הבנת תהליכי 802.1X ו- NAC

תקציר

בעת ביצוע בקרה על הגישה לרשת הארגונית, לרוב, אדריכלי אבטחת מידע ישתמשו בתקן 802.1X ו/או בפתרונות בקרת גישה לרשת (NAC). כיום, ישנו שימוש נרחב במכשירי BYOD ו-IoT ורשתות ארגוניות מתרחבות במהירות. בעת שימוש בפתרונות המוזכרים יש לקחת בחשבון את מגבלותיהם. מדריך זה סוקר את מגבלות הפתרונות ומזהה שלוש בעיות מרכזיות שיש להימנע מהן בבואנו לספק פתרון בקרת גישה לרשת:

1. מחסור בנראות מלאה
2. מחסור בשליטה
3. מחסור באוטומציה

זיהוי הסיכונים

מי ומה מחובר לרשת הארגונית שלי? אלו היו שאלות פשוטות בימים בהם היו רק חיבורים קווים ומכשירים בבעלות הארגון. כיום, גבולות הארגון המוגדרים והמוקשחים היטשטשו וירטואלית. עובדים מחוברים מרחוק למשאבי החברה ,כמו גם קבלנים/אורחים ושותפים. מעל ל- 50% מהארגונים בעד מדיניות של (Bring Your On Device (BYOD. בו בזמן, כמיליון מכשירי IoT כגון חיישני טמפרטורה וחיישני בניינים מתווספים לרשתות על בסיס יומי .

כתוצאה מכך, ההגנה על הגישה לרשתות הפכה לקשה יותר, וחשיפת הארגון לסיכונים גוברת והופכת לממשית. סקר של מכון SANS שנערך בשנת 2018 מצא כי 42% מהנשאלים דיווחו כי נק' הקצה בארגונם נוצלו בשנה החולפת, ו-20% אינם ידעו לדווח כלל אם פרצו לארגון שלהם .מכשרי הקצה בארגונים מייצגים את המטרה הנפוצה ביותר למתקפות סייבר. בנוסף, 25% מהתקפות הסייבר בשנת 2020 כוונו למכשירי IoT.

אדריכלי אבטחת מידע לרוב מסמנים שתי גישות לאבטחת הגישה לרשת הארגונית. הראשונה הינה תקן 802.1X. סטנדרט הנוצר בשנת 2001 לאימות משתמשים ומכשירים המתחברים לרשת. זהו מרכיב חיוני ומקיף בכל פתרון גישה לרשת. יחד עם זאת הוא אינו מקיף דיו בכדי לספק שליטה על הגישה עצמה. לתקן 802.1X מספר מגבלות אשר יפורטו בהמשך.

הגישה השנייה הינה שימוש בפתרון בקרת גישה לרשת (NAC). פתרונות ה-NAC הראשונים הוצגו לשוק מס' שנים לאחר כניסתו של 802.1X. פתרון ה-NAC מהדור הראשון אימת את נק' הקצה (לרוב מכשירי PC מנוהלים) ע"י שימוש בטכנולוגיה פשוטה שהתבססה על סריקה וחסימה. הדור השני של פתרון NAC הביא עימו תמיכה במתן גישה לאורחים ברשת. במדריך נשווה את יכולות ה-NAC לבין 802.1X ונזהה את שלוש בעיות שיש להימנע מהן בעת תכנון פתרון NAC.

מחסור בנראות: מה קיים ברשת שלך

לא ניתן להגן על מה שלא ניתן לראות. פתרון 802.1X משמש כשוער בכניסה הן לרשת החוטית והן לאלחוטית, אך מוגבל ביכולות הנראות וההגנה אותו הוא מספק. שימוש באנלוגיה פשוטה, מבקש גישה בפתרון 802.1X מקביל לאורח בכניסה למועדון. המאמת מבצע את בדיקת האבטחה כשם שהמאבטח בודק את תעודת הזהות של האורח כנגד רשימה מאושרת מראש ע"י מנהל המועדון (שרת האימות), לפני מתן כניסה למועדון. בסיום האימות, מבקש הגישה מצטרף לרשת ותפקיד ה-802.1X למעשה הסתיים. פתרונות ה- NAC נוצרו בכדי לספק את יכולות האבטחה שפתרון 802.1X אינו מספק. פתרונות NAC מאמתים מכשירים אך גם סורקים אותו לגילוי מוקדם של איומים ובדיקה בעמידה בדרישות הארגון לפני מתן אישור לחיבור. חלק מפתרונות ה-NAC מבצעים אימות ללא שימוש בפתרון 802.1X בעוד אחרים מתוכננים לעבוד עם אלמנטים של 802.1X כגון אימות ע"י שרת RADIUS. יחד עם זאת, לפתרונות NAC רבים אין סטנדרט או תכנון אדריכלי מוסכם מראש, לחלקן חסרות יכולות נראות מתקדמות ויכולות תיוג מכשירים מתקדמות הנדרשות לפעול בסביבות ארגוניות המתפתחות במהרה. חסרונות נוספים בתקן 802.1X הינן ביכולות ההגנה הבאות:

