Sicurezza perimetrale evoluta: Il ruolo strategico del Network Access Control (NAC)

Questo articolo presenta una visione strategica del controllo dell’accesso alla rete, una finestra sul futuro della sicurezza centrata sulla rete e, in misura minore, della difesa perimetrale, del rilevamento delle intrusioni e della lotta efficace contro il compromesso e il furto di identità.

Attualmente, l’esposizione alle minacce informatiche sta diventando sempre più complessa ed è significativamente rilevabile un aumento nell’uso di dispositivi connessi (IoT e BYOD), rendendo più deboli se non inefficaci i sistemi bassati sui soli firewall. Occorre un approccio alla sicurezza più dinamico con visione più ampia delle implicazioni che questi dispositivi possono comportare. In primis ciò che entra ed esce dalla rete, ma anche analizzare e gestire il traffico di rete interno al proprio segnamento di rete. In questo contesto, il Network Access Control (NAC) si propone come uno dei tasselli di sicurezza con una posizione strategica chiave.

Cos’è il Controllo dell’Accesso alla Rete (NAC)?

Il NAC non è un prodotto in sé, ma un approccio alla sicurezza per unificare le politiche di accesso che consentono ai dispositivi e agli utenti di avere credenziali e diritti adeguati prima di entrare nella rete. La cosa più basilare che fa è passare dal modello di fiducia implicita (“tutto ciò che è all’interno è sicuro”) al modello Zero Trust, dove tutti gli accessi sono verificati. Con una soluzione NAC tutti i punti finali sono completamente visibili e pronti per l’amministratore per vedere quali dispositivi sono attualmente connessi all’infrastruttura. L’implementazione di soluzioni NAC, danno all’organizzazione una capacità di risposta istantanea: un dispositivo alieno, non conforme o ancora peggio che mostra un comportamento anomalo, può essere in automatico escluso dalla rete e parcheggiato in una rete di quarantena impedendogli di raggiungere aree core dell’organizzazione.

Protocolli di autenticazione: RADIUS e TACACS+

Pilastro fondamentale per implementare un NAC c’è il sistema denominato Autenticazione, Autorizzazione e Accounting (AAA). L’implementazione dei servizi AAA ha come prerequisito, la presenza nell’infrastruttura di servizi RADIUS e/o TACACS+.

RADIUS (Remote Authentication Dial-In User Service): Il protocollo per eccellenza e quello comunemente utilizzato per effettuare l’autenticazione di accesso alla rete. È diventato il più utilizzato, specialmente per garantire l’accesso alla rete wireless. L’architettura combina autenticazione e autorizzazione in un unico passaggio, e cripta solo la password dell’utente nel pacchetto di richiesta di accesso. Semplice e supportato da quasi tutti i fornitori di rete. Per utilizzo più spinto, manca di un po’ di flessibilità.
TACACS+ (Terminal Access Controller Access-Control System Plus): è un miglioramento di RADIUS. TACACS+ è ritenuto, non a torto, più sicuro con una maggiore flessibilità di utilizzo. Le funzioni AAA sono gestite come tre servizi separati. Questo consente di utilizzare un sistema come, ad esempio, Active Directory o LDAP per l’autenticazione e uno diverso per l’autorizzazione. Inoltre, il pacchetto di TACACS+ è criptato nella rete di transito. Questa soluzione la rende particolarmente adatta per gestire l’accesso ai dispositivi di rete (router, switch, firewall). Unico problema è che non tutti gli apparati supportano questo protocollo. Occorre quindi verificarne la compatibilità. È vero che potrebbero essere implementati al fine del NAC anche entrambe i protocolli. La scelta di utilizzare RADIUS o TACAC segue le esigenze implementative. RADIUS è più semplice da utilizzare per l’autenticazione degli utenti finali. TACACS+ è invece più indicato per gestire il controllo rigoroso e sicuro per l’accesso amministrativo agli apparati dell’infrastruttura.

Integrazione con segmenti di rete.

