Kontrola dostępu do sieci

Network Access Control ( NAC ; niemiecka kontrola dostępu do sieci ) to technologia, która wspiera ochronę przed wirusami , robakami i nieautoryzowanym dostępem z sieci. Dzięki NAC urządzenia końcowe są sprawdzane pod kątem zgodności z wytycznymi podczas uwierzytelniania . Czy z. Jeśli, na przykład, skaner antywirusowy nie jest aktualny lub system operacyjny klienta nie ma najnowszej poprawki zabezpieczeń , dane urządzenie końcowe jest poddawane kwarantannie i dostarczane z aktualnymi aktualizacjami, dopóki nie będzie ponownie zgodne z obowiązującymi wytycznymi dotyczącymi bezpieczeństwa. Początkowo wymagane do tego funkcje były rozproszone w komponentach sieci, takich jak routery i przełączniki . Wszystkie funkcje można również zachować w pakiecie na utwardzonych urządzeniach .

zadania

Podstawowe zadania to:

1. przejrzysta identyfikacja i przydzielanie ról użytkownikom i urządzeniom
2. Zachowanie stworzonych wytycznych bezpieczeństwa
3. Kwarantanna i automatyczne odzyskiwanie niezgodnych urządzeń końcowych
4. Administracja i tworzenie indywidualnych wytycznych i ról dla różnych grup użytkowników

warunki

Network Access Control zasadniczo spełnia dwa wymagania:

Z jednej strony, kompletny przegląd urządzenia, które znajdują się w (firmy) sieci i gdzie są one połączone. Rodzaj urządzenia końcowego, taki jak klienci, drukarki, systemy produkcyjne, bankomaty, urządzenia medyczne, tablety, smartfony, lodówki, ekspresy do kawy itp. Nie mogą odgrywać żadnej roli. Ten przegląd zapobiega uzyskiwaniu dostępu do (firmowej) sieci wewnętrznej przez obce lub nieznane systemy po prostu za pomocą WLAN lub wolnego gniazda sieciowego. Oznacza to, że w sieci mogą działać tylko własne i zatwierdzone systemy.

Drugim wymaganiem jest tzw. Funkcja zgodności, która polega na sprawdzeniu, czy terminale, które są już w sieci, wymogi bezpieczeństwa lub polityki bezpieczeństwa są zgodne z firmą. Zwykle ma to wpływ na właściwości, takie jak istniejąca instalacja i stan programu antywirusowego lub zapory na pulpicie . Ponadto, czy są zainstalowane najnowsze łatki systemu Windows, a czasem nawet bardziej szczegółowe sprawdzenie istniejących poprawek dla popularnych aplikacji, takich jak Firefox lub Adobe, które można wykorzystać.

Celem jest obsługiwanie tylko tych urządzeń końcowych we własnej sieci, które spełniają wszystkie te wymagania, a tym samym wytyczne dotyczące bezpieczeństwa. Jeśli system nie wytrzyma przeglądu, podejmowane są odpowiednie środki zaradcze (kwarantanna i leczenie z łataniem; rekonfiguracja systemu).

Istnieją również różnice w interpretacji monitorowanego dostępu do sieci ( LAN , WLAN , WAN ). Istnieją różne podejścia techniczne i wdrożenia, a także produkty komercyjne i open source , aby spełnić to wymaganie .

historia

Ogólnie rzecz biorąc, kontrola dostępu do sieci jest przedmiotem tych samych dostępów od czasu ich istnienia. Były podejścia i produkty, które były mniej lub bardziej skuteczne. Heterogeniczna infrastruktura sieciowa, niewystarczający zasięg sieci, duża złożoność i wysokie koszty to najczęstsze przyczyny niepowodzenia podejść. Większość firm nadal nie ma na to rozwiązania. Ponadto nie ma jasnej definicji terminu „kontrola dostępu do sieci”, tak więc powiązane oferty również są bardzo zróżnicowane. Inne terminy, które również przyczyniły się do zamieszania, ponieważ dotyczą zasadniczo tego samego tematu, to „Protokół dostępu do sieci” (NAP) i „Kontrola dostępu do sieci” (NAC).

