Контроль доступа к сети

Контроль доступа к сети ( NAC ; немецкий контроль доступа к сети ) - это технология, которая поддерживает защиту от вирусов , червей и несанкционированного доступа из сети. С помощью NAC конечные устройства проверяются на соответствие рекомендациям во время аутентификации . З. Если, например, антивирусный сканер устарел или в клиентской операционной системе отсутствует последнее исправление безопасности , соответствующее конечное устройство помещается в карантин и снабжается текущими обновлениями до тех пор, пока оно снова не будет соответствовать применимым руководящим принципам безопасности. Первоначально необходимые для этого функции были распределены по сетевым компонентам, таким как маршрутизаторы и коммутаторы . Все функции также могут быть объединены на защищенных устройствах .

задачи

Основные задачи:

1. четкая идентификация и распределение ролей пользователей и устройств
2. Сохранение созданных правил безопасности
3. Карантин и автоматическое восстановление несовместимых конечных устройств
4. Администрирование и создание индивидуальных руководств и ролей для разных групп пользователей

условия

Контроль доступа к сети в основном выполняет два требования:

С одной стороны, полный обзор устройства , которые расположены в (компаниях) сети и где они связаны. Тип конечного устройства, например клиенты, принтеры, производственные системы, банкоматы, медицинские устройства, планшеты, смартфоны, холодильники, кофемашины и т. Д., Не должны иметь значения. Этот обзор предотвращает получение посторонними или неизвестными системами доступа к внутренней сети (компании) просто с помощью WLAN или бесплатного сетевого сокета. Это означает, что в сети могут работать только ваши собственные и утвержденные системы.

Второе требование - это так называемая функция соответствия, которая предназначена для проверки того, соответствуют ли терминалы, которые уже находятся в сети, требованиям безопасности или политикам безопасности компании. Обычно это влияет на такие свойства, как существующая установка и состояние антивирусной программы или брандмауэра рабочего стола . Кроме того, установлены ли последние исправления Windows, а иногда и более тщательная проверка существующих исправлений для распространенных приложений, таких как Firefox или Adobe, которые могут быть использованы.

Цель состоит в том, чтобы в вашей собственной сети работать только с конечными устройствами, которые соответствуют всем этим требованиям и, следовательно, руководствам по безопасности. Если система не выдерживает проверки, инициируются соответствующие контрмеры (карантин и лечение с установкой исправлений; перенастройка системы).

Также существуют различия в интерпретации контролируемого доступа к сети ( LAN , WLAN , WAN ). Для удовлетворения этого требования существуют различные технические подходы и реализации, а также коммерческие продукты и продукты с открытым исходным кодом .

история

В общем, контроль доступа к сети - это то, что было предметом этих обращений с момента их существования. Были подходы и продукты, которые были более-менее успешными. Гетерогенная сетевая инфраструктура, недостаточное покрытие сети, высокая сложность и высокая стоимость - наиболее частые причины неудачных подходов. У большинства компаний до сих пор нет решения для этого. Кроме того, нет четкого определения термина «управление доступом к сети», поэтому связанные предложения также сильно различаются. Другие термины, которые также вносят вклад в путаницу, поскольку они в основном относятся к одной и той же теме, включают «протокол доступа к сети» (NAP) и «контроль доступа к сети» (NAC).

Технологии

Сканирование сети на основе IP

С помощью этой технологии сеть сканируется на наличие IP-адресов, используемых путем проверки адресных пространств или считывания кэшей ARP маршрутизатора . Терминальные устройства, идентифицированные таким образом, затем обычно более точно идентифицируются с помощью дальнейшего сканирования, чтобы проверить, являются ли они известными и утвержденными устройствами.

Если сторонние устройства распознаются, связь между ними прерывается различными технологиями или, например, они перенаправляются на гостевой портал. В некоторых случаях даже используется ARP-спуфинг , который на самом деле является скорее технологией атаки.

