Eine gesamtheitliche NAC-Lösung möchte genau das erreichen, was der Name impliziert. Sie prüft definierte Kriterien um einem Gerät die Teilnahme an dem Netzwerk zu erlauben oder eben nicht.

Grundsätzlich will man mit NAC damit zwei Punkte erreichen:

• Authentifizierung: Nur Geräte die berechtigt sind, sollen am Netzwerk teilnehmen. Man denke hier an einen privaten Laptop eines Mitarbeiters oder ein bösartiges Gerät eines Angreifers, welche man nicht in seinem Netzwerk habe möchte.
• Compliance: Authentifizierte Geräte dürfen teilnehmen, wenn sie gegenüber weitern Kriterien konform sind. Weitere Kriterien können aktuelle Antiviren-Pattern und OS-Patch-Level sein.

NAC-Lösungen sind heute soweit automatisiert, dass den durch NAC abgelehnten Geräten nicht einfach der Zugriff verweigert wird, sondern alternative Möglichkeiten definiert werden können. Ein unbekanntes Gerät kann zum Beispiel mittels VLAN in eine Gast-Zone geroutet werden. Auch Captive Portals, etwa in Hotels, nutzen dies um ihren Gästen erst eine Authentifizierung mittels Web-Login durchzuführen zulassen, bevor ihnen Zugriff auf das Internet gewährt wird. Weiter können berechtigte Geräte mit veralteten Antiviren-Pattern in eine Quarantäne-Umgebung geroutet werden, welche nur Zugriff auf den Update-Server der Antiviren Lösung erlaubt. So ist das Update des Antiviren-Patterns möglich und das legitime Gerät kann anschliessend NAC-konform am Netzwerk teilnehmen.

Weiterführend kann mittels NAC auch eine Segregation über Organisationseinheiten erreicht werden, so können dem HR zugeordnete Geräte nur Zugriff auf die entsprechenden Netzwerkressourcen der HR Abteilung zugreifen. Damit kann eine NAC-Lösung nicht nur die Hürden für externen Angreifer erhöhen, sondern auch für schädliche Aktionen, die von den eigenen Mitarbeiten aus gehen können. Die Anwendungsfälle von NAC sind somit sehr vielseitig und vielschichtig.

NAC-Implementation

NAC kann auf unterschiedliche Arten implementiert werden. Die grossen Hersteller bieten Hardware mit entsprechenden Funktionen und die notwendige Software (Agent und Administrationsserver) im Paket. Teilweise sind auch herstellerübergreifende Implementierungen möglich, wobei hier mit Einbussen im Funktionsumfang oder auch erhöhtem Konfigurationsaufwand zu rechnen ist.

Für die Authentifizierung der Geräte werden meist auf folgende zwei Methoden zurückgegriffen:

• MAC-basiert: Das Gerät wird auf dem Switch mittels Überprüfung der MAC Adresse identifiziert und mit Access Control Listen (ACL) für das Netzwerk zugelassen.
• Zertifikat-basiert: Das Gerät übermittelt sein lokal installiertes 802.1x Maschinen Zertifikat an den Switch, dieser prüft die Gültigkeit für den Zugriff mittels ACLs.

Für die Compliance-Kontrolle sind wiederum zwei Methoden verbreitet:

• Agent: Ein Software Agent wird auf dem Gerät installiert, dieser muss mit den definierten Kontrollen (Policies) bestückt werden. Entspricht des Gerät den geforderten Kritiken, kann es am Netzwerk teilnehmen.
• Scanner: Als Alternative bietet sich ein Vulnerability Scanner, der in einer speziellen Zone das Gerät scannt. Die Resultate werden zu dem NAC-Server übermittelt und gegen die entsprechenden Policies geprüft.

NAC Bypass

Gleich vorne weg: Der einfachste NAC-Bypass wäre ein Switch zu finden, der keine NAC macht – Dies sind meist Core-Switches. Um sich gegen diesen Bypass zu schützen, bleibt meist nur das Abschliessen der Räumlichkeiten, in denen sich die Core-Switches befinden. Und weiter auch für den physischen Zugang zu diesen Räumlichkeiten ein Zugriffkonzept und Kontrolle zu betreiben.

