Verkon käytön hallinta

Verkon pääsynvalvonta ( NAC ; German network access control ) on tekniikka, joka tukee suojautumista viruksilta , matoilta ja luvattomalta pääsyltä verkosta. NAC: n avulla päätelaitteet tarkistetaan ohjeiden mukaiseksi todennuksen aikana . Onko z. Jos esimerkiksi virus skanneri ei ole ajan tasalla tai asiakkaan käyttöjärjestelmästä puuttuu uusimmat tietoturvapäivitykset laastari , lopulta kyseisen laitteen on asetettu karanteeniin ja varustaa nykyinen päivitykset, kunnes se taas täyttää sitä koskevat turvallisuus ohjeet. Aluksi tähän tarvittavat toiminnot jaettiin verkkokomponenteille, kuten reitittimille ja kytkimille . Kaikki toiminnot voidaan pitää myös niputettuina karkaistuihin laitteisiin .

tehtäviä

Päätehtäviä ovat:

1. käyttäjien ja laitteiden selkeä tunnistaminen ja roolien jakaminen
2. Luotujen tietoturvaohjeiden säilyttäminen
3. Yhteensopimattomien päätelaitteiden karanteeni ja automaattinen palautus
4. Hallinta ja yksilöllisten ohjeiden ja roolien luominen eri käyttäjäryhmille

olosuhteissa

Verkon kulunvalvonta täyttää periaatteessa kaksi vaatimusta:

Toisaalta täydellinen kuvaus siitä, mitkä laitteet sijaitsevat (yritys) verkossa ja mihin ne on kytketty. Loppulaitteen tyyppi, kuten asiakkaat, tulostimet, tuotantojärjestelmät, pankkiautomaatit, lääkinnälliset laitteet, tabletit, älypuhelimet, jääkaapit, kahvinkeittimet jne., Eivät saa olla merkitystä. Tämä yleiskatsaus estää vieraita tai tuntemattomia järjestelmiä pääsemästä (yrityksen) sisäiseen verkkoon yksinkertaisesti käyttämällä WLAN-verkkoa tai ilmaista verkkopistoketta. Tämä tarkoittaa, että vain omia ja hyväksymiäsi järjestelmiä voidaan käyttää verkossa.

Toinen vaatimus on ns. Compliance-toiminto, jonka tarkoituksena on tarkistaa, ovatko verkossa jo olevat päätelaitteet, turvallisuusvaatimukset tai turvallisuuspolitiikat yrityksen vaatimusten mukaisia. Tämä vaikuttaa yleensä ominaisuuksiin, kuten nykyiseen asennukseen ja virustentorjuntaohjelman tai työpöydän palomuurin tilaan . Lisäksi onko uusimmat Windows-korjaukset asennettu ja joskus jopa laajemmat tarkistukset olemassa olevista korjauksista yleisiin sovelluksiin, kuten Firefox tai Adobe, joita voidaan hyödyntää.

Tavoitteena on käyttää omassa verkossa vain sellaisia ​​loppulaitteita, jotka täyttävät kaikki nämä vaatimukset ja siten turvallisuusohjeet. Jos järjestelmä ei kestä tarkistusta, aloitetaan asianmukaiset vastatoimet (karanteeni ja parantaminen korjaamalla; järjestelmän uudelleenkokoonpano).

Eroja on myös seurattavan verkkoyhteyden tulkinnassa ( LAN , WLAN , WAN ). Tämän vaatimuksen täyttämiseksi on olemassa erilaisia ​​teknisiä lähestymistapoja ja toteutuksia sekä kaupallisia että avoimen lähdekoodin tuotteita.

historia

Yleensä verkkoon pääsyn hallinta on jotain, josta on keskusteltu, koska juuri nämä pääsyt olivat olemassa. Oli lähestymistapoja ja tuotteita, jotka olivat enemmän tai vähemmän onnistuneita. Heterogeeniset verkkoinfrastruktuurit, riittämätön verkon peitto, korkea monimutkaisuus ja korkeat kustannukset ovat yleisimpiä syitä epäonnistuneisiin lähestymistapoihin. Suurimmalla osalla yrityksistä ei ole vieläkään ratkaisua tähän. Lisäksi termille "verkon kulunvalvonta" ei ole määritelty selkeästi, joten myös siihen liittyvät tarjoukset vaihtelevat suuresti. Muita termejä, jotka ovat myös aiheuttaneet sekaannusta, koska ne koskevat periaatteessa samaa aihetta, ovat "Network Admission Protocol" (NAP) ja "Network Admission Control" (NAC).

