Description

Pour comprendre l'intérêt et les difficultés d'implémenter le NAC (802.1X).

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

• Speaker #0

  Bonjour Mamie ! Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui ne comprennent rien.

• Speaker #1

  Bonjour Mamie !

• Speaker #0

  Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à ceux qui n'y comprennent rien. Le Nom de la Rose d'Humberto Rico est un roman fascinant et complexe à bien des égards. Il mène mystère et philosophie médiévale. Publié en 1980, ce livre se déroule en 1327 dans une abbaye bénédictine en Italie où le moine franciscain Guillaume de Bascarville est appelé à résoudre une série de meurtres mystérieux. Le roman est célèbre pour son utilisation riche des théories sémiotiques et de la philosophie, ainsi que pour ses descriptions détaillées de la vie monastique au Moyen-Âge. Eco, un érudit en sémiotique, imbrique des puzzles intellectuels qui défient le lecteur tout en dépeignant un portrait vivant d'une époque où la foi et la raison étaient souvent en conflit. Le Nom de la Rose est aussi un hommage au genre du roman policier et du roman gothique. Il explore des thèmes comme l'herménotique, qui est la discipline qui étudie les théories et les méthodes d'interprétation. Dans un contexte plus large, elle s'applique à l'interprétation des symboles, des événements et des traditions. Mais on trouve aussi dans ce livre la critique de la vérité et du pouvoir du rire. Le livre a été adapté au cinéma en 1986 dans le film éponyme réalisé par Jean-Jacques Hannault, avec Sean Connery dans le rôle de Guillaume de Pesquerville. A noter que le nom de ce personnage est un hommage à l'auteur Conan Doyle, qui est l'auteur de Sherlock Holmes. Je reviendrai sur ce film à la fin de cet épisode. En plus de son intrigue captivante, le roman est aussi une réflexion sur la nature du savoir et de l'interprétation, rendant sa lecture à la fois stimulante et gratifiante. Mais à cet instant, vous vous demandez pourquoi il y a un lien entre le livre d'Humberto Eco et la cybersécurité. Au-delà du fait que cet auteur, mort en 2016, avait une vision assez tranchée sur le monde qui nous entoure, et particulièrement sur les réseaux sociaux, je le cite, les réseaux sociaux ont donné le droit à la parole à des légions d'imbéciles qui avant ne parlaient qu'au bar et ne causaient aucun tort à la collectivité. On les faisait taire tout de suite. Aujourd'hui, ils ont le même droit de parole qu'un prix Nobel. Le lien avec la cybersécurité est dans un élément central de l'intrigue du livre, la bibliothèque secrète qui ne s'ouvre que de l'intérieur. Vous avez bien entendu, une bibliothèque qui ne s'ouvre que de l'intérieur. Quoi de mieux pour protéger son système d'information qu'un système dont l'accès n'est autorisé que de l'intérieur ? Eh bien cette prouesse existe bel et bien. C'est ce qu'on appelle le NAC. Ça n'a rien à voir avec les nouveaux animaux de compagnie. Il est assez rare de les voir employés pour défendre un système d'information, mais plutôt avec le réseau, car le NAC est l'acronyme de Network Access Control, ou contrôle d'accès au réseau en français. Mais qu'est-ce que le NAC ? Avant toute chose, il faut comprendre pourquoi l'accès au réseau est si important. Tous les équipements de votre système d'information sont reliés entre eux par le réseau. C'est le moyen d'envoyer et de recevoir des données entre les différents composants, que ce soit un orniétaire portable ou un serveur. Mais il y a bien souvent aussi des systèmes d'accès physiques, comme les lecteurs de badges ou les imprimantes. Tous ces équipements sont capables de communiquer entre eux grâce au réseau. Vous aurez noté par ailleurs que plusieurs supports physiques sont utilisables, les câbles Ethernet, mais aussi la fibre optique ou les ondes pour le Wi-Fi. Il convient donc de comprendre que le réseau est un élément central de votre infrastructure car c'est grâce à lui que votre système peut communiquer. Mais comment s'assurer que chaque équipement connecté est bien légitime ? Et c'est là le problème fondamental que la norme 802.1x essaie de résoudre. La norme 802.1x est un standard de l'i3e qui a pour objectif la vérification et l'authentification avant la connexion de l'ordinateur au réseau. Voici le principe général de fonctionnement étape par étape. Mais avant tout, il faut définir les acteurs et leur rôle. Il y a le supplicant ou le demandeur. C'est le dispositif client qui demande l'accès au réseau. C'est votre ordinateur portable par exemple. Il y a l'authenticateur ou l'authenticator. C'est le dispositif qui agit comme un point de contrôle pour l'accès au réseau, souvent un switch ou un point d'accès sans fil. C'est en quelque sorte la porte de la bibliothèque. Il y a l'Authentication Server ou le serveur d'authentification, généralement un serveur RADIUS, qui vérifie les identités du supplicant. C'est le moine bibliothécaire à l'intérieur de la bibliothèque. Étape numéro 1, l'initialisation de la connexion. Lorsqu'un supplicant se connecte au réseau, l'authenticateur bloque tout le trafic réseau pour ce supplicant, à l'exception du trafic EAP, EAP pour Extensible Authentication Protocol, qui est utilisé pour l'authentification. En d'autres termes, vous pouvez raconter tout ce que vous voulez, seuls les messages qui concernent votre authentification seront pris en compte. Étape 2, l'échange d'identifiant. L'authenticateur demande au supplicant de s'identifier. Le supplicant envoie son identité, comme son nom d'utilisateur ou l'identifiant de sa machine, à l'authenticateur, souvent sous forme chiffrée. Étape 3, l'authentification. L'authenticateur relie l'identité du supplicant au serveur d'authentification. Le serveur commence alors un processus d'authentification, généralement en utilisant EAP qui supporte plusieurs méthodes d'authentification. C'est un peu technique mais retenez simplement qu'il existe différentes méthodes d'authentification. Le serveur d'authentification peut demander des informations supplémentaires comme un mot de passe ou un certificat. Le supplicant devra donc fournir les informations requises. Étape numéro 4, la réponse du serveur d'authentification. Si l'authentification est réussie, le serveur d'authentification envoie un message de succès à l'authenticateur via le protocole Radius. Si l'authentification échoue, un message d'échec sera envoyé. Étape numéro 5, l'ouverture du port. Si l'authentification réussit, l'authenticateur ouvre le port d'accès pour le supplicant, lui permettant d'accéder au réseau au-delà des simples messages EAP. Si l'authentification échoue, le port restera fermé, et le supplicant sera limité à envoyer uniquement des trafics d'authentification, ou sera complètement bloqué. Étape numéro 6, le maintien de la connexion. Une fois connecté, le supplicant peut être soumis à des vérifications périodiques de l'authentification pour s'assurer qu'il reste conforme aux politiques de sécurité du réseau. Le protocole 802.1X est donc crucial pour les environnements où la sécurité et le contrôle d'accès au réseau sont prioritaires. Il aide à prévenir l'accès non autorisé en s'assurant que seuls les utilisateurs et les dispositifs authentifiés peuvent accéder au réseau. Alors ça semble très simple à mettre en œuvre comme ça, mais la mise en œuvre du protocole 802.1X peut présenter plusieurs défis, en particulier dans des environnements complexes ou de grande taille. Voici quelques-unes des difficultés que l'on peut rencontrer.

