Secure Access Control System (ACS) est un serveur jouant le
rls de serveur Radius ou Tacacs qui va accorder ou non l'accs au
rseau aux utilisateurs. C'est lui qui communique avec les
quipements rseaux sur lesquels les connexions sont faites en jouant
le rle d' authenticator lors de connexion 802.1X.
Le concept dvelopp par Cisco est l'utilisation de l'ensemble des
composants du rseau (commutateurs, routeurs, pare-feu, dtecteurs
d'intrusions...) pour collecter des informations ou pour appliquer
la politique de scurit dcide.
Juniper Networks: UACLa solution s'appuie sur les protocoles
802.1X, RADIUS, IPSec et sur les standards du TCG/TNC.Les
composants de la solution sont :Un agent, UAC qui sert de client
802.1X et rcupre les informations sur la machine (antivirus,
pare-feu, niveau systme ); toutes ces informations sont envoyes
dans des attributs RADIUS,
Un portail captif pour les accs invit,
Authentification sur adresse MAC pour les imprimantes, etc,
Une appliance, IC Series UAC; c'est un RADIUS pour la partie
Authenticator du protocole 802.1X, qui prend les dcisions du
devenir de la connexion et agit sur le systme de contrainte,
Suivant l'infrastructure rseau, le systme de contrainte peut tre
rduit aux capacits des commutateurs compatibles 802.1X et ne
s'applique alors qu'au niveau 2. Avec des quipements Juniper
(commutateurs, pare-feu, IPS15IPS (Intrusion Prevention System) est
un systme de dtection d'intrusion capable de ragir en temps rel
pour bloquer un trafic indsirable.
, VPN ..), il est possible d'exercer des contraintes de niveau 2
7. Avec les commutateurs Juniper, des contraintes sont possibles
sur la bande passante, la QoS et d'autres fonctionnalits.
(Fig.4)
Les phases d'authentification et d'valuation peuvent tre rptes
rgulirement.Figure 4: Schma Juniper UAC
EnterasysC'est une solution axe multi-constructeurs, Enterasys
coopre avec Microsoft et sige au TCG/TNC.Pour la solution
Out-Of-Band:une appliance NAC, c'est un proxy RADIUS qui s'appuie
sur les mthodes d'authentification classiques.
des logiciels (et briques logiciels) sur appliance/ou sur
serveur (Netsight/NAC Manager).
Quatre briques fonctionnelles principales:Visibilit des
informations : associations UserName/MAC/OS/IP/DNS16DNS (Domain
Name Server) est un systme de nom de domaine permettant de faire le
lien entre un nom de domaine et une adresse IP.
/Commutateur/Port/... en temps rel et conservation de
l'historique. La dtermination des systmes d'exploitation est base
sur un mcanisme de prise d'empreinte DHCP,
Accs : Utilisation du protocole 802.1X et de l'authentification
sur adresse MAC (dans ce cas c'est l'appliance qui termine la
session EAP), interfaage possible avec notre IPM au travers
d'export de fichier contenant les adresses MAC, une autre
fonctionnalit : le AAA MAC Locking qui permet de verrouiller la
position d'une adresse MAC sur un port de commutateur,
Rseau invit: c'est un portail Web, l'enregistrement de l'adresse
MAC peut tre sponsorise par une personne tiers, sinon l'obtention
d'un compte suffit aux visiteurs pour valider leurs adresses MAC
sur le portail,
La partie valuation est compose de trois possibilits:- agent
enterasys (il n'est pas lourd, dixit Enterasys, car c'est un
processus unique), il peut tre temporaire (Code Java dans .exe) ou
bien permanent (ncessite un accs administrateur sur le poste). Les
OS supports sont Windows, Mac OSX (bientt...) mais pas Linux.- Le
NAP de Microsoft est support (dans le futur, possibilit de modifier
les informations en provenance de l'agent NAP pour la partie
valuation), le serveur NAP Microsoft est ncessaire. - Sans agent :
des connecteurs existe avec les logiciels Nessus17Nessus: logiciel
de dtection de vulnrabilits.
et eEye18eEye: logiciel de dtection de vulnrabilits.
, il est aussi possible dvelopper d'autres connecteurs au
travers d'API XML19XML (Extensible Markup Language) successeur du
html, c'est un langage de balisage extensible.
.
Pour la partie post-connexion :rptition possible des phases
d'authentification et de vrification.
action sur vnement (logiciel spcifique en plus) sur messages
SNMPV3 (gnrs par IDS,pare-feu,....), action et notification au NAC
ce qui vite les problmes de changement de prise de l'utilisateur
fuyant les restrictions.
