Perché il monitoraggio dei macaddresses è fondamentale? La gestione degli accessi a una rete LAN è uno dei compiti più complessi che i responsabili IT e Sicurezza di un’azienda devono supervisionare. L’always-on e il BYOD hanno esteso indefinitamente (o quasi) i limiti del perimetro aziendale, rendendo difficile il controllo e il tracciamento dei dispositivi che vorrebbero connettersi alla rete aziendale (e il comportamento di quelli che sono già connessi).
Questa tecnica è una delle più efficaci per quel che riguarda il controllo dell’accesso alla LAN. Sfruttando le peculiarità degli indirizzi Mac, infatti, è possibile impostare delle regole che precludono l’accesso alla rete ai dispositivi non “certificati” in maniera certa e incontrovertibile.
O almeno così dovrebbe essere. Particolari tecniche, infatti, consentono di bypassare questi controlli, rendendoli così meno efficaci. In questa ottica, dunque, è fondamentale utilizzare soluzioni NAC che consentano di individuare questi tentativi di attacco e neutralizzare così dispositivi
Cosa sono gli indirizzi Mac
I macaddresses (indirizzi Mac in italiano) sono degli identificatori univoci assegnati al Network Interface Controller di ogni dispositivo che abbia le capacità di collegarsi a una rete informatica. Detto in parole più semplici, si tratta di una sorta di “impronta digitale di rete” che permette a un device di essere individuato e riconosciuto in maniera univoca. I macaddresses, infatti, vengono assegnati ai dispositivi di rete prima che vengano messi in vendita e, teoricamente, non possono essere “contraffatti”.
Come utilizzare i macaddresses nella gestione degli accessi alla LAN
La natura stessa degli indirizzi Mac, dunque, li rende particolarmente adatti per controllare il flusso di dispositivi che vuole connettersi a una rete informatica. Gli amministratori di rete o i responsabili IT, infatti, non dovranno far altro che creare una lista dei dispositivi affidabili e consentire solamente a questi la possibilità di accedere al network aziendale.
In questo modo la gestione degli accessi alla LAN non solo è semplificata, ma anche ottimizzata: le soluzioni di difesa del perimetro aziendale non dovranno far altro che controllare che l’indirizzo Mac del dispositivo che richiede l’accesso alla rete sia incluso nella lista e “reagire” di conseguenza.
Una soluzione, quella del controllo dei macadresses, che si adatta principalmente a realtà aziendali medio-piccole, che hanno maggiori possibilità di controllo dei dispositivi utilizzati dai dipendenti. Ovviamente il cosiddetto macaddresses filtering può essere adottato anche da realtà più grandi, a patto però che non vengano adottate politiche BYOD. Ossia, tutti i dispositivi devono prima transitare dalle mani dei responsabili IT, che possono così realizzare una whitelist dei dispositivi autorizzati all’accesso alle risorse di rete.
In casi come questi, però, è consigliabile adottare delle soluzioni NAC avanzate, che consentano di creare delle policy di accesso granulari e in grado di integrare il controllo dei macaddresses con altre soluzioni di sicurezza. Ad esempio, è possibile utilizzare policy di compliance, che neghino l’accesso alla rete a dispositivi non aggiornati con l’ultima versione del sistema operativo o che non abbiano ancora installato le ultime patch di sicurezza rilasciate dalle case sviluppatrici.
I pericoli del Mac spoofing: come difendersi
Come detto, gli indirizzi Mac vengono assegnati alle varie periferiche di rete – dagli smartphone ai PC, passando per le telecamere di sicurezza, stampanti, NAS e così via – in fase di produzione e, teoricamente, resta “impresso” nel firmware del dispositivo senza che ci sia alcuna possibilità di modificarlo. Da un punto di vista pratico, però, l’indirizzo Mac può essere modificato – o, per meglio dire, oscurato – tramite un’operazione definita di “spoofing”.
Attraverso il Mac spoofing, infatti, è possibile mascherare il macaddress “originale” del device di rete con uno assegnato dall’utente. Questo permette, ad esempio, di rubare l’identità ad altri dispositivi e riuscire così ad aggirare i controlli basati esclusivamente sul monitoraggio dei macaddresses. Anche in questo caso, però, soluzioni NAC avanzate consentono di rilevare, localizzare e difendere il network aziendale da attacchi di questo genere, evitando così che degli intrusi riescano ad avere accesso alle risorse della LAN.
Canale Sicurezza è il blog di approfondimento sulle tematiche di sicurezza informatica di Bludis S.r.l.
Pensato e strutturato come servizio e strumento per mantenere sempre aggiornati gli utenti sia professionali che domestici sulle ultime novità.