Protéger ses ressources IT grâce au contrôle d`accès réseau (NAC)
Transcription
Protéger ses ressources IT grâce au contrôle d`accès réseau (NAC)
Protéger ses ressources IT grâce au contrôle d’accès réseau (NAC) Lorsque les visiteurs et les intervenants externes sont fréquents, comment peut-on contrôler et gérer l’accès au réseau d’entreprise sans freiner la productivité ? Peut-on protéger les ressources internes et bloquer les comportements malicieux ? Peut-on suivre l’évolution du niveau de sécurité de l’entreprise ? L’Union Européenne de Radio-télévision a trouvé une solution à ce défi. L'Union Européenne de Radio-télévision (UER), dont le siège est à Genève, est la Yannick Michel Ingénieur réseau UER / Eurovision plus importante association professionnelle de radiodiffuseurs nationaux dans le monde. L’UER exploite les réseaux Eurovision et Euroradio et s'occupe entre autres de l'échange d'informations et de programmes entre ses membres ainsi que de la retransmission d'événements sportifs et culturels. Défi initial L’entreprise gère plus de 700 postes de travail, à Genève et dans ses agences dans le monde, ainsi que près de 400 serveurs. Yannick Michel, Ingénieur réseau, explique : « Les activités de l’UER entraînent la présence sur son réseau IT de nom- « L’un de nos objectifs était de mieux contrôler l’accès à notre réseau privé, de détecter les comportements malicieux éventuels et de les bloquer.» breux postes de partenaires et visiteurs. Ainsi, un audit a permis de constater que des externes pouvaient se connecter sans contrôle aux ressources de l’entreprise. Le risque était élevé. Il fallait agir. » Objectif : contrôle d’accès et sécurité « Notre objectif était de mieux contrôler l’accès à notre réseau privé, de détecter les comportements malicieux éventuels et de les bloquer. Nous voulions pouvoir nous assurer de manière simple que les versions logicielles de notre parc informatique sont à jour et le restent. Nous voulions aussi pouvoir disposer de rapports de conformité permettant de contrôler l’évolution de notre niveau de sécurité » © Navixia 2014 Protéger ses ressources IT grâce au Network Access Control (NAC) « La solution CounterACT de ForeScout se caractérise par sa souplesse. » Page 2 Contraintes « Nous devions prendre en compte des postes clients équipés de différents systèmes d’exploitation (Windows, MAC, Android, etc …). Certains postes de partenaires externes, bien que n’étant pas gérés par notre IT, devaient pouvoir être audités. L’intégration devait pouvoir se faire par phases afin de mieux maitriser d’éventuels impacts en production. Enfin, il fallait tenir compte des ressources disponibles, réduites, puisque l’équipe d’ingénieurs en charge du projet ne compte que deux à trois personnes. Options considérées « Nous avons décidé mettre en place une solution de contrôle d’accès réseau (NAC). « Un POC nous a permis de comparer les solutions de ForeScout (CounterACT), de Juniper (UAC) et de Cisco (ISE). Mais Cisco et Juniper se sont vite révélés beaucoup trop lourds à mettre en œuvre et à maintenir car notre petite équipe n’avait pas beaucoup de temps à consacrer à la solution en dehors de ses tâches habituelles. » CounterACT, un véritable couteau suisse « Nous avons retenu la solution CounterACT de ForeScout, qui se caractérise par sa souplesse. Elle ne nécessite ni software, ni agents, ni mises à jour hardware ou reconfigurations. De plus, CounterACT sait gérer les PC partenaires, partenaires, ce qui n’est pas chose facile avec les solutions du type 802.1x. » « Le tableau de bord général de la solution a aussi fait la différence. Nous avons profité de la possibilité d’avoir une image du parc informatique. Cela réduit les risques, permet d’appliquer les patches des serveurs et assure les mises à jour d’Adobe, Java, etc. Cela rend ainsi possible une standardisation du parc informatique. La vérification des mises à jour des antivirus est également très performante. La propre console de gestion de notre antivirus ne reflétait pas la réalité aussi bien que la console de ForeScout. Le tableau de bord permet aussi de suivre les tendances et nous montre si nous évoluons dans le bon sens. Notre responsable de la sécurité l’utilise souvent, cela lui permet de monitorer la sécurité au quotidien et de vérifier que nous gardons le cap. » « Nous pouvons par exemple savoir en trois clics de souris combien de serveurs FTP sont actifs dans notre infrastructure.» « Qu’il s’agisse de l’IT ou des utilisateurs, nous utilisons toutes les fonctionnalités de la solution au quotidien. Nous pouvons par exemple savoir en trois clics de souris combien de serveurs FTP sont actifs dans notre infrastructure. CounterACT est déployé sur tous nos réseaux, fixe, wifi