Vai al contenuto principale
Italiano

Valutazione della postura NAC: garantire la conformità dei dispositivi gestiti prima dell'accesso alla rete

Questa guida di riferimento tecnico offre un approfondimento sulla valutazione della postura NAC, descrivendo dettagliatamente l'architettura, gli standard e le strategie di implementazione necessari per imporre la conformità dei dispositivi gestiti. Fornisce ai responsabili IT e agli architetti di rete informazioni pratiche per mitigare i rischi e garantire un accesso sicuro alla rete in ambienti aziendali multi-sede.

📖 6 minuti di lettura📝 1,352 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Benvenuti alla serie di Technical Briefing di Purple. Oggi approfondiremo una delle aree più critiche dal punto di vista operativo — e spesso meno comprese — della sicurezza delle reti aziendali: la valutazione della postura NAC, e in particolare come garantire che solo i dispositivi gestiti e conformi accedano alla rete prima ancora di aver inviato un singolo pacchetto di traffico di produzione. Se siete IT manager, network architect o CTO responsabili di un patrimonio multi-sito — che si tratti di un gruppo alberghiero, una catena retail, uno stadio o un'organizzazione del settore pubblico — questo tema è direttamente rilevante per la vostra postura di sicurezza in questo momento. Copriremo l'architettura, gli standard, i modelli di implementazione reali e le insidie che mettono in difficoltà anche i team più esperti. Entriamo nel vivo. Quindi, cos'è esattamente la valutazione della postura NAC? Il Network Access Control, o NAC, è il framework generale che disciplina quali dispositivi possono connettersi alla rete e a quali condizioni. La valutazione della postura è lo specifico meccanismo all'interno del NAC che interroga lo stato di sicurezza di un dispositivo prima — o subito dopo — la sua connessione. Pensatelo come un controllo sanitario all'ingresso. Il dispositivo non deve solo dimostrare chi è; deve dimostrare di essere in uno stato idoneo per essere considerato affidabile. L'architettura qui presenta tre componenti chiave. In primo luogo, abbiamo il Policy Enforcement Point — il PEP. Questo è tipicamente il vostro access point, il vostro switch o il vostro controller wireless. È il guardiano che controlla fisicamente il flusso del traffico. In secondo luogo, abbiamo il Policy Decision Point — il PDP. Questo è il vostro motore NAC, spesso integrato con un server RADIUS o AAA. Riceve i dati sulla postura, li valuta rispetto alle vostre policy e indica al PEP cosa fare. In terzo luogo, abbiamo il Posture Assessment Engine stesso — si tratta di un agent in esecuzione sull'endpoint o di un meccanismo agentless che utilizza protocolli come SNMP, WMI o SSH per interrogare il dispositivo da remoto. Ora, il livello di autenticazione alla base di tutto questo è lo standard IEEE 802.1X. Si tratta dello standard di controllo dell'accesso alla rete basato su porta che esiste dal 2001, ma che rimane ancora oggi la spina dorsale del NAC aziendale. Lo standard 802.1X definisce tre ruoli: il Supplicant — ovvero il dispositivo che tenta di connettersi; l'Authenticator — il vostro switch o access point; e l'Authentication Server — il vostro server RADIUS. Il Supplicant e l'Authentication Server comunicano tramite EAP — l'Extensible Authentication Protocol — incapsulato attraverso l'Authenticator. EAP-TLS, che utilizza l'autenticazione reciproca basata su certificati, rappresenta qui il gold standard. È ciò che dovreste implementare se volete fare sul serio con la conformità dei dispositivi gestiti. Cosa analizza effettivamente il controllo di postura? Ci sono sei categorie principali. Livello di patch del sistema operativo: il dispositivo esegue una versione del sistema operativo supportata e le patch critiche vengono applicate entro la finestra temporale definita? Stato della sicurezza degli endpoint: è installato un agente AV o EDR approvato, attivo e con definizioni aggiornate? Stato del firewall: il firewall basato su host è abilitato e la sua policy è intatta? Crittografia del disco: la crittografia completa del disco è attiva e non sospesa? Validità del certificato: il dispositivo possiede un certificato macchina valido e attendibile emesso dalla PKI? E infine, conformità