freshidea - Fotolia
Objets connectés : Aruba déploie un service cloud pour les repérer sur le réseau
Face à la déferlante de caméras et de capteurs IP à bas coût, Aruba décline son moteur Introspect en SaaS pour surveiller et contrôler ces appareils qui ne savent même pas s’authentifier correctement.
L’équipementier Aruba Networks a trouvé une nouvelle fonction à Introspect, son moteur d’analyse comportementale sur le réseau : décliné en service ClearPass Device Insight, il permet dorénavant d’identifier et d’administrer les flux des objets connectés sans marque.
« En ce moment, une kyrielle de caméras de vidéosurveillance et de capteurs sur IP asiatiques débarquent dans les entreprises. Mais derrière leurs prix très agressifs, ces objets connectés sont si dépouillés de fonctions réseau qu’ils ne savent même pas s’authentifier au protocole 802.1x. Dès lors, il est très difficile de surveiller leurs activités et pratiquement impossible de séparer leurs flux du reste du SI, à des fins de sécurité comme de qualité de service. ClearPass Device Insight résout cet écueil », explique Xavier Brugne, en charge des marchés Cybersécurité chez Aruba.
ClearPass Device Insight prend la forme d’un service cloud avec un tableau de bord en SaaS qui cartographie tous les objets connectés d’un réseau. Cette cartographie est réalisée sur la base de relevés envoyés par des « collecteurs » installés sur le réseau de l’entreprise. Ces relevés – des métadonnées sur le trafic – sont analysés par une version en ligne du moteur Introspect qui parvient à comprendre quels paquets sont émis par quel objet de quelle nature.
« Nous mettons en permanence à jour notre base de connaissance en ligne et il y a de fortes chances que lorsque vous soumettiez votre trafic, la cartographie indique spontanément la marque et le type d’objets connectés que ClearPass Device Insight aura repérés. Si ce n’est pas le cas, l’entreprise est invitée à labéliser les caméras et autres capteurs qu’elle utilise. Celles-ci viendront enrichir notre base, ce qui profitera aux autres abonnés du service », précise Xavier Brugne qui insiste sur l’aspect communautaire de la solution.
Ce service est facturé environ 1200 dollars pour 100 objets connectés à identifier, cartographier et surveiller par an.
Voir les objets connectés pour mieux les contrôler avec un serveur d’authentification
ClearPass Device Insight seul ne sert que de support visuel. Tout l’intérêt est de pouvoir le coupler à un serveur d’authentification ClearPass Policy Manager d’Aruba installé sur le réseau de l’entreprise. Dès lors, il devient possible de définir pour chaque objet connecté des seuils de bandes passante et un périmètre d’accès. ClearPass Policy Manager sur site se sert des profils renseignés en cloud pour décrire aux switches et aux routeurs quelle configuration appliquer sur quels flux.
Dans ce cas, ClearPass Policy Manager configure des VLAN pour limiter le champs d’action des objets connectés. Si les switches sont eux aussi de marque Aruba, ClearPass Policy Manager utilise un protocole prioritaire Colorless Network plus dynamique que la configuration des VLAN.
De l’aveu même d’Aruba, ClearPass Device Insight et ClearPass Policy Manager doivent lui permettre de mieux se positionner face à Cisco et Forescout sur le segment des NAC qui offrent de la visibilité réseau en plus de l’authentification.
Précisons que, de base, le serveur ClearPass Policy Manager, lui, ne sait reconnaître les équipements du réseau qu’à leur adresse MAC. Il dispose lui aussi d’une base de connaissances, mais elle n’est mise à jour que toutes les deux semaines. Selon Xavier Brune, ces informations seraient insuffisantes pour identifier correctement le tout venant des objets connectés bon marché qui envahissent le marché.
Aruba commercialise par ailleurs toujours à part une version d’Introspect sur site. Néanmoins, celle-ci est plutôt destinée à détecter les intrusions de malfaiteurs sur le SI ; elle a vocation à être utilisée par des équipes en charge de la cybersécurité, pas par des administrateurs réseau qui ont juste besoin d’un peu de visibilité pour configurer les bonnes règles de segmentation.
Collecter le trafic sans l’interrompre
La subtilité du bon fonctionnement de ClearPass Device Insight se situe dans le bon déploiement des collecteurs, appelés Device Insight Collector. Prenant la forme de machines virtuelles (gratuites), ceux-ci sont à installer aux endroits névralgiques du réseau, c’est-à-dire au centre des réseaux simples ou en dérive des switches auxquels sont reliés les objets connectés à monitorer, pour les configurations plus complexes.
« Le serveur qui exécute un collecteur doit être branché sur le port Mirroring d’un switch, lequel sert à dupliquer le trafic afin de le récupérer sans créer de la latence, ni risquer d’interrompre la communication en cas d’incident. Si l’équipement réseau ne dispose pas de port Mirroring, il est aussi possible d’utiliser des Packet brockers de marque Ixia ou Gigamon qui dédoublent le signal. De mon expérience, ces derniers sont la solution privilégiée par les industriels », détaille Xavier Brugne.
Les collecteurs font ensuite un scan du trafic au niveau IP, à la couche 3 du modèle OSI, ce qui leur permet de collecter le trafic jusque dans les sous-réseaux.
Notons enfin que, à date, la VM du collecteur n’est pas installable sur le serveur de ClearPass Policy Manager. Et le catalogue ne comprend pas encore non plus d’offre des deux produits en bundle.