Controllo dell'accesso alla rete

Network Access Control ( NAC ; German network access control ) è una tecnologia che supporta la difesa da virus , worm e accessi non autorizzati dalla rete. Con NAC, durante l' autenticazione viene controllata la conformità dei dispositivi finali con le linee guida. È z. Se, ad esempio, lo scanner antivirus non è aggiornato o il sistema operativo client non dispone dell'ultima patch di sicurezza , il dispositivo finale interessato viene messo in quarantena e fornito degli aggiornamenti correnti fino a quando non sarà nuovamente conforme alle linee guida di sicurezza applicabili. Inizialmente, le funzioni necessarie a questo scopo erano distribuite su componenti di rete come router e switch . Tutte le funzionalità possono anche essere mantenute in bundle su apparecchi rinforzati .

compiti

Le attività principali sono:

1. chiara identificazione e assegnazione dei ruoli di utenti e dispositivi
2. Conservazione delle linee guida di sicurezza create
3. Quarantena e ripristino automatico dei dispositivi finali non conformi
4. Amministrazione e creazione di linee guida e ruoli individuali per diversi gruppi di utenti

condizioni

Network Access Control soddisfa fondamentalmente due requisiti:

Da un lato, una panoramica completa di quali dispositivi si trovano nel (società) di rete e dove si sono collegati. Il tipo di dispositivo finale, come clienti, stampanti, sistemi di produzione, bancomat, dispositivi medici, tablet, smartphone, frigoriferi, macchine da caffè, ecc. Non deve avere un ruolo. Questa panoramica impedisce a sistemi estranei o sconosciuti di accedere alla rete interna (aziendale) semplicemente utilizzando la WLAN o una presa di rete libera. Ciò significa che solo i tuoi sistemi approvati possono essere utilizzati nella rete.

Il secondo requisito è una cosiddetta funzione di conformità, che serve a verificare se i terminali già presenti nella rete, i requisiti di sicurezza o le politiche di sicurezza sono conformi all'azienda. Questo di solito influisce su proprietà come l'installazione esistente e lo stato di un programma antivirus o di un firewall desktop . Inoltre, se sono installate le ultime patch di Windows e talvolta controlli ancora più estesi per le patch esistenti per applicazioni comuni come Firefox o Adobe, che possono essere sfruttate.

L'obiettivo è quello di far funzionare solo i dispositivi finali all'interno della propria rete che soddisfano tutti questi requisiti e quindi le linee guida di sicurezza. Se un sistema non resiste alla revisione, vengono avviate le contromisure appropriate (quarantena e riparazione con patch; riconfigurazione del sistema).

Esistono anche differenze nell'interpretazione dell'accesso alla rete da monitorare ( LAN , WLAN , WAN ). Esistono vari approcci tecnici e implementazioni, nonché prodotti commerciali e open source per soddisfare questo requisito .

storia

In generale, il controllo dell'accesso alla rete è qualcosa che è stato oggetto di questi stessi accessi sin da quando sono esistiti. C'erano approcci e prodotti che avevano più o meno successo. Infrastrutture di rete eterogenee, copertura di rete insufficiente, elevata complessità e costi elevati sono le ragioni più comuni per gli approcci falliti. La maggior parte delle aziende non ha ancora una soluzione per questo. Inoltre, non esiste una definizione chiara del termine "controllo dell'accesso alla rete", per cui anche le offerte associate variano notevolmente. Altri termini che hanno contribuito a creare confusione, poiché riguardano fondamentalmente lo stesso argomento, includono "Network Admission Protocol" (NAP) e "Network Admission Control" (NAC).

Tecnologie

Scansione di rete basata su IP

Con questa tecnologia, la rete viene scansionata per gli indirizzi IP utilizzati eseguendo il ping degli spazi degli indirizzi o leggendo le cache ARP dei router . I dispositivi finali riconosciuti in questo modo vengono quindi solitamente identificati in modo più preciso da ulteriori scansioni per verificare se sono dispositivi conosciuti e approvati.

Se vengono riconosciuti dispositivi di terze parti, questi vengono interrotti nella comunicazione da varie tecnologie o, ad esempio, reindirizzati a un portale ospite. In alcuni casi, viene persino utilizzato lo spoofing ARP , che in realtà è più una tecnologia di attacco.

