Dans le cadre d’une veille stratégique pour un de nos clients publics, nous avons étudié le sujet de la vérification de la conformité du poste de travail. Il s’agit en particulier de s’assurer que les appareils qui se connectent au réseau sont enregistrés et à jour. L’article suivant constitue la 1ère partie de la série traitant des généralités.
Objectifs poursuivis
La vérification de la conformité du poste de travail permet d’avoir une meilleure maîtrise des terminaux qui sont aujourd’hui la partie la plus vulnérable d’un réseau. Il s’agit de s’assurer de la conformité aux règles applicables pour limiter les risques informatiques :
dysfonctionnement logiciel
propagation de virus informatiques
droits d’accès inappropriés
actes de malveillance
Enjeux
Les outils de vérification de la conformité d’un poste de travail se confrontent aujourd’hui à de nombreux défis :
Des contraintes fortes face à l’explosion de l’usage d’Internet et du cloud : volume du trafic, temps de latence, applications web…
La multiplication des terminaux mobiles avec la tendance du Bring Your Own Device (« apportez vos appareils personnels »)
En conséquence, la difficulté technique d’avoir des outils capables de surveiller l’ensemble de l’activité du réseau tout en préservant sa qualité
Domaines fonctionnels
La vérification de la conformité couvre deux types de fonctions distincts :
Le contrôle d’accès réseau : En fonction des règles définies, l’autorisation de l’appareil à se connecter au domaine sécurisé du réseau ou à un réseau isolé limité
La vérification de l’état de santé d’un poste : La détection et l’analyse du système de l’appareil qui se connecte au réseau
Nous allons par la suite détailler ces deux domaines.
Méthode de contrôle d’accès réseau
Cas d’illustration
Lorsqu’un appareil se connecte au réseau, il ne pourra accéder à aucune ressource à moins d’être en conformité avec une politique définie par l’Administration dont :
le niveau de protection de l’antivirus
le niveau de mise à jour du système
la configuration de la machine
Lorsque l’appareil est vérifié par un agent, il ne pourra seulement accéder qu’aux ressources lui permettant de remédier à sa situation (mise à jour, correctif, logiciel de sécurité…). Une fois que la politique de conformité sera validée, l’appareil pourra accéder aux ressources du réseau et à Internet tel que défini par le contrôleur d’accès réseau. Les ressources auxquels l’utilisateur a accès peuvent varier en fonction de ses permissions et donc potentiellement les pré-requis logiciels demandés. Dans le cas où l’appareil n’est pas ou plus conforme, une remédiation est proposée par exemple à travers un portail captif et l’appareil est éventuellement isolé dans une VLAN.
Nous allons par la suite décrire les concepts-clés des méthodes de contrôle d’accès.
Pré et post-admission
Le contrôle d’accès réseau protège le réseau contre les machines non conformes ou infectées. Il peut se dérouler à la fois avant et après la connexion de la machine :
La pré-admission : Les machines sont inspectées avant d’être autorisées à se connecter au réseau. Il s’agit généralement d’une authentification de l’utilisateur et une vérification de l’état de santé de l’appareil.
La post-admission : Ces mécanismes fournissent des contrôles d’accès sur la base de l’identité de l’utilisateur, une fois la machine déjà connectée. Il s’agit également de la surveillance du réseau pour détecter les anomalies ou les intrusions.
Avec ou sans agent
Le principe du contrôle d’accès réseau repose sur la collecte d’information sur les terminaux de manière à pouvoir prendre une décision quant à leur éventuel accès. Un système de contrôle d’accès réseau peut soit :
utiliser un logiciel agent exécuté sur le poste qui donne des caractéristiques sur la machine
utiliser des techniques de détection et inventaire réseaux pour discerner ces caractéristiques
Si un outil avec agent permet généralement de disposer des informations plus précises sur les machines, la difficulté de ces logiciels est la diversité des appareils et systèmes d’exploitation à prendre en charge. Les types d’agent disponibles sont détaillés plus loin dans le rapport.
Hors-bande ou inline
L’implémentation d’un outil de contrôle d’accès réseau nécessite de choisir entre le hors-bande (out of band) et en bande (inline).
Dans le cas de la gestion en bande, l’outil « s’assoit » directement sur le trafic réseau proche du commutateur d’accès. Il décide s’il autorise ou non le trafic pour chaque terminal lorsque celui-ci s’authentifie. C’est à la fois le point de décision et le point d’application du contrôle d’accès.
Illustration 1: Principe de la gestion inline
Dans le cas de la gestion hors-bande, l’outil sépare les fonctions de décision et d’application. Il peut utiliser plusieurs types d’équipement réseaux pour faire le contrôle d’accès (commutateur, passerelle, pare-feu…).
Illustration 2: Principe de la gestion hors-bande
L’inconvénient d’un appareil inline est sa tendance à devenir un point de congestion s’il est surchargé. Celle d’un appareil hors bande a tendance à perturber les configurations réseau.
Le mode inline est aujourd’hui particulièrement plébiscité1 2 par sa facilité de déploiement et sa capacité de prévention d’intrusion. Il nécessite cependant d’être placé au niveau du commutateur principal dans le cadre de la vérification de la conformité.
