Network Access Control
Network Access Control (NAC) è un approccio alla sicurezza informatica che tenta di unificare la tecnologia di sicurezza degli endpoint (come antivirus, prevenzione delle intrusioni dei computer e valutazione delle vulnerabilità), autenticazione dell'utente o del sistema e rafforzamento della sicurezza di rete.[1][2]
Descrizione
[modifica | modifica wikitesto]Network Access Control (NAC) è una soluzione per reti di computer che usa un insieme di protocolli che definiscono e implementano delle politiche che descrivono come effettuare un accesso sicuro ai nodi della rete da parte dei dispositivi, quando questi tentano di accedere alla rete. NAC potrebbe integrare il processo di fixing automatico (fixando i nodi non conformi prima di consentire l'accesso) nei sistemi di rete, consentendo all'infrastruttura di rete come router, switch e firewall di collaborare con i server di back office e le apparecchiature di elaborazione degli utenti finali assicurando che il sistema funzioni in modo sicuro prima che l'interoperabilità sia consentita. Una forma base di NAC è 802.1X standard.
Ha lo scopo di fare esattamente ciò che implica il nome: controllare l'accesso a una rete con policies, inclusi i controlli dei criteri di sicurezza dell'endpoint pre-ammissione e controlli post-ammissione su dove utenti e dispositivi possono andare su una rete e cosa possono fare.
Esempio
[modifica | modifica wikitesto]Quando un computer si vuole connettere ad una rete di computer, non gli è consentito accedere a nulla a meno che egli non sia conforme alle policy aziendali definite; compreso il livello di protezione dell'anti-virus, il livello e la configurazione degli aggiornamenti di sistema. Mentre il computer viene controllato da un software preinstallato, può accedere solo alle risorse che possono risolvere eventuali problemi. Una volta che le policy sono soddisfatte, il computer è in grado di accedere alle risorse di rete e a Internet, rispettando però le policy definite all'interno del sistema NAC. NAC viene principalmente utilizzato per i controlli dello stato dell'endpoint, ma anche per definire diversi livelli di accesso.
Ad esempio, in un'azienda il reparto risorse umane può accedere solo ai file del dipartimento risorse umane se il ruolo e l'endpoint soddisfano i requisiti minimi dell'antivirus.
Obiettivi di NAC
[modifica | modifica wikitesto]Poiché NAC rappresenta una categoria emergente di prodotti per la sicurezza, la sua definizione è allo stesso tempo in evoluzione e controversa. Gli obiettivi generali del concetto possono essere descritti in:
- Mitigazione di attacchi non zero-day
- Autorizzazione, Autenticazione e Accounting delle connessioni di rete.
- Crittografia del traffico attraverso la rete wireless o cablata utilizzando i protocolli per 802.1X come EAP-TLS, EAP-PEAP o EAP-MSCHAP.
- Controlli basati sul ruolo dell'utente, dispositivo, applicazione o policy di sicurezza.
- Automazione con altri strumenti per definire il ruolo nella rete in base ad altre informazioni quali vulnerabilità note, stato jailbreak ecc
- Il principale vantaggio delle soluzioni NAC è quello di impedire che i dispositivi privi di antivirus, patch o software di prevenzione delle intrusioni dell'host accedano alla rete e mettano altri computer a rischio di contaminazione incrociata di worm.
- Applicazione della politica.
- Le soluzioni NAC consentono agli operatori di rete di definire policy, come i tipi di computer o ruoli degli utenti autorizzati ad accedere alle aree della rete e imporli in switch, router e middlebox di rete.
- Identità e gestione degli accessi
- Là dove le reti IP convenzionali applicano le policy di accesso in termini di indirizzi IP, gli ambienti NAC tentano di farlo in base a identità autenticata dell'utente, almeno per i dispositivi degli utenti come laptop e computer desktop.
Concetti
[modifica | modifica wikitesto]Pre-ammissione e post-ammissione
[modifica | modifica wikitesto]Vi sono due design prevalenti di NAC, basati sul fatto che le policy siano applicate prima o dopo che i dispositivi ottengano l'accesso alla rete. Nel primo caso, chiamato NAC pre-ammissione, i dispositivi vengono ispezionati prima essere autorizzati ad accedere alla rete. Un tipico caso d'uso di NAC pre-ammissione sarebbe quello di impedire ai client con firme antivirus obsolete di parlare con server sensibili. In alternativa, NAC post-ammissione prende le decisioni in base alle azioni dell'utente, dopo che gli utenti hanno avuto accesso alla rete.
Agente contro senza agente
[modifica | modifica wikitesto]L'idea fondamentale alla base di NAC è di consentire alla rete di prendere decisioni di controllo degli accessi basate sulle informazioni dei dispositivi, quindi il modo in cui la rete viene informata su questi è una decisione progettuale chiave. Una differenza fondamentale tra i sistemi NAC è se richiedono che il software agente riporti le caratteristiche del dispositivo o se utilizzino tecniche di scansione e di inventario di rete per discernere tali caratteristiche in remoto.
Con la maturazione del NAC, gli sviluppatori di software come Microsoft hanno adottato questo approccio, fornendo il loro agente di Network Access Protection (NAP) come parte delle versioni di Windows 7, Vista e XP. Esistono anche agenti Network Access Protection per Linux e Mac OS X che forniscono le stesse informazioni per questi sistemi operativi.
