- 31 mai 2021
- Par: Renato Cudicio
- Catégorie NETsatori, Réseau
Culturellement, et parce que l’actualité nous apporte chaque semaine son lot de cyberattaques, souvent en provenance de pays étrangers, on a tendance à chercher l’ennemi au-delà de nos murs de défense. Pour cette raison, un grand nombre d’entreprises se sont équipées de pare-feu pour prévenir des attaques externes et porte aujourd’hui une grande attention à la protection de leur réseau sans fil. Inversement, le réseau filaire interne de l’entreprise est souvent une porte ouverte sur l’ensemble des données de l’organisation, sans moyens de savoir avec précision qui fait quoi sur le réseau. Depuis plusieurs années, NETsatori milite pour la mise en place d’un NAC (Network Access Control) dans les entreprises. Cette technologie permet de prévenir plutôt que de guérir, c’est-à-dire qu’elle est capable de tout simplement empêcher l’intrus de rentrer sur le réseau. Aruba ClearPass en est devenue le leader incontesté. Nous avons rencontré Maxime Mourand de l’équipe NETsatori et qui est considéré comme un des gourous au Canada de Aruba ClearPass afin de mieux comprendre les bénéfices d’utiliser un NAC.
Est-ce que la situation au Québec est vraiment aussi grave que cela?
Maxime Mourand (MM) : En fait, je ne veux pas être pessimiste, mais la situation est encore pire que ce que les gens peuvent imaginer. Cela fait plusieurs années que je sécurise des réseaux d’organisations publiques et privées, et j’estime – sans être trop loin de la réalité – que 95% des entreprises ne possèdent pas de NAC. Dans le public, c’est sans doute moins de d’un tiers. Je n’en ai pratiquement jamais vu dans des commissions scolaires ou des petits établissements de santé du Québec.
Cela fait un certain temps déjà que le sans-fil est bien plus sécuritaire dans les entreprises que le réseau filaire. Les responsables informatiques vont protéger le réseau sans fil avec du 802.1X., l’Active Directory et des certificats. Par contre, ils partent du principe que le réseau filaire est bien protégé puisqu’il faut être à l’intérieur de la bâtisse pour y accéder. Alors qu’en fait, il est assez facile d’y accéder il y a peut-être une guérite de sécurité ou un atelier de maintenance qui se trouve sur le côté du bâtiment, ou même encore des caméras IP sur la façade, avec une prise RJ45 dans laquelle il suffit de se brancher pour être sur le réseau interne de l’entreprise. Couplé au manque de segmentation réseau très fréquemment observé dans nos audits réseau, ceci permet à un intrus de travailler en toute tranquillité pour trouver et exploiter une brèche. L’un des principaux avantages de l’ajout d’authentification 802.1X est de permettre de distinguer un appareil corporatif d’un appareil BYOD. Comme les dispositifs de type BYOD ne sont pas gérés par l’entreprise et ne rencontrent pas les critères de sécurité établis par celle-ci (Antivirus, Pare-feu, Version d’OS, etc.), il est crucial de pouvoir assigner différents niveaux d’accès à ces appareils. Aruba ClearPass ajoute donc une couche de sécurité pour protéger l’accès au réseau, qu’il soit sans-fil ou filaire.
Le paradoxe est que l’on retrouve un peu plus de NAC filaire dans les start-ups, branchées sur les technologies, car cela a été facile à implanter avec peu d’employés. Par contre, dans les moyennes et les grandes entreprises, en activité depuis longtemps, avec des dizaines de bureaux et succursales à travers le pays, les NAC filaires sont rarissimes. Or les conséquences économiques d’une intrusion sont bien plus grandes.
Comment expliques-tu cela alors que tout le monde est de plus en plus sensibilisé à la cybersécurité?
MM : Les entreprises estiment à tort que déployer un NAC est une opération très coûteuse et complexe. Plusieurs ont été brûlées par les premières itérations de solutions NAC il y a plus de 10 ans, mais celles disponibles maintenant offrent une expérience utilisateur transparente, et sont beaucoup plus fiables. NETsatori a beaucoup d’expérience en la matière et je peux garantir qu’implanter un NAC comme celui d’Aruba ClearPass n’a rien de cauchemardesque, avec des bénéfices immédiats.
Nous avons récemment travaillé dans une très grande compagnie d’ingénierie canadienne qui, par nature, réalise des contrats avec d’autres entreprises internationales, et parfois même des compétiteurs directs. Leur réseau filaire ne possédant pas de NAC, ils se sont rendu compte que, comme ils partageaient des bureaux communs à l’étranger le temps de ces projets, leurs compétiteurs avaient accès à toutes leurs données, à l’ensemble de leur propriété intellectuelle. Dans la seconde où le NAC a été mis en activité, le problème était résolu.