della configurazione: la configurazione di sicurezza del dispositivo corrisponde alla baseline definita? In base all'esito di questi controlli, il motore delle policy del NAC assegna uno dei tre stati. Conforme: il dispositivo supera tutti i controlli richiesti e ottiene l'accesso completo alla rete, in genere alla VLAN o al ruolo assegnato. Condizionale: il dispositivo supera i controlli critici ma fallisce uno o più controlli non critici; ottiene un accesso limitato, forse solo a Internet, con una notifica all'utente. E Non Conforme: il dispositivo fallisce un controllo critico e viene inserito in una VLAN di quarantena con accesso esclusivo a un portale di remediation. Quel portale di remediation è il luogo in cui il dispositivo può scaricare patch, aggiornare le definizioni AV o ricevere istruzioni per la remediation manuale. Ora, come si inserisce il WPA3 in tutto questo? Il WPA3-Enterprise, in particolare con la modalità a 192 bit, rafforza il livello crittografico al di sotto dell'802.1X. Impone GCMP-256 per la crittografia e HMAC-SHA-384 per l'integrità, il che è particolarmente rilevante per gli ambienti che gestiscono dati di carte di pagamento o dati personali sensibili ai sensi del GDPR. Se gestisci un ambiente retail nell'ambito del PCI DSS o una struttura sanitaria soggetta ai requisiti di governance dei dati del NHS, il WPA3-Enterprise dovrebbe essere presente nella tua roadmap per le nuove implementazioni. Parliamo della valutazione della postura agentless rispetto a quella basata su agent, perché questo rappresenta un vero e proprio punto di decisione architetturale. La valutazione basata su agent, in cui un client leggero viene eseguito sull'endpoint, offre la visibilità più profonda. Consente di interrogare chiavi di registro, processi in esecuzione, software installato e lo stato di sicurezza in tempo reale. Il compromesso è il sovraccarico di implementazione: è necessaria una piattaforma MDM o di gestione degli endpoint per distribuire e mantenere l'agente in tutta l'infrastruttura. La valutazione agentless utilizza l'interrogazione basata sulla rete: SNMP, WMI sulla rete o chiamate API alla piattaforma MDM. È più facile da implementare ma offre una visibilità meno profonda ed è più suscettibile di elusione. Per un parco macchine aziendale gestito, la soluzione basata su agent è la risposta corretta. Per gli ambienti in cui è presente un mix di dispositivi gestiti e non gestiti, come il centro congressi o la rete del retrobottega di un hotel, un approccio ibrido ha più senso. Un altro punto architetturale che vale la pena evidenziare: la valutazione continua della postura rispetto a quella puntuale. La maggior parte delle implementazioni NAC legacy controlla la postura solo al momento della connessione. Si tratta di una lacuna significativa. Un dispositivo conforme alle nove del mattino, quando si è connesso, potrebbe avere l'antivirus disattivato da un utente alle undici. Le moderne piattaforme NAC supportano la valutazione continua — rivalutando la postura a intervalli definiti o in risposta a eventi — e modificando dinamicamente il livello di accesso alla rete del dispositivo senza richiedere una riconnessione. Questa è la direzione in cui dovreste muovervi. Bene, passiamo alla pratica. Quando si distribuisce la valutazione della postura NAC, l'errore più comune che riscontro è passare direttamente alla modalità di applicazione (enforcement). Non fatelo. Iniziate in modalità di monitoraggio — a volte chiamata modalità di audit o di visibilità. Eseguite i controlli di postura, registrate i risultati, ma non applicate le policy. Eseguite questo test per almeno due-quattro settimane. Scoprirete quasi certamente dispositivi di cui non conoscevate l'esistenza sulla vostra rete e vi accorgerete che una percentuale significativa dei vostri dispositivi noti non supera uno o più controlli di postura. Utilizzate questi dati per sistemare il vostro parco macchine prima di applicare le regole. La seconda insidia è l'infrastruttura dei certificati. La valutazione della postura basata su agent con EAP-TLS richiede una PKI funzionante. Se non ne avete una, o se la gestione del ciclo di vita dei certificati è manuale e ad hoc, subirete delle interruzioni. I certificati scadono. I dispositivi vengono