La solution: FreeNAC

FreeNAC fournit une solution transparente pour une gestion dynamique des réseaux virtuels (VLAN), tout en restreignant l'accès au réseau interne. Du point de vue de la sécurité, il détecte les équipements "inconnus" qui essaient d'accéder au réseau interne et refuse l'accès en enregistrant l'événement. Les équipements connus et enregistrés sont connectés dans le réseau interne qui leur est attribué.

Les visiteurs (ordinateurs inconnus), devraient éventuellement pouvoir accéder à un réseau privé virtuel par défaut / pour invités. Cela peut être utile, par exemple, pour des entreprises qui veulent permettre à leurs visiteurs de se connecter à Internet ou à un accès VPN, sans pour autant avoir accès au réseau interne de l'entreprise.

Avec FreeNAC, dès qu'un nouvel ordinateur est connecté au port d'un switch, son adresse MAC est envoyée au serveur, où elle sera enregistrée et vérifiée pour savoir si cet ordinateur est autorisé à accéder au réseau. Si l'accès est autorisé, le serveur renverra au switch le réseau virtuel (VLAN) auquel cet ordinateur appartient. Si cet ordinateur n'est pas encore enregistré, l'accès au réseau lui est bloqué ou il se voit attribuer un réseau privé (VLAN) limité, selon la police de sécurité en vigueur.

 

 

FreeNAC peut fonctionner sous deux modes:

  • VMPS
  • 802.1X

VMPS (VLAN Management Policy Server) est un moyen d'assigner les ports d'un switch à des VLAN spécifiques, basé sur l'adresse MAC de l'appareil qui se connecte au réseau. En mode VMPS, quand un switch compatible détecte un nouvel ordinateur, il crée une requête VMPS demandant l'autorisation de FreeNAC. Celui-ci vérifie sa base de données et en réponse refuse ou permet l'accès au réseau, basé sur l'adresse MAC du PC. Le switch applique la décision prise par FreeNAC et refuse l'accès ou, en cas de succès, envoie dynamiquement l'ordinateur dans un VLAN prédéterminé.

802.1X est un standard IEEE pour le contrôle d'accès réseau basé sur les ports. Il fournit l'autentification aux équipements attachés à un port de réseau interne, établissant une connection point-à-point ou empêchant l'accès au réseau depuis ce port si l'autentification échoue. 802.1X est disponible pour les switches les plus récents, et peut être configuré pour autentifier les ordinateurs qui sont équipés du logiciel correspondant, refusant l'accès non autorisé au réseau au niveau de la couche de données (Data link layer).

En mode 802.1X, FreeNAC verifie les autorisations des utilisateurs (grâce à l'utilisation d'un serveur d'autentification tierce partie) et utilise l'adresse MAC de l'équipement se connectant pour lui attribuer un VLAN. Cela crée une combinaison nom d'utilisateur / mot de passe qui est unique pour chaque client qui se connecte.

Pour les utilisateurs malicieux, il ne suffit pas seulement de voler l'adresse MAC d'une machine du réseau (MAC spoofing); ils doivent encore obtenir les autorisations d'utilisateurs légitimes, rendant l''accès au réseau plus difficile.

For non-802.1x-capable devices using Cisco 802.1x-capable switches, we use MAC-Authentication bypass to authorise the device and assign a VLAN. Authenticating both username and device is more secure than authenticating only the device, it is risk/benefit tradeoff.