Vous êtes sur la page 1sur 41

UniversitdeRennes1

CentredeRessourcesInformatiquesCRI
263AvduGnralLeclercCS74205
35042RENNESCedex

tudeducontrled'accsaurseau(NAC)
pourl'UniversitdeRennes1.
Du1marsau31aot2009

FrdricBoivent
MasterSTSmention
INFORMATIQUE
Souslaresponsabilitde
RogerNegaret,CRIUniversitRennes1

2eanneprofessionnelspcialitSSI
Scuritdessystmesd'informations

IFSICUNIVERSITdeRENNES1CampusdeBeaulieu35042RENNESCEDEXFRANCE
Tl.:0299847100Fax:0299847171http://www.ifsic.univrennes1.fr

AchourMoustefaoui,Ifsic/Irisa

UniversitdeRennes1
Septembre2009

Rsum
La scurit informatique est un sujet ancien et abondamment trait, qu'elle concerne l'accs
Internet,avecl'tudedesflux(parefeu,dtectiond'intrusions...),oulascurisationdespostesde
travailetdesserveurs.Depuisquelquesannes,unnouvelacronymeestapparu,NAC(Network
AccessControl)traduitparcontrled'accsaurseau.Niunetechnologie,niunearchitecture,
leNACestplusprocheduconcept.LeNACestcensmettreenuvrelapolitiquedescuritd'un
tablissement concernant aussi bien l'identification et l'authentification des usagers (humain ou
matriel),quel'valuationduniveaudescuritdesesusagers(avantetaprsconnexion),ces
informations tant utilises pour accorder ou non l'accs aux ressources informatiques de
l'entreprise.Basesurunbilantechnologique,unedescriptiondediffrentessolutionsdisponibleset
lapriseencomptedescontraintesexistantesl'UniversitdeRennes1,unesolutionvolutiveest
propose. Pour des raisons techniques, lies aux quipements rseau en place, le niveau de
scurisation obtenu ne rpond actuellement pas la politique de scurit souhaite par
l'tablissement,lerenouvellementdecesquipementspermettrad'voluerversuncontrled'accs
aurseauplusefficace.

Abstract
Computersciencesecurityisanoldsubjectthathasbeenwidelyinvestigatedeitheroninternet
traficanalysis(firewall,intrusiondetection,...),orsecuringpersonalcomputerandservers.Few
yearsago,anewacronymhasappeared:NACforNetworkAccessControl.Neitheratechnology
noranarchitecturebutratheraconcept.Itissupposedtoimplementtheinstitution'ssecuritypolicy
dealingwithidentificationandauthenticationofusers(humanbeingandmachines)aswell the
evaluationofthesecuritylevelofusers(beforeandafterconnection).Thoseinformationswillthen
beusedtoauthorizeordeclineaccesstothenetwork.BasedonastudyoftheNACconcept,ona
descriptionofvarioussolutionsavaibleonthemarket(commercialandfreesoftware)andtaken
intoaccounttheexistingconstraintsoftheUniversityofRennes1,weproposeanevolutiveNAC
implementation. For technical reasons that have to do with the network products currently in
activity,theresultingsecurityleveldoesnotmatchthesecurityrequirementsoftheuniversity.
However,therenewalofthenetworkequipementswillallowamoreefficientaccesscontrol.

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

Remerciements
Jetiensremerciertoutparticulirementettmoignertoutemareconnaissanceauxpersonnes
suivantes,pourleursoutienetencouragementstoutaulongdecessixmoisdestage.
JeremercieThierryBDOUIN,ledirecteurduCentredeRessourcesInformatiques,etPierre
LeCloirec,directeurdel'ENSCR(coleNationalSuprieurdeChimiedeRennes)pourm'avoir
permisd'accderlaformationdeMasterProSSI.
RogerNEGARET,RSSIdel'UniversitdeRennes1etmatredestage,pourm'avoirguidaux
momentsdlicatsetsoutenudansmeschoix.
PierreAntoineAngelini,responsabledupleInfrastructureduCRIpoursaconfianceetson
soutiencettereprised'tude.
ACarolineStekkeetJulienJourdan(ditCoinCoin),deuxjeunesstagiairesavecquij'ai
partaglebureauetquelquesbonsmoments.
A l'ensemble des personnels du CRI pour leur intrt quand mon sujet de stage et leurs
nombreuxencouragementstoutaulongdemonanneuniversitaire.
Etpourfinir,l'quiperseaux,c'estdire,MessieursChristianCOUEPEL('Bonneretraite
Christian!!!'),FabriceJAUNET,BertrandLESCAUT,ArnaudMERELetGwenPOIRIERpour
avoiracceptdemelaisserpartiretdemelaisserrevenirdanscette quipesoude,efficaceet
sympathique.

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

SOMMAIRE
Rsum.............................................................................................................................................................2
Abstract............................................................................................................................................................ 2
Remerciements.................................................................................................................................................3
Introduction......................................................................................................................................................5
PrsentationduCentredeRessourcesInformatiques.......................................................................................6
1Fonction........................................................................................................................................................6
2Organisation.................................................................................................................................................6
Lecontrled'accsaurseau............................................................................................................................8
1LesprincipesduNAC..................................................................................................................................8
1.1Identificationetauthentification...........................................................................................................9
1.2valuationetconformit.......................................................................................................................9
1.3Isolementetmiseenconformit...........................................................................................................9
1.4Contrledesactivits............................................................................................................................9
1.5Inventaire..............................................................................................................................................9
2Lescomposantsd'unearchitectureNAC....................................................................................................10
2.1Lesystmed'extrmit(Endpoints)....................................................................................................10
2.2Lesystmed'valuation(PolicyDecisionPoint)................................................................................13
2.3Lesystmedecontrainte(Enforcement).............................................................................................14
2.4Lesystmedemiseenconformit......................................................................................................16
2.5Contrledesactivits..........................................................................................................................17
3Solutionslibresetcommerciales.................................................................................................................17
3.1Normalisationdel'agent.....................................................................................................................17
3.2QuelquesacteurscommerciauxduNAC............................................................................................19
3.3Quelquessolutions

libresouopensourceautourduNAC............................................................26
Unesolutionpourl'universit.........................................................................................................................28
1Lecontexte.................................................................................................................................................28
1.1Architecturerseau.............................................................................................................................28
1.2Outilsdegestion.................................................................................................................................29
1.3Gestiondespostesutilisateurs............................................................................................................29
2Mthodologie..............................................................................................................................................29
3Lescontraintestechniques..........................................................................................................................30
3.1Capacitdesmatrielsrseau.............................................................................................................30
3.2LestlphonesIP................................................................................................................................31
3.3Testsurd'autrescommutateurs...........................................................................................................32
4Solutionretenue..........................................................................................................................................32
4.1LesCritresdcisionnels....................................................................................................................32
4.2Lasolutionpropose...........................................................................................................................36
Conclusion......................................................................................................................................................41
Tabledesfigures.............................................................................................................................................42

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

Introduction
Lagestiond'unrseauuniversitaire,dupointdevuedelascurit,estunvraidfi.Quecela
soitauniveaudupublicrencontr,tudiants,chercheurs,administratifsetvisiteursoudesservices
attendus,accsWeb,grilledecalcul,visioconfrence,etmmetlphoniesurIPpourl'Universit
deRennes1,ladiversitestlematremot.Lamiseenplaced'unepolitiquedescuritetson
respectrigoureuxsontlesobjectifsduresponsabledelascuritdessystmesd'informationset
passeparlamatrisedesaccsaurseauinformatique.C'estdanscecadrequ'ilm'atdemand
d'tudierlamiseenplaced'unesolutiondecontrled'accsaurseau(NAC)afinden'autoriserque
lesentits(personnesoumatriels)validesaccderauxdonnesauxquellesellesontdroitet
seulementcellesci.Afindeprserverlaqualitgnraledusystmed'information,ilestaussi
ncessairedes'assurerdel'innocuitdeslmentsquisouhaitents'yraccorder.
Dansunpremiertemps,lecontrled'accsseraprsentsousl'ensembledecesaspects,des
solutions commerciales (ou non) seront aussi exposes. Ensuite, le contexte spcifique de
l'UniversitseradonnauvudesbesoinsarchitecturauxetorganisationnelsduNAC.Enfin,une
solutionseraproposesuitelamiseenavantdescritresdcisionnelsayantcontribusonchoix.

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

PRESENTATIONDUCRICentrederessourcesinformatiques

PrsentationduCentredeRessourcesInformatiques

1Fonction
LeCRIestunecomposantedel'Universitchargedegrerl'ensembledel'infrastructureinformatiquede
l'tablissement(serveurs,quipementsrseau,systmesdestockage,desauvegarde,d'impression,),de
produire,maintenirougrerleslogicielsncessairesausystmed'informationmaisaussiderpondreaux
besoinsdesutilisateurs(gestiondessallesinformatiques,despostesdupersonnel...).
L'Universit de Rennes 1, c'est actuellement plus de 20 000 tudiants, 1 600 enseignants, enseignants
chercheursetchercheurset1000personnelsadministratifs,techniquesetdeservices.Cettepopulationest
rpartiesurunedizainedesitesenBretagnedontRennes,Lannion,SaintMaloetSaintBrieucpourlesplus
importants.

2Organisation
LeCRIcompteactuellementenviron70personnes(titulairesetcontractuels)etestcomposdecinqples.
Plesystmed'information
Hbergementetdveloppementdesservicesweb,
Dveloppementdel'ENT(Environnementnumriquedetravail),
Administration, suivi, tudes et dveloppement des applications de gestion (enseignements, tudiants,
personnels,).
Pleinformatiquedecampus
Conseil,assistanceetaideauxpersonnels,
Misedispositiondessalleslibreservice,
Administration,suivietvolutionduparcdematrieldispositiondestudiantsetpersonnels.