Exemple de dploiement ralis: l'Universit de Caroline du Nord
avec 25 appliances dployes (2 serveurs pour 3000 machines), la
partie valuation n'a pas t mise en place.Quelques solutions libres
ou open source autour du NACPacketFencewww.packetfence.orgProjet
actifBas sur la rcupration de trap SNMP (link up/down) comme
dclencheur du processus; Au dpart, tous les ports des commutateurs
sont configurs avec un VLAN nomm MAC detection. L'valuation est
base sur un scan Nessus puis le choix du VLAN est fait partir de
l'adresse MAC du poste, VLAN de mise en conformit ( portail Web
captif), VLAN d'enregistrement (portail Web captif) ou VLAN lgitime
(connu partir d'une base de donnes). L'outil peut s'interfacer avec
le protocole 802.1X et FreeRADIUS. L'outil de dtection d'intrusion
Snort est utilis pour modifier le contexte de connexion en cas de
besoin.Rings Security
Analyserwww.technology.ku.edu/kuanywhere/analyzer.shtmlEn
production actuellementCr l'Universit du Kansas, c'est un portail
Web qui utilise une applet Java pour valuer (systme, logiciel
anti-virus, etc) les machines cherchant accder au rseau
(autorisation valide pendant sept jours). En cas d'chec, les accs
sont rduits aux sites de mises jour de logiciels, d'anti-virus,
...FreeNACwww.freenac.net/frProjet actifPrsent comme offrant une
gestion simplifie des VLANs, un contrle d'accs au rseau et un outil
d'inventaire, FreeNac est bas principalement sur le protocole VMPS
(authentification sur adresse MAC). Il permet aussi l'utilisation
802.1X en interaction avec un serveur RADIUS. La partie valuation
n'est pas vraiment prise en compte.Projets non
actifsNetpass.sourceforge.netDernier document datant de 2005Par
dfaut les systmes d'extrmit sont positionns dans un VLAN de
quarantaine, celui-ci laisse passer les requtes DHCP et DNS mais
bloque le trafic Web sauf liste blanche (sites de mise jour).
L'valuation est faite avec Nessus, si la conformit est bonne, le
serveur NetPass change le VLAN du poste. Une rvaluation est
possible intervalles
rguliers.Ungoliant(Shelob)ungoliant.sourceforge.netDernires news en
2007Bas sur Open VMPS, le principe est d'isoler les systmes
d'extrmit en les positionnant en quarantaine si leurs comportements
rseau ne sont pas en adquation avec la politique de scurit. Une
solution pour l'UniversitLes objectifs principaux d'une solution
NAC pour l'Universit sont ici la limitation de l'accs aux systmes
autoriss et la capacit de rpondre aux questions qui? quoi ? o? et
quand?, mais c'est aussi de mettre en uvre des outils permettant la
mise en quarantaine des systmes potentiellement dangereux. Enfin,
c'est la simplification des configurations des matriels rseau afin
de baisser le coup de gestion de ces derniers tout en garantissant
l'application gnralise du contrle d'accs.Le contexteArchitecture
rseauLe rseau actuel comporte plus de 80 VLANs distribus sur 330
commutateurs (Cisco) de niveau 2 et 175 points d'accs sans-fil
(Cisco). Le cur du rseau est constitu d'un commutateur routeur 6513
Cisco qui assure le routage inter-VLANs et la connectivit vers des
pare-feu pour l'accs Internet. Les sites universitaires hors Rennes
sont relis en niveau 2 et/ou 3.Trois modles de commutateur Cisco
assurent la connectivit des utilisateurs la priphrie du rseau:
Cisco 3500, 2950 et 2960. L'htrognit de ces matriels a des
consquences importantes sur les possibilits de mise en uvre d'un
NAC (voir 1.2.2). La technologie Cisco VMPS qui permet
l'attribution dynamique de VLAN par port en fonction de l'adresse
MAC est actuellement mise en place pour certaines prises rseau
disponibles au public (amphithtre, salle de cours, salle de
runion).Pour les accs sans-fil, deux rseaux ont t dploys. Un SSID
Universit_Rennes1 donnant accs un portail Web avec une double
authentification possible, soit reposant sur une fdration d'identit
regroupant les universits bretonnes soit par login/mot de passe
pour les invits. Le deuxime SSID eduroam fait partie du rseau
international Eduroam (voir http://www.eduroam.org et
http://www.eduroam.fr/fr ) et offre une connexion scurise avec une
authentification forte EAP-TTLS par l'utilisation du protocole
802.1X, une attribution dynamique de VLAN est faite en fonction de
l'identit de l'utilisateur base d'informations contenues dans le
serveur LDAP20LDAP (Lightweight Directory Access Protocol) est un
protocole d'change pour un service d'annuaire.
de l'Universit (voir 1.2).Les accs VPN sont grs l'aide de
matriels et logiciels de la socit IPDiva qui basent
l'authentification et la configuration des connexions sur les
informations fournies par le serveur LDAP.L'Universit de Rennes1 a
t pionnire dans la mise en place de tlphonie sur IP grande chelle.
