• Partager sur Viadeo
• Commentaire

Sécurité : prise en main de CounterACT 100 NAC de ForeScout

• 14-01-2009
• Par Matthew D. Sarrel (Sarrel Group)

Cette solution, qui inclut des fonctions de pare-feu et de prévention des intrusions, supporte les commutateurs d'entreprises les plus courants du marché. Elle s'intègre sans problème aux solutions de sécurité de McAfee et Symantec.

• CounterACT 100
• Fabricant : ForeScout

Cette solution, qui inclut des fonctions de pare-feu et de prévention des intrusions, supporte les commutateurs d'entreprises les plus courants du marché. Elle s'intègre sans problème aux solutions de sécurité de McAfee et Symantec.

Les entreprises cherchant à améliorer la protection de leurs réseaux se tournent souvent vers la technologie de contrôle d'accès NAC (network access control) pour gérer les entrées sur l'infrastructure. Dans ce domaine d'application, le produit CounterACT 100 de ForeScout parvient à offrir un support complet des commutateurs (switches) Ethernet pour entreprises les plus courants du marché, comme ceux de Cisco Systems, Juniper Networks, Extreme Networks et Foundry Networks. L'intégration avec le logiciel client d'antivirus et de sécurité, nécessaire pour vérifier le statut de protection et apporter une solution en cas de problème, est acceptable : les produits des grands fournisseurs comme McAfee et Symantec sont supportés, mais pas ceux de plus petits éditeurs comme eEye Digital Security.

CounterACT 100 surveille et examine les ports Ethernet, les appareils connectés, leur trafic réseau, et met en œuvre la stratégie de sécurité. Il utilise des scans NMAP pour identifier les appareils et leurs fonctions, afin de les regrouper de manière logique. C'est un grand progrès dans le domaine des NAC car cela évite d'avoir à classer manuellement chacun de ces périphériques durant l'installation.

Nous avons connecté le port moniteur du CounterACT 100 sur le port miroir récemment configuré d'un switch Trendnet TEG-240WS, puis également le port de réponse du CounterAct. Nous nous sommes servis d'un clavier et d'un écran mais l'opération aurait pu être réalisée avec une console d'accès. L'installation est intuitive et facilitée par des menus. Après avoir redémarré l'unité, nous avons pu récupérer son adresse IP, télécharger l'application CounterACT Console sur notre station de travail et commencer ainsi à établir notre stratégie NAC.

Bien que cela soit relativement facile, essayer de déployer une solution NAC sans avoir préalablement planifié l'opération vous mènera droit à l'échec. Même si la console CounterACT dispose d'une excellente ergonomie et de nombreux menus d'aide contextuelle, vous devrez avoir au minimum conceptualisé votre stratégie sous peine de vous égarer rapidement.

Dans la console de CounterACT, nous avons cliqué sur l'icône en forme de stop pour ouvrir le gestionnaire de stratégies (Policy Manager), puis sur l'icône Add pour ajouter des dossiers nommés Production et Test afin d'organiser nos nouvelles politiques. Une fois dans le répertoire Test, nous avons cliqué sur Add pour ouvrir l'assistant de création de stratégies (Policy Wizard), qui propose soit de choisir parmi différents modèles préétablis, soit d'en créer une sur mesure. On pourra ainsi vérifier que les postes clients n'aient pas d'antivirus, interdire les périphériques de stockage sur les ports USB, exiger une authentification via AD ou LDAP, etc. Des actions peuvent être automatisées pour remédier à des situations définies.

Les seuls reproches à faire au CounterACT 100 sont ses fonctions de prévention des intrusions (IPS). En effet, lors de nos tests, le système n'a su identifier ni des scans NMAP internes, ni des attaques DOS lancées à partir d'un appareil interne. Bien que des fonctions d'IPS existent dans ConterACT 100, nous recommandons l'usage d'une solution externe dédiée.

Les fonctions de reporting et de recherche de données sont exemplaires. Un portail web permet aux utilisateurs enregistrés d'effectuer des requêtes selon divers paramètres comme l'adresse IP, l'adresse Mac ou le système d'exploitation. On peut aisément installer un moteur de recherche Firefox pour interroger le CounterACT 100, afin de faciliter le travail des équipes d'assistance.

L'une des particularités de CounterACT 100 est son intégration avec la plate-forme de vérification des vulnérabilités Retina d'eEye Digital Security. Elle permet ainsi aux organisations exigeantes comme l'armée de combiner les fonctionnalités de sécurité des deux produits, par exemple en interdisant à des appareils connectés d'accéder au réseau s'ils n'ont pas été scannés par Retina depuis plus d'une semaine.

Matthew D. Sarrel est le directeur général de Sarrel Group, un laboratoire de tests IT de New York proposant des services de conseil.

(Adaptation d'un article de eWeek.com.)