reinstallati senza certificati. Pianificate la vostra PKI prima di pianificare la distribuzione del NAC. Terzo: la progettazione delle VLAN. La vostra VLAN di quarantena deve essere realmente isolata — non solo una subnet diversa sulla stessa infrastruttura fisica. Dovrebbe avere accesso solo al vostro portale di remediation e, se necessario, a Windows Update o al vostro server di gestione delle patch. Se la vostra VLAN di quarantena ha un qualsiasi percorso verso i sistemi di produzione, avete creato una falsa sensazione di sicurezza. Quarto: eccezioni e processi di bypass. Ogni organizzazione ha dispositivi che non possono eseguire un agent — stampanti, sensori IoT, sistemi di gestione degli edifici. È necessario un processo documentato e approvato per concedere il bypass dell'autenticazione MAC a questi dispositivi, con controlli compensativi. Se non definite questo processo in anticipo, vi ritroverete con una whitelist informale di cui nessuno è responsabile e che nessuno controlla. Dal punto di vista degli standard, allineate la vostra policy di postura ai CIS Benchmarks per le vostre piattaforme di sistema operativo. Questi sono neutrali rispetto ai vendor, aggiornati regolarmente e ampiamente accettati come base di riferimento per la sicurezza degli endpoint aziendali. Per gli ambienti PCI DSS, il Requisito 6.3 sulla gestione delle patch e il Requisito 5.3 sull'anti-malware si collegano direttamente alle vostre categorie di controllo della postura. Ora passiamo a qualche domanda a risposta rapida. La valutazione della postura NAC può funzionare per i dispositivi BYOD? Sì, ma è necessario un percorso di policy separato. I dispositivi BYOD in genere utilizzano un metodo EAP diverso — EAP-PEAP con credenziali utente anziché EAP-TLS con certificati macchina — e ricevono un segmento di rete più limitato. I controlli di postura per il BYOD sono solitamente più leggeri: versione del sistema operativo, presenza di un antivirus di base, blocco dello schermo abilitato. Come interagisce questo con una rete WiFi per gli ospiti? Non interagisce, e non dovrebbe farlo. Il WiFi per gli ospiti è un SSID e un segmento di rete completamente separato, isolato dalla tua infrastruttura aziendale. La valutazione della postura NAC si applica solo al tuo SSID aziendale. Le due reti non dovrebbero mai condividere una VLAN o instradarsi l'una verso l'altra. Qual è la tempistica tipica per un'implementazione NAC completa? Per un'azienda di medie dimensioni — ad esempio, da cinquecento a duemila endpoint su più sedi — sono necessarie da dodici a sedici settimane dalla progettazione all'applicazione completa. Ciò include la configurazione della PKI, l'implementazione degli agent, la modalità di monitoraggio, la remediation e l'applicazione graduale delle policy. Per riassumere: la valutazione della postura NAC è il meccanismo che garantisce che il tuo framework di controllo dell'accesso alla rete sia davvero efficace. L'identità da sola — sapere chi si sta connettendo — non è sufficiente. È necessario conoscere lo stato di sicurezza del dispositivo, convalidarlo rispetto alla policy e applicare le conseguenze in caso di non conformità. L'architettura è matura e ben standardizzata attorno a 802.1X, RADIUS ed EAP-TLS. Le sfide di implementazione sono reali ma gestibili se si segue un approccio graduale. I tuoi prossimi passi immediati: esegui un audit del tuo attuale parco endpoint per verificarne la conformità della postura utilizzando il tuo MDM esistente o gli strumenti di gestione degli endpoint. Valuta la tua prontezza PKI. Progetta la tua architettura VLAN per segmenti conformi, condizionali e di quarantena. E pianifica un'implementazione in modalità monitoraggio prima di passare all'applicazione effettiva. Per le organizzazioni che gestiscono ambienti misti — back-of-house aziendale insieme a WiFi pubblico o per gli ospiti — piattaforme come Purple forniscono l'intelligence di rete e l'analitica lato ospiti che completano la tua implementazione NAC aziendale, mantenendo questi due mondi nettamente separati e offrendoti al contempo piena visibilità su entrambi. Grazie per l'attenzione. Esplora la guida scritta completa sulla piattaforma Purple per diagrammi di architettura, esempi pratici e riferimenti di configurazione.