Aujourd'hui c'est prs de 1000 postes IP (Aastra i740 et i760) qui
sont dploys, plus de 200 postes SIP21SIP (Session Initiation
Protocol) est un protocole de gestion de session multi-media,
principalement de voix sur IP.
(Aastra 675XX). La particularit du terminal tlphonique IP est
qu'il comporte en lui un commutateur deux ports, l'un pour la
connexion au rseau local de l'tablissement et l'autre pour la
connexion du terminal informatique de l'utilisateur. Cette
caractristique le transforme en un pseudo quipement rseau sans
toutefois en possder toutes les caractristiques classiques, du
point de vue du management et de certaines capacits (802.1x par
exemple).Outils de gestionLe CRI a mis en place, depuis environ un
an, un logiciel pour la gestion du DNS, du DHCP et du VMPS. Cet
outil IP Manager est constitu d'une base de donnes o l'on retrouve
adresse MAC et IP mais aussi le numro de VLAN, le nom du
responsable de la machine et des informations sur son type
(serveur, imprimante, poste personnel ).Le systme d'information de
l'Universit repose en partie sur une base LDAP dans laquelle
l'ensemble des personnels et des tudiants est prsent. Deux champs
UR1Vlan et UR1VlanForc sont prsents et contiennent des numros de
VLAN qui sont utiliss lors de connexion au rseau Eduroam pour
dterminer le rseau auquel souhaitent se connecter les utilisateurs.
Gestion des postes utilisateursLe ple de proximit du CRI est charg
de grer un ensemble de postes (salles libre service, postes d'une
partie du personnel) mais un certain nombre de postes sont
administrs directement par leurs utilisateurs ou par des
informaticiens au sein des UMR22UMR: Unit Mixte de Recherche
. Suivant le systme d'extrmit considr, les interlocuteurs sont
donc trs diffrents, ceci rend la modification d'une politique de
gestion des postes plus complexe mettre en place.MthodologieUne
fois la partie documentaire ralise sur le NAC, j'ai rencontr
l'ensemble des personnels du CRI du ple proximit afin de leur
prsenter le projet et de dterminer avec eu, les besoins existants,
de rpondre leurs interrogations et de dcouvrir les difficults
potentielles dans la mise en place du NAC. L'objectif tait aussi de
respecter leurs mthodologies de travail et de ne pas modifier leurs
outils d'administration afin que le contrle d'accs au rseau soit un
service et non une contrainte.La prise en compte des volutions
futures envisages (mise en place d'un Active Directory23Active
Directory: Service d'annuaire mis en uvre par Microsoft
) ou dbutes (appel d'offre pour un outil d'inventaire) se fait
en imposant la solution une grande capacit d'volution et
d'adaptation.Une tude technique sur les diffrents matriels rseau de
l'Universit a ensuite t mene afin de dterminer les capacits
respectives de chacun d'entre eux face au besoin du NAC (voir
partie 3). Enfin une maquette a t mise en place afin de proposer
une solution et de permettre rapidement le passage une phase de
test sur une partie limite du rseau.Les contraintes
techniquesCapacit des matriels rseauCisco 3500Ce matriel rseau
n'est plus en production et plus en vente aujourd'hui, il n'y pas
eu de mise jour du systme depuis avril 2007. Il reste encore une
centaine de ces matriels l'Universit, en version 24 ou 48 ports, il
n'est donc pas possible de proposer une solution sans les prendre
en compte. Leurs fonctionnalits techniques potentiellement
utilisables dans l'optique de la mise en place d'un NAC sont au
nombre de deux, le VMPS, et la limitation par port une adresse MAC
particulire.Le VMPS, dj utilis l'Universit, attribue un VLAN un
port en fonction de la premire adresse MAC se prsentant sur ce
port, si d'autres adresses se prsentent sur le mme port celui-ci
sera coup si le VLAN d'appartenance est diffrent du premier VLAN
attribu. Ce fonctionnement empche l'utilisation des tlphones IP
lorsqu'il sont utiliss entre la prise rseau du rseau local et le
poste informatique de l'utilisateur.La deuxime fonctionnalit permet
de limiter l'accs un port une adresse MAC, l'utilisation de ce
genre de technique pourrait se faire pour des salles informatiques
o le branchement d'autre systme serait interdit. Deux aspects de
cette fonctionnalit sont problmatiques, tout d'abord, chaque port
de commutateur doit avoir une configuration particulire ce que gnre
un poids administratif trs fort, deuximement, ce systme est trs
contraignant car il limite le dplacements des postes,
contradictoire avec les besoins de mobilit exprims de nos jours.Les
capacits intrinsques de ce matriel n'apporte donc pas de solution
notre problmatique.Cisco 2950Ces quipements rseau, successeurs des
3500, sont en fin de vie ct constructeur. Outre les fonctionnalits
des 3500 ils apportent comme fonctionnalits utiles au NAC la
technologie 802.1X. Avec un client 802.1X sur le systme d'extrmit
l'authentification se passe normalement. Malheureusement, pour les
systmes d'extrmit dpourvus de client 802.1X il est alors impossible
d'obtenir un accs au rseau au travers des ports configurs avec
cette fonctionnalit. Dans ce cas, le cot d'administration de cette
solution, passage d'une configuration 802.1X une autre