Analisi del traffico tramite dispositivi gateway

Per l' analisi del traffico, sono stati creati dispositivi da vari produttori che controllano il traffico di rete in linea e quindi vedono anche ogni dispositivo che sta comunicando nella rete. I pacchetti di dati provenienti da sistemi indesiderati possono essere semplicemente "eliminati" , il che significa che gli intrusi non possono più comunicare senza ostacoli nella rete. Il problema qui è che questi apparecchi devono essere distribuiti in tutta la rete per poter coprire ogni sottoarea. Ciò significa che deve essere presente un sensore in ogni sottorete e monitorare il traffico. Questo di solito rende questi progetti molto dispendiosi in termini di tempo, complessi e, soprattutto, molto costosi, poiché, a seconda delle dimensioni dell'azienda, è necessario acquistare un gran numero di dispositivi. Il controllo deve ovviamente essere fatto in tempo reale, altrimenti si creerà un collo di bottiglia che rallenta la comunicazione in rete e quindi interrompe il lavoro quotidiano. Un altro punto debole di questa tecnologia è che gli intrusi che si limitano ad ascoltare e quindi non inviano alcun pacchetto di dati non vengono riconosciuti. Spiare attraverso semplici intercettazioni è ancora possibile senza restrizioni.

Tuttavia, anche se sono stati distribuiti apparecchi appropriati ovunque, ci sono aree che non possono essere registrate. I dispositivi collegati a uno switch possono solitamente comunicare tra loro senza il traffico di dati che passa attraverso un'appliance NAC. Ciò significa che almeno i vicini diretti possono essere attaccati e anche sfruttati per penetrare nella rete più ampia da questi dispositivi.

Basato su agente

Qui viene installato un agente su tutti i dispositivi finali che garantisce che i dispositivi finali possano autenticarsi con un servizio centrale nella rete e che solo i dispositivi finali adeguatamente gestiti (crittografati) possano comunicare tra loro. I sistemi esterni non possono connettersi direttamente ai dispositivi dell'azienda. La grande sfida con questo approccio, tuttavia, è fornire agenti per i molti sistemi operativi diversi e quindi coprire l'intera rete.

Oltre agli approcci proprietari, in questa categoria rientra anche lo standard IEEE 802.1X, che, tra l'altro, si basa sull'utilizzo di agenti (supplicants) già forniti dal sistema operativo. Tuttavia, la copertura completa di tutti i partecipanti alla rete di solito non è garantita nemmeno qui - soprattutto i dispositivi finali e gli switch più vecchi spesso non supportano questa funzione.

L'802.1X è ampiamente descritto in un articolo separato - per ragioni di completezza, tuttavia, a questo punto va menzionato che si tratta di un approccio proattivo. Se un dispositivo è collegato a uno switch o un punto di accesso , deve autenticarsi con un ID appropriato (ad es. Nome utente e password o un certificato ). Lo switch o il punto di accesso, a sua volta, ha la validità dell'ID controllato da un server RADIUS , che, oltre a un "Accetta" o "Nega", può anche trasmettere varie altre regole come risposta, come VLAN assegnate o ACL . La complessità principale qui è l'amministrazione del server RADIUS e delle identità.

Basato su switch

Di norma, per questo viene utilizzato il protocollo SNMP , che offre la possibilità di comunicare con quasi tutti gli switch, poiché quasi tutti i produttori di switch aziendali supportano questo protocollo. A seconda delle esigenze, tuttavia, z. B. SSH o altri protocolli (se possibile crittografati) possono essere utilizzati.

Questa comunicazione può essere prima utilizzata per ottenere una panoramica completa della rete, indipendentemente dalle dimensioni della rete. Ogni dispositivo connesso a una porta dello switch e in comunicazione viene riconosciuto. Non appena viene connesso un nuovo dispositivo, lo switch informa attivamente il sistema NAC tramite una trappola oppure il sistema NAC chiede regolarmente allo switch i dispositivi attualmente collegati.

I dispositivi vengono identificati tramite l' indirizzo MAC , motivo per cui questo approccio è spesso chiamato anche "NAC basato su MAC". Mantenendo una whitelist, è possibile definire quali dispositivi sono ammessi nella rete aziendale e quali no. Uno switch può ricevere un comando dal sistema NAC e riconfigurare una porta di rete tramite lo stesso percorso di comunicazione del rilevamento. Quindi, se un sistema estraneo o indesiderato è collegato e riconosciuto di conseguenza, z. B. la porta di rete può essere disattivata automaticamente - il dispositivo perde immediatamente la connessione di rete - fisicamente!