מכשירי BYOD

אימוץ גישת BYOD ממשיך לגדול: כיום, 87% מהחברות מסתמכות על שימוש במכשיריהם הפרטיים של העובדים לטובת גישה לאפליקציות העסקיות. שימוש במכשירים הפרטיים מעלה פרודוקטיביות וחוסכת לעובד כ-58 דק' ביום.

יחד עם זאת, שימוש ב-BYOD מציב אתגרים לצוותי האבטחה: כיצד ניתן לשלוט ולאבטח מכשירים פרטיים לא מנוהלים?

חיבור מכשירים לרשת ע"י שימוש ב-802.1X יכול להיות מאתגר:

• כל אתר זקוק לשרת אימות המחובר ל-Directory מרכזי. תמיכה בדרישה זו עלולה להוות נטל על צוותי IT
• קיים סיכון בלתי מתקבל על הדעת אם משתמשים יוכלו להתחבר לרשת הארגונית ממכשירים הפרטיים רק באמצעות שם משתמש וסיסמא בלבד
• חיוב משתמשים בהתקנת תוכנה לתמיכה ב-802.1X במכשיריהם עלול להיות מורכב. מרכיב זה אמנם משפר את יכולת האימות אך מגדיל את תמיכת צוותי ה-IT בנושא זה
• ישנה שונות גדולה בין פתרונות NAC ביכולתם לבצע את תהליך ה-On-Boarding ל-BYOD באוטומציה מלאה

מכשירי IoT

כמות מכשירי ה-IOT המחוברים לרשתות, כגון מצלמות אבטחה, מכשירי הקלטה, חיישני טמפרטורה ופקדי אור גדלה במהירות. רבים ממכשירים אלו אינם תומכים בתוכנות בקשת חיבור ,ומכאן אינם יכולים לבצע אימות ב- 802.1X. חיבור ללא אימות אפשרי אך אינו יכול לעמוד במבחן המציאות. אפשרות נוספת, היא הכנסתם לרשימת היתרים (White-list), אך אפשרות זו הינה עתירת משאבים ואינה מאובטחת. אפשרות שלישית הינה רישום כתובות ה-MAC והגבלת הגישה לרשת על פי כתובות אלו. אך גם פתרון זה מכיל סיכון כי הוא דורש משאבים ומשתמשים מנוסים. כמו כן תוקפים יכולים לבצע Spoof MAC Addresses. מגבלות נוספות בפתרונות NAC שונים נוגעות בניהול מכשירי IoT. לדוגמא, ישנם פתרונות המצריכים שימוש בתוכנת-Agent המותקנת על גבי מכשירים על מנת לסרוק אותם. המגבלה באה לידי ביטוי במכשירים בהם לא ניתן להתקין Agent.

אורחים ושותפים

פתרונות 802.1X יכולים להקצות למשתמשים אקראיים כגון אורחים, שותפים או קבלנים VLANs המספקים חיבוריות לאינטרנט ובו בזמן מגבילים או מונעים גישה למשאבי הארגון. לעומת זאת, ישנו סיכון כאשר אנו מאפשרים למשתמשי BYOD להתחבר לרשת עם מכשירים לא מנוהלים שלא עברו סריקה. דרישה להתקנת תוכנות אימות על מכשירים אלו מעבה את יכולת האימות אך כאמור גם מעמיסה דרישות על המשתמשים וצוותי IT.

מחסור בשליטה: מה ניתן לעשות בכדי למזער את הסיכון

פתרונות 802.1X יכולים לאמת משתמשים ומכשירים, אך הם אינם סורקים מכשירים אלו בכדי להעריך או לתקן את רמת האבטחה שלהם לפני מתן הגישה לרשת. ניתן לדמות זאת לבודק ביטחוני בשדה התעופה הבודק את דרכון הנוסעים ומאפשר עליה למטוס ללא בדיקת מגנומטר או שיקוף הכבודה למציאת איומים. מדוע זה חשוב? ראשית, 63% מהארגונים אינם סורקים מכשירי קצה כאשר אלו מוצאים ומוחזרים לרשת. נק' קצה אלו יכלו בקלות להיפגע בזמן שהיו מחוץ לרשת.