header_image.png

Executive Summary

Per i leader IT aziendali che gestiscono ambienti complessi e multi-sito, l'identità da sola non è più un parametro sufficiente per l'accesso alla rete. Sapere chi si connette è secondario rispetto a conoscere lo stato di sicurezza del dispositivo utilizzato. La valutazione della postura (posture assessment) del Network Access Control (NAC) è il meccanismo che colma questo divario, garantendo che solo i dispositivi gestiti e conformi ottengano l'accesso all'infrastruttura aziendale prima di trasmettere un singolo pacchetto di traffico di produzione.

Questa guida fornisce un riferimento tecnico completo sulla progettazione, l'implementazione e la gestione della valutazione della postura NAC. Esaminiamo l'architettura sottostante, inclusi 802.1X, RADIUS ed EAP-TLS, valutiamo i compromessi tra interrogazione basata su agent e agentless e delineiamo una strategia di implementazione graduale che riduce al minimo le interruzioni operative. Che si tratti di proteggere una sede aziendale, una rete di vendita al dettaglio distribuita o le operazioni di back-of-house nel settore hospitality, l'implementazione di una solida valutazione della postura è un passo fondamentale per la mitigazione del rischio e l'applicazione della conformità.

Ascolta il nostro podcast di briefing tecnico di 10 minuti qui sotto per una panoramica esecutiva dei concetti chiave e dei comuni errori di implementazione.

Technical Deep-Dive

L'Architettura della Valutazione della Postura

Il Network Access Control regola la connettività dei dispositivi, ma la valutazione della postura è l'interrogazione specifica dello stato di sicurezza di un dispositivo. L'architettura si basa su tre componenti principali che lavorano in sinergia:

  1. Policy Enforcement Point (PEP): Questo è il guardiano fisico o logico, in genere un access point wireless, una porta di uno switch o un controller LAN wireless. Il PEP controlla fisicamente il flusso del traffico in base alle istruzioni del motore delle policy.
  2. Policy Decision Point (PDP): Spesso integrato all'interno di un server RADIUS o AAA, il PDP è il cervello dell'architettura NAC. Riceve i dati sulla postura, li valuta rispetto alle policy di conformità definite ed emette direttive di applicazione al PEP.
  3. Motore di Valutazione della Postura: Questo componente raccoglie i dati effettivi sullo stato di salute dall'endpoint. Può essere un agent in esecuzione locale sul dispositivo o un meccanismo agentless che sfrutta protocolli di rete (ad es. SNMP, WMI) o integrazioni API con piattaforme di Mobile Device Management (MDM).

nac_architecture_overview.png

Il ruolo di IEEE 802.1X ed EAP-TLS

La base del NAC aziendale è lo standard IEEE 802.1X, che definisce il controllo dell'accesso alla rete basato su porta. All'interno di questo framework, vengono definiti tre ruoli:

  • Supplicant: Il dispositivo endpoint che tenta di connettersi.
  • Authenticator: Il PEP (switch o access point) che facilita la connessione.
  • Authentication Server: Il server RADIUS che convalida le credenziali.

La comunicazione tra il Supplicant e l'Authentication Server avviene tramite l'Extensible Authentication Protocol (EAP), incapsulato attraverso l'Authenticator. Per i dispositivi aziendali gestiti, EAP-TLS rappresenta lo standard di riferimento. Esso impone l'autenticazione reciproca tramite certificati digitali X.509, garantendo che sia il dispositivo sia la rete verifichino reciprocamente le proprie identità in modo crittografico. Ciò previene il furto di credenziali e gli attacchi tramite rogue access point.

