Hálózati hozzáférés-vezérlés

A hálózati hozzáférés-vezérlés ( NAC ; német hálózati hozzáférés-vezérlés ) egy olyan technológia, amely támogatja a vírusok , férgek és a hálózatból való illetéktelen hozzáférés elleni védekezést . A NAC használatával a hitelesítés során ellenőrizzük, hogy a végberendezések megfelelnek-e az irányelveknek. Van z. Ha például a víruskereső nem naprakész vagy az ügyfél operációs rendszeréből hiányzik a legújabb biztonsági javítás , az érintett végberendezést karanténba helyezik és aktuális frissítésekkel látják el, amíg ismét megfelel az alkalmazandó biztonsági irányelveknek. Kezdetben az ehhez szükséges funkciókat elosztották a hálózati összetevők, például az útválasztók és a kapcsolók között . Az összes funkcionalitás megtartható edzett készülékeken is .

feladatok

Az alapvető feladatok a következők:

1. a felhasználók és az eszközök egyértelmű azonosítása és szereposztásuk
2. A létrehozott biztonsági irányelvek megőrzése
3. A nem megfelelő végberendezések karanténba helyezése és automatikus helyreállítása
4. Adminisztráció és egyedi irányelvek és szerepkörök létrehozása a különböző felhasználói csoportok számára

körülmények

A hálózati hozzáférés-vezérlés alapvetően két követelménynek felel meg:

Egyrészt teljes áttekintés arról, hogy mely eszközök találhatók a (vállalati) hálózatban és hol vannak csatlakoztatva. A végkészülék típusa, például az ügyfelek, nyomtatók, gyártási rendszerek, ATM-ek, orvosi eszközök, táblagépek, okostelefonok, hűtőszekrények, kávéfőzők stb. Nem játszhatnak szerepet. Ez az áttekintés megakadályozza, hogy idegen vagy ismeretlen rendszerek egyszerűen hozzáférjenek a (vállalati) belső hálózathoz, egyszerűen a WLAN vagy egy ingyenes hálózati aljzat használatával. Ez azt jelenti, hogy a hálózatban csak a saját és jóváhagyott rendszereit lehet működtetni.

A második követelmény egy úgynevezett megfelelőségi funkció, amelynek célja annak ellenőrzése, hogy a már hálózatban lévő terminálok, a biztonsági követelmények vagy a biztonsági irányelvek megfelelnek-e a vállalatnak. Ez általában befolyásolja az olyan tulajdonságokat, mint a meglévő telepítés, valamint egy víruskereső program vagy egy asztali tűzfal állapotát . Ezenkívül, hogy a legújabb Windows javítások vannak-e telepítve, és néha még szélesebb körben ellenőrzi a meglévő javításokat olyan általános alkalmazásokhoz, mint például a Firefox vagy az Adobe, amelyek kihasználhatók.

A cél az, hogy a saját hálózatán belül csak olyan végberendezéseket működtessen, amelyek megfelelnek ezeknek a követelményeknek, és így a biztonsági irányelveknek. Ha egy rendszer nem bírja a felülvizsgálatot, megfelelő ellenintézkedéseket (karanténba helyezés és javítással történő gyógyítás; a rendszer újrakonfigurálása) kezdeményeznek.

Különbségek vannak a monitorozandó hálózati hozzáférés ( LAN , WLAN , WAN ) értelmezésében is. Különböző technikai megközelítések és megvalósítások léteznek, valamint kereskedelmi és nyílt forráskódú termékek is megfelelnek ennek a követelménynek .

történelem

Általánosságban elmondható, hogy a hálózati hozzáférés vezérlése megvitatásra került, mivel éppen ezek a hozzáférések léteztek. Voltak megközelítések és termékek, amelyek többé-kevésbé sikeresek voltak. A heterogén hálózati infrastruktúrák, az elégtelen hálózati lefedettség, a magas bonyolultság és a magas költségek a sikertelen megközelítések leggyakoribb okai. A vállalatok többségének erre még mindig nincs megoldása. Ezenkívül nincs egyértelmű meghatározása a "hálózati hozzáférés-vezérlés" kifejezésnek, így a kapcsolódó ajánlatok is nagyban változnak. Más kifejezések, amelyek szintén hozzájárultak a zavartsághoz, mivel alapvetően ugyanazt a témát érintik, magukban foglalják a „Network Admission Protocol” (NAP) és a „Network Admission Control” (NAC) kifejezéseket.