מתן אישור כניסה לרשת ללא סריקה אינו דבר שיש להקל ראש בו. בנוסף, פתרונות 802.1X אינם מנטרים מכשירים לאחר שאושרו והתחברו לרשת. פתרונות אלו אינם יכולים:

• לאתר ולעצור מכשירים נגועים בתוך הרשת או לנעול את הרשת כאשר אלו אותרו
• לבצע סגמנטציה רשתית באמצעות הקצאה דינאמית של רשתות VLAN במידה ומכשרי קצה אותרו כנגועים (802.1X יכול להקצות VLAN רק בזמן ההתחברות)
• אכיפת מדיניות מבוססת תפקידים בתהליך ההתחברות (לדוגמא, מצלמת IP תקבל גישה לשרת הווידאו, אך לא לחלקים אחרים ברשת)
• ניטור מתמשך של מכשירים מחוברים בכדי לוודא שהם עדיין עומדים במדיניות הארגון תוך אפשור לוגים והפקת דוחות. פתרונות NAC שונים יכולים לאחד פתרונות 802.1X לסריקת מכשירים ולבדוק את רמת האבטחה שלהם לפני החיבור. אם המכשיר אינו עומד בדרישות המדיניות הארגונית, ה-NAC יכול להעביר את המכשיר ל-VLAN “תיקון” בו הגישה מוגבלת עד שהמכשיר יעמוד בדרישות. (הסרת נוזקה, עדכון המכשיר וכו'). יחד עם זאת, ישנם פתרונות NAC המחייבים שימוש ב-Agent או תוכנה במכשיר הקצה על מנת לבצע סריקה כאשר נק' זו עלולה להפוך את הכללת מכשירי BYOD אוIoT למסובכת עד בלתי אפשרית.

מחסור באוטומציה: חוסר במשאבים בכדי לספק מענה לאיומים

כיום, צוותי אבטחה מצויים לרוב תחת לחץ תמידי. מעל מיליון תקנים של אבטחת מידע בעולם אינם מאוישים. בנוסף, בכל יום צוותים מקבלים אלפי התראות אבטחה שלרבים אין כלל את רוחב הפס הרצוי בכדי לזהות ולהכיל כל איום פוטנציאלי ברשת. פתרון 802.1X או NAC ללא יכולות אוטומציה חזקות אינם יכולים לעמוד בקצב הזיהוי או תיקון איומים, ומכאן הסיכון לחשיפת הארגון לאיומים גדל. כמו כן, פתרונות NAC עלולים לדלל את משאבי צוותי האבטחה ולהעלות את הסיכון אם אינם יודעים להתממשק באופן מלא עם פתרונות האבטחה הנוספים הקיימים בארגון.

מכאן, פתרון NAC אשר יזהה ויאתר התנהגות חשודה יתכן ולא יוכל:

• לחלוק את המידע, (כגון זהות המשתמש, סטטוס יציבות האבטחה ומיקומו של המכשיר) עם פתרונות אבטחה אחרים, כגון IDS/IPS ,DLP,או מערכות SEIM
• איסוף מידע מפתרונות EMM בכדי להחליט אם מכשיר שייך לארגון או לא
• אוטומציה מאפשרת שינויי הגדרות בפתרונות אחרים או בידוד האיום ע"י העברה ל-VLAN אחר

צוותי אבטחת המידע העמוסים מוצאים עצמם מול אתגרים גדולים יותר ביכולות התיאום והתגובות האוטומטיות לאיומים כאשר פתרון ה-NAC הקיים בארגון לא משולב עם פתרונות אבטחה נוספים.

בחיפוש אחר שליטה

פתרונות מבוססי 802.1X העומדים בפני עצמם או משולבים עם טכנולוגיות NAC אחרות, אינם מספקים הגנה נאותה לרשתות המתנהלות עם מכשירי ה-BYOD ו-IoT ודרישות גישה לאורחים וקבלנים.

כאשר בוחנים פתרונות NAC יש לחפש פתרון NAC המספק יכולות מתקדמות, מהדור השלישי:

• פתרון היודע להשלים את פערי האבטחה של פתרונות 802.1X
• פתרון המספק מענה לאתגרי מכשירי BYOD ו-IoT
• פתרון המספק נראות מלאה, שליטה ואוטומציה