Pleinfrastructure
AdministrationetvolutiondelatlphonieanalogiqueetIP,
Administration,volutionetconseilconcernantlesinfrastructuresderseaux(filairesounon),
Administration,volutionetconseilsconcernantlesservicesd'intrtcommunetlesserveursassocis
(messagerie,annuaires,sauvegarde,stockage,),
Priseenchargedelascuritdurseau.
Plescurit
Respectdelapolitiquedescurit,
Confidentialitdesinformations.

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

PRESENTATIONDUCRICentrederessourcesinformatiques

Pleadministration
Accueil,standard,secrtariat,
Gestiondesressourceshumaines,
Gestionfinancireetcomptable,
Gestiondesdplacementsetdelalogistique.

C'estauseinduplescuritetencollaborationavecl'ensembledesautresplesquesedroulemon
stage.

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

Lecontrled'accsrseau

Lecontrled'accsaurseau

1LesprincipesduNAC
LeNAC(NetworkAccessControl)n'estpasunetechniqueouunearchitecture,leNACestplus
proched'unconcept,d'unesolution.Ilestcensrpondrelamiseenuvredecertainespartiesde
la politique de scurit concernant l'accs au rseau local (filaire, sansfil ou VPN 1), dont
principalement:
l'identificationetl'authentificationdesutilisateurs;
l'valuationduniveaudescuritdessystmesseconnectant;
lagestiondesinvits;
lecontrledel'activit;
etparfoisladtectiond'intrusion.
L'ensembledecesinformationsserautilispourpositionnerlesystmedemandantunaccsdans
uncertainenvironnementrseau,cetenvironnementserachoisienfonctiondelapolitiquede
scuritenvigueur.D'autreslmentspeuvententrerenjeupourlechoixducontexterseau
mettreenplace,lelieu,lemoment,etlemoyenutilispourlaconnexionparexemple.La
possibilitdemodifierlecontexted'accsrseautoutaulongdelaconnexiond'unsystme,base
surdenouvellesvaluationsetauthentifications,doitpermettreauNACdemaintenirunbonniveau
descurit.
LerlejouparleNACluiconfreaussilapossibilitd'treunlmentimportantdansun
systmed'inventairepuisqu'ilestcensconnatrel'ensembleduparcinformatiqued'un
tablissement.

1.1Identificationetauthentification
L'identificationetl'authentificationsontlabaseduNAC.Connatrel'identitdesentitsqui
souhaitentaccdervosressourcesetpouvoirvrifiercesidentitspermetlamiseenplacedes
rglesd'accsdcideslorsdel'laborationdelapolitiquedescurit.Cesdeuxmcanismes
peuventtreemploys,pourdessystmesphysiques(ordinateurs,imprimantes,etc...),pourdes
utilisateurs,oubienpourlesdeuxquandlesrglesd'accsappliquerunutilisateurdpendentdu
systmeutilis(etinversement).

1 UnVPN(VirtualPrivateNetwork)estunrseauprivvituelpermettantunaccsaurseaulocaldepuisunrseau
extrieur.

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

10

Lecontrled'accsrseau

1.2valuationetconformit
Lebesoind'valuerlessystmesquisouhaitentaccderdesressourcess'estaccruavec
l'augmentationdeleurmobilitetdeleurdiversit.Cessystmespeuventtreaussibienl'origine
d'attaqueutilisantlerseauquelesciblesdecesattaques.Ilestdoncapparuessentieldercuprer
unmaximumd'informationssurcessystmespourdciderdelapolitiqueleurappliquer(base
deprofiletdemiseenquarantaine).

1.3Isolementetmiseenconformit
Lorsquelechoixd'interdirel'accslaressourcerseaudemandeatfait,ilestncessairede
mettreenplaceundispositifpermettantd'appliquercetteinterdictionmaisaussidepermettrela
miseenconformitdusystmed'extrmitparrapportauxrgles.Celaimpliqueunecapacit
communiqueraveclegestionnairedusystme(oulesystmedirectement)pourl'informerdes
raisonsdesamisel'cartetdesactionsqu'ildoitmenerpourrespecterlapolitiquedescurit.

1.4Contrledesactivits
Uncontrlepermanentdesactivitsdusystmeconnectestutilepourpouvoirs'assurerdu
respectdelapolitiquedescurit.Encasd'infractionauxrgles,ilestintressantdepouvoirragir
enmodifiantlesaccsauxressourceseteninformerlegestionnairedusystme.

1.5Inventaire
L'inventaire est un rle connexe au NAC, puisque c'est en s'appuyant sur les informations
collectesqu'ilestpossibled'obteniruntatdeslieuxduparcinformatique(historiqueoutemps
rel). Cet inventaire peut tre effectu sur les matriels physiques mais peut aussi s'tendre
jusqu'auxlogicielsutiliss.

2Lescomposantsd'unearchitectureNAC
LeconceptNACexistecarilrpondunbesoindescurittoujourscroissant.L'absenceinitiale
denormalisationetlesdiffrentsenjeuxauxquelsseconfronteleNAContgnrunemultitudede
rponses.Lessolutionscommercialesmanentaussibiendesconstructeursdematrielrseau,de
concepteursdelogicieloudesocitsdeservice,sil'onajoutelessolutionsdumondedulibre
l'offreestplthoriqueetdiversifie.Aumomentdechoisirunesolution,ilfaudrafaireletrientre
diffrentesarchitectures,mthodesetoutilsavec,chaquefois,unegranularitvariableauniveau
desinformationsobtenues,desactionspossiblesetdelasretgnraleobtenue.
Malgrl'htrognitdessolutionsdeNAC,onpeutdistinguerdiffrentslmentscomposant
unearchitectureNAC.Toutd'abordl'lmentdebasequiestconstituparlamachinephysiquequi
souhaiteaccderdesressources,appelicisystmed'extrmit.Ledeuximelment
fondamentalappelicisystmed'valuationvatreenchargededciderducontextedans
lequelvatreplaclesystmed'extrmitpartirdesinformationsrecueilliessurcedernier.Le
tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

11

Lecontrled'accsrseau
troisimelment,lesystmedecontrainte,estencharged'appliquerlesmodificationsde
contextedcidesparlesystmed'valuation.Ledernierlmentestlesystmedemiseen
conformit,c'estunlieudequarantaineolessystmesd'extrmitaurontlapossibilitde
devenirconformeslapolitiquedescurit.D'autreslmentspeuventtreajouts,systme
d'inventaireousystmededtectiond'intrusionparexemple,iln'yapasvraimentdelimite,leNAC
seveuttrelecouteausuissedelascurit.L'ensembledecescomposantsdevratrecapablede
fournirlesinformationspermettantdesuivreentempsrellesdiffrentsvnementsd'unaccsau
rseauetdeconstruireunhistoriqueenrespectantlesloisrelativeslaconservationdesdonnes
individuelles.

2.1Lesystmed'extrmit(Endpoints)
C'estpartirdececomposant(postedetravail,imprimante,tlphone,etc)quelesinformations
relativesl'authentificationetlaconformitdoiventtrercupres,aussibienlademandede
connexionquedemanirerguliredurantlaconnexion.

2.1.1Identificationetauthentification
Afindeconnatrel'identitd'uneentit(personne,ordinateur)et,danscertainscas,valider
l'authenticitdecetteidentification,plusieursmthodessontdisponibles.
Utilisationdel'adresseMAC2
Ici,seulel'adresseMACdusystmed'extrmitestutilisepourl'identification.C'estunmoyen
facilemettreenuvre,parexempleavecl'utilisationdesrequtesDHCP3.Ilncessitenanmoins
lamiseenplaced'unebaserenseignedetouteslesadressesMACautorisesseconnectersurle
rseau.Cettetechniqueneprotgepasdel'usurpationd'identit,enforgeantsonadresseMACun
utilisateurpourraitsefairepasserpouruneimprimante.Destechniquesdeprised'empreintedu
systmed'exploitationpeuventlimiterceproblmeenassociantetenvrifiantcesinformations
liesauxadressesMACdelabase.
PortailWeb
L'authentificationl'aided'unepageWebscurise(https),telslesportailscaptifs,al'avantage
d'treaccessibletouslesutilisateurspossdantunnavigateurWeb.Enrevanche,cettesolution
n'estpasenvisageablepourlesautressystmesd'extrmit,lesimprimantesparexemple.

2 L'adresseMAC(MediaAccessControl)estunidentifiantphysiqued'uneinterfacerseau.
3 LeDHCP(DynamicHostConfigurationProtocol)estunprotocolerseaupermettantd'attribuerlesparamtres
rseaud'uneinterface.

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

12

Lecontrled'accsrseau
802.1X
Le standard 802.1X (Port Based NetworkAccess Control) estun mcanisme d'authentification
utilis au moment de l'accs au rseau. Bas sur EAP4, son principe repose sur des changes
scurissentrelesupplicant(l'utilisateuretsamachine),l'authenticator(lepointd'accs
sansfil,lecommutateur,...)etl'authenticationserver(unserveurRADIUS5parexemple).Si
l'identitdel'utilisateur(oudelamachine)estvalide,lecommutateurouvriral'accsaurseau(le
VLAN6del'utilisateurpeuttretransmisparleserveurd'authentification).

