Řízení přístupu do sítě

Network Access Control ( NAC ; německy network access control ) je technologie, která podporuje obranu proti virům , červům a neoprávněnému přístupu ze sítě. U NAC se u koncových zařízení kontroluje shoda s pokyny během ověřování . Je z. Pokud například antivirový program není aktuální nebo v klientském operačním systému chybí nejnovější opravná oprava , je dané koncové zařízení umístěno do karantény a bude poskytováno aktuální aktualizace, dokud nebude opět v souladu s příslušnými bezpečnostními pokyny. Zpočátku byly funkce potřebné k tomu distribuovány mezi síťové komponenty, jako jsou směrovače a přepínače . Všechny funkce lze také sdružovat na vytvrzených zařízeních .

úkoly

Klíčovými úkoly jsou:

1. jasná identifikace a rozdělení rolí uživatelů a zařízení
2. Zachování vytvořených bezpečnostních pokynů
3. Karanténa a automatické obnovení nevyhovujících koncových zařízení
4. Správa a tvorba jednotlivých pokynů a rolí pro různé skupiny uživatelů

podmínky

Network Access Control v zásadě splňuje dva požadavky:

Na jedné straně úplný přehled o tom, která zařízení jsou umístěna v (firemní) síti a kde jsou připojena. Typ koncového zařízení, jako jsou klienti, tiskárny, výrobní systémy, bankomaty, lékařské přístroje, tablety, smartphony, chladničky, kávovary atd., Nesmí hrát žádnou roli. Tento přehled brání cizím nebo neznámým systémům v získání přístupu k interní síti (společnosti) jednoduše pomocí WLAN nebo volného síťového soketu. To znamená, že v síti lze provozovat pouze vaše vlastní a schválené systémy.

Druhým požadavkem je takzvaná funkce shody. Jedná se o kontrolu, zda terminály, které jsou již v síti, bezpečnostní požadavky nebo bezpečnostní politiky, jsou v souladu se společností. To obvykle ovlivňuje vlastnosti, jako je stávající instalace a stav antivirového programu nebo brány firewall pro stolní počítače . Kromě toho, zda jsou nainstalovány nejnovější opravy systému Windows a někdy ještě rozsáhlejší kontroly existujících oprav pro běžné aplikace, jako je Firefox nebo Adobe, které lze zneužít.

Cílem je provozovat ve vaší vlastní síti pouze koncová zařízení, která splňují všechny tyto požadavky, a tedy i bezpečnostní pokyny. Pokud systém nevydrží kontrolu, jsou zahájena vhodná protiopatření (karanténa a vyléčení pomocí opravy; překonfigurování systému).

Rozdíly jsou také v interpretaci monitorovaného přístupu k síti ( LAN , WLAN , WAN ). K splnění tohoto požadavku existují různé technické přístupy a implementace i komerční a open source produkty.

Dějiny

Obecně platí, že řízení přístupu k síti je něco, co je předmětem těchto samotných přístupů, protože existují. Existovaly přístupy a produkty, které byly víceméně úspěšné. Heterogenní síťové infrastruktury, nedostatečné pokrytí sítě, vysoká složitost a vysoké náklady jsou nejčastějšími důvody neúspěšných přístupů. Většina společností pro to stále nemá řešení. Kromě toho neexistuje jasná definice pojmu „řízení přístupu k síti“, takže související nabídky se také velmi liší. Další pojmy, které také přispěly ke zmatku, protože se v zásadě týkají stejného tématu, zahrnují „Network Admission Protocol“ (NAP) a „Network Admission Control“ (NAC).

Technologie

Síťové skenování založené na IP

Díky této technologii je síť skenována na použité adresy IP pomocí pingování adresních prostorů nebo načtením mezipamětí ARP routeru . Takto rozpoznaná koncová zařízení jsou pak obvykle přesněji identifikována pomocí dalších skenů, aby se zkontrolovalo, zda se jedná o známá a schválená zařízení.

Pokud jsou zařízení třetích stran rozpoznána, jsou narušena v komunikaci různými technologiemi nebo například přesměrována na portál pro hosty. V některých případech se dokonce používá spoofing ARP , což je ve skutečnosti spíše útočná technologie.

