NAP de Microsoft au banc d'essai, un NAC dédié à Windows
Le contrôle d'accès au réseau (NAC ou Network Access Control) est une technologie qui a été lancée par le californien Cisco afin de vérifier qu'un PC portable n'infecte pas un réseau filaire après que l'on s'en soit servi lors d'un déplacement dans un cyber café ou sur le réseau d'une autre entreprise, ou depuis son domicile.
Certains détracteurs du NAC estiment qu'il apporte une réponse à une question qui ne se pose plus. D'ailleurs, certains experts en sécurité proposent même retirer les anti-virus des postes de travail, car ils ne servent à rien et que leur coût de mise à jour est prohibitif.
Quoi qu'il en soit, le NAC s'est répandu chez de nombreux fournisseurs. Et Microsoft en a proposé sa version, intitulée NAP (Network Access Protection). NAP est basé sur un client exclusif à Windows qui combine une vérification de la sureté des terminaux avec une authentification optionnelle. Notre confrère Networkworld a testé le NAP de Microsoft. Networkworld a également testé les produits NAC de Cisco, HP, McAfee, Juniper Networks, ForeScout, Symantec, Trustwave, Avenda et Bradford.
Dès la première utilisation, le client NAP utilise Windows Security Check pour effectuer une vérification de son système, via une série de contrôles sécurité sur ses terminaux via des outils tels que l'anti-spyware, l'anti-virus, le firewall et l'installation de patchs automatique. Ce premier contrôle de « santé » du système peut être effectué par une solution tierce compatible avec NAP.
Le NAP de Microsoft fonctionnera mieux dans un environnement exclusivement Microsoft ou toutes les machines sont reliées à un domaine Microsoft. Dans ces situations, la gestion du NAP pourra se faire avec les outils classiques de configuration. Sans le confort d'une telle configuration de domaine, la mise en place de NAP peut être compliquée, bien qu'il existe des vendeurs de tierce partie, à l'instar de Cloudpath, qui ont travaillé pour rendre cette installation plus simple.
Même avec cette aide additionnelle, il n'y a pas réellement de suppor pour des outils tels que les portails captifs, la gestion des invités et les authentifications de type MAC (au niveau de la couche Ethernet) avec NAP. Si votre déploiement NAC nécessite ...
... de tels outils vous aurez besoin de construire des mécanismes additionnels au dessus de ce que Microsoft fournit.
Le Network Policy Server (NPS, Serveur de politique réseau) de Microsoft est un serveur RADIUS qui donne la capacité au NAP d'opérer dans un environnement 802.1X dans lequel on a durci la périphérie du réseau. Bien que NPS ait la capacité de délivrer des informations VLAN et ACL aux commutateurs dans un environnement 802.1X, les installations pour gérer ces paramètres sont assez primitives, ce qui ne rend NPS réellement approprié que pour l'affectation de VLAN à un contrôle d'accès renforcé.
Cependant, NAP et NPS peuvent durcir les contrôles d'accès via d'autres mécanismes en raison des liens étroits existant entre le client NAP et Windows. L'application basée sur DHCP (en supposant que vous utilisez un serveur DHCP de Microsoft) est toujours disponible. Les serveurs VPN (Routing and Remote Access Server) propres à Microsoft sont eux aussi liés à NAP, les utilisateurs se connectant par le biais de RRAS peuvent donc avoir des accès différenciés selon la sécurité des terminaux au moment de la connexion.
Et, dans un environnement purement Microsoft sur un réseau local ou tout le monde joue avec les mêmes règles, vous pouvez utiliser IPsec comme mécanisme. NAP de Microsoft n'est pas l'application NAC la plus fonctionnelle qui ait été testée par Networkworld mais elle a un gros avantage sur les autres : elle est construite au coeur de Windows.
Les architectes réseaux pourront donc chercher à contourner les faiblesses de NAP tout en capitalisant sur ses points forts tels que le client intégré et la facilité d'intégration avec Windows.
Vendeur: Microsoft
Produit : Network Access Protection (NAP), le client NAP et le Network Policy Server (NPS) sont inclus.
Forces : Gratuit dans les Windows shops, déjà présent dans les produits installés en entreprise
Faiblesses : Seulement pour Windows, les caractéristiques sont classiques voire primitives
Photo : Le NAC, une clé d'accès au réseau, D.R
