Êtes-vous à un clic d un désastre?

Transcription

1 Contrôle d accès réseau (NAC) Êtes-vous à un clic d un désastre? Durcissez votre réseau et placez vos comptes à l abri d une solide protection avec contrôle d accès réseau et gestion des vulnérabilités. Faites le constat. Puis placez la protection indispensable. Veri-NAC

2 Gestion des vulnérabilités et contrôle d accès réseau Contrôlez qui peut se connecter à votre réseau. Les portables inconnus et les points d accès non autorisés ne constituent plus un problème. Découvrez votre parc et comprenez la répartition des unités présentes sur votre réseau, complète et documentée. Protégez votre réseau : trouvez les failles et corrigezles avant qu on ne les exploite. Respectez les exigences ISO 27001, GLBA, HIPAA, PCI et autres standards de sécurité et de confidentialité. Pouvez-vous tolérer la moindre faille? Une faille dans le réseau peut exposer votre entreprise à toutes sortes de dépenses et de charges potentielles. Voici quelques exemples : Récemment, une grande chaîne d hôtels a averti ses clients par courrier et par des annonces en pleine page dans les journaux que les hôtes ayant séjourné dans ses établissements entre novembre 2008 et mai 2009 ont pu voir la confidentialité de leurs numéros de carte de crédit compromise. En avril 2005, quelqu un a pénétré le réseau super-sécurisé du centre spatial Kennedy de la NASA et a inséré un logiciel malveillant qui a envoyé subrepticement des données à un ordinateur situé à Taïwan. En 2007, au moins 45,7 millions de numéros de carte de crédit et de paiement ont été volées dans de nombreux commerces de détail. On pense que le hacker aurait accédé au réseau depuis la connexion sans-fil non sécurisée d un magasin. En 2009, un hacker a été accusé du plus grand vol de données jamais vu : 130 millions de numéros de carte de paiement de nombreuses organisations. En 2008, aux USA, le Centre de lutte contre le vol d identité (ITRC) a rendu compte que les signalement de vols de données et d intrusions réseau avait augmenté de 50% par rapport à l année précédente. Ne soyez pas le sujet de la prochaine alerte! Vous avez un pare-feu pour stopper hackers, virus et malware aux confins du réseau. Un pare-feu est vital pour l exploitation sûre du réseau mais, à la frontière du réseau, il peut seulement vous protéger des menaces provenant de l extérieur de votre réseau. En revanche, les contrôleurs NAC protègent votre réseau des menaces de l intérieur. Les appareils non autorisés reliés au réseau sont de vrais menaces pour votre organisation. Une appliance NAC est conçue pour éviter cela, que la vulnérabilité soit un port LAN dans le hall ou une salle de conférence, ou un point d accès sans-fil. Plus de 95% des failles de sécurité sont le résultat direct de l exploitation d un risque CVE (Common Vulnerability and Exposure). Veri-NAC est une famille d appliances NAC de Black Box qui s assure que seuls les appareils et les utilisateurs autorisés puissent accéder à votre réseau. Elle recherche aussi les vulnéra bi lités dans les ordinateurs reliés à votre réseau, les utilisateurs nomades à leur retour, les systèmes sans-fil, et les nouveaux appareils. Si le Veri-NAC détecte un compte douteux, il réagit en un instant pour bloquer l accès de cet appareil au réseau protégeant votre réseau tout en laissant les équipements sûrs, en ligne et en sécurité. Page