Man mano che questa tecnologia matura, sono state create sempre più opzioni diverse negli interruttori che portano alcuni vantaggi. Anche nelle reti più piccole, le VLAN sono già utilizzate oggi. Le reti virtuali offrono un modo conveniente per segmentare la rete indipendentemente dalla struttura fisica.

Poiché le VLAN sono configurate anche sugli switch, è un'ovvia estensione del Network Access Control non solo per poter bloccare le porte di rete, ma anche per poterle reindirizzare. I sistemi esterni non devono più essere completamente separati dalla rete, ma possono essere trasferiti in un'area separata per gli ospiti, dove z. B. è disponibile solo Internet.

Resta il problema che l'indirizzo MAC può essere contraffatto molto facilmente. Un intruso può scegliere qualsiasi indirizzo, ad esempio copiarlo dalla stampante e digitarlo per ottenere l'accesso alla rete.

Per questo motivo, alcune soluzioni professionali fanno qualche passo oltre e confrontano molte altre proprietà di sistema, come l'indirizzo IP, il nome host , il sistema operativo o le porte IP aperte e chiuse . Di conseguenza, ciò significa che un intruso non deve solo falsificare l'indirizzo MAC per ottenere l'accesso, ma anche tutte le altre proprietà. Se parti delle proprietà differiscono, il sistema NAC può attivare un allarme di conseguenza.

In questo modo, oltre all'aspetto della sicurezza, si può stabilire anche una comoda gestione delle VLAN, in quanto la VLAN appartenente al terminale viene sempre configurata automaticamente per ogni porta. Di conseguenza, ogni dipendente, indipendentemente da dove si iscrive, ha sempre a disposizione il proprio ambiente familiare e le risorse di cui ha bisogno.

Identità

Quando si controlla l'accesso alla rete, si tratta fondamentalmente di determinare e gestire le identità dei partecipanti alla rete e di concedere o negare l'accesso di conseguenza. È necessario fare una distinzione tra identità del dispositivo e identità dell'utente, poiché il controllo dell'accesso alla rete è orientato al dispositivo nella prima fase. Gli utenti sono controllati all'interno della rete da altri sistemi, come il sistema di autorizzazione in Active Directory o altri servizi di directory .

Tuttavia, Active Directory o, in linea di principio, i servizi LDAP sono anche fonti di identità popolari che possono essere utilizzate anche per il controllo dell'accesso alla rete. Ci sono le seguenti limitazioni:

• La semplice considerazione dei dispositivi da Active Directory è relativamente semplice e in genere ha senso semplificare la manutenzione. Va notato, tuttavia, che la definizione di quali gruppi di dispositivi AD devono essere controllati in quale segmento di rete o VLAN deve essere ben pianificato e strutturato in modo che i cambiamenti da un lato o dall'altro non causino difficoltà.
• Guardare semplicemente gli utenti dall'AD non è assolutamente sufficiente. Con questo metodo, ogni dipendente può portare con sé qualsiasi dispositivo e utilizzarlo nella rete: il controllo dell'accesso alla rete reale non è più possibile, poiché i dispositivi non protetti possono ottenere l'accesso completo in qualsiasi momento.
• Una combinazione di utenti e dispositivi dall'AD per determinare i diritti di accesso specifici di solito non è molto semplice e crea un alto livello di complessità. Tuttavia, se si devono concedere effettivamente accessi diversi a utenti diversi sullo stesso terminale, queste regole devono essere attentamente pianificate e attuate con cura. A seconda della complessità dei desideri, ciò può significare uno sforzo considerevole, che dovrebbe essere attentamente analizzato in anticipo per determinare se sia opportuno e / o necessario.
  • Lo stesso Active Directory controlla esattamente quale dipendente ha accesso a quale server e servizi dell'azienda tramite le autorizzazioni assegnate degli utenti. Se un dipendente "normale" e successivamente un amministratore IT accedono a uno stesso dispositivo con il proprio account utente, questo viene utilizzato per controllare quali accessi sono consentiti. La modifica del segmento di rete in cui si trova il terminale è quindi necessaria solo se i sistemi richiesti dall'amministratore non sono raggiungibili nel segmento di rete corrente. Tuttavia, questa situazione di solito si verifica solo in reti molto grandi e ampiamente strutturate. Inoltre, il BSI raccomanda generalmente di non eseguire alcuna misura amministrativa da un sistema di utenti regolari. Il codice dannoso esistente potrebbe altrimenti ricevere diritti amministrativi e causare danni considerevoli.
  • Di conseguenza, nella stragrande maggioranza dei casi, è sufficiente l'autorizzazione dei terminali o la riduzione delle regole a casi molto particolari.