Categorie di controllo della postura (Posture Check)

Quando un dispositivo tenta la connessione, il motore di valutazione della postura valuta diversi vettori critici:

  • Gestione del sistema operativo e delle patch: Verifica che il sistema operativo sia supportato e che le patch critiche siano applicate entro l'SLA definito.
  • Sicurezza dell'endpoint (AV/EDR): Conferma che gli agenti antivirus o di Endpoint Detection and Response approvati siano installati, attivi e dispongano di definizioni aggiornate.
  • Stato del firewall: Verifica che il firewall basato su host sia abilitato e che la sua policy non sia stata manomessa.
  • Crittografia del disco: Convalida che la crittografia completa del disco (es. BitLocker, FileVault) sia attiva e non in stato di sospensione.
  • Convalida del certificato: Verifica della presenza e della validità del certificato della macchina richiesto.
  • Conformità della configurazione: Garanzia che la baseline di sicurezza del dispositivo corrisponda alla policy aziendale (es. timer di blocco dello schermo, disattivazione dei dispositivi di archiviazione di massa USB).

posture_compliance_checklist.png

WPA3-Enterprise e robustezza crittografica

Con l'evoluzione della sicurezza di rete, si evolvono anche gli standard crittografici sottostanti. WPA3-Enterprise, in particolare quando opera in modalità a 192 bit, offre miglioramenti significativi rispetto a WPA2. Impone l'uso di GCMP-256 per la crittografia e HMAC-SHA-384 per l'integrità. Per le organizzazioni che gestiscono dati sensibili, come gli ambienti del settore Retail soggetti a PCI DSS o le strutture di Healthcare sottoposte a una rigorosa governance dei dati, il passaggio a WPA3-Enterprise è un passo necessario per rendere l'infrastruttura di rete a prova di futuro.

Guida all'implementazione

L'implementazione della valutazione della postura NAC richiede una pianificazione attenta per evitare interruzioni diffuse della rete. Per gli ambienti aziendali si raccomanda il seguente approccio graduale:

Fase 1: Preparazione dell'infrastruttura e progettazione della PKI

Prima di abilitare i controlli di postura, assicurati che l'infrastruttura sottostante sia in grado di supportare l'architettura. Se si distribuisce EAP-TLS, una Public Key Infrastructure (PKI) robusta è imprescindibile. I certificati devono essere forniti e rinnovati automaticamente tramite MDM o Group Policy. La gestione manuale dei certificati porterà inevitabilmente a problemi di connettività alla scadenza dei certificati stessi.

Fase 2: Modalità di monitoraggio (Fase di visibilità)

La fase più critica di qualsiasi implementazione NAC è la modalità di monitoraggio. In questa fase, il sistema NAC valuta la postura del dispositivo e ne registra i risultati, ma non applica alcuna policy. Il PEP consente l'accesso completo indipendentemente dall'esito della postura.

Esegui la modalità di monitoraggio per un minimo di 2-4 settimane. Ciò fornisce visibilità sullo stato di conformità effettivo del tuo parco macchine. Identificherai i dispositivi che non superano i controlli a causa di agent corrotti, riavvii in sospeso o configurazioni errate. Utilizza questi dati per bonificare il parco macchine in modo proattivo.

Fase 3: Applicazione segmentata

Una volta che la baseline di conformità è accettabile, avvia l'applicazione delle regole. I dispositivi vengono classificati in tre stati in base alla valutazione della policy:

  1. Conforme: Il dispositivo supera tutti i controlli critici e viene assegnato alla VLAN di produzione con tutti gli accessi necessari.
  2. Condizionale: Il dispositivo non supera un controllo non critico (ad esempio, è in sospeso un aggiornamento minore del sistema operativo). Può essere concesso un accesso limitato (ad esempio, solo internet) e l'utente viene avvisato di procedere alla risoluzione entro un intervallo di tempo specifico.
  3. Non conforme: Il dispositivo non supera un controllo critico (ad esempio, antivirus disabilitato). Il PEP assegna il dispositivo a una VLAN di quarantena.

Fase 4: Architettura di remediation

La VLAN di quarantena deve essere rigorosamente isolata. Deve consentire il traffico solo verso un portale di remediation, i server di aggiornamento necessari (ad esempio, Windows Update, server delle definizioni antivirus) e le risorse di supporto IT interne. Se un dispositivo in quarantena può instradare il traffico verso le sottoreti di produzione, l'architettura NAC ha fallito.

