supportent SNMP, il est très probable qu’ils prennent en charge 802.1x. Et même si vos commutateurs gérés actuels sont privés de cette fonction aujourd’hui, vous pourrez souvent l’ajouter gratuitement avec une simple mise à niveau de firmware auprès du fournisseur de commutateurs.
Si vous avez un serveur Windows, vous avez aussi un serveur d’authentification RADIUS, car cette fonction est intégrée dans l’IAS (Internet Authentication Service) de Windows. Si vous n’utilisez pas Windows Server, il existe des packages serveur RADIUS gratuits ou peu coûteux, compatibles avec la plupart des OS. Les ordinateurs de vos utilisateurs finaux, pourvu qu’ils utilisent un système d’exploitation raisonnablement récent pour poste de travail ou portable, fournissent une troisième composante NAC : le logiciel NAC Supplicant, une fonction client qui répond aux défis de 802.1x puis demande à l’utilisateur des références de login. Windows XP et Vista, ainsi d’ailleurs que Mac OSX, ont un supplicant 802.1x intégré, donc vous n’aurez rien à installer sur les systèmes de l’utilisateur final.
Le déploiement de NAC basique est simple : installez votre serveur RADIUS, configurez les commutateurs de manière à valider 802.1x sur les ports appropriés, puis pointez chaque commutateur (via un paramètre de configuration) vers votre serveur RADIUS comme serveur d’authentification 802.1x. Après quoi, quand les utilisateurs se connecteront à votre LAN, ils recevront instantanément un défi ID et mot de passe utilisateur.
Une bonne réponse à ce défi permettra à leur station de travail d’acquérir une adresse IP et un accès LAN. Il faut certes régler certains détails, mais aucun d’eux n’est difficile. NAC basique possède aussi quelques fonctions avancées très utiles, comme la possibilité d’attribuer dynamiquement un utilisateur à un VLAN particulier, l’ACL (Access Control List) IP, ou les deux. Vous pouvez essayer d’inclure certaines de ces fonctions dans votre test initial pour voir si elles bonifient votre environnement actuel.
Vous devez aussi franchir quelques écueils du déploiement: par exemple, comment traiter les unités qui ne peuvent pas répondre à un défi d’authentification 802.1x (comme les imprimantes). Aucun d’eux n’est insurmontable et vous en viendrez à bout en quelques minutes. Toutefois, avant de vous embarquer dans votre première mission ninja NAC, prenez le temps de voir comment fonctionne 802.1x.