Technologie

Skanowanie sieciowe oparte na IP

Dzięki tej technologii sieć jest skanowana pod kątem adresów IP używanych przez pingowanie przestrzeni adresowych lub odczytywanie pamięci podręcznych ARP routera . Zidentyfikowane w ten sposób urządzenia końcowe są następnie zwykle dokładniej identyfikowane przez dalsze skanowanie w celu sprawdzenia, czy są to znane i zatwierdzone urządzenia.

Rozpoznane urządzenia innych firm są zakłócane w komunikacji przez różne technologie lub na przykład przekierowywane do portalu dla gości. W niektórych przypadkach używa się nawet spoofingu ARP , który w rzeczywistości jest bardziej technologią ataku.

Analiza ruchu za pomocą urządzeń typu gateway

Do analizy ruchu różnych producentów stworzyli urządzenia , które sprawdzają ruch sieciowy w trybie inline, a tym samym widzą również każde urządzenie komunikujące się w sieci. Pakiety danych z niepożądanych systemów można po prostu „upuścić” , co oznacza, że ​​intruzi nie mogą już swobodnie komunikować się w sieci. Problem polega na tym, że urządzenia te muszą być rozmieszczone w całej sieci, aby móc objąć każdy podobszar. Oznacza to, że w każdej podsieci musi znajdować się czujnik i monitorować ruch. Zwykle sprawia to, że projekty te są bardzo czasochłonne, złożone, a przede wszystkim bardzo drogie, ponieważ w zależności od wielkości firmy trzeba dokupić dużą liczbę urządzeń. Kontrola musi oczywiście odbywać się w czasie rzeczywistym, w przeciwnym razie powstanie wąskie gardło, które spowalnia komunikację w sieci, a tym samym zakłóca codzienną pracę. Innym słabym punktem tej technologii jest to, że intruzi, którzy tylko nasłuchują, a tym samym nie wysyłają żadnych pakietów danych, nie są rozpoznawani. Szpiegowanie poprzez proste podsłuchiwanie jest nadal możliwe bez ograniczeń.

Jednak nawet jeśli odpowiednie urządzenia zostały rozmieszczone wszędzie, są obszary, których nie można zarejestrować. Urządzenia podłączone do przełącznika mogą zwykle komunikować się ze sobą bez przesyłania danych przez urządzenie NAC. Oznacza to, że przynajmniej bezpośredni sąsiedzi mogą zostać zaatakowani, a także wykorzystani w celu przedostania się z tych urządzeń do szerszej sieci.

Oparte na agentach

Tutaj agent jest instalowany na wszystkich urządzeniach końcowych, który zapewnia, że ​​urządzenia końcowe mogą uwierzytelniać się w centralnej usłudze w sieci i że tylko odpowiednio zarządzane urządzenia końcowe (szyfrowane) mogą komunikować się ze sobą. Systemy zewnętrzne nie mogą łączyć się bezpośrednio z własnymi urządzeniami firmy. Jednak dużym wyzwaniem w tym podejściu jest zapewnienie agentów dla wielu różnych systemów operacyjnych , a tym samym pokrycie całej sieci.

Oprócz podejść zastrzeżonych kategoria ta obejmuje również standard IEEE 802.1X, który, między innymi, oparty jest na wykorzystaniu agentów (suplikantów) już dostarczonych przez system operacyjny. Niemniej jednak tutaj również zwykle nie jest gwarantowane pełne pokrycie wszystkich uczestników sieci - zwłaszcza starsze urządzenia końcowe i przełączniki często nie obsługują tej funkcji.