Best Practice

  • Valutazione continua: Il NAC legacy valuta la postura solo al momento della connessione. Le implementazioni moderne devono supportare la valutazione continua, rivalutando la postura a intervalli definiti o in risposta a eventi (ad esempio, un avviso EDR), e aggiornando dinamicamente il livello di accesso del dispositivo tramite Change of Authorization (CoA).
  • Agent vs. Agentless: Per i dispositivi aziendali gestiti, un approccio basato su agent offre la visibilità più profonda e funzionalità di monitoraggio continuo. L'interrogazione senza agent (agentless) è adatta per dispositivi non gestiti o ambienti in cui l'installazione di un agent è amministrativamente proibitiva.
  • MAC Authentication Bypass (MAB): I dispositivi non compatibili con lo standard 802.1X (ad es. stampanti legacy, sensori IoT) richiedono il MAB. Tuttavia, il MAB è intrinsecamente insicuro in quanto gli indirizzi MAC possono essere contraffatti. I dispositivi MAB devono essere accuratamente profilati e inseriti in VLAN isolate e strettamente controllate.
  • Allineamento agli standard: Basa le tue policy di posture su framework consolidati come i CIS Benchmarks. In questo modo si garantisce che i controlli di conformità siano indipendenti dal fornitore e allineati alle best practice del settore.
  • Isolamento del traffico Guest: La valutazione della posture del NAC aziendale non dovrebbe mai intersecarsi con le reti di accesso pubblico. Per le strutture che richiedono entrambe, utilizza una piattaforma Guest WiFi dedicata, come la soluzione WiFi Analytics di Purple, per gestire l'accesso pubblico su un'infrastruttura completamente separata.

Risoluzione dei problemi e mitigazione dei rischi

Modalità di guasto comuni

  1. L'applicazione "Big Bang": Passare direttamente dall'accesso aperto a un'applicazione rigorosa su tutto il parco macchine contemporaneamente è una ricetta garantita per l'interruzione dell'operatività. Utilizza sempre distribuzioni graduali per sede o reparto.
  2. Guasti della PKI: Certificati root o intermedi scaduti, o il malfunzionamento dell'infrastruttura Certificate Revocation List (CRL) / Online Certificate Status Protocol (OCSP), causeranno fallimenti di autenticazione diffusi. Implementa un monitoraggio robusto per la tua PKI.
  3. Loop di remediation: Assicurati che i dispositivi nella VLAN di quarantena abbiano effettivamente l'accesso alla rete necessario per scaricare gli aggiornamenti richiesti per diventare conformi. Se non riescono a raggiungere i server di aggiornamento, rimangono in quarantena permanente.

ROI e impatto sul business

L'implementazione della valutazione della posture del NAC offre un valore aziendale misurabile che va oltre le semplici metriche di sicurezza:

  • Mitigazione del rischio: Garantendo che solo i dispositivi integri accedano alla rete, la diffusione laterale di malware e ransomware viene significativamente limitata, riducendo la probabilità di costose violazioni dei dati.
  • Verifica della conformità: Per i settori fortemente regolamentati come l' Hospitality e il Transport , la valutazione automatizzata della posture fornisce prove continue di conformità a standard come PCI DSS e GDPR, semplificando i processi di audit.
  • Efficienza operativa: L'automazione del processo di quarantena e remediation riduce il carico di lavoro dell'helpdesk IT, consentendo ai tecnici di concentrarsi su iniziative strategiche anziché sulla pulizia manuale degli endpoint infetti.

Definizioni chiave

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta che fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN.

Il protocollo fondamentale che garantisce che un dispositivo debba autenticarsi prima che la porta dello switch o l'access point consentano il passaggio di qualsiasi traffico IP.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Un framework di autenticazione che utilizza certificati digitali X.509 per l'autenticazione reciproca.

Lo standard consigliato per i dispositivi aziendali gestiti, in quanto si basa su certificati crittografici anziché su password facilmente compromettibili.

Posture Assessment

Il processo di valutazione dello stato di sicurezza e della configurazione di un dispositivo endpoint rispetto a una policy aziendale definita.

Garantisce che un dispositivo non sia solo autenticato, ma anche "sano" (aggiornato, crittografato, protetto) prima che gli venga concesso l'accesso alla rete.

Policy Enforcement Point (PEP)

Il dispositivo di rete (switch, controller wireless o access point) che blocca o consente fisicamente il traffico in base alla policy NAC.