• Speaker #2

  Oui, alors, bonjour, mais qui c'est ? Ah ben non, je ne sais pas ce que c'est. Le 2 ? Le 1 ? Oui. Ben là,

• Speaker #0

  je ne sais pas, mais qu'est-ce que je fais ?

• Speaker #2

  Je ne sais pas. Faites le 5 si vous voulez 10 secondes, à cas de faire le 3 parce que vous avez fait le 2, faites le 6 pour 10 secondes pour faire le 4 parce que vous avez fait le 1 parce que vous vouliez faire le 2. Faites le 7 pour recommencer, le 8 pour entendre ce serait nouveau, ou le 9 pour ne pas réécouter ce soir. Moi je vais faire le 7. Vous avez fait le 9. Non, mais non j'ai pas fait le 9. Dites le nom de la personne à qui vous désirez parler. De qui ? Vous avez dit Ludmilla. Non ! Pour choisir ce nom, faites le carré. Pour recommencer, faites l'étoile. Oui. La

• Speaker #0

  complexité de configuration Configurer 802.1X peut être techniquement complexe, nécessitant des réglages précis sur des équipements réseau, comme les switches et les points d'accès, et aussi le serveur d'authentification. Chaque composant du système, supplicant, authenticateur et serveur d'authentification, doit être correctement configuré pour communiquer efficacement. N'oubliez pas que la moindre erreur de configuration peut et va créer des blocages sur votre communication. La compatibilité des dispositifs. Tous les dispositifs sur le réseau doivent supporter 802.1X, ce qui peut poser des problèmes avec des équipements plus anciens ou moins sophistiqués qui ne prennent pas en charge le protocole, et c'est souvent le cas avec des équipements type Badges par exemple. La mise à niveau ou le remplacement de ces dispositifs peut entraîner des coûts supplémentaires. La gestion des certificats. Pour les méthodes d'authentification basées sur les certificats, comme EAP et TLS, la gestion des certificats peut devenir un fardeau administratif important. Il est nécessaire de mettre en place une infrastructure de gestion de clés publiques, PKI, pour émettre, renouveler et réévoquer des certificats. Il est par ailleurs crucial d'avoir une vue parfaitement exhaustive de la date de fin de vie des certificats pour éviter que soudainement, sans raison apparente, vous ayez plusieurs pannes simultanées, voire pire, une panne générale. Le dépannage et le support. Le dépannage des problèmes de connexion liés à 802.1X peut être complexe, car il peut impliquer plusieurs systèmes et interfaces. Les utilisateurs peuvent rencontrer des difficultés pour se connecter, ce qui requiert une assistance technique spécialisée. La performance du réseau. L'introduction de 802.1X peut parfois ralentir les processus d'authentification et d'accès au réseau, surtout dans les environnements à haute densité où de nombreux dispositifs tentent de se connecter simultanément. Optimiser les performances tout en maintenant la sécurité peut nécessiter des ajustements techniques et des investissements en matériel. La question de politique est de conformité. La définition et la mise en œuvre de politiques de sécurité appropriées qui fonctionnent avec 802.1X peuvent être difficiles, surtout dans des organisations où les politiques de sécurité n'étaient pas strictement appliquées auparavant. Assurer la conformité réglementaire tout en déployant 802.1X peut également compliquer les procédures. L'intégration avec d'autres systèmes de sécurité Intégrer 802.1X avec d'autres systèmes de sécurité comme les systèmes de prévention d'intrusion, IPS, les firewalls, les pare-feux, et les systèmes de gestion des informations et des événements de sécurité, SIEM, peut nécessiter des efforts supplémentaires pour une coordination efficace. Pour surmonter ces défis, il est souvent recommandé de commencer par un déploiement de pilote dans une section limitée du réseau, permettant ainsi de résoudre les problèmes avant un déploiement à plus grande échelle. La formation et le soutien technique continu sont également essentiels pour assurer le succès de la mise en œuvre de 802.1X. Mais comment faire pour éviter ces écueils ? Pour éviter ou minimiser les problèmes lors de la mise en œuvre de 802.1X, voici quelques conseils pratiques. La planification détaillée. Effectuez une évaluation préalable pour identifier tous les dispositifs et les systèmes qui seront affectés par l'implémentation de 802.1X. Cela aide à prévoir les besoins en matière de compatibilité et de mise à niveau. Définissez clairement les objectifs de sécurité et les exigences de conformité pour s'assurer que les déploiements répondent aux normes nécessaires. La formation et la sensibilisation. Formez les équipes IT à la configuration et la gestion des dépannages de 802.1X. Sensibilisez les utilisateurs finaux sur les nouvelles procédures de connexion et les éventuels changements de leur interaction quotidienne avec le réseau. Le déploiement progressif. Comme expliqué précédemment, commencez par un déploiement pilote dans une section limitée du réseau pour tester la configuration et ajuster les politiques selon les résultats observés. Utilisez les retours du déploiement pilote pour affiner les processus avant de l'étendre à l'ensemble du réseau. La grande majorité des produits offrent la possibilité de commencer en mode audit, c'est-à-dire simplement observer les impacts dans un premier temps. Avoir une infrastructure robuste de serveurs d'authentification. Assurez-vous que les serveurs d'authentification, comme Radius, sont correctement dimensionnés pour gérer le volume attendu de demandes d'authentification, mettant en place une redondance pour les serveurs d'authentification afin de garantir la continuité du service en cas de panne. Une gestion efficace des certificats. Si vous utilisez des certificats, envisagez d'implémenter une solution de PKI qui automatisera le processus d'émission, de renouvellement et de révocation des certificats. Avoir des outils de dépannage et de surveillance. Utilisez des outils de surveillance de réseau pour observer les comportements de trafic et détecter les problèmes de performance ou de sécurité en temps réel. Préparez une équipe de support techniquement dédiée pour répondre rapidement aux incidents liés à 802.1X. Gérer l'intégration avec d'autres systèmes de sécurité. Planifier comment 802.1X interagira avec d'autres dispositifs de sécurité pour assurer une couche de protection supplémentaire sans introduire de conflits ou de failles de sécurité. La documentation et la mise à jour des procédures. Maintenez une documentation détaillée sur la configuration du réseau et les politiques d'authentification. Établissez des procédures claires pour les mises à jour régulières du système afin de corriger les vulnérabilités et d'adapter les politiques aux nouvelles menaces. En suivant ces étapes, vous pouvez réduire significativement les risques et les défis associés à l'implémentation du protocole 802.1x, assurant ainsi un déploiement plus fluide et sécurisé. Le NAC est très certainement un moyen très efficace de contrôler l'accès physique à son réseau d'entreprise, et donc à son système d'information. Pour en finir avec cet épisode, voilà une petite anecdote qui concerne le tournage du film de Jean-Jacques Hannault. Le tournage était fait dans des décors naturels qui étaient souvent des ruines ou des châteaux. Et bien évidemment, la température était souvent glaciale. Sean Connery avait souvent les pieds froids. C'est la raison pour laquelle il a tourné toutes les scènes avec des moon boots qui complétaient harmonieusement sa robe de bure. Le bruit des sandales sur le sol a été rajouté en post-production. Et ceci explique aussi pourquoi on ne le voit jamais filmé de plein pied dans le film. Rappelons que Shane Connery est un immense acteur qui a interprété entre autres le personnage de James Bond. Vous l'avez maintenant l'image de James Bond en robe de mur et en mode boot ? Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker et à le partager avec d'autres et en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Mais surtout n'oubliez pas, pour certains, la cybersécurité est un enjeu de vie ou de mort. C'est bien plus sérieux que ça.

• Speaker #1

  Merci.