configuration (VMPS par exemple) serait trop important et ne
rpondrait pas l'objectif d'uniformisation des configurations et de
simplification de l'administration.Cisco 2960Les 2960 implmentent
les fonctionnalits 802.1X comme les 2950 mais ont une fonctionnalit
supplmentaire, appele chez Cisco MAC-Authentication-Bypass. Cette
fonctionnalit permet de configurer un port en 802.1X et dans le cas
o aucun client 802.1X n'est prsent sur le systme d'extrmit
(imprimante) le commutateur utilise l'adresse MAC vue sur le port
comme nom d'utilisateur et comme mot de passe dans le processus
802.1X. Ceci permet une identification l'aide de l'adresse MAC ce
qui ncessite (comme pour le VMPS) d'avoir un serveur sur lequel
sont rfrences les associations adresse MAC/ VLAN.Il n'est pas
possible, avec les 2960, d'authentifier diffrents clients sur un
mme port qu'ils appartiennent ou pas au mme VLAN, mais il est
possible d'autoriser d'autres adresses MAC se connecter sans
authentification, le port restant configur avec le VLAN de la
premire adresse MAC vue. Pour des raisons de scurit il faudra
limiter une adresse MAC par port, ce qui posera des problmes si des
commutateurs de bureau sont utiliss pour connecter plusieurs postes
derrire la mme prise rseau (cette pratique est trs rpandue).Une
partie spcifique de la configuration des ports est consacre la
tlphonie sur IP. Les postes tlphoniques IP peuvent tre identifis en
802.1X, soit par l'adresse MAC, soit l'aide d'un client embarqu sur
le tlphone, comme tout systmes d'extrmit. Si le tlphone utilise un
marquage de type 802.1q24802.1q est un mcanisme d'encapsulation de
trame permettant d'effectuer un marquage identifiant le VLAN
d'appartenance de cette trame.
pour le VLAN voix, le numro du VLAN voix doit tre configur en
dur sur l'interface. Ceci pose un problme car l'Universit devra
utiliser au moins deux VLAN distincts pour ces tlphones IP d'ici
quelques mois.Les tlphones IPPositionns entre les commutateurs de
priphrie et des postes informatiques, les tlphones IP complexifient
la mise en place d'un systme d'identification/authentification. Les
tlphones du constructeur choisi par l'Universit ne permettent pas
une authentification en 802.1X entre le poste informatique et le
commutateur, contrairement d'autres tlphones IP comme Avaya ou
Cisco qui possdent une fonctionnalit eap pass-through (une demande
d'volution des tlphones Aastra a t faite). Ceci oblige donc
effectuer une authentification base sur les adresses MAC des postes
informatiques.Pour ce qui est de l'identification mme des tlphones
IP, seuls les tlphones SIP ont la possibilit de s'identifier en
802.1x par l'utilisation de MD5 ou EAP-TLS.Test sur d'autres
commutateursAllied Telesis 800GSLes ports de ces commutateurs ont
la capacit de faire simultanment de l'authentification par adresse
MAC et par 802.1X. Le mode Multiples Sessions est support,
permettant l'authentification de plusieurs quipements, dans le cas
d'une assignation dynamique de VLAN, chaque systme d'extrmit sera
plac dans son VLAN, en revanche, il n'est pas possible qu'un de ces
VLAN soit tagg (802.1q par exemple). Ceci signifie qu'il est
possible d'avoir sur un mme lien physique des quipements qui ne
devraient pas tre visibles entre eux, un invit et un administrateur
rseau par exemple, ce qui du point de vue de la scurit ne rpond pas
aux exigences de sparation des trafics. Il est possible d'avoir des
tlphones IP mettant du trafic tagg, dans ce cas, les tlphones ne
sont pas authentifis.EnterasysEn cours...Solution retenueLes
Critres dcisionnelsL'architectureUne des deux architectures
possibles appele in-band consiste positionner un matriel en
coupure, la manire d'un portail captif, afin de contrler l'ensemble
du trafic des systmes d'extrmit. Cette solution a t carte car
principalement destine de petits rseaux, les flux et l'architecture
actuelle du rseau de l'Universit, plus de quatre-vingt VLAN, ne
pouvant tre pris en charge par les matriels proposs (ou des cots
prohibitifs). C'est donc une solution dite out-of-band qui est
choisie. Celle-ci ne traite pas les flux des systmes d'extrmit mais
est charge de dterminer l'environnement rseau dans lequel
positionner ces systmes d'extrmit en fonction de la politique de
scurit. Authentification/IdentificationIdentifier et authentifier
sont les parties importantes de ce projet. L'idal aurait t d'avoir
une authentification forte, de type 802.1X, pour l'ensemble des
accs.Les contraintes techniques (tlphonie sur IP, capacit des
matriels), m'ont amen baser l'identification sur la reconnaissance
des adresses MAC pour les commutateurs d'anciennes gnrations par
rcupration de Trap SNMP la manire de la solution PacketFence. Ce
logiciel n'a pas t retenu compte tenu des besoins d'intgration avec
l'infrastructure existante et de l'objectif final qui est
l'utilisation du 802.1x. Pour les commutateurs 2960, l'utilisation
de la technologie Mac-Authentification-Bypass permettra de pallier
les difficults actuelles de dploiement de client 802.1X sur les
postes utilisateurs tout en permettant sa mise en place dans le
futur.
