Contactez-nous

Contact

Poser une question en ligne Contacter nos équipes

Aide en ligne

Tutos FAQ Chatbot d'assistance
Analyse du besoin et de l’existant
Solutions NAC de contrôle d’accès au réseau
H5845 v2 Article de référence

Analyse du besoin et de l’existant
Solutions NAC de contrôle d’accès au réseau

Auteur(s) : Cécilien CHARLOT

Date de publication : 10 juil. 2020 | Read in English

Logo Techniques de l'Ingenieur Cet article est réservé aux abonnés
Pour explorer cet article plus en profondeur Consulter l'extrait gratuit

Déjà abonné ?
Sommaire

Présentation

RÉSUMÉ

Construits dans une logique ouverte de « confiance par défaut », les réseaux locaux (Local Area Network) ne disposent pas nativement de capacités de contrôle (contrôle d’accès, contrôle de conformité, visibilité et traçabilité) des périphériques s’y connectant. Cela a ouvert un marché pour les éditeurs des solutions NAC (Network Access Control) qui ont développé des approches pour mettre en œuvre ces fonctionnalités de contrôle, en venant compléter les standards – notamment 802.1x – qui n’adressent que la partie contrôle d’accès et authentification et restent complexes à déployer dans des réseaux d’entreprises à large échelle.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

  • Cécilien CHARLOT : Fonction Consultant cybersécurité - Affiliation CGI Business Consulting

INTRODUCTION

Les réseaux locaux – que ce soit les réseaux filaires ou Wifi reposent sur des protocoles – notamment Ethernet – qui ont été pensés sans proposer nativement de fonctionnalité de contrôle sur les périphériques se connectant au réseau. On parle ainsi de réseaux construits dans une logique de confiance. Dans un contexte de besoins de sécurité croissant, d’interconnexions complexes entre différents types de réseaux – dont des réseaux critiques, type réseaux industriels – et de multiplication des périphériques en mesure de se connecter au réseau – objets connectés participant à l’Internet Of Things par exemple, cette logique devient de moins en moins viable et génère des risques importants qu’il convient d’adresser. Les solutions Network Access Control ont été développées en vue de couvrir ces risques et s’appuient sur un ensemble d’approches et de protocoles, standardisés ou non, pour répondre à différents objectifs de contrôle.

Cet article a été construit de manière agnostique par rapport aux solutions du marché et propose une vue générale de la problématique et des risques engendrés jusqu’à détailler le fonctionnement technique des solutions qui permettent d’y répondre. En particulier :

  • il explique l’historique de la problématique des « réseaux locaux ouverts » et précise les différents risques générés ;

  • il précise les objectifs de contrôle que sont l’authentification, le contrôle de conformité, la traçabilité et la visibilité ;

  • il donne une vue des différentes approches possibles pour réaliser chacun des objectifs de contrôle ;

  • il détaille le mode de fonctionnement et les limitations du standard 802.1x, qui apporte une solution standardisée et efficace pour le contrôle d’accès mais dont la mise en œuvre nécessite des prérequis importants en termes de maîtrise des périphériques se connectant au réseau ;

  • il propose enfin une analyse comparative des quatre architectures types qui sont déployées par les solutions du marché, en comparant des critères d’efficacité et de couverture par rapport aux différents objectifs de contrôle ainsi qu’à la facilité de déploiement et au prérequis nécessaire au déploiement de chaque type d’architecture.

Logo Techniques de l'Ingenieur

Cet article est réservé aux abonnés.
Il vous reste 94 % à découvrir.

Pour explorer cet article Consulter l'extrait gratuit

Déjà abonné ?

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v2-h5845

Lecture en cours
Présentation

Article inclus dans l'offre

"Sécurité des systèmes d'information"

(80 articles)

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques.

Des contenus enrichis

Quiz, médias, tableaux, formules, vidéos, etc.

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

Des avantages inclus

Un ensemble de services exclusifs en complément des ressources.

Voir l'offre

1. Analyse du besoin et de l’existant

L’objectif des solutions NAC développées par de très nombreux éditeurs est de répondre à un besoin de sécurisation du réseau interne, besoin auquel les différents standards n’apportent qu’une réponse partielle.