Анализ трафика с использованием шлюзов

Для анализа трафика, приборы были созданы различными производителями , которые проверяют встроенный сетевой трафик и , таким образом , также видят каждое устройство, которое обменивается данными в сети. Пакеты данных от нежелательных систем можно просто «отбросить» , что означает, что злоумышленники больше не могут беспрепятственно общаться в сети. Проблема здесь в том, что эти устройства должны быть распределены по сети, чтобы иметь возможность покрывать каждую подобласть. Это означает, что в каждой подсети должен быть датчик, отслеживающий трафик. Обычно это делает эти проекты очень трудоемкими, сложными и, прежде всего, очень дорогими, потому что, в зависимости от размера компании, необходимо приобретать большое количество устройств. Проверка, конечно же, должна выполняться в режиме реального времени, в противном случае будет создано узкое место, которое замедлит обмен данными в сети и, таким образом, нарушит повседневную работу. Еще одним слабым местом этой технологии является то, что злоумышленники, которые только слушают и, следовательно, не отправляют никаких пакетов данных, не распознаются. Шпионить посредством простого подслушивания по-прежнему можно без ограничений.

Однако, даже если соответствующие приборы были распределены повсюду, есть области, которые невозможно зарегистрировать. Устройства, подключенные к коммутатору, обычно могут обмениваться данными друг с другом без передачи трафика данных через устройство NAC. Это означает, что по крайней мере прямые соседи могут быть атакованы, а также могут быть использованы для проникновения в более широкую сеть с этих устройств.

На основе агента

Здесь на всех конечных устройствах установлен агент, который гарантирует, что конечные устройства могут аутентифицировать себя в центральной службе в сети, и что только конечные устройства, которыми надлежащим образом управляют (зашифрованные), могут связываться друг с другом. Внешние системы не могут напрямую подключаться к собственным устройствам компании. Однако большая проблема с этим подходом состоит в том, чтобы предоставить агентов для множества различных операционных систем и, таким образом, охватить всю сеть.

Помимо проприетарных подходов, эта категория также включает стандарт IEEE 802.1X, который, помимо прочего, основан на использовании агентов (соискателей), уже предоставленных операционной системой. Тем не менее, полное покрытие всех участников сети здесь также обычно не гарантируется - особенно старые оконечные устройства и коммутаторы часто не поддерживают эту функцию.

802.1X подробно описан в отдельной статье - однако для полноты картины здесь следует упомянуть, что это проактивный подход. Если устройство подключено к коммутатору или точке доступа , оно должно аутентифицировать себя с помощью подходящего идентификатора (например, имени пользователя и пароля или сертификата ). Коммутатор или точка доступа, в свою очередь, имеет действительность идентификатора, проверенного сервером RADIUS , который, помимо «Принять» или «Запретить», также может передавать различные другие правила в качестве ответа, такие как назначенные VLAN или ACL . Основная сложность здесь - это администрирование сервера RADIUS и учетных записей.

На основе переключателя

Как правило, для этого используется протокол SNMP , который предлагает возможность связи практически со всеми коммутаторами, поскольку почти каждый производитель бизнес-коммутаторов поддерживает этот протокол. Однако в зависимости от требований z. B. Можно использовать SSH или другие (если возможно, зашифрованные) протоколы.

Это общение можно сначала использовать для получения полного обзора сети, независимо от ее размера. Распознается каждое устройство, которое подключено к порту коммутатора и обменивается данными. Как только новое устройство подключено, либо коммутатор активно информирует систему NAC через прерывание, либо система NAC регулярно запрашивает коммутатор о подключенных в данный момент устройствах.

Устройства идентифицируются по MAC-адресу , поэтому этот подход часто называют «NAC на основе MAC». Ведение белого списка позволяет определять, какие устройства разрешены в сети компании, а какие нет. Коммутатор может получить команду от системы NAC и перенастроить сетевой порт по тому же каналу связи, что и обнаружение. Таким образом, если посторонняя или нежелательная система подключена и распознана соответствующим образом, z. Б. сетевой порт может отключаться автоматически - устройство сразу теряет сетевое соединение - физически!

