Netwerktoegangscontrole

Network Access Control ( NAC ; Duitse netwerktoegangscontrole ) is een technologie die de verdediging tegen virussen , wormen en onbevoegde toegang vanaf het netwerk ondersteunt. Met NAC worden eindapparaten tijdens authenticatie gecontroleerd op naleving van richtlijnen. Is z. Indien bijvoorbeeld het virus scanner niet up-to-date of client besturingssysteem niet de laatste security patch , wordt de betreffende eindinrichting in quarantaine en voorzien van actuele updates totdat deze weer aan de geldende veiligheidsvoorschriften. In eerste instantie waren de daarvoor benodigde functies verdeeld over netwerkcomponenten zoals routers en switches . Alle functionaliteiten kunnen ook gebundeld gehouden worden op geharde toestellen .

taken

Kerntaken zijn:

1. duidelijke identificatie en roltoewijzing van gebruikers en apparaten
2. Behoud van gemaakte beveiligingsrichtlijnen
3. Quarantaine en automatisch herstel van niet-conforme eindapparaten
4. Beheer en creatie van individuele richtlijnen en rollen voor verschillende gebruikersgroepen

voorwaarden

Network Access Control voldoet in principe aan twee vereisten:

Enerzijds een compleet overzicht van welke apparaten zich in het (bedrijfs) netwerk bevinden en waar ze zijn aangesloten. Het type eindapparaat, zoals klanten, printers, productiesystemen, geldautomaten, medische apparaten, tablets, smartphones, koelkasten, koffiemachines, etc. mogen geen rol spelen. Dit overzicht voorkomt dat vreemde of onbekende systemen toegang krijgen tot het (bedrijfs) interne netwerk door simpelweg gebruik te maken van het WLAN of een vrij stopcontact. Dit betekent dat alleen uw eigen en goedgekeurde systemen in het netwerk kunnen worden gebruikt.

De tweede vereiste is een zogenaamde compliance-functie: controleren of de terminals die zich al in het netwerk bevinden, de beveiligingseisen of het beveiligingsbeleid voldoen aan het bedrijf. Dit heeft meestal invloed op eigenschappen zoals de bestaande installatie en de status van een antivirusprogramma of een desktopfirewall . Daarnaast of de nieuwste Windows-patches zijn geïnstalleerd en soms zelfs uitgebreidere controles op bestaande patches voor gangbare applicaties zoals Firefox of Adobe, die kunnen worden misbruikt.

Het streven is om alleen eindapparatuur binnen uw eigen netwerk te bedienen die aan al deze eisen en daarmee de veiligheidsrichtlijnen voldoen. Als een systeem de beoordeling niet doorstaat, worden passende tegenmaatregelen (quarantaine en genezing met patching; herconfiguratie van het systeem) geïnitieerd.

Er zijn ook verschillen in de interpretatie van de netwerktoegang die moet worden bewaakt ( LAN , WLAN , WAN ). Er zijn verschillende technische benaderingen en implementaties, evenals zowel commerciële als open source- producten om aan deze vereiste te voldoen .

geschiedenis

Over het algemeen is de controle van netwerktoegang iets dat het onderwerp is geweest van juist deze toegangen sinds ze bestaan. Er waren benaderingen en producten die min of meer succesvol waren. Heterogene netwerkinfrastructuren, onvoldoende netwerkdekking, hoge complexiteit en hoge kosten zijn de meest voorkomende redenen voor mislukte benaderingen. De meeste bedrijven hebben hier nog geen oplossing voor. Daarnaast is er geen eenduidige definitie van het begrip “netwerktoegangscontrole”, waardoor ook het bijbehorende aanbod sterk varieert. Andere termen die ook tot verwarring hebben bijgedragen, aangezien ze in wezen hetzelfde onderwerp betreffen, zijn onder meer "Network Admission Protocol" (NAP) en "Network Admission Control" (NAC).

Technologieën

IP-gebaseerd netwerkscannen

Met deze technologie wordt het netwerk gescand op de IP-adressen die worden gebruikt door de adresruimten te pingen of de ARP- caches van de routers te lezen . Op deze manier herkende eindapparaten worden dan meestal nauwkeuriger geïdentificeerd door verdere scans om te controleren of het bekende en goedgekeurde apparaten zijn.

Als apparaten van derden worden herkend, worden deze door verschillende technologieën in de communicatie verstoord of bijvoorbeeld doorgestuurd naar een gastportaal. In sommige gevallen wordt zelfs ARP-spoofing gebruikt, wat eigenlijk meer een aanvalstechnologie is.

