El control de acceso de los usuarios ha sido siempre un tema de confusión en este último lustro tecnológico. La industria ha estado centrada en el control de los usuarios y los dispositivos de acceso a las redes corporativas.
por Osvaldo Callegari*
Actualmente el número de dispositivos móviles superó con creces los equipos de escritorio con una marcada integración hacia las redes corporativas.
Con este crecimiento desmedido de dispositivos en movimiento el reto de los gerentes de IT ha crecido de manera exponencial.
El NAC (control de acceso a redes) surge como una especie de nueva tecnología respondiendo a las necesidades que requieren las infraestructuras de IT, que dicho sea de paso son muy volátiles. El hito es: ¿Cómo puedo asegurar el entorno cada vez más fluido de conectividad?
El beneficio de la administración del acceso con NAC es directa: se comprueba la seguridad de cualquier dispositivo en su conexión a la red. Si se vulnera alguna política se produce un seguimiento constante a lo largo de la sesión de conexión para garantizar que el dispositivo sigue siendo compatible.
Cuando se inspecciona un dispositivo se analiza toda la estructura para conceder permisos de acceso a diferentes áreas de la red. Se identifica inequívocamente un usuario invitado de un empleado.
Una red corporativa estándar es cualquier cosa menos normalizada, dado que existen infinidad de puntos de ingreso que no siempre son sencillos de controlar y o supervisar. Esta premisa genera complejidad en el desarrollo de técnica de protección y la mayoría de las veces es impracticable, más que nada por la naturaleza humana.
Por ello analizamos un caso de estudio de la Compañía de seguridad informática Forescout.
Esta empresa utiliza tres criterios funcionales que permiten operar las redes en mundos reales complejos y diversos.
Los criterios son:
1. La detección y la interrogación sobre extremos
2. Política de creación y medidas de seguridad en las aplicaciones: ¿Es fácil para crear políticas? ¿Qué nivel de granularidad es necesario para la inspección de dispositivos eficaces y medidas de ejecución? ¿Alteran la red o los usuarios?
Estas son algunas de las preguntas que deben ser considerados para asegurar que la solución NAC efectivamente aporte niveles granulares de control de acceso sin interrumpir las operaciones de red.
3. Implementación e integración: Con el fin de maximizar los beneficios de una solución NAC, debe integrarse perfectamente en la infraestructura de red sin causar interrupciones en la misma. Por lo tanto, múltiples enfoques para la implementación deben ser considerados para determinar el impacto potencial y el nivel de interrupción que el método de implementación tendrá en la infraestructura general. Otro factor determinante es la capacidad de un sistema de NAC para aprovechar la inversión existente en infraestructura de red y equipos sin necesidad de costosas actualizaciones o causar tiempo de inactividad de la red.
Antes de la ejecución de las políticas de seguridad de la red es necesario que todos los dispositivos de conexión sean detectados.
Además diversos tipos de mecanismos de inspección deben ser considerados para obtener el máximo de interrogación con un mínimo de gastos en la gestión para todos los extremos detectados e identificados.
Uno de los aspectos más críticos en el control de acceso es la detección de dispositivos de conexión y que la garantía de los dispositivos se ajustan a las políticas de seguridad de la red.
La pregunta sigue siendo: ¿Cómo controlar el acceso en una red compleja donde todos los puntos de ingreso no son fáciles de definir o no se conocen?.
Una serie de metodologías se han introducido para hacer frente a este reto principal de la NACs, lejos está de ser una regla de oro el considerar las diferentes formas de detección, un punto de decisión clave emerge en la discusión sobre si debe exigirse detección en un dispositivo que ya conocemos previamente registrado en un extremo.
El conocimiento previo de un dispositivo implica que algún tipo de agente debe estar instalado y presente en el punto final de conexión antes de la conexión, que identifica el dispositivo y proporciona un cierto nivel de resultado del sistema de diagnóstico para el sistema NAC.
NAC con agente Vs. NAC sin agente
Los agentes de software se han convertido en un elemento bastante común en una configuración típica del dispositivo como parte de una política de seguridad corporativa. No es inusual tener agentes múltiples que proveen una variedad de sistema de evaluaciones. Esta es una forma positiva para defender un sistema individual contra el spyware o virus o habilitar a una conexión VPN configurable.
Los agentes tienen la capacidad de obtener un conocimiento detallado del sistema en el que reside. El acceso al registro del sistema y la estructura de archivos proporciona un profundo conocimiento de las aplicaciones instaladas, procesos activos y una multitud de otros detalles de configuración del sistema para proporcionar un sistema "saludable" de evaluación antes de permitir el acceso.
En el punto de conexión, la identificación del cliente de software identifica al ordenador como un dispositivo de usuario administrado e inicia una nueva inspección.
Conceptualmente, esta es una buena historia. El agente obtiene información en profundidad del nivel del sistema de cumplimiento y proporciona este registro en conformidad con el sistema NAC en el momento de la conexión.
Sin embargo, el sistema NAC se vuelve prácticamente inútil cuando los dispositivos basados en agentes no administrados (licencias de control) se introducen en la red. Cualquier dispositivo que no tiene instalado un agente es negado su acceso a la red o por el otro lado permite un acceso completo sin ningún tipo de control en el punto final.