Il componente che esegue effettivamente il comando di "autorizzazione" o "quarantena" emesso dal server NAC.

Policy Decision Point (PDP)

Il server o motore centrale (spesso un server RADIUS) che valuta le richieste di autenticazione e i dati di postura per determinare i diritti di accesso.

Il cervello dell'operazione che contiene il database delle regole e decide quale livello di accesso deve ricevere uno specifico dispositivo.

MAC Authentication Bypass (MAB)

Un metodo di autenticazione di fallback che utilizza l'indirizzo MAC di un dispositivo come credenziale quando questo non è in grado di eseguire l'802.1X.

Utilizzato per dispositivi headless come stampanti o sensori IoT. È intrinsecamente debole e deve essere combinato con una rigorosa segmentazione della rete.

Change of Authorization (CoA)

Un'estensione RADIUS che consente al server NAC di modificare dinamicamente lo stato di autorizzazione di una sessione attiva.

Cruciale per la valutazione continua; se un dispositivo diventa non conforme mentre è connesso, la CoA consente al server NAC di spostarlo istantaneamente in una VLAN di quarantena senza richiedere una disconnessione.

Quarantine VLAN

Un segmento di rete rigorosamente isolato progettato per ospitare dispositivi non conformi, fornendo l'accesso solo alle risorse di remediation.

Impedisce a un dispositivo infetto o vulnerabile di comunicare con i sistemi di produzione mentre scarica gli aggiornamenti o le patch necessarie.

Esempi pratici

Un hotel di 400 camere richiede che i laptop del personale aziendale accedano in modo sicuro al sistema di gestione della proprietà (PMS) del back-of-house. Tuttavia, la struttura ospita anche numerosi dispositivi IoT non gestiti (termostati intelligenti, segnaletica digitale) che non possono eseguire un agente NAC.

Implementare una policy 802.1X EAP-TLS per tutti i laptop del personale aziendale, imponendo controlli rigorosi sulla postura (AV attivo, disco crittografato, patch applicate). Questi dispositivi vengono assegnati dinamicamente alla VLAN aziendale una volta verificata la conformità. Per i dispositivi IoT, implementare il MAC Authentication Bypass (MAB) combinato con una profilazione approfondita dei dispositivi. Assicurarsi che questi dispositivi MAB siano inseriti in VLAN IoT isolate e dedicate, con ACL che limitano il loro accesso esclusivamente ai controller specifici con cui devono comunicare. In nessun caso la VLAN IoT deve instradare il traffico verso la VLAN aziendale o il PMS.

Commento dell'esaminatore: Questo approccio segmenta correttamente la rete in base alle capacità del dispositivo e al profilo di rischio. Impone una sicurezza elevata per i dispositivi gestiti, fornendo al contempo un metodo di accesso pragmatico e controllato per l'hardware IoT headless, mitigando i rischi intrinseci del MAB.

Una catena di negozi al dettaglio sta distribuendo nuovi terminali per punti vendita (POS) in 50 sedi. Il team IT desidera imporre la conformità della postura per soddisfare i requisiti PCI DSS, ma teme di interrompere le attività dei negozi durante la fase di roll-out.

Distribuire l'architettura NAC in modalità Monitor per 30 giorni. Durante questo periodo, il sistema NAC autenticherà i terminali POS e valuterà la loro postura rispetto alla baseline PCI DSS (ad esempio, firewall attivo, nessun software non autorizzato), ma registrerà i guasti senza bloccare l'accesso. Il team IT esamina i log settimanalmente, identifica i terminali che non superano i controlli e li ripristina tramite la piattaforma MDM. Una volta che il tasso di conformità raggiunge il 100%, la policy viene commutata in modalità Enforcement, sede per sede, durante le finestre di manutenzione.

Commento dell'esaminatore: L'approccio graduale che utilizza la modalità Monitor è fondamentale per la continuità aziendale. Consente al team di sicurezza di identificare e risolvere le lacune di conformità senza influire sulle operazioni POS che generano ricavi.

