Vérification de la conformité du poste du travail : Généralités (1/3)

Dans le cadre d’une veille stratégique pour un de nos clients publics, nous avons étudié le sujet de la vérification de la conformité du poste de travail. Il s’agit en particulier de s’assurer que les appareils qui se connectent au réseau sont enregistrés et à jour. L’article suivant constitue la 1ère partie de la série traitant des généralités.

Objectifs poursuivis

La vérification de la conformité du poste de travail permet d’avoir une meilleure maîtrise des terminaux qui sont aujourd’hui la partie la plus vulnérable d’un réseau. Il s’agit de s’assurer de la conformité aux règles applicables pour limiter les risques informatiques :

  • dysfonctionnement logiciel

  • propagation de virus informatiques

  • droits d’accès inappropriés

  • actes de malveillance

Enjeux

Les outils de vérification de la conformité d’un poste de travail se confrontent aujourd’hui à de nombreux défis :

  • Des contraintes fortes face à l’explosion de l’usage d’Internet et du cloud : volume du trafic, temps de latence, applications web…

  • La multiplication des terminaux mobiles avec la tendance du Bring Your Own Device (« apportez vos appareils personnels »)

  • En conséquence, la difficulté technique d’avoir des outils capables de surveiller l’ensemble de l’activité du réseau tout en préservant sa qualité

Domaines fonctionnels

La vérification de la conformité couvre deux types de fonctions distincts :

  • Le contrôle d’accès réseau : En fonction des règles définies, l’autorisation de l’appareil à se connecter au domaine sécurisé du réseau ou à un réseau isolé limité

  • La vérification de l’état de santé d’un poste : La détection et l’analyse du système de l’appareil qui se connecte au réseau

Nous allons par la suite détailler ces deux domaines.

Méthode de contrôle d’accès réseau

Cas d’illustration

Lorsqu’un appareil se connecte au réseau, il ne pourra accéder à aucune ressource à moins d’être en conformité avec une politique définie par l’Administration dont :

  • le niveau de protection de l’antivirus

  • le niveau de mise à jour du système

  • la configuration de la machine

Lorsque l’appareil est vérifié par un agent, il ne pourra seulement accéder qu’aux ressources lui permettant de remédier à sa situation (mise à jour, correctif, logiciel de sécurité…). Une fois que la politique de conformité sera validée, l’appareil pourra accéder aux ressources du réseau et à Internet tel que défini par le contrôleur d’accès réseau. Les ressources auxquels l’utilisateur a accès peuvent varier en fonction de ses permissions et donc potentiellement les pré-requis logiciels demandés. Dans le cas où l’appareil n’est pas ou plus conforme, une remédiation est proposée par exemple à travers un portail captif et l’appareil est éventuellement isolé dans une VLAN.

Nous allons par la suite décrire les concepts-clés des méthodes de contrôle d’accès.

Pré et post-admission

Le contrôle d’accès réseau protège le réseau contre les machines non conformes ou infectées. Il peut se dérouler à la fois avant et après la connexion de la machine :

  • La pré-admission : Les machines sont inspectées avant d’être autorisées à se connecter au réseau. Il s’agit généralement d’une authentification de l’utilisateur et une vérification de l’état de santé de l’appareil.

  • La post-admission : Ces mécanismes fournissent des contrôles d’accès sur la base de l’identité de l’utilisateur, une fois la machine déjà connectée. Il s’agit également de la surveillance du réseau pour détecter les anomalies ou les intrusions.

Avec ou sans agent

Le principe du contrôle d’accès réseau repose sur la collecte d’information sur les terminaux de manière à pouvoir prendre une décision quant à leur éventuel accès. Un système de contrôle d’accès réseau peut soit :

  • utiliser un logiciel agent exécuté sur le poste qui donne des caractéristiques sur la machine

  • utiliser des techniques de détection et inventaire réseaux pour discerner ces caractéristiques

Si un outil avec agent permet généralement de disposer des informations plus précises sur les machines, la difficulté de ces logiciels est la diversité des appareils et systèmes d’exploitation à prendre en charge. Les types d’agent disponibles sont détaillés plus loin dans le rapport.

Hors-bande ou inline

L’implémentation d’un outil de contrôle d’accès réseau nécessite de choisir entre le hors-bande (out of band) et en bande (inline).

Dans le cas de la gestion en bande, l’outil « s’assoit » directement sur le trafic réseau proche du commutateur d’accès. Il décide s’il autorise ou non le trafic pour chaque terminal lorsque celui-ci s’authentifie. C’est à la fois le point de décision et le point d’application du contrôle d’accès.

inline
Illustration 1: Principe de la gestion inline

Dans le cas de la gestion hors-bande, l’outil sépare les fonctions de décision et d’application. Il peut utiliser plusieurs types d’équipement réseaux pour faire le contrôle d’accès (commutateur, passerelle, pare-feu…).

outofband
Illustration 2: Principe de la gestion hors-bande

L’inconvénient d’un appareil inline est sa tendance à devenir un point de congestion s’il est surchargé. Celle d’un appareil hors bande a tendance à perturber les configurations réseau.