Eine weitere Möglichkeit besteht darin die NAC-Infrastruktur zu stören, sprich diese nicht mehr erreichbar zu machen, so dass es nicht möglich ist MAC-Adressen oder Zertifikate durch die NAC-Server zu verifizieren. Dabei haben viele NAC-Lösungen ein Fallback Szenario implementiert. Dieses bietet nur zwei Möglichkeiten, entweder alle Geräte zulassen oder alle Geräte blockieren. Falls alle Geräte zugelassen werden, kann ein Angreifer das Zeitfenster vom Ausfall der NAC-Lösung bis zur Wiederinbetriebnahme nutzen, um bösartige Aktionen durchzuführen.

MAC-Spoofing

Viele Unternehmen setzen leider noch auf eine MAC-basiertes NAC. Für einen Angreifer ist es eine leichtes eine MAC Adresse zu spoofen und sich so, trotz MAC-basierendes NAC, Zugriff zum Netzwerk zu verschaffen.

Sind die ACLs sehr strikt und genau konfiguriert, müsste ein Angreifer die MAC-Adresse eines entsprechenden Clients in Erfahrung bringen. Möchte der Angreifer also die Finanzabteilung attackieren, würde er eine MAC-Adresse eines Mitarbeiters der Finanzabteilung benötigen. Dafür müsste der Angreifer ein Gerät der Finanzabteilung nur kurz in die Hände bekommen, um die MAC-Adresse auszulesen. Um grundsätzlich an eine valide MAC-Adresse zu kommen, könnte auch der Broadcastverkehr mitgehört werden oder mit Brute-Force Methoden eine valid MAC identifiziert werde.

Die MAC-basierte NAC-Variante sollte wenn möglich vermieden werden.

802.1x Bypass

Die zertifikat-basierte Variante von NAC ist schon eher schwieriger zum Umgehen.

Die meisten zertifikat-basierten NAC-Implementationen bieten eine Schwachstelle, die einfach ausgenutzt werden kann. Eine saubere zertifikat-basierte NAC-Lösung bedingt, dass ausschliesslich alle Netzwerkteilnehmer 802.1x-fähig sind. Jedoch sind in vielen Unternehmen Ausnahmen zu finden, wie IP-Telefone, Drucker, Frankiermaschinen, TV-Panels und ähnliches. Bei rigorosem Vorgehen müssten alle nicht-802.1x-fähigen Geräte ausgetauscht oder aufgerüstet werden. Dies ist jedoch nicht immer möglich oder praktikabel. Daher entstehen Ausnahmen, die nun alternativ via der MAC-basierten NAC verwaltet werden müssen. Die so entstandenen Lücken können wiederum mit MAC-Spoofing ausgenutzt werden. Da solche Ausnahme-Geräte meist sehr spezifische Aufgaben haben, kann hier mit sehr strengen und angepassten MAC ACLs das Angriffsfenster minimiert werden.

Eine weitere Lücke stellt der Staging-Bereich der Clients dar. Wird ein neues Gerät für einen Mitarbeiter des Unternehmens installiert, befindet sich initial noch kein Zertifikat auf dem Gerät, mit dem eine Authentifizierung stattfinden kann. Daher muss für die Installation ein Netzwerkzugang ohne NAC zur Verfügung stehen. Um dem entgegen zu kommen, sollten die entsprechende Netzwerkzonen wiederum auf ein Minimum der zu erreichenden Infrastruktur eingeschränkt werden.

Für den folgenden zertifikat-basierten NAC-Bypass muss der Angreifer ein bösartiges Gerät zwischen einem legitimen Gerät und dem Switch platzieren können. Mittels einer Man-in-the-Middle Attacke kann so mit geeigneten Tools (Bekannt sind zurzeit Marvin oder FENRIR) die NAC-Lösung umgangen werden. So kann eine Angreifer sein Netzwerkzugriff mittels jenem des legitimen Clients, Huckepack durch die NAC Kontrollen schleusen.