Technológiák

IP alapú hálózati szkennelés

Ezzel a technológiával a hálózat megvizsgálja az IP-címeket a címterek pingelésével vagy az útválasztó ARP gyorsítótárainak kiolvasásával . Az így felismert végberendezéseket ezután további vizsgálatokkal pontosabban azonosítják, hogy ellenőrizzék-e ismert és jóváhagyott eszközöket.

Ha harmadik féltől származó eszközöket ismerünk fel, kommunikációjukat különféle technológiák zavarják meg, vagy például egy vendégportálra irányítják át. Bizonyos esetekben még az ARP-hamisítást is használják, ami valójában inkább támadási technológia.

Forgalomelemzés átjáró készülékekkel

Forgalomelemzés céljából különféle gyártók készítettek készülékeket, amelyek ellenőrzik a hálózati forgalmat, és így minden olyan eszközt is látnak, amelyik kommunikál a hálózatban. A nem kívánt rendszerekből származó adatcsomagok egyszerűen "eldobhatók" , ami azt jelenti, hogy a behatolók már nem tudnak akadálytalanul kommunikálni a hálózatban. A probléma itt az, hogy ezeket a készülékeket el kell osztani a hálózaton, hogy minden részterületet lefedhessenek. Ez azt jelenti, hogy minden alhálózatban kell lennie érzékelőnek , és figyelnie kell a forgalmat. Ez általában nagyon időigényessé, összetetté és mindenekelőtt nagyon drágává teszi ezeket a projekteket, mivel a vállalat méretétől függően nagyszámú eszközt kell vásárolni. Az ellenőrzést természetesen valós időben kell elvégezni, különben olyan szűk keresztmetszet jön létre, amely lelassítja a kommunikációt a hálózatban, és ezáltal megzavarja a mindennapi munkát. A technológia másik gyenge pontja, hogy a behatolókat, akik csak hallgatnak, és ezért nem küldenek semmilyen adatcsomagot, nem ismerik fel. Az egyszerű lehallgatás révén kémkedés továbbra is lehetséges korlátozások nélkül.

Még akkor is, ha a megfelelő készülékeket mindenhol elosztották, vannak olyan területek, amelyeket nem lehet rögzíteni. Az eszközök, amelyek kapcsolódnak a switch általában egymással kommunikálni anélkül adatforgalom fut át egy NAC. Ez azt jelenti, hogy legalább a közvetlen szomszédok megtámadhatók és kihasználhatók is annak érdekében, hogy ezekről az eszközökről behatolhassanak a szélesebb hálózatba.

Ügynök alapú

Itt minden végberendezésre egy ügynököt telepítenek , amely biztosítja, hogy a végberendezések hitelesíthessék magukat a hálózat központi szolgáltatásaival szemben, és hogy csak a megfelelően kezelt (titkosított) végberendezések tudnak kommunikálni egymással. A külső rendszerek nem tudnak közvetlenül csatlakozni a vállalat saját eszközeihez. Ennek a megközelítésnek a nagy kihívása azonban az, hogy ügynököket biztosítson a sokféle operációs rendszer számára, és ezáltal lefedje az egész hálózatot.

A szabadalmaztatott megközelítések mellett ebbe a kategóriába tartozik az IEEE 802.1X szabvány is, amely többek között az operációs rendszer által már szállított szerek (kérők) használatán alapul. Ennek ellenére a hálózati résztvevők teljes lefedettsége itt sem garantált - különösen a régebbi végberendezések és kapcsolók gyakran nem támogatják ezt a funkciót.