Le mode inline est aujourd’hui particulièrement plébiscité1 2 par sa facilité de déploiement et sa capacité de prévention d’intrusion. Il nécessite cependant d’être placé au niveau du commutateur principal dans le cadre de la vérification de la conformité.

À noter que certains outils de contrôle d’accès ne proposent pas les deux modes.

Remédiation : isolation et portail captif

La remédiation est la possibilité pour les appareils refusés par le réseau, de se mettre en conformité. Deux stratégies courantes de la remédiation sont :

outofband2

Illustration 3: Principe de la gestion hors-bande (out of band)

Le portail captif : Un portail intercepte les accès HTTP à une page web et redirige les utilisateurs vers une application web qui fournit des instructions et outils pour mettre à jour leurs ordinateurs. Jusqu’à ce que leur ordinateur passe la vérification de conformité automatique, aucun accès réseau à l’exception du portail captif est autorisé. Ce système fonctionne de la même manière que celui des accès WIFI publics et payants.

L’isolation : Dans le cas où l’appareil n’est pas en conformité avec la politique de l’Administration, un réseau virtuel local (isolé) pourra être offert. Celui-ci limite l’accès aux applications et aux autres ressources du réseau en fonction des règles à définir. Typiquement, dans le cas du portail captif, un appareil isolé pourra tout de même accéder au téléchargement de patchs et de mise à jour pour être en conformité.

Les approches de la vérification de la conformité

Agent permanent installé sur le poste

L’approche de vérification de la conformité la plus exhaustive et également la plus lourde se fait par l’installation d’un agent sur le poste de travail. Ce dernier s’exécute en tâche de fond, surveille périodiquement les composants logiciels du poste et remonte l’information à un serveur distant. La mise en conformité se fait également de manière transparente sans l’intervention de l’utilisateur. Cette méthode permet de gérer rigoureusement des postes de travail déployés par l’Administration. L’installation sur un appareil tiers nécessite que l’utilisateur autorise l’accès à des informations systèmes de l’appareil en continu à l’Administration.

Les outils de protection de terminaux et d’inventaire logiciel qui font partie de cette catégorie seront abordés dans les parties suivantes.

Agent temporaire via un portail

L’agent temporaire est un logiciel à télécharger par l’utilisateur qui s’exécute pour vérifier l’état d’un appareil. Contrairement à un agent permanent, celui-ci disparaît une fois les opérations de contrôle réalisées. Une remédiation peut éventuellement être proposée.

La principale difficulté de ces solutions est qu’il n’est plus possible de vérifier la conformité d’un appareil une fois que l’autorisation est donnée. Ainsi un utilisateur peut très bien installer puis désinstaller les composants et mises à jour obligatoires.

La vérification de l’état d’une machine selon la méthode « sans agent » repose essentiellement sur les services Windows préinstallées sur les machines. Un système de gestion à distance se charge de faire des requêtes aux machines pour remonter l’information sur leur état de santé. Les avantages d’un tel agent natif sont une facilité de déploiement et une exécution discrète sur la machine. La vérification de la conformité ne couvre cependant pas l’inventaire logiciel tiers.

À noter qu’une solution « sans agent » n’est pas plus difficile à contourner par rapport à un agent permanent car dans les deux cas, il peut être désactivé si l’utilisateur ou un logiciel malveillant dispose des droits d’administrateur.

Un panorama des solutions sans agent est décrit dans le rapport.

Agent externe au sein de l’infrastructure

L’utilisation d’un agent externe à la machine est également une approche complémentaire pour vérifier la conformité d’un appareil. Il s’agit par exemple de déployer selon le mode inline un agent de contrôle directement au niveau des points d’accès au réseau ou de faire appel à un service dans le cloud.

Ces agents peuvent également faire une surveillance des paquets entrants et sortants d’une machine pour détecter des anomalies ou des signatures spécifiques à des attaques. À noter qu’un tel outil n’est pas efficace pour détecter la non-conformité qui ne se manifeste pas sur le réseau. Par exemple, il n’est pas possible de vérifier l’inventaire logiciel.

Les outils de contrôle d’accès et de détection d’intrusion réseau sont abordés dans le rapport.

Comparaison des approches de vérification

Le tableau suivant récapitule les approches de la vérification de la conformité :

Caractéristiques

Sans agent via service Windows

Agent temporaire

Agent permanent

Agent externe

Droits administrateurs

Oui

Oui

Oui

Non

Sans agent installé

Oui

Oui

Non

Oui

Surveillance en permanence

Oui

Non

Oui

Oui

Exécution discrète

Oui

Non

Possible

Oui

Protection contre la désactivation

Faible

Inexistante

Faible

Forte

Contrôle d’accès

Oui

Oui

Oui

Oui

Inventaire logiciel

Limité

Possible

Oui

Non

État de sécurité de la machine

Oui

Oui

Oui

Limité

Alignement avec la politique de déploiement

Limité

Limité

Oui

Non

Adaptation aux BYOD

Possible

Oui

Possible

Oui

Adaptation aux appareils mobiles

Possible

Possible

Possible

Oui

L’installation d’un agent permanent est l’approche de la vérification de la conformité la plus complète sur la détection de l’état de sécurité et logiciel d’un poste de travail.