2.1.2Conformit
Lebutestdercuprerdesinformationssurl'tatdusystmed'extrmit.Deuxpossibilitssont
envisageables,avecunagentembarqusurleposteutilisateurousansagent.Aveclasolution
base d'agents, il faudra prendre en compte le temps d'excution, la charge CPU, le niveau de
scuritdeschangesagent/serveuretlamthodededploiementdecesagents.Sansagent,le
tempsd'excutionpeuttrelong(scannerdevulnrabilits),cequipeutcontraindrevaluerla
conformitaprslaconnexion.
Agentpermanent
L'agentpermanentestprinstalloucharglapremireconnexion.Cetagentapourrlede
rcuprerdesinformationssurl'tatdusystmed'extrmit(versionsystme,correctifsdescurit,
logicielsinstalls,prsenced'antivirus,deparefeu,processusactifs,tatdesservices,etc...).Ildoit
fournircesinformationsausystmed'valuationaumomentdelaconnexionmaisaussisur
demande(permettantunervaluationrgulire).Engnralcesagentssontditlourdscarles
processusdmarrspourrcuprerlesinformationsdusystmed'extrmitontuncotCPUnon
ngligeable.L'installationdecesagentsncessitedesdroitsadministrateursurlamachine.Le
dploiementgnralissurlespostespeuventsefairepardiffrentestechniquesSMS(Systems
ManagementServer,Microsoft),Web,etc.
Avantages:granularitfinedesinformations,diffrentsmcanismesd'authentificationpossibles.
Difficults:ledploiement,varitdessystmesd'extrmit,interoprabilitsilesagentssont
diffrents,lecotfinancierventuel,lecotCPU,l'accspossibledesinformationsprives.
Risque:Quelleconfiancepeutonaccorderl'agentsileposteestcorrompu?
Agenttemporaire
L'agenttemporaireestchargsurlesystmed'extrmitchaquetentativedeconnexion,
techniquementcelaestfaitsoitbased'appletJava,d'ActiveX7oubienparletlchargementd'un
4
5
6
7

EAP(ExtensibleAuthenticationProtocol)estunmcanismed'authentification.
RADIUS(RemoteAuthenticationDialInUserService)estunprotocolerseaud'authentificationcentralis.
VLAN(VirtualLocalAreaNetwork)Rseaulocalvirtuel.
ActiveX:ComposantlogicielrutilisablepourMicrosoftWindows

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

13

Lecontrled'accsrseau
excutable(nencessitantpasdedroitsadministrateur).Sonutilisationsefait,laplupartdutemps,
danslecadred'accsdetypeportailcaptifoud'accsdetypeVPN.Lepositionnementdusystme
d'valuationfournissantl'agentestimportant.Encoupuresurlerseau,lessystmesd'extrmitont
djaccsunrseauetpeuventcommuniquerentreeuxcontrairementunpositionnementau
niveauduportphysiquedelaconnexion(portdecommutateurdebordure).
Avantages:ledploiementestfacile,lecotfinancierfaible,nencessiteengnralqu'un
navigateurWeb.
Difficults:ncessitel'ouvertured'unnavigateurWeb(impossiblepouruneimprimante),letemps
passl'analysepeuttrelong.
Risques:Quelleconfiancepeutaccorderl'utilisateurl'agentquivatreinstallsursonposte?
L'utilisateurrisqued'acceptern'importequoipouravoirsaconnexion.
Sansagent
Danscecasdefigure,ilexistedeuxmthodespotentiellementcomplmentaires:
l'utilisationd'outilsrseauxspcifiques(scannerdevulnrabilit,prised'empreinte)
Avantages:Pasd'interventionsurlesystmed'extrmit,transparentpourl'utilisateur.
Difficults:peuttrelent,qualitetprcisiondel'informationfaibles,prsencedeparefeu
surlesystmed'extrmit.
Risque:existenced'outilsdecontournement(IpMorph).
l'utilisationd'appeldeprocduredistance(RPC,WMI),permettantlarcupration
d'informationsurleposteparl'excutiondeprogrammesspcifiques.
Avantage:transparentpourl'utilisateur.
Difficult:ncessitd'uncompteadministrateursurtouteslesmachines.
Risque:uneporteestouvertesurlesystmed'extrmit.

2.2Lesystmed'valuation(PolicyDecisionPoint)
Cetlmentdel'infrastructureestcrucialpourlapolitiquedescuritdel'tablissement.partir
desinformationsrecueilliessurlesystmed'extrmit,desinformationssurlamthoded'accs
(rseaufilaire,sansfil,VPN),maisaussil'aided'informationssurlelieuoulemomentdela
demanded'accs,lesystmed'valuationvadciderd'uncontextedeconnexionenaccordavecla
politiquedescurit.

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

14

Lecontrled'accsrseau
Unexemplesimpledesystmed'valuationseraitl'utilisationdesadressesMACdessystmes
d'extrmitpourdterminerleurVLANd'appartenance,lechoixdelamiseenquarantaineserait
faitsil'adresseMACestinconnue.Lacomplexitdusystmed'valuationdpendradelaquantit
d'informationsobtenuesurlessystmesd'extrmitetdelacomplexitdelapolitiqued'accs
mettreenplace.
Cesystmedoittrecapablederejouerl'valuationdemanirergulire,toutletempsdela
connexion,permettantainsideseprmunircontreunchangementd'tatdusystmed'extrmit.

2.3Lesystmedecontrainte(Enforcement)
2.3.1Rledusystmedecontrainte
C'estl'ensembledeslmentsdel'infrastructurerseaupermettantdedtecterlademanded'accs
aurseauetd'appliquerlesdcisionsdusystmed'valuation.
Danslecasd'unNACbassurunmatrielddi(ditappliance)positionnencoupuresurle
rseau,c'estgnralementluiquigreralaconnexiondusystmed'extrmitdanssonensembleet
mettraenuvrelapolitiquedcideparlesystmed'valuation.
SilesystmeNACn'estpaspositionnencoupure(outofband),lesystmedecontrainte
doits'appuyersurl'infrastructureexistante.
Lesactionsclassiquesmisesenuvreparlesystmedecontraintesontlessuivantes:
positionnerlesystmed'extrmitdansunVLANparticulier.
mettreenplacedescontrlesd'accsauxniveaux2,3ou4surlesquipementsdebordure
(commutateursd'extrmit)ouplusprsducurdurseau(routeurs,parefeu,proxy).
grerlaqualitdeservice,labandepassante.

2.3.2Diffrentssystmesdecontrainte
Utilisationd'unserveurddi,positionnencoupure,quicapturel'ensembledes
paquets:
Avantages:facilitdedploiement,gestioncentralise.
Difficults:celapeutcrerunSPOF(SinglePointOfFailure),adaptationlamonteencharge
difficile.
Risque:lessystmesd'extrmitontdjunaccsaurseau(ilssevoiententreeux).

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

15

Lecontrled'accsrseau
Utilisationduprotocole802.1X:
Dfinition:Protocoled'accsaurseau,le802.1XutiliseEAPpourtransporterlesinformations
d'authentificationentreleclientetleserveur.Ilestimplantaujourd'huidanslaplupartdes
quipementsrseau,commutateursetpointsd'accssansfil.Sil'authentificationestvalide,ilest
possibledemodifierlaconfigurationdesportsdumatrielrseauautraversd'attributs,leVLAN
parexemple.
Avantage:isolationauplusprsdelademanded'accs.
Difficults:capacitdesmatrielsexistants,ilfautunclientsurlesystmed'extrmit8,choisirla
mthoded'authentification(EAPMD5,EAPTLS,EAPTTLS,PEAP,etc)
Risque:Dpendantdel'authentificationutilise(ex:EAPMD5estviter)
UtilisationdumcanismeVMPS(VLANManagementPolicyServer):
Dfinition:C'estunetechniqueutilisesurlescommutateursCiscopermettantd'attribuerun
VLANunportenfonctiondel'adresseMACdelamachineconnectesurceport.Ncessiteun
serveurosontenregistreslescorrespondancesentreadressesMACetnumroounomdeVLAN.
Avantage:lasimplicit.
Difficults:maintenancedelabasedeconnaissance(adressesMAC/VLAN),gestionimpossiblede
plusieursadressesMACparport,commutateursCiscoseulementetencoursd'abandonparle
constructeur.
Risque:usurpationd'adresseMAC.
UtilisationduDHCPpourenvoyerlebonprofilIP(adresse,routeur,masque)au
systmed'extrmit:
Avantage:simplicit.
Difficult:aucune.
Risque:lesystmed'extrmitdoitjouerlejeu(nepasutiliserd'adresseIPfixe)

8S'iln'yapasdeclientsurlesystmed'extrmit,laplupartdesmatrielsrseauutilisentla
techniqued'authentificationparadresseMAC(MACAuthBypasschezCisco)permettant
l'utilisationdel'adresseMACcommeloginetmotdepassepourl'authentification,ncessitantalors
unenregistrementpralablesurleserveurd'authentification.
tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

16

Lecontrled'accsrseau
10
Utilisationdetrap9SNMP(
linkupetlinkdown)misparlesmatrielsrseau,
permettantdedtecterlaconnexionphysiqued'unsystmed'extrmit:

Avantage:adaptableunegrandepartiedesmatrielsrseau.
Difficult:aucune
Risques:risquedednideserviceavecdesinstabilitsdeliens,usurpationd'adresseMAC,les
trapsutilisentleprotocoleUDPcequin'assurepasladlivrancedel'information,besoinde
mainteniruntatdel'ensembledesports.

2.4Lesystmedemiseenconformit
Danslecasolesystmed'extrmitn'apastjugcompatibleaveclapolitiqued'accs
(manquedecorrectifsdescurit,pasd'antivirus,checdel'authentification,etc)ilestncessaire
deprvoiruncontexterseauolesystmepourrasemettreenconformit(misejoursystme,
possibilitdetlchargerunantivirus,unebasedesignaturejour,demandedecompted'accs).
Cetteactiondemiseenconformitestparfoisappeleremdiation.
Latechniquelapluscommunmentemployeestl'utilisationd'unVLANspcifiqueredirigeant
letraficversunportailcaptifWebquidoitguiderl'utilisateurdanssamiseenconformit.Quelques
difficultsapparaissentalors:
grerlesmatrielssansnavigateurWeb(imprimante);
habituerl'utilisateurouvrirsonnavigateurencasdesoucis,mmes'ilnesouhaitait
qu'utilisersonclientdemessagerieparexemple;
personnaliserlapageWebenfonctionduproblmespcifique;
Enplusdecesdifficults,unproblmedescuritestgnrenpositionnantdanslemme
rseau des machines potentiellement fragiles. Premirement, il y a un risque de contamination
mutuelle,deuximement,cerseaupeuttreutilisparunattaquant pourtrouverdesmachines
vulnrables.
Uneautretechniqueestbasesurlescapacitsdel'agent,rsidantsurleposte,communiquer
aveclesystmehteoucommuniqueravecl'utilisateur.Surinstructiondusystmed'valuation
l'agentpourraitforcerunemisejourlogicieloudonnerlesinstructionsadquatesl'utilisateur.

