Présentation
EnglishRÉSUMÉ
Construits dans une logique ouverte de « confiance par défaut », les réseaux locaux (Local Area Network) ne disposent pas nativement de capacités de contrôle (contrôle d’accès, contrôle de conformité, visibilité et traçabilité) des périphériques s’y connectant. Cela a ouvert un marché pour les éditeurs des solutions NAC (Network Access Control) qui ont développé des approches pour mettre en œuvre ces fonctionnalités de contrôle, en venant compléter les standards – notamment 802.1x – qui n’adressent que la partie contrôle d’accès et authentification et restent complexes à déployer dans des réseaux d’entreprises à large échelle.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Cécilien CHARLOT : Fonction Consultant cybersécurité - Affiliation CGI Business Consulting
INTRODUCTION
Les réseaux locaux – que ce soit les réseaux filaires ou Wifi reposent sur des protocoles – notamment Ethernet – qui ont été pensés sans proposer nativement de fonctionnalité de contrôle sur les périphériques se connectant au réseau. On parle ainsi de réseaux construits dans une logique de confiance. Dans un contexte de besoins de sécurité croissant, d’interconnexions complexes entre différents types de réseaux – dont des réseaux critiques, type réseaux industriels – et de multiplication des périphériques en mesure de se connecter au réseau – objets connectés participant à l’Internet Of Things par exemple, cette logique devient de moins en moins viable et génère des risques importants qu’il convient d’adresser. Les solutions Network Access Control ont été développées en vue de couvrir ces risques et s’appuient sur un ensemble d’approches et de protocoles, standardisés ou non, pour répondre à différents objectifs de contrôle.
Cet article a été construit de manière agnostique par rapport aux solutions du marché et propose une vue générale de la problématique et des risques engendrés jusqu’à détailler le fonctionnement technique des solutions qui permettent d’y répondre. En particulier :
-
il explique l’historique de la problématique des « réseaux locaux ouverts » et précise les différents risques générés ;
-
il précise les objectifs de contrôle que sont l’authentification, le contrôle de conformité, la traçabilité et la visibilité ;
-
il donne une vue des différentes approches possibles pour réaliser chacun des objectifs de contrôle ;
-
il détaille le mode de fonctionnement et les limitations du standard 802.1x, qui apporte une solution standardisée et efficace pour le contrôle d’accès mais dont la mise en œuvre nécessite des prérequis importants en termes de maîtrise des périphériques se connectant au réseau ;
-
il propose enfin une analyse comparative des quatre architectures types qui sont déployées par les solutions du marché, en comparant des critères d’efficacité et de couverture par rapport aux différents objectifs de contrôle ainsi qu’à la facilité de déploiement et au prérequis nécessaire au déploiement de chaque type d’architecture.
MOTS-CLÉS
sécurité des systèmes d'information cybersécurité contrôle d'accès au réseau sécurité réseau
VERSIONS
- Version archivée 1 de oct. 2008 par Cécilien CHARLOT
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
3. Architectures types
Les architectures suivantes ont été définies en fonction de l’emplacement dans le réseau du point de contrôle. Cependant, ces architectures peuvent être combinées, en utilisant plusieurs types de points de contrôle, pour atteindre une solution plus performante.
Pour chaque architecture, seront détaillés les composants et principes de fonctionnement – pré et postconnexion – utilisés pour répondre aux trois objectifs définis précédemment.
Une action de la cinématique de contrôle est dite pré-connexion si cette action est entreprise avant même que l’accès au réseau ne soit accordé. Dans le cas où l’accès au réseau a été accordé, l’action est dite de postconnexion.
3.1 Contrôle par un matériel dédié en ligne
Ce type de solution est basé autour d’un matériel spécialisé qui sera déployé entre les réseaux d’accès et le cœur de réseau (figure 4). L’objectif est d’apporter un filtrage adaptatif des flux, selon des informations d’identité des utilisateurs capturées par les méthodes d’interception d’authentification ou d’authentification par portail captif, ces méthodes ne nécessitant pas d’agent. Ainsi, le périmètre d’action de la solution est donc maximal et le déploiement est plutôt aisé bien qu’il faille anticiper la problématique des périphériques ne pouvant pas être authentifiés par les méthodes d’authentification listées ci-dessus (tableau 1). Le placement de la solution permet également une visibilité complète sur les périphériques connectés au réseau, les flux et les vulnérabilités. En contrepartie, les fonctionnalités de contrôle de conformité seront limitées par l’absence d’agent (tableau 2).
HAUT DE PAGE3.2 Contrôle préconnexion par les matériels réseaux
Dans ce type...
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Architectures types
DANS NOS BASES DOCUMENTAIRES
NORMES
-
Technologies de l'information – Interconnexion de systèmes ouverts (OSI) – Modèle de référence de base : le modèle de base - ISO/IEC 7498-1 - 1994
-
IEEE Standard for Local and metropolitan area networks - Port-Based Network Access Control - 802.1x-2004 - 2004
-
Extensible Authentication Protocol (EAP) - RFC 3748 - 2004
-
RADIUS (Remote Authentication Dial In User Service)(anciennement RFC 2138) - RFC 2865 - 2000
-
DHCP (Dynamic Host Configuration Protocol) - RFC 1531 - 1993
-
Interoperation Between DHCP and BOOTP (anciennement RFC 1533) - RFC 2132 - 1997
-
Dynamic Host Configuration Protocol - RFC 2131 - 1997
-
Captive-Portal Identification Using DHCP or Router Advertisements (RAs) - RFC 7710 - 2015
-
...
ANNEXES
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive