NAC, on est encore loin du compte
Les rédactions de reseaux-telecom.net et de CIO-online.com ont organisé le 17 avril dernier une table ronde sur les nouveaux outils de la sécurité dans le cadre d'un séminaire sur l'évolution des politiques de sécurité. Au menu, en particulier : les outils de NAC (Network Access Control). De l'avis de la majorité des participants, le NAC demeure délicat à mettre en place. Un seul des intervenants - Sébastien Bombal, RSSI du Groupe Areva - dispose d'une solution allant dans cette direction, et reposant sur le standard 802.1x. Une architecture homogène nécessaire « Nous avons regardé le NAC, décrit pour sa part, Sylvain Meunier ingénieur en charge du réseau, à l'Onera, organisme de recherche en aéronautique, On se heurte à deux types de difficultés. Pour le NAC, il faut tout de même être homogène propriétaire, tout Cisco ou tout Enterasys, par exemple, car il n'y a pas grand-chose en termes d'intéropérabilité. Ou alors, il faut mettre un produit d'une tierce partie en central, or nous avons un backbone à 10 Gbit/s et nous n'arrivons pas à trouver de produit en central qui tienne 10 Gbit/s ». Même constat pour Eric Detoisien, RSI de la banque Bred Banque Populaire : « il y a des pré-requis qui sont assez importants, car tout cela manque de normalisation. Si on n'a pas un parc homogène et un réseau homogène, ce qui est assez courant, cela va être difficile ... Photo : Les participants à la table ronde, de gauche à droite, Sébastien Bombal, RSSI d'Areva, François Gratiolet, RSSI adjoint de Groupe La Poste, Mauro Israël, consultant sécurité, Eric Detoisien, RSI de la Bred Banque Populaire, Alexandre Garret, directeur technique d'Athéos et Sylvain Meunier ingénieur en charge du réseau, à l'Onera. ... d'obtenir ces pré-requis afin d'installer une solution de NAC. On peut se limiter à un certain périmètre. Mais il faut une bonne segmentation du réseau, des postes homogènes, les mêmes systèmes. Nous sommes en cours de migration. Donc le NAC est prématuré pour nous à cause de ces contraintes techniques. » Des standards existent Si Sébastien Bombal d'Areva souligne également que l'infrastructure du réseau est capitale, il se montre plus optimiste en ce qui concerne certains standards. « Il y a néanmoins des standards tels que le 802.1x. En ce qui concerne le contrôle d'accès au réseau, nous sommes partis sur du 802.1x pour tout ce qui est authentification. Notre objectif est de savoir qui se connecte et s'il est habilité à le faire, cela permet de contrôler les intervenants d'autres sociétés qui viennent travailler sur notre réseau, précise Sébastien Bombal. En revanche, il n'y a pas de contrôle de la configuration du poste à la connexion pour ce qui concerne l'état des protections, de l'anti virus par exemple. « Ce n'était pas prioritaire, souligne-t-il. Lors de la préparation du séminaire, reseaux-telecoms.net avait également sondé plusieurs responsables sécurité au sujet du NAC. Des causes multiples aux difficultés L'un d'eux était en plein déploiement d'une solution de commutateurs Enterasys, ce constructeur est l'un des plus connus en termes d'architecture NAC, et on cite souvent la société SPB comme référence. La tonalité est toutefois bien différente pour le déploiement en cours. « Nous avons des difficultés à faire fonctionner les fonctions NAC sur notre réseau d'un millier de postes. Cela dit, la cause de nos difficultés semble multiple. Des micro-coupures ... ...électriques à cause d'une mauvaise alimentation ont fait perdre les configurations des équipements, et notre infrastructure réunit des commutateurs de constructeurs différents, ce qui semble créer des soucis , soupçonne ce responsable sécurité. Autre cas, Laurent Cossard, RSSI de l'équipementier Valeo, a mené, il y a six mois, une étude de faisabilité très poussée du déploiement du NAC sur son réseau. Au final, il n'envisage pas de déploiement concret pour des questions de coût et de compatibilité des postes de travail (notamment en ce qui concerne le support du supplicant). Il trouve pourtant le concept intéressant. Il doit gérer pour sa part plus de 30 000 postes et plusieurs sites. Microsoft, le socle pour bâtir une solution NAC ? Joel Snyder, consultant sécurité pour la société Opus One, expert pour tout ce qui touche au NAC, exprimait récemment qu'il fallait partir des outils NAC de Microsoft, que l'on trouve dans Windows XP ou dans Vista. Il souligne qu'en ce qui concerne le support de la technologie 802.1x, il faut des versions de Windows 2000 SP3 et au-delà. Il valorise enfin la technologie NAP (Network Access Protection) de Microsoft comme une base sur laquelle il faut développer sa solution.
