L'accesso con autenticazione assicura che un utente debba fornire le credenziali per accedere alla LAN aziendale. Ma questo non garantisce che il computer dell'utente si comporterà "correttamente" nella rete locale e nemmeno che il computer non sia già compromesso o in mano ad alcune botnet.
Per questi motivi, in alcune situazioni l'autenticazione si integra con controlli più completi, di solito denominati network access control (NAC).
Tali controlli vanno oltre la verifica che gli utenti o le macchine siano già conosciuti e sono volti alla conferma della "buona salute" del sistema.
I controlli NAC, tra le altre cose, assicurano che ci sia un programma antivirus in esecuzione, che il sistema abbia superato una scansione e che il suo sistema operativo sia stato aggiornato.
I sistemi più attuali incorporano l'analisi comportamentale, che verifica le azioni intraprese da un sistema una volta all'interno della rete e che mette in atto misure correttive, se il sistema dovesse avere un comportamento anomalo.
Funzioni di sicurezza degli edge switch della LAN e NAC
Una difesa in profondità richiede che i team di rete utilizzino gli edge switch
come parte dell'infrastruttura di sicurezza. ACL, VLAN e l'autenticazione formano
le fondamenta della protezione di confine; il NAC sta in cima a questa base per
ridurre ulteriormente i rischi.
Di solito, è guidato dall' intelligenza che risiede nel data center o nel core del network, come le policy definite a livello centrale o le directory di utenti che sono autorizzati a utilizzare la rete.
Tuttavia, alcuni fornitori, come per esempio ConSentry, Napera e Fortinet, mettono tutta questa "intelligenza" nei dispositivi edge, rendendo il deployment teoricamente più semplice, in particolare nelle piccole reti.
L'autenticazione per l'accesso edge è il primo e più importante ostacolo nella maggior parte delle installazioni NAC. Nel caso il NAC sia edge-driven o semplicemente edge-enforced, i controlli iniziali implicano l'uso di un agente a prova di manomissione a livello di endpoint il quale verifichi che alcuni software siano in esecuzione (ad esempio un antivirus) e altri no (per esempio, vari tipi di spyware). Nel mondo Windows, diverse soluzioni NAC utilizzano il client Microsoft Network Access Protection (NAP) per i controlli, altri sviluppatori usano un proprio agente.
Implementazione dei controlli di sicurezza sulla LAN edge
Le specifiche per l'implementazione dei controlli di sicurezza variano
notevolmente da sistema a sistema (più degli ACL o anche delle configurazioni
di autenticazione). Idealmente, bisogna segure le seguenti regole:
- Gli host della VLAN che falliscono il controllo antivirus devono essere isolati
- I guest della VLAN che falliscono il controllo antivirus devono consentire il rimedio tramite VLAN
- La Wlan che fallisce il controllo del sistema operativo deve consentire il rimedio tramite VLAN
L'aggiunta di controlli di sicurezza può contribuire a ridurre l'incidenza di macchine compromesse in uso sulla LAN. ACL e VLAN sono in grado di proteggere i dispositivi edge gli uni dagli altri e possono limitare la gamma di possibili attacchi contro obiettivi nei data center, ma non possono stabilire se sono in corso attacchi più raffinati. L'aggiunta dell'analisi del comportamento può rendere visibili anche gli attacchi più "sottili".
Così, per le reti con un numero significativo di utenti temporanei (come in una società che fa largo uso di collaboratori, o in un'università) o dove il controllo IT dei desktop è minimo, il NAC può essere un'ottima precauzione.
Il NAC è però molto più utile su LAN wireless e su altri segmenti di rete con utenti temporanei o diversi notebook che entrano ed escono dalla rete regolarmente. In un'organizzazione più piccola, con una popolazione di utenti più statica, è quasi sempre eccessivo.
Tuttavia, prima di intraprendere il deployment di un NAC, azione che prevede l'aggiunta di maggiore potenza, tutte le organizzazioni dovrebbero sfruttare qualsiasi edge switch di sicurezza di cui dispongono. E se sono utenti Windows, dovrebbero valutare il NAP.
*John Burke è analista di Nemertes Research, presso cui si occupa di architettura software-oriented e di management.
