Contrôles d’intégrité

NAC a pour but de voir si le point d’extrémité respecte une stratégie locale exigeant un minimum de santé du point d’extrémité.

Alors que la composante NAR de NAC qui conduit la requête d’authentification initiale est intégrée dans de nombreuses piles TCP/IP sous la forme du protocole 802.1x ouvert, les composantes de contrôle d’intégrité de NAC sont toutes propriétaires. Elles incluent le programme IMC sur le point d’extrémité pour collecter des mesures d’intégrité, l’IMV dans le PEP pour évaluer les mesures d’intégrité, et une base de données de stratégies par rapport à laquelle les mesures sont vérifiées.

L’IMC présente des valeurs banales, comme la version de l’OS, les correctifs installés, une liste des programmes actifs, et si un pare-feu logiciel est en vigueur. Il fournit aussi des informations sur l’état de la protection antivirus et antilogiciel espion, indique si d’autres connexions réseau sont validées et si le point d’extrémité a été connecté à un réseau étranger depuis la dernière validation de l’état de santé.

Le test final est un bon moyen d’accélérer la vérification de l’état de santé. Certaines moutures NAC stockent un Health Certificate numérique sur le point d’extrémité quand la validation a été concluante. Quand le point d’extrémité se reconnecte, si son historique de connexion (lui aussi stocké dans le Health Certificate pour empêcher toute manipulation) n’enregistre aucune connexion à un réseau étranger, l’unité peut être réadmise dans le réseau après un examen moins approfondi.

Certaines moutures NAC effectuent facultativement une autre vérification de l’état de santé : une analyse externe de la connexion au réseau du point d’extrémité pour détecter des ports ouverts inappropriés ou un trafic suspect qui pourrait indiquer la présence d’un kit racine ou d’autres malwares. Mais ce n’est pas absolument nécessaire parce que l’IMC intègre généralement des contrôles d’auto-intégrité capables de détecter des interventions douteuses sur les composantes NAC côté point d’extrémité.

Après avoir obtenu les résultats de toutes les mesures d’intégrité, le PEP consulte une base de données de stratégies pour vérifier que le point d’extrémité y satisfait entièrement. La plupart des implémentations NAC maintiennent cette base de données sur un serveur central que chaque PEP contacte pour obtenir la stratégie courante. Il est ainsi facile de mettre à jour les stratégies NAC et de les transmettre à tout le réseau. Si les mêmes mécanismes NAC sont utilisés pour la validation de l’accès sans fil et à distance, le serveur de stratégies devient un point de contrôle unique pour l’ensemble de l’accès au réseau, ce qui simplifie considérablement l’administration de la sécurité.

Si un point d’extrémité ne satisfait pas au contrôle d’intégrité, tout espoir n’est pas perdu. Certains fournisseurs incluent une étape de rattrapage dans le flux procédural NAC qui tente de réparer certaines lacunes, comme des correctifs OS manquants et des signatures antivirales obsolètes. Toutefois, ce processus de rattrapage peut demander beaucoup de temps et il ne marche pas à tous les coups. Mais il contribue à réduire le nombre de rejets mineurs lors du contrôle d’intégrité.