Home » Securitate Cibernetică » Este timpul pentru NAC să ia un NAP
FW Cable
FW Cable

Este timpul pentru NAC să ia un NAP

Repudiere: Acest articol reprezintă părerea editorială, articolul nu este comprehensiv pentru toate tehnologiile și tehnicile de pe piață și are ca scop determinarea cititorului să exploreze într-un mod mai bun nevoia și să nu ia decizii bazate numai pe conținutul său.

Tehnologiile NAC ( Control pentru Accesul la Internet)/ NAP( Protecția Accesului la Internet) reprezintă metode vaste și diferite de operare existente de mult timp.

Bazele lor de identificare a unui nou dispozitiv de rețea bazat pe un evenimenyt poate fii:

  • DHCP (solicitare nouă de IP).
  • DNS (interogare).
  • MAC (diverse tipuri de emisiuni, cum ar fi ARP și alte metode).
  • Poarta (noul trafic care traversează o poartă).

Însă, ghiciti ce anume au în comun toate acestea: ele pot fi oprite cu ușurință din activitatea lor! Acest lucru este enervant deoarece prețul (CAPEX și OPEX) de operare a unui NAC este mare (cel puțin în rularea noastră) și cred că ROI pentru NAC este foarte scăzută. Iată câteva exemple despre cum pot fi ocolite diferitele NAC-uri:

Cum să configurați un router ieftin de rețea:

  • NAT (cu PAT) activat
  • Routerul tuturor traficului WAN către portul I
  • Conectați calculatorul valid la portul I
  • După ce computerul obține acces la rețea, conectați oricare alte porturi și bucurați-vă!
  • Dacă doriți ca identificarea router-ului să fie mai dificilă, spionați MAC-ul dublicând MAC-ul WAN la MAC-ul computerului conectat la portul I înainte de a conecta router-ul la rețea prin intermediul portului WAN.

Utilizați un hub de rețea și dezactivați cerințele ARP pe cardul de interfață de rețea (NIC) și pe sistemul de operare (OS).

Dar hei…există soluții „mai bune” în acest sens:

  • 802.1x – Încă mai trebuie să adăugați în listă unele dispozitive care să permită ca atacurile anterioare să funcționeze, pachetele EAP pot fi redirecționate (în primul atac de mai sus), ocolind astfel 802.1x
  • Semnarea traficului – o soluție excelentă dar care poate necesita schimbarea echipamentelor de rețea și încă în final o listare albă…

„Dar NAC-ul meu efectuează amprentarea dispozitivului!” – Și ce amprentă are? Verificați ce porturi sunt deschise? Verificați răspunsul antet / ecou? Accesați SNMB-ul? Acestea sunt toate foarte ușor de by-pass și, din nou, primul atac de mai sus încă îl ocolește așa cum NAC va examina actualul calculatorului corporativ!

Și ce vrei să spui? – NAC este eficient împotriva conexiunilor ocazionale la rețea și nu va împiedica un atacator. Acum, înțelegeți și decideți în ce măsură doriți să investiți și să planificață un ROI.

 

תגובות

תגובות

Această postare este disponibilă și în: enEnglish itItaliano trTürkçe

Scris de Erez Kalman

Erez Kalman
ISC(2) CISSP-ISSAP, ISACA CISA, CCSK, C-GDPR-F, Certified Systems Analyst A vetran in the cyber/information security field with over a decade of experiance as a security architect advising major corporations world wide. Erez is also a lecturer at a number of academic institutions.

Tradus de Bianca Cristina Parvu

Bianca Cristina Parvu
Am terminat studiul de Licență la Facultatea de Relații Internaționale și Studii Europene în România, la Universitatea Ovidius, iar în prezent continui cu un program de Master în Studii de Istorie Modernă în Suedia, la Universitatea Uppsala. Sunt specializată în domeniile de științe politice și istorie iar, pe langa aceste două subiecte, interesul meu este focusat atât de terorismul vechi cât și de terorismul nou.