Teknologiat

IP-pohjainen verkkoskannaus

Tällä tekniikalla verkko skannataan käytettyjen IP-osoitteiden varalta pingoittamalla osoitetiloja tai lukemalla reitittimen ARP- välimuistit . Tällä tavalla tunnistetut päätelaitteet tunnistetaan sitten tarkemmin jatkotarkistuksilla sen tarkistamiseksi, ovatko ne tunnettuja ja hyväksyttyjä laitteita.

Jos kolmannen osapuolen laitteet tunnistetaan, niiden viestintä häiritsee erilaisia ​​tekniikoita tai esimerkiksi ohjataan vierasportaaliin. Joissakin tapauksissa käytetään jopa ARP-huijausta , joka on itse asiassa enemmän hyökkäystekniikkaa.

Liikenteen analysointi yhdyskäytävälaitteilla

Liikenteen analysointia varten eri valmistajat ovat luoneet laitteita, jotka tarkistavat verkkoliikenteen linjassa ja näkevät siten myös kaikki verkossa kommunikoivat laitteet. Ei- toivottujen järjestelmien datapaketit voidaan yksinkertaisesti "pudottaa" , mikä tarkoittaa, että tunkeilijat eivät voi enää kommunikoida esteettömästi verkossa. Ongelmana on, että nämä laitteet on jaettava koko verkkoon voidakseen kattaa kaikki osa-alueet. Tämä tarkoittaa, että jokaisessa aliverkossa on oltava anturi , joka seuraa liikennettä. Tämä tekee näistä projekteista yleensä erittäin aikaa vieviä, monimutkaisia ​​ja ennen kaikkea erittäin kalliita, koska yrityksen koosta riippuen on ostettava suuri määrä laitteita. Tarkastus on tietysti tehtävä reaaliajassa, muuten syntyy pullonkaula, joka hidastaa viestintää verkossa ja häiritsee siten päivittäistä työtä. Toinen tämän tekniikan heikko kohta on se, että tunkeilijoita, jotka vain kuuntelevat eivätkä siksi lähetä datapaketteja, ei tunnisteta. Vakooja yksinkertaisen salakuuntelun kautta on edelleen mahdollista ilman rajoituksia.

Vaikka sopivia laitteita on jaettu kaikkialle, on alueita, joita ei voida tallentaa. Kytkimeen kiinnitetyt laitteet voivat yleensä olla yhteydessä toisiinsa ilman, että dataliikenne kulkee NAC-laitteen läpi. Tämä tarkoittaa, että ainakin suoria naapureita voidaan hyökätä ja myös käyttää hyväksi tunkeutuakseen laajempaan verkkoon näistä laitteista.

Agenttipohjainen

Tällöin kaikkiin päätelaitteisiin on asennettu agentti, joka varmistaa, että päätelaitteet voivat todentaa itsensä verkon keskuspalvelua vastaan ​​ja että vain asianmukaisesti hallitut (salatut) päätelaitteet voivat olla yhteydessä toisiinsa. Ulkoiset järjestelmät eivät voi muodostaa yhteyttä suoraan yrityksen omiin laitteisiin. Tämän lähestymistavan iso haaste on kuitenkin tarjota agentteja monille erilaisille käyttöjärjestelmille ja siten kattaa koko verkko.

Omistettujen lähestymistapojen lisäksi tähän luokkaan kuuluu myös IEEE 802.1X -standardi, joka muun muassa perustuu käyttöjärjestelmän jo toimittamien aineiden (antajien) käyttöön. Kaikkien verkon osallistujien täydellistä kattavuutta ei kuitenkaan yleensä taata tässäkään - varsinkin vanhemmat päätelaitteet ja kytkimet eivät usein tue tätä toimintoa.

802.1X on laajasti kuvattu erillisessä artikkelissa - täydellisyyden vuoksi on kuitenkin mainittava tässä vaiheessa, että se on ennakoiva lähestymistapa. Jos laite on kytketty kytkimeen tai tukiasemaan , sen on todennettava itsensä sopivalla tunnuksella (esim. Käyttäjänimi ja salasana tai varmenne ). Kytkimellä tai tukiasemalla puolestaan ​​on RADIUS- palvelimen tarkistama tunnuksen kelvollisuus , joka "Hyväksy" tai "Estä" lisäksi voi lähettää vastauksena useita muita sääntöjä, kuten määritetyt VLANit tai ACL: t . Tärkein monimutkaisuus on tässä RADIUS-palvelimen ja identiteettien hallinta.

