Il numero e la varietà di dispositivi IP non tradizionali, i cosiddetti dispositivi dumb, stanno letteralmente esplodendo all'interno delle reti aziendali. Dai sistemi HVAC e IP-enabled per il controllo delle serrature delle porte alle telecamere e stampanti IP, questi prodotti sono collegati in rete dovunque e presentano una seria sfida per i gestori di rete. Le caratteristiche di fingerprint degli endpoint dei nuovi network access control (NAC) possono aiutare a risolvere il problema.
Secondo Usman Sindhu, analista di Forrester Research, per un cracker, i dispositivi dumb sulla rete rappresentano una perfetta opportunità di commettere un attacco man-in-the-middle. "Se siete in grado di falsificare l'indirizzo IP di un dispositivo, potete praticamente entrare in un ambiente di rete", ha detto Sindhu.
Dispositivi dumb, problemi complessi
Gli endpont IP non gestiti e non computerizzati non sono una novità per le
reti aziendali. Dopo tutto, già da lungo tempo le stampanti sono presenti nelle
reti. Ma il problema è diventato più acuto negli ultimi anni quando i metodi
tradizionali non si sono mostrati capaci di rendere sicuri tali dispositivi.
"Questo problema esiste da molto tempo - ha affermato Alok Agrawal, technical marketing manager di Cisco -. Le aziende pensano che siccome dispongono di sistemi di sicurezza fisica, questi siano una sufficiente barriera. Ma ora con i telefoni IP, clienti e fornitori entrano continuamente all'interno di ambienti controllati. Ciò obbliga ad ampliare il raggio d'azione dei sistemi di protezione e la sicurezza fisica non è più sufficiente. Non si può più ritenere che qualsiasi dispositivo all'interno di un preciso confine fisico sia affidabile".
Molte imprese non dispongono di un inventario completo di tutti i dispositivi non computerizzati presenti sulle loro reti, per non parlare poi del monitoraggio di base e dell'autenticazione di tali prodotti. Altri effettuano manualmente l'inventario dei loro dispositivi dumb, un processo che richiede tempo e che fotografa la situazione in un preciso momento in modo statico.
"Oggi qualsiasi apparecchiatura medica ha la possibilità di essere collegata in rete - ha sostenuto Don Lester, ingegnere senior presso il Wenatchee Valley Medical Center -. Ma per parecchi anni, i vendor hanno integrato in modo sommario la connettività di rete nelle interfacce, che non sono niente di più di un PC con software personalizzato volto a dirigere il traffico presente sulla porta seriale dell'apparecchio verso un frame del network. Quindi, anche se non parliamo di qualcosa di nuovo, non abbiamo soluzioni innovative. Manteniamo un inventario degli indirizzi IP, e la maggior parte è assegnata staticamente ai dispositivi i quali hanno un specifici valori nel database di indirizzi IP. Sappiamo cosa sono, dove sono e che tipo di traffico generano, ma niente di più".
Utilizzare il fingerprint degli endpoint
Recentemente, i clienti di Forrester hanno riscontrato problemi nella
sicurezza per la mancanza di un inventario completo e di un adeguato controllo
su molti di questi dispositivi, ha detto Sindhu. Perciò, Forrester suggerisce
alle imprese di iniziare a usare il fingerprint degli endpoint, un add-on che
molti venditori NAC stanno offrendo. Con il termine fingerprint degli endpoint
si intende l'individuazione, la classificazione e il controllo degli endpoint
della rete.
"Molti di questi dispositivi, come le stampanti, vengono registrati e inventariati in molteplici posti, ma non c'è un luogo centrale, a cui il sistema potrebbe fare riferimento per redigere un elenco globale", ha sottolineato Sindhu.
Con il fingerprint degli endpoint, un prodotto NAC può individuare e inventariare tutti i dispositivi sulla rete. Può raccogliere gli indirizzi IP e MAC e comunicare queste informazioni ai server per il controllo dell'autenticazione, dell'autorizzazione e degli account di una società al fine di determinare la posizione e verificare l'identità del dispositivo.
Tramite il proprio sistema NAC, l'impresa può anche impostare delle policy per monitorare questi dispositivi e inviare segnalazioni al team rete se cambia qualcosa.
Il prodotto NAC di Cisco controlla i pacchetti trasmessi da dispositivi dumb e analizza se sta accadendo qualcosa di sospetto, ha detto Agrawal.
"Monitoriamo continuamente i dispositivi e, se c'è un cambiamento, modifichiamo l'alert sull'autorizzazione e adottiamo ulteriori misure - ha precisato -. Se un dispositivo ieri agiva come una stampante mentre ora funziona come desktop di Windows, so che è cambiato il suo profilo. Lo metto in quarantena e mando qualcuno a controllarlo di persona. Se quel laptop apre un browser, noi controlliamo il traffico HTTP".
Diversi vendor di NAC - tra cui Cisco, Juniper Networks, Forescout e Bradford Networks - stanno iniziando a offrire caratteristiche di fingerprint degli endpoint come un add-on per i loro prodotti.
"Questi endpoint non tradizionali integrano elementi che in passato si pensava non avrebbero mai riguardato i NAC - ha concluso Sindhu -. E stiamo vedendo che i vendor sono sempre più consapevoli di questo aspetto".