3 Veri-NAC Une seule boîte pour gérer les vulnérabilités et le contrôle d accès réseau (NAC). Sans logiciel client, offre une sécurité solide comme roc dans une appliance facile à déployer. Aucun besoin de faire évoluer l infrastructure : fonctionne avec les commutateurs existants. Opérationnel sur réseau câblé et réseau sans-fil. Protège votre réseau des vulnérabilités dont les pare-feu sont incapables de se défendre. Conçu pour la simplicité Des solutions NAC existent depuis un certain temps mais peinent à se répandre à cause du prix, de la durée d installation et souvent des extensions nécessaires aux équipements. En bref, elles étaient trop compliquées pour être rentables dans la plupart des organisations. Le Veri-NAC, cependant, est conçu pour offrir un maximum de sécurité dans un simple coffret sans client à déployer et qui, de plus, est très abordable. Il ne nécessite pas de longue formation ni de personnel dédié. Inutile de gonfler vos commutateurs : le Veri-NAC est facile à intégrer dans votre réseau. Note produit de SC Magazine Fonctionnalités Facilité d utilisation Performances Documentation Support Rapport qualité/prix Note globale Pour : contrôle d accès totalement dynamique avec audit des équipements du réseau. Contre : rien à signaler. Verdict : famille cohérente de produits NAC matériels clairement destinée à laisser les systèmes et les utilisateurs non autorisés à l écart du réseau. Nous décernons ce mois-ci le statut Recommandé au Veri-NAC. La confiance comme préalable Le Veri-NAC laisse accéder au réseau uniquement les ordinateurs et les appareils qui répondent aux standards que vous spécifiez. Tout équipement réseau a une adresse MAC figée en usine. Le Veri-NAC crée un profil pour chaque appareil, avec son adresse MAC et d autres informations pour ne laisser sur le réseau que des appareils dignes de confiance. Il peut même détecter et bloquer une machine qui essaierait de pénétrer le réseau sous une adresse MAC usurpée (spoofing). Le Veri-NAC cherche aussi à vérifier que chaque machine est conforme à vos standards, y compris un système d exploitation à jour, la gestion des correctifs et des configurations durcies. Si une machine n est pas à jour, son utilisateur est bloqué hors du réseau à l exception des ressources nécessaires à l utilisateur pour mettre l ordinateur en conformité. Protection continuelle Le Veri-NAC explore continuellement le réseau à la recherche d équipements non autorisés qui cherchent à obtenir une adresse IP. En outre, vous pouvez programmer le Veri-NAC pour qu il cherche les vulnérabilités des dispositifs connectés. Aucun logiciel client à déployer Différent d autres systèmes NAC, le Veri-NAC ne nécessite aucun logiciel client à installer sur les machines connectées. Cela simplifie l installation et améliore du même coup la sécurité car de tels logiciels sont vulnérables au hacking. 80% des attaques de réseau réussies à l intérieur de votre réseau proviennent de connexions incontrôlées, comme, par exemple, à partir de «rogue access points» (points d accès indésirables) ou d ordinateurs portables non autorisés. Rentabilité Le coût initial du Veri-NAC est inférieur à celui d autres solutions, mais son installation et sa maintenance coûtent aussi moins cher. Le Veri-NAC fonctionne avec votre réseau existant et les architectures traditionnelles, ce qui vous évite les extensions onéreuses. De plus, le Veri-NAC ne requiert pas de formation formelle et une durée d installation réduite au minimum. Même les organisations dont l effectif informatique est réduit peuvent facilement l ajouter dans leur plan de sécurité sans écrouler leurs ressources. Support technique GRATUIT : en moins de 20 secondes! Page 3

4 Administration du Veri-NAC Configuration rapide et simple Ce puissant système NAC ne prend que quelques minutes à installer. Le Veri-NAC est littéralement une appliance réseau clef en main : branchezla, mettez-la en marche et suivez les instructions simples qui s affichent à l écran pour le configurer. Il est inutile de faire évoluer votre matériel ou vos systèmes d exploitation. L interface utilisateur simplifiée ne nécessite pratiquement pas d apprentissage. Réglage du NAC Auto-détection du parc Ajout / suppression de nœuds du sous-réseau u Gestion du parc : comptes de confiance ou non Page

5 Veri-NAC Rapports détaillés Le Veri-NAC affiche les informations de vulnérabilité du réseau sous la forme de graphiques et de tableaux colorés et faciles à interpréter. D un coup d œil, vous pouvez voir l état de votre réseau et de chaque nœud au sein de votre réseau. Le Veri-NAC poursuit et enregistre les expositions et vulnérabilités courantes (CVE), tout en documentant la politique de l utilisateur final vis à vis de ses initiatives de mise en conformité réglementaire. Opérations à distance Device Status Threat Potential CVE Audit Status Corporate Description Corporate Main Campus Sales Offices N.A. Sales Mfg. Group Assembly Sites Device IP Address Pittsburgh Dallas Veri-NAC Status Icon Legend San Jose Device Status Device not powered on or not working Interprétation de la vulnérabilité Device powered on but not logged in Device powered on and fully operational Threat Potential Untrusted Asset blocked by Veri-NAC Untrusted Asset on network - confirm identity All connected devices are known, trusted assets CVE Audit Status CVE Audit currently running Audit revealed critical vulnerabilities - fix immediately Audit revealed moderate vulnerabilities Audit revealed no vulnerabilities Support technique GRATUIT : en moins de 20 secondes! Page 5

