Du NAC la ralit

Boivent Frdric Ngaret Roger Angelini Pierre-Antoine

Centre de Ressources Informatiques Universit Rennes1 Bat 12D Campus de Beaulieu Avenue du Gnral Leclerc - 35042 Rennes Cedex

Rsum
Le NAC (Network Access Control), apparu dans les annes 1990, tait l'origine un concept concernant les actions d'authentification, de vrification d'intgrit, d'isolement et de mise en conformit des postes de travail. Il est cens aujourd'hui rpondre la mise en uvre de l'ensemble de la politique de scurit d'une entit concernant l'accs ses ressources. On lui associe des rles aussi divers que la dtection d'intrusion et l'inventaire. Bien que dj ancien et trs prsent chez les constructeurs, ce type de service fait partie des arlsiennes . Il est trs difficile de trouver un exemple de dploiement concret dans nos institutions, tant les contraintes techniques, budgtaires et organisationnelles peuvent interfrer dans le processus de mise en uvre. Gestionnaires du rseau de l'Universit, nous sommes confronts diverses difficults rcurrentes lies au contrle de son accs. Un groupe compos d'un ingnieur rseau, du responsable du Ple infrastructures et du RSSI a lanc un projet destin rsoudre ou rsorber ces difficults. En nous appuyant sur cette tude, nous prsenterons un bref rappel du concept NAC, les orientations du march et les objectifs viss. Dans un deuxime temps seront prsents le contexte et les contraintes de l'Universit de Rennes1, le choix de l'architecture retenue ainsi que sa mise en uvre initiale. Note : Nous attirons l'attention du lecteur sur le fait que cet article, contraint en termes d'espace, a t tir d'un document 1 technique plus complet de 30 pages et d'une annexe, dcrivant plus spcifiquement le contexte Rennes1, les programmes utiliss.

Mots clefs
NAC, scurit, authentification, intgrit, remdiation, 802.1X.

Une mutation de l'administration des rseaux

L'expansion des rseaux, la versatilit des matriels connects, des moyens d'y accder, l'exigence de connexion partout, tout le temps , conjugus avec des contraintes lgales de suivi des usages, ont considrablement particip une mutation de leur administration. Hier plus souple, avec des rseaux soumis moins d'exigences de disponibilit, elle s'en trouve singulirement complique. Rpondre la fois aux souhaits des utilisateurs et ceux du lgislateur, avec des effectifs dont la prennit est remise en cause, impose de repenser la manire d'administrer ceux-ci. Le contrle de l'accs au rseau est une des voies2 que nous avons choisi d'tudier, en se donnant pour objectif d'offrir un nouveau service, c.a.d banaliser l'accs au rseau filaire de la mme manire que pour le Wifi, tout en tant capable de rpondre la question qui, quoi, o, quand . Nous verrons dans cet article comment ce projet se confronte une ralit de terrain trs htrogne et souvent contradictoire avec les objectifs. Le trs large spectre d'influence d'une telle solution est galement source d'ajustement dans les choix et dlais de mise en uvre. Le titre de l'article en dcoule.

Le contrle de l'accs au rseau

Le concept NAC existe pour rpondre un besoin de scurit toujours croissant. L'absence initiale de normalisation et les diffrents enjeux auxquels se confronte le NAC ont gnr une multitude de rponses. Les solutions commerciales manent aussi bien des constructeurs de matriel rseau, de concepteurs de logiciel ou de socits de service. Si l'on y ajoute les solutions du monde du libre , l'offre est plthorique et diversifie. Au moment de choisir une solution, il faudra faire le tri entre diffrentes architectures, mthodes et outils avec, chaque fois, une granularit variable au niveau des informations obtenues, des actions possibles et de la sret gnrale obtenue.

1 2

http://blogperso.univ-rennes1.fr/pierre-antoine.angelini/public/JRES2009/ D'autres actions sont ncessaires, bases sur des outils grs de manire centralise et dont l'administration est dlgue au plus prs de l'utilisateur.