Le contrle de conformit/valuationDans l'attente des rsultats de
l'appel d'offre concernant un systme d'inventaire, et donc du
dploiement ventuel d'un agent sur les systmes d'extrmit, ainsi que
le besoin de grer des systmes sans agent (imprimantes, camra IP,
etc), le choix s'est port sur l'utilisation d'outils rseau
spcialiss (scanner de vulnrabilit, prise d'empreinte). Ces outils
devront permettre de rcolter un maximum d'informations sur les
systmes d'extrmit afin de valider leurs conformits au regard de la
politique de scurit de l'tablissement. L'valuation sera faite aprs
l'authentification dans le but de privilgier, dans un premier
temps, l'accs au rseau par rapport aux risques encourus.Une
attention particulire doit tre porte sur la capacit de la solution
propose intgrer de nouveaux outils et traiter les informations
transmises travers le logiciel d'inventaire qui sera choisi (une
modification de l'appel d'offre inventaire a t faite en ce
sens).Systme d'valuationLe systme d'valuation doit tre en capacit
d'appliquer la politique de scurit en fonction des informations
rcupres sur le systme d'extrmit: authentification, identit,
conformit, lieu et moment de la connexion ...Par souci de simplicit
et de souplesse, j'ai choisi d'utiliser un ordre hirarchique et
linaire pour le traitement des informations de la demande de
connexion. En premier lieu, c'est l'identification qui est prise en
compte, ensuite seront consultes les exceptions (de lieu de temps)
puis c'est la conformit qui entre en jeu (facteur le plus
important). Un soin tout particulier doit tre apport au systme
d'valuation, l'acceptation par les usagers de la mise en place
d'une solution de contrle d'accs passe, en grande partie, par la
pertinence des dcisions prises cette tape.Systme de contrainteLe
systme de contrainte doit permettre d'imposer l'environnement rseau
dtermin par le systme d'valuation. Dans une infrastructure
out-of-band et un rseau commut, la solution la plus simple et
efficace est le positionnement du systme d'extrmit dans un VLAN
choisi par le systme d'valuation. C'est un serveur Radius qui sera
utilis pour jouer ce rle.La mise en quarantaineLa mise en
quarantaine est un point important au sein d'un projet NAC. La
capacit informer administrateurs et usagers doit faciliter
l'acceptation de cette quarantaine. La qualit des informations
prsentes permettra de rduire le temps de mise l'cart des systmes
d'extrmit concerns. N'oublions pas que le but est de fournir des
services rseaux aux usagers.C'est dans cet esprit que le choix d'un
VLAN muni d'un portail captif ayant la capacit faire le lien entre
les systmes viss et les causes de leur mise en quarantaine a t
dcid. Ce portail captif devra permettre aux usagers de se mettre en
conformit avec la politique de scurit ( travers l'accs un serveur
de mise jour par exemple). Ce portail devra aussi permettre, dans
certains cas, l'usager de sortir de lui mme de l'tat de
quarantaine. Cette possibilit doit apporter de la souplesse dans le
traitement des situations, il permet, par exemple, de laisser un
certain temps l'usager pour se mettre en conformit.La cration d'un
VLAN destin des machines potentiellement vulnrables n'est pas
exempt de risques, c'est un rseau trs intressant pour un attaquant.
Il est donc ncessaire de mettre en place des outils de surveillance
dans le but de rduire ce risque, la prsence rpte ou prolonge d'une
machine dans ce VLAN peut tre un bon indicateur de
risque.Administration de la solutionPour faciliter l'administration
d'un systme de contrle d'accs, plusieurs points sont fondamentaux.
Tout d'abord, il faut pouvoir utiliser les lments du systme
d'information dj en place, ici, le LDAP de l'Universit et le
logiciel IP Manager (gestion DHCP,DNS,VMPS). Ensuite, les
interventions manuelles doivent tre limites et rapides, par
exemple, si la dcision de mise en quarantaine d'un systme d'extrmit
doit tre fait par un administrateur (alert par messagerie), un lien
dans le message devrait pouvoir activer cette quarantaine.Enfin,
c'est l'accs aux informations portant sur l'ensemble du processus
qui doit tre disponible rapidement, que cela concerne les
connexions en cours ou bien celles passes. La recherche
d'information devra tre possible suivant diffrents critres,
identifiant, adresse MAC ou IP, dates, lieux...Cot financier,
retour sur investissement, risques stratgiquesL'tat du march
concernant le contrle d'accs au rseau est encore instable, les
acteurs de ce march sont toujours la recherche de leur
positionnement dfinitif. Mme si certaines technologies semblent tre
dfinitivement choisies (802.1X), le rle et le fonctionnement des
agents ne sont pas encore stabiliss. Il semble aujourd'hui prmatur
de se lier un constructeur de matriels, un fournisseur de systme
d'exploitation ou de logiciels, pour un parc de systme trs htrogne
comme celui de l'Universit. Le cot financier d'un tel
investissement, (240 000 Euros prix public pour une proposition
pour l'ensemble de l'Universit), n'est pas en adquation avec les
services offerts.ConclusionLa mise en place d'une solution maison
base sur le systme d'information existant et s'appuyant sur des
logiciels/outils dj matriss (FreeRadius, Nessus, portail Web, base
de donnes MySql) devrait permettre d'obtenir des fonctionnalits
proches des produits commerciaux actuels. Cette solution, peu
coteuse, peut aussi tre envisage dans une perspective de dploiement
petite chelle pour valider la faisabilit de la mise en place d'un
contrle d'accs et l'acceptabilit de ce nouveau contrle par les
usagers. Cette solution permettra la mise en place d'une
authentification forte (802.1x) l o les quipements rseau le
permettent. Le dploiement d'agent embarqu sera alors possible
moyennant la mise en place du serveur spcifique correspondant.
L'authentification par adresse MAC sera possible partout,
permettant d'identifier les systmes d'extrmit sans client ou
connects des quipements plus anciens.La solution propose
Schma de la proposition NAC pour l'Universit de Rennes1
SchmaDescription / Mise en oeuvreCe qui a t faitLe service
RadiusComme avec la plupart des solutions commerciales, la brique
principale de la solution propose est base sur un serveur Radius
(ici RedHat Entreprise et FreeRadius). Le serveur est charg
d'authentifier les connexions et de mettre en place l'environnement
rseau dcid par la politique de scurit en fonction des informations
recueillies sur les systmes d'extrmit. Les modes d'authentification
mis en place sont EAP-TTLS25EAP-TTLS (EAP-Tunneled Transport Layer
Security) mthode d'authentification utilisant des certificats
X-509.
, PEAP et authentification par adresse MAC. Les informations
relatives au VLAN attribuer seront, soit extraites du LDAP (pour
EAP-TTLS et PEAP), soit extraites d'un fichier associant adresses
MAC et VLAN. Ce fichier sera compos des informations issues de l'IP
Manager (mises jour rgulirement), compltes par les modifications
gnres par les modules de gestion des exceptions et de Politique de
dcision. Module de gestion de trapPour les commutateurs 3500 et
2950, limits dans leurs fonctionnalits d'authentification, deux
programmes ont t crit, Trap_Mac_Notification.pl et
Trap_Link_Down.pl, le premier est charg du traitement des traps mis
par les commutateurs signalant l'apparition d'une adresse MAC sur
un port (CISCO-MAC-NOTIFICATION-MIB::cmnHistMacChangedMsg), le
second traite les link down . C'est la configuration du fichier
snmptrapd.conf sur lequel s'appuie le dmon snmptrpad qui permet de
diffrencier les traps mies par les commutateurs.