Vaihda

Tähän käytetään pääsääntöisesti SNMP- protokollaa , joka tarjoaa mahdollisuuden kommunikoida melkein kaikkien kytkimien kanssa, koska melkein kaikki yrityskytkimien valmistajat tukevat tätä protokollaa. Vaatimuksista riippuen kuitenkin z. B. SSH: tä tai muita (jos mahdollista salattuja) protokollia voidaan käyttää.

Tätä tiedonsiirtoa voidaan ensin käyttää täydellisen yleiskuvan saamiseksi verkosta verkon koosta riippumatta. Jokainen kytkinporttiin kytketty ja kommunikoiva laite tunnistetaan. Heti kun uusi laite on kytketty, joko kytkin ilmoittaa aktiivisesti NAC-järjestelmälle ansan kautta tai NAC-järjestelmä kysyy kytkimeltä säännöllisesti kytkettyjä laitteita.

Laitteet tunnistetaan MAC-osoitteen kautta , minkä vuoksi tätä lähestymistapaa kutsutaan usein myös "MAC-pohjaiseksi NAC: ksi". Ylläpitämällä sallittujen luetteloa voit määrittää, mitkä laitteet ovat sallittuja yritysverkossa ja mitkä eivät. Kytkin voi vastaanottaa komennon NAC-järjestelmästä ja konfiguroida verkkoportin uudelleen saman tiedonsiirtopolun kautta kuin havaitseminen. Joten jos vieras tai ei-toivottu järjestelmä on kytketty ja tunnistettu vastaavasti, z. B. verkkoportti voidaan sammuttaa automaattisesti - laite menettää välittömästi verkkoyhteyden - fyysisesti!

Tämän tekniikan kypsyessä kytkimiin on luotu yhä enemmän erilaisia ​​vaihtoehtoja, jotka tuovat joitain etuja. Pienimmissäkin verkoissa VLAN-verkkoja käytetään jo tänään. Virtuaaliverkot tarjoavat kätevän tavan segmentoida verkko fyysisestä rakenteesta riippumatta.

Koska VLAN-verkot on konfiguroitu myös kytkimiin, on verkon käytön valvonnan ilmeinen laajennus paitsi estää verkkoportit myös pystyä ohjaamaan ne uudelleen. Ulkoisia järjestelmiä ei tarvitse enää erottaa kokonaan verkosta, vaan ne voidaan vaihtaa erilliselle vierasalueelle, jossa z. B. Tarjolla on vain Internet.

Ongelmana on edelleen, että MAC-osoite voidaan väärentää helposti. Tunkeilija voi valita minkä tahansa osoitteen - esimerkiksi kopioida sen tulostimelta ja kirjoittaa sen päästäksesi verkkoon.

Tästä syystä joissakin ammattimaisissa ratkaisuissa mennään muutama askel pidemmälle ja verrataan monia muita järjestelmän ominaisuuksia, kuten IP-osoite, isäntänimi , käyttöjärjestelmä tai avoimet ja suljetut IP-portit . Tuloksena tämä tarkoittaa, että tunkeilijan on paitsi väärennettävä MAC-osoite saadakseen pääsyn myös kaikki muut ominaisuudet. Jos ominaisuudet eroavat toisistaan, NAC-järjestelmä voi laukaista hälytyksen vastaavasti.

Turvallisuusnäkökohtien lisäksi VLAN-verkkojen kätevä hallinta voidaan myös luoda tällä tavoin siten, että loppulaitteeseen kuuluva VLAN konfiguroidaan aina automaattisesti jokaiselle portille. Tämän seurauksena jokaisella työntekijällä, riippumatta siitä, missä hän liittyy, on aina tuttu ympäristö ja tarvittavat resurssit käytettävissä.

Identiteetit

Verkkoyhteyttä ohjataessa periaatteena on määrittää ja hallita verkon osallistujien identiteettejä ja myöntää tai kieltää pääsy vastaavasti. Laitetunnukset ja käyttäjätunnukset on erotettava toisistaan, koska verkon kulunvalvonta on ensimmäisessä vaiheessa laitekeskeinen. Käyttäjiä puolestaan ​​ohjaavat verkko muut järjestelmät, kuten Active Directoryn valtuutusjärjestelmä tai muut hakemistopalvelut .

