El control de acceso a la red ( NAC ) es un enfoque de la seguridad informática que intenta unificar la tecnología de seguridad de los puntos finales (como antivirus , prevención de intrusiones en el host y evaluación de vulnerabilidades ), la autenticación de usuarios o sistemas y la aplicación de la seguridad de la red . [1] [2]
Descripción
Network Access Control (NAC) es una solución de redes informáticas que utiliza un conjunto de protocolos para definir e implementar una política que describe cómo proteger el acceso de los dispositivos a los nodos de la red cuando inicialmente intentan acceder a la red. [ cita requerida ] NAC podría integrar el proceso de remediación automática (arreglando los nodos no compatibles antes de permitir el acceso) en los sistemas de red, permitiendo que la infraestructura de red, como enrutadores, conmutadores y firewalls, trabajen junto con los servidores de back office y el equipo informático del usuario final asegurarse de que el sistema de información esté funcionando de forma segura antes de que se permita la interoperabilidad. Una forma básica de NAC es el estándar 802.1X .
Network Access Control tiene como objetivo hacer exactamente lo que su nombre indica: controlar el acceso a una red con políticas, incluidas comprobaciones de políticas de seguridad de punto final antes de la admisión y controles posteriores a la admisión sobre dónde pueden ir los usuarios y dispositivos en una red y qué pueden hacer.
Ejemplo
Cuando una computadora se conecta a una red de computadoras, no se le permite acceder a nada a menos que cumpla con una política definida por el negocio; incluido el nivel de protección antivirus, el nivel de actualización del sistema y la configuración. Mientras la computadora está siendo revisada por un agente de software preinstalado, solo puede acceder a los recursos que pueden remediar (resolver o actualizar) cualquier problema. Una vez que se cumple la política, la computadora puede acceder a los recursos de la red e Internet, dentro de las políticas definidas por el sistema NAC. NAC se usa principalmente para verificaciones de estado de endpoints, pero a menudo está vinculado al acceso basado en roles. El acceso a la red se dará según el perfil de la persona y los resultados de un chequeo de postura / salud. Por ejemplo, en una empresa, el departamento de recursos humanos podría acceder solo a los archivos del departamento de recursos humanos si tanto la función como el punto final cumplen con los mínimos antivirus.
Objetivos de NAC
Debido a que NAC representa una categoría emergente de productos de seguridad, su definición está evolucionando y es controvertida. Los objetivos generales del concepto se pueden resumir como:
- Mitigación de ataques de día cero
- Autorización, Autenticación y Contabilidad de conexiones de red.
- Cifrado del tráfico a la red inalámbrica y cableada mediante protocolos para 802.1X como EAP-TLS, EAP-PEAP o EAP-MSCHAP.
- Controles basados en roles de usuario, dispositivo, aplicación o post-autenticación de seguridad.
- Automatización con otras herramientas para definir el rol de la red en función de otra información, como vulnerabilidades conocidas, estado de jailbreak, etc.
- El principal beneficio de las soluciones NAC es evitar que las estaciones finales que carecen de antivirus, parches o software de prevención de intrusiones del host accedan a la red y pongan a otras computadoras en riesgo de contaminación cruzada de gusanos informáticos .
- Politica de ACCION
- Las soluciones NAC permiten a los operadores de red definir políticas, como los tipos de computadoras o los roles de los usuarios a los que se les permite acceder a áreas de la red, y hacerlas cumplir en conmutadores, enrutadores y cajas intermedias de red .
- Gestión de identidades y accesos
- Cuando las redes IP convencionales imponen políticas de acceso en términos de direcciones IP , los entornos NAC intentan hacerlo basándose en identidades de usuario autenticadas , al menos para estaciones finales de usuario como computadoras portátiles y de escritorio.
Conceptos
Pre-admisión y post-admisión
Hay dos diseños predominantes en NAC, según se apliquen las políticas antes o después de que las estaciones finales obtengan acceso a la red. En el primer caso, llamado NAC de preadmisión, las estaciones finales se inspeccionan antes de que se les permita ingresar a la red. Un caso de uso típico de NAC previo a la admisión sería evitar que los clientes con firmas antivirus desactualizadas se comuniquen con servidores confidenciales. Alternativamente, el NAC posterior a la admisión toma decisiones de cumplimiento basadas en las acciones del usuario, después de que se les haya proporcionado acceso a la red.
Agente versus sin agente
La idea fundamental detrás de NAC es permitir que la red tome decisiones de control de acceso basadas en la inteligencia sobre los sistemas finales, por lo que la forma en que la red está informada sobre los sistemas finales es una decisión de diseño clave. Una diferencia clave entre los sistemas NAC es si requieren software de agente para informar las características del sistema final, o si utilizan técnicas de escaneo e inventario de red para discernir esas características de forma remota.
A medida que NAC ha madurado, los desarrolladores de software como Microsoft han adoptado el enfoque, proporcionando su agente de protección de acceso a la red (NAP) como parte de sus versiones de Windows 7, Vista y XP. También hay agentes compatibles con NAP para Linux y Mac OS X que brindan la misma inteligencia para estos sistemas operativos.