9 PaquetSNMPmisparunmatrielrseaulorsqu'unvnementseproduit.
10 SNMP(SimpleNetworkManagementProtocol)estunprotocoledecommunicationpermettantd'administrerles
matrielsrseau.

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

17

Lecontrled'accsrseau

2.5Contrledesactivits
Aprsavoirsubil'ensembledescontrlesetavoirtpositionndanslecontextedsir,un
systmepeutavoiruncomportementnerpondantpaslapolitiquedescurit.Enobservantpar
exemplelabandepassantemonopoliseparunutilisateur,ilpeuttreutiled'utiliserlestechniques
demiseenconformitpourisoleretinformerl'utilisateurdunonrespectdelachartequ'ila
accepte.
Lamiseenplacedesystmededtectiond'intrusions(IDS),comportementalouparsignatures,
peutaussipermettrededciderdelamisel'cartd'unsystmed'extrmitdemaniredynamique.
Danscecas,laractivitdel'infrastructureseprotgerestbonnemaislerisqued'erreurestaussi
important,depluslesrisquesdednisdeservicenesontpasngligeables.

3Solutionslibresetcommerciales
3.1Normalisationdel'agent
3.1.1IETF
L'InternetEngineeringTaskForce(IETF)aconstituungroupedetravail,leNetworkEndpoint
Assessment(NEA).Cegroupedetravail,reconnaissantqu'uncertainnombredeprotocoles
existaientdjdansledomaineduNAC,adciddepublierunensembled'exigencesconcernant
l'aspectclient/serveuraveclaRFC5209.
LeprinciperetenuctclientNEAestconstitud'changesentredescollecteursdeposture
(PostureCollectors)quisontchargsdercolterdesinformationssurleclient.Cescollecteursde
posturetransmettentlesinformationsunbrokerautraversd'uneAPI11quiva,sontour,les
transmettreunouplusieursdemandeursd'accsrseau(PostureTransport)quisontchargs
d'effectuerlapartieauthentificationdel'accsaurseauetd'envoyercesinformationsauserveur
NEA.
Ducotserveur,onretrouvelestroisniveauxavecunediffrenceauniveaucollecteursde
posturepuisquednommicivrificateursdeposture(PostureValidators)(Fig.1).

11 UneAPI(ApplicationProgrammingInterface)estunensembledeprogrammespermettantuneinteroprabilitentre
composantslogiciel.

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

Figure1:NEAReferenceModel

18

Lecontrled'accsrseau

Laprioritdutravaildel'IETFatpositionnesurl'interoprabilitentreclientsetserveurs.Suite
cettepublication,unappelatlancpourrecueillirdespropositionsdespcificationsde
protocolesrpondantauxexigencesdelaRFC5209.Uneseulepropositionatfaitel'IETFavec
lesprotocolesneapatncetneapbtncquidcriventrespectivementlesprotocolesIFM1.0
etIFTNCCS2.0dveloppsparleTrustedComputingGroup(TCG).Uneanalysedecompatibilit
decesdeuxprotocolesaveclaRFC5209estpositionneenannexecesdeuxdrafts.

3.1.2TrustedComputingGroupetTrustedNetworkConnect(TNC)
LeTCGestunregroupementd'industrielsayantpourbut,l'origine,ledveloppementdeceque
l'onappelleuneinformatiquedeconfiance.CrateurduTrustedPlatformModule(TPM),le
groupementproposeunearchitectureouverteetunensembledestandardsconcernantleNAC,le
TrustedNetworkConnect(TNC).L'interoprabilitduTNCavecl'agentMicrosoftNetwork
AccessProtection(NAP)estralisedepuismai2007(Fig.2).

Figure2:ModleTCG/TNC

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

19

Lecontrled'accsrseau

3.2QuelquesacteurscommerciauxduNAC
Les trois principaux acteurs commerciaux du NAC sont actuellement Microsoft, Cisco et
Juniper.Ilestintressantdeconstaterquesihistoriquementlesconstructeursdematrielrseause
sontemparsdumarch,c'estaujourd'huiledveloppeurdesystmed'exploitationetdelogiciels
informatiquesquisembletrelemieuxpositionnpourdominerlemarch.Cechangementest
certainementlerefletdelatendanceembarquersurlessystmesd'extrmitlemaximumd'outils
descurit,unevolutiondjprsenteauniveaudesparefeu.
Ilexistesurlemarchdenombreusessolutions,cemarchn'estpasencoremature,disparition
d'acteursourachatsontactuellementassezcourants.

3.2.1Microsoft:NetworkAccessProtection(NAP)
Source:VidoMicrosoftTechDays2008CyrilVoisin
Quatrefonctionnalits:
conformitlapolitiquedescurit,
miseenquarantaine(optionnelle),
miseniveauautomatique(autoremdiation),
suiviencontinu.
Leclient/agentNAPestdisponiblesur:
WindowsXPsp3,Vista,7,
Windowsserver2008,2008R2,(clientetserveurdelasolutionNAC),
IlexistedesagentspourRedhat,OpenSuse,Suse,Centos,Ubuntu,Fedora,MacOS
(disponibleentreautrechezlevendeurAventasystem
http://www.avendasys.com/products/technologies.phppour802.1XetDHCP),
PassurWindowsmobilepourl'instant.
La politique de scurit est dfinie sur un serveur (Policy Decision Point), vrifie par des
mesuresfaitessurlamachinequiseconnecteetquipossdel'agentNAP.L'agentNAPdoitfournir
unbilandesantdelamachine.
l'agent NAP, sont ajouts diffrents plugins12 SHA (System Health Agent) qui regardent
chacununaspectspcifiquedusystmed'extrmit(antivirus,parefeu,registre,etc).Ducot
serveursontinstalls unNPS(NetworkPolicyServer)quiestunserveurRADIUS (toutesles
12 Unpluginestunlogicielvenantencomplterunautre.

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

20

Lecontrled'accsrseau
demandesd'accspassentparlui),unserveurd'administrationNAPetdesSHV(SystemHealth
Validator)chargsdecommuniqueraveclesSHApourvaluerlesystmed'extrmit.LesSHV
peuventcommuniqueravecdesserveursdepolitique(exemple:serveurdecorrectifs).Lersultatde
l'valuationvaconditionnerlefuturaccsdonnausystmed'extrmit.LeschangesSHASHV
respectent le protocole IFTNCCSSOH du TCG TNC. Les SHA et SHV sont crs par les
vendeursdelogicielspourtreintgrsl'agentNAP(Fig.3).
Cinqmthodesdecontraintessontpossibles:
802.1X:Lebilandesantestfourniaumomentdel'authentificationquin'estpossiblequ'en
PEAP13.Enfonctiondubilandesantlesystmed'extrmitestpositionndansunVLAN.
Pourl'authentificationtroisprocessusdoiventtrelancssurleposte(dot3svc,EapHostet
l'agentNAP).
IPSec14:Laconnexionestacceptesilamachineprsenteuncertificatdebonnesant.La
PKIquidlivrelecertificatdesantestmiseenuvreparleserveurNAPHRA(Health
RegistrationAuthority)enrelationavecleserveurPDP(PolicyDecisionPoint),
DHCP:LebilandesantestdonnaumomentdelarequteDHCP,leserveurDHCP
fournit,soituneadressevalide,soitl'adresseip=0.0.0.0,lemasque=255.255.255.255etune
routeversdesserveursderemdiation.Iln'yapasd'authentification,cesontlesoptions220
MSVendorduDHCPquisontutiliss,
VPN:Lebilandesantestfourniaumomentdel'authentification.C'estl'utilisationde
filtres IP qui permet de dlimiter l'environnement pour le systme d'extrmit.
L'authentificationestfaiteenPEAPoverPPP.C'estleserveurVPNquigrel'ensemblede
laconnexionenrelationavecleserveur(PolicyDecisionPoint),
TerminalServer:RDPoverHTTPS,donneaccsunestationdetravail,unserveurde
terminauxourien,enfonctiondubilandesant.
Auniveaudel'agentNAP,sontpositionns desEC(EnforcementClient)quivontchanger
avec des ES (Enforcement Server) que sont les serveurs VPN, IPSec, etc. La partie auto
remdiationestassureendonnantunaccsauxSHAdesserveursWSUS(WindowsServer
UpdateServices)ouausiteWebdeWindowsUpdateparexemple.Lesuiviencontinuestassur
parlacapacitduserveurdeconformittrel'initiatived'unenouvellevaluation.

13 PEAP(ProtectedExtensibleAuthenticationProtocol)estunemthoded'authentification
14 IPSec(InternetProtocolSecurity)permetdescuriserunecommunicationparl'utilisationdemoyen
cryptographique.

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

21

Lecontrled'accsrseau

Figure3:SchmaMicrosoftNAP

3.2.2Cisco:CNAC
LasolutionNACproposeparCiscoestconstituedediffrentscomposants.
LeNACManagerestuneinterfaceWebpermettantdecrerlespolitiquesdescuritet
degrerlesconnexionsencours.Lesdiffrentsprofilsutilisateursassocisauxvrifications
deconformit,ainsiquelesactionsderemdiation,sontconfigurssurceserveur.LeNac
ManagercommuniqueetgreleNACServer.
LeNACServerestunserveurquivaaccorderounonl'accsaurseauenfonctiondes
informationsrecueilliessurlessystmesd'extrmit.C'estsurceserveurquesontsitusles
profilsdescurit,lesactionsderemdiationetc...Ceserveurpeutfonctionnerencoupure
ououtofbandauniveau2ou3.