A 802.1X- et külön cikkben részletesen leírják - a teljesség kedvéért azonban meg kell említeni ezen a ponton, hogy proaktív megközelítésről van szó. Ha egy eszköz kapcsolóhoz vagy hozzáférési ponthoz van csatlakoztatva , akkor megfelelő azonosítóval (pl. Felhasználónév és jelszó vagy tanúsítvány ) kell hitelesítenie magát . A kapcsolónak vagy a hozzáférési pontnak viszont van egy RADIUS- kiszolgáló által ellenőrzött azonosítójának érvényessége , amely az „Elfogadás” vagy „Elutasítás” mellett válaszként számos más szabályt is továbbíthat, például hozzárendelt VLAN-okat vagy ACL-ek . A fő összetettség itt a RADIUS szerver és az identitások adminisztrációja.

Váltás alapú

Erre általában SNMP protokollt használnak , amely lehetőséget nyújt a kommunikációra szinte az összes kapcsolóval, mivel az üzleti kapcsolók szinte minden gyártója támogatja ezt a protokollt. A követelményektől függően azonban z. B. SSH vagy más (ha lehetséges, titkosított) protokollok használhatók.

Ezt a kommunikációt először a hálózat teljes áttekintésének megszerzésére lehet használni, a hálózat méretétől függetlenül. Minden olyan készülék felismerésre kerül, amely kapcsolóportra csatlakozik és kommunikál. Amint új eszköz csatlakozik, vagy a kapcsoló egy csapda révén aktívan tájékoztatja a NAC rendszert, vagy a NAC rendszer rendszeresen megkérdezi a kapcsolót az éppen csatlakoztatott eszközökről.

Az eszközöket a MAC címen keresztül azonosítják , ezért ezt a megközelítést gyakran "MAC-alapú NAC" -nak is nevezik. Az engedélyezési lista fenntartásával meghatározhatja , hogy mely eszközök engedélyezettek a vállalati hálózatban, és melyek nem. Egy kapcsoló fogadhat egy parancsot a NAC rendszertől, és az észleléssel azonos kommunikációs útvonalon átkonfigurálhatja a hálózati portot. Tehát, ha idegen vagy nem kívánt rendszert csatlakoztatnak és ennek megfelelően ismerik fel, z. B. a hálózati port automatikusan kikapcsolható - a készülék azonnal elveszíti a hálózati kapcsolatot - fizikailag!

Ahogy ez a technológia érlelődik, egyre több különböző lehetőséget hoztak létre a kapcsolókban, amelyek bizonyos előnyökkel járnak. A legkisebb hálózatokban is ma már használják a VLAN-okat. A virtuális hálózatok a hálózat felépítésének kényelmes módját kínálják, függetlenül a fizikai struktúrától.

Mivel a VLAN-ok a kapcsolókon is konfigurálva vannak, a Hálózati hozzáférés-vezérlés nyilvánvaló kiterjesztése nemcsak a hálózati portok blokkolása, hanem az átirányításuk is. A külső rendszereket már nem kell teljesen elválasztani a hálózattól, hanem külön vendégtérre lehet kapcsolni, ahol z. B. csak az internetet kínálják.

A probléma továbbra is az, hogy a MAC cím nagyon könnyen hamisítható. A behatoló bármilyen címet választhat - például lemásolhatja a nyomtatóról, és beírhatja a hálózati hozzáférés megszerzéséhez.

Ezért néhány professzionális megoldás néhány lépéssel tovább lép, és összehasonlítja számos más rendszer tulajdonságát, például az IP-címet, a gazdagép nevét , az operációs rendszert vagy a nyitott és zárt IP-portokat . Ennek eredményeként ez azt jelenti, hogy a behatolónak nemcsak a MAC-címet kell hamisítania a hozzáférés érdekében, hanem az összes többi tulajdonságot is. Ha a tulajdonságok egyes részei eltérnek, akkor a NAC rendszer ennek megfelelően riasztást indíthat el.

A biztonsági szempont mellett a VLAN-ok kényelmes kezelése is létrehozható ily módon, hogy a végberendezéshez tartozó VLAN mindig automatikusan konfigurálásra kerül az egyes portokhoz. Ennek eredményeként minden alkalmazottnak, függetlenül attól, hogy csatlakozik-e, mindig rendelkezésre áll megszokott környezete és a szükséges erőforrások.

