NAC (Network Access Control)
Définition
NAC (Network Access Control) est une solution de sécurité qui applique des politiques sur les appareils tentant d’accéder à un réseau. Il contrôle qui et quoi peut se connecter, où ils peuvent se connecter, et quelles ressources ils peuvent accéder en fonction de l’identité, de la posture de l’appareil et du contexte.
Le NAC est un composant central de l’architecture Zero Trust, garantissant que seuls les appareils autorisés et conformes obtiennent un accès réseau.
Composants NAC
| Composant |
Description |
| Policy Engine |
Prend des décisions d’accès basées sur les règles de politique |
| Authentication |
Vérifie l’identité (802.1X, MAB, web auth) |
| Device Profiling |
Identifie le type d’appareil (BYOD, IoT, serveur) |
| Compliance Check |
Vérifie la santé de l’appareil (antivirus, patches, chiffrement) |
| Enforcement Point |
Périphériques réseau qui appliquent l’accès (commutateurs, WLC, firewall) |
| Directory Integration |
Se connecte à LDAP/Active Directory pour les infos utilisateur/appareil |
Méthodes d’authentification NAC
| Méthode |
Description |
Cas d’usage |
| 802.1X |
Contrôle d’accès réseau basé sur le port (EAP) |
Appareils d’entreprise, haute sécurité |
| MAB (MAC Authentication Bypass) |
Authentification par adresse MAC |
IoT, imprimantes, téléphones IP |
| Web Auth (Captive Portal) |
Formulaire de connexion basé navigateur |
Wi-Fi invité, BYOD |
| VPN |
Identifiants VPN pour l’accès distant |
Télétravailleurs |
| SSO |
Intégration single sign-on |
Intégration SSO entreprise |
Architecture NAC
Appareil ───▶ Switch/WLC/Firewall (Enforcement Point) ───▶ Policy Server
│ │
│ 802.1X / MAB / Web Auth │
│ │
▼ ▼
Directory (LDAP/AD) Policy Engine
(infos utilisateur/appareil) (règles d'accès)
Actions d’application NAC
| Action |
Description |
| Allow full access |
L’appareil est conforme, accorder un accès réseau complet |
| Allow limited access |
L’appareil est partiellement conforme, VLAN restreint |
| Quarantine |
Appareil envoyé au VLAN de remédiation |
| Deny |
Appareil non autorisé, bloqué entièrement |
| Redirect |
Envoyer au captive portal ou à la page de remédiation |
NAC vs Firewall
| Fonctionnalité |
NAC |
Firewall |
| Portée |
Niveau appareil (qui/quoi se connecte) |
Niveau trafic (ce qui circule) |
| Couche |
L2/L3 (basé sur le port) |
L3/L4+ (basé sur les paquets) |
| Application |
Port réseau/VLAN |
Filtrage de paquets |
| Device profiling |
Oui |
Non |
| Vérification de conformité |
Oui |
Non |
| Cas d’usage |
Intégration, contrôle d’accès |
Filtrage de trafic, protection |
NAC dans Zero Trust
| Principe Zero Trust |
Contribution NAC |
| Vérifier explicitement |
Le NAC authentifie chaque appareil |
| Moindre privilège |
Le NAC assigne des VLANs à accès minimal |
| Supposer la violation |
Le NAC isole les appareils compromis |
| Confiance de l’appareil |
Le NAC profile et valide les appareils |
| Context-aware |
Le NAC utilise la localisation, l’heure, le type d’appareil |
Solutions NAC
| Solution |
Type |
Notes |
| Cisco ISE |
Enterprise |
Leader du marché, complète |
| Aruba ClearPass |
Enterprise |
Forte intégration Wi-Fi |
| Fortinet NAC |
Mid-market |
Intégré avec FortiGate |
| OpenNAC |
Open-source |
Communautaire |
| Unifi NAC |
SMB |
Intégré à l’écosystème Unifi |
| WPA2-Enterprise |
Wi-Fi uniquement |
802.1X pour Wi-Fi |
Étapes d’implémentation NAC
- Inventorier les appareils — identifier tous les types d’appareils sur le réseau
- Définir les politiques — qui obtient l’accès à quoi
- Déployer l’authentification — 802.1X, MAB ou web auth
- Configurer l’application — VLANs, ACLs, quarantine
- Intégrer le répertoire — LDAP/AD pour les infos utilisateur/appareil
- Surveiller et ajuster — ajuster les politiques en fonction de l’utilisation
Termes liés
- Zero Trust — norme d’authentification NAC
- Firewall — le NAC contrôle l’accès ; le firewall contrôle le trafic
- Vlan — le NAC s’intègre avec IAM pour l’identité
- VPN — le NAC peut appliquer les politiques d’accès VPN
Références
