Erez Kalman

Este timpul pentru NAC să ia un NAP

/in /by

Repudiere: Acest articol reprezintă părerea editorială, articolul nu este comprehensiv pentru toate tehnologiile și tehnicile de pe piață și are ca scop determinarea cititorului să exploreze într-un mod mai bun nevoia și să nu ia decizii bazate numai pe conținutul său.

Tehnologiile NAC ( Control pentru Accesul la Internet)/ NAP( Protecția Accesului la Internet) reprezintă metode vaste și diferite de operare existente de mult timp.

Bazele lor de identificare a unui nou dispozitiv de rețea bazat pe un evenimenyt poate fii:

  • DHCP (solicitare nouă de IP).
  • DNS (interogare).
  • MAC (diverse tipuri de emisiuni, cum ar fi ARP și alte metode).
  • Poarta (noul trafic care traversează o poartă).

Însă, ghiciti ce anume au în comun toate acestea: ele pot fi oprite cu ușurință din activitatea lor! Acest lucru este enervant deoarece prețul (CAPEX și OPEX) de operare a unui NAC este mare (cel puțin în rularea noastră) și cred că ROI pentru NAC este foarte scăzută. Iată câteva exemple despre cum pot fi ocolite diferitele NAC-uri:

Cum să configurați un router ieftin de rețea:

  • NAT (cu PAT) activat
  • Routerul tuturor traficului WAN către portul I
  • Conectați calculatorul valid la portul I
  • După ce computerul obține acces la rețea, conectați oricare alte porturi și bucurați-vă!
  • Dacă doriți ca identificarea router-ului să fie mai dificilă, spionați MAC-ul dublicând MAC-ul WAN la MAC-ul computerului conectat la portul I înainte de a conecta router-ul la rețea prin intermediul portului WAN.

Utilizați un hub de rețea și dezactivați cerințele ARP pe cardul de interfață de rețea (NIC) și pe sistemul de operare (OS).

Dar hei…există soluții “mai bune” în acest sens:

  • 802.1x – Încă mai trebuie să adăugați în listă unele dispozitive care să permită ca atacurile anterioare să funcționeze, pachetele EAP pot fi redirecționate (în primul atac de mai sus), ocolind astfel 802.1x
  • Semnarea traficului – o soluție excelentă dar care poate necesita schimbarea echipamentelor de rețea și încă în final o listare albă…

“Dar NAC-ul meu efectuează amprentarea dispozitivului!” – Și ce amprentă are? Verificați ce porturi sunt deschise? Verificați răspunsul antet / ecou? Accesați SNMB-ul? Acestea sunt toate foarte ușor de by-pass și, din nou, primul atac de mai sus încă îl ocolește așa cum NAC va examina actualul calculatorului corporativ!

Și ce vrei să spui? – NAC este eficient împotriva conexiunilor ocazionale la rețea și nu va împiedica un atacator. Acum, înțelegeți și decideți în ce măsură doriți să investiți și să planificață un ROI.