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

22

Lecontrled'accsrseau
Le NAC Agent est un agent lger install sur les postes, charg de collecter des
informationssurleposteetdelestransmettrel'ACS(serveurRadiusCisco)aumomentde
lademandedeconnexion.
Descomposantsadditionnelssontaussiproposs.
LeNACProfilerestchargd'valuerlessystmesd'extrmitspcifiquescommeles
tlphonesIP,lesimprimantes,etcCemodulepermetaussidelocaliserphysiquementles
matrielsconnectsetd'appliquerdesprofilsenfonctiond'informationsrcupres.
LeNACGuestServerpermetd'offriretdegrerlesaccspourlesvisiteurs.
LeSecureAccessControlSystem(ACS)estunserveurjouantlerlsdeserveurRadius
ou Tacacs qui va accorder ou non l'accs au rseau aux utilisateurs. C'est lui qui
communiqueaveclesquipementsrseauxsurlesquelslesconnexionssontfaitesenjouant
lerled'authenticatorlorsdeconnexion802.1X.

Le concept dvelopp par Cisco est l'utilisation de l'ensemble des composants du rseau
(commutateurs,routeurs,parefeu,dtecteursd'intrusions...)pourcollecterdesinformationsoupour
appliquerlapolitiquedescuritdcide.

3.2.3JuniperNetworks:UAC
Lasolutions'appuiesurlesprotocoles802.1X,RADIUS,IPSecetsurlesstandardsdu
TCG/TNC.
Lescomposantsdelasolutionsont:
Unagent,UACquisertdeclient802.1Xetrcuprelesinformationssurlamachine
(antivirus,parefeu,niveausystme);toutescesinformationssontenvoyesdansdes
attributsRADIUS,
Unportailcaptifpourlesaccsinvit,
AuthentificationsuradresseMACpourlesimprimantes,etc,

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

23

Lecontrled'accsrseau
Uneappliance,ICSeriesUAC;c'estunRADIUSpourlapartieAuthenticatordu
protocole802.1X,quiprendlesdcisionsdudevenirdelaconnexionetagitsurlesystme
decontrainte,
Suivantl'infrastructurerseau,lesystmedecontraintepeuttrerduitauxcapacitsdes
commutateurscompatibles802.1Xetnes'appliquealorsqu'auniveau2.Avecdes
quipementsJuniper(commutateurs,parefeu,IPS15,VPN..),ilestpossibled'exercerdes
contraintesdeniveau27.AveclescommutateursJuniper,descontraintessontpossibles
surlabandepassante,laQoSetd'autresfonctionnalits.(Fig.4)
Lesphasesd'authentificationetd'valuationpeuventtrerptesrgulirement.

Figure4:SchmaJuniperUAC

3.2.4Enterasys
C'est une solution axe multiconstructeurs, Enterasys coopre avec Microsoft et sige au
TCG/TNC.
PourlasolutionOutOfBand:
uneapplianceNAC,c'estunproxyRADIUSquis'appuiesurlesmthodesd'authentification
classiques.
deslogiciels(etbriqueslogiciels)surappliance/ousurserveur(Netsight/NACManager).

15 IPS(IntrusionPreventionSystem)estunsystmededtectiond'intrusioncapablederagirentempsrelpour
bloqueruntraficindsirable.

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

24

Lecontrled'accsrseau
Quatrebriquesfonctionnellesprincipales:
Visibilit

des

informations

associations
16
UserName/MAC/OS/IP/DNS /Commutateur/Port/... en temps rel et conservation de
l'historique.Ladterminationdessystmesd'exploitationestbasesurunmcanismede
prised'empreinteDHCP,
Accs:Utilisationduprotocole802.1Xetdel'authentificationsuradresseMAC(dansce
casc'estl'appliancequiterminelasessionEAP),interfaagepossibleavecnotreIPMau
traversd'exportdefichiercontenantlesadressesMAC,uneautrefonctionnalit:leAAA
MACLockingquipermetdeverrouillerlapositiond'uneadresseMACsurunportde
commutateur,
Rseauinvit:c'estunportailWeb,l'enregistrementdel'adresseMACpeuttresponsorise
parunepersonnetiers,sinonl'obtentiond'uncomptesuffitauxvisiteurspourvaliderleurs
adressesMACsurleportail,
Lapartievaluationestcomposedetroispossibilits:
agententerasys(iln'estpaslourd,dixitEnterasys,carc'estunprocessusunique),ilpeut
tre temporaire (Code Java dans .exe) ou bien permanent (ncessite un accs
administrateursurleposte).LesOSsupportssontWindows,MacOSX(bientt...)maispas
Linux.
LeNAPdeMicrosoftestsupport(danslefutur,possibilitdemodifierlesinformations
enprovenancedel'agentNAPpourlapartie valuation),leserveurNAPMicrosoftest
ncessaire.
Sansagent:desconnecteursexisteavecleslogicielsNessus17eteEye18,ilestaussi
possibledvelopperd'autresconnecteursautraversd'APIXML19.
Pourlapartiepostconnexion:
rptitionpossibledesphasesd'authentificationetdevrification.
action sur vnement (logiciel spcifique en plus) sur messages SNMPV3 (gnrs par
IDS,parefeu,....),actionetnotificationauNACcequivitelesproblmesdechangement
deprisedel'utilisateurfuyantlesrestrictions.
Exemplededploiementralis:l'UniversitdeCarolineduNordavec25appliancesdployes
(2serveurspour3000machines),lapartievaluationn'apastmiseenplace.
16 DNS(DomainNameServer)estunsystmedenomdedomainepermettantdefairelelienentreunnomdedomaine
etuneadresseIP.
17 Nessus:logicieldedtectiondevulnrabilits.
18 eEye:logicieldedtectiondevulnrabilits.
19 XML(ExtensibleMarkupLanguage)successeurduhtml,c'estunlangagedebalisageextensible.

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

25

Lecontrled'accsrseau

3.3QuelquessolutionslibresouopensourceautourduNAC
3.3.1PacketFence
www.packetfence.org
Projetactif
BassurlarcuprationdetrapSNMP(linkup/down)commedclencheurduprocessus;Au
dpart,touslesportsdescommutateurssontconfigursavecunVLANnommMACdetection.
L'valuationestbasesurunscanNessuspuislechoixduVLANestfaitpartirdel'adresseMAC
duposte,VLANdemiseenconformit(portailWebcaptif),VLANd'enregistrement(portailWeb
captif)ouVLANlgitime(connupartird'unebasededonnes).L'outilpeuts'interfaceravecle
protocole802.1XetFreeRADIUS.L'outildedtectiond'intrusionSnortestutilispourmodifierle
contextedeconnexionencasdebesoin.

3.3.2RingsSecurityAnalyser
www.technology.ku.edu/kuanywhere/analyzer.shtml
Enproductionactuellement
Crl'UniversitduKansas,c'estunportailWebquiutiliseuneappletJavapourvaluer
(systme,logicielantivirus,etc)lesmachinescherchantaccderaurseau(autorisationvalide
pendantseptjours).Encasd'chec,lesaccssontrduitsauxsitesdemisesjourdelogiciels,
d'antivirus,...

3.3.3FreeNAC
www.freenac.net/fr
Projetactif
PrsentcommeoffrantunegestionsimplifiedesVLANs,uncontrled'accsaurseauetun
outild'inventaire,FreeNacestbasprincipalementsurleprotocoleVMPS(authentificationsur
adresseMAC).Ilpermetaussil'utilisation802.1XeninteractionavecunserveurRADIUS.La
partievaluationn'estpasvraimentpriseencompte.

3.3.4Projetsnonactifs
Netpass.sourceforge.net
Dernierdocumentdatantde2005

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

26

Lecontrled'accsrseau
Pardfautlessystmesd'extrmitsontpositionnsdansunVLANdequarantaine,celuici
laissepasserlesrequtesDHCPetDNSmaisbloqueletraficWebsauflisteblanche(sitesdemise
jour).L'valuationestfaiteavecNessus,silaconformitestbonne,leserveurNetPasschangele
VLANduposte.Unervaluationestpossibleintervallesrguliers.
Ungoliant(Shelob)
ungoliant.sourceforge.net
Derniresnewsen2007
BassurOpenVMPS,leprincipeestd'isolerlessystmesd'extrmitenlespositionnanten
quarantainesileurscomportementsrseaunesontpasenadquationaveclapolitiquedescurit.

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

27

Unesolutionpourl'Universit

Unesolutionpourl'Universit
Lesobjectifsprincipauxd'unesolutionNACpourl'Universitsonticilalimitationdel'accsaux
systmesautorissetlacapacitderpondreauxquestionsqui?quoi?o?etquand?,maisc'est
aussidemettreenuvredesoutilspermettantlamiseenquarantainedessystmespotentiellement
dangereux.Enfin,c'estlasimplificationdesconfigurationsdesmatrielsrseauafindebaisserle
coupdegestiondecesdernierstoutengarantissantl'applicationgnraliseducontrled'accs.