Verkeersanalyse met behulp van gateway-apparaten

Voor verkeersanalyse zijn door verschillende fabrikanten apparaten gemaakt die het netwerkverkeer inline controleren en dus ook elk apparaat zien dat in het netwerk communiceert. Datapakketten van ongewenste systemen kunnen eenvoudig worden "gedropt" , waardoor indringers niet meer ongehinderd in het netwerk kunnen communiceren. Het probleem hierbij is dat deze apparaten over het netwerk verspreid moeten worden om elk deelgebied te kunnen bestrijken. Dit betekent dat er in elk subnet een sensor moet zijn die het verkeer bewaakt. Dit maakt deze projecten meestal erg tijdrovend, complex en vooral erg duur, aangezien er, afhankelijk van de grootte van het bedrijf, een groot aantal apparaten moet worden aangeschaft. De check moet natuurlijk in real time gebeuren, anders ontstaat er een bottleneck die de communicatie in het netwerk vertraagt ​​en daarmee het dagelijkse werk verstoort. Een ander zwak punt van deze technologie is dat indringers die alleen luisteren en dus geen datapakketten versturen, niet worden herkend. Spioneren door eenvoudig afluisteren is nog steeds mogelijk zonder beperkingen.

Maar zelfs als overal geschikte apparaten zijn verspreid, zijn er gebieden die niet kunnen worden opgenomen. De apparaten die op een switch zijn aangesloten, kunnen meestal met elkaar communiceren zonder dat het dataverkeer via een NAC-apparaat loopt. Dit betekent dat in ieder geval de directe buren kunnen worden aangevallen en ook kunnen worden uitgebuit om vanaf deze apparaten het bredere netwerk binnen te dringen.

Agent gebaseerd

Hier is op alle eindapparaten een agent geïnstalleerd die ervoor zorgt dat de eindapparaten zich kunnen authenticeren tegen een centrale dienst in het netwerk en dat alleen de correct beheerde eindapparaten (versleuteld) met elkaar kunnen communiceren. Externe systemen kunnen niet rechtstreeks verbinding maken met de eigen apparaten van het bedrijf. De grote uitdaging bij deze aanpak is echter om agents te leveren voor de vele verschillende besturingssystemen en daarmee het hele netwerk te bestrijken.

Naast eigen benaderingen omvat deze categorie ook de IEEE 802.1X-standaard, die onder meer is gebaseerd op het gebruik van agents (supplicants) die al door het besturingssysteem worden geleverd. Desalniettemin is een volledige dekking van alle netwerkdeelnemers hier meestal ook niet gegarandeerd - vooral oudere eindapparaten en switches ondersteunen deze functie vaak niet.

802.1X wordt uitgebreid beschreven in een apart artikel - voor de volledigheid moet hier echter worden vermeld dat het een proactieve benadering is. Als een apparaat is aangesloten op een switch of access point , moet het zichzelf authenticeren met een geschikte ID (bijv. Gebruikersnaam & wachtwoord of een certificaat ). De switch of het toegangspunt heeft op zijn beurt de geldigheid van de ID die wordt gecontroleerd door een RADIUS- server, die naast een ‘Accepteren’ of ‘Weigeren’ ook verschillende andere regels kan verzenden als antwoord, zoals toegewezen VLAN's of ACL's . De belangrijkste complexiteit hier is het beheer van de RADIUS-server en de identiteiten.

Switch gebaseerd

Hiervoor wordt in de regel het SNMP- protocol gebruikt , dat de mogelijkheid biedt om met bijna alle switches te communiceren, aangezien vrijwel elke fabrikant van zakelijke switches dit protocol ondersteunt. Afhankelijk van de vereisten, z. B. SSH of andere (indien mogelijk versleutelde) protocollen kunnen worden gebruikt.

Deze communicatie kan eerst worden gebruikt om een ​​compleet overzicht van het netwerk te krijgen, ongeacht de grootte van het netwerk. Elk apparaat dat is aangesloten op een switchpoort en communiceert, wordt herkend. Zodra er een nieuw apparaat is aangesloten, informeert de switch het NAC-systeem actief via een val of vraagt ​​het NAC-systeem de switch regelmatig naar de momenteel aangesloten apparaten.

De apparaten worden geïdentificeerd via het MAC-adres , daarom wordt deze aanpak ook vaak "MAC-based NAC" genoemd. Door een whitelist aan te houden, kan worden bepaald welke apparaten in het bedrijfsnetwerk zijn toegestaan ​​en welke niet. Een switch kan een commando van het NAC-systeem ontvangen en een netwerkpoort opnieuw configureren via hetzelfde communicatiepad als de detectie. Dus als een vreemd of ongewenst systeem is aangesloten en dienovereenkomstig wordt herkend, z. B. de netwerkpoort kan automatisch worden uitgeschakeld - het apparaat verliest onmiddellijk de netwerkverbinding - fysiek!