Out-of-band contro inline
[modifica | modifica wikitesto]In alcuni sistemi out-of-band, gli agenti sono distribuiti nei dispositivi e riportano le informazioni a una console centrale, che a sua volta può controllare gli switch per applicare le policy. Al contrario, le soluzioni in linea possono essere soluzioni a scatola singola che fungono da firewall interni per il layer di accesso delle reti e applicano la politica. Le soluzioni out-of-band hanno il vantaggio di riutilizzare l'infrastruttura esistente; i prodotti in linea possono essere più facili da implementare su nuove reti e possono fornire funzionalità di imposizione di rete più avanzate, poiché sono direttamente in controllo dei singoli pacchetti sul cavo. Tuttavia, esistono prodotti senza agenti e che presentano entrambi i vantaggi intrinseci di un'implementazione out-of-band più semplice e meno rischiosa.
Bonifica, quarantena e captive portal
[modifica | modifica wikitesto]Gli operatori di rete distribuiscono prodotti NAC con l'aspettativa che a determinati client legittimi venga negato l'accesso alla rete (se gli utenti non avessero mai avuto patch di protezione non aggiornate, i NAC non sarebbe necessario). Per questo motivo, le soluzioni NAC richiedono un meccanismo per rimediare ai problemi degli utenti finali negando loro l'accesso.
Due strategie comuni per la bonifica sono le reti di quarantena e i captive portal:
Quarantena
[modifica | modifica wikitesto]Una rete di quarantena è una rete IP limitata che fornisce agli utenti l'accesso solo a determinati host e applicazioni. La quarantena è spesso implementata in termini di assegnazione VLAN; quando un prodotto NAC determina che un dispositivo non è aggiornato, la porta dello switch viene assegnata a una VLAN che viene instradata solo verso server di patch e aggiornamenti, non al resto della rete. Altre soluzioni utilizzano tecniche di gestione degli indirizzi (come ARP (Address Resolution Protocol) o Neighbor Discovery Protocol (NDP)) per la quarantena, evitando il sovraccarico di gestione delle VLAN di quarantena.
Captive portal
[modifica | modifica wikitesto]Un captive portal intercetta l'accesso HTTP alle pagine Web, reindirizzando gli utenti a un'applicazione Web che fornisce istruzioni e strumenti per l'aggiornamento del proprio computer. Fino a quando il loro computer non supera l'ispezione automatica, non è consentito l'utilizzo della rete oltre al captive portal. Questo è simile al modo in cui l'accesso wireless pagato funziona nei punti di accesso pubblici.
I portali Captive esterni consentono alle organizzazioni di evitare a controller e switch wireless di ospitare portali web. Un singolo portale esterno ospitato da un'appliance NAC per l'autenticazione wireless e cablata elimina la necessità di creare più portali e consolida i processi di gestione delle policy.
Mobile NAC
[modifica | modifica wikitesto]L'uso di NAC in una distribuzione mobile, in cui i lavoratori si connettono su varie reti wireless durante la giornata lavorativa, comporta sfide che non sono presenti in un ambiente LAN cablato. Quando a un utente viene negato l'accesso a causa di problemi di sicurezza, si perde l'uso produttivo del dispositivo, che può influire sulla capacità di completare un lavoro o servire un cliente. Inoltre, la riparazione automatica che richiede solo pochi secondi su una connessione cablata può richiedere minuti con una connessione dati wireless più lenta, facendo impantanare il dispositivo.[3] Una soluzione NAC mobile offre agli amministratori di sistema un maggiore controllo su sé, quando e come risolvere i problemi di sicurezza. Un problema di livello inferiore come firme antivirus non aggiornate possono comportare un semplice avvertimento per l'utente, mentre problemi più seri possono causare la messa in quarantena del dispositivo.[4] Le politiche possono essere impostate in modo tale che la riparazione automatica, come l'estensione e l'applicazione di patch e aggiornamenti di sicurezza, venga trattenuta fino a quando il dispositivo non viene connesso tramite una connessione Wi-Fi o più veloce o dopo l'orario di lavoro. Ciò consente agli amministratori di bilanciare in modo appropriato il bisogno di sicurezza rispetto all'obiettivo di mantenere i lavoratori produttivi.[4]
Note
[modifica | modifica wikitesto]- ^ (EN) IEEE 802.1: 802.1X-REV - Revision of 802.1X-2004 - Port Based Network Access Control, su ieee802.org. URL consultato il 20 dicembre 2017.
- ^ (EN) Tutorial: Network Access Control (NAC), in Network Computing, 17 luglio 2007. URL consultato il 20 dicembre 2017 (archiviato dall'url originale il 28 novembre 2015).
- ^ Wayback Machine (PDF), su netmotionwireless.com, 5 ottobre 2011. URL consultato il 20 dicembre 2017 (archiviato dall'url originale il 5 ottobre 2011).
- ^ a b White Paper: Mobile Network Access Control: Extending Corporate, su fieldtechnologiesonline.com, 14 marzo 2012. URL consultato il 20 dicembre 2017 (archiviato dall'url originale il 14 marzo 2012).