En l’absence de NAC, quel est le risque le plus fréquent?
MM : En fait, le plus gros danger est la conséquence naturelle de l’évolution du mode de travail des gens qui ne peuvent plus se passer de l’Internet pour remplir la tâche qui est la leur. Or, peut-être parce que l’entreprise n’a pas implanté de bornes Wifi, ou qu’elle ne veut pas partager sa bande passante avec ses visiteurs ou des entrepreneurs qui travaillent sur son chantier, quelqu’un va tout simplement brancher sur une prise réseau un routeur domestique, parfois de la taille d’une clé USB avec un niveau de sécurité infime ou inexistant, pour avoir l’Internet sur son téléphone, sa tablette ou son ordinateur. La personne n’a, en général, pas de mauvaises intentions, mais, une fois le routeur installé, elle vient d’exposer tout le réseau de l’entreprise, accessible parfois depuis le stationnement.
On a récemment découvert chez un client que des entrepreneurs chinois, qui travaillaient dans leur entreprise, avaient simplement installé un routeur D-Link pour ouvrir un tunnel VPN avec leur siège social, ouvrant ainsi l’ensemble du réseau à des regards étrangers. Le branchement de routeurs, par les employés pour avoir Internet ou par un partenaire pour accéder à ses fichiers, est la hantise des responsables informatiques, car il n’y a à peu près aucun moyen de le découvrir sans NAC et donc très peu de moyens de faire appliquer une politique d’entreprise qui interdit l’usage du sans-fil. Avec un NAC en place, le routeur serait automatiquement détecté et bloqué.
Concrètement, est-ce qu’il faut remplacer les technologies en place pour implanter un NAC?
MM : Une des forces de Aruba ClearPass est de fonctionner avec les infrastructures physiques existantes, en les maximisant dans leurs rôles. Le module ClearPass Exchange, qui est gratuit, permet d’intégrer le NAC via des API avec plus d’une centaine de systèmes. Dans une commission scolaire, par exemple, il est courant que la direction informatique ait choisi Microsoft Intune pour gérer son parc d’appareils mobiles. On va alors utiliser ClearPass Exchange pour capitaliser sur les fonctions de Intune afin de l’interroger pour savoir si la tablette X a un profil dans le système. Si elle est enregistrée comme étant une tablette de l’école, les droits afférents lui seront automatiquement attribués. Si elle n’est pas reconnue dans Intune, le NAC pourrait par exemple la rediriger vers le portail des invités.
Cette flexibilité est encore plus marquante lorsqu’on intègre ClearPass avec des pares-feux comme ceux de Palo Alto ou Fortinet. ClearPass connaît l’adresse MAC d’un appareil et sait qui est son propriétaire grâce au certificat qui est installé sur la machine, et donc son profil d’usager. ClearPass a donc beaucoup plus d’information qu’un pare-feu qui, en général, ne connaît qu’une adresse IP. ClearPass peut donc envoyer ses informations sur l’appareil au pare-feu et multiplier ainsi les capacités du pare-feu. Ce ne sont pas des configurations qui sont très longues à faire. En général, une journée suffit pour configurer ClearPass afin qu’il échange des informations avec les pares-feux en place dans l’organisation, et pour configurer le pare-feu correctement évidemment.
Grâce au NAC, les ports deviennent ce que l’on appelle colorless ou hybride. C’est-à-dire que la même prise peut être utilisée par une imprimante, un ordinateur ou une caméra, et l’appareil sera automatiquement redirigé par le NAC vers le VLAN qui lui est réservé, comme ce serait le cas pour un visiteur qui se branche sur le réseau.
Tu fais référence à la fonctionnalité ClearPass Guest?
MM : En effet, lorsque quelqu’un se branche sur le réseau avec un nouvel appareil, le commutateur prend l’adresse MAC de l’appareil et l’envoie à ClearPass qui a deux options.
Première option, cette adresse MAC a été préconfigurée pour être associée, par exemple, à une imprimante ou un laptop Windows 10 et un rôle lui a été déjà assigné.
Seconde option, l’adresse MAC ne correspond à rien, et on tombe alors dans une condition de type catch-all qui place l’appareil dans un rôle d’invité et le redirige vers le portail captif de l’organisation avec la page de connexion usager/mot de passe de ClearPass. Si l’usager a déjà un compte dans ClearPass, il peut s’authentifier, s’il n’a pas de compte et que la fonction a été activée, ClearPass va permettre l’inscription. C’est très pratique, car cela permet à un visiteur, un partenaire ou un entrepreneur d’avoir accès à Internet pour la journée. La beauté de cette solution est que c’est le même port filaire qui va être utilisé par les employés ou éventuellement les invités, mais que, en fonction de leur profil, ils auront accès ou non au réseau interne.