et même sur le réseau des serveurs, où normalement un NAC ne serait pas nécessaire. Cela nous permet de vérifier que tout est à jour et de disposer d’une traçabilité des connexions effectuées. Autre avantage : on peut authentifier les PC des visiteurs et les problèmes sont identifiables immédiatement. » © Navixia 2014 Page 3 Protéger ses ressources IT grâce au Network Access Control (NAC) Intégration simple « Le produit est intéressant car il nous en apprend beaucoup sur notre réseau. Il nous a ainsi permis de détecter des pannes ou des machines au comportement bizarre qui auraient été difficilement repérables humainement. » « La mise en œuvre est très facile : on commence par monitorer les switches, puis on crée des règles de contrôle d’accès. En une demi-journée, on dispose déjà d’un système efficient. Mais c’est surtout l’administration au quotidien qui est simple, un vrai plaisir. Nous avons zéro faux positifs ! » « CounterACT est parfaitement compatible avec tous les systèmes d’exploitation, y compris Android, Mac, les imprimantes. La solution détecte automatiquement tous les équipements qu’elle voit sur IP. » Déploiement progressif « Voilà deux ans que nous avons déployé CounterACT. Nous avons procédé à une intégration pas-à-pas car nous avions peu de temps à lui consacrer. Si nous avions choisi une autre solution, plus lourde, elle ne serait probablement pas encore opérationnelle aujourd’hui. Il est possible d’intégrer séparément différentes parties du réseau et nous avons procédé étage par étage, VLAN par VLAN. Au début, nous avons simplement monitoré les ressources, puis nous avons augmenté graduellement le niveau des règles de sécurité. Dans notre environnement, nous aurions immédiatement une levée de boucliers si nos interventions bloquaient les utilisateurs, mais ForeScout propose une approche pragmatique qui permet d’avancer pas-à-pas. Nous avons peu de temps, beaucoup d’externes – et aussi des utilisateurs internes techniquement bien informés avec des exigences élevées. Même pour eux, la démarche a été totalement transparente. La mise en place s’est faite sans plaintes des utilisateurs : 500 postes étaient concernés et nous avons enregistré en tout et pour tout deux appels d’utilisateurs ! » Concrètement sur le terrain… Pour gérer les utilisateurs externes, une démarche globalement peu contraignante et facile à mettre en œuvre consiste à créer des exceptions à l’aide d’un identifiant basé sur l’adresse MAC. L’UER a retenu cette approche : « Dès que l’arrivée d’un intervenant externe appelé à se connecter au réseau est prévue, son répondant dans l’entreprise remplit un formulaire pour nous communiquer son adresse MAC et « La mise en place s’est fait sans plaintes des utilisateurs : 500 postes étaient concernés et nous avons enregistré en tout et pour tout deux appels d’utilisateurs ! » la durée de sa présence dans la société. Nous lui donnons alors accès aux ressources auxquelles il a droit. Ce système fonctionne bien. » « Par défaut, tout PC externe qui se connecte sans demande préalable est immédiatement détecté comme n’appartenant pas à l’entreprise. Si aucune demande d’accès formelle n’est faite, il aura seulement un accès à internet. » « Un avantage important de la solution ForeScout: les compétences embarquées dans le honeypot interne permettent de détecter les comportements malicieux et d’isoler les machines au comportement non-standard. Cela a fait ses preuves. Lors © Navixia 2014 Protéger ses ressources IT grâce au Network Access Control (NAC) Page 4 de notre dernier audit de sécurité, nous avons simulé un attaquant interne. Il a été La solution CounterAC ne requiert ni software, ni agents, ni mises à jour hardware ou reconfigurations. Elle s’intègre facilement à la structure existante car elle supporte les solutions matérielles et logicielles d’un grand nombre de fabricants immédiatement détecté. Au point que les auditeurs nous ont demandé l’autorisation de contourner le NAC pour pouvoir mener leur investigation plus loin. » Conclusion « Nous sommes enchantés de la solution, qui est un peu le couteau suisse de la sécurité et qui est parfaite pour nous. Mais nous n’avons pas encore exploité toutes les fonctionnalités proposées par CounterACT. Notre objectif à terme est d’étendre le NAC, selon les mêmes principes, à tous les équipements mobiles, smartphones et tablettes. » Exemple d’architecture « Nous sommes enchantés de la solution, qui est un peu le couteau suisse de la sécurité et qui est parfaite pour nous. » Exemple de tableau de bord (image d’illustration) Navixia SA Route du Bois 1 CH – 1024 Ecublens Tél.: + 41 (0)21 324 32 00 Fax: + 41 (0)21 324 32 01 E-mail: [email protected] Web: www.navixia.com © Navixia 2014