802.1X został szczegółowo opisany w osobnym artykule - dla kompletności należy jednak w tym miejscu wspomnieć, że jest to podejście proaktywne. Jeśli urządzenie jest podłączone do przełącznika lub punktu dostępowego , musi uwierzytelnić się za pomocą odpowiedniego identyfikatora (np. Nazwa użytkownika i hasło lub certyfikat ). Z kolei w przełączniku lub punkcie dostępu ważność identyfikatora jest sprawdzana przez serwer RADIUS , który oprócz „Akceptuj” lub „Odmów” może również przesyłać różne inne reguły jako odpowiedź, takie jak przypisane sieci VLAN lub Listy ACL . Główna złożoność polega na administrowaniu serwerem RADIUS i tożsamościami.

Oparte na przełączniku

Z reguły wykorzystywany jest do tego protokół SNMP , który daje możliwość komunikacji z prawie wszystkimi przełącznikami, ponieważ prawie każdy producent przełączników biznesowych obsługuje ten protokół. Jednak w zależności od wymagań z. B. Można używać protokołów SSH lub innych (w miarę możliwości szyfrowanych).

Ta komunikacja może być najpierw wykorzystana do uzyskania pełnego przeglądu sieci, niezależnie od jej rozmiaru. Każde urządzenie podłączone do portu przełącznika i komunikujące się jest rozpoznawane. Po podłączeniu nowego urządzenia przełącznik aktywnie informuje system NAC za pośrednictwem pułapki lub system NAC regularnie pyta przełącznik o aktualnie podłączone urządzenia.

Urządzenia są identyfikowane na podstawie adresu MAC , dlatego podejście to jest często nazywane „NAC opartym na adresach MAC”. Dzięki utrzymywaniu białej listy można zdefiniować, które urządzenia są dozwolone w sieci firmowej, a które nie. Przełącznik może otrzymać polecenie z systemu NAC i zmienić konfigurację portu sieciowego za pomocą tej samej ścieżki komunikacyjnej, co detekcja. Więc jeśli obcy lub niechciany system jest podłączony i odpowiednio rozpoznany, z. B. port sieciowy można wyłączyć automatycznie - urządzenie natychmiast traci połączenie z siecią - fizycznie!

W miarę dojrzewania tej technologii w przełącznikach pojawiło się coraz więcej różnych opcji, które przynoszą pewne korzyści. Nawet w najmniejszych sieciach sieci VLAN są już używane. Sieci wirtualne oferują wygodny sposób segmentowania sieci niezależnie od struktury fizycznej.

Ponieważ sieci VLAN są również skonfigurowane na przełącznikach, oczywistym rozszerzeniem kontroli dostępu do sieci jest nie tylko możliwość blokowania portów sieciowych, ale także możliwość ich przekierowywania. Systemy zewnętrzne nie muszą już być całkowicie oddzielone od sieci, ale można je przełączyć do oddzielnego obszaru dla gości, w którym z. B. oferowany jest tylko Internet.

Problemem pozostaje to, że adres MAC można bardzo łatwo sfałszować. Intruz może wybrać dowolny adres - na przykład skopiować go z drukarki i wpisać, aby uzyskać dostęp do sieci.

Z tego powodu niektóre profesjonalne rozwiązania idą kilka kroków dalej i porównują wiele innych właściwości systemu, takich jak adres IP, nazwa hosta , system operacyjny czy otwarte i zamknięte porty IP . W rezultacie oznacza to, że intruz musi nie tylko sfałszować adres MAC, aby uzyskać dostęp, ale także wszystkie inne właściwości. Jeśli części właściwości różnią się, system NAC może odpowiednio wyzwolić alarm.

Oprócz aspektu bezpieczeństwa, wygodne zarządzanie sieciami VLAN można również ustanowić w ten sposób, zawsze automatycznie konfigurując VLAN należące do urządzenia końcowego dla każdego portu. W rezultacie każdy pracownik, bez względu na to, gdzie dołączył, ma zawsze swoje znane środowisko i zasoby, których potrzebuje.