Identitás

A hálózati hozzáférés ellenőrzése során az alapelv a hálózati résztvevők kilétének meghatározása és kezelése, valamint a hozzáférés ennek megfelelő megadása vagy megtagadása. Különbséget kell tenni az eszközazonosságok és a felhasználói azonosítók között, mivel a hálózati hozzáférés-vezérlés első lépésben eszközorientált. A felhasználókat viszont a hálózaton belül más rendszerek, például az Active Directory engedélyezési rendszere vagy más címtárszolgáltatások irányítják .

Ennek ellenére az Active Directory vagy elvben az LDAP- szolgáltatások szintén népszerű identitásforrások, amelyek hálózati hozzáférés-vezérléshez is felhasználhatók. A következő korlátozások vannak:

• Az eszközök puszta figyelembevétele az Active Directory-ból viszonylag egyszerű, és általában ésszerű a karbantartás egyszerűsítése. Meg kell azonban jegyezni, hogy annak meghatározását, hogy melyik AD eszközcsoportokat mely hálózati szegmensben vagy VLAN-ban kell ellenőrizni, jól kell megtervezni és felépíteni, hogy az egyik vagy a másik oldal változásai ne okozzanak nehézségeket.
• Egyszerűen nem elég, ha az AD-ből nézzük a felhasználókat. Ezzel a módszerrel minden alkalmazott képes bármilyen eszközt magával hozni és a hálózatban működtetni - a hálózati hozzáférés valódi ellenőrzése már nem lehetséges, mert a nem biztonságos eszközök bármikor teljes hozzáférést kaphatnak.
• A felhasználók és az AD-től származó eszközök kombinációja a konkrét hozzáférési jogok meghatározásához általában nem túl egyszerű, és magas szintű bonyolultságot eredményez. Ha azonban ugyanazon a terminálon különböző felhasználók számára valójában különböző hozzáféréseket kell biztosítani, ezeket a szabályokat gondosan meg kell tervezni és gondosan végrehajtani. A kívánságok összetettségétől függően ez jelentős erőfeszítést jelenthet, amelyet előzetesen alaposan elemezni kell annak megállapítása érdekében, hogy egyáltalán célszerű-e és / vagy szükséges-e.
  • Az Active Directory maga szabályozza, hogy a felhasználók hozzárendelt jogosultságain keresztül melyik alkalmazott melyik kiszolgálóhoz és szolgáltatásokhoz férhet hozzá. Ha egy "normál" alkalmazott és később egy informatikai rendszergazda bejelentkezik ugyanarra az eszközre a felhasználói fiókjával, akkor ezzel szabályozható, hogy mely hozzáférések engedélyezettek. Ezért a hálózati szegmens megváltoztatása, amelyben a terminál található, csak akkor szükséges, ha a rendszergazda által igényelt rendszerek nem érhetők el az aktuális hálózati szegmensben. Ez a helyzet általában csak nagyon nagy és kiterjedten felépített hálózatokban fordul elő. Ezenkívül a BSI általában azt javasolja, hogy ne végezzen adminisztratív intézkedéseket a rendszeres felhasználói rendszerből. A meglévő rosszindulatú kód különben adminisztratív jogokat kaphat, és jelentős károkat okozhat.
  • Következésképpen az esetek túlnyomó többségében elegendő a végberendezések engedélyezése, vagy a szabályok rendkívül különleges esetekre történő csökkentése.

Az Active Directory és az LDAP könyvtárak mellett számos más identitásforrás is létezik, például különféle adatbázisok, pl. B. Ügyfélszolgálati rendszerek, CMDB-k vagy mobileszköz-kezelő termékek. Alapvetően minden eszközazonosítóval ellátott könyvtár használható a hálózati hozzáférés-vezérlés bevezetésének és karbantartásának egyszerűsítésére. A különbségek az, hogy egyes „források” élőben hitelesíthetők, míg mások csak az identitások megismerésére használhatók, és ehhez szinkronizálni kell őket a NAC rendszerrel.

Ideiglenes hozzáférés a vendégek és más látogatók számára

Mivel a hálózati hozzáférést a hálózati hozzáférés-vezérlés védi a "vállalaton kívüli eszközök" hozzáférésétől, a kereskedelmi NAC megoldásokat általában vendégportálral együtt kínálják. Ily módon a külső eszközök és a felhasználók ideiglenesen hozzáférhetnek a meghatározott erőforrásokhoz - a megfelelő identitást ideiglenesen tolerálják a hálózatban. Egy ilyen portál technikai megvalósítását részletesen leírja a különálló " Captive Portal " cikk.

