Test Counteract de Forescout | Sécurité Informatique

mars 2010
L	Ma	Me	J	V	S	D
« jan
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31

Le cahier des charges et le protocole de tests sont les suivants :

L’objectif est d’implémenter un NAC pour 2 utilisations particulières de mon entreprise :

- Nos salles de conférences : nous accueillons régulièrement des conférences internationales, et nous offrons un accès Internet aux visiteurs via un wifi ou un accès filaire. Dans ce cadre, étant donné que ce sont des machines que nous ne maîtrisons pas dans un environnement partagé, nous souhaitons que les machines des visiteurs ne soient pas infectés par d’autres machines visiteurs.
- Dans le réseau interne : une bonne partie du personnel est “nomade” et possède un portable qu’il vient brancher périodiquement sur le réseau interne. Nous souhaitons donc analyser la machine avant de la basculer sur le réseau interne. Ce sont des machines que nous maîtrisons, ie qui sont inscrites dans notre domaine Active Directory avec des certificats.

L’installation et la configuration de l’appliance Counteract s’est effectuée avec l’aide du fournisseur.

Etant déjà habitué au produit Forescout (nous avons un IPS ActiveScout depuis plus de 3 ans), j’ai retrouvé une interface d’administration très bien construite et relativement user-friendly.

La configuration de la machine est très rapide : Une IP de management avec les infos réseau habituelles, puis téléchargement de l’interface de management en https.

2 modes sont disponibles : un mode “Ecoute” et un mode “Interactif”.

Dans le mode Interactif, la sonde possède un port ethernet sur le(s) VLAN(s) à surveiller (possibilité de faire du trunking), et un port d’injection sur les VLANs où la sonde interagit.

La façon dont l’architecture du réseau est construite implique une réflexion sur le positionnement de la sonde (réflexion devant être faite quelque soit le système NAC à installer) : pour être pleinement opérationnelle, la sonde doit pouvoir observer tout le trafic entrant et sortant de la machine cible.

Nous possédons un réseau entièrement routé avec un découpement par VLAN et donc un sacré casse-tête pour effectuer une écoute du trafic. Qu’importe, la souplesse de la sonde Counteract permet de s’affranchir de ces obstacles.

Dans mon cas, j’ai pu établir des VLAN spans afin d’injecter tout le traffic vers la sonde, et mettre la sonde en mode interactif.

1er cas : les salles de conférences

La sonde va lister les machines connectées (soit par leurs requêtes DHCP, soit par un scan du VLAN…) puis effectuer un scan de celles-ci : elle peut, par l’intermédiaire d’un agent, aller vérifier l’état de l’antivirus, les process en cours, la présence de fichier, les services packs installés…etc…

Si la machine possède un firewall, la sonde ne sera pas en mesure de la vérifier : dans ce cas, un portail est présenté à l’utilisateur lui demandant d’entrer ses crédentials afin d’effectuer les vérifications.

Cette fonctionnalité est à mon avis difficile à mettre en place car elle implique une volonté de l’utilisateur à rentrer ses crédentials…pas évident à faire passer. Cependant, dans la nouvelle version, une autre méthode est appliquée : l’installation d’un agent temporaire permettant d’effectuer la vérification. Cet agent apparaît alors comme beaucoup moins “intrusif” d’un point de vue psychologique que de donner ses crédentials.

Une fois la machine déclarée comme conforme aux règles, elle peut utiliser l’accès réseau qui lui est proposé. Si la machine n’est pas conforme, elle peut soit être basculée dans un VLAN de quarantaine avec un portail de remédiation, soit avoir un accès limité géré par le virtual firewall du Counteract.

2ème cas : les portables nomades

Nous avons beaucoup d’utilisateurs possédant des portables et travaillant généralement à l’extérieur, utilisant des accès Internet à droite à gauche.

Lorsque ceux-ci viennent se reconnecter sur le réseau, la sonde les intercepte pour les placer en VLAN de quarantaine : ces portables faisant partie du domaine, la sonde va inspecter grâce à un agent “netbios” et à des crédentials administrateurs du domaine. Elle peut ainsi analyser la machine, récupérer les crédentials utilisateurs, interroger l’annuaire LDAP pour récupérer toutes les informations de l’utilisateur, et si la machine est conforme, elle sera basculé sur le réseau interne. En cas de problème, un message peut prévenir l’utilisateur et un mail être envoyé à l’administrateur système.

En conclusion

Nous avons ici un produit extrêmement souple et intuitif. Dans le cas de réseau important, plusieurs sondes peuvent être installées et administrées par une console centrale. Une réflexion doit être menée avant tout pour bien positionner la sonde, surtout dans le cas de réseaux routés. Ce produit est peu connu en Europe, mais très réputé aux US et on peut le voir présent dans le top 3 de tous les tests comparatifs NAC.

A prendre absolument en compte dans vos projets NAC.

A suivre : le test Infoblox et le test Consentry…

Sécurité Informatique

Articles sur la sécurité informatique, outils, astuces…

NAC : Test Counteract (Forescout)

En conclusion