Vous êtes sur la page 1sur 5

Cisco NAC

La mise au point du rseau capable de se dfendre tout seul

Description gnrale

Cisco Network Admission Control (NAC)


exploite au maximum linfrastructure
rseau pour limiter les dgts occasionns
par les virus et les vers .
Grce Cisco NAC, lentreprise peut
fournir aux units d'extrmit comme les
PC, les PDA et les serveurs, un accs rseau
qui respecte scrupuleusement les politiques
de scurit en place. Cisco NAC permet de
refuser laccs aux units non conformes,
de les placer en quarantaine ou de
restreindre leur accs aux ressources
informatiques.
Cisco NAC est la premire tape du projet
Cisco de rseau capable de se dfendre tout
seul Cisco Self-Defending Network un
systme capable didentifier et de prvenir
les menaces de scurit et de sy adapter.
Introduction Comment rpondre
lvolution des menaces de scurit
Les virus et les vers qui interrompent la
bonne marche des systmes continuent de
dsorganiser les entreprises en faisant
baisser leur productivit et en les
contraignant corriger en continu les
failles de leurs systmes de scurit. La
nature autoreproductible des attaques les
plus rcentes les rend particulirement
virulentes et dangereuses. Les solutions
anti-virus existantes, qui reposent sur la
reconnaissance de la signature de lattaque,
sont incapables de dtecter et de neutraliser
les virus inconnus et les attaques par dni
de service quils gnrent.
Lentreprise est frquemment confronte
des serveurs et des ordinateurs de bureau
qui ne respectent pas sa politique de
scurit. Ces units sont difficiles
dtecter, isoler et nettoyer. La
localisation et la mise en quarantaine de ces
systmes consomment beaucoup de temps
et de ressources, et mme lorsque les
infections quils propagent semblent avoir
disparu du rseau dentreprise, elles sont

susceptibles de rapparatre par la suite.


Le problme est encore multipli par la
complexit des environnements de
rseau modernes qui comprennent des
types trs varis :

dutilisateurs finaux employs,


constructeurs et sous-traitants

de points d'extrmit ordinateur de


bureau dans lentreprise ou
domicile, serveurs
daccs filaire, sans fil, rseau priv
virtuel (VPN) ou accs commut
Cisco NAC sinterpose entre ces
menaces volues et le rseau, en grant
la complexit de lenvironnement et en
offrant des progrs trs nets par rapport
aux technologies de scurit ponctuelles
qui se concentrent sur un serveur ou une
station de travail plutt que sur la
disponibilit et la robustesse globale du
rseau.
Description gnrale de Cisco NAC
Les dgts gnrs par les virus et les
vers ont montr dans toute sa ralit
linadquation des dispositifs actuels de
scurit. Cisco NAC offre une nouvelle
solution complte qui permet aux
organisations dappliquer des politiques
de correctifs logiciels sur les htes et de
rediriger les systmes non conformes et
potentiellement vulnrables vers des
environnements de quarantaine
disposant de peu, voire daucun, accs
au rseau. En associant les informations
sur ltat de la scurit des points
d'extrmit avec les conditions
dadmission au rseau, Cisco NAC
permet aux organisations damliorer de
manire considrable la scurit de leurs
infrastructures informatiques.
Cisco NAC accorde un accs au rseau
aux units dextrmit PC, serveurs ou
PDA, par exemple conformes et de
confiance et le refuse aux units non
conformes.

Cisco Systems
Copyright2000 Cisco Systems, Inc. Tous droits rservs.
Page 1 sur 5

La dcision daccorder cet accs peut reposer sur des informations comme ltat du logiciel anti-virus du point
dextrmit ou la version du correctif de son systme d'exploitation.

Figure 1 Cisco NAC


Cisco NAC dispose des composants suivants :

Cisco Trust Agent (CTA) Ce logiciel, qui rside sur un systme dextrmit, collecte les informations sur
ltat de lunit provenant de nombreux clients logiciels de scurit clients anti-virus, par exemple et
communique ces informations aux units Cisco daccs rseau charges dappliquer les contrles
dadmission. Cisco a fourni des licences de sa technologie CTA ses partenaires anti-virus afin quils
puissent lintgrer dans leurs produits clients logiciels de scurit. La technologie CTA sera galement
intgre Cisco Security Agent pour faire appliquer les privilges daccs en fonction de la version du
correctif du systme d'exploitation du point d'extrmit. Cisco Security Agent (CSA), solution logicielle
de protection de lhte ds le premier jour, valuera la version, les correctifs et les informations de
dpannage chaud du systme d'exploitation avant de les communiquer Cisco trust agent. Les htes
qui ne disposent pas des correctifs requis peuvent ne recevoir quun accs limit au rseau, et mme en
tre exclus.
Units daccs rseau Les routeurs, les commutateurs, les points daccs sans fil et les serveurs de
scurit ddis appliquent la politique de contrle dadmission au rseau. Ces units exigent des
authentifiants de scurit hte et relaient linformation aux serveurs de politique qui prennent les
dcisions de contrle dadmission au rseau. Selon la politique dfinie par lutilisateur, le rseau applique
la dcision approprie de contrle dadmission autorisation, refus, quarantaine ou accs restreint.
Serveur de politiques Ce serveur value les informations de scurit du point d'extrmit provenant des
units daccs au rseau et dtermine la politique daccs quil convient de lui appliquer. Cisco Secure
Access Control Server (ACS), serveur AAA (authentification, autorisation et administration) de type
RADIUS, est le cur du systme de serveur de politiques. Il travaille en association avec les serveurs
dapplication de nos partenaires Cisco NAC qui fournissent des fonctionnalits plus puissantes de
validation des authentifiants comme les serveurs de politiques anti-virus.
Systme dadministration CiscoWorks VPN/Security Management Solution (VMS) dimensionne les
lments Cisco NAC tandis que CiscoWorks Security Information Manager Solution (SIMS) fournit les
outils de contrle et de reporting. Les partenaires Cisco NAC fournissent les solutions dadministration
pour leurs logiciels de scurit pour points d'extrmit.

