Mardi 24 octobre 2017
NASDAQ : 6586.8262 42.2271   nasdaq0.64 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE

Microsoft et Cisco se battent pour contrôler la santé des postes clients

Imprimer Envoyer à un ami Contacter la rédaction
Par Thierry Lévy-Abégnoli le 15/10/2008 - indexel.net
 
Lci_sante_poste_clients

Mise en quarantaine ou en conformité ? Voici le rôle des solutions Microsoft NAP et Cisco NAC, des solutions concurrentes et complémentaires.

 

Microsoft et Cisco ont chacun annoncé des plates-formes visant à authentifier, auditer puis mettre en quarantaine ou en conformité les PC cherchant à se connecter au système d'information de l'entreprise. Les offres NAP (Network Access Protection) et NAC (Network Admission Control) ont ainsi été lancées en 2006 et 2007 mais ne parviennent à maturité qu'aujourd'hui, notamment grâce à la disponibilité de Windows Server 2008.

Authentifier l'utilisateur et auditer son PC

La problématique ne semble pas nouvelle dans la mesure où systèmes d'authentification, firewalls et autres passerelles SSL ou IP-Sec la gèrent déjà à différents étages. "NAP et NAC adressent non pas les PC distants, mais ceux qui se connectent de l'intérieur de l'entreprise, sur son réseau Wi-Fi ou Ethernet", explique Christophe Perrin, responsable de marché en charge des solutions de sécurité chez Cisco. La cible est celle des entités dont les employés utilisent leur PC personnel, dont les partenaires entrent dans les murs avec leurs PC professionnels ou dont le parc informatique est mal maîtrisé, ce qui est par exemple le cas des universités.

NAC et NAP répondent à quatre problématiques. Tout d'abord, l'authentification d'un utilisateur qui cherche à se connecter, par exemple via un identifiant provisoire qui lui est accordé en tant qu'invité. La deuxième étape consiste à auditer le PC, c'est-à-dire à vérifier qu'il répond à des règles définies dans le cadre d'une politique de sécurité, telles que présence d'un antivirus à jour, installation des derniers patchs de sécurité ou appartenance du PC à l'entreprise.

Si ces règles sont enfreintes, le PC sera placé en quarantaine ou mieux, mis en conformité - on parle de processus de "remédiation" - par exemple en forçant la mise à jour de l'antivirus ou du système. "Ce stade ultime est difficile à atteindre car il faut être sûr de ne pas interférer avec les configurations existantes", estime Christophe Dubos (photo), architecte infrastructure chez Microsoft.

Deux solutions à la fois complémentaires et concurrentes

C'est le réseau qui détecte les connexions des postes clients, avec lesquels il doit donc dialoguer. Pour ce faire, Cisco implémente la technologie NAC sur chacun des équipements. Alors que chez Microsoft, NAP sollicite des mécanismes standards, déjà mis en oeuvre sur des équipements existants, des serveurs DHCP, des passerelles de VPN ou Terminal Services. NAP peut aussi reposer sur les équipements compatibles NAC. Il s'agit là d'un premier point d'interopérabilité entre les deux technologies, qui s'inscrit dans le cadre d'une coopération entre Microsoft et Cisco.

Un volet serveur est dédié à l'orchestration de l'architecture et plus spécialement à la définition et à l'application de la politique de sécurité. Chez Cisco, ces fonctions sont confiées à deux "appliances" -  NAC Server et NAC Manager. Chez Microsoft, elles sont prises en charge par un serveur NAC, inclus dans Windows Server 2008.

Enfin, les postes clients doivent eux-mêmes être équipés d'agents NAC ou NAP, qui dialoguent avec leurs homologues serveurs et qui, le cas échéant, exécutent un processus de remédiation. Chez Microsoft, seuls les PC sous Windows Vista et XP SP3 en sont dotés. "Mais des éditeurs tiers fournissent des agents NAP pour Linux, Unix et MacOS", ajoute Christophe Dubos.

De son côté, Cisco propose des agents pour la plupart des systèmes. "Un portail fournit, sous forme d'applet ou de contrôle ActiveX, un client NAC aux PC qui en sont dénués", complète Christophe Perrin (photo). Enfin, une infrastructure NAC peut aussi s'appuyer sur des PC équipés d'agents NAP - c'est le second point d'interopérabilité entre les deux technologies.

Des obstacles parfois rédhibitoires

Complexes à mettre en oeuvre, ces architectures relèvent de gros projets. Chez Cisco, on rétorque qu'il existe un mode de déploiement simplifié pour les PME, ne nécessitant pas de mise à jour des équipements réseau. Quant à Christophe Dubos (Microsoft), il précise que "le déploiement est beaucoup plus simple si on se limite à la phase d'audit des postes clients."

Il reste que les obstacles sont parfois rédhibitoires, comme en témoigne Arnaud Alcabez (photo), consultant senior chez Neos-SDI : "Nous avons rencontré le cas d'une entreprise intéressée par ces technologies car elle génère des documents sensibles pour le compte de clients qui viennent se connecter directement sur son réseau." Dans un premier temps, le choix s'est porté sur NAC mais la nécessité de déployer plusieurs appliances sur différents sites la rendait trop coûteuse. L'offre de Microsoft a alors été étudiée mais les pré-requis étaient trop importants. "Au final, cette entreprise a provisoirement renoncé à son projet", conclut Arnaud Alcabez.

LIRE AUSSI
 
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages