Network Access Control consente di pro­teg­ge­re le reti da accessi non au­to­riz­za­ti e da com­por­ta­men­ti insoliti. Il NAC ha luogo prima e dopo l’accesso.

Cos’è Network Access Control?

Network Access Control, anche co­no­sciu­to come NAC o controllo di accesso alla rete, serve per pro­teg­ge­re le reti private e per prevenire l’accesso non au­to­riz­za­to di di­spo­si­ti­vi esterni che non sod­di­sfa­no de­ter­mi­na­te e ben definite politiche di sicurezza. Nel complesso le soluzioni NAC svolgono due compiti im­por­tan­ti:

Pre-am­mis­sio­ne NAC

Il controllo degli accessi alla rete offre un riepilogo completo di tutti i di­spo­si­ti­vi collegati a una de­ter­mi­na­ta rete. Consente di au­to­riz­za­re stampanti, scanner o tec­no­lo­gie di Internet of Things, non solo computer o smart­pho­ne. L’obiettivo è impedire a sistemi estranei di accedere alla rete interna tramite WLAN o altri punti di accesso, man­te­nen­do invariata l’ar­chi­tet­tu­ra di sicurezza. Questo tipo di controllo degli accessi alla rete è chiamato pre-am­mis­sio­ne NAC.

Post-am­mis­sio­ne NAC

Questa fun­zio­na­li­tà di com­plian­ce serve a con­trol­la­re i di­spo­si­ti­vi che si trovano già all’interno della rete e a iden­ti­fi­ca­re ra­pi­da­men­te eventuali problemi o falle di sicurezza. Ad esempio, il controllo di accesso alla rete verifica lo stato del firewall o di un software antivirus e ga­ran­ti­sce che all’interno della rete siano presenti solo di­spo­si­ti­vi ag­gior­na­ti. Questa funzione fa parte della post-am­mis­sio­ne NAC, ovvero quel tipo di controllo degli accessi alla rete dedicato a mo­ni­to­ra­re de­ter­mi­na­te aree all’interno di una rete.

Come funziona il controllo di accesso alla rete?

Anche se alcuni sistemi NAC fun­zio­na­no di­ver­sa­men­te dagli altri, nor­mal­men­te i vari tipi di controllo degli accessi alla rete pre­sen­ta­no un fun­zio­na­men­to molto simile. A tal proposito, il reparto sicurezza di un’azienda o il re­spon­sa­bi­le IT sta­bi­li­sce anzitutto i requisiti che tutti i di­spo­si­ti­vi devono ri­spet­ta­re. Tramite i controlli di accesso alla rete si procede quindi alla verifica e alla ca­te­go­riz­za­zio­ne di nuovi di­spo­si­ti­vi. In base alle linee di sicurezza pre­ce­den­te­men­te definite, si consente o vieta l’accesso alla rete. Una volta ottenuto l’accesso, un di­spo­si­ti­vo ottiene de­ter­mi­na­te au­to­riz­za­zio­ni ma continua a essere con­trol­la­to. In tal modo la rete risulta co­stan­te­men­te protetta.

Perché il controllo degli accessi alla rete è im­por­tan­te?

NAC non è un sistema adatto a tutte le reti e riveste un ruolo im­por­tan­te so­prat­tut­to per le aziende di grandi di­men­sio­ni o le reti più estese. Questa tec­no­lo­gia, infatti, consente di ottenere una visione d’insieme completa di tutti i di­spo­si­ti­vi che si trovano in una rete e impedisce a persone non au­to­riz­za­te di accedervi con facilità. Il controllo di accesso alla rete aiuta a creare e a mantenere tutte le policy di sicurezza rilevanti. Inoltre, consente di assegnare au­to­riz­za­zio­ni e ruoli. I di­spo­si­ti­vi che si trovano già in rete ma che non sono conformi alle linee guida possono essere messi in qua­ran­te­na e riat­ti­va­ti suc­ces­si­va­men­te.

Consiglio

Eseguite re­go­lar­men­te il backup dei dati aziendali sul vostro spazio di ar­chi­via­zio­ne cloud personale con Hosting Managed Nextcloud di IONOS. In questo modo avete il pieno controllo sui dati e sem­pli­fi­ca­te il lavoro di am­mi­ni­stra­zio­ne. Lo spazio di ar­chi­via­zio­ne cloud è conforme al GDPR e può essere ampliato in modo fles­si­bi­le e integrato con le app di Office.

Di quali tec­no­lo­gie si serve il controllo degli accessi alla rete?

Il controllo degli accessi alla rete si serve di numerosi metodi e funzioni per pro­teg­ge­re al meglio una de­ter­mi­na­ta rete prima o dopo l’accesso. Le tec­no­lo­gie più comuni sono le seguenti:

Linee guida di sicurezza per NAC

Ogni rete ha bisogno di policy di sicurezza ben calibrate e vin­co­lan­ti per i diversi di­spo­si­ti­vi e casi d’uso, in grado di tenere in con­si­de­ra­zio­ne requisiti e au­to­riz­za­zio­ni diversi. Pertanto, le soluzioni NAC con­sen­to­no di definire queste regole in anticipo e, se ne­ces­sa­rio, di mo­di­fi­car­le dopo la strut­tu­ra­zio­ne della rete. I di­spo­si­ti­vi vengono quindi con­trol­la­ti prima e durante l’accesso sulla base dei parametri definiti.

Pro­fi­la­zio­ne NAC

Mediante la pro­fi­la­zio­ne, il controllo degli accessi alla rete scansiona tutti i di­spo­si­ti­vi, ne verifica le ca­rat­te­ri­sti­che e confronta ad esempio gli indirizzi IP. In questo modo, tutti i di­spo­si­ti­vi inclusi nella rete vengono rilevati e ana­liz­za­ti sotto il profilo della sicurezza.

