Utiliser les empreintes numériques NAC pour inventorier les terminaux réseaux non intelligents
En combinant l'authentification NAC et des techniques d'empreinte numériques, il est possible de simplifier l'inventaire des périphériques non administrables sur les réseaux IP, mais aussi de limiter les risques liés à leur prolifération sur les réseaux d'entreprises.
Le nombre et la variété des périphériques réseaux IP connectés au réseau d’entreprise va croissant avec de nouveaux équipements tels que des systèmes de climatisation, des caméras IP, des systèmes de sécurité (verrouillage de porte, contrôle d’accès...), des appareils médicaux, etc. Autant d'équipements qui viennent s’ajouter à la longue liste des périphériques plus ou moins intelligents du réseau tels que des imprimantes...
Ces équipements posent un véritable défi d’administration pour les gestionnaires du réseau. Un nouveau dispositif d’identification et d’empreintes NAC pourrait faciliter leur inventaire.
Les appareils « stupides » sur le réseau représentent une vraie menace, car ils offrent des opportunités à un hacker créatif de perpétrer des attaques de type « man in the middle », explique Usman Sindhu, analyste chez Forrester Research. "Si vous êtes en mesure d'usurper l'adresse IP d'un appareil, vous pouvez obtenir un large accès à l'environnement réseau".
Périphériques IP stupides, problèmes complexes
Les périphériques IP non administrables, et qui n’ont rien à voir avec un PC, n’ont rien de nouveau sur les réseaux d'entreprise. Après tout, des imprimantes ont longtemps été connectées au réseau sans être administrables (ce qui n’est plus le cas aujourd’hui pour la plupart des modèles). Mais la question est devenue plus aiguë ces dernières années, alors que les méthodes traditionnelles de sécurisation de ces dispositifs s’effondraient.
"Cette question n’est pas nouvelle, confirme Alok Agrawal, le directeur du marketing technique de Cisco Systems. Les entreprises pensaient pourtant qu’il serait suffisant d’assurer la sécurité physique de leurs locaux pour résoudre le problème. Quiconque était à l'intérieur de l'entreprise était considéré comme un utilisateur de confiance ou un dispositif de confiance. Mais maintenant, vous avez des téléphones IP, vous avez des utilisateurs invités et des sous-traitants qui travaillent librement dans des environnements réputés contrôlés. Et la sécurité physique ne suffit plus. Vous ne pouvez plus assumer que n'importe quel périphérique intérieur est un périphérique de confiance."
Beaucoup d'entreprises ne possèdent pas d'inventaire complet des dispositifs connectés à leur réseau, et n’ont aujourd’hui ni système de monitoring pour ces dispositifs, ni mécanisme d'authentification de ces appareils. D'autres inventorient ces équipements non administrables de façon manuelle, un processus fastidieux qui n’offre qu’une vue statique de leur environnement.
NAC et la gestion des empreintes numériques des périphériques
Comme l’explique Sindhu, "nombre de clients de Forrester se plaignent d’avoir échoué à des audits de sécurié en l’absence d’un inventaire précis des équipements connectés à leur réseau". Le cabinet d’analyse préconise désormais à ces clients de mettre en œuvre les mécanismes de gestion d’empreinte numérique (« fingerprinting») proposés par plusieurs vendeurs de solutions de contrôle d’accès au réseau (NAC ou Network Admission Control). Ces mécanismes permettent d’associer une empreinte unique à chaque périphérique du réseau afin de mieux les gérer et d’en faire une classification plus intelligente.
C’est par exemple le cas de Cisco, de Juniper, ForeScout mais aussi d’éditeurs comme Great Bay Software (Beacon Endpoint Profiling) ou PacketFence, qui s’appuient par exemple sur des systèmes de prise d’empreinte TCP/IP des équipements non administrables couplés à l’inventaire des adresses MAC.
Ces systèmes permettent de recueillir les adresses IP et MAC et de vérifier l'identité des appareils non administrables. L’entreprise peut alors utiliser son système NAC pour définir des politiques de suivi et d’alertes liées à ces appareils et envoyer des alertes aux équipes réseau, si une modification intervient sur ces équipements.
"Nous surveillons en permanence les dispositifs, et s'il y a un changement, nous faisons un changement d'autorisation et générons une alerte afin de prendre les mesures adéquates", explique ainsi Agrawal en décrivant le système NAC de Cisco. "Si un dispositif agissait hier comme une imprimante et maintenant se comporte comme un ordinateur de bureau Windows, il peut être mis en quarantaine et l’administrateur peut intervenir pour analyser ce qui s’est passé".
Par Shamus McGillicuddy