Naarmate deze technologie ouder wordt, zijn er steeds meer verschillende opties in de schakelaars gecreëerd die enkele voordelen met zich meebrengen. Zelfs in de kleinste netwerken worden VLAN's vandaag al gebruikt. De virtuele netwerken bieden een gemakkelijke manier om het netwerk te segmenteren, ongeacht de fysieke structuur.

Omdat de VLAN's ook op de switches zijn geconfigureerd, is het een voor de hand liggende uitbreiding van Network Access Control om niet alleen netwerkpoorten te kunnen blokkeren, maar ook om ze om te kunnen leiden. Externe systemen hoeven niet meer volledig gescheiden te zijn van het netwerk, maar kunnen worden overgeschakeld naar een apart gastengedeelte, waar z. B. alleen internet wordt aangeboden.

Het probleem blijft dat het MAC-adres heel gemakkelijk kan worden vervalst. Een indringer kan elk adres kiezen - kopieer het bijvoorbeeld van de printer en typ het in om netwerktoegang te krijgen.

Om deze reden gaan sommige professionele oplossingen een paar stappen verder en vergelijken ze vele andere systeemeigenschappen, zoals het IP-adres, de hostnaam , het besturingssysteem of open en gesloten IP-poorten . Dit betekent dat een indringer niet alleen het MAC-adres moet vervalsen om toegang te krijgen, maar ook alle andere eigendommen. Als delen van de eigenschappen verschillen, kan het NAC-systeem dienovereenkomstig een alarm activeren.

Naast het veiligheidsaspect kan op deze manier ook een comfortabel beheer van de VLAN's tot stand worden gebracht, doordat het VLAN behorende bij het eindapparaat altijd automatisch voor elke poort wordt geconfigureerd. Hierdoor heeft elke medewerker, waar hij ook komt, altijd zijn vertrouwde omgeving en de middelen die hij nodig heeft.

Identiteiten

Bij het beheren van netwerktoegang is het in feite een kwestie van het bepalen en beheren van de identiteit van de netwerkdeelnemers en het dienovereenkomstig verlenen of weigeren van toegang. Er moet onderscheid worden gemaakt tussen apparaat-identiteiten en gebruikers-identiteiten, aangezien de netwerktoegangscontrole in de eerste stap apparaatgeoriënteerd is. De gebruikers worden binnen het netwerk bestuurd door andere systemen, zoals het autorisatiesysteem in Active Directory of andere directoryservices .

Desalniettemin zijn de Active Directory of in principe LDAP- services ook populaire identiteitsbronnen die ook kunnen worden gebruikt voor netwerktoegangscontrole. Er zijn de volgende beperkingen:

• De loutere overweging van de apparaten uit de Active Directory is relatief eenvoudig en is meestal logisch om het onderhoud te vereenvoudigen. Opgemerkt moet echter worden dat de definitie van welke AD-apparaatgroepen moeten worden beheerd in welk netwerksegment of VLAN goed gepland en gestructureerd moet zijn, zodat veranderingen aan de ene of de andere kant geen problemen opleveren.
• Gewoon kijken naar de gebruikers van het AD is zeker niet voldoende. Met deze methode kan elke medewerker elk apparaat meenemen en in het netwerk bedienen - echte netwerktoegangscontrole is niet langer mogelijk, omdat onbeveiligde apparaten op elk moment volledige toegang kunnen krijgen.
• Een combinatie van gebruikers en apparaten uit het AD om de specifieke toegangsrechten te bepalen is meestal niet zo eenvoudig en zorgt voor een hoge mate van complexiteit. Als echter verschillende toegangen daadwerkelijk moeten worden verleend aan verschillende gebruikers op dezelfde terminal, moeten deze regels zorgvuldig worden gepland en zorgvuldig worden geïmplementeerd. Afhankelijk van de complexiteit van de wensen kan dit een behoorlijke inspanning vergen, die vooraf goed geanalyseerd dient te worden om te bepalen of het überhaupt opportuun en / of noodzakelijk is.
  • De Active Directory regelt zelf precies welke medewerker toegang heeft tot welke server en diensten in het bedrijf via de toegewezen autorisaties van de gebruikers. Als een "normale" werknemer en later een IT-beheerder inloggen op een en hetzelfde apparaat met zijn gebruikersaccount, wordt dit gebruikt om te bepalen welke toegangen zijn toegestaan. Het wijzigen van het netwerksegment waarin de terminal zich bevindt, is daarom alleen nodig als de door de beheerder gewenste systemen in het huidige netwerksegment niet bereikbaar zijn. Deze situatie doet zich echter meestal alleen voor in zeer grote en uitgebreid gestructureerde netwerken. Bovendien raadt BSI in het algemeen aan om geen administratieve maatregelen uit te voeren vanuit een regulier gebruikerssysteem. Bestaande kwaadaardige code kan anders beheerdersrechten krijgen en aanzienlijke schade aanrichten.
  • Als gevolg hiervan is in de overgrote meerderheid van de gevallen de autorisatie van de eindapparatuur voldoende, of de beperking van de regels tot zeer speciale gevallen.