1/10

JRES2009

2.1

Principe du NAC

Le NAC n'est pas une technique ou une architecture, le NAC est plus proche d'un concept, d'une solution. Il est cens rpondre la mise en uvre de certaines parties de la politique de scurit concernant l'accs au rseau local (filaire, sans-fil ou VPN). L'ensemble des informations collectes seront utilises pour positionner le systme demandant un accs dans un certain environnement rseau. Cet environnement sera choisi en fonction de la politique de scurit en vigueur. 2.1.1

Authentification et identification

L'identification et l'authentification sont la base du NAC. Connatre l'identit des entits qui souhaitent accder vos ressources et pouvoir vrifier ces identits permet la mise en place des rgles d'accs dcides lors de l'laboration de la politique de scurit. 2.1.2

valuation et conformit

Le besoin d'valuer les systmes qui souhaitent accder des ressources s'est accru avec l'augmentation de leur mobilit et de leur diversit. Ces systmes peuvent tre aussi bien l'origine d'attaque utilisant le rseau que les cibles de ces attaques. Il est donc apparu essentiel de rcuprer un maximum d'informations sur ces systmes pour dcider de la politique leur appliquer ( base de profil et de mise en quarantaine). 2.1.3

Isolement et mise en conformit

Lorsque le choix d'interdire l'accs la ressource rseau demande a t fait, il est ncessaire de mettre en place un dispositif permettant d'appliquer cette interdiction et la mise en conformit du systme d'extrmit par rapport aux rgles. Cela implique d'informer des raisons de sa mise l'cart et des actions mener pour respecter la politique de scurit. 2.1.4

Contrle des activits

Un contrle permanent des activits du systme connect est utile pour pouvoir s'assurer du respect de la politique de scurit. En cas d'infraction aux rgles, il est intressant de pouvoir ragir en modifiant les accs aux ressources et en informer le gestionnaire du systme. 2.1.5

Inventaire

L'inventaire est un rle connexe au NAC, puisque c'est en s'appuyant sur les informations collectes qu'il est possible d'obtenir un tat des lieux du parc informatique (historique ou temps rel). Cet inventaire peut tre effectu sur les matriels physiques, mais peut aussi s'tendre jusqu'aux logiciels utiliss.

2.2

Les composants d'une architecture NAC

Malgr l'htrognit des solutions de NAC, on peut distinguer diffrents lments composant une architecture NAC.

la machine physique qui souhaite accder des ressources, appel ici systme d'extrmit ; le systme d'valuation va dcider du contexte dans lequel va tre plac le systme d'extrmit partir des informations
recueillies sur ce dernier;

le systme de contrainte applique les modifications de contexte dcides par le systme d'valuation ; le systme de mise en conformit est un espace de quarantaine o les systmes d'extrmit auront la possibilit de devenir
conformes la politique de scurit. D'autres lments peuvent tre ajouts, systme d'inventaire ou systme de dtection d'intrusion par exemple. Il n'y a pas vraiment de limite, le NAC se voulant le couteau-suisse de la scurit. L'ensemble de ces composants devra tre capable de fournir les informations permettant de suivre en temps rel les diffrents vnements d'un accs au rseau et de construire un historique en respectant les lois relatives la conservation des donnes individuelles.

2.3
2.3.1

Normalisation de l'agent
IETF

L'Internet Engineering Task Force (IETF) a constitu un groupe de travail, le Network Endpoint Assessment (NEA). Ce groupe de travail, reconnaissant qu'un certain nombre de protocoles existaient dj dans le domaine du NAC, a dcid de publier un ensemble d'exigences concernant l'aspect client/serveur avec la RFC 5209. Le principe retenu ct client NEA est constitu d'changes entre des collecteurs de posture (Posture Collectors ) qui sont chargs de rcolter des informations sur le client. Ces collecteurs de posture transmettent les informations un 2/10 JRES2009

 broker au travers d'une API3 qui va, son tour, les transmettre un ou plusieurs demandeurs d'accs rseau (Posture Transport) qui sont chargs d'effectuer la partie authentification de l'accs au rseau et d'envoyer ces informations au serveur NEA. Du cot serveur, on retrouve les trois niveaux avec une diffrence au niveau collecteurs de posture puisque dnomms ici vrificateurs de posture (Posture Validators) ( Fig.1).

Figure 1: NEA Reference Model La priorit du travail de l'IETF a port sur l'interoprabilit entre clients et serveurs. Suite cette publication, un appel a t lanc pour recueillir des propositions de spcifications de protocoles rpondant aux exigences de la RFC 5209. 2.3.2
4

Trusted Computing Group et Trusted Network Connect (TNC)