Domande di esercitazione

Q1. Una soluzione NAC recentemente implementata in un ufficio aziendale sta causando diffusi problemi di connettività. I dispositivi che ieri erano conformi vengono ora inseriti nella VLAN di quarantena. L'helpdesk IT riferisce che i dispositivi sembrano integri, con l'antivirus in esecuzione e le patch applicate. Qual è il fallimento architetturale più probabile?

Suggerimento: Considera il ciclo di vita delle credenziali utilizzate in EAP-TLS.

Visualizza risposta modello

La causa più probabile è un guasto nella Public Key Infrastructure (PKI). Se i certificati macchina utilizzati per l'autenticazione EAP-TLS sono scaduti, o se il server NAC non riesce a raggiungere la Certificate Revocation List (CRL) o il risponditore OCSP, l'autenticazione fallirà indipendentemente dall'effettivo stato di sicurezza del dispositivo. Il sistema NAC si imposta per impostazione predefinita su uno stato di fail-closed o di quarantena.

Q2. Stai progettando l'architettura VLAN per una nuova implementazione NAC. Il team di sicurezza insiste sul fatto che la VLAN di quarantena deve consentire l'accesso al server proxy aziendale in modo che gli utenti possano navigare in internet mentre i loro dispositivi vengono ripristinati. È una progettazione valida?

Suggerimento: Valuta il rischio di consentire a un dispositivo potenzialmente compromesso l'accesso a un'infrastruttura condivisa.

Visualizza risposta modello

No, questa è una progettazione errata. Consentire a un dispositivo in quarantena l'accesso al proxy aziendale introduce un rischio significativo. Se il dispositivo è infetto da malware, potrebbe utilizzare il proxy per stabilire comunicazioni di comando e controllo o tentare di spostarsi lateralmente verso altri sistemi interni accessibili tramite il proxy. La VLAN di quarantena deve essere rigorosamente isolata, consentendo l'accesso solo a specifici server di ripristino (ad esempio, Windows Update, server delle definizioni AV) e al portale di ripristino stesso.

Q3. Il team IT di un ospedale deve proteggere l'accesso alla rete per una flotta di nuove pompe d'infusione medica wireless. Questi dispositivi non supportano i supplicant 802.1X e non possono eseguire un agente di postura. Come dovrebbe essere controllato l'accesso alla rete per questi dispositivi?

Suggerimento: Considera metodi di autenticazione alternativi e il principio del privilegio minimo.

Visualizza risposta modello

I dispositivi devono essere autenticati tramite MAC Authentication Bypass (MAB). Poiché il MAB è intrinsecamente debole (gli indirizzi MAC possono essere contraffatti), l'accesso alla rete deve essere fortemente limitato. Le pompe d'infusione devono essere collocate in una VLAN IoT medica dedicata e isolata. Le Access Control Lists (ACL) devono essere applicate a questa VLAN, consentendo la comunicazione solo con gli specifici server di gestione centrale richiesti per il loro funzionamento e bloccando qualsiasi altro movimento laterale o accesso a internet.

Continua a leggere questa serie

Hotel Guest WiFi Management: Integrating PMS, Portals, and Brand Standards

Questa guida tecnica descrive in dettaglio come progettare reti WiFi per hotel di livello enterprise, concentrandosi sulla segmentazione VLAN, sull'integrazione PMS per la gestione automatizzata delle sessioni e sull'ottimizzazione del Captive Portal per l'acquisizione di dati conforme al GDPR.

Leggi la guida →

Come configurare il Guest WiFi: una guida alla configurazione aziendale sicura

Questa guida autorevole fornisce ai leader IT e agli architetti di rete un modello definitivo per implementare un Guest WiFi aziendale sicuro. Copre l'architettura essenziale, la migrazione a WPA3, la segmentazione VLAN e l'integrazione del Captive Portal per proteggere i sistemi interni acquisendo al contempo dati di prima parte conformi.

Leggi la guida →

Gestione della larghezza di banda per il WiFi del personale: Shaping, QoS e riduzione del traffico

Questa guida illustra metodi pratici per gestire la larghezza di banda per il WiFi del personale nelle sedi aziendali. Copre il traffic shaping, l'implementazione del QoS e come l'implementazione di Purple Shield riduca il carico di rete senza richiedere aggiornamenti dell'infrastruttura.

Leggi la guida →