Siitä huolimatta Active Directory tai periaatteessa LDAP- palvelut ovat myös suosittuja identiteettilähteitä, joita voidaan käyttää myös verkon käytön hallintaan. Seuraavia rajoituksia on:

• Pelkkä Active Directoryn laitteiden huomioiminen on suhteellisen yksinkertaista ja yleensä järkevää yksinkertaistaa ylläpitoa. On kuitenkin huomattava, että määrittelyä siitä, mitä AD-laiteryhmiä ohjataan missä verkkosegmentissä tai VLAN: ssä, on oltava hyvin suunniteltu ja jäsennelty siten, että muutokset toisella tai toisella puolella eivät aiheuta vaikeuksia.
• Pelkkä katselu käyttäjiin AD: stä ei todellakaan riitä. Tällä menetelmällä jokainen työntekijä voi tuoda minkä tahansa laitteen mukanaan ja käyttää sitä verkossa - todellinen verkon käytön hallinta ei ole enää mahdollista, koska suojaamattomat laitteet voivat saada täyden pääsyn milloin tahansa.
• AD: n käyttäjien ja laitteiden yhdistelmä erityisten käyttöoikeuksien määrittämiseksi ei yleensä ole kovin helppoa ja luo suuren monimutkaisuuden. Jos kuitenkin samalle päätelaitteelle eri käyttäjille tosiasiallisesti myönnetään erilaisia ​​käyttöoikeuksia, nämä säännöt on suunniteltava huolellisesti ja pantava täytäntöön huolellisesti. Toiveiden monimutkaisuudesta riippuen tämä voi tarkoittaa huomattavaa vaivaa, joka tulisi analysoida huolellisesti etukäteen sen selvittämiseksi, onko se tarkoituksenmukaista ja / tai välttämätöntä.
  • Active Directory itse ohjaa tarkalleen, millä työntekijällä on pääsy mihin palvelimeen ja palveluihin yrityksessä käyttäjien määräämien valtuutusten kautta. Jos "normaali" työntekijä ja myöhemmin IT-järjestelmänvalvoja kirjautuvat sisään samaan laitteeseen käyttäjätilinsä avulla, sitä käytetään hallitsemaan sallittuja pääsyjä. Verkkosegmentin, jossa päätelaite sijaitsee, vaihtaminen on siis tarpeen vain, jos järjestelmänvalvojan tarvitsemia järjestelmiä ei voida saavuttaa nykyisessä verkkosegmentissä. Tämä tilanne esiintyy yleensä vain hyvin suurissa ja laajasti rakenteisissa verkoissa. Lisäksi tase-erä suosittelee yleensä olemaan tekemättä mitään hallinnollisia toimenpiteitä tavallisesta käyttäjäjärjestelmästä. Olemassa oleva haittaohjelma voisi muuten saada järjestelmänvalvojan oikeudet ja aiheuttaa huomattavaa vahinkoa.
  • Tästä johtuen valtaosassa tapauksista riittää päätelaitteiden lupa tai sääntöjen rajoittaminen erityistapauksiin.

Active Directory- ja LDAP-hakemistojen lisäksi on olemassa useita muita identiteettilähteitä, kuten erilaisia ​​tietokantoja, esim. B. Help desk järjestelmiä tai CMDBs tai mobiililaitteiden hallintaa tuotteita. Periaatteessa jokaista laitetunnuksilla varustettua hakemistoa voidaan käyttää yksinkertaistamaan verkon kulunvalvonnan käyttöönottoa ja ylläpitoa. Erot ovat, että jotkut "lähteet" voidaan todentaa reaaliajassa, kun taas toisia voidaan käyttää vain identiteettien oppimiseen ja ne on synkronoitava NAC-järjestelmän kanssa tätä varten.

Tilapäinen pääsy vieraille ja muille vierailijoille

Koska verkkokäyttö on suojattu "yrityksen ulkopuolisten laitteiden" pääsyltä verkon pääsynhallinnalla, kaupallisia NAC-ratkaisuja tarjotaan yleensä vieraskäyttäjien kanssa. Tällä tavalla ulkoisilla laitteilla ja käyttäjillä voi olla väliaikainen pääsy määriteltyihin resursseihin - vastaava identiteetti sallitaan väliaikaisesti verkossa. Tällaisen portaalin tekninen toteutus on kuvattu yksityiskohtaisesti erillisessä artikkelissa " Captive Portal ".