TCG est un regroupement d'industriels ayant pour but, l'origine, le dveloppement de ce que l'on appelle une informatique de confiance . Crateur du Trusted Platform Module (TPM), le groupement propose une architecture ouverte et un ensemble de standards concernant le NAC, le Trusted Network Connect (TNC). L'interoprabilit du TNC avec l'agent Microsoft Network Access Protection (NAP) est ralise depuis mai 2007. Une seule proposition a t faite l'IETF avec les protocoles nea-pa-tnc et nea-pb-tnc qui dcrivent respectivement les protocoles IF-M 1.0 et IF-TNCCS 2.0 dvelopps par le Trusted Computing Group (TCG). Une analyse de compatibilit de ces deux protocoles avec la RFC5209 est positionne en annexe ces deux drafts (Fig 2). La figure 2 dtaille le fonctionnement de cette plateforme et met en vidence le fonctionnement en couches du systme : IF-IMC Protocole rcuprant les mesures d'intgrit de l'IMC pour les envoyer l'IMV et assurer l'change de messages entre IMV et IMC IF-IMV Protocole rcuprant les mesures d'intgrit de l'IMC, cot client, pour les envoyer l'IMV, assurer l'change de messages entre IMV et IMC et permettre l'IMV de soumettre ses recommandations au serveur TNC IF-TNCCS Dfinit un protocole qui transporte les messages entre IMC et IMV, ainsi que les messages de gestion de session et les informations de synchronisation. IF-M Protocole propritaire entre IMC et IMV, transport via l'interface IF-TNCCS interface. IF-T Transporte les messages entre l'AR (Access Requestor) et le PDP (Policy Decision Point). Le TNC fournira les connecteurs montratnt comment les messages peuvent tre transports sur des protocoles existants, tels que, par exemple, EAP dans 802.1x. IF-PEP Permet au PDP (Policy Decision Point) de communiquer avec le PEP. Par exemple, le PDP pourrait demander au PEP d'isoler le AR durant la remdiation.

3 4

Une API (Application Programming Interface) est un ensemble de programmes permettant une interoprabilit entre composants logiciel. Http://www.interop.com/archive/pdfs/TCG.pdf

3/10

JRES2009

Figure 2: Principe du NAC propos par le TCG

3
3.1

Solutions libres et commerciales

Quelques acteurs commerciaux du NAC

Trois des principaux acteurs commerciaux du NAC, au moment de l'tude, sont Microsoft, Cisco et Juniper 5. Il est intressant de constater que si historiquement les constructeurs de matriel rseau se sont empars du march, c'est aujourd'hui le dveloppeur de systme d'exploitation et de logiciels informatiques qui semble tre le mieux positionn pour dominer le march. Ce changement est certainement le reflet de la tendance embarquer sur les systmes d'extrmit le maximum d'outils de scurit, une volution dj prsente au niveau des pare-feu. Il existe sur le march de nombreuses solutions, ce march n'est pas encore mature et la disparition d'acteurs ou le rachat sont actuellement assez courants. La disparition brutale en Aout 2009 de la socit Consentry est un bon exemple de cette mouvance. Ces lments militent pour le choix d'une solution lgre, n'engageant pas l'Universit dans une solution propritaire dont la prennit deviendrait hypothtique.

3.2
3.2.1

Quelques solutions libres ou open source autour du NAC

PacketFence

www.packetfence.org Projet actif Bas sur la rcupration de trap SNMP (link up/down) comme dclencheur du processus; Au dpart, tous les ports des commutateurs sont configurs avec un VLAN nomm MAC detection . L'valuation est base sur un scan Nessus puis le choix du VLAN est fait partir de l'adresse MAC du poste, VLAN de mise en conformit ( portail Web captif), VLAN d'enregistrement (portail Web captif) ou VLAN lgitime (connu partir d'une base de donnes). L'outil peut s'interfacer avec le protocole 802.1X et FreeRADIUS. L'outil de dtection d'intrusion Snort est utilis pour modifier le contexte de connexion en cas de besoin. 3.2.2 Rings Security Analyser www.technology.ku.edu/kuanywhere/analyzer.shtml En production actuellement Cr l'Universit du Kansas, c'est un portail Web qui utilise une applet Java pour valuer (systme, logiciel anti-virus, etc) les machines cherchant accder au rseau (autorisation valide pendant sept jours). En cas d'chec, les accs sont rduits aux sites de mises jour de logiciels, d'anti-virus,

Le lecteur se reportera pour une tude plus dtaille au document complet http://blogperso.univ-rennes1.fr/pierre-antoine.angelini/public/JRES2009/

4/10

JRES2009

3.2.3

FreeNAC

www.freenac.net/fr Projet actif Prsent comme offrant une gestion simplifie des VLANs, un contrle d'accs au rseau et un outil d'inventaire, FreeNac est bas principalement sur le protocole VMPS (authentification sur adresse MAC: protocole propritaire Cisco, dont il existe une implmentation libre). Il permet aussi l'utilisation 802.1X en interaction avec un serveur RADIUS. La partie valuation n'est pas vraiment prise en compte.

