Solution de contrôle d’accès au réseau Aruba

Dossier relatif auxapplicationsContrôled’accès au réseauSolution de contrôle d’accès au réseau ArubaLe contrôle d’accès au Réseau (NAC) est un élément fondamental pourles entreprises confrontées à l’arrivée des appareils mobiles dans leurréseau ; la compatibilité de ces systèmes avec la politique de sécuritéde l’entreprise étant un point critique.Tandis que le Contrôle d’Accès au Réseau était initialement concentrésur l’accès au réseau par des pors statiques, il doit désormais pouvoirs’adapter aux utilisateurs mobiles.La solution de NAC Aruba répond à ce nouveau besoin pour unearchitecture centrée sur l’utilisateur en adaptant la disponibilité duréseau sur les besoins réels de l’utilisateur et sur le risque qu’il pose aumoment donné.Contrôle d’accès au réseau mobileLa solution de contrôle d’accès auréseau Aruba est conforme auxnormes, offrant un environnementde sécurité et de mobilité renforcéà n’importe quelle infrastructure.La solution d’Aruba détermine lesinformations de l’utilisateur en posantune série de questions telles que :• Identité de l’utilisateur : Qui estl’utilisateur ? Quel est le rôle del’utilisateur au sein de l’entreprise ?Qu’est-il autorisé à faire ?• Conformité : Quelle version delogiciel antivirus exécute-t-il ? À partirde quel emplacement l’utilisateuraccède-t-il au réseau ? À quellesapplications l’utilisateur tente-t-ild’accéder ? Le trafic de l’utilisateurcontient-il des virus, vers, logicielsmalveillants, etc. ?• Application : Comment cette règleest-elle appliquée ? Quelle recoursproposée à l’utilisateur en casdenon conformité ? Comment lesutilisateurs qui n’ont pas pu êtreévalués sont-ils traités ?En reliant des règles d’administrationdétaillées aux usages réels, lesentreprises peuvent utiliser Aruba pourbénéficier d’une sécurité améliorée,d’une réduction des risques et d’uneoptimisation du réseau.Aruba fournit tous les composantsd’une infrastructure de contrôle d’accèsau réseau ainsi que des interfacesstandard pour interopérer avec dessolutions de contrôle d’accès auréseau tierces telles que la protectiond’accès au réseau de Microsoft, lasolution UAC (Unified Access Control)de Juniper et la solution NAC de Cisco.Via son interface de services externesESI (Extended Services Interface),la solution d’Aruba peut égalementmettre en corrélation les résultats del’inspection du trafic par des dispositifsde sécurité en ligne.Comment Aruba applique le contrôle d’accès au réseau• Application des règles : le contrôleurde mobilité est le composant principalde la solution de contrôle d’accès auréseau Aruba, mettant les entrées derègles provenant de plusieurs sourcesen corrélation et agissant comme unmoteur d’application des règles desécurité. Les règles sont appliquéesvia le pare-feu dynamique intégré basésur les rôles. Ce système permet uneapplication des règles dynamique etconstitue une méthode hautementsécurisée de mise en quarantaineet de remédiation des utilisateurs etdispositifs non conformes.• Entrées de règles(pré/postconnexion) : End PointCompliance System (ECS) d’Arubapeut être utilisé comme point dedécision en matière de règles à la placede, ou parallèlement à, un serveur derègles reposant sur des normes tel quele serveur NPS (Network Policy Server)Avantages :• Architecture centrée surl’utilisateur apportant unenvironnement de mobilité aucontrôle d’accès au réseau• Une seule configuration pourl’accès câblé, sans fil et àdistance• Intégration à l’infrastructurede sécurité et des règles desécurité existante• Sécurité sans faille avecl’application de règles baséessur les rôles