1.1 Analyse du besoin

HAUT DE PAGE

1.1.1 Historique

Les réseaux locaux (LAN) ont été conçus aux débuts des années 1980, dans une logique de réseau d’ouverture par défaut, c’est-à-dire dépourvue de tout contrôle sur les périphériques qui s’y connectent. Quand les réseaux locaux ont été interconnectés pour former l’Internet, des mesures de sécurisation ont rapidement été nécessaires : ce sont notamment les firewall (pare-feu) se plaçant entre le réseau local et l’Internet. Les flux entre ces deux zones sont ainsi filtrés à différents niveaux du modèle OSI et seuls les flux explicitement autorisés sont permis.

Au contraire à l’intérieur des réseaux internes, la logique de réseau ouvert est encore d’actualité.

HAUT DE PAGE

1.1.2 Risques de sécurité liés à l’ouverture du réseau interne

Concrètement, au sein des réseaux d’entreprise, cette logique ouverte se traduit par un certain nombre de problématiques :

  • risque d’intrusion par un tiers non autorisé. Toute prise réseau, qu’elle soit accessible en débranchant un poste de travail ou mise à disposition pour des prestataires extérieurs par exemple, est une menace potentielle, car l’accès réseau sera, dans tous les cas, donné à la machine connectée ;

  • risque lié aux périphériques mobiles. Un poste portable, infecté par un ver sur un réseau extérieur, pourra en se reconnectant au LAN contaminer le périmètre interne ;

  • absence de cloisonnement et d’application du principe du moindre privilège....

Logo Techniques de l'Ingenieur

Cet article est réservé aux abonnés.
Il vous reste 94 % à découvrir.

Pour explorer cet article Consulter l'extrait gratuit

Déjà abonné ?

Lecture en cours
Analyse du besoin et de l’existant

Article inclus dans l'offre

"Sécurité des systèmes d'information"

(80 articles)

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques.

Des contenus enrichis

Quiz, médias, tableaux, formules, vidéos, etc.

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

Des avantages inclus

Un ensemble de services exclusifs en complément des ressources.

Voir l'offre

Sommaire
Sommaire

    DANS NOS BASES DOCUMENTAIRES

    NORMES

    • Technologies de l'information – Interconnexion de systèmes ouverts (OSI) – Modèle de référence de base : le modèle de base - ISO/IEC 7498-1 - 1994

    • IEEE Standard for Local and metropolitan area networks - Port-Based Network Access Control - 802.1x-2004 - 2004

    • Extensible Authentication Protocol (EAP) - RFC 3748 - 2004

    • RADIUS (Remote Authentication Dial In User Service)(anciennement RFC 2138) - RFC 2865 - 2000

    • DHCP (Dynamic Host Configuration Protocol) - RFC 1531 - 1993

    • Interoperation Between DHCP and BOOTP (anciennement RFC 1533) - RFC 2132 - 1997

    • Dynamic Host Configuration Protocol - RFC 2131 - 1997

    • Captive-Portal Identification Using DHCP or Router Advertisements (RAs) - RFC 7710 - 2015

    • ...

    ANNEXES

    1. 1 Annuaire

      1 Annuaire

      Principaux éditeurs de solutions NAC

      HAUT DE PAGE
      Logo Techniques de l'Ingenieur

      Cet article est réservé aux abonnés.
      Il vous reste 94 % à découvrir.

      Pour explorer cet article Consulter l'extrait gratuit

      Déjà abonné ?

      Article inclus dans l'offre

      "Sécurité des systèmes d'information"

      (80 articles)

      Une base complète d’articles

      Actualisée et enrichie d’articles validés par nos comités scientifiques.

      Des contenus enrichis

      Quiz, médias, tableaux, formules, vidéos, etc.

      Des modules pratiques

      Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

      Des avantages inclus

      Un ensemble de services exclusifs en complément des ressources.

      Voir l'offre

      S'inscrire à la Veille Personnalisée

      Ressources documentaires

      VPLS (Virtual Private LAN Service) - Émulation d'un LAN Ethernet par un réseau IP/MPLS

      Situation devenue très fréquente, de nombreux réseaux sont dans la nécessité de connecter leurs ...

      Virtualisation des réseaux locaux - Switch, hyperviseur et pare-feu

      Le besoin d’hébergement des applications et de données ne cessent de croitre. Mais cette augmentation ...

      Principaux protocoles de transmission de données

      SOAP

      Tous les livres blancs
      Toutes les actualités
      Toutes les conférences en ligne