Le Fonds des Nations Unies pour la population utilise le NAC de ForeScout au niveau mondial
Le Fonds des Nations Unies pour la population (UNFPA) utilise la technologie NAC (Network Access Control) sur 11 bureaux régionaux, sur la planète, afin d'empêcher des machines non conformes et potentiellement dangereuses de compromettre le coeur du réseau situé à New York. « J'ai eu quelques incidents, où des gens revenant du terrain, avaient des machines lourdement infectées de virus, j'avais besoin d'un moyen pour bloquer chaque machine, explique Douglas Concepcion, spécialiste de la sécurité du réseau. Vérifier les machines lors de leur connexion A cette époque, l'agence avait un bureau à New York, et des personnels qui sillonnaient la planète. Désormais, avec des bureaux régionaux qui s'ouvrent dans le monde et la nécessité de donner accès à des applications web aux employés comme s'ils étaient en réseau local à New York, le responsable sécurité a besoin de réduire le risque d'infection venant des sites distants. Il désire également identifier les PC portables des visiteurs au siège et restreindre ce qu'ils peuvent atteindre. Mais, son plus gros souci est que les machines qui établissent des connexions VPN avec les fermes de serveurs centraux, puissent héberger des virus, des chevaux de Troie, et autres malwares, qui puissent se diffuser. « J'avais besoin de faire quelque chose qui applique des politiques depuis le niveau de l'utilisateur, jusqu'à la machine, et bloque les machines non conformes, ajoute-t-il. Trop encombrant, trop d'administration Cela l'a amené à s'intéresser à la technologie NAC telle que proposée par quatre vendeurs, sélectionnés selon leur réputation, leur stabilité financière, et dans un cas, parce qu'il s'agissait du vendeur des commutateurs utilisés dans ses agences. Les vendeurs étaient Bradford Networks, Enterasys, ForeScout et Mirage Networks. Enterasys est l'équipementier qui équipe les agences en commutateurs, mais déployer sa solution NAC demande trois équipements différents, et a inquiété : est-ce cela n'allait pas prendre trop de place et consommer trop d'énergie dans le centre informatique ? ... ... Il n'a donc jamais testé l'équipement (Cela se passait en 2006, depuis Enterasys dispose d'une solution en une seule « boîte »). Le responsable a éliminé Bradford, parce qu'il n'est pas arrivé à faire fonctionner leur solution avec ses commutateurs au bout de quatre mois. Le matériel Mirage networks, pour sa part, marchait bien, voire trop bien. « Le problème était qu'il était trop puissant, et réclamait trop de temps pour son administration, il fallait en permanence s'en occuper, résume Douglas Concepcion. Le mode hors du trafic permet de simplifier le déploiement Finalement, il a choisit ForeScout pour son adaptabilité. « Ce qui était bien, c'est qu'il fonctionne en ligne et hors ligne. Le mode hors ligne est appréciable parce que je n'avais rien à modifier dans l'infrastructure. Vous pouvez envoyez une politique de pare-feu vers chaque utilisateur, se félicite-t-il. Avec un équipement de ForeScout dans chaque bureau régional, le système NAC passera en revue chaque terminal qui se connecte afin de s'assurer qu'il a bien son anti-virus Symantec à jour, ainsi que les correctifs critiques de Microsoft pour Windows XP. « NAC ne supprime pas les infections, mais il réduit les possibilités que les machines soient infectées, on étend le modèle de sécurité du siège vers les sites régionaux, dès lors on est bien plus sécurisé, précise le responsable. Ajoutée aux pare-feux et aux systèmes d'IDS/IPS de Stonesoft, il estime que la technologie NAC protégera le réseau de façon ad hoc. L'appliance CounterACT de ForeScout est installée hors du flux du réseau (out of band), et ne bloque pas le trafic lui-même. Au contraire, elle emploie des commandes TCP reset et des messages ICMP ( Internet Control Message Protocol), et de l'injection de trafic, afin d'empêcher des terminaux qui ne sont pas conformes de se connecter au réseau. Le responsable admet que ce n'est pas la méthode la plus sécurisée, mais que cela reste un compromis acceptable. « Est-ce que c'est aussi sécurisé que de travailler dans le flux du trafic ? Non, mais c'est un risque à prendre, vu le surplus d'administration nécessaire autrement. Il s'agit juste d'obtenir un bon retour sur investissement !, conclut-il.