Kun yhä monipuolisemmat matkaviestinjärjestelmät, työntekijöiden entistä monimutkaisemmat käyttöoikeusvaatimukset ja kasvava tarve antaa huoltoteknikoille oma verkkoyhteys, tämä vaatimus kasvaa.

"Tuo oma laite" -teeman ohjaama vierasportaaleja laajennetaan osittain, jotta työntekijöillä on mahdollisuus rekisteröidä omat laitteensa ja käyttää niitä sitten yrityksen verkossa.

Vaatimustenmukaisuus

Verkon kulunvalvonnan yhteydessä noudattaminen tarkoittaa yleensä IT-vaatimustenmukaisuutta, jolloin on tehtävä ero tavoitteen ja vaatimusten välillä. Tässä yhteydessä on erityisen mielenkiintoista, ovatko päätelaitteet turvallisuusohjeiden mukaisia ​​ja "vaatimustenmukaisia" tältä osin. Sitten ohjeet liittyvät ensisijaisesti turvallisuuteen liittyviin yksityiskohtiin, kuten virustentorjuntaohjelman tilaan (versio, aktiivinen / ei-aktiivinen, allekirjoitusten ikä ), työpöydän palomuurin tilaan, korjaustiedostoon (käyttöjärjestelmä, selain , laajennukset ja muut sovellukset), tilaa salaus jne.

Tämä tila voidaan määrittää etänä tai agenttipohjaisesti. Loppulaitteet skannataan etänä pääasiassa WMI: n, SNMP: n tai NMAP: n kautta. Selainpohjaiset kyselyt ActiveX: n tai JavaScriptin kautta ovat myös mahdollisia . Asianmukaisilla paikallisilla oikeuksilla edustajilla on mahdollisuus tarkistaa huomattavasti perusteellisemmin eikä vain luottaa muiden valmistajien rekisteriavaimiin tai sovellusliittymiin . Joten z. Esimerkiksi tiedostoversioita voidaan verrata kohde- arvoihin käyttämällä hash- arvoa sen sijaan, että vain tarkistettaisiin, syötetäänkö korjaustiedoston asennus rekisteröintitietokantaan, kun asennus epäonnistui.

Tentin ajoitukselle on myös erilaisia ​​strategioita. Vaikka agentti voi pysyvästi tarkistaa tilan ja Jos esimerkiksi tiedät jo päätelaitteen tilan ennen verkkoyhteyttä, on agenttittomat testit suoritettava tiettyinä aikoina, tietyissä tilanteissa ja / tai syklisesti.

Turvallisin vaihtoehto on suorittaa testi ennen verkkoon pääsyä, mikä on usein vaikea toteuttaa käytännössä. Siksi testit suoritetaan usein jälkikäteen ja johtavat tarvittaessa järjestelmän reaktiiviseen lukitukseen.

Kuvailtujen kahden vaihtoehdon lisäksi jotkin verkon kulunvalvontaratkaisut tarjoavat myös mahdollisuuden selvittää päätelaitteen vaatimustenmukaisuus kolmannen osapuolen tuotteilta ja käsitellä sitä vastaavasti. Joten z. Esimerkiksi Microsoft WSUS -palvelin voi toimia korjaustiedon vaatimustenmukaisuustietojen lähteenä, virustentorjuntaratkaisut ilmoittavat NAC-järjestelmälle tartunnan saaneista päätelaitteista tai SIEM-ratkaisut antavat NAC-järjestelmälle ohjeet eristää kyseiset päätelaitteet uhkan sattuessa.

Verkon kulunvalvonnalla on siis keskeinen merkitys turvallisuusstrategioissa, koska reaktiomahdollisuudet ovat erittäin tehokkaita ja ne voidaan toteuttaa erittäin nopeasti turvajärjestelmien suoralla kytkemisellä.

Katso myös

• Ohjelmiston määrittelemä alue

nettilinkit

• BSI: Yleiskatsaus verkon kulunvalvonnasta
• Verkon kulunvalvonnan (NAC) sekä suojaustietojen ja tapahtumien hallinnan (SIEM) yhdistämisen perusteet