Fuera de banda versus en línea
En algunos sistemas fuera de banda, los agentes se distribuyen en las estaciones finales y envían información a una consola central, que a su vez puede controlar los conmutadores para hacer cumplir la política. Por el contrario, las soluciones en línea pueden ser soluciones de caja única que actúan como cortafuegos internos para redes de capa de acceso y hacen cumplir la política. Las soluciones fuera de banda tienen la ventaja de reutilizar la infraestructura existente; Los productos en línea pueden ser más fáciles de implementar en nuevas redes y pueden proporcionar capacidades de aplicación de la red más avanzadas, porque controlan directamente los paquetes individuales en el cable. Sin embargo, hay productos que no tienen agentes y tienen las ventajas inherentes de una implementación fuera de banda más fácil y menos riesgosa, pero utilizan técnicas para proporcionar efectividad en línea para dispositivos que no cumplen, donde se requiere la aplicación.
Portales de remediación, cuarentena y cautivos
Los operadores de red implementan productos NAC con la expectativa de que a algunos clientes legítimos se les niegue el acceso a la red (si los usuarios nunca tuvieron niveles de parches desactualizados, NAC sería innecesario). Debido a esto, las soluciones NAC requieren un mecanismo para remediar los problemas del usuario final que les niegan el acceso.
Dos estrategias comunes para la remediación son las redes de cuarentena y los portales cautivos :
- Cuarentena
- Una red de cuarentena es una red IP restringida que proporciona a los usuarios acceso enrutado solo a ciertos hosts y aplicaciones. La cuarentena se implementa a menudo en términos de asignación de VLAN ; cuando un producto NAC determina que un usuario final está desactualizado, su puerto de conmutador se asigna a una VLAN que se enruta solo para parchear y actualizar servidores, no al resto de la red. Otras soluciones utilizan técnicas de administración de direcciones (como el protocolo de resolución de direcciones (ARP) o el protocolo de descubrimiento de vecinos (NDP)) para la cuarentena, lo que evita la sobrecarga de administrar las VLAN en cuarentena.
- Portales cautivos
- Un portal cautivo intercepta el acceso HTTP a las páginas web y redirige a los usuarios a una aplicación web que proporciona instrucciones y herramientas para actualizar su computadora. Hasta que su computadora pase la inspección automatizada, no se permite el uso de la red además del portal cautivo. Esto es similar a la forma en que funciona el acceso inalámbrico de pago en los puntos de acceso públicos.
- Los portales cautivos externos permiten a las organizaciones descargar controladores e interruptores inalámbricos de los portales web de alojamiento. Un único portal externo alojado por un dispositivo NAC para la autenticación inalámbrica y por cable elimina la necesidad de crear varios portales y consolida los procesos de administración de políticas.
NAC móvil
El uso de NAC en una implementación móvil , donde los trabajadores se conectan a través de varias redes inalámbricas durante la jornada laboral, implica desafíos que no están presentes en un entorno de LAN cableada . Cuando a un usuario se le niega el acceso debido a un problema de seguridad , se pierde el uso productivo del dispositivo, lo que puede afectar la capacidad de completar un trabajo o atender a un cliente. Además, la reparación automática que toma solo unos segundos en una conexión por cable puede demorar minutos en una conexión de datos inalámbrica más lenta, lo que atasca el dispositivo. [3] Una solución NAC móvil brinda a los administradores de sistemas un mayor control sobre si, cuándo y cómo remediar el problema de seguridad. [4] Una preocupación de menor grado, como las firmas antivirus desactualizadas, puede resultar en una simple advertencia para el usuario, mientras que problemas más serios pueden resultar en poner en cuarentena el dispositivo. [5] Se pueden establecer políticas para que la corrección automatizada, como la publicación y aplicación de parches y actualizaciones de seguridad , se retenga hasta que el dispositivo se conecte a través de una conexión Wi-Fi o más rápida, o después del horario laboral. [3] Esto permite a los administradores equilibrar de manera más adecuada la necesidad de seguridad con el objetivo de mantener la productividad de los trabajadores. [5]
Ver también
Referencias
- ^ "IEEE 802.1: 802.1X-REV - Revisión de 802.1X-2004 - Control de acceso a la red basado en puertos" . ieee802.org .
- ^ Tutorial: Control de acceso a la red (NAC) Mike Fratto, Computación en red, 17 de julio de 2007
- ^ a b "Control de acceso a la red móvil: extensión de las políticas de seguridad corporativas a los dispositivos móviles" (PDF) . Archivado desde el original el 5 de octubre de 2011 . Consultado el 28 de mayo de 2011 .CS1 maint: bot: estado de URL original desconocido ( enlace )
- ^ "Módulo de control de acceso a la red" Archivado 2011-09-03 en Wayback Machine
- ^ a b "Tecnologías de campo en línea" . Archivado desde el original el 14 de marzo de 2012 . Consultado el 28 de mayo de 2011 .CS1 maint: bot: estado de URL original desconocido ( enlace )
enlaces externos
- NAC: ¿Qué salió mal?
- Booz Allen Hamilton deja 60k archivos no seguros en el servidor DOD