Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Fiche technique Serveur dédié Cisco NAC Le serveur Cisco® NAC, précédemment app

Fiche technique Serveur dédié Cisco NAC Le serveur Cisco® NAC, précédemment appelé Cisco Clean Access, est un Serveur de Contrôle d’Admission Réseau (Network Admission Control) facile à déployer qui permet à l’administrateur réseau d’authentifier, d’autoriser, d’évaluer et de corriger les équipements filaires, sans fil et distants avant de donner à leurs utilisateurs un accès au réseau. Il détermine si les équipements en réseau – ordinateurs portables ou fixes etc. – sont conformes aux politiques de sécurité de l’entreprise et « répare » les éventuelles vulnérabilités avant de leur permettre l’accès au réseau. Description du Produit Le serveur Cisco® NAC est une solution de bout en bout pour l’enregistrement des équipements informatiques et l’application des politiques du réseau qui permet à l’administrateur réseau d’authentifier, d’autoriser, d’évaluer et de corriger les machines avant de donner à leurs utilisateurs un accès au réseau. Ce produit évolué de sécurité de réseau : • reconnaît les utilisateurs, leurs appareils et leurs rôles sur le réseau. Cette première étape intervient au point d’authentification, avant que d’éventuels codes malveillants puissent endommager le réseau. • évalue si les machines sont en conformité avec les politiques de sécurité. Ces politiques peuvent varier en fonction du type d’utilisateur, du type d’équipement ou du système d’exploitation. • applique les politiques de sécurité en bloquant, en isolant et en « réparant » les équipements non conformes. Ceux-ci sont redirigés vers une zone de quarantaine où une remédiation peut être effectuée selon les modalités définies par l’administrateur. Le serveur dédié Cisco NAC peut effectuer une évaluation de posture de sécurité et une remédiation sur tous les équipements, quels que soient : • le type d’appareil. Le serveur dédié Cisco NAC peut appliquer les politiques de sécurité sur tous les équipements en réseau, y compris sur les machines Windows, Mac ou Linux, les ordinateurs portables ou fixe, les ordinateurs de poche (PDA) et les équipements de l’entreprise comme les imprimantes et les téléphones IP. • le propriétaire de l’appareil. Le serveur dédié Cisco NAC peut appliquer des politiques de sécurité aux systèmes appartenant à l’entreprise, à ses employés, à ses fournisseurs et ses invités. • la méthode d’accès au réseau. Le serveur dédié Cisco NAC applique le contrôle d’admission aux appareils qui se connectent par les réseaux LAN, WLAN, WAN ou VPN. La particularité du serveur dédié Cisco NAC est sa capacité à appliquer les politiques dans tous les scénarios opérationnels sans avoir besoin de produit spécifique ni de modules supplémentaires Caractéristiques et avantages Essentiellement, les réseaux protégés par le serveur dédié Cisco NAC bénéficient des avantages suivants : • ils restent sains car la conformité est une condition d’accès. • ils sont protégés de manière proactive contre les virus, les vers, les logiciels espions et les autres applications malveillantes. • les vulnérabilités des équipements utilisateurs qui y accèdent sont minimales grâce à l’évaluation périodique et aux outils de remédiation. • ils sont nettement moins coûteux à gérer car les processus de « réparation » et de mise à jour des équipements utilisateurs sont automatisés. All contents are Copyright © 1992–2006 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 1 of 7 Intégration de l’authentification avec ouverture de session unique Le serveur dédié Cisco NAC joue le rôle de proxy d’authentification pour la plupart des formes d’authentification puisqu’il intègre de manière native Kerberos, LDAP (Lightweight Directory Access Protocol), RADIUS, Active Directory, S/Ident et bien d’autres solutions encore. Afin de minimiser la gêne pour les utilisateurs finaux, le serveur dédié Cisco NAC supporte l’ouverture de session unique pour les clients VPN, les clients sans fil et les domaines Windows Active Directory. Le contrôle d’accès à base de rôles permet à l’administrateur de gérer de multiples profils utilisateurs avec des niveaux de permission différents. Evaluation des vulnérabilités Le serveur dédié Cisco NAC supporte l’analyse de toutes les machines et systèmes d'exploitation Windows, Mac OS et Linux et des équipements de réseau autres que les PC – consoles de jeu, PDA, imprimantes, téléphones IP, etc. Il effectue une analyse réseau et peut, si nécessaire, utiliser des outils d’analyse personnalisés. Le serveur dédié Cisco NAC peut vérifier n’importe quelle application identifiée par ses clés de registres, les services exécutés ou les fichiers systèmes. Mise en quarantaine Le serveur Cisco NAC peut placer les machines non conformes en quarantaine pour éviter la propagation des infections tout en leur proposant un