Essentiellement, Cisco NAC tire le meilleur parti des investissements existants en matire dinfrastructure de rseau
et de technologie de protection des htes en associant les deux fonctionnalits pour raliser un systme de contrle
dadmission au rseau. Lentreprise peut, par exemple, sassurer que les lments du rseau Cisco routeurs,
commutateurs, quipements sans fil ou serveurs de scurit ddis contrlent lusage dun logiciel anti-virus. De
la sorte, Cisco NAC complte plus quil ne remplace les technologies classiques de scurit dj couramment
utilises passerelle pare-feu, systmes de protection contre les intrusions, authentification d'identit et scurit
des communications.

Cisco Systems
Copyright2000 Cisco Systems, Inc. Tous droits rservs.
Page 2 sur 5

Cisco NAC en action


Cisco NAC est une solution souple et omniprsente capable dassurer la protection de tous les systmes
informatiques connects. Cisco NAC opre sur toutes les mthodes d'accs utilises par les htes pour se
connecter au rseau, y compris la commutation campus, les connexions filaires et sans fil, les liaisons de rseau
WAN et LAN par routeur, les connexions IPSec (IP Security), laccs distance et les liaisons commutes.
Voici quelques exemples de dploiement de Cisco NAC :

Contrle de conformit pour les succursales d'entreprise Cisco NAC permet de garantir la conformit
des htes des succursales distantes ou des bureaux domicile qui cherchent se connecter aux ressources
centralises de lentreprise, que ce soit par lintermdiaire dun rseau WAN priv ou dun canal scuris
sur le Web. Il effectue notamment des vrifications de conformit au niveau du routeur Cisco de la
succursale ou sur celui du sige social de lentreprise.
Protection des accs distants Cisco NAC permet de garantir que les ordinateurs des travailleurs distants
ou mobiles disposent des versions les plus rcentes du logiciel anti-virus et des correctifs du systme
d'exploitation avant de leur donner accs aux ressources de lentreprise par lintermdiaire de liaisons
commutes, IPSec ou autres types daccs VPN.
Protection du campus sans fil Cisco NAC vrifie les htes qui se connectent au rseau par une liaison
sans fil afin de sassurer quils disposent des bons correctifs. Pour cette validation, il utilise le protocole
802.1x et procde lauthentification de la station comme de lutilisateur.
Accs au rseau campus et protection des centres de calcul Cisco NAC contrle les ordinateurs et les
serveurs du bureau et permet de sassurer que ces units sont conformes aux politiques de lentreprise en
matire danti-virus et de correctifs de systme d'exploitation avant de leur accorder laccs au rseau
LAN. Il rduit ainsi le risque que les virus et les vers se propagent au sein de lentreprise en largissant le
contrle dadmission aux commutateurs de la couche 2.
Conformit extranet Cisco NAC peut servir vrifier la conformit de chaque systme qui tente
dobtenir un accs au rseau et pas uniquement ceux qui sont grs par le service informatique. Cisco
NAC permet de vrifier la conformit la politique en matire danti-virus et de systmes dexploitation
des htes, quils soient grs ou non par lentreprise, y compris des systmes des sous-traitants et des
partenaires. Si le logiciel Cisco Trust Agent nest pas prsent sur lhte interrog, une politique daccs
par dfaut peut-tre applique.
Les avantages de Cisco NAC