Trap_Mac_Notification.pl est charg de faire une requte
d'authentification au-prs du serveur Radius en utilisant l'adresse
MAC contenue dans les traps. En fonction de la rponse obtenue, le
programme utilise des appels SNMP pour reconfigurer le port du
commutateur avec soit le VLAN par dfaut si l'identification choue,
soit avec le VLAN fourni dans les attributs Radius. En fait, ce
programme agit comme authenticator dans le protocole 802.1X lors
d'une identification avec adresse MAC.Module d'importation des
informations d'IP ManagerLe programme Import_MAC_VLAN_from_IPM.pl
extrait de la base de donnes du logiciel IP Manager les adresses
MAC enregistres l'Universit ainsi que leurs VLAN d'appartenance et
les champs contact et commentaires associs. Ces informations sont
ensuite envoyes vers un fichier mac2mab_IPM.txt permettant la
cration du fichier mac2mab utilis par le serveur Radius comme
rfrence des adresses MAC et de leur VLAN. Il a fallu crire un autre
programme Get_Vlan_Name_to_Number.pl charg pour sa part de
construire la correspondance entre le nom des VLAN et leurs numros
car ceux-ci apparaissent dans IP Manager sous leurs noms alors
qu'ils doivent apparatre sous forme de numro dans les attributs
Radius. Ce programme utilise SNMP afin d'interroger les matriels
rseaux sur lesquels est dclar l'ensemble des VLAN de
l'Universit.Module de gestion des exceptionsCe module (fichiers
Gest_Exception_Info.txt et Gest_Exception.pl), permet de modifier
le VLAN attribu une adresse MAC afin de grer diffrentes exceptions,
bases sur la prise en compte du moment de la connexion.Module de
Politique de DcisionsCe module sert d'interface entre les outils
rseaux permettant de rcuprer des informations sur les systmes
d'extrmit et les actions mener en cas d'infraction la politique de
scurit. Les actions mises en uvre seront soit automatiques en
agissant directement sur une modification de VLAN soit manuelles en
alertant les administrateurs pour une prise de dcision. Dans ce
cadre le programme PdD_Nessus.pl permet la gnration de courriels
listant les machines dtectes par Nessus comme potentiellement
dangereuses, des liens Web l'intrieur du courriel devraient
permettre de rendre effective la mise en quarantaine.La mise en
quarantaine correspond la modification du VLAN attribu une adresse
MAC. Les programmes Quarantaine_Ethernet.pl, Quarantaine_IP.pl et
Quarantaine_Uid.pl seront chargs de la mise en quarantaine partir
des informations suivantes: base de donnes des connexions, date de
dtection du problme et adresse IP ou identifiant.Module de log des
connexionsCette base de donnes (SQL) permet de stocker toutes les
informations concernant les connexions ainsi que les actions de
modification de VLAN, quelle qu'en soit l'origine.Ces informations
sont utilisables par certains modules (le portail web par exemple)
et consultables au travers d'une interface web qui devra tre
suffisamment volue pour faciliter les tches d'administration.Module
liant @MAC et @IPLe lien entre adresse MAC et adresse IP n'existe
pas directement, le programme Info_IP_From_Gateway.pl rsout ce
problme. Par interrogation SNMP, les tables ARP des routeurs et
pare-feu sont rcupres intervalle rgulier (5 minutes actuellement)
afin de mettre jour la base de donnes.Ce qu'il reste faireLe
portail web de mise en conformitL'interface
d'administrationQuelques ides en plusModule ACLCe module pourrait
permettre de grer des modifications d'ACL sur les quipements de
type routeur ou pare-feu, par exemple en interdisant le trafic
inter VLAN depuis une imprimante, ce module pourrait s'appuyer sur
les informations recueillies dans la base de donnes du logiciel IP
Manager.Script d'tude comportementalLes informations rcupres par
les diffrents outils mis en place compares aux informations
contenues dans les bases de donnes (IPM, LDAP) permettra de dtecter
les incohrences, qu'elles soient volontaires ou non, par exemple
sur la nature du poste d'extrmit ( imprimante/station de
travail/serveur). Ici c'est l'usurpation d'adresse MAC qui sera
dtecte.L'tude des dplacements des systmes d'extrmit sur le rseau
pourra aussi rvler soit des dysfonctionnement, soit des usages
risque, par exemple le passage d'un VLAN un autre, d'un portable ou
bien l'utilisation par plusieurs personnes d'un mme poste.Dtection
de postes corrompusL'utilisation d'un IDS dans le cadre d'une
infrastructure NAC est utile pour reprer des machines connectes au
rseau de l'Universit ayant un comportement anormal envers d'autres
machines (sur le rseau local ou vers Internet). Le positionnement
d'un IDS se fait en fonction des buts recherchs, ici il serait plac
pour pouvoir surveiller l'ensemble du trafic prsent sur le rseau
local. Vu le volume de trafic et de la structure du rseau, deux
solutions sont envisageables et potentiellement complmentaires: 1.