Une solution pour l'Universit

Les objectifs principaux d'une solution NAC pour l'Universit sont : un nouveau service d'accs au rseau travers une simplification pour l'utilisateur de l'accs au rseau filaire via des configurations de ports banalises, la limitation de l'accs aux systmes autoriss, la capacit de rpondre aux questions qui? quoi ? o? et quand? , notamment pour les organismes ERR6, la mise en uvre d'outils de quarantaine pour des systmes potentiellement dangereux, la simplification des configurations des matriels rseau afin de baisser le coup de gestion de ces derniers tout en garantissant l'application gnralise du contrle d'accs.

4.1

Contexte de l'architecture rseau Rennes 1

Le rseau actuel comporte plus de 80 VLANs distribus sur 330 commutateurs (Cisco) de niveau 2 et 175 points d'accs sansfil (Cisco). Le cur du rseau est constitu d'un commutateur routeur 6513 Cisco qui assure le routage inter-VLANs et la connectivit vers des pare-feu pour l'accs Internet. Les sites universitaires de Rennes 1sont relis en niveau 2 et/ou 3. Trois modles de commutateur Cisco assurent la connectivit des utilisateurs la priphrie du rseau: Cisco 3500, 2950 et 2960. L'htrognit de ces matriels a des consquences importantes sur les possibilits de mise en uvre d'un NAC. Pour les accs sans-fil, deux rseaux ont t dploys. Un SSID Universit_Rennes1 donnant accs un portail Web avec une double authentification possible, soit reposant sur la fdration d'identit Renater 7, soit par login/mot de passe pour les invits. Le deuxime SSID eduroam fait partie du rseau international Eduroam (voir http://www.eduroam.org et http://www.eduroam.fr/fr ). Il est utilis par les invits de la communaut pour un accs Internet, mais galement par les personnels de Rennes 1 pour obtenir une connexion EAP-TTLS leur rseau local. L'authentification est base sur LDAP. Les accs VPN sont grs l'aide de matriels et logiciels de la socit IPDiva qui basent l'authentification et la configuration des connexions sur les informations fournies par le serveur LDAP. L'Universit de Rennes1 a t pionnire dans la mise en place de tlphonie sur IP grande chelle. Aujourd'hui, c'est prs de 1000 postes IP (Aastra i740 et i760) qui sont dploys, plus de 200 postes SIP8 (Aastra 675XX). 4.1.1 Outils de gestion Le CRI a mis en place, depuis environ un an, un logiciel pour la gestion du DNS, du DHCP et du VMPS. Cet outil IP Manager 9 est constitu d'une base de donnes o l'on retrouve, propos d'un matriel connect : adresse MAC, adresse IP, numro de VLAN, nom du responsable de la machine, informations sur son type (serveur, imprimante, poste personnel ). Il permet la dlgation de la gestion de tranches d'adresse IP vers des correspondants informatiques locaux. Le systme d'information de l'Universit comporte une base LDAP dans laquelle l'ensemble des personnels et des tudiants est prsent. L'authentification vis vis des diffrents services s'appuie sur cet annuaire. Deux champs UR1Vlan et UR1VlanForc contiennent les numros de VLAN qui sont utiliss lors de connexion au rseau Eduroam pour dterminer le rseau auquel souhaitent se connecter les personnels de Rennes 1.

Etablissement Rgime Restrictif, soumis au contrle d'un fonctionnaire dfense Solution de portail captif de la socit Netinary, intgrant le support de la fdration d'identit. 8 SIP (Session Initiation Protocol) est un protocole de gestion de session multi-mdia, principalement de voix sur IP. 9 Socit Efficient IP. Http://www.efficientip.com
6 7

5/10

JRES2009

4.1.2

Gestion des postes utilisateurs

Le ple de proximit du CRI est charg de grer un ensemble de postes (salles libre service, postes d'une partie du personnel), mais un certain nombre de postes sont administrs directement par leurs utilisateurs ou par des informaticiens au sein des UMR10. Suivant le systme d'extrmit considr, les interlocuteurs sont donc trs diffrents, ceci rend la modification d'une politique de gestion des postes plus complexe mettre en place.

