En déployant son NAC (Network Access Control) via une solution Juniper Infranet UAC intégrée à son Active Directory, le groupe média a fait le choix de la Sécurité avec un “S” majuscule. Celle qui préserve de véritables catastrophes.
“Nous concentrons notre énergie dans des projets de sécurité aux technologies matures et qui, comme la ceinture de sécurité, peuvent ’sauver la vie’. La sécurisation de nos accès ethernet, opérationnelle depuis fin janvier, faisait partie des nécessités”, introduit Didier Martin, IT Infrastructure Manager de RTL Belgium.
D’abord, en raison du caractère hautement critique du réseau : “C’est notre système sanguin. Pas uniquement parce qu’il est partagé par toutes les applications de la maison et qu’il contient toutes nos archives numérisées. Mais parce qu’il est nécessaire à notre production audio et vidéo : les fichiers sont stockés sur des disques et serveurs connectés entre eux et à nos 750 postes via le réseau”. En outre, production et diffusion doivent évidemment être aussi réactifs que possible face à l’actualité : inimaginable d’accepter une indisponibilité du réseau due à un problème de sécurité entraîné par la connexion d’une machine non autorisée !
En parallèle, le NAC devait protéger des dangers pour l’infrastructure que représentent potentiellement les indépendants, pigistes et consultants. “Toutes ces personnes ‘volantes’ peuvent tenter de se connecter facilement au réseau, puisque nous avons des prises Ethernet partout… y compris derrière nos téléphones IP. Nous donnons des accès temporaires aux consultants techniques qui doivent évidemment pouvoir effectuer leur travail sur les systèmes IT, les autres peuvent accéder à l’Internet public en wifi, via un WLAN isolé, et ils utilisent un PC de RTL s’ils doivent se connecter aux ressources internes.”
Des tests sous toutes les coutures
Telindus, le partenaire réseau de RTL Belgium de longue date, l’a rapidement orienté vers une solution Juniper, mûre et interopérable avec sa téléphonie Avaya. A savoir 2 boîtiers UAC (”user access control”) Infranet 4000 en mode cluster pour la redondance, avec intégration aux switches Cisco et à l’Active Directory. Son installation fut précédée d’un proof-of-concept où tous les cas de figure furent validés : connexion sur un port, derrière un téléphone, sur un mini-switch, etc.
“Nous avons particulièrement apprécié le professionnalisme de Telindus lors du PoC, ainsi que son acharnement à trouver des solutions en cas de problème”, pointe Didier Martin qui rappelle la complexité du projet : “ Il impliquait 4 niveaux de systèmes. L’OS Windows du PC client, où la couche logicielle Juniper s’insère assez bas ; la partie switching, où Cisco dialogue avec le PC et Juniper ; puis la partie UAC, où Juniper dialogue avec les switches, les PC et l’Active Directory. A cela, il fallait encore ajouter la partie téléphonie !”.
Concrètement, lorsqu’une machine se connecte sur un port ethernet, le switch vérifie qu’elle appartient bien à l’Active Directory ou qu’elle dispose d’un compte local sur les contrôleurs Infranet. Si c’est le cas, le port est ouvert et le trafic ethernet autorisé. Pour avoir un accès complet au réseau, le contrôleur Infranet doit néanmoins vérifier les critères de conformité de la machine connectée : que l’anti-virus tourne, que la machine peut être accédée par les systèmes de gestion (inventaire, mise à jour…) etc. Si tous les critères ne sont pas rencontrés, elle est isolée du reste des serveurs et du stockage dans un VLAN de remédiation afin de corriger le problème à distance.
Company Profile
RTL Belgium SA (groupe RTL) édite et diffuse des chaînes de TV (RTL-TVI, Club RTL, Plug RTL ) et de radio (Bel RTL, Radio Contact) dont elle assure la régie. Sa division New Media fournit des contenus pour la VOD, les smartphones et les autres médias émergents.
Business benefits
- “Qui/quoi se connecte sur mon LAN, et où ?” maîtrisé
- Absence de PC non autorisés sur le réseau
- Diagnostic et remédiation aisés en cas de refus de connexion : mise en conformité d’un PC ; constat d’un anti-virus défaillant ; fourniture d’accès temporaire
- Consolidation des logs dans une interface qui permet de détecter les bugs
- Solution transparente pour les utilisateurs finaux
Plus d’infos?
Pour de plus amples informations sur Inside Security, rendez-vous sur Belgacom Inside Security ou prenez contact avec votre account manager.
Les commentaires favoris