accès à des ressources de remédiation. La quarantaine peut s’effectuer sur un sous réseau de petite taille (type /30) ou sur un VLAN de quarantaine. Mises à jour automatisées des politiques de sécurité Les mises à jour automatiques des politiques de sécurité fournies par Cisco dans le cadre du service de maintenance logicielle standard permettent d’obtenir des politiques prédéfinies pour les critères d’accès réseau les plus courants, notamment les politiques qui vérifient les mises à jour critiques du système d'exploitation comme des signatures antivirus et antilogiciels espions des principaux produits du marché. Cette fonction réduit les frais de gestion pour l’administrateur réseau qui peut laisser au serveur Cisco NAC le soin de veiller à la mise à jour permanente des politiques de sécurité Gestion centralisée La console de gestion Web du serveur Cisco NAC permet à l’administrateur de définir les types d’analyse exigibles pour chaque rôle ainsi que les outils de remédiation nécessaires aux « réparations ». Une même console de gestion peut administrer plusieurs serveurs. Remédiation et réparation La quarantaine donne aux appareils un accès à des serveurs de remédiation qui peuvent leur fournir des correctifs et des mises à jour de système d'exploitation, des fichiers de définition de virus ou des solutions de sécurité pour points d’extrémité comme Cisco Security Agent. L’administrateur peut permettre la remédiation automatique grâce à un agent en option, ou définir une série d’instructions de remédiation. Souplesse du déploiement Le serveur dédié Cisco NAC offre le plus large éventail de modes de déploiement pour s’insérer aussi simplement que possible dans n’importe quel réseau. Il peut être installé en tant que passerelle IP virtuelle ou réelle, en périphérie ou au cœur du réseau, avec un accès client en couche 2 ou 3, et en ligne ou hors bande par rapport au trafic réseau. All contents are Copyright © 1992–2006 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 2 of 7 Fiche technique Modes de déploiement Le serveur dédié Cisco NAC peut être déployé de plusieurs manières pour s’adapter au réseau de l’utilisateur. Le Tableau 1 décrit les différentes options de déploiement : Tableau 1. Options de déploiement du serveur dédié Cisco NAC Modèle de déploiement Options Mode Trafic passant Modèle de déploiement physique Mode d’accès client Modèle flux de trafic Architecture produit Le serveur dédié Cisco NAC comprend les composantes suivantes : Le serveur Cisco Clean Access – le serveur qui procède à l’évaluation des points d’extrémité et leur attribue des privilèges d’accès en fonction de leur conformité à la politique. L’utilisateur est bloqué au niveau de la couche de port et ne peut pas accéder au réseau sécurisé tant qu’il n’a pas passé l’inspection avec succès. Le serveur Cisco Clean Access est disponible en cinq tailles selon le nombre d’utilisateurs simultanément en ligne : 100, 250, 500, 1500 et 2500 utilisateurs. Une même entreprise peut exploiter des serveurs de tailles différentes – par exemple, le siège social aura besoin d’un serveur Cisco Clean Access de 1500 utilisateurs tandis qu’une agence de la même société pourra se contenter d’un serveur de 100 utilisateurs. Cisco Clean Access Manager – console Web centralisée pour l’établissement des rôles, des contrôles, des règles et des politiques. La console Cisco Clean Access Manager est disponible en trois tailles : Cisco Clean Access Lite Manager gère jusqu’à trois serveurs Cisco Clean Access, Cisco Clean Access Standard Manager jusqu’à 20 serveurs Cisco Clean Access et Cisco Clean Access Super Manager jusqu’à 40 serveurs Cisco Clean Access. Cisco Clean Access Agent – client léger à lecture seule qui améliore les fonctions d’évaluation de la posture de sécurité et accélère le processus de remédiation. Les agents Cisco Clean Access sont des options fournies gratuitement. La Figure 1 présente un diagramme logique pour le déploiement en ligne d’un serveur dédié Cisco NAC. Cette configuration accepte n’importe quel point d’accès sans fil 802.11 ainsi que les points d’accès Cisco Aironet®. Le mode en ligne est également indiqué pour le trafic VPN. All contents are Copyright © 1992–2006 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 3 of 7 • Passerelle virtuelle (mode ponté) • Passerelle IP réelle / passerelle NAT (mode routé) • Périphérie • Central • Couche 2 (client est adjacent au serveur Cisco Clean Access) • Couche 3 (client est à plusieurs sauts du serveur Cisco Clean Access) • Hors bande (le serveur Cisco Clean Access est toujours en ligne avec le trafic utilisateur) • Hors bande (le serveur Cisco Clean Access n’est en ligne que pendant les procédures d’authentification, d’évaluation de posture de sécurité et de remédiation) Fiche technique Figure 1. Architecture en ligne pour un serveur uploads/Management/ cisco-nac-fiche-technique.pdf