RE: NAC

On Thu, 2003-12-18 at 20:49, marco misitano wrote:

> L'URL qui sopra, recita (fine della prima risposta) :
> " NAC will initially support endpoints running Microsoft® Windows NT, XP and
> 2000 operating systems."
> Mi sembra un normale approccio al mercato, quello di iniziare con microsoft
> che statisticamente e' il sistema 1) piu diffuso, 2) piu vulnerabile. Il
> fatto stesso che sia specificato "initially" significa 1) che la massima
> priorita' e' stata messa sull'ambiente piu diffuso e vulnerabile, a cui
> seguiranno, evidentemente, altri sistemi operativi secondo priorita' di
> questo tipo.

Di promesse di questo tipo ne ho viste molte ... ammetto che cisco di
solito si comporta abbastanza bene, ma per ora sto a guardare.


> Certo, spiego. Il sistema di autenticazione e' basato su Extensible
> Authentication Protocol (EAP) [1], che e' un generico framework di
> autenticazione che puo essere usato per fare enforcement di controllo
> dell'accesso in base a diversi tipi di credenziali, la cui flessibilita' lo
> rende utile in svariati ambiti. In questo momento EAP e' utilizzato  anche
> in 802.1x, IKE versione 2 e PPP per lo scambio di credenziali di identitá
> fra un supplicant ed un gateway. Inoltre il RADIUS e' stato esteso (no, non
> da cisco, vedi [2]) per portare messaggi EAP inmodo che il gateway di
> autenticazione possa appoggiarsi ad un server AAA RADIUS per la valutazione
> delle credenziali ed il mapping su una policy.

Si fin qui ci sono, non mi interessa molto l'implementazione tecnica
specifica, quanto i presupposti su cui si basa.

> Questo fa un 'demone' integro fa. Se poi il demone non e' integro, ricadiamo
> in problemi ben piu grossi. 
> Se riesco a manomettere il 'demone' posso anche installare un keylogger
> della macchina ed aggirare qualsivoglia altro sistema di autenticazione.

Si sta parlando ovviamente dei portatili dei consulenti che possono
manomettere quel che gli pare e non hanno certo bisognodei keylogger.

> > Ma se il client non lo gestisci tu a che serve il NAC?
> 
> A fare in modo che sulla mia rete si abbia accesso solo se si e' confugurati
> come ho stabilito io, esattamente come posso volere che a casa mia non si
> fumi il sigaro, indipendentemente dal fatto che il fumatore sostenga che il
> sua Avana ha un profumo meraviglioso. Il balcone (o la guest VLAN) resta
> disponibile.

Certo, ma siccome non hai il controllo della macchina client, come fai a
fidarti del NAC? Il client è sotto il controllo esterno, non sotto il
controllo di chi gestisce il NAC, e quindi, secondo me, non trustabile
di default. Quindi NAC on non NAC non ci si dovrebbe fidare.
Di qui la conclusione di nuovo è: che me ne faccio del NAC ?

> > Secondo me il punto debole di tutto il discorso sta proprio qui: ci
> > fidiamo di quello che ci racconta il client perchè ci mettiamo un
> > aggeggio proprietario sopra che ci racconta cosa fa. Personalmente ho
> > abbandonato qualsiasi fiducia nel security through obscurity da molto
> > tempo.
> 
> Cosa c'entra la security thru obscurity? 

C'entra, perchè l'unica sicurezza che ha il NAC, nel caso di portatili
di consulenti esterni (o macchine compromesse), è proprio che il tutto
ha una sola possibilità di continuare a funzionare: il fatto che il
codice del client cisco è chiuso e quindi è un po' più difficile farne
un fake. Questo è chiaramen te un concetto di security through
obscurity.

> Se vogliamo discutere di tecnicismi della soluzione sono apertissimo, se
> vogliamo dare addosso a tutto quello che non e' open source, ed innescare
> ancora una volta la diatriba su open/closed source, disclosure, eccetera, é
> un altro discorso, dal quale mi sottraggo.