Analýza provozu pomocí zařízení brány

Pro analýzu provozu byla zařízení vytvořena různými výrobci, kteří kontrolují síťový provoz inline a tedy také vidí všechna zařízení, která komunikují v síti. Datové pakety z nežádoucích systémů lze jednoduše „zahodit“ , což znamená, že vetřelci již nemohou nerušeně komunikovat v síti. Problém je v tom, že tato zařízení musí být distribuována po celé síti, aby byla schopna pokrýt každou podoblast. To znamená, že v každé podsíti musí být senzor a monitorovat provoz. To obvykle činí tyto projekty velmi časově náročnými, složitými a především velmi nákladnými, protože v závislosti na velikosti společnosti je třeba zakoupit velké množství zařízení. Kontrola musí být samozřejmě provedena v reálném čase, jinak bude vytvořeno úzké místo, které zpomalí komunikaci v síti a naruší tak každodenní práci. Další slabou stránkou této technologie je, že vetřelci, kteří pouze poslouchají, a proto neposílají žádné datové pakety, nejsou rozpoznáni. Špionáž prostřednictvím jednoduchého odposlechu je stále možná bez omezení.

I když však byla všechna zařízení distribuována všude, existují oblasti, které nelze zaznamenat. Zařízení, která jsou připojena k přepínači, mohou obvykle navzájem komunikovat, aniž by datový provoz probíhal prostřednictvím zařízení NAC. To znamená, že alespoň přímí sousedé mohou být napadeni a také využíváni k proniknutí do širší sítě z těchto zařízení.

Na základě agenta

Zde je na všech koncových zařízeních nainstalován agent, který zajišťuje, že se koncová zařízení mohou autentizovat proti centrální službě v síti a že mezi sebou mohou komunikovat pouze příslušně spravovaná koncová zařízení (šifrovaná). Externí systémy se nemohou připojit přímo k vlastním zařízením společnosti. Velkou výzvou tohoto přístupu je však poskytnout agenty pro mnoho různých operačních systémů a pokrýt tak celou síť.

Kromě proprietárních přístupů zahrnuje tato kategorie také standard IEEE 802.1X, který je mimo jiné založen na použití agentů (žadatelů) již dodaných operačním systémem. Celkové pokrytí všech účastníků sítě však obvykle není zaručeno - zejména starší koncová zařízení a přepínače tuto funkci často nepodporují.

802.1X je podrobně popsán v samostatném článku - pro úplnost je však třeba v tomto bodě zmínit, že se jedná o proaktivní přístup. Pokud je zařízení připojeno k přepínači nebo přístupovému bodu , musí se ověřit pomocí vhodného ID (např. Uživatelské jméno a heslo nebo certifikát ). Přepínač nebo přístupový bod má zase ověřenou platnost ID serverem RADIUS, který kromě možnosti „Přijmout“ nebo „Odepřít“ může také přenášet různá další pravidla jako odpověď, například přiřazené VLAN nebo ACL . Hlavní složitostí je zde správa serveru RADIUS a identit.

Přepínač založený

K tomu se zpravidla používá protokol SNMP , který nabízí možnost komunikace s téměř všemi přepínači, protože tento protokol podporuje téměř každý výrobce podnikových přepínačů. Podle vašich potřeb však z. Lze použít SSH nebo jiné (pokud je to možné šifrované) protokoly.

Tuto komunikaci lze nejprve použít k získání úplného přehledu o síti bez ohledu na velikost sítě. Každé zařízení, které je připojeno k portu přepínače a komunikuje, je rozpoznáno. Jakmile je připojeno nové zařízení, přepínač aktivně informuje systém NAC přes trap nebo se systém NAC pravidelně zeptá přepínače na aktuálně připojená zařízení.

Zařízení jsou identifikována pomocí adresy MAC , a proto se tomuto přístupu často říká „NAC založený na MAC“. Udržováním seznamu povolených je možné definovat, která zařízení jsou povolena v podnikové síti a která nikoli. Přepínač může přijímat příkaz ze systému NAC a překonfigurovat síťový port po stejné komunikační cestě jako detekce. Pokud je tedy cizí nebo nežádoucí systém připojen a odpovídajícím způsobem rozpoznán, z. B. síťový port lze automaticky vypnout - zařízení okamžitě ztratí připojení k síti - fyzicky!