L’azione del NAC è amplificata quando è coesa a un’infrastruttura di rete solida basata sulla segmentazione e l’isolamento. C’è la nozione di segmentazione (un modo per compartimentare i malintenzionati a distanza di sicurezza) dove parti della rete aziendale sono logicamente separate in VLAN (Virtual Local Area Networks) e simili. Ad esempio, è possibile impostare segmenti diversi per server critici, amministratori, personale, visitatori e dispositivi IoT. È qui che il NAC dimostra il suo valore strategico. Una volta che un utente o un dispositivo è autenticato (tramite RADIUS, ad esempio), il sistema NAC può assegnarlo automaticamente al segmento di rete appropriato in base al profilo, al ruolo o alla conformità.

Caso 1: accesso ospite: Quando l’utente è un visitatore e si connette alla rete Wi-Fi. Il NAC li cattura tramite un portale captive (stile WiFi Hotel), li autentica e poi li invia direttamente a una VLAN “Ospite” che consente solo l’accesso a Internet e non l’accesso alla rete interna.
Scenario 2: dispositivo non conforme o alieno: Un laptop aziendale o esterno all’organizzazione sta cercando di connettersi, ma non rientra tra i dispositivi autorizzati o privi di certificato valido. Il NAC rileva questa non conformità e, anziché consentire l’accesso completo, lo relega a una VLAN “Quarantena” che non consente alcun accesso ad altri segmenti di rete.
Caso 3: dispositivo IoT: Il dispositivo è una telecamera di sicurezza e si connette alla rete. Il NAC lo etichetta tramite indirizzo MAC o certificato digitale e lo inserisce nella VLAN “IoT”, dove può comunicare solo con il server di sorveglianza e rifiuterà tutti gli altri tentativi di comunicazione.

Insieme, trasformano la rete da statica a dinamica e forniscono un ambiente di accesso intelligente in cui le politiche possono essere applicate in tempo reale basate sull’identità dell’utente e del dispositivo, sulla postura di sicurezza lato client consentendo all’IT di ridurre la superficie di attacco e il potenziale movimento laterale del malware.

Requisiti dell’infrastruttura per massimizzare l’efficacia

Il solo software non è sufficiente per fornire una strategia NAC forte. È necessaria un’infrastruttura fisica sufficiente per consentirgli di comportarsi bene e funzionare senza diventare un collo di bottiglia o un punto di guasto.

Infrastruttura di rete compatibile: Fondamentalmente è necessario avere switch, punti di accesso e router “gestiti” e conformi allo standard IEEE 802.1X. Questo standard è il meccanismo tramite il quale i dispositivi di rete possono “parlare” al server di autenticazione (generalmente RADIUS/TACACS+) per chiudere o aprire porte fisiche o connessioni WLAN a seconda che un tentativo di autenticazione sia riuscito o meno.
Server dedicati e ridondanti: Le soluzioni NAC e i server AAA sono elementi chiave. Il fallimento degli switch potrebbe impedire qualsiasi accesso alla rete. Per questo motivo è importante che i server fisici o virtuali siano equipaggiati correttamente (risorse come CPU, RAM, disco…) ma anche che un’architettura di alta disponibilità con 2 o più nodi in un cluster (attivo o passivo) sia applicata per garantire la continuità dei servizi anche se un server cade.
Prestazioni della rete: I server NAC e AAA sono portati sulla rete tramite collegamenti ad alta velocità e bassa latenza per gestire migliaia di richieste di autenticazione al secondo con zero latenza percepibile dagli utenti finali.
Integrazione con il provider di identità: Il NAC è valido solo quanto la sua capacità di interfacciarsi con l’infrastruttura di identità in uso, presumibilmente Active Directory ma anche altri provider basati su LDAP. Questa incorporazione deve quindi essere stabile e sicura, il che significa tipicamente connettività di rete dedicata e regole firewall.

Per riassumere, l’implementazione di una strategia di Controllo dell’Accesso alla Rete: basata su RADIUS/TACACS+ e combinata con una segmentazione di rete appropriata, è una pietra miliare della sicurezza aziendale. Questo è un investimento che trasforma veramente la difesa passiva in una difesa proattiva basata sull’identità, l’unica che può proteggere efficacemente i beni informativi nell’era della rete.