Une surveillance du trafic sortant du rseau de l'Universit, mise en
uvre sur le futur pare-feu de l'Universit, permettrait de dtecter
les machines par l'analyse de leur trafic Internet. 2. Une
surveillance de l'ensemble des trafics locaux de chaque VLAN par la
mise en place d'une interface en port miroir qui rcolterait les
flux. La quantit de donnes pourrait ncessiter l'emploi de plusieurs
machines.Limitation d'accs en fonction du lieu de la connexionEn
autorisant la connexion d'une machine sur un seul port de
commutateur ou l'intrieur d'un btiment, ce module pourrait rpondre
des besoins spcifiques comme la gestion de salle informatique par
exemple.Interaction avec d'autres systmesIl est tout fait
imaginable de coupler l'autorisation de connexion avec d'autres
systmes de scurit. Par exemple, la rcupration des informations
issues des contrles d'accs physiques aux btiment pourrait servir de
prcondition, ainsi seules les personnes valides par l'accs physique
aurait le droit d'accs au rseau l'intrieur du btiment ou du
laboratoire.Test et mise en productionLa mise l'preuve de la
solution propose se fera sur les lieux de connexion des personnels
du CRI appartenant au ple de proximit afin de bnficier de leurs
expertises techniques quant aux ventuelles difficults rencontres.
Suite cette tape de test, certains perfectionnements seront
certainement apports la solution et une architecture adapte la mise
en production sera mise en place (redondance des serveurs Radius,
rpartition de charge, etc... ). L'tape suivante de dploiement
passera par la scurisation d'une UMR de l'Universit, celle-ci se
fera en deux phases; la premire, sans mise en quarantaine mais avec
signalisation du problme aux administrateurs et la seconde avec
mise en quarantaine. L'objectif long terme est d'exercer un contrle
d'accs au rseau sur l'ensemble des points de connectivit de
l'Universit.
Conclusion
La matrise des accs au rseau est indispensable pour assurer un
niveau de scurit satisfaisant du systme d'information. L'tude mene
ici montre que dans un environnement complexe et une infrastructure
vieillissante, il est difficile de mettre en place un concept comme
le NAC qui s'appuie sur des technologies nouvelles et des matriels
relativement rcents. Il est toutefois possible de mettre en place,
ds aujourd'hui, les lments ncessaires au contrle d'accs au rseau
afin, dans un premier temps, de familiariser les utilisateurs et
les administrateurs ce contrle, ce qui est dj le cas pour les accs
sans-fil mais beaucoup moins pour les accs filaires, et, dans un
deuxime temps, de dvelopper peu peu tous les lments d'un NAC. Le
recueil d'informations pertinentes sur les systmes d'extrmit est
ncessaire l'application de la politique de scurit et se dveloppe
actuellement au niveau des postes informatiques avec la mise en
place d'agents spcialiss. Il sera en revanche toujours utile de
corrler ces informations avec des outils rseau indpendants et de
mettre en place une analyse des flux afin de ne pas faire reposer
la scurit sur une source d'information unique. La mise en place
d'un NAC ne pourra garantir une protection totale face aux menaces
lies aux accs rseau, cependant, le contrle d'accs contribuera
certainement augmenter la protection des systmes d'information.
Table des figures
Figure 1: NEA Reference Model18Figure 2: Modle TCG/TNC19Figure
3: Schma Microsoft NAP22Figure 4: Schma Juniper UAC 24Figure 5:
Schma de l'infrastructure NAC pour l'universit de Rennes136
IFSIC - UNIVERSIT de RENNES 1 - Campus de Beaulieu - 35042
RENNES CEDEX - FRANCE T l . : 02 9 9 8 4 7 1 0 0 - F a x : 02 9 9 8
4 7 1 7 1 - h t t p : / / w w w . i f s i c . u n i v - r e n n e s
1 . f rIUT LANNION Centre de ressources informatiques - CRIDpt.
Rseaux et TlcomsUniversit de Rennes 1
tude du contrle d'accs au rseau (NAC) pour l'Universit de
Rennes1
tude du contrle d'accs au rseau (NAC) pour l'Universit de
Rennes1
tude du contrle d'accs au rseau (NAC) pour l'Universit de
Rennes1PRESENTATION DU CRI Centre de ressources informatiques
tude du contrle d'accs au rseau (NAC) pour l'Universit de
Rennes1Le contrle d'accs rseau
tude du contrle d'accs au rseau (NAC) pour l'Universit de
Rennes1Une solution pour l'Universit
tude du contrle d'accs au rseau (NAC) pour l'Universit de
Rennes1Une solution
tude du contrle d'accs au rseau (NAC) pour l'universit de
Rennes1-
tude du contrle d'accs au rseau (NAC) pour l'Universit de
Rennes1
tude du contrle d'accs au rseau (NAC) pour l'universit de
Rennes1
tude du contrle d'accs au rseau (NAC) pour l'Universit de
Rennes1
tude du contrle d'accs au rseau (NAC) pour l'Universit de
Rennes1
tude du contrle d'accs au rseau (NAC) pour l'universit de
Rennes1 -
