Sicurezza di rete - Controllo degli accessi
Il controllo dell'accesso alla rete è un metodo per migliorare la sicurezza di una rete organizzativa privata limitando la disponibilità delle risorse di rete ai dispositivi endpoint conformi ai criteri di sicurezza dell'organizzazione. Un tipico schema di controllo dell'accesso alla rete comprende due componenti principali come l'accesso limitato e la protezione dei confini della rete.
L'accesso limitato ai dispositivi di rete si ottiene tramite l'autenticazione dell'utente e il controllo dell'autorizzazione, responsabile dell'identificazione e dell'autenticazione dei diversi utenti nel sistema di rete. L'autorizzazione è il processo di concessione o negazione di autorizzazioni di accesso specifiche a una risorsa protetta.
Network Boundary Protectioncontrolla la connettività logica in entrata e in uscita dalle reti. Ad esempio, è possibile implementare più firewall per impedire l'accesso non autorizzato ai sistemi di rete. Anche le tecnologie di rilevamento e prevenzione delle intrusioni possono essere utilizzate per difendersi dagli attacchi da Internet.
In questo capitolo, discuteremo i metodi per l'identificazione dell'utente e l'autenticazione per l'accesso alla rete, seguiti da vari tipi di firewall e sistemi di rilevamento delle intrusioni.
Protezione dell'accesso ai dispositivi di rete
Limitare l'accesso ai dispositivi in rete è un passaggio essenziale per proteggere una rete. Poiché i dispositivi di rete comprendono sia le apparecchiature di comunicazione che quelle di elaborazione, la loro compromissione può potenzialmente far cadere un'intera rete e le sue risorse.
Paradossalmente, molte organizzazioni garantiscono un'eccellente sicurezza per i propri server e applicazioni, ma lasciano i dispositivi di rete in comunicazione con una sicurezza rudimentale.
Un aspetto importante della sicurezza dei dispositivi di rete è il controllo dell'accesso e l'autorizzazione. Sono stati sviluppati molti protocolli per soddisfare questi due requisiti e aumentare la sicurezza della rete a livelli più alti.
Autenticazione e autorizzazione dell'utente
L'autenticazione dell'utente è necessaria per controllare l'accesso ai sistemi di rete, in particolare ai dispositivi dell'infrastruttura di rete. L'autenticazione ha due aspetti: autenticazione di accesso generale e autorizzazione funzionale.
L'autenticazione di accesso generale è il metodo per controllare se un determinato utente dispone di "qualsiasi" tipo di diritto di accesso al sistema a cui sta tentando di connettersi. Di solito, questo tipo di accesso è associato all'utente che ha un "account" con quel sistema. L'autorizzazione riguarda i "diritti" dei singoli utenti. Ad esempio, decide cosa può fare un utente una volta autenticato; l'utente può essere autorizzato a configurare il dispositivo o solo a visualizzare i dati.
L'autenticazione dell'utente dipende da fattori che includono qualcosa che conosce (password), qualcosa che ha (token crittografico) o qualcosa che è (biometrico). L'utilizzo di più di un fattore per l'identificazione e l'autenticazione fornisce la base per l'autenticazione a più fattori.
Autenticazione basata su password
A un livello minimo, tutti i dispositivi di rete dovrebbero avere l'autenticazione nome utente-password. La password non deve essere banale (almeno 10 caratteri, alfabeti misti, numeri e simboli).
In caso di accesso remoto da parte dell'utente, è necessario utilizzare un metodo per garantire che i nomi utente e le password non vengano trasmessi in chiaro sulla rete. Inoltre, anche le password dovrebbero essere modificate con una frequenza ragionevole.
Metodi di autenticazione centralizzati
Il sistema di autenticazione basato sul singolo dispositivo fornisce una misura di controllo dell'accesso di base. Tuttavia, un metodo di autenticazione centralizzato è considerato più efficace ed efficiente quando la rete ha un numero elevato di dispositivi con un numero elevato di utenti che accedono a questi dispositivi.
Tradizionalmente, l'autenticazione centralizzata veniva utilizzata per risolvere i problemi riscontrati nell'accesso alla rete remota. Nei sistemi di accesso remoto (RAS), l'amministrazione degli utenti sui dispositivi di rete non è pratica. Posizionare tutte le informazioni utente in tutti i dispositivi e quindi mantenerle aggiornate è un incubo amministrativo.
I sistemi di autenticazione centralizzati, come RADIUS e Kerberos, risolvono questo problema. Questi metodi centralizzati consentono di archiviare e gestire le informazioni dell'utente in un unico posto. Questi sistemi di solito possono essere perfettamente integrati con altri schemi di gestione degli account utente come Active Directory o le directory LDAP di Microsoft. La maggior parte dei server RADIUS può comunicare con altri dispositivi di rete nel normale protocollo RADIUS e quindi accedere in modo sicuro alle informazioni sull'account archiviate nelle directory.
Ad esempio, il server di autenticazione Internet (IAS) di Microsoft collega RADIUS e Active Directory per fornire l'autenticazione centralizzata per gli utenti dei dispositivi. Assicura inoltre che le informazioni sull'account utente siano unificate con gli account di dominio Microsoft. Il diagramma sopra mostra un controller di dominio Windows che funziona sia come server Active Directory che come server RADIUS per gli elementi di rete per l'autenticazione in un dominio Active Directory.
Elenchi di controllo degli accessi
Molti dispositivi di rete possono essere configurati con elenchi di accesso. Questi elenchi definiscono i nomi host o gli indirizzi IP autorizzati per l'accesso al dispositivo. È tipico, ad esempio, limitare l'accesso all'apparecchiatura di rete dagli IP ad eccezione dell'amministratore di rete.
Questo proteggerà quindi da qualsiasi tipo di accesso che potrebbe essere non autorizzato. Questi tipi di elenchi di accesso servono come ultima difesa importante e possono essere piuttosto potenti su alcuni dispositivi con regole diverse per protocolli di accesso diversi.