По мере развития этой технологии в коммутаторах создается все больше и больше различных опций, дающих определенные преимущества. Даже в самых маленьких сетях VLAN уже используются сегодня. Виртуальные сети предлагают удобный способ сегментирования сети независимо от ее физической структуры.

Поскольку виртуальные локальные сети также настраиваются на коммутаторах, это очевидное расширение контроля доступа к сети, позволяющее не только блокировать сетевые порты, но и перенаправлять их. Внешние системы больше не нужно полностью отделять от сети, их можно переключить в отдельную гостевую зону, где z. Б. Предлагается только Интернет.

Проблема остается в том, что MAC-адрес можно очень легко подделать. Злоумышленник может выбрать любой адрес - например, скопировать его с принтера и ввести, чтобы получить доступ к сети.

По этой причине некоторые профессиональные решения идут на несколько шагов дальше и сравнивают многие другие системные свойства, такие как IP-адрес, имя хоста , операционная система или открытые и закрытые IP-порты . В результате это означает, что злоумышленник должен подделать не только MAC-адрес, чтобы получить доступ, но и все другие свойства. Если части свойств различаются, система NAC может соответственно вызвать тревогу.

В дополнение к аспекту безопасности, удобное управление сетями VLAN также может быть установлено таким образом, всегда автоматически настраивая VLAN, принадлежащую оконечному устройству, для каждого порта. В результате у каждого сотрудника, где бы он ни работал, всегда есть знакомая среда и необходимые ресурсы.

Идентичности

При управлении доступом к сети это в основном вопрос определения и управления идентификаторами участников сети, а также предоставления или отказа в доступе соответственно. Следует проводить различие между идентификаторами устройств и пользователей, поскольку управление доступом к сети на первом этапе ориентировано на устройства. Пользователи контролируются в сети другими системами, такими как система авторизации в Active Directory или другие службы каталогов .

Тем не менее, Active Directory или, в принципе, службы LDAP также являются популярными источниками идентификации, которые также могут использоваться для управления доступом к сети. Существуют следующие ограничения:

• Простое рассмотрение устройств из Active Directory относительно просто и обычно имеет смысл для упрощения обслуживания. Однако следует отметить, что определение того, какие группы устройств AD должны контролироваться, в каком сегменте сети или VLAN необходимо хорошо спланировать и структурировать, чтобы изменения на одной или другой стороне не вызывали никаких трудностей.
• Просто взглянуть на пользователей из AD явно недостаточно. С помощью этого метода каждый сотрудник может взять с собой любое устройство и управлять им в сети - реальный контроль доступа к сети больше невозможен, поскольку незащищенные устройства могут получить полный доступ в любое время.
• Комбинация пользователей и устройств из AD для определения конкретных прав доступа обычно не очень проста и создает высокий уровень сложности. Однако, если на одном и том же терминале разным пользователям фактически предоставляется разный доступ, эти правила должны быть тщательно спланированы и тщательно реализованы. В зависимости от сложности пожеланий это может означать значительные усилия, которые следует тщательно проанализировать заранее, чтобы определить, целесообразно ли это вообще и / или необходимо.
  • Сама Active Directory контролирует, какой именно сотрудник имеет доступ к каким серверам и службам в компании через назначенные полномочия. Если «обычный» сотрудник, а затем и ИТ-администратор входят в систему на том же устройстве со своей учетной записью, это используется для контроля разрешенного доступа. Поэтому изменение сегмента сети, в котором расположен терминал, необходимо только в том случае, если системы, требуемые администратором, не могут быть достигнуты в текущем сегменте сети. Такая ситуация обычно возникает только в очень больших и сильно структурированных сетях. Кроме того, BSI обычно рекомендует не выполнять какие-либо административные меры из системы обычного пользователя. В противном случае существующий вредоносный код мог получить права администратора и нанести значительный ущерб.
  • В результате в подавляющем большинстве случаев достаточно авторизации конечных устройств или сведения правил к очень особым частным случаям.