Oltre alle directory Active Directory e LDAP, ci sono varie altre fonti di identità, come vari database, ad es. B. da sistemi di help desk o CMDB o prodotti di gestione dei dispositivi mobili . Fondamentalmente, ogni directory con identità di dispositivo può essere utilizzata per semplificare l'introduzione e la manutenzione di Network Access Control. Le differenze sono che alcune "fonti" possono essere autenticate in tempo reale, mentre altre possono essere utilizzate solo per apprendere identità e devono essere sincronizzate con il sistema NAC per questo.

Accesso temporaneo per ospiti e altri visitatori

Poiché l'accesso alla rete è protetto dall'accesso da parte di "dispositivi non aziendali" tramite Network Access Control, le soluzioni NAC commerciali vengono solitamente offerte insieme a un portale ospite. In questo modo, i dispositivi esterni e gli utenti possono avere accesso temporaneo a risorse definite - l'identità corrispondente è temporaneamente tollerata nella rete. L'implementazione tecnica di un tale portale è descritta in dettaglio nell'articolo separato " Captive Portal ".

Con i sistemi mobili sempre più diversificati, i requisiti di accesso più complessi da parte dei dipendenti e la crescente necessità di consentire ai tecnici della manutenzione di avere un accesso alla rete dedicato, questo requisito è in aumento.

Spinti dal tema "porta il tuo dispositivo", i portali degli ospiti vengono in parte ampliati per dare ai dipendenti la possibilità di registrare i propri dispositivi e quindi utilizzarli nella rete aziendale.

Conformità

In relazione al controllo dell'accesso alla rete, la conformità si riferisce generalmente alla conformità IT, per cui è necessario fare una distinzione tra l'obiettivo e i requisiti. In questo contesto, è particolarmente interessante se i terminali sono conformi alle linee guida di sicurezza e sono "conformi" a questo proposito. Le linee guida si riferiscono quindi principalmente a dettagli rilevanti per la sicurezza come lo stato del programma antivirus (versione, attivo / inattivo, età delle firme ), stato del firewall desktop, livello di patch (sistema operativo, browser , plug-in e altri applicazioni), lo stato della crittografia ecc.

Questo stato può essere determinato in remoto o in base all'agente. I dispositivi finali vengono scansionati in remoto principalmente tramite WMI, SNMP o NMAP. Sono possibili anche query basate sul browser tramite ActiveX o JavaScript . Con i diritti locali appropriati, gli agenti hanno la possibilità di eseguire controlli molto più approfonditi e non fare affidamento solo su chiavi di registro o API di altri produttori. Quindi z. Ad esempio, le versioni dei file possono essere confrontate con i valori di destinazione utilizzando un valore hash invece di controllare semplicemente se l'installazione di una patch è stata inserita nel database di registrazione mentre l'installazione non è riuscita effettivamente.

Inoltre, ci sono diverse strategie per quanto riguarda la tempistica dell'esame. Mentre un agente può controllare in modo permanente lo stato e Se, ad esempio, si conosce già lo stato del dispositivo terminale prima della connessione di rete, è necessario eseguire controlli agentless in determinati orari, in determinate situazioni e / o ciclicamente.

L'opzione più sicura è fare il test prima dell'ammissione alla rete, che spesso è difficile da implementare nella pratica. I test vengono quindi eseguiti spesso in seguito e, se necessario, portano ad un blocco reattivo del sistema.

Oltre alle due varianti descritte, alcune soluzioni di controllo dell'accesso alla rete offrono anche la possibilità di rilevare lo stato di conformità del terminale da prodotti di terze parti e di elaborarlo di conseguenza. Quindi z. Ad esempio, un server Microsoft WSUS può fungere da fonte di informazioni di conformità riguardanti lo stato della patch, le soluzioni antivirus informano il sistema NAC sui dispositivi finali infetti o le soluzioni SIEM istruiscono il sistema NAC per isolare i dispositivi finali interessati in caso di minaccia.

Il Network Access Control è quindi di fondamentale importanza nelle strategie di sicurezza, poiché le possibilità di reazione sono molto efficaci e possono essere implementate in modo estremamente rapido con l'accoppiamento diretto dei sistemi di sicurezza.

Guarda anche

• Perimetro definito dal software

link internet

• BSI: documento generale sul controllo dell'accesso alla rete
• Nozioni di base sulla combinazione di Network Access Control (NAC) e Security Information and Event Management (SIEM)