4.2

Contraintes techniques des matriels rseau

Le rseau de l'Universit est compos, comme de nombreux organismes, de commutateurs d'extrmit d'ges divers et de fonctionnalits htrognes. Les dfauts et manques de fonctionnalits souligns ci-dessous avec du matriel Cisco seront facilement dclins de manire identique sur un autre constructeur. 4.2.1 Cisco 3500 Ce matriel rseau n'est plus en vente, ni maintenu. Il reste encore une centaine de ces matriels l'Universit, il n'est donc pas possible de proposer une solution sans les prendre en compte. Les fonctionnalits techniques initiales utilisables dans l'optique de la mise en place d'un NAC sont au nombre de deux, le VMPS, et la limitation par port une adresse MAC particulire. Dans ce dernier cas, chaque port de commutateur doit avoir une configuration particulire ce qui gnre un poids administratif trs fort et ce systme est trs contraignant, car il limite le dplacements des postes, situation contradictoire avec les besoins de mobilit exprims de nos jours. Les capacits intrinsques de ce matriel n'apporte donc pas de solution notre problmatique; si ce n'est en les confinant des parties spcifiques du rseau. 4.2.2 Cisco 2950 Ces quipements rseau, successeurs des 3500, sont en fin de vie ct constructeur. Mais ils apportent la technologie 802.1X. Avec un client 802.1X sur le systme d'extrmit, l'authentification fonctionne. Malheureusement, pour les systmes d'extrmit dpourvus de client 802.1X, il est alors impossible d'obtenir un accs au rseau au travers des ports configurs avec cette fonctionnalit. Dans ce cas, le cot d'administration de cette solution, passage d'une configuration 802.1X une autre configuration (VMPS par exemple) serait trop important et ne rpondrait pas l'objectif d'uniformisation des configurations et de simplification de l'administration. 4.2.3 Cisco 2960

Les 2960 ont une fonctionnalit supplmentaire, appele chez Cisco MAC-Authentication-Bypass . Cette fonctionnalit permet de configurer un port en 802.1X et dans le cas o aucun client 802.1X n'est prsent sur le systme d'extrmit (imprimante), le commutateur utilise l'adresse MAC vue sur le port comme nom d'utilisateur et comme mot de passe dans le processus 802.1X. Ceci permet une identification l'aide de l'adresse MAC ce qui ncessite (comme pour le VMPS) d'avoir un serveur sur lequel sont rfrences les associations adresse MAC/VLAN de l'ensemble des systmes d'extrmit autoriss se reconnecter. Il n'est pas possible, avec les 2960, d'authentifier diffrents clients sur un mme port qu'ils appartiennent ou pas au mme VLAN, mais il est possible d'autoriser d'autres adresses MAC se connecter sans authentification, le port restant configur avec le VLAN de la premire adresse MAC vue. Pour des raisons de scurit, la limitation a une adresse MAC par port doit tre privilgie, ce qui posera des problmes vis vis de la pratique trs rpandue des commutateurs de bureau pour connecter plusieurs postes derrire une prise. 4.2.4 Les tlphones IP

La particularit du terminal tlphonique IP est qu'il comporte un commutateur deux ports, l'un pour la connexion au rseau local de l'tablissement et l'autre pour la connexion du terminal informatique de l'utilisateur. Cette caractristique le transforme en un pseudo quipement rseau, sans toujours en possder toutes les caractristiques classiques, du point de vue du management et de certaines capacits (802.1x par exemple). Les postes tlphoniques IP Aastra peuvent tre identifis en 802.1X, soit par l'adresse MAC, soit l'aide d'un client embarqu sur le tlphone. Si le tlphone utilise un marquage de type 802.1q11 pour le VLAN voix, le numro du VLAN voix doit tre configur en dur sur l'interface, dans le cas des 2950 et 2960. Ceci pose un problme, car l'Universit devra utiliser au moins deux VLAN distincts pour ces tlphones IP d'ici quelques mois, en raison du nombre de postes par VLAN. Positionns entre les commutateurs de priphrie et des postes informatiques, les tlphones IP complexifient la mise en place d'un systme d'identification/authentification. Les tlphones Aastra permettent depuis peu une authentification en 802.1X entre le poste informatique et le commutateur, travers une fonctionnalit eap pass-through qui laissent passer les paquets EAP entre le commutateur et le systme d'extrmit
10

UMR: Unit Mixte de Recherche 802.1q est un mcanisme d'encapsulation de trame permettant d'effectuer un marquage identifiant le VLAN d'appartenance de cette trame.