À noter que certains outils de contrôle d’accès ne proposent pas les deux modes.
Remédiation : isolation et portail captif
La remédiation est la possibilité pour les appareils refusés par le réseau, de se mettre en conformité. Deux stratégies courantes de la remédiation sont :
Illustration 3: Principe de la gestion hors-bande (out of band)
Le portail captif : Un portail intercepte les accès HTTP à une page web et redirige les utilisateurs vers une application web qui fournit des instructions et outils pour mettre à jour leurs ordinateurs. Jusqu’à ce que leur ordinateur passe la vérification de conformité automatique, aucun accès réseau à l’exception du portail captif est autorisé. Ce système fonctionne de la même manière que celui des accès WIFI publics et payants.
L’isolation : Dans le cas où l’appareil n’est pas en conformité avec la politique de l’Administration, un réseau virtuel local (isolé) pourra être offert. Celui-ci limite l’accès aux applications et aux autres ressources du réseau en fonction des règles à définir. Typiquement, dans le cas du portail captif, un appareil isolé pourra tout de même accéder au téléchargement de patchs et de mise à jour pour être en conformité.
Les approches de la vérification de la conformité
Agent permanent installé sur le poste
L’approche de vérification de la conformité la plus exhaustive et également la plus lourde se fait par l’installation d’un agent sur le poste de travail. Ce dernier s’exécute en tâche de fond, surveille périodiquement les composants logiciels du poste et remonte l’information à un serveur distant. La mise en conformité se fait également de manière transparente sans l’intervention de l’utilisateur. Cette méthode permet de gérer rigoureusement des postes de travail déployés par l’Administration. L’installation sur un appareil tiers nécessite que l’utilisateur autorise l’accès à des informations systèmes de l’appareil en continu à l’Administration.
Les outils de protection de terminaux et d’inventaire logiciel qui font partie de cette catégorie seront abordés dans les parties suivantes.
Agent temporaire via un portail
L’agent temporaire est un logiciel à télécharger par l’utilisateur qui s’exécute pour vérifier l’état d’un appareil. Contrairement à un agent permanent, celui-ci disparaît une fois les opérations de contrôle réalisées. Une remédiation peut éventuellement être proposée.
La principale difficulté de ces solutions est qu’il n’est plus possible de vérifier la conformité d’un appareil une fois que l’autorisation est donnée. Ainsi un utilisateur peut très bien installer puis désinstaller les composants et mises à jour obligatoires.
La vérification de l’état d’une machine selon la méthode « sans agent » repose essentiellement sur les services Windows préinstallées sur les machines. Un système de gestion à distance se charge de faire des requêtes aux machines pour remonter l’information sur leur état de santé. Les avantages d’un tel agent natif sont une facilité de déploiement et une exécution discrète sur la machine. La vérification de la conformité ne couvre cependant pas l’inventaire logiciel tiers.
À noter qu’une solution « sans agent » n’est pas plus difficile à contourner par rapport à un agent permanent car dans les deux cas, il peut être désactivé si l’utilisateur ou un logiciel malveillant dispose des droits d’administrateur.
Un panorama des solutions sans agent est décrit dans le rapport.
Agent externe au sein de l’infrastructure
L’utilisation d’un agent externe à la machine est également une approche complémentaire pour vérifier la conformité d’un appareil. Il s’agit par exemple de déployer selon le mode inline un agent de contrôle directement au niveau des points d’accès au réseau ou de faire appel à un service dans le cloud.
Ces agents peuvent également faire une surveillance des paquets entrants et sortants d’une machine pour détecter des anomalies ou des signatures spécifiques à des attaques. À noter qu’un tel outil n’est pas efficace pour détecter la non-conformité qui ne se manifeste pas sur le réseau. Par exemple, il n’est pas possible de vérifier l’inventaire logiciel.
Les outils de contrôle d’accès et de détection d’intrusion réseau sont abordés dans le rapport.
Comparaison des approches de vérification
Le tableau suivant récapitule les approches de la vérification de la conformité :
Caractéristiques | Sans agent via service Windows | Agent temporaire | Agent permanent | Agent externe |
Droits administrateurs | Oui | Oui | Oui | Non |
Sans agent installé | Oui | Oui | Non | Oui |
Surveillance en permanence | Oui | Non | Oui | Oui |
Exécution discrète | Oui | Non | Possible | Oui |
Protection contre la désactivation | Faible | Inexistante | Faible | Forte |
Contrôle d’accès | Oui | Oui | Oui | Oui |
Inventaire logiciel | Limité | Possible | Oui | Non |
État de sécurité de la machine | Oui | Oui | Oui | Limité |
Alignement avec la politique de déploiement | Limité | Limité | Oui | Non |
Adaptation aux BYOD | Possible | Oui | Possible | Oui |
Adaptation aux appareils mobiles | Possible | Possible | Possible | Oui |
L’installation d’un agent permanent est l’approche de la vérification de la conformité la plus complète sur la détection de l’état de sécurité et logiciel d’un poste de travail.