Quando si parla di NAC (Network Access Control) ci riferiamo ad un’architettura di rete cosi strutturata che opera a livello 2 della pila ISO/OSI. Prendiamo un apparecchio di rete, un HUB e per cui una comunicazione fatta qui viene vista da tutti gli altri host. Utilizziamo un altro apparecchio di rete che è lo switch (evitiamo che a per parlare b lo debba fare parlando con tutti, e quindi inseriamo lo switch). Questa operazione di ascolto sulla rete si chiama snif. Questa struttura di rete è quella più diffusa in tutte le aziende mentre in ambito militare e telefonico si utilizza la struttura di rete detta “token ring” (doppio anello). Analizziamo le problematiche della riservatezza. Partiamo dal layer 1, infatti in azienda dobbiamo garantire la riservatezza e cioè soltanto chi ha diritto possa accedere ai vari layer. Uno dei punti di vulnerabilità di un sistema aziendale è proprio l’indirizzo IP ed il relativo MAC address. In un’azienda bisogna garantire che soltanto chi ha diritto possa accedere alla rete, questo per preservare la riservatezza dei dati e del sistema. La prima misura di sicurezza che andrebbe presa è garantire che solo gli utenti autorizzati riescano ad accedere al network. Questa situazione si chiama NAC (Network Access Control) e lavora sul layer 2.
Anche questo metodo apparentemente sicuro ha delle criticità, Il protocollo che si utilizza è l’802.1X (EAPol EAP su LAN) che lavora al livello software e blocca la porta dello switch e non dell’hub. Un protocollo è ad esempio una telefonata che utilizza un
canale di comunicazione. Questo protocollo lavora sugli switch, permette di bloccare l’accesso alla porta e quindi mi devo per forza autenticare, fornire delle credenziali che vengono cifrate, inviate al server di autenticazione che ci risponde positivamente o negativamente. Un altro esempio si ha nel caso in cui l’utente della rete sta sempre collegato alla rete e si allontana, un intruso può collegarsi con un hub e quindi entrare nella rete. Per risolvere le criticità si impostano delle politiche sulle porte (singola autenticazione singolo accesso sulla porta oppure più di un’autenticazione più di un accesso (MA = Multiple Authentication; SA = Single Authentication multiple autentication che ad oggi è supportato da poche apparecchiature di rete in commercio). Oggi tutti i grandi costruttori si stanno orientando sul MAC o sul NAC. Questa tecnologia è attualmente il top che ci sta in commercio. Un’altra debolezza possono essere gli orologi marca-tempo per la rilevazione delle timbrature dei dipendenti che non supportano il protocollo l’802.1X. Un’ulteriore criticità è l’indisponibilità di risorse finanziarie adeguate, i costi sono elevati nell’ICT. Dal punto di vista
amministrativo una criticità di questo sistema è l’elevato costo, in quanto pochi switch sono in grado di supportare questa tipologia di protocolli di autenticazione. Per risolvere questa criticità oltre alla tecnologia del protocollo 802.1X è possibile effettuare
un’altra ipotesi anche se questa viene reputata anch’essa vulnerabile. Si mantiene un’infrastruttura di rete variegata (hub, switch, router, etc.) do accesso a tutti gli utenti (chiunque si mette in rete ha accesso vi è un servizio che è DHCP, siamo a livello 2 e tutti possiamo fare traffico). Succede che una volta che abbiamo accesso, alla fine non possiamo fare nulla perché alla fine dove esce il
traffico, in quell’area siamo bloccati (che corrisponde in genere a quella che abbiamo segmentato) in quanto non c’è nessun servizio attivo. Se noi vogliamo accedere dobbiamo avere un file detto VPN (Virtual Private Network) che è un qualcosa a più alto livello che crea delle comunicazioni, facciamo dei tunnel sicuri ed allora si inizia a lavorare. Quali sono i limiti di questo accesso?
Questo è un approccio che ha un grosso limite che è il controllo, quindi anche se in maniera isolata io do l’accesso al network, perché non so quello che state facendo e non so chi siete. A questo punto posso inserire un host che genera tanto traffico sulla rete in modo tale da collassare il network (satura la banda). Come risolvo il problema? Chi vado a cercare? Che metodologie ho? Ho perso il controllo, la rintracciabilità, la disponibilità. In un ambiente switchato questo approccio va bene (è ottimo per un’azienda ma inefficace per l’università ad esempio). Bisogna valutare sempre i costi ed i rischi del mio sistema informativo. La cosa importante quando si prendono delle misure di sicurezza è considerare l’organizzazione e qual è l’obiettivo, a seconda di ciò che dobbiamo fare
valutare costi e rischi. Un altro metodo è quello relativo all’utilizzo del DHCP autenticato, ovvero assegnazione dinamica dell’indirizzo IP con la richiesta preventiva di credenziali. Una criticità di tale metodo è che rende libero l’accesso al network, al cavo. Un metodo di sniffing alla rete può avvenire attraverso l’utilizzo di sonde, vengono visti gli IP delle persone che non sono autenticate, viene inviato un pop up alla macchina non autenticata che gli chiede le credenziali, l’utente immette le credenziali e fa passare il traffico da quella macchina. Limiti: butto giù un IP, lo prendo e sto sulla rete.
Scrivi un commento
Accedi per poter inserire un commento