Protéger ses ressources IT grâce au contrôle d`accès réseau (NAC)

Protéger ses ressources IT grâce au
contrôle d’accès réseau (NAC)
Lorsque les visiteurs et les intervenants externes sont fréquents, comment
peut-on contrôler et gérer l’accès au réseau d’entreprise sans freiner la
productivité ? Peut-on protéger les ressources internes et bloquer les comportements malicieux ? Peut-on suivre l’évolution du niveau de sécurité de
l’entreprise ? L’Union Européenne de Radio-télévision a trouvé une solution
à ce défi.
L'Union Européenne de Radio-télévision (UER), dont le siège est à Genève, est la
Yannick Michel
Ingénieur réseau
UER / Eurovision
plus importante association professionnelle de radiodiffuseurs nationaux dans le
monde. L’UER exploite les réseaux Eurovision et Euroradio et s'occupe entre autres
de l'échange d'informations et de programmes entre ses membres ainsi que de la
retransmission d'événements sportifs et culturels.
Défi initial
L’entreprise gère plus de 700 postes de travail, à Genève et dans ses agences dans
le monde, ainsi que près de 400 serveurs. Yannick Michel, Ingénieur réseau, explique : « Les activités de l’UER entraînent la présence sur son réseau IT de nom-
« L’un de nos objectifs
était de mieux contrôler
l’accès à notre réseau
privé, de détecter les
comportements malicieux
éventuels et de les
bloquer.»
breux postes de partenaires et visiteurs. Ainsi, un audit a permis de constater que
des externes pouvaient se connecter sans contrôle aux ressources de l’entreprise.
Le risque était élevé. Il fallait agir. »
Objectif : contrôle d’accès et sécurité
« Notre objectif était de mieux contrôler l’accès à notre réseau privé, de détecter
les comportements malicieux éventuels et de les bloquer. Nous voulions pouvoir
nous assurer de manière simple que les versions logicielles de notre parc informatique sont à jour et le restent. Nous voulions aussi pouvoir disposer de rapports de
conformité permettant de contrôler l’évolution de notre niveau de sécurité »
© Navixia 2014
Protéger ses ressources IT grâce au Network Access Control (NAC)
« La solution
CounterACT de
ForeScout se caractérise
par sa souplesse. »
Page 2
Contraintes
« Nous devions prendre en compte des postes clients équipés de différents systèmes
d’exploitation (Windows, MAC, Android, etc …). Certains postes de partenaires externes, bien que n’étant pas gérés par notre IT, devaient pouvoir être audités. L’intégration devait pouvoir se faire par phases afin de mieux maitriser d’éventuels
impacts en production. Enfin, il fallait tenir compte des ressources disponibles, réduites, puisque l’équipe d’ingénieurs en charge du projet ne compte que deux à
trois personnes.
Options considérées
« Nous avons décidé mettre en place une solution de contrôle d’accès réseau (NAC).
« Un POC nous a permis de comparer les solutions de ForeScout (CounterACT), de
Juniper (UAC) et de Cisco (ISE). Mais Cisco et Juniper se sont vite révélés beaucoup
trop lourds à mettre en œuvre et à maintenir car notre petite équipe n’avait pas
beaucoup de temps à consacrer à la solution en dehors de ses tâches habituelles. »
CounterACT, un véritable couteau suisse
« Nous avons retenu la solution CounterACT de ForeScout, qui se caractérise par sa
souplesse. Elle ne nécessite ni software, ni agents, ni mises à jour hardware ou
reconfigurations. De plus, CounterACT sait gérer les PC partenaires, partenaires, ce
qui n’est pas chose facile avec les solutions du type 802.1x. »
« Le tableau de bord général de la solution a aussi fait la différence. Nous avons
profité de la possibilité d’avoir une image du parc informatique. Cela réduit les
risques, permet d’appliquer les patches des serveurs et assure les mises à jour
d’Adobe, Java, etc. Cela rend ainsi possible une standardisation du parc informatique. La vérification des mises à jour des antivirus est également très performante.
La propre console de gestion de notre antivirus ne reflétait pas la réalité aussi bien
que la console de ForeScout. Le tableau de bord permet aussi de suivre les tendances et nous montre si nous évoluons dans le bon sens. Notre responsable de la
sécurité l’utilise souvent, cela lui permet de monitorer la sécurité au quotidien et
de vérifier que nous gardons le cap. »
« Nous pouvons par
exemple savoir en trois
clics de souris combien
de serveurs FTP sont
actifs dans notre
infrastructure.»