Tożsamości

Kontrolując dostęp do sieci, zasadniczo chodzi o określenie tożsamości uczestników sieci i zarządzanie nimi oraz odpowiednie przyznawanie lub odmawianie dostępu. Należy dokonać rozróżnienia między tożsamościami urządzeń i tożsamościami użytkowników, ponieważ kontrola dostępu do sieci jest zorientowana na urządzenia w pierwszym etapie. Użytkownicy są kontrolowani w sieci przez inne systemy, takie jak system autoryzacji w Active Directory lub inne usługi katalogowe .

Niemniej jednak Active Directory lub w zasadzie usługi LDAP są również popularnymi źródłami tożsamości, które można również wykorzystać do kontroli dostępu do sieci. Istnieją następujące ograniczenia:

• Samo uwzględnienie urządzeń z Active Directory jest stosunkowo proste i zwykle ma sens, aby uprościć konserwację. Należy jednak zauważyć, że określenie, które grupy urządzeń AD mają być kontrolowane, w którym segmencie sieci lub VLAN muszą być dobrze zaplanowane i skonstruowane tak, aby zmiany po jednej lub drugiej stronie nie powodowały żadnych trudności.
• Samo spojrzenie na użytkowników z AD zdecydowanie nie wystarczy. Dzięki tej metodzie każdy pracownik może zabrać ze sobą dowolne urządzenie i obsługiwać je w sieci - rzeczywista kontrola dostępu do sieci nie jest już możliwa, ponieważ niezabezpieczone urządzenia mogą uzyskać pełny dostęp w dowolnym momencie.
• Połączenie użytkowników i urządzeń z AD w celu określenia konkretnych praw dostępu zwykle nie jest łatwe i stwarza wysoki poziom złożoności. Jeśli jednak faktycznie mają być przyznane różne dostępy dla różnych użytkowników na tym samym terminalu, zasady te muszą być starannie zaplanowane i starannie wdrożone. W zależności od złożoności życzeń może to oznaczać znaczny wysiłek, który należy wcześniej dokładnie przeanalizować, aby określić, czy jest to w ogóle celowe i / lub konieczne.
  • Sama usługa Active Directory kontroluje dokładnie, który pracownik ma dostęp do jakich serwerów i usług w firmie poprzez przypisane mu uprawnienia. Jeśli „zwykły” pracownik, a później administrator IT, loguje się na to samo urządzenie za pomocą swojego konta użytkownika, służy to do kontrolowania, które dostępy są dozwolone. Zmiana segmentu sieci, w którym znajduje się terminal, jest zatem konieczna tylko wtedy, gdy systemy wymagane przez administratora nie są dostępne w obecnym segmencie sieci. Taka sytuacja występuje zwykle tylko w bardzo dużych sieciach o rozbudowanej strukturze. Ponadto BSI generalnie zaleca, aby nie podejmować żadnych działań administracyjnych z poziomu systemu zwykłego użytkownika. W przeciwnym razie istniejący złośliwy kod mógłby otrzymać prawa administracyjne i spowodować znaczne szkody.
  • W rezultacie w zdecydowanej większości przypadków wystarczy autoryzacja urządzeń końcowych lub ograniczenie przepisów do bardzo szczególnych, szczególnych przypadków.

Oprócz katalogów Active Directory i LDAP istnieją różne inne źródła tożsamości, takie jak różne bazy danych, np. B. Systemy pomocy technicznej lub CMDB lub produkty do zarządzania urządzeniami mobilnymi . Zasadniczo każdy katalog z tożsamościami urządzeń może być użyty w celu uproszczenia wprowadzenia i utrzymania kontroli dostępu do sieci. Różnica polega na tym, że niektóre „źródła” mogą być uwierzytelniane na żywo, podczas gdy inne mogą być używane tylko do nauki tożsamości i muszą być w tym celu zsynchronizowane z systemem NAC.

Tymczasowy dostęp dla gości i innych odwiedzających

Ponieważ dostęp do sieci jest chroniony przed dostępem przez „urządzenia niekorporacyjne” przez Network Access Control, komercyjne rozwiązania NAC są zwykle oferowane w połączeniu z portalem dla gości. W ten sposób zewnętrzne urządzenia i użytkownicy mogą uzyskać tymczasowy dostęp do zdefiniowanych zasobów - odpowiednia tożsamość jest tymczasowo tolerowana w sieci. Techniczna realizacja takiego portalu została szczegółowo opisana w osobnym artykule „ Captive Portal ”.