11

6/10

JRES2009

5
5.1

Solution retenue : Les Critres dcisionnels

L'architecture

Une des deux architectures possibles appele in-band consiste positionner un matriel en coupure12, la manire d'un portail captif, afin de contrler l'ensemble du trafic des systmes d'extrmit. Cette solution a t carte, car principalement destine de petits rseaux. Les flux et l'architecture actuelle du rseau de l'Universit, ne peuvent tre pris en charge par les matriels proposs (ou des cots prohibitifs). C'est donc une solution dite out-of-band qui est choisie. Celle-ci ne traite pas les flux des systmes d'extrmit, mais est charge de dterminer l'environnement rseau dans lequel positionner ces systmes d'extrmit en fonction de la politique de scurit. 5.1.1 Authentification/Identification Identifier et authentifier sont les parties importantes de ce projet. L'idal serait d'avoir une authentification forte, de type 802.1X, pour l'ensemble des accs. La ralit montre que ce type d'authentification sera, dans un premier temps, rserv des portions du rseau. Les contraintes techniques (tlphonie sur IP, capacit des matriels), ont amen baser l'identification sur la reconnaissance des adresses MAC pour les commutateurs d'anciennes gnrations par rcupration de Trap SNMP la manire de la solution PacketFence. Ce logiciel n'a pas t retenu compte tenu des besoins d'intgration avec l'infrastructure existante et de l'objectif final qui est l'utilisation du 802.1x. Pour les commutateurs 2960, l'utilisation de la technologie MacAuthentification-Bypass permettra de pallier les difficults actuelles de dploiement de client 802.1X sur les postes utilisateurs tout en permettant sa mise en place dans le futur. 5.1.2 Le contrle de conformit/valuation Dans l'attente des rsultats de l'appel d'offre concernant un systme d'inventaire, et donc du dploiement ventuel d'un agent sur les systmes d'extrmit, ainsi que le besoin de grer des systmes sans agent (imprimantes, camra IP, etc), le choix s'est port sur l'utilisation d'outils rseau spcialiss (scanner de vulnrabilit, prise d'empreinte). Ces outils devront permettre de rcolter un maximum d'informations sur les systmes d'extrmit afin de valider leurs conformits au regard de la politique de scurit de l'tablissement. L'valuation sera faite aprs l'authentification dans le but de privilgier, dans un premier temps, l'accs au rseau par rapport aux risques encourus. Une attention particulire doit tre porte sur la capacit de la solution propose intgrer de nouveaux outils et traiter les informations transmises par le logiciel d'inventaire qui sera choisi (une modification de l'appel d'offre inventaire a t faite en ce sens). 5.1.3 Systme d'valuation Le systme d'valuation doit tre en capacit d'appliquer la politique de scurit en fonction des informations rcupres sur le systme d'extrmit: authentification, identit, conformit, lieu et moment de la connexion ... Par souci de simplicit et de souplesse, un ordre hirarchique et linaire a t choisi pour le traitement des informations de la demande de connexion. En premier lieu, c'est l'identification qui est prise en compte, ensuite seront consultes les exceptions (de lieu, de temps), puis c'est la conformit qui entre en jeu (facteur le plus important). Un soin tout particulier doit tre apport au systme d'valuation, l'acceptation par les usagers de la mise en place d'une solution de contrle d'accs passe, en grande partie, par la pertinence des dcisions prises cette tape. 5.1.4 Systme de contrainte Le systme de contrainte doit permettre d'imposer l'environnement rseau dtermin par le systme d'valuation. Dans une infrastructure out-of-band et un rseau commut, la solution la plus simple et efficace est le positionnement du systme d'extrmit dans un VLAN choisi par le systme d'valuation. C'est un serveur Radius qui sera utilis pour jouer ce rle. 5.1.5 La mise en quarantaine La mise en quarantaine est un point important au sein d'un projet NAC. La capacit informer administrateurs et usagers doit faciliter l'acceptation de cette quarantaine. La qualit des informations prsentes permettra de rduire le temps de mise l'cart des systmes d'extrmit concerns. C'est dans cet esprit que le choix d'un VLAN muni d'un portail captif ayant la capacit faire le lien entre les systmes viss et les causes de leur mise en quarantaine a t dcid. Ce portail captif devra permettre aux usagers de se mettre en conformit avec la politique de scurit ( travers l'accs un serveur de mise jour par exemple). Ce portail devra aussi permettre, dans certains cas, l'usager de sortir de lui mme de l'tat de quarantaine. Cette possibilit doit apporter de la souplesse dans le traitement des situations, il permet, par exemple, de laisser un certain temps l'usager pour se mettre en conformit.
12

Tel que ceux proposs par Consentry

7/10

JRES2009

La cration d'un VLAN destin des machines potentiellement vulnrables n'est pas exempt de risques, c'est un rseau trs intressant pour un attaquant. Il est donc ncessaire de mettre en place des outils de surveillance dans le but de rduire ce risque. La prsence rpte ou prolonge d'une machine dans ce VLAN peut tre un bon indicateur de risque.