6565656565652002400APPLICATION DES RÈGLESENTRÉES DE RÈGLESPré/post-connexionDossier relatif auxapplicationsContrôled’accès au réseauClients gérés(employés)Clients non gérés(invités, étudiants)Dispositifsnon gérablesSécurité en ligne post-connexionde Microsoft ou le serveur SBR (Steel-Belted Radius) de Juniper. ECS estparticulièrement adapté aux réseauxde grands groupes d’utilisateursmobiles (écoles, hôpitaux, etc.). Bienque ces dispositifs se concentrent surl’établissement d’une règle au momentde l’authentification, la plupart peuventréaliser une évaluation continue.• Services de sécurité (sécurité en lignepostconnexion) : pour un contrôled’accès au réseau postconnexioncomplet, des dispositifs de sécurité enligne peuvent être utilisés pour évaluerle trafic en temps réel. Le contrôleurAruba peut transmettre le trafic à cesdispositifs et agir immédiatementsuite à une détection d’anomalie, ladécouverte d’un virus ou élémentssimilaires.L’architecture centrée sur l’utilisateurd’Aruba prend en compte de la mobilitéau contrôle d’accès. La mobilité est unélément vital étant donné qu’utiliser unerègle de sécurité statique pour traiterun utilisateur mobile a, dans le meilleurdes cas, un effet limité. La solutiond’Aruba combine le contrôle d’accès àune compréhension approfondie desutilisateurs et des dispositifs mobilesafin de créer une solution dynamique quise déplace avec l’utilisateur. La solutionde contrôle d’accès au réseau Arubafournit un environnement mobile auxtrois éléments essentiels du contrôled’accès au réseau : identité, conformitéet application.Identité de l’utilisateurLa première exigence du contrôled’accès au réseau consiste à déterminerl’identité de l’utilisateur et ce qu’il estautorisé à faire. Pour déterminer l’étatd’authentification d’un utilisateur etson rôle au sein de l’entreprise, Arubacommunique avec des bases de donnéestelles que RADIUS, LDAP et ActiveDirectory via une large gamme d’optionsd’authentification. Dans un cadreuniversitaire, par exemple, le contrôled’accès basé sur l’identité de l’utilisateurpermet aux enseignants d’avoir des droitsd’accès différents de ceux des étudiants,et aux visiteurs d’avoir accès à Internetsans que la sécurité interne ne soitcompromise.ConformitéUne fois que l’identité est établie par lebiais de l’authentification, le contrôleurde mobilité Aruba peut considérer laconformité à d’autres facteurs tels que,le comportement de l’utilisateur et lesfacteurs environnementaux. Le contrôleurpeut mettre toutes les informationsrecueillies en corrélation pour fournirle niveau d’accès au réseau adéquat.L’accès au réseau des systèmes nonconformes peut être bloqué entièrementou placé dans un rôle de quarantaine afinqu’une résolution automatique puisseêtre effectuée. La conformité doit êtreprise en compte à la fois au moment del’authentification (préconnexion) et encontinu (postconnexion).Un contrôle préconnexion se baseprincipalement sur la comparaison desparamètres de sécurité du client auxrègles de sécurité de base de l’entreprisetelles que la version de logiciel antivirus,les paramètres de pare-feu ou lescorrectifs du système d’exploitation.Aruba fournit cette vérification de laconformité via la solution ECS.En plus de sa propre solution ECS,Aruba s’intègre à des systèmesd’évaluation de la conformité tiers telsque NAP de Microsoft, NAC de Cisco,UAC de Juniper, InfoExpress, Symantecet autres fournisseurs conformes auxnormes TNC (Trusted Network Connect)du Trusted Computing Group. En tantque membre du Trusted ComputingGroup, Aruba agit comme serveur derègles PEP (Policy Enforcement Point)dans l’architecture TNC et œuvre au seindu groupe de travail TNC à l’élaborationd’une intégration plus étroite et d’une

meilleure normalisation entre lesfournisseurs de systèmes d’évaluationde la conformité.Pour la conformité postconnexion, lescontrôles périodiques des paramètresdu client et l’inspection du trafic entemps réel sont nécessaires. La solutionECS d’Aruba effectue des analysespériodiques des clients associés auréseau et le contrôleur de mobilité Arubautilise le protocole réseau pour s’intégreraux dispositifs de sécurité en ligne afin depouvoir identifier les menaces en tempsréel.Aruba permet à n’importe quel dispositifde service réseau tel qu’une passerelleantivirus, un système de détection/prévention d’intrusion (IDS/IPS), dedétection d’infection ou un proxy de seconnecter à un contrôleur de mobilité viale module logiciel ESI d’Aruba. Le moduleESI inspecte le trafic par protocole etredirige les protocoles spécifiques versune fonction d’équilibrage de chargequi distribue le trafic à une grappe dedispositifs de service réseau.Les dispositifs qui découvrent desinfections ou un comportement nonconforme peuvent signaler des actionsde mise en quarantaine ou liste noireau contrôleur de mobilité Aruba viaune interface de programmation XMLsimple ou un syslog commun. Cetteméthode de conformité postadmissionest également utile pour les dispositifstels que les imprimantes réseau etles téléphones Wi-Fi qui ne peuventpas exécuter un agent de conformitéau point d’extrémité sur leur systèmed’exploitation.Application des règles d’usagedes réseauxUne fois que l’identité et la conformitéont été déterminés, le système Arubaapplique un contrôle d’accès basé surles rôles via des règles de pare-feudynamique souples.Aruba présente un avantage uniquesur les commutateurs de réseau localtraditionnels avec sa mise en applicationbasée sur les pare-feu. Le pare-feuapplicatif d’Aruba contrôle le traficpar utilisateur et applique les règlesen continu. Ceci est particulièrementintéressant pour l’application des rôlesde quarantaine par utilisateur.Dans un commutateur de réseau localclassique, les utilisateurs non conformessont placés dans un réseau local dequarantaine distinct sur lequel les clientspeuvent encore communiquer entreeux, même si leur accès au réseauprincipal est bloqué. Par contre, lorsquel’accès au réseau est accordé par uncontrôleur de mobilité Aruba, les clientsnon conformes sont immédiatementisolés des autres utilisateurs par le biaisdes règles de pare-feu. Ces règles depare-feu peuvent être écrites de manièreà permettre la communication avec lesserveurs de remédiation, et peuventmême appliquer des règles de portailcaptif Web pour afficher des pages Webpersonnalisées aux utilisateurs.L’utilisation d’un pare-feu dynamiquepermet également l’utilisation de règlesdynamiques. Lorsque la caractéristiqued’un utilisateur ou d’un dispositifchange, sa règle de contrôle d’accèschange également. Par exemple, unétudiant qui va d’une zone publique àune salle de classe devrait voir sa règleautomatiquement modifiée en une règleplus restrictive. Comme les différentescaractéristiques d’un utilisateur oud’un dispositif changent sous unenvironnement mobile, il peut êtrelogique d’avoir des règles dynamiquesmodifiant automatiquement les droitsde l’utilisateur en termes de largeur debande disponible, d’application, dequalité de service, etc.Avantages de la solution de contrôle d’accès auréseau ArubaAruba s’engage à fournir auxentreprises, des réseaux sécuriséscentrés sur l’utilisateur. La solutionde contrôle d’accès au réseau ArubaNAC offre une évaluation multipointde l’utilisateur et du dispositif etfournit une application des règles desécurité via un accès câblé, sans fil et àdistance. L’application est universelle,suivant l’utilisateur partout où il seconnecte, et dynamique, changeantchaque fois que l’état de sécurité ou lecomportement est modifié. Avec desventes de clients mobiles deux foissupérieures à celles des postes fixes,les réseaux doivent être conçus pourdes utilisateurs mobiles. En intégrantla mobilité à son contrôle d’accès auréseau, Aruba fournit une solutioncomplète sécurisée pour tous lesutilisateurs, tous les types de dispositifset toutes les méthodes d’accès.Dossier relatif auxapplicationsContrôle d’accès auréseauwww.arubanetworks.com1322 Crossman Avenue. Sunnyvale, CA 94089 | Tél. +1 408.227.4500 | Fax. +1 408.227.4550© 2007 Aruba Networks, Inc. Tous droits réservés. Aruba Networks est une marque commerciale d’Aruba Networks, Inc. Toutes les autres marques commerciales ou marques déposées sont la propriété de leursdétenteurs respectifs. Les spécifications peuvent faire l’objet de modifications sans préavis.AB_NAC_US_071107