6 Veri-NAC : Questions - Réponses Q : Pourquoi un système NAC en plus d un pare-feu? R : Pour un plan de sécurité complet, il vous faut à la fois un parefeu et un NAC car ils protègent de façon différente. Placé d habitude à la frontière de votre réseau, un pare-feu inspecte les données provenant de l internet, puis refuse ou permet le trafic réseau sur la base d un jeu de règles. Les firewalls font la «police des frontières» et protègent seulement des menaces venant de l extérieur de votre réseau. Le NAC, en revanche, maintient une surveillance sur les ordinateurs et les appareils nomades connectés à votre réseau pour décider s il les laisse y accéder ou non. Si un appareil ou un ordinateur est déterminé à rester non conforme, le NAC peut lui bloquer l accès ou le placer en quarantaine. Les appliances NAC sont plutôt la «police intérieure» et protègent votre réseau des menaces de l intérieur. Q : Le Veri-NAC gère-t-il les ordinateurs invités? R : L accès au réseau des appareils et utilisateurs inconnus (invités, par exemple) peut être soit autorisé, mais avec une marque de méfiance, soit complètement bloqué. Si certains visiteurs souhaitent pouvoir accéder à l internet depuis leur propre portable ou smartphone, le Veri-NAC peut les laisser accéder seulement à l internet tout en leur interdisant d accéder à l intranet de votre structure. Q : Un ordinateur non conforme est-il uniquement laissé hors de votre réseau? R : Vous pouvez régler le Veri-NAC pour qu il réagisse différemment à des ordinateurs non conformes, selon la situation. Par exemple, si le Veri-NAC détecte un appareil avec une adresse MAC inconnue, il peut bloquer cet équipement ou lui donner un accès restreint à un réseau invité. S il détecte un ordinateur vulnérable au logiciel périmé, il peut le verrouiller hors réseau ou mettre en quarantaine les ports vulnérables, en lui ouvrant un accès partiel au réseau, tour en envoyant un message à votre équipe informatique pour qu elle mettre à jour le logiciel. Q : Est-il possible de contrôler centralement plusieurs appliances Veri-NAC dans notre réseau d entreprise? R : Oui, les Veri-NAC 5400, 5600 et 5800 possèdent un Centre de commandes qui vous permet d accéder à toutes les unités globalement et à travers les emplacement distants, depuis un point central. Plusieurs appliances Veri-NAC peuvent se partager la même liste d adresses MAC authentifiées et le même jeu de politiques. Il vous est aussi possible d affecter le même mot de passe à tous les Veri-NAC de votre réseau. Q : Le Veri-NAC réduit-il les performances réseau? R : Non, le Veri-NAC n est pas un dispositif en ligne et n affectera pas des performances du réseau de façon négative. Dans des conditions normales, le Veri-NAC n utilise qu à peu près 7 kbits/s de bande passante pour bloquer des utilisateurs indésirables, et entre 40 et 120 kbits/s pendant un audit des vulnérabilités. Cette faible part de bande passante ne suffit pas pour percevoir une différence de performances dans la plupart des circonstances. Q : Le Veri-NAC requiert-il des switchs 802.1x? R : Non. Le Veri-NAC marche avec tous les commutateurs Ethernet, même d anciens switchs ou des switchs génériques d entrée de gamme. Il est inutile de faire évoluer votre infrastructure vers des switchs 802.1x. Q : La plupart des offres NAC concurrentes requièrent un logiciel client. Le Veri-NAC peutil fonctionner efficacement sans client? R : Oui! Les logiciels clients (agents) étaient conçus à l origine pour aider à vérifier l intégrité des équipements du réseau. Mais tous ces clients sont maintenant réputés facilement «hackables», ce qui crée une vulnérabilité dans votre architecture de sécurité. De plus, de tels logiciels ne peuvent tourner sur la plupart des plates-formes non-pc comme les téléphones VoIP, les imprimantes réseau, les smartphones ou les PDA, les lecteurs de codes à barre, les portiers sur IP et les points d accès, ce qui laisse un grand nombre d appareils incapables d être pris en compte par les solutions NAC reposant sur des clients. Black Box a volontairement conçu le Veri-NAC sans client. Page