5.2

Administration de la solution

Pour faciliter l'administration d'un systme de contrle d'accs, plusieurs points sont fondamentaux. Tout d'abord, il faut pouvoir utiliser les lments du systme d'information dj en place : ici, le LDAP de l'Universit et le logiciel IP Manager (gestion DHCP,DNS,VMPS). Ensuite, les interventions manuelles doivent tre limites et rapides : par exemple, si la dcision de mise en quarantaine d'un systme d'extrmit doit tre fait par un administrateur (alert par messagerie), un lien dans le message devrait pouvoir activer cette quarantaine. Enfin, c'est l'accs aux informations portant sur l'ensemble du processus qui doit tre disponible rapidement, que cela concerne les connexions en cours ou bien celles passes. La recherche d'information devra tre possible suivant diffrents critres, identifiant, adresse MAC ou IP, dates, lieux...

5.3

Cot financier, retour sur investissement, risques stratgiques

L'tat du march concernant le contrle d'accs au rseau est encore instable, les acteurs de ce march sont toujours la recherche de leur positionnement dfinitif. Mme si certaines technologies semblent tre dfinitivement choisies (802.1X), le rle et le fonctionnement des agents ne sont pas encore stabiliss. Il semble aujourd'hui prmatur de se lier un constructeur de matriels, un fournisseur de systme d'exploitation ou de logiciels, pour un parc de systme trs htrogne comme celui de l'Universit. Le cot financier d'un tel investissement (240 000 Euros prix public pour une proposition pour l'ensemble de l'Universit) n'est pas en adquation avec les services offerts.

6
6.1

L'tat du projet en Novembre 2009

Mthodologie

Une fois la partie documentaire ralise sur le NAC, il devenait ncessaire de dfinir avec le RSSI une mthode de dploiement. S'agissant d'un nouveau service, l'impact sur toutes les couches du S.I et sur l'ensemble des utilisateurs imposait tout d'abord la concertation, pour aboutir l'acceptation. Le respect des mthodologies de travail et des outils d'administration tait un pralable afin que le contrle d'accs au rseau soit un service et non une contrainte. L'objectif est d'exercer un contrle d'accs au rseau sur l'ensemble des points de connectivit pertinents de l'Universit, en liaison avec les correspondants informatiques des diffrents sites et en leur dlguant les outils permettant la gestion de cette responsabilit. Un planning dfinissant les quipes concernes, la dure d'exprimentation des diffrentes phases et les lieux a t tabli : 1.Inventaire exhaustif de l'existant sur UR1 : quipe rseau, cellules proximit, et COIN13. 2.Test sur une population restreinte du CRI : quipe rseau, cellules proximit. Dure : 2 mois 3.Ajustement de la solution : quipe rseau, cellules proximit. Dure : 1mois 4.Test sur un tablissement ERR avec remonte d'alerte systmatique et pas d'interdiction de connexion: RSSI, COIN, quipe rseau, utilisateurs. Dure : 2 mois 5.Analyse et ajustement de la solution : quipe rseau, RSSI, COIN 6.Test sur un tablissement ERR de la solution complte : RSSI, COIN, quipe rseau, utilisateurs . Dure : 2 mois 7.Mise en service sur plusieurs tablissements volontaires : Dure 6 mois. Si l'exprimentation est concluante, extension progressive tout le primtre de Rennes 1, conjointement avec un remplacement, quand cela est possible, des matriels rseaux anciens et la dlgation de la gestion des adresses IP vers les COIN. 8.Bilan aprs 12 mois d'exploitation. La phase 1 d'inventaire a permis d'acqurir la connaissance d'un ensemble de configuration de base dont nous pensons qu'ils reprsentent la quasi-totalit des cas possibles sur notre rseau14. Une tude technique15 sur les diffrents matriels rseau de l'Universit et des matriels concurrents a ensuite t mene afin de dterminer les capacits respectives de chacun d'entre eux face aux objectifs de ce projet.
COrrespondants INformatiques On consultera avec profit le paragraphe 4.21 du document technique http://blogperso.univ-rennes1.fr/pierre-antoine.angelini/public/JRES2009/ 15 idem
13 14