Naast de Active Directory- en LDAP-directory's zijn er verschillende andere bronnen van identiteit, zoals verschillende databases, bijv. B. van helpdesksystemen of CMDB's of producten voor het beheer van mobiele apparaten . In principe kan elke directory met apparaat-identiteiten worden gebruikt om de introductie en het onderhoud van Network Access Control te vereenvoudigen. De verschillen zijn dat sommige "bronnen" live kunnen worden geverifieerd, terwijl andere alleen kunnen worden gebruikt om identiteiten te leren en hiervoor moeten worden gesynchroniseerd met het NAC-systeem.

Tijdelijke toegang voor gasten en andere bezoekers

Omdat de netwerktoegang door Network Access Control wordt beschermd tegen toegang door "niet-bedrijfsapparaten", worden commerciële NAC-oplossingen meestal aangeboden in combinatie met een gastportaal. Op deze manier kunnen externe apparaten en gebruikers tijdelijk toegang hebben tot gedefinieerde bronnen - de bijbehorende identiteit wordt tijdelijk getolereerd in het netwerk. De technische implementatie van zo'n portaal wordt in detail beschreven in het afzonderlijke artikel " Captive Portal ".

Met de steeds diversere mobiele systemen, complexere toegangsvereisten van werknemers en de groeiende behoefte om onderhoudstechnici speciale netwerktoegang te geven, neemt deze vereiste toe.

Aangedreven door het thema "Bring Your Own Device" worden gastportalen deels uitgebreid om medewerkers de mogelijkheid te geven hun eigen devices te registreren en deze vervolgens in het bedrijfsnetwerk te bedienen.

Nakoming

In verband met Network Access Control verwijst compliance doorgaans naar IT-compliance, waarbij onderscheid moet worden gemaakt tussen het doel en de eisen. In dit verband is het vooral interessant of de eindapparaten voldoen aan de veiligheidsrichtlijnen en wat dit betreft "compliant" zijn. De richtlijnen hebben dan voornamelijk betrekking op veiligheidsrelevante details zoals de status van het antivirusprogramma (versie, actief / inactief, ouderdom van de handtekeningen ), status van de desktopfirewall, patchniveau (besturingssysteem, browser , plug-ins en andere applicaties), status de encryptie etc.

Deze status kan op afstand of via een agent worden bepaald. De eindapparaten worden voornamelijk op afstand gescand via WMI, SNMP of NMAP. Browsergebaseerde zoekopdrachten via ActiveX of JavaScript zijn ook mogelijk . Met de juiste lokale rechten hebben agenten de mogelijkheid om aanzienlijk meer diepgaand te controleren en niet alleen te vertrouwen op registersleutels of API's van andere fabrikanten. Dus z. Bestandsversies kunnen bijvoorbeeld worden vergeleken met doelwaarden met behulp van een hash- waarde in plaats van alleen te controleren of de installatie van een patch in de registratiedatabase is ingevoerd terwijl de installatie daadwerkelijk is mislukt.

Daarnaast zijn er verschillende strategieën met betrekking tot de timing van het onderzoek. Terwijl een agent permanent de status kan controleren en Als u bijvoorbeeld al op de hoogte bent van de status van het eindapparaat vóór de netwerkverbinding, moeten agentless checks op bepaalde tijden, in bepaalde situaties en / of cyclisch worden uitgevoerd.

De veiligste optie is om de test af te leggen voor opname in het netwerk, wat in de praktijk vaak lastig te implementeren is. De tests worden daarom vaak achteraf uitgevoerd en leiden indien nodig tot een reactieve lockout van het systeem.

Naast de twee beschreven varianten bieden sommige oplossingen voor netwerktoegangscontrole ook de mogelijkheid om de nalevingsstatus van de terminal van producten van derden te achterhalen en dienovereenkomstig te verwerken. Dus z. Een Microsoft WSUS- server kan bijvoorbeeld dienen als een bron van nalevingsinformatie met betrekking tot de patchstatus, antivirusoplossingen informeren het NAC-systeem over geïnfecteerde eindapparaten, of SIEM-oplossingen instrueren het NAC-systeem om getroffen eindapparaten te isoleren in geval van een bedreiging.

Netwerktoegangscontrole is daarom van centraal belang in beveiligingsstrategieën, aangezien de reactiemogelijkheden zeer effectief zijn en extreem snel kunnen worden geïmplementeerd met directe koppeling van beveiligingssystemen.

Zie ook

• Software gedefinieerde perimeter

web links

• BSI: Overzichtsdocument over netwerktoegangscontrole
• Basisprincipes van het combineren van Network Access Control (NAC) en Security Information and Event Management (SIEM)