Wraz z coraz bardziej zróżnicowanymi systemami mobilnymi, coraz bardziej złożonymi wymaganiami dostępu pracowników i rosnącą potrzebą umożliwienia technikom utrzymania dedykowanego dostępu do sieci, wymóg ten rośnie.

Kierując się motywem „przynieś własne urządzenie”, portale dla gości są częściowo rozbudowywane, aby pracownicy mogli rejestrować własne urządzenia, a następnie obsługiwać je w sieci firmowej.

Spełnienie

W odniesieniu do kontroli dostępu do sieci, zgodność ogólnie odnosi się do zgodności IT, przy czym należy dokonać rozróżnienia między celem a wymaganiami. W tym kontekście jest szczególnie interesujące, czy urządzenia końcowe są zgodne z wytycznymi bezpieczeństwa i są „zgodne” w tym zakresie. Wytyczne odnoszą się zatem przede wszystkim do szczegółów związanych z bezpieczeństwem, takich jak stan programu antywirusowego (wersja, aktywny / nieaktywny, wiek sygnatur ), stan zapory na pulpicie, poziom poprawek (system operacyjny, przeglądarka , wtyczki i inne) aplikacje), status szyfrowania itp.

Ten stan można określić zdalnie lub w oparciu o agenta. Urządzenia końcowe są skanowane zdalnie głównie przez WMI, SNMP lub NMAP. Możliwe są również zapytania oparte na przeglądarce za pośrednictwem ActiveX lub JavaScript . Mając odpowiednie uprawnienia lokalne, agenci mogą sprawdzić znacznie dokładniej, a nie tylko polegać na kluczach rejestru lub interfejsach API innych producentów. Więc z. Na przykład wersje plików można porównać z wartościami docelowymi za pomocą wartości skrótu, zamiast po prostu sprawdzać, czy instalacja poprawki została wprowadzona do bazy danych rejestracji, podczas gdy instalacja faktycznie się nie powiodła.

Istnieją również różne strategie dotyczące terminu egzaminu. Podczas gdy agent może na stałe sprawdzić stan i Jeśli na przykład wiesz już o stanie urządzenia końcowego przed podłączeniem do sieci, testy bezagentowe muszą być przeprowadzane w określonych momentach, w określonych sytuacjach i / lub cyklicznie.

Najbezpieczniejszą opcją jest przystąpienie do testu przed dopuszczeniem do sieci, co często jest trudne do zrealizowania w praktyce. Dlatego też kontrole są często przeprowadzane później i, jeśli to konieczne, prowadzą do reaktywnej blokady systemu.

Oprócz dwóch opisanych wariantów, niektóre rozwiązania kontroli dostępu do sieci oferują również opcję sprawdzania statusu zgodności terminala z produktów innych firm i odpowiedniego przetwarzania go. Więc z. Na przykład serwer Microsoft WSUS może służyć jako źródło informacji o zgodności dotyczących stanu poprawek, rozwiązania antywirusowe informują system NAC o zainfekowanych urządzeniach końcowych lub rozwiązania SIEM instruują system NAC, aby w przypadku zagrożenia izolował urządzenia końcowe, których dotyczy problem.

Kontrola dostępu do sieci ma zatem kluczowe znaczenie w strategiach bezpieczeństwa, ponieważ możliwości reakcji są bardzo skuteczne i można je wdrożyć niezwykle szybko dzięki bezpośredniemu sprzężeniu systemów bezpieczeństwa.

Zobacz też

• Granica zdefiniowana programowo

linki internetowe

• BSI: Dokument przeglądowy dotyczący kontroli dostępu do sieci
• Podstawy łączenia kontroli dostępu do sieci (NAC) oraz zarządzania informacjami o bezpieczeństwie i zdarzeniami (SIEM)