Contrôle d'accès réseau

Les efforts en matière de sécurité des réseaux focalisent souvent sur le périmètre entre réseau privé et Internet, i.e. avec un pare-feu Internet. La sécurité des postes de travail se limite souvent au seul Antivirus. Cette approche considère que le risque majeur de sécurité provient de l'extérieur, d'où la tendance à durcir les défenses de périmètre, alors que les utilisateurs internes ont plein accès aux ressources du réseau.

Ceci n'est plus suffisant dans un monde de laptops mobiles, de connexions au réseau dans des zones non sécurisées prédominantes, et un nombre croissant de visiteurs, de partenaires externes, de réorganisations, etc.

L'accès au réseau interne devrait se limiter aux seuls PCs et autres équipements autorisés. Comment peut-on autoriser ou bloquer l'accès à un ordinateur? Comment imposer ses politiques de sécurité au réseau?

FreeNAC vous aide à:

  • Limiter l'accès aux ressources du réseau
  • Fournir un suivi des équipements connectés au réseau (quoi, quand et où)
  • Offrir un inventaire en temps-réel des équipements du réseau et de faire le lien avec un inventaire formel
  • Offrir des rapports de conformité rassemblant des informations sur le réseau, les utilisateurs et les équipements.

Comment ça marche

Un switch détecte un nouvel ordinateur et demande l'autorisation au serveur FreeNAC, qui vérifie les droits dans sa base de données et refuse ou accorde l'accès - en assignant un réseau privé virtuel (VLAN) approprié.

Comment se déroule l'authentification?

  • Mode VMPS: les machines du réseau sont identifiées par leur adresse MAC. Les utilisateurs ne sont pas authentifiés dans ce mode.
  • Mode 802.1x: les machines du réseau peuvent être authentifiées par certificat, les utilisateurs par leur acompte dans un domaine Windows.

L'attribution d'un VLAN est basée sur l'adresse MAC d'une machine. En mode VMPS, l'authentification et l'attribution ont lieu en une seule étape. En mode 802.1x, l'authentification des utilisateurs (dans le domaine Windows) ou celle des machines (par certificat) se déroule en premier, et seulement ensuite l'adresse MAC est utilisée pour l'attribution du VLAN.

FreeNAC accède-t-il aux services de sécurité des postes clients avant d'accorder l'accès au réseau?

  • Actuellement, FreeNAC est conçu pour fonctionner sans "agent distant" sur les postes clients. Par conséquent, les vérifications de sécurité des postes de travail ne peuvent être effectuées que par scan ou par évaluation de la sécurité côté serveur.
  • Concrètement, cela signifie que si vous utilisez McAfee EPO, ou MS-WSUS, il devrait être possible de vérifier la sécurité des postes clients avant d'accorder l'accès au réseau.
  • FreeNAC est souvent installé dans des réseaux hétérogènes composés de postes Windows mais aussi d'autres systèmes d'exploitation; ainsi les informations de EPO/WSUS sont actuellement utilisées seulement à titre d'information pour aider les administrateurs de sécurité, mais ne sont pas utilisées pour exclure des ordinateurs du réseau.