Sensori per Network Access Control

Anche i di­spo­si­ti­vi au­to­riz­za­ti e approvati possono causare danni all’interno di una rete o con­trav­ve­ni­re in­ten­zio­nal­men­te o in­vo­lon­ta­ria­men­te alle regole interne. I sensori, che fun­zio­na­no come com­po­nen­ti software o di­ret­ta­men­te sugli access point, con­trol­la­no in tempo reale l’intero traffico di una rete o parti dello stesso e possono ar­re­star­lo o bloccarlo in caso di vio­la­zio­ne delle regole.

Agenti di controllo per l’accesso alla rete

Nella maggior parte dei casi, gli agenti relativi al controllo degli accessi di rete sono software in­stal­la­ti sugli endpoint. Questi agenti co­mu­ni­ca­no con un punto di contatto NAC cen­tra­liz­za­to che consente loro di accedere alla rete. Il vantaggio di questo metodo è che l’accesso è riservato solo ai di­spo­si­ti­vi pre­ce­den­te­men­te se­le­zio­na­ti e au­to­riz­za­ti. Lo svan­tag­gio è che ogni di­spo­si­ti­vo deve essere dotato di un agente. So­prat­tut­to quando le reti sono di grandi di­men­sio­ni, questo può rivelarsi com­pli­ca­to e molto di­spen­dio­so a livello di tempo. Oltre a Microsoft, Cisco offre ad esempio un trust agent per la variante NAC Network Admission Control.

Gli agenti tem­po­ra­nei rap­pre­sen­ta­no una valida al­ter­na­ti­va perché non ri­chie­do­no un’in­stal­la­zio­ne per­ma­nen­te e vengono can­cel­la­ti au­to­ma­ti­ca­men­te al riavvio. Sono so­li­ta­men­te caricati tramite il browser e ri­chie­do­no il consenso esplicito della persona in­te­res­sa­ta. Si tratta di una soluzione adatta se l’accesso alla rete è tem­po­ra­neo, avviene spo­ra­di­ca­men­te o una volta sola. Tuttavia, altri metodi di controllo dell’accesso alla rete si addicono meglio a un uso per­ma­nen­te.

Soluzioni VLAN per Network Access Control

Numerosi strumenti per NAC si servono di Virtual Local Area Network per creare aree se­con­da­rie ac­ces­si­bi­li solo a de­ter­mi­na­ti di­spo­si­ti­vi. In questo modo è possibile separare le aree con­te­nen­ti in­for­ma­zio­ni riservate da segmenti pubblici o par­zial­men­te ac­ces­si­bi­li al pubblico.

Directory LADP per mi­glio­ra­re il rag­grup­pa­men­to

Le directory LDAP sono pro­to­col­li di accesso di rete che si occupano di sud­di­vi­de­re gli utenti in gruppi. Ciascuno di questi gruppi ottiene de­ter­mi­na­te au­to­riz­za­zio­ni e ha quindi accesso a parti o a tutte le aree della rete. In tal modo è anche possibile stabilire che gli accessi non dipendano dal terminale, ma dai singoli utenti.

In quali casi trova impiego il controllo degli accessi di rete?

Esistono varie pos­si­bi­li­tà per usare il controllo degli accessi di rete. Non tutte le soluzioni sono adatte o con­si­glia­te in tutti i casi. Par­ti­co­lar­men­te diffusi sono i seguenti casi d’uso:

Bring Your Own Device

Bring Your Own Device o BYOD è una pratica che ormai trova impiego nella maggior parte delle reti. Il termine BYOD significa che le persone che di­spon­go­no di un proprio di­spo­si­ti­vo sono au­to­riz­za­te a col­le­gar­si alla rete. Ad esempio, può trattarsi dello smart­pho­ne in ufficio o del laptop personale nella rete dell’uni­ver­si­tà. Tuttavia, la presenza di numerosi di­spo­si­ti­vi diversi pone anche alcune pro­ble­ma­ti­che in termini di in­fra­strut­tu­ra e sicurezza. In questo caso, il controllo degli accessi alla rete è in­di­spen­sa­bi­le per pro­teg­ge­re in­for­ma­zio­ni riservate, ad esempio da malware senza perdere la visione d’insieme.

Accesso ospite al sistema

Anche ospiti o persone estranee all’azienda possono aver bisogno di accedere a un sistema. Anche se l’accesso avviene spo­ra­di­ca­men­te o una sola volta, è par­ti­co­lar­men­te im­por­tan­te che esistano una buona con­nes­sio­ne e un livello di sicurezza elevati. Anche per questo motivo è ne­ces­sa­rio un sistema di controllo di accesso alla rete ben strut­tu­ra­to.

Internet of Things

Grazie all’Internet of Things un numero di di­spo­si­ti­vi sempre maggiore può accedere a una de­ter­mi­na­ta rete. Questi di­spo­si­ti­vi non sono sempre ag­gior­na­ti e non vengono con­trol­la­ti a uno a uno. Una buona strategia di controllo degli accessi alla rete consente una gestione adeguata dei di­spo­si­ti­vi coinvolti e assicura che questi non si tra­sfor­mi­no in un punto di accesso per persone non au­to­riz­za­te.

Controllo degli accessi di rete nel settore sanitario

Nel settore sanitario la sicurezza è una grande priorità. Infatti, i di­spo­si­ti­vi devono poter fun­zio­na­re cor­ret­ta­men­te e i dati devono essere protetti nel miglior modo possibile: per questo è im­por­tan­te che la rete non presenti alcuna vul­ne­ra­bi­li­tà. Un adeguato controllo di accesso alla rete è quindi molto im­por­tan­te anche in questo caso.

Vai al menu prin­ci­pa­le