1Lecontexte
1.1Architecturerseau
Lerseauactuelcomporteplusde80VLANsdistribussur330commutateurs(Cisco)deniveau2
et175pointsd'accssansfil(Cisco).Lecurdurseauestconstitud'uncommutateurrouteur
6513CiscoquiassureleroutageinterVLANsetlaconnectivitversdesparefeupourl'accs
Internet.LessitesuniversitaireshorsRennessontrelisenniveau2et/ou3.
TroismodlesdecommutateurCiscoassurentlaconnectivitdesutilisateurslapriphriedu
rseau:Cisco3500,2950et2960.L'htrognitdecesmatrielsadesconsquencesimportantes
surles possibilits demiseenuvred'unNAC(voir1.2.2).La technologie CiscoVMPS qui
permetl'attributiondynamiquedeVLANparportenfonctiondel'adresseMACestactuellement
miseenplacepourcertainesprisesrseaudisponiblesaupublic(amphithtre,salledecours,salle
derunion).
Pourlesaccssansfil,deuxrseauxonttdploys.UnSSIDUniversit_Rennes1donnant
accsunportailWebavecunedoubleauthentificationpossible,soitreposantsurunefdration
d'identit regroupantlesuniversits bretonnes soitparlogin/motdepassepourlesinvits.Le
deuxime SSID eduroam fait partie du rseau international Eduroam (voir
http://www.eduroam.orget http://www.eduroam.fr/fr)etoffreuneconnexionscuriseavecune
authentificationforteEAPTTLSparl'utilisationduprotocole802.1X,uneattributiondynamique
deVLANestfaiteenfonctiondel'identitdel'utilisateurbased'informationscontenuesdansle
serveurLDAP20del'Universit(voir1.2).
LesaccsVPNsontgrsl'aidedematrielsetlogicielsdelasocitIPDivaquibasent
l'authentificationetlaconfigurationdesconnexionssurlesinformationsfourniesparleserveur
LDAP.
L'UniversitdeRennes1atpionniredanslamiseenplacedetlphoniesurIPgrandechelle.
Aujourd'huic'estprsde1000postesIP(Aastrai740eti760)quisontdploys,plusde200postes
SIP21 (Aastra675XX).LaparticularitduterminaltlphoniqueIPestqu'ilcomporteenluiun
commutateurdeuxports,l'unpourlaconnexionaurseaulocaldel'tablissementetl'autrepourla
connexionduterminalinformatiquedel'utilisateur.Cettecaractristiqueletransformeenunpseudo
quipementrseausanstoutefoisenpossdertouteslescaractristiquesclassiques,dupointdevue
dumanagementetdecertainescapacits(802.1xparexemple).
20 LDAP(LightweightDirectoryAccessProtocol)estunprotocoled'changepourunserviced'annuaire.
21 SIP(SessionInitiationProtocol)estunprotocoledegestiondesessionmultimedia,principalementdevoixsurIP.

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

28

Unesolutionpourl'Universit

1.2Outilsdegestion
LeCRIamisenplace,depuisenvironunan,unlogicielpourlagestionduDNS,duDHCPetdu
VMPS.CetoutilIPManagerestconstitud'unebasededonnesol'onretrouveadresseMAC
etIPmaisaussilenumrodeVLAN,lenomduresponsabledelamachineetdesinformationssur
sontype(serveur,imprimante,postepersonnel).
Le systme d'information de l'Universit repose en partie sur une base LDAP dans laquelle
l'ensemble des personnels et des tudiants est prsent. Deux champs UR1Vlan et
UR1VlanForcsontprsentsetcontiennentdesnumrosdeVLANquisontutilisslorsde
connexion au rseau Eduroam pour dterminer le rseau auquel souhaitent se connecter les
utilisateurs.

1.3Gestiondespostesutilisateurs
LepledeproximitduCRIestchargdegrerunensembledepostes(salleslibreservice,postes
d'unepartiedupersonnel)maisuncertainnombredepostessontadministrsdirectementparleurs
utilisateursoupardesinformaticiensauseindesUMR 22.Suivantlesystmed'extrmitconsidr,
lesinterlocuteurssontdonctrsdiffrents,cecirendlamodificationd'unepolitiquedegestiondes
postespluscomplexemettreenplace.

2Mthodologie
UnefoislapartiedocumentaireralisesurleNAC,j'airencontrl'ensembledespersonnelsdu
CRI du ple proximit afin de leur prsenter le projet et de dterminer avec eu, les besoins
existants,derpondreleursinterrogationsetdedcouvrirlesdifficultspotentiellesdanslamise
enplaceduNAC.L'objectiftaitaussiderespecterleursmthodologiesdetravailetdenepas
modifierleursoutilsd'administrationafinquelecontrled'accsaurseausoitunserviceetnon
unecontrainte.
Lapriseencomptedesvolutionsfuturesenvisages(miseenplaced'unActiveDirectory 23)ou
dbutes(appeld'offrepourunoutild'inventaire)sefaitenimposant lasolutionunegrande
capacitd'volutionetd'adaptation.
Unetudetechniquesurlesdiffrentsmatrielsrseaudel'Universitaensuitetmeneafinde
dterminerlescapacitsrespectivesdechacund'entreeuxfaceaubesoinduNAC(voirpartie3).
Enfinunemaquetteatmiseenplaceafindeproposerunesolutionetdepermettrerapidementle
passageunephasedetestsurunepartielimitedurseau.

22 UMR:UnitMixtedeRecherche
23 ActiveDirectory:Serviced'annuairemisenuvreparMicrosoft

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

29

Unesolutionpourl'Universit

3Lescontraintestechniques
3.1Capacitdesmatrielsrseau
3.1.1Cisco3500
Cematrielrseaun'estplusenproductionetplusenventeaujourd'hui,iln'ypaseudemisejour
dusystmedepuisavril2007.Ilresteencoreunecentainedecesmatrielsl'Universit,enversion
24ou48ports,iln'estdoncpaspossibledeproposerunesolutionsanslesprendreencompte.Leurs
fonctionnalitstechniquespotentiellementutilisablesdansl'optiquedelamiseenplaced'unNAC
sontaunombrededeux,leVMPS,etlalimitationparportuneadresseMACparticulire.
LeVMPS,djutilisl'Universit,attribueunVLANunportenfonctiondelapremireadresse
MACseprsentantsurceport,sid'autresadressesseprsententsurlemmeportceluicisera
coup si le VLAN d'appartenance est diffrent du premier VLAN attribu. Ce fonctionnement
empchel'utilisationdestlphonesIPlorsqu'ilsontutilissentrelapriserseaudurseaulocalet
leposteinformatiquedel'utilisateur.
Ladeuximefonctionnalitpermetdelimiterl'accsunportuneadresseMAC,l'utilisationde
cegenredetechniquepourraitsefairepourdessallesinformatiquesolebranchementd'autre
systme serait interdit. Deux aspects de cette fonctionnalit sont problmatiques, tout d'abord,
chaque port de commutateur doit avoir une configuration particulire ce que gnre un poids
administratiftrsfort,deuximement,cesystmeesttrscontraignantcarillimiteledplacements
despostes,contradictoireaveclesbesoinsdemobilitexprimsdenosjours.
Lescapacitsintrinsquesdecematrieln'apportedoncpasdesolutionnotreproblmatique.

3.1.2Cisco2950
Ces quipements rseau, successeurs des 3500, sont en fin de vie ct constructeur. Outre les
fonctionnalitsdes3500ilsapportentcommefonctionnalitsutilesauNAClatechnologie802.1X.
Avec un client 802.1X sur le systme d'extrmit l'authentification se passe normalement.
Malheureusement,pourlessystmesd'extrmitdpourvusdeclient802.1Xilestalorsimpossible
d'obtenirunaccsaurseauautraversdesportsconfigursaveccettefonctionnalit.Danscecas,le
cot d'administration de cette solution, passage d'une configuration 802.1X une autre
configuration (VMPS par exemple) serait trop important et ne rpondrait pas l'objectif
d'uniformisationdesconfigurationsetdesimplificationdel'administration.

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

30

Unesolutionpourl'Universit

3.1.3Cisco2960
Les2960implmententlesfonctionnalits802.1Xcommeles2950maisontunefonctionnalit
supplmentaire,appelechezCiscoMACAuthenticationBypass.Cettefonctionnalitpermet
deconfigurerunporten802.1Xetdanslecasoaucunclient802.1Xn'estprsentsurlesystme
d'extrmit (imprimante) le commutateur utilise l'adresse MAC vue sur le port comme nom
d'utilisateuretcommemotdepassedansleprocessus802.1X.Cecipermetuneidentification
l'aidedel'adresseMACcequincessite(commepourleVMPS)d'avoirunserveursurlequelsont
rfrenceslesassociationsadresseMAC/VLAN.
Il n'est pas possible, avec les 2960, d'authentifier diffrents clients sur un mme port qu'ils
appartiennentoupasaummeVLAN,maisilestpossibled'autoriserd'autresadressesMACse
connectersansauthentification,leportrestantconfiguravecleVLANdelapremireadresse
MACvue.PourdesraisonsdescuritilfaudralimiteruneadresseMACparport,cequiposera
des problmes si des commutateurs de bureau sont utiliss pour connecter plusieurs postes
derrirelammepriserseau(cettepratiqueesttrsrpandue).
UnepartiespcifiquedelaconfigurationdesportsestconsacrelatlphoniesurIP.Lespostes
tlphoniquesIPpeuventtreidentifisen802.1X,soitparl'adresseMAC,soitl'aided'unclient
embarqusurletlphone,commetoutsystmesd'extrmit.Siletlphoneutiliseunmarquagede
type802.1q24 pourleVLANvoix,lenumroduVLANvoixdoittreconfigurendursur
l'interface.Ceciposeunproblmecarl'UniversitdevrautiliseraumoinsdeuxVLANdistincts
pourcestlphonesIPd'iciquelquesmois.

3.2LestlphonesIP
Positionnsentrelescommutateursdepriphrieetdespostesinformatiques,lestlphonesIP
complexifient lamise enplaced'unsystmed'identification/authentification. Les tlphones du
constructeurchoisiparl'Universitnepermettentpasuneauthentificationen802.1Xentreleposte
informatiqueetlecommutateur,contrairementd'autrestlphonesIPcommeAvayaouCiscoqui
possdentunefonctionnaliteappassthrough(unedemanded'volutiondestlphonesAastra
atfaite).CeciobligedonceffectueruneauthentificationbasesurlesadressesMACdespostes
informatiques.
Pourcequiestdel'identificationmmedestlphonesIP,seulslestlphonesSIPontlapossibilit
des'identifieren802.1xparl'utilisationdeMD5ouEAPTLS.

3.3Testsurd'autrescommutateurs
3.3.1AlliedTelesis800GS
Les ports de ces commutateurs ont la capacit de faire simultanment de l'authentification par
adresse MAC et par 802.1X. Le mode Multiples Sessions est support, permettant
l'authentificationdeplusieurs quipements,danslecasd'uneassignationdynamiquedeVLAN,
24 802.1q est un mcanisme d'encapsulation de trame permettant d'effectuer un marquage
identifiantleVLANd'appartenancedecettetrame.
tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

31

Unesolutionpourl'Universit
chaquesystmed'extrmitseraplacdanssonVLAN,enrevanche,iln'estpaspossiblequ'unde
cesVLANsoittagg(802.1qparexemple).Cecisignifiequ'ilestpossibled'avoirsurunmmelien
physiquedesquipementsquinedevraientpastrevisiblesentreeux,uninvitetunadministrateur
rseauparexemple,cequidupointdevuedelascuritnerpondpasauxexigencesdesparation
des trafics. Il est possible d'avoir des tlphones IP mettant du trafic tagg, dans ce cas, les
tlphonesnesontpasauthentifis.