Jak tato technologie dospívá, v přepínačích bylo vytvořeno stále více různých možností, které přinášejí některé výhody. I v nejmenších sítích se dnes VLAN již používají. Virtuální sítě nabízejí pohodlný způsob segmentace sítě bez ohledu na fyzickou strukturu.

Vzhledem k tomu, že VLAN jsou také konfigurovány na přepínačích, je zřejmým rozšířením řízení přístupu k síti nejen proto, aby bylo možné blokovat síťové porty, ale také aby bylo možné je přesměrovat. Externí systémy již nemusí být zcela odděleny od sítě, ale lze je přepnout do samostatné oblasti pro hosty, kde z. B. je nabízen pouze internet.

Problémem zůstává, že adresu MAC lze snadno sfalšovat. Útočník si může vybrat libovolnou adresu - například ji zkopírovat z tiskárny a zadat ji, aby získal přístup k síti.

Z tohoto důvodu některá profesionální řešení jdou o několik kroků dále a porovnávají mnoho dalších vlastností systému, jako je IP adresa, název hostitele , operační systém nebo otevřené a uzavřené porty IP . Ve výsledku to znamená, že vetřelec musí nejen získat MAC adresu, aby získal přístup, ale také všechny ostatní vlastnosti. Pokud se části vlastností liší, může systém NAC odpovídajícím způsobem spustit alarm.

Kromě aspektu zabezpečení lze tímto způsobem zajistit také pohodlnou správu VLAN, protože VLAN patřící koncovému zařízení je vždy automaticky nakonfigurována pro každý port. Výsledkem je, že každý zaměstnanec, bez ohledu na to, kde se připojí, má vždy k dispozici své známé prostředí a zdroje, které potřebuje.

Totožnosti

Při řízení přístupu k síti v zásadě jde o určení a správu identit účastníků sítě a odpovídajícím způsobem udělení nebo odepření přístupu. Je třeba rozlišovat mezi identitami zařízení a identitami uživatelů, protože řízení přístupu do sítě je v prvním kroku orientováno na zařízení. Uživatelé jsou zase ovládáni v síti jinými systémy, například autorizačním systémem ve službě Active Directory nebo jinými adresářovými službami .

Služba Active Directory nebo v zásadě služby LDAP jsou však také oblíbenými zdroji identity, které lze také použít pro řízení přístupu k síti. Existují následující omezení:

• Pouhá úvaha o zařízeních ze služby Active Directory je relativně jednoduchá a obvykle má smysl zjednodušit údržbu. Je však třeba poznamenat, že definice, které skupiny zařízení AD mají být řízeny, v kterém segmentu sítě nebo VLAN musí být dobře naplánována a strukturována, aby změny na jedné nebo druhé straně nezpůsobovaly žádné potíže.
• Pouhý pohled na uživatele z AD rozhodně nestačí. Díky této metodě může každý zaměstnanec vzít s sebou jakékoli zařízení a provozovat ho v síti - skutečné řízení přístupu do sítě již není možné, protože nezajištěná zařízení mohou kdykoli získat plný přístup.
• Kombinace uživatelů a zařízení z AD k určení konkrétních přístupových práv obvykle není příliš snadná a vytváří vysokou úroveň složitosti. Pokud však mají být skutečně poskytovány různé přístupy pro různé uživatele na stejném terminálu, musí být tato pravidla pečlivě naplánována a pečlivě implementována. V závislosti na složitosti přání to může znamenat značné úsilí, které by mělo být předem pečlivě analyzováno, aby se zjistilo, zda je to vůbec účelné a / nebo nutné.
  • Samotná služba Active Directory přesně řídí, který zaměstnanec má přístup na který server a služby ve společnosti prostřednictvím přiřazených oprávnění uživatelů. Pokud se „normální“ zaměstnanec a později správce IT přihlásí ke stejnému zařízení pomocí svého uživatelského účtu, použije se k určení, které přístupy jsou povoleny. Změna segmentu sítě, ve kterém je terminál umístěn, je proto nezbytná pouze v případě, že v aktuálním segmentu sítě nelze dosáhnout systémů požadovaných správcem. K této situaci však obvykle dochází pouze ve velmi velkých a extenzivně strukturovaných sítích. BSI navíc obecně doporučuje neprovádět žádná administrativní opatření ze systému běžných uživatelů. Stávající škodlivý kód by jinak mohl obdržet práva správce a způsobit značné škody.
  • V důsledku toho je v naprosté většině případů dostatečné povolení koncových zařízení nebo omezení pravidel na velmi zvláštní zvláštní případy.