« Qu’il s’agisse de l’IT ou des utilisateurs, nous utilisons toutes les fonctionnalités
de la solution au quotidien. Nous pouvons par exemple savoir en trois clics de souris
combien de serveurs FTP sont actifs dans notre infrastructure. CounterACT est déployé sur tous nos réseaux, fixe, wifi et même sur le réseau des serveurs, où normalement un NAC ne serait pas nécessaire. Cela nous permet de vérifier que tout
est à jour et de disposer d’une traçabilité des connexions effectuées. Autre avantage : on peut authentifier les PC des visiteurs et les problèmes sont identifiables
immédiatement. »
© Navixia 2014
Page 3
Protéger ses ressources IT grâce au Network Access Control (NAC)
Intégration simple
« Le produit est
intéressant car il nous en
apprend beaucoup sur
notre réseau. Il nous a
ainsi permis de détecter
des pannes ou des
machines au
comportement bizarre qui
auraient été difficilement
repérables
humainement. »
« La mise en œuvre est très facile : on commence par monitorer les switches, puis
on crée des règles de contrôle d’accès. En une demi-journée, on dispose déjà d’un
système efficient. Mais c’est surtout l’administration au quotidien qui est simple,
un vrai plaisir. Nous avons zéro faux positifs ! »
« CounterACT est parfaitement compatible avec tous les systèmes d’exploitation,
y compris Android, Mac, les imprimantes. La solution détecte automatiquement
tous les équipements qu’elle voit sur IP. »
Déploiement progressif
« Voilà deux ans que nous avons déployé CounterACT. Nous avons procédé à une
intégration pas-à-pas car nous avions peu de temps à lui consacrer. Si nous avions
choisi une autre solution, plus lourde, elle ne serait probablement pas encore opérationnelle aujourd’hui. Il est possible d’intégrer séparément différentes parties du
réseau et nous avons procédé étage par étage, VLAN par VLAN. Au début, nous avons
simplement monitoré les ressources, puis nous avons augmenté graduellement le
niveau des règles de sécurité. Dans notre environnement, nous aurions immédiatement une levée de boucliers si nos interventions bloquaient les utilisateurs, mais
ForeScout propose une approche pragmatique qui permet d’avancer pas-à-pas. Nous
avons peu de temps, beaucoup d’externes – et aussi des utilisateurs internes techniquement bien informés avec des exigences élevées. Même pour eux, la démarche
a été totalement transparente. La mise en place s’est faite sans plaintes des utilisateurs : 500 postes étaient concernés et nous avons enregistré en tout et pour tout
deux appels d’utilisateurs ! »
Concrètement sur le terrain…
Pour gérer les utilisateurs externes, une démarche globalement peu contraignante
et facile à mettre en œuvre consiste à créer des exceptions à l’aide d’un identifiant
basé sur l’adresse MAC. L’UER a retenu cette approche : « Dès que l’arrivée d’un
intervenant externe appelé à se connecter au réseau est prévue, son répondant
dans l’entreprise remplit un formulaire pour nous communiquer son adresse MAC et
« La mise en place s’est
fait sans plaintes des
utilisateurs : 500 postes
étaient concernés et
nous avons enregistré en
tout et pour tout deux
appels d’utilisateurs ! »
la durée de sa présence dans la société. Nous lui donnons alors accès aux ressources
auxquelles il a droit. Ce système fonctionne bien. »
« Par défaut, tout PC externe qui se connecte sans demande préalable est immédiatement détecté comme n’appartenant pas à l’entreprise. Si aucune demande
d’accès formelle n’est faite, il aura seulement un accès à internet. »
« Un avantage important de la solution ForeScout: les compétences embarquées
dans le honeypot interne permettent de détecter les comportements malicieux et
d’isoler les machines au comportement non-standard. Cela a fait ses preuves. Lors
© Navixia 2014
Protéger ses ressources IT grâce au Network Access Control (NAC)
Page 4
de notre dernier audit de sécurité, nous avons simulé un attaquant interne. Il a été
La solution CounterAC
ne requiert ni software, ni
agents, ni mises à jour
hardware ou
reconfigurations. Elle
s’intègre facilement à la
structure existante car
elle supporte les
solutions matérielles et
logicielles d’un grand
nombre de fabricants
immédiatement détecté. Au point que les auditeurs nous ont demandé l’autorisation de contourner le NAC pour pouvoir mener leur investigation plus loin. »
Conclusion
« Nous sommes enchantés de la solution, qui est un peu le couteau suisse de la
sécurité et qui est parfaite pour nous. Mais nous n’avons pas encore exploité
toutes les fonctionnalités proposées par CounterACT. Notre objectif à terme est
d’étendre le NAC, selon les mêmes principes, à tous les équipements mobiles,
smartphones et tablettes. »
Exemple d’architecture
« Nous sommes
enchantés de la solution,
qui est un peu le couteau
suisse de la sécurité et
qui est parfaite pour
nous. »
Exemple de tableau de bord (image d’illustration)
Navixia SA
Route du Bois 1
CH – 1024 Ecublens
Tél.:
+ 41 (0)21 324 32 00
Fax:
+ 41 (0)21 324 32 01
E-mail:
[email protected]
Web:
www.navixia.com
© Navixia 2014