3.3.2Enterasys
Encours...

4Solutionretenue
4.1LesCritresdcisionnels
4.1.1L'architecture
Unedesdeuxarchitecturespossiblesappeleinbandconsistepositionnerunmatrielen
coupure, la manire d'un portail captif, afin de contrler l'ensemble du trafic des systmes
d'extrmit.Cettesolutionatcartecarprincipalementdestinedepetitsrseaux,lesflux
etl'architectureactuelledurseaudel'Universit,plusdequatrevingtVLAN,nepouvanttrepris
enchargeparlesmatrielsproposs(oudescotsprohibitifs).C'estdoncunesolutionditeout
ofbandquiestchoisie.Cellecinetraitepaslesfluxdessystmesd'extrmitmaisestchargede
dterminerl'environnementrseaudanslequelpositionnercessystmesd'extrmitenfonctionde
lapolitiquedescurit.

4.1.2Authentification/Identification
Identifieretauthentifiersontlespartiesimportantesdeceprojet.L'idalauraittd'avoirune
authentificationforte,detype802.1X,pourl'ensembledesaccs.
Les contraintes techniques (tlphonie sur IP, capacit des matriels), m'ont amen baser
l'identification sur la reconnaissance des adresses MAC pour les commutateurs d'anciennes
gnrationsparrcuprationdeTrapSNMPlamaniredelasolutionPacketFence.Celogicieln'a
pastretenucomptetenudesbesoinsd'intgrationavecl'infrastructureexistanteetdel'objectif
finalquiestl'utilisationdu802.1x.Pourles commutateurs 2960,l'utilisationdelatechnologie
MacAuthentificationBypasspermettradepallierlesdifficultsactuellesdedploiementde
client802.1Xsurlespostesutilisateurstoutenpermettantsamiseenplacedanslefutur.

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

32

Unesolutionpourl'Universit

4.1.3Lecontrledeconformit/valuation
Dans l'attentedesrsultatsdel'appeld'offreconcernantunsystmed'inventaire,etdoncdu
dploiement ventuel d'un agent surles systmes d'extrmit, ainsi que le besoin degrer des
systmessansagent(imprimantes,camraIP,etc),lechoixs'estportsurl'utilisationd'outilsrseau
spcialiss(scannerdevulnrabilit,prised'empreinte).Cesoutilsdevrontpermettredercolterun
maximumd'informationssurlessystmesd'extrmitafindevaliderleursconformitsauregardde
lapolitiquedescuritdel'tablissement.L'valuationserafaiteaprsl'authentificationdanslebut
deprivilgier,dansunpremiertemps,l'accsaurseauparrapportauxrisquesencourus.
Uneattentionparticuliredoittreportesurlacapacitdelasolutionproposeintgrerde
nouveauxoutilsettraiterlesinformationstransmisestraverslelogicield'inventairequisera
choisi(unemodificationdel'appeld'offreinventaireatfaiteencesens).

4.1.4Systmed'valuation
Lesystmed'valuationdoittreencapacitd'appliquerlapolitiquedescuritenfonctiondes
informationsrcupressurlesystmed'extrmit:authentification,identit,conformit,lieuet
momentdelaconnexion...
Parsoucidesimplicitetdesouplesse,j'aichoisid'utiliserunordrehirarchiqueetlinairepour
letraitementdesinformationsdelademandedeconnexion.Enpremierlieu,c'estl'identificationqui
est prise en compte, ensuite seront consultes les exceptions (de lieu de temps) puis c'est la
conformitquientreenjeu(facteurleplusimportant).Unsointoutparticulierdoittreapportau
systmed'valuation,l'acceptationparlesusagersdelamiseenplaced'unesolutiondecontrle
d'accspasse,engrandepartie,parlapertinencedesdcisionsprisescettetape.

4.1.5Systmedecontrainte
Le systme de contrainte doit permettre d'imposer l'environnement rseau dtermin par le
systmed'valuation.Dansuneinfrastructureoutofbandetunrseaucommut,lasolutionla
plussimpleetefficaceestlepositionnementdusystmed'extrmitdansunVLANchoisiparle
systmed'valuation.C'estunserveurRadiusquiserautilispourjouercerle.

4.1.6Lamiseenquarantaine
Lamiseenquarantaineestunpointimportantauseind'unprojetNAC.Lacapacitinformer
administrateurs et usagers doit faciliter l'acceptation de cette quarantaine. La qualit des
informationsprsentespermettraderduireletempsdemisel'cartdessystmesd'extrmit
concerns.N'oublionspasquelebutestdefournirdesservicesrseauxauxusagers.
C'estdanscetespritquelechoixd'unVLANmunid'unportailcaptifayantlacapacitfairele
lienentrelessystmesvissetlescausesdeleurmiseenquarantaineatdcid.Ceportailcaptif
devrapermettreauxusagersdesemettreenconformitaveclapolitiquedescurit(travers
l'accsunserveurdemisejourparexemple).Ceportaildevraaussipermettre,danscertainscas,
tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

33

Unesolutionpourl'Universit
l'usager de sortir de lui mme de l'tat de quarantaine. Cette possibilit doit apporter de la
souplessedansletraitementdessituations,ilpermet,parexemple,delaisseruncertaintemps
l'usagerpoursemettreenconformit.
Lacrationd'unVLANdestindesmachinespotentiellementvulnrablesn'estpasexemptde
risques,c'estunrseautrsintressantpourunattaquant.Ilestdoncncessairedemettreenplace
desoutilsdesurveillancedanslebutderduirecerisque,laprsencerpteouprolonged'une
machinedansceVLANpeuttreunbonindicateurderisque.

4.1.7Administrationdelasolution
Pour faciliter l'administration d'un systme de contrle d'accs, plusieurs points sont
fondamentaux.
Toutd'abord,ilfautpouvoirutiliserleslmentsdusystmed'informationdjenplace,ici,le
LDAPdel'UniversitetlelogicielIPManager(gestionDHCP,DNS,VMPS).
Ensuite,lesinterventionsmanuellesdoiventtrelimitesetrapides,parexemple,siladcision
demiseenquarantained'unsystmed'extrmitdoittrefaitparunadministrateur(alertpar
messagerie),unliendanslemessagedevraitpouvoiractivercettequarantaine.
Enfin,c'estl'accsauxinformationsportantsurl'ensembleduprocessusquidoittredisponible
rapidement, que cela concerne les connexions en cours ou bien celles passes. La recherche
d'informationdevratrepossiblesuivantdiffrentscritres,identifiant,adresseMACouIP,dates,
lieux...

4.1.8Cotfinancier,retoursurinvestissement,risquesstratgiques
L'tatdumarchconcernantlecontrled'accsaurseauestencoreinstable,lesacteursdece
marchsonttoujourslarecherchedeleurpositionnementdfinitif.Mmesicertainestechnologies
semblenttredfinitivementchoisies(802.1X),lerleetlefonctionnementdesagentsnesontpas
encorestabiliss.Ilsembleaujourd'huiprmaturdeselierunconstructeurdematriels,un
fournisseur desystme d'exploitation oude logiciels, pourun parc de systme trs htrogne
commeceluidel'Universit.Lecotfinancierd'untelinvestissement,(240000Eurosprixpublic
pourunepropositionpourl'ensembledel'Universit),n'estpasenadquationaveclesservices
offerts.

4.1.9Conclusion
La mise en place d'une solution maison base sur le systme d'information existant et
s'appuyantsurdeslogiciels/outilsdjmatriss(FreeRadius,Nessus,portailWeb,basededonnes
MySql)devraitpermettred'obtenirdesfonctionnalitsprochesdesproduitscommerciauxactuels.
Cettesolution,peucoteuse,peutaussitreenvisagedansuneperspectivededploiementpetite
chellepourvaliderlafaisabilitdelamiseenplaced'uncontrled'accsetl'acceptabilitdece
nouveaucontrleparlesusagers.

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

34

Unesolutionpourl'Universit
Cette solution permettra la mise en place d'une authentification forte (802.1x) l o les
quipementsrseaulepermettent.Ledploiementd'agentembarquseraalorspossiblemoyennant
lamiseenplaceduserveurspcifiquecorrespondant.L'authentificationparadresseMACsera
possiblepartout,permettantd'identifierles systmesd'extrmitsans clientouconnects des
quipementsplusanciens.