Az egyre változatosabb mobil rendszerek, az alkalmazottak bonyolultabb hozzáférési követelményei és az egyre növekvő igény, hogy a karbantartó szakemberek dedikált hálózati hozzáférést kapjanak, ez a követelmény növekszik.

A "hozza magával a készülékét" téma vezérli a vendégportálokat részben annak érdekében, hogy az alkalmazottak lehetőséget kapjanak saját eszközeik regisztrálására, majd a vállalati hálózatban történő működtetésére.

Megfelelés

A hálózati hozzáférés-ellenőrzéssel kapcsolatban a megfelelés általában az informatikai megfelelésre vonatkozik, amelynél különbséget kell tenni a cél és a követelmények között. Ebben az összefüggésben különösen érdekes, hogy a végberendezések megfelelnek-e a biztonsági irányelveknek és "megfelelnek-e" e tekintetben. Az irányelvek ezután elsősorban a biztonság szempontjából releváns részletekre vonatkoznak, például az antivírus program állapotáról (verzió, aktív / inaktív, az aláírások kora ), az asztali tűzfal állapotáról, a javítás szintjéről (operációs rendszer, böngésző , beépülő modulok és egyéb alkalmazások), a titkosítás állapota stb.

Ez az állapot távolról vagy ügynökalapúan határozható meg. A végberendezéseket főként WMI, SNMP vagy NMAP segítségével vizsgálják távolról . Böngészőalapú lekérdezések az ActiveX vagy a JavaScript segítségével is lehetségesek . A megfelelő helyi jogokkal az ügynököknek lehetőségük van lényegesen alaposabban ellenőrizni, és nem csak más gyártók regisztrációs kulcsaira vagy API-jára támaszkodni . Tehát z. Például a fájlverziók kivonatolhatók hash értékkel a célértékekkel, ahelyett, hogy csak azt ellenőriznék, hogy egy javítás telepítése be lett-e vezetve a regisztrációs adatbázisba, miközben a telepítés valóban kudarcot vallott.

Különféle stratégiák léteznek a vizsga időzítésére is. Míg egy ügynök véglegesen ellenőrizheti az állapotot és Ha például már tud a végberendezés állapotáról a hálózati kapcsolat előtt, ügynök nélküli teszteket kell végrehajtani bizonyos időpontokban, bizonyos helyzetekben és / vagy ciklikusan.

A legbiztonságosabb megoldás az, ha a hálózathoz való csatlakozás előtt elvégzik a tesztet, amelyet a gyakorlatban gyakran nehéz megvalósítani. A teszteket ezért gyakran utána hajtják végre, és szükség esetén a rendszer reaktív reteszeléséhez vezetnek.

A leírt két változat mellett néhány hálózati hozzáférés-vezérlési megoldás lehetőséget kínál arra is, hogy megismerje a terminál megfelelőségi állapotát harmadik féltől származó termékektől, és ennek megfelelően dolgozza fel. Tehát z. Például egy Microsoft WSUS- kiszolgáló megfelelőségi információforrásként szolgálhat a javítás állapotával kapcsolatban, a vírusirtó megoldások tájékoztatják a NAC rendszert a fertőzött végberendezésekről, vagy a SIEM megoldások utasítják a NAC rendszert az érintett végberendezések elkülönítésére fenyegetés esetén.

A hálózati hozzáférés-vezérlés ezért központi jelentőségű a biztonsági stratégiákban, mivel a reakció lehetőségei rendkívül hatékonyak és a biztonsági rendszerek közvetlen összekapcsolásával rendkívül gyorsan megvalósíthatók.

Lásd még

• Szoftver által meghatározott kerület

web Linkek

• BSI: Áttekintő dokumentum a hálózati hozzáférés-ellenőrzésről
• A hálózati hozzáférés-vezérlés (NAC), valamint a biztonsági információk és az eseménykezelés (SIEM) kombinálásának alapjai