7 Veri-NAC La solution compétitive Le Veri-NAC de Black Box n est pas seulement à un prix compétitif, il offre aussi plus de fonctionnalités et effectue nécessite moins de ressources sur votre système que bien d autres solutions NAC. De plus, le Veri-NAC est couvert par le Support technique GRATUIT. Guide d achat Comparatif des solutions NAC Marque Produit Prix par sous-réseau de classe C Durée moyenne de réglage et formation Totalement sans client et non en ligne, durci Protection contre les usurpations IP et MAC Outils de reporting sur la conformité et les évaluations Audit certifié CVE Rapports workflow et CVE Black Box Veri-NAC minutes Oui Oui Oui Oui Oui Black Box Veri-NAC minutes Oui Oui Oui Oui Oui Cisco Systems Inc. Network Access Control (NAC) 2 semaines Non Non Non Non Non Microsoft Corporation Network Access Protection (NAP) 2 semaines Non Non Non Non Non Juniper Networks Unified Access Controller (UAC) 1 semaine Non Non Non Non Non Enterasys Networks, Inc. Sentinel 2 jours Non Non Non Non Non Check Point Software TechNonlogies Ltd. Integrity 3 jours Non Non Non Non Non ForeScout TechNonlogies CounterACT 2 jours Non Non Non Non Non Mirage Networks, Inc. CounterPoint 2 jours Non Non Non Non Non Symantec Corporation Network Access Control 11 4 jours Non Non Non Non Non Bradford Networks NAC Director 2 jours Non Non Non Non Non Sophos Plc. NAC Advanced 3 jours Non Non Non Non Non À propos de Black Box Black Box Network Services est l un des grands fournisseurs de solutions de sécurité et de réseaux, au service de clients répartis dans 141 pays avec 193 bureaux dans le monde. Le catalogue et les site web de Black Box offrent plus de produits, y compris des produits de sécurité comme l Optinet pour la gestion de bande passante et l optimisation de réseau. Pour plus de détails, voir Black Box propose aussi des pare-feux, des switchs Ethernet, des convertisseurs de média, ainsi que des armoires, bâtis, câbles et cordons, connecteurs et autres produits d infrastructure informatique et réseau. Pour visualiser la gamme complète proposée par Black Box, visitez notre site web Black Box est aussi connu comme la plus vaste société au monde de services techniques dédiés à la conception, la mise en œuvre et la maintenance des systèmes d infrastructure voix et données compliqués d aujourd hui. Support technique GRATUIT : en moins de 20 secondes! Page 7

8 Taillé pour tous les réseaux Différents modèles de Veri-NAC existent pour toutes les applications, du petit réseau de bureau au vaste réseau d entreprise comprenant plusieurs milliers de nœuds. Les modèles 5400, 5600 et 5800 incluent un Centre de commandes pour la gestion sûre et centralisée de plusieurs appliances Veri-NAC de façon à pouvoir protéger toute votre structure, du bureau jusqu au siège. Ces modèles incluent aussi des outils de politique ISO qui simplifient les efforts de mise en conformité de votre organisation. Guide d achat Veri-NAC Veri-NAC Modèle Format H 1U x P 29 cm H 1U x P 29 cm H 1U x P 36 cm H 1U x P 36 cm H 1U x P 36 cm NAC sans client Audit des vulnérabilités terminales Nombre maxi d audits simultanés d équipements Auto-découverte Alerte sur inventaire Détection MAC spoofing Blocage spoofing MAC & IP Nombre de nœuds protégés (connectés directement) Nombre total de nœuds protégés et administrés (via plusieurs appliances Veri-NAC) Jusqu à 250 Jusqu à 500 Jusqu à Jusqu à Jusqu à Jusqu à 250 Jusqu à 500 Jusqu à Jusqu à Jusqu à Sous-réseaux (connectés directement) Protection Multi-VLAN 10 VLAN 20 VLAN 40 VLAN 60 VLAN 80 VLAN Logiciel Centre de commandes Nombre d autres appliances Veri-NAC administrables par le Centre de commandes Administration distante depuis le Centre de commandes Illimité Multiples Logins utilisateurs Moteur de Workflow Outils de suivi ISO Code produit LVN5200A LVN5250A LVN5400A LVN5600A LVN5800A Prix catalogue (hors taxes) * * * * * Extension 12 mois de plus service/support/garantie Extension 36 mois de plus service/support/garantie Extension 12 mois de plus mises à jour quotidienne des vulnérabilités & garantie étendue Extension 36 mois de plus mises à jour quotidienne des vulnérabilités & garantie étendue 330 * 630 * 750 * * * * * * * * * prix hors taxes indicatifs au 23 avril 2010, modifiables sans préavis Copyright Tous droits réservés. Black Box Corporation. Black Box et le logo Double Diamond sont des marques déposées, Veri- NAC et Optinet sont des marques de BB Technologies, Inc. CVE * est une marque déposée de Mitre Corporation. Toutes les autres marques figurant dans cette brochure sont réputées appartenir à leur propriétaires respectifs. *Le programme CVE est financé par le Ministère de l intérieur et de la sécurité, aux États-Unis (U.S. Department of Homeland Security)