4.2Lasolutionpropose
4.2.1Schma

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

SchmadelapropositionNACpourl'UniversitdeRennes1

35

Unesolutionpourl'Universit

4.2.2Description/Miseenoeuvre
Cequiatfait
LeserviceRadius
Commeaveclaplupartdessolutionscommerciales,labriqueprincipaledelasolutionproposeest
base sur un serveur Radius (ici RedHat Entreprise et FreeRadius). Le serveur est charg
d'authentifierlesconnexionsetdemettreenplacel'environnementrseaudcidparlapolitiquede
scurit en fonction des informations recueillies sur les systmes d'extrmit. Les modes
d'authentificationmisenplacesontEAPTTLS 25,PEAPetauthentificationparadresseMAC.Les
informationsrelativesauVLAN attribuerseront,soitextraitesduLDAP(pourEAPTTLSet
PEAP),soitextraitesd'unfichierassociantadressesMACetVLAN.Cefichierseracomposdes
informationsissuesdel'IPManager(misesjourrgulirement),compltesparlesmodifications
gnresparlesmodulesdegestiondesexceptionsetdePolitiquededcision.
Moduledegestiondetrap
Pourles commutateurs 3500et 2950,limits dans leurs fonctionnalits d'authentification,deux
programmesonttcrit,Trap_Mac_Notification.pletTrap_Link_Down.pl,lepremierest
chargdutraitementdestrapsmisparlescommutateurssignalantl'apparitiond'uneadresseMAC
surunport(CISCOMACNOTIFICATIONMIB::cmnHistMacChangedMsg),lesecondtraiteles
link down . C'est la configuration du fichier snmptrapd.conf sur lequel s'appuie le dmon
snmptrpadquipermetdediffrencierlestrapsmiesparlescommutateurs.
Trap_Mac_Notification.plestchargdefaireunerequted'authentificationauprsdu
serveurRadiusenutilisantl'adresseMACcontenuedanslestraps.Enfonctiondelarponse
obtenue,leprogrammeutilisedesappelsSNMPpourreconfigurerleportducommutateuravecsoit
leVLANpardfautsil'identificationchoue,soitavecleVLANfournidanslesattributsRadius.
Enfait,ceprogrammeagitcommeauthenticatordansleprotocole802.1Xlorsd'une
identificationavecadresseMAC.
Moduled'importationdesinformationsd'IPManager
LeprogrammeImport_MAC_VLAN_from_IPM.plextraitdelabasededonnesdulogiciel
IPManagerlesadressesMACenregistresl'UniversitainsiqueleursVLANd'appartenance
etleschampscontactetcommentairesassocis.Cesinformationssontensuiteenvoyesvers
un fichier mac2mab_IPM.txt permettant la cration du fichier mac2mab utilis par le
serveurRadiuscommerfrencedesadressesMACetdeleurVLAN.
IlafallucrireunautreprogrammeGet_Vlan_Name_to_Number.plchargpoursapartde
construirelacorrespondanceentrelenomdesVLANetleursnumroscarceuxciapparaissentdans
IPManagersousleursnomsalors qu'ilsdoiventapparatresousformedenumrodansles
25 EAPTTLS(EAPTunneledTransportLayerSecurity)mthoded'authentificationutilisantdescertificatsX509.

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

36

Unesolutionpourl'Universit
attributsRadius.CeprogrammeutiliseSNMPafind'interrogerlesmatrielsrseauxsurlesquelsest
dclarl'ensembledesVLANdel'Universit.
Moduledegestiondesexceptions
Cemodule(fichiersGest_Exception_Info.txtetGest_Exception.pl),permetdemodifier
leVLANattribuuneadresseMACafindegrerdiffrentesexceptions,basessurlapriseen
comptedumomentdelaconnexion.
ModuledePolitiquedeDcisions
Cemodulesertd'interfaceentrelesoutilsrseauxpermettantdercuprerdesinformationssur
lessystmesd'extrmitetlesactionsmenerencasd'infractionlapolitiquedescurit.Les
actionsmisesenuvreserontsoitautomatiquesenagissantdirectementsurunemodificationde
VLANsoitmanuellesenalertantlesadministrateurspouruneprisededcision.
DanscecadreleprogrammePdD_Nessus.plpermetlagnrationdecourrielslistantles
machinesdtectesparNessuscommepotentiellementdangereuses,desliensWebl'intrieurdu
courrieldevraientpermettrederendreeffectivelamiseenquarantaine.
LamiseenquarantainecorrespondlamodificationduVLANattribuuneadresseMAC.Les
programmes Quarantaine_Ethernet.pl,Quarantaine_IP.pletQuarantaine_Uid.plseront
chargs de la mise en quarantaine partir des informations suivantes: base de donnes des
connexions,datededtectionduproblmeetadresseIPouidentifiant.
Moduledelogdesconnexions
Cette base de donnes (SQL) permet de stocker toutes les informations concernant les
connexionsainsiquelesactionsdemodificationdeVLAN,quellequ'ensoitl'origine.
Ces informations sont utilisables par certains modules (le portail web par exemple) et
consultablesautraversd'uneinterfacewebquidevratresuffisammentvoluepourfaciliterles
tchesd'administration.
Moduleliant@MACet@IP
Le lien entre adresse MAC et adresse IP n'existe pas directement, le programme
Info_IP_From_Gateway.plrsoutceproblme.ParinterrogationSNMP,lestablesARPdes
routeursetparefeusontrcupresintervallergulier(5minutesactuellement)afindemettre
jourlabasededonnes.

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

37

Unesolutionpourl'Universit
Cequ'ilrestefaire
Leportailwebdemiseenconformit
L'interfaced'administration
Quelquesidesenplus
ModuleACL
Cemodulepourraitpermettredegrerdesmodificationsd'ACLsurlesquipementsdetype
routeurouparefeu,parexempleeninterdisantletraficinterVLANdepuisuneimprimante,ce
modulepourraits'appuyersurlesinformationsrecueilliesdanslabasededonnesdulogicielIP
Manager.
Scriptd'tudecomportemental
Lesinformationsrcupresparlesdiffrentsoutilsmisenplacecomparesauxinformations
contenuesdanslesbasesdedonnes(IPM,LDAP)permettradedtecterlesincohrences,qu'elles
soientvolontairesounon,parexemplesurlanatureduposted'extrmit(imprimante/stationde
travail/serveur).Icic'estl'usurpationd'adresseMACquiseradtecte.
L'tudedesdplacementsdessystmesd'extrmitsurlerseaupourraaussirvlersoitdes
dysfonctionnement,soitdesusagesrisque,parexemplelepassaged'unVLANunautre,d'un
portableoubienl'utilisationparplusieurspersonnesd'unmmeposte.
Dtectiondepostescorrompus
L'utilisationd'unIDSdanslecadred'uneinfrastructureNACestutilepourreprerdesmachines
connectesaurseaudel'Universitayantuncomportementanormalenversd'autresmachines(sur
lerseaulocalouversInternet).Lepositionnementd'unIDSsefaitenfonctiondesbutsrecherchs,
iciilseraitplacpourpouvoirsurveillerl'ensembledutraficprsentsurlerseaulocal.Vule
volumedetraficetdelastructuredurseau,deuxsolutionssontenvisageablesetpotentiellement
complmentaires:1.Unesurveillancedutraficsortantdurseaudel'Universit,miseenuvresur
lefuturparefeudel'Universit,permettraitdedtecterlesmachinesparl'analysedeleurtrafic
Internet.2.Unesurveillancedel'ensembledestraficslocauxdechaqueVLANparlamiseenplace
d'uneinterfaceenportmiroirquircolteraitlesflux.Laquantitdedonnespourraitncessiter
l'emploideplusieursmachines.

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

38

Unesolutionpourl'Universit
Limitationd'accsenfonctiondulieudelaconnexion
Enautorisantlaconnexiond'unemachinesurunseulportdecommutateuroul'intrieurd'un
btiment, ce module pourrait rpondre des besoins spcifiques comme la gestion de salle
informatiqueparexemple.
Interactionavecd'autressystmes
Il est tout fait imaginable de coupler l'autorisation de connexion avec d'autres systmes de
scurit.Parexemple,larcuprationdesinformationsissuesdescontrlesd'accsphysiquesaux
btimentpourraitservirdeprcondition,ainsiseuleslespersonnesvalidesparl'accsphysique
auraitledroitd'accsaurseaul'intrieurdubtimentoudulaboratoire.

4.2.3Testetmiseenproduction
Lamisel'preuvedelasolutionproposeseferasurleslieuxdeconnexiondespersonnelsduCRI
appartenant au ple de proximit afin de bnficier de leurs expertises techniques quant aux
ventuellesdifficultsrencontres.Suitecettetapedetest,certainsperfectionnementsseront
certainementapportslasolutionetunearchitectureadaptelamiseenproductionseramiseen
place (redondance des serveurs Radius, rpartition de charge, etc... ). L'tape suivante de
dploiementpasseraparlascurisationd'uneUMRdel'Universit,celleciseferaendeuxphases;
lapremire,sansmiseenquarantainemaisavecsignalisationduproblmeauxadministrateursetla
secondeavecmiseenquarantaine.L'objectif longtermeestd'exerceruncontrled'accs au
rseausurl'ensembledespointsdeconnectivitdel'Universit.

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

39

Conclusion
Lamatrisedesaccsaurseauestindispensablepourassurerunniveaudescuritsatisfaisantdu
systme d'information. L'tude mene ici montre que dans un environnement complexe et une
infrastructurevieillissante,ilestdifficiledemettreenplaceunconceptcommeleNACquis'appuie
surdestechnologiesnouvellesetdesmatrielsrelativementrcents.Ilesttoutefoispossiblede
mettreenplace,dsaujourd'hui,leslmentsncessairesaucontrled'accsaurseauafin,dansun
premiertemps,defamiliariserlesutilisateursetlesadministrateurscecontrle,cequiestdjle
caspourlesaccssansfilmaisbeaucoupmoinspourlesaccsfilaires,et,dansundeuximetemps,
dedvelopperpeupeutousleslmentsd'unNAC.Lerecueild'informationspertinentessurles
systmes d'extrmit est ncessaire l'application de la politique de scurit et se dveloppe
actuellementauniveaudespostesinformatiquesaveclamiseenplaced'agentsspcialiss.Ilsera
enrevanchetoujoursutiledecorrlercesinformationsavecdesoutilsrseauindpendantsetde
mettre en place une analyse des flux afin de ne pas faire reposer la scurit sur une source
d'informationunique.Lamiseenplaced'unNACnepourragarantiruneprotectiontotalefaceaux
menaces lies aux accs rseau, cependant, le contrle d'accs contribuera certainement
augmenterlaprotectiondessystmesd'information.

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

40

Tabledesfigures
Figure1:NEAReferenceModel....................................................................................................................18
Figure2:ModleTCG/TNC...........................................................................................................................19
Figure3:SchmaMicrosoftNAP...................................................................................................................22
Figure4:SchmaJuniperUAC.....................................................................................................................24
Figure5:Schmadel'infrastructureNACpourl'universitdeRennes1........................................................36

tudeducontrled'accsaurseau(NAC)pourl'UniversitdeRennes1

41