Non me ne può fregare di meno al momento.
Sto proprio discutendo dei problemi di impostazione, a monte dei
tecnicismi e della licenza di software adottata.

Qui ci si fida che un piccolo programmillo mi dia informazioni corrette
stando in mani di altri: personlamente non mi fido, o meglio, non lo
ritengo un metodo particolarmente sicuro, e con livello di sicurezza non
sufficiente a giustificarne l'adozione.
Gli unici vantaggi come ho già detto li hai già cone le tue soluzioni
enteprise di gestione centralizzata di antivirus e patch che devi
comunque avere, e quindi sono vantaggi annullati.

Quindi mi chiedo, viste le mie considerazioni, serve davvero a qualcosa
sto NAC?

> Certo, c'e' del marketing. Tutti I vendor fanno del marketing. 
> Oltre al marketing c'e' anche una soluzione che (mi dicono persone che non
> ho nemmeno interpellato) e' interessante ed indirizza una necessita' delle
> aziende.

Boh, sarò miope.

> Ripeto, e me, amministratore di rete che stabilisce che sulla mia rete si
> entra solo se configurati cosí-e-cosá,non frega niente dei mal di testa di
> chi non ha la macchina compliant, proprio perche questa tecnologia da la
> possibilita' di lasciar fuori dalla rete le macchine non compliant.

Non ci siamo capiti, io parlo di malditesta per l'amministratore, non
certo per chi non ha la macchina compliant che da vero furbone metterà
su il faker di cui sopra e ti fregherà alla grande ;-)

> > E qui non si parla dei soliti sfigati che usano linux, ma di
> > tutta una serie di apparati, dalle stampanti di rete in su, che di
> > sicuro non usano ne windows ne tanto meno un antivirus.
> 
> Calma, calma... :-)
> Non e' una situazione ON/OFF... C'e' parecchia granularita' in termini di
> scelta delle zone dove e' applicata questa soluzione. Ci manca l'antivirus
> sulle stampanti... ;-)

Appunto ... mi vuoi dire che farai mettere tutte le stampanti in una
vlna separata ??  Liberissimo ... ma già mi sa che sto NAC mi sta
complicando la vita oltre il necessario.

Io continuo a tenermi la mia vlan per gli ospiti e risolvo allegramente
la cosa senza patemi :-)

> No, non puoi escludere la stampante, puoi stabilire le zone di accesso alla
> rete che sottostanno a questa regola. 
> Alla stampante, in quanto non rispondente (in quanto non ha ildemone
> addosso) non verrebbe dato l'accesso alla rete, se collegata in una zona
> d'accesso con NAC.

utile :-)

> Questo é un punto importante. Il vendor/io con l'aplicazione di NAC non
> vende piú hardware. Voglio dire il tutto e' implementabile su
> apparecchiature di rete esistenti da aggiornare con le eventuali versioni
> del software adeguate, tutto qui. 

certo, ma il marketing lo si fa anche per l'immagine spesso. in ogni
caso il tutto funziona solo su hw cisco, quindi se voglio roba compiant
mi sa tanto che dovrò avere tutto cisco o niente ... dalle mie parti si
chiama lock-in :-)

> La mutua autenticazione con EAP ed il fatto che il -chiamiamolo NAC_daemon -
> manda informazioni relative al tuo anvivirus, personal firewall e
> patchlevel.

la mutua autenticazione non l'ho vista nella veloce sfogliata, immagino
sia effettivamente così...

> Guarda che mica e' obbligatorio usare NAC se non ne senti l'esigenza, eh...
> :-))

Certo, e neanche difenderlo a spada tratta lo è ;-)

Simo.

-- 
Simo Sorce - simo.sorce@xxxxxxx
Xsec s.r.l. - http://www.xsec.it
via Garofalo, 39 - 20133 - Milano
mobile: +39 329 328 7702
tel. +39 02 2953 4143 - fax: +39 02 700 442 399

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List