Помимо каталогов Active Directory и LDAP, существуют различные другие источники идентификации, такие как различные базы данных, например B. Системы службы поддержки, CMDB или продукты для управления мобильными устройствами . По сути, каждый каталог с идентификаторами устройств может использоваться для упрощения внедрения и обслуживания управления доступом к сети. Различия заключаются в том, что некоторые «источники» могут быть аутентифицированы в реальном времени, в то время как другие могут использоваться только для изучения идентичности и для этого должны быть синхронизированы с системой NAC.

Временный доступ для гостей и других посетителей

Поскольку сетевой доступ защищен от доступа «не корпоративных устройств» с помощью управления доступом к сети, коммерческие решения NAC обычно предлагаются в сочетании с гостевым порталом. Таким образом, внешние устройства и пользователи могут получить временный доступ к определенным ресурсам - соответствующая идентификация временно разрешена в сети. Техническая реализация такого портала подробно описана в отдельной статье « Captive Portal ».

В связи с постоянно растущим разнообразием мобильных систем, более сложными требованиями к доступу со стороны сотрудников и растущей потребностью в предоставлении техническим специалистам по обслуживанию выделенного доступа к сети, это требование возрастает.

В соответствии с темой «принеси свое собственное устройство» гостевые порталы частично расширяются, чтобы дать сотрудникам возможность регистрировать свои собственные устройства, а затем управлять ими в сети компании.

Соблюдение

В связи с контролем доступа к сети соответствие обычно относится к соответствию ИТ, в соответствии с которым необходимо проводить различие между целью и требованиями. В этом контексте представляет особый интерес, соответствуют ли конечные устройства руководящим принципам безопасности и являются ли они «совместимыми» в этом отношении. В этом случае рекомендации в первую очередь касаются важных для безопасности деталей, таких как статус антивирусной программы (версия, активен / неактивен, возраст сигнатур ), статус брандмауэра рабочего стола, уровень исправления (операционная система, браузер , плагины и другие). приложения), статус шифрования и т. д.

Этот статус может быть определен удаленно или с помощью агента. Конечные устройства сканируются удаленно, в основном через WMI, SNMP или NMAP. Также возможны запросы на основе браузера через ActiveX или JavaScript . Обладая соответствующими локальными правами, агенты могут выполнять значительно более глубокую проверку, а не просто полагаться на ключи реестра или API других производителей. Итак, з. Например, версии файлов можно сравнивать с целевыми значениями с помощью хеш- значения вместо того, чтобы просто проверять, была ли установка исправления введена в базу данных регистрации, когда установка фактически завершилась неудачей.

Также существуют разные стратегии выбора времени сдачи экзамена. Пока агент может постоянно проверять статус и Если, например, вы уже знаете о состоянии оконечного устройства до подключения к сети, безагентные тесты должны выполняться в определенное время, в определенных ситуациях и / или циклически.

Самый безопасный вариант - пройти тест перед допуском в сеть, что зачастую сложно реализовать на практике. Поэтому проверки часто выполняются впоследствии и, при необходимости, приводят к реактивной блокировке системы.

В дополнение к двум описанным вариантам некоторые решения для управления доступом к сети также предлагают возможность выяснения статуса соответствия терминала по сторонним продуктам и его соответствующей обработки. Итак, з. Например, сервер Microsoft WSUS может служить источником информации о соответствии в отношении статуса исправления, антивирусные решения информируют систему NAC о зараженных конечных устройствах или решения SIEM инструктируют систему NAC изолировать затронутые конечные устройства в случае угрозы.

Поэтому контроль доступа к сети имеет центральное значение в стратегиях безопасности, поскольку возможности реагирования очень эффективны и могут быть реализованы чрезвычайно быстро с прямым подключением систем безопасности.

Смотри тоже

• Программно определяемый периметр

веб ссылки

• BSI: Обзорный документ по контролю доступа к сети
• Основы сочетания управления доступом к сети (NAC) и управления информацией и событиями безопасности (SIEM)