Kromě adresářů Active Directory a LDAP existují různé další zdroje identity, například různé databáze, např. B. ze systémů technické podpory nebo CMDB nebo produktů pro správu mobilních zařízení . V zásadě lze každý adresář s identitami zařízení použít ke zjednodušení zavedení a údržby řízení přístupu k síti. Rozdíly spočívají v tom, že některé „zdroje“ lze ověřit živě, zatímco jiné lze použít pouze ke zjištění identit a za tímto účelem je nutné je synchronizovat se systémem NAC.

Dočasný přístup pro hosty a další návštěvníky

Vzhledem k tomu, že přístup k síti je chráněn před přístupem „nefiremních zařízení“ pomocí nástroje Network Access Control, komerční řešení NAC se obvykle nabízejí ve spojení s portálem pro hosty. Tímto způsobem mohou mít externí zařízení a uživatelé dočasný přístup k definovaným prostředkům - odpovídající identita je v síti dočasně tolerována. Technická implementace takového portálu je podrobně popsána v samostatném článku „ Captive Portal “.

Se stále rozmanitějšími mobilními systémy, složitějšími požadavky zaměstnanců na přístup a rostoucí potřebou techniků údržby mít vyhrazený přístup k síti se tento požadavek zvyšuje.

Na základě tématu „přineste si vlastní zařízení“ se v některých případech rozšiřují portály pro hosty, aby měli zaměstnanci možnost zaregistrovat svá vlastní zařízení a poté je provozovat ve firemní síti.

Dodržování

V souvislosti s řízením přístupu k síti se shoda obecně týká souladu s IT, přičemž je třeba rozlišovat mezi cílem a požadavky. V této souvislosti je obzvláště zajímavé, zda koncová zařízení vyhovují bezpečnostním pokynům a jsou v tomto ohledu „kompatibilní“. Pokyny se pak týkají především bezpečnostně relevantních podrobností, jako je stav antivirového programu (verze, aktivní / neaktivní, stáří podpisů ), stav firewallu na ploše, úroveň opravy (operační systém, prohlížeč , doplňky a další) aplikace), stav šifrování atd.

Tento stav lze určit vzdáleně nebo na základě agentů. Koncová zařízení jsou skenována na dálku hlavně přes WMI, SNMP nebo NMAP. Možné jsou také dotazy založené na prohlížeči přes ActiveX nebo JavaScript . S příslušnými místními právy mají agenti možnost kontrolovat výrazně hlouběji a nespoléhat jen na klíče registru nebo API od jiných výrobců. Takže z. Například verze souborů lze porovnat s cílovými hodnotami pomocí hodnoty hash namísto pouhé kontroly, zda byla instalace záplaty zadána do registrační databáze, zatímco instalace skutečně selhala.

Kromě toho existují různé strategie pro načasování zkoušky. Zatímco agent může trvale kontrolovat stav a Pokud například již víte o stavu koncového zařízení před připojením k síti, je třeba provést testy bez agentů v určitých časech, v určitých situacích a / nebo cyklicky.

Nejbezpečnější možností je absolvovat test před vstupem do sítě, což je v praxi často obtížné. Testy se proto často provádějí později a v případě potřeby vedou k reaktivnímu zablokování systému.

Kromě dvou popsaných variant nabízejí některá řešení řízení přístupu k síti také možnost zjistit stav shody terminálu z produktů třetích stran a podle toho jej zpracovat. Takže z. Například server Microsoft WSUS může sloužit jako zdroj informací o shodě ohledně stavu opravy, antivirová řešení informují systém NAC o infikovaných koncových zařízeních nebo řešení SIEM dávají systému NAC pokyn k izolaci ovlivněných koncových zařízení v případě ohrožení.

Řízení přístupu do sítě má proto v bezpečnostních strategiích zásadní význam, protože možnosti reakce jsou vysoce účinné a lze je realizovat extrémně rychle přímým propojením bezpečnostních systémů.

Viz také

• Softwarově definovaný obvod

webové odkazy

• BSI: Přehledový dokument o řízení přístupu k síti
• Základy kombinace řízení přístupu k síti (NAC) a správy informací a zabezpečení událostí (SIEM)