o
o

Amlioration considrable de la scurit Cisco NAC permet de sassurer que chaque hte se
conforme aux politiques les plus rcentes de lentreprise en matire danti-virus et de correctifs du
systme d'exploitation avant de lui accorder laccs normal au rseau. Il peut isoler les htes
vulnrables ou non conformes et leur accorder un accs restreint jusqu ce quils excutent le bon
correctif ou quils soient correctement protgs : il vite ainsi quils deviennent la cible ou la source
dinfections par virus ou par vers.
Rentabilisation de linvestissement de rseau et anti-virus Cisco NAC intgre et consolide la valeur
des investissements dans linfrastructure de rseau Cisco, la scurit des points d'extrmit Cisco et
la technologie anti-virus.
Evolutivit du dploiement Cisco NAC assure un contrle d'accs complet sur toutes les mthodes
d'accs utilises par les htes pour se connecter au rseau et supporte galement les scnarios
multiconstructeurs. Si, par exemple, un employ dispose dune solution anti-virus avec un logiciel
Cisco Trust Agent, et quun sous-traitant utilise une autre solution anti-virus avec un logiciel Cisco
Trust Agent, Cisco NAC permet de vrifier la conformit des deux systmes et dappliquer des
politiques diffrentes en fonction de lidentit de lutilisateur et de ltat de scurit du point
d'extrmit. Enfin, Cisco NAC peut dfinir des politiques daccs diffrentes selon que lhte
rpond autrement dit quil excute Cisco Trust Agent ou non.
Amlioration de la robustesse et de la disponibilit En associant les informations sur ltat de la
scurit des points d'extrmit avec les conditions dadmission au rseau, Cisco NAC permet ses
utilisateurs damliorer de manire considrable la scurit de leurs infrastructures informatiques.

Cisco Systems
Copyright2000 Cisco Systems, Inc. Tous droits rservs.
Page 3 sur 5

Disponibilit et utilisation
Cisco NAC sera disponible au cours du premier semestre 2004. A partir de sa commercialisation, tous les routeur
Cisco communiqueront avec le logiciel Cisco Trust Agent pour fournir le contrle dadmission au rseau. Les
listes de contrle d'accs (ACL) sur le routeur permettront de limiter les communications entre les htes non
conformes et les autres systmes du rseau par exemple en ne permettant que les communications vers un
serveur anti-virus pour permettre le tlchargement dun fichier de mise jour. Ds son lancement, Cisco NAC
supportera les points d'extrmit sous Microsoft Windows NT, XP et 2000.
Les rcentes infections virales et par vers ont rendu encore plus cruciale la ncessit dempcher les nuds mal
scuriss de contaminer le rseau, et en ont fait une priorit absolue pour les entreprises modernes , dclare Mark
Bouchard, directeur principal de la programmation chez META Group. De nombreuses organisations ont
montr leur capacit bloquer les rcentes attaques par vers aux frontires Internet de leur rseau. Elles sont
toutefois encore victimes des exploits des pirates ds que leurs utilisateurs mobiles ou non-rsidents connectent
leurs PC infects directement aux rseaux locaux internes. Llimination de ce type de menaces passe par
lassociation du renforcement des politiques et de la technologie du contrle d'admission au rseau.

La premire version de Cisco NAC satisfait aux exigences des deux tests de conformit les plus urgents ltat du
logiciel anti-virus et les informations relatives au systme d'exploitation. Ceci englobe la version du logiciel antivirus du constructeur, la version du moteur et les niveaux des fichiers de signature ainsi que le type, les correctifs
et les dpannages chaud du systme d'exploitation. Dans un premier temps, Cisco NAC sera probablement
utilis en mode de contrle : la conformit de lhte sera value sans essayer de limiter laccs rseau. Au cours
de cette priode, les systmes non conformes pourront tre, si ncessaire, mis jour afin datteindre les niveaux
de conformit requis.
Pour les versions suivantes de Cisco NAC, les commutateurs et les points d'accs sans fil Cisco seront en mesure
de rediriger les htes non conformes vers des segments de rseau VLAN de quarantaine sur lesquels ne rsideront
que des serveurs de remdiation. Les versions suivantes largiront le support de Cisco NAC aux serveurs de
scurit ddis Cisco comme les pare-feu et les concentrateurs VPN.
Dans ses phases ultrieures, Cisco NAC assurera le contrle dynamique des infections. Les points d'extrmit
ainsi que les autres lments systmes conformes pourront alors signaler les utilisations abusives provenant des
systmes illgaux ou infects au cours dune attaque. Cette intelligence permettra disoler de manire dynamique
les systmes infects du reste du rseau et de rduire de manire considrable la propagation des menaces dues
aux virus, aux vers et toute combinaison de ces mthodes.
Conclusion un rseau capable de se dfendre lui-mme
Cisco NAC est une tape cruciale dans la mise au point du rseau capable de se dfendre tout seul Cisco SelfDefending Network initiative innovante de scurit qui amliore de manire spectaculaire la capacit des
rseaux identifier et prvenir les menaces de scurit et sy adapter. Le projet Cisco Self-Defending Network
renforce considrablement la stratgie de Cisco pour lintgration des services de scurit sur lensemble des
rseaux IP en fournissant de nouvelles mthodes de dfense au niveau systme contre les menaces de scurit.
Pour plus dinformations
Pour plus dinformations, visitez
http://www.cisco.com/go/selfdefend

Cisco Systems
Copyright2000 Cisco Systems, Inc. Tous droits rservs.
Page 4 sur 5

Cisco Systems
Copyright2000 Cisco Systems, Inc. Tous droits rservs.
Page 5 sur 5