Les ordinateurs portables, les smartphones, les tablettes et les objets IoT ont une place prédominante dans nos lieux de travail. La première étape pour sécuriser vos données ? Identifier les personnes connectées au réseau !

La mise en application automatisée de politiques de sécurité adaptées, garantit que seuls les utilisateurs et les terminaux autorisés sont connectés. De plus, une protection en temps réel contre les menaces est nécessaire pour sécuriser l'environnement réseau Filaire et Wifi.

Qu'est-ce que l'Extreme Control ?

La solution NAC d’Extreme est une solution de contrôle d’accès aux réseaux Filaire et Wifi des entreprises avant et après la connexion.

Avec Extreme NAC Control, les administrateurs réseaux peuvent déployer une solution NAC pour veiller à ce que seuls les bons utilisateurs aient accès aux bonnes informations, au bon endroit et au bon moment.

L’avantage d’Extreme NAC est sa visibilité granulaire ainsi que le contrôle orienté métier de chaque utilisateur et application. Avec les politiques Extreme Control, il est possible d’autoriser, de rejeter, de rediriger et d’auditer le trafic réseau en fonction de l’identité de l’utilisateur, de l’heure et de l’emplacement ainsi que du type d’équipement.

La solution d’Extreme propose une très bonne adaptation en termes de matériel à prendre en compte (compatibles multi-constructeurs) et offre de très bon compromis Utilisation / sécurité / coût.

Pour le fonctionnement de la solution NAC Extreme deux types d’« Appliances » virtuelles sont nécessaires :

1. Une Appliance Virtuelle Extreme Management Center : est une console de management et de supervision des équipements réseaux permettant d’interagir avec les « appliances » pour la remontée d’alarmes, la gestion des statistiques, le reporting et d’autres fonctions.
2. Une Appliance Virtuelle Extreme Control : est le cœur du système NAC qui découvre les périphériques, authentifie les clients et gère les accès réseau.

La solution d'Extreme Control peut être décomposée en six sections 

1. Visibilité 

La fonctionnalité de base fournie dans toute solution de contrôle d’accès est la visibilité de ce qui est connectée au réseau. Extreme Control fournira autant d'informations que possible pour chaque adresse MAC unique qui apparaît sur le réseau. La principale méthode d'identification et de localisation des périphériques sur le réseau consiste à utiliser l'authentification basée sur RADIUS. En utilisant une méthode d'authentification basée sur RADIUS, Extreme Control sera en mesure de savoir quand les périphériques se connectent sur le réseau, la localisation où ils sont connectés, ainsi que quand ils se déconnectent du réseau.

Deux types d'authentification RADIUS sont utilisés pour la visibilité :

• Authentification MAC
• Authentification 802.1X

Outre les informations fournies par l'authentification basée sur RADIUS, Extreme Control dispose de plusieurs méthodes pour obtenir des informations non présentes dans les messages RADIUS, dont notamment le plus simple le « DHCP Snooping » pour obtenir les informations supplémentaires. 

2. Contrôle

L'une des fonctionnalités essentielles de la solution Extreme Control est la possibilité de contrôler les autorisations d'accès d’un équipement sur le réseau. La solution Extreme Control est conçue pour appliquer le contrôle de l’équipement au plus près de sa connexion : si le périphérique se connecte en sans-fil, il attribuera les autorisations au point d'accès, si le périphérique est câblé, il l’attribuera sur le port du commutateur spécifiquement à ce périphérique et à aucun autre qui y est connecté (comme un téléphone avec un ordinateur connecté derrière lui).

Il existe un moteur de règles qui détermine le type d'accès qu'un périphérique doit avoir. 