8/10

JRES2009

Aprs avoir fait le constat qu'il tait trop tt pour utiliser une solution propritaire et que celles-ci n'taient pas adaptes au budget prvu, le choix s'est naturellement orient vers des standards ouverts (SNMP), et des logiciels libres pour dvelopper notre solution ( Radius, Nessus, etc..) La prise en compte des volutions futures envisages sur les postes clients (mise en place d'un Active Directory 16 synchronis avec l'annuaire LDAP) ou dbutes (appel d'offre pour un outil d'inventaire) ont impos de fait une solution d'une grande capacit d'volution et d'adaptation. Nous nous prparons attaquer la phase 2. Une architecture adapte la mise en production est en cours de dploiement (redondance des serveurs Radius, rpartition de charge, etc... ). Les figure 3 et 4 reprsentent l'architecture retenue pour la maquette et la mise en test. Elle mettent en vidence les deux types d'authentification qui seront utilises, soit seules (adresse MAC ou 802.1X), soit de manire complmentaire.

Switch

4
Serveur IPM Serveurs Radius Serveurs Redondants Radius Redondants

1
Observateur rseau

Figure 3: Contrle d'accs par @MAC 1.L'observateur rseau dtecte via un trap SNMP une nouvelle @MAC sur un port 2.Il envoie celle-ci au serveur Radius 3.Le serveur Radius vrifie si cette adresse est prsente dans la base @MAC importe depuis le serveur IPM 4.Le serveur Radius configure le switch via une requte SNMP 5.

Switch

LDAP

1
Figure 4: Contrle d'accs via login et 802.1X

Serveurs Radius Serveurs Redondants Radius Redondants

1.L'utilisateur s'authentifie via 802.1X sur le serveur radius 2.Le serveur radius vrifie les identifiants sur la base LDAP et valide ou non l'accs 3.Le serveur Radius renvoie les attributs ncessaires au switch.

6.2

Points noirs

Les machine virtuelles sont clairement une pine dans ce contexte et nous n'avons pas de solutions simples y opposer pour
l'instant. Elles restent cependant trs minoritaires.

Les matriels rseau personnels seront dtects par le systme (mini-switch), mais difficiles radiquer. Les dploiements ncessitant PXE ou WOL peuvent tre gns par ce principe (mise en place de zone franche ?).
16

Active Directory: Service d'annuaire mis en uvre par Microsoft

9/10

JRES2009

Le dplacement de personnes entre structures peut poser des difficults dans le cas de connexions filaires (propagation de
VLAN sur tous les sites), mais une adaptation de la couverture Wifi constitue une alternative satisfaisante. disponibilit est une voie, l'invalidation totale des contrles une autre. Nous n'avons pas tranch.

Que faire en cas de problme sur cette infrastructure empchant tous nos utilisateurs d'accder au rseau ? La haute 6.3 Perspectives

La mise en quarantaine et la rmdiation reprsentent l'tape suivante. Nous nous posons galement la question de l'intgration de la fdration d'identit ds l'accs au rseau. La socit Netinary nous offre dj une telle possibilit, avec une solution in-band applicable au filaire et des projets tels que Archann 17 nous offrent des perspectives que nous souhaitons intgrer dans notre rflexion sur l'volution de ce projet. L'usurpation d'adresses MAC peut se dvelopper en raction ce type de service. Il conviendra peut-tre de mettre alors en place des contre-mesures de type prise d'empreintes.

Conclusion

La mise en place d'une solution maison base sur le systme d'information existant et s'appuyant sur des logiciels/outils dj matriss (FreeRadius, Nessus, portail Web, base de donnes MySql) devrait permettre d'obtenir des fonctionnalits proches des produits commerciaux actuels. Cette solution, peu coteuse, peut aussi tre envisage dans une perspective de dploiement petite chelle pour valider la faisabilit de la mise en place d'un contrle d'accs et l'acceptabilit de ce nouveau service par les usagers. Cette solution permettra la mise en place d'une authentification forte (802.1x) l o les quipements rseau le permettent. Le dploiement d'agent embarqu sera alors possible moyennant la mise en place du serveur spcifique correspondant. L'authentification par adresse MAC sera possible partout, permettant d'identifier les systmes d'extrmit sans client ou connects des quipements plus anciens. Nous avons bien conscience que certains points noirs seront irrductibles, mais considrons que ce projet est un plus indniable en terme de matrise de l'administration du rseau. Nous invitons les lecteurs se reporter au document complet ou la prsentation du 3 dcembre aux Jres pour avoir le dtail de l'implmentation technique de la maquette. Ils peuvent galement revenir vers les auteurs courant 2010 pour un tat des lieux plus dtaill.

17

http://sourcesup.cru.fr/projects/archann/

10/10

JRES2009