Die bösartigen Geräte, die dafür heute verwendet werden, können sehr klein sein und etwa in Kabelschächten von Tischen, Boden- oder Deckenverkleidungen versteckt werden. Mittels Batteriepack und GSM-Modulen sind solche Geräte auch weitgehendst unabhängig und können von ausserhalb kontrolliert werden.

Gegen eine solche Attacke kann man sich nur schwer schützen. Um Die Hürden für den Angreifer zu erhöhen sollte einerseits sichergestellt werden, dass in öffentlich zugänglichen Bereichen keine Geräte (z.B. Info-Panels oder Batch-Lesegeräte im Eingangsbereich) betrieben werden, die Zugriff auf das interne Client-Netzwerk haben und andererseits grundsätzlich adäquate Eingangskontrollen für Personen (Batch-Systeme und Schleusen) vorhanden sind. Weiteren Schutz bietet die Erkennung von Angriffen mittels Kontrollsystemen wie der Überwachung des Netzwerkverkehrs (IDS und Zugriffsanalysen, Auswertungen und Alerting).

Fazit

Aus der Sicht eines Angreifers kann eine saubere NAC Lösung die Hürden für einen erfolgreichen Angriff sehr erhöhen. Unternehmen ohne NAC laufen Gefahr, dass eine Angreifer sehr einfach ein bösartiges Gerät in einem Sitzungszimmer verstecken und damit zum Beispiel NTML-Hashes abgreifen und missbrauchen kann. Auf dieses und ähnliche Szenarios haben viele Unternehmen reagiert. Jedoch sind noch immer viele NAC Lösungen MAC-basiert und die Compliance Kontrollen werden nur selten umgesetzt. Grundsätzlich sollte auf MAC-basierte NACs verzichtet werden. Bei zertifikat-basierten NAC Lösungen sollte es den Verantwortlichen klar sein, dass für eine saubere Umsetzung alle Netzwerkteilnehmer 802.1x fähig sind sollten. Wenn Ausnahmen nicht verhindert werden können, sollten diese gut verwaltet werden. Hierbei ist zu beachten das der genaue Standort der Ausnahmen bekannt sein muss, sowie die Zugriffsmöglichkeiten dieser Geräte via ACLs auf das absolute Minimum eingeschränkt werden sollte. Auch das Szenario der Nicht-Verfügbarkeit der NAC-Infrastruktur muss analysiert und eine akzeptable Antwort darauf gefunden werden ob die komplette Belegschaft kein Zugriff mehr hat oder ob die Zeit bis zum reaktivierten der NAC ohne Kontrollen aus Risikosicht hinnehmbar ist.

Auch sollte das oft unterschätze Management der Zertifikate nicht vernachlässigt werden. Geräte mit abgelaufenen Zertifikaten werden nicht mehr am Netzwerk teilnehmen dürfen. Auch bei der Wahl der kryptografischen Eigenschaften der Zertifikate sollte stehts darauf geachtet werden, dass aktuelle und als sichergeltende Verfahren eingesetzt werden.

Wie bei allen Sicherheitskonzepten ist die NAC kein Allerheilmittel und sollte stehts in Kombination mit untermauernden und ergänzenden Sicherheitskonzepten implementiert und betrieben werden.

Über den Autor

Dominik Altermatt arbeitet seit 2003 in der IT-Branche. Unter anderem hat er sich mehrere Jahre mit Data Leakage Prevention bei einer Grossbank beschäftigt. Heute liegen seine Schwerpunkte neben klassischen Penetration Tests bei der Einführung und der Weiterentwicklung von IT-Security-Management-Prozessen. (ORCID 0000-0003-4575-4597)

Links

• http://resources.infosecinstitute.com/nac-hacking-bypassing-network-access-control/#gref
• http://www.hackingarticles.in/4-ways-capture-ntlm-hashes-network/
• https://github.com/Orange-Cyberdefense/fenrir-ocd
• https://standards.ieee.org/findstds/standard/802.1×-2010.html
• https://www.gartner.com/reviews/market/network-access-control
• https://www.gremwell.com/marvin-mitm-tapping-dot1x-links
• https://www.lifewire.com/layer-3-switch-817583