Les règles sont une évaluation d'un « ET » logique entre plusieurs composants de la règle. Si l'équipement correspond à la combinaison des critères de la règle, un profil NAC lui est affecté. Les règles sont évaluées de manière descente, de la même manière qu'une « Access List ». Si un équipement ou utilisateur ne correspond pas à la première règle, il est évalué par rapport à la règle suivante de la liste, etc. La dernière règle étant la règle « capturante » par défaut. Les critères de règle sont composés des types d'objets suivants :

• Types d'authentification
• Groupes d'utilisateurs
• Groupes de systèmes
• Localisation
• Types d'appareils
• Horodatage

3. Redirection 

Dans une solution NAC, il existe plusieurs cas d'utilisation qui nécessitent la sollicitation de l'utilisateur lui-même avant de pouvoir lui attribuer le niveau d'accès approprié sur le réseau. Des informations le concernant sont généralement collectées depuis un portail captif. Pour rediriger les utilisateurs vers ce portail captif, des techniques sont utilisées pour rediriger le trafic Web de l'utilisateur vers ce portail. 

Par exemple, si un portail captif est requis pour collecter les données d'un utilisateur avant d'obtenir un accès, une stratégie de redirection lui sera attribuée. Dès qu'il aura fourni ces informations, il sera authentifié à nouveau et, en fonction de ces informations, différents niveaux d'accès pourront lui être attribués.

4. Authentification

Le processus d'authentification d'un équipement ou d'un utilisateur se connectant au réseau permet de s'assurer que l'identité fournie est exacte. Il existe de nombreuses méthodes pour valider ces informations, chacune d'elles présentant des avantages et des inconvénients. Les trois méthodes d'authentification utilisées avec Extreme Control sont les suivantes : 

• 802.1X utilisant une infrastructure RADIUS existante
• 802.1X utilisant une infrastructure LDAP existante
• Authentification par portail captif

5. Enregistrement d'invité

L'une des fonctionnalités les plus fréquemment utilisées avec Extreme Control est sa capacité d'enregistrement des invités. Extreme Control propose un « workflow » permettant de connecter un invité au réseau tout en collectant autant d'informations que possible pour l'administrateur. Les workflows les plus courants sont : 

• Portail captif : cette méthode fournit un portail captif où un utilisateur est invité à saisir des informations et à accepter une charte d'utilisation. Cependant, il n'y a pas de vérification des informations entrées par l'utilisateur.
• Vérification SMS ou e-mail : cette méthode fournit un portail captif et demande à un utilisateur de saisir un numéro de téléphone ou adresse e-mail afin de recevoir un code de vérification avant de pouvoir accéder au réseau. 
• Enregistrement sur Facebook : cette méthode fournit un nombre limité d'informations vérifiées tout en rationalisant le processus d'enregistrement. L'enregistrement est lié au compte Facebook de l'utilisateur. 
• Sponsoring : cette méthode permet à un utilisateur connu d'approuver l'accès d'un invité au réseau, sans être un administrateur du système. 
• Pré-enregistrement : cette méthode permet à un utilisateur invité pré-connu de se connecter avec un nom d'utilisateur et mot de passe générés au lieu de suivre le processus d'enregistrement traditionnel. 

6. Contrôle de conformité et remédiation

Finalement, la solution Extreme Control d'Extreme Networks fournit des services d'évaluation permettant de déterminer l'état de sécurité des équipements se connectant au réseau. La solution utilise des services d'évaluation pour évaluer et auditer les systèmes d'extrémité connectés et fournir des informations détaillées sur : le niveau du correctif, les processus en cours, les définitions antivirus, le type de périphérique, le système d'exploitation et d'autres informations essentielles pour déterminer la conformité de sécurité de l'équipement. Ceux qui échouent à l'évaluation peuvent être mis en quarantaine avec un accès réseau restrictif pour empêcher les menaces de sécurité de pénétrer sur le réseau.

Lorsqu'un système final est en quarantaine sur le réseau, un portail captif de remédiation peut être présenté à l'utilisateur final, ce qui lui permet de réparer son ordinateur sans demander l'assistance du service informatique. 

 

Article rédigé par Lionel HUCK, ingénieur avant vente au sein de Digital-Liance.

Besoin d'une démo ? Pour toute précision, nos ingénieurs restent à votre écoute !