Ce type de portail apporte beaucoup de valeur ajoutée et les clients en rêvent, mais pensent que le coût d’un tel système est très élevé. Et c’est vrai qu’avec d’autres technologies, il faut déployer un serveur IIS ou Apache ainsi qu’une base de données SQL pour gérer la page Web et que le tout devient vite compliqué. De nouveau, c’est une des forces de Aruba ClearPass : le portail invité est là par défaut.
Et le NAC fonctionne de la même manière sur le réseau filaire que le sans-fil?
MM : Oui, tous les MDM (Mobile Device Management) de ce monde, de Airwatch à Microsoft Intune, font à peu près la même chose et supportent normalement l’approche ClearPass. On provisionne en général un profil filaire et un sans-fil pour les appareils mobiles avec un certificat qui est déjà prêt à être poussé sur la machine. Lors de la première connexion, ClearPass Onboard [PDF – en anglais] va permettre aux employés, avec ou sans fil et si l’entreprise les autorise à apporter leurs propres appareils (BYOD), de s’identifier, par exemple, via l’active directory. Leur certificat sera alors poussé sur la machine et restera valide pour un ou deux ans.
Ce sera aussi l’occasion d’installer ClearPass OnGuard [PDF – en anglais] qui est un agent qui roule sur l’appareil et qui, basé sur certaines politiques de l’entreprise, va lever un drapeau rouge si une activité ne correspond pas à ce qui est attendu sur ce port, ou bien si le pare-feu a été désactivé, ou encore si l’antivirus n’est plus à jour. Automatiquement dans ces situations, ClearPass va bloquer l’accès ou rediriger temporairement l’usager vers le réseau des invités, car il représente potentiellement un risque pour l’organisation. On peut aussi afficher une page qui explique la raison du blocage de ses accès et la manière de remédier au problème.
On touche ici aux solutions de prévention connues sous leurs acronymes anglais de NDR (Network Detection and Response) et EDR (Endpoint Detection and Response).
MM : Oui, mais il n’est pas indispensable d’utiliser les agents de Aruba. ClearPass est multivendeurs et s’intègre vraiment avec toutes les technologies déjà en place comme les solutions NDR/EPP de plus en plus populaires de Carbon Black ou de Crowdstrike que l’on implante beaucoup et qui échangent en temps réel de l’information avec ClearPass pour, en fonction du niveau de risque associé à l’activité en cours, décider de mettre la machine en quarantaine et déclencher une alerte. Notons que nous implantons chez nos clients les EDR de Crowdstrike et Palo Alto Cortex Agent qui, c’est important de le souligner, sont les deux seuls EDR qui ont été capables de bloquer le malware SUNSPOT impliqué dans le hack de Solarwinds.
C’est fascinant et cela nous ramène sur les efforts et donc les coûts d’implantation d’Aruba ClearPass. Est-ce abordable?
MM : C’est tout à fait abordable, car on utilise les équipements en place. On parle donc de simples configurations. Personnellement, j’aime rendre les clients autonomes et donc, en général, je vais déployer ClearPass pour un commutateur (switch) avec un gabarit global et un gabarit par port. Préalablement, on se sera assuré de bien lister les appareils qui sont utilisés dans l’organisation (ordinateur, imprimante, laptop internes et ceux des invités, etc.). Je m’assure de tester la recette sur le commutateur, ensuite je la déploie avec le client sur un autre commutateur. Une fois que nous avons complété deux déploiements, dont un avec le client, je fournis une formation sur les différentes étapes à suivre et ils sont complètement autonomes pour les déployer eux-mêmes. L’équipe de NETsatori peut aussi les accompagner ou même le faire entièrement pour eux.
En termes d’efforts, j’ai un exemple très concret. Je suis en train de déployer Aruba ClearPass dans un collège. J’ai prévu deux semaines pour installer ClearPass, tester quatre types d’appareils, déployer sur commutateurs et faire une formation complète. Ensuite le collège, en fonction du temps que l’équipe informatique peut y allouer, va déployer la solution sur l’ensemble des commutateurs dans les semaines ou les mois qui suivent.
On le voit, dans une d’analyse de contrôle des risques en regard des investissements, le NAC d’Aruba ClearPass est difficilement battable.
