Le tecnologie e le procedure alla base della sicurezza Network access control (NAC) sono conosciute, nelle loro diverse varianti, già da molti anni. In origine erano integrate all’interno degli intrusion prevention system (IPS) o diversi altri prodotti e non costituivano una metodologia unificata e stand-alone. Di solito, le organizzazioni la utilizzavano per individuare e rendere innocui desktop o laptop Windows sospetti che potevano connettersi illegittimamente alla rete. Negli ultimi anni i sistemi NAC si sono evoluti per poter sorvegliare reti wireless, dispositivi mobili, il fenomeno Bring Your Own Device (Byod), i servizi cloud based e gli scenari dell’Internet of things (IoT).
ll controllo dei device personali è divenuto uno dei più importanti compiti dei prodotti NAC. Di conseguenza sempre più vendor di questo settore stringono partnership con quelli di sistemi MDM (Mobile device management), soprattutto per integrare moduli per il mobile management n ei sistemi NAC. Grazie all’integrazione con l’MDM, i NAC possono estendere anche ai dispositivi mobili le stesse policy previste dei desktop e i laptop. In più possono imporre la presenza dell’agente MDM sui dispositivi.
Sistemi Network access control, ecco cosa sono
I sistemi di Network access control sono progettati per unificare le diverse tecnologie di sicurezza dei dispositivi (dagli antivirus alle soluzioni di prevenzione delle intrusioni, valutazione delle vulnerabilità) così come di autenticazione dell’utente o del sistema e di rafforzamento della sicurezza di rete. Il loro scopo è controllare l’accesso a una rete con policy, controlli pre e post ammissione per verificare dove gli utenti possono andare e cosa possono fare.
Nello specifico, gli obiettivi dei NAC sono autorizzare, autenticare e fare l’accounting delle connessioni di rete; occuparsi di identità e gestione degli accessi; mitigare gli attacchi; crittografare il traffico attraverso rete wireless o cablata utilizzando vari protocolli eccetera.
NAC: come funzionano e perché integrarli con altri sistemi
I sistemi NAC consentono alle organizzazioni di forzare (presso una miriade di endpoint differenti) il rispetto di policy predefinite. Tra queste, per esempio, l’appartenenza a categorie di device ammessi o la presenza di antivirus aggiornati e l’installazione delle patch più recenti dei programmi e dei sistemi operativi. Una volta installato, un sistema NAC individua ogni device connesso alla rete, lo inserisce in una categoria e ne verifica la compatibilità con le regole di compliance definite dal team di security aziendale Il NAC, inoltre, verifica in maniera granulare quale tipo e livello di accesso al network è consentito al dispositivo in questione.
Risulta sempre più utile integrare i sistemi di network access control le infrastrutture di sicurezza preesistenti, in particolare i Siem (security information and event management), gli IPS (intrusion prevention system), i già citati MDM, i servizi di threat detection avanzata e gli NGFW (Next-generation firewall). I NAC possono fare leva sugli alert generati da questi prodotti per reagire meglio ai cambiamenti in corso sui network, come, per esempio, un tentativo di intrusione sospettato sulla base dell’analisi comportamentale di un dispositivo, un attacco in corso o la scoperta della compromissione di un dispositivo. Le più recenti integrazioni con gli strumenti di vulnerability assessment e di threat detection, in particolare, permettono ai NAC di sospendere o limitare l’accesso alla rete da parte di determinati device sulla base di specifici indicatori di compromissione. Quindi i NAC inviano ai responsabili della sicurezza alert sulla possibile imminenza di un’intrusione o sulla potenziale presenza di un’infezione di tipo Advanced Persistent Threat (APT). La maggior parte dei NAC si può anche integrare con Active Directory al fine di controllare l’accesso alla rete basato su policy di gruppo e far sì che solo determinati utenti possano ottenere l’accesso per svolgere il proprio lavoro.
Network access control agent e agentless: quale modalità preferire?
Il primo compito svolto dal NAC è realizzare un inventario di tutti i device connessi alla rete. L’obiettivo può essere ottenuto sia attraverso agent o app installati su ciascun endpoint, sia in modalità agentless. La modalità, singola o mista, varia da un prodotto NAC a un altro.
Gli agent raccolgono informazioni dettagliate sui device accedendo ai loro registry, sia facendo girare processi e strutture di file con l’obiettivo di individuare i sistemi operativi, le versioni dei software implementati, la configurazione dell’hardware ed eventuali problemi di sicurezza.
- Se i NAC sono solo agent-base, gli amministratori hanno solo due opzioni: negare o permettere l’accesso alla rete dei dispositivi privi di agent. Nessuna di queste due alternativa è ottimale: la prima può rendere impossibile aggiungere rapidamente nuovi device alla rete; la seconda vanificherebbe il lavoro di un NAC. Va tenuto presente, inoltre, che non tutti gli agent possono essere installati su tutti i sistemi operativi; men che meno possono esserlo su device quali stampanti, router, prodotti Voice over Ip (Voip) e oggetti dell’IoT. Qualora si optasse per l’approccio agent, nel caso fosse necessario l’accesso a network differenti, è comunque possibile evitare un sovraffollamento di agent a bordo dei device ricorrendo a agent non persistenti.
- Nelle installazioni agentless, le informazioni sono raccolte attraverso metodi di discovery attivi e passivi. I primi analizzano il traffico dati generato dagli endpoint per comprendere la natura di questi; l’active discovery consente di raccogliere maggiori informazioni tramite l’accesso ai device connessi grazie a credenziali Active Directory, con il port scanning , e la verifica di fingerprint caratteristiche di certi dispositivi. La metodologia agentless è la più adatta in un contesto IoT.
Implementato correttamente, il NAC è un sistema di sicurezza che dà all’organizzazione la sensazione di avere tutto, anche in uno scenario in evoluzione e diversificazione. Non è comunque una bacchetta magica. Per questo motivi i NAC dovrebbero essere utilizzati in sinergia con altri sistemi. Da non dimenticare, infine, anche l’importanza di un’adeguata attività di testing in grado di rilevare se uno specifico NAC è o meno in grado di soddisfare le le esigenze di sicurezza di un’organizzazione, senza diventare un guardiano eccessivamente zelante.