Los sistemas no administrados son sólo uno de los muchos retos de enormes proporciones que enfrentan los sistemas NAC basados en agentes, los mismos requieren una licencia de cliente en puntos finales administrados e introduce una carga de gestión significativos asociados con la implementación de la solución NAC.
Si bien un enfoque basado en agentes pueden trabajar en un entorno de red pequeña con un número limitado de puntos finales, Sistemas NAC basados en agentes también plantean desafíos adicionales debido a problemas de compatibilidad con el sistema operativo.
La mayoría de las soluciones NAC dan soporte a las últimas versiones de Windows y, posiblemente, algunos dispositivos de Macintosh, pero nada más allá de esto se convierte en problemática. Este problema se vuelve aún más crítico si se considera cualquier otro tipo de dispositivos basados en IP los cuales se conectan a la red sin un agente no es simplemente una opción (por ejemplo, impresora, teléfono de VoIP, sistemas MES, dispositivos médicos, etc.)
Debido a que un cliente no puede ser desplegado en estos dispositivos, se convierten en posibles vulnerabilidades que no son detectadas y por lo tanto no protegidos por el sistema NAC.
Hay, sin embargo, una variante en esta discusión. Algunos sistemas NAC pueden proporcionar un agente soluble, el mismo que puede ser descargado e instalado temporalmente en el punto de conexión y se retira una vez que el dispositivo ya no está en la red. Este enfoque puede aliviar un poco la carga de gestión de TI para hacer frente a los dispositivos administrados y no ofrecer una solución parcial para la evaluación de direcciones de red y asignación para contratistas externos.
NAC libre de Agentes
Sin agentes los sistemas NAC proporcionan una serie de ventajas sobre las soluciones con software de control, especialmente al considerar el alcance de protección de red y la escalabilidad, la disminución de niveles de los manuales de gestión de TI y la reducción de la disrupción a los servicios de red.
Escalabilidad
Puesto que un agente de software no es requerido para ser instalado o descargado en el punto final, la escalabilidad de un sistema de NAC sin clientes es prácticamente ilimitado. Si bien puede haber otros factores que determinan cuan bien NAC puede funcionar. Es ilimitado el número de dispositivos a controlar con esta metodología.
Otra ventaja clara de un sistema de NAC sin cliente es que no requiere de los administradores de red para educar.
NAC, en el terreno
Detección de dispositivos sin cliente: Un gran hospital trabaja bajo presión para cumplir los requisitos de la normativa, necesitan con urgencia obtener un conteo preciso de todos los dispositivos en su red, tales como computadoras de escritorio/portátiles y periféricos, así como EKG CRT, y las máquinas de ultra-sonido.
Pocas horas después del despliegue del sistema NAC de ForeScout, los administradores de red tenían un inventario completo de todos los dispositivos basados en IP relacionados con la red del propio hospital. Con todos los dispositivos detectados e identificados, los administradores rápidamente definieron e implementaron un conjunto de políticas de acceso a toda la red y pudieron visuallizar a conciencia todos los parámetros de conexión.
Gestión del Sistema NAC
Los sistemas NAC sin agentes reducen significativamente la cantidad de gestión necesarios para hacer cumplir las políticas de seguridad de la red. Dado que prácticamente no hay problemas de interoperabilidad entre los dispositivos de conexión, la administración de IT puede centrarse en abordar las cuestiones de negocio más críticos.
Por diseño, un sistema sin cliente debe cubrir todos los dispositivos basadosen IP, incorporando a su vez la aplicación de políticas. Brindando así una cobertura más amplia de la red. Cuando se violenta una política, se descubre por ejemplo: el sistema NAC detecta un punto de acceso no autorizados sin cable),la administración de TT es informada inmediatamente y es capaz de responder con eficacia a la amenaza o vulnerabilidad.
Mientras tanto, las amenazas más triviales son automáticamente controladas por el sistema NAC (por ejemplo, las definiciones de antivirus no están actualizados y el usuario está vinculado a la auto-reparación).
Ciertos procesos son controlados en sectores como el caso de los contratistas que acceden aleatoriamente y son confinados a perfiles de bajo riesgo para la red.
Una solución NAC permite asegurar que todos los dispositivos conectados en la red cumplen con las políticas de seguridad, las políticas a su vez varían de empresa a empresa, este es a la postre el mayor reto a lograr, la calidad velocidad y precisión de las reglas de la empresa.
Tal vez uno de los mayores retos al implementar una solución NAC es determinar qué políticas deben ser aplicadas y qué medidas deben adoptarse para hacerlas cumplir.
Continuaremos mostrando otra imagen del control de acceso a redes con la detección de dispositivos.
Podemos inferir que la seguridad en las redes esta condicionada principalmente por las fallas humanas con el ingrediente de procesos burocráticos, esto hace que sea necesario generar nuevos procesos en pos de la seguridad de los datos.
* Para contactarse con el autor escriba al coreo electrónico [email protected]
**Los nombres y empresas son nombres y empresas registrados de sus propias compañías.
Deje su comentario