Un simple ordinateur portable peut infecter toute une entreprise. Pour l'en empêcher, il doit être diagnostiqué avant sa connexion au réseau.
Depuis 2004, Cisco prône un réseau qui se défend tout seul. Ce slogan marketing n'occulte pas une réalité : son architecture de contrôle d'accès au réseau (NAC, pour Network Admission Control) a bien pris corps. Il ne s'agit pas de rendre le réseau totalement autonome dans sa gestion de la sécurité, mais de renforcer la communication entre ses éléments constitutifs.

Le premier objectif consiste à s'assurer de la conformité de tout équipement avec la politique de sécurité de l'entreprise. Ce contrôle n'est plus effectué a posteriori et à intervalles définis, comme lorsque les équipements présents sur le réseau sont scannés par un antivirus. Désormais, il s'effectue a priori, dès que l'équipement se connecte et que le réseau s'est assuré qu'il ne représente pas un danger potentiel.

Éviter l'infection par les nomades

Le cas d'école le plus connu est celui du travailleur itinérant, dont le portable infecté sert de cheval de Troie dès l'instant où il se voit relié au réseau. Pour éviter cet écueil, les états de service du portable sont vérifiés avant d'autoriser son accès : l'antivirus est-il à jour ? Les correctifs du système d'exploitation ont-ils été apposés ? Quels sont logiciels de sécurité installés ? etc.

En fonction de cet inventaire, le réseau - via ses équipements de routage - prend une décision prédéfinie dans la politique de sécurité. Une telle architecture suppose un réseau estampillé Cisco, la technologie NAC restant propriétaire. Maisle constructeur propose des API pour ouvrir des canaux de communication avec des partenaires tels que les éditeurs d'antivirus.

1. Connexion au réseau

L'utilisateur d'un ordinateur portable infecté lors d'une navigation internet préalable souhaite se connecter au réseau de son entreprise par l'entremise d'un routeur Cisco. Cet ordinateur est équipé d'un antivirus partenaire de Cisco (celui de Trend Micro, de Symantec, de McAfee ou de Sophos) et de l'agent CSA (Cisco Security Agent).

2. Vérification de l'état du client

Le routeur Cisco du réseau, embarquant la technologie NAC (Network Admission Control), établit une connexion avec l'agent CSA. Il récupère des informations sur l'état de sécurité du portable : la dernière liste de signatures de virus que détient l'antivirus, la version du système d'exploitation, les logiciels installés et la version du CSA.

3. Diagnostic de conformité

Ces informations sont transmises à l'Access Control Policy Server par le routeur. Ce serveur s'assure qu'elles sont en accord avec la politique de sécurité préalablement définie. L'Access Control Policy Server renvoie un diagnostic indiquant que la liste de signatures de virus n'est pas à jour et que le CSA a été désactivé par l'utilisateur.

4. Mise à jour du client

Informé par l'Access Control Policy Server, le routeur dirige l'ordinateur portable vers une zone de quarantaine du réseau. Au sein d'un serveur, celle-ci contient tout le nécessaire pour mettre à jour le portable : les derniers correctifs de système d'exploitation, le plus récent fichier de signatures de virus, etc. Le routeur peut ensuite autoriser l'accès au réseau.

Source: www.01net.com

---