Cisco NAC Appliance , anteriormente Cisco Clean Access (CCA), fue un sistema de control de admisión a la red (NAC) desarrollado por Cisco Systems diseñado para producir un entorno de red informática seguro y limpio. Originalmente desarrollado por Perfigo y comercializado bajo el nombre de Perfigo SmartEnforcer, este dispositivo de control de admisión a la red analiza los sistemas que intentan acceder a la red y evita que las computadoras vulnerables se unan a la red. El sistema generalmente instala una aplicación conocida como Clean Access Agent en las computadoras que se conectarán a la red. Esta aplicación, junto con un servidor Clean Access y un Clean Access Manager, se ha vuelto común en muchas universidades y entornos corporativos en la actualidad. Es capaz de administrar redes cableadas o inalámbricas en un modo de configuración en banda o fuera de banda , y redes privadas virtuales ( VPN ) en un modo de configuración solo en banda.
Cisco NAC Appliance ya no se fabrica y dejó de venderse a principios de la década de 2010. El soporte general finalizará en 2015. El soporte extendido finalizará en 2018.
Clean Access Agent (abreviatura: CCAA, "Cisco Clean Access Agent") reside en la máquina del cliente, autentica al usuario y escanea en busca de los parches y el software necesarios. Actualmente, la aplicación Clean Access Agent solo está disponible para algunos sistemas operativos Windows y Mac OS X ( Windows 98 , Windows Me , Windows 2000 , Windows XP , Windows XP Media Center Edition , Windows Vista , Windows 7 , Windows 8 y Mac OS X ); [1] la mayoría de los administradores de red permiten que los clientes con sistemas operativos que no sean Windows (como Mac OS 9 , Linux y FreeBSD ) accedan a la red sin ningún control de seguridad (la autenticación sigue siendo necesaria y generalmente se maneja a través de una interfaz web).
Después de autenticarse con éxito a través de una interfaz web, Clean Access Server indicará a los nuevos clientes basados en Windows que descarguen e instalen la aplicación Clean Access Agent (en este momento, los clientes que no estén basados en Windows solo necesitan autenticarse a través de la interfaz web y aceptar los términos de servicio de la red). Una vez instalado, el software Agent requerirá que el usuario vuelva a autenticarse. Una vez autenticado, el software Agent normalmente comprobará la computadora cliente para detectar vulnerabilidades conocidas del sistema operativo Windows que se esté utilizando, así como también para detectar software antivirus y definiciones actualizados. Las comprobaciones se mantienen como una serie de "reglas" en el lado de Clean Access Manager. Clean Access Manager (CAM) se puede configurar para comprobar, instalar o actualizar cualquier cosa en el sistema del usuario. Una vez que la aplicación Agent comprueba el sistema, el Agent informará al usuario del resultado, ya sea con un mensaje de éxito o un mensaje de error. Los mensajes de error informan al usuario sobre qué categoría(s) falló el sistema (actualizaciones de Windows, antivirus, etc.) y le indican cómo proceder.
A cualquier sistema que no supere las comprobaciones se le negará el acceso general a la red y probablemente se lo colocará en una función de cuarentena (la forma exacta en que se maneja un sistema fallido depende completamente de cómo esté configurado Clean Access Manager y puede variar de una red a otra. Por ejemplo: a un sistema fallido se le puede negar simplemente todo el acceso a la red después). A los sistemas en cuarentena se les suele dar una ventana de 60 minutos en la que el usuario puede intentar resolver el motivo o los motivos de la cuarentena. En tal caso, al usuario solo se le permite la conectividad al sitio web de Windows Update y a una serie de proveedores de antivirus ( Symantec , McAfee , Trend Micro , etc.), o se lo puede redirigir a un servidor invitado para su reparación. El resto del tráfico suele estar bloqueado. Una vez que expira la ventana de 60 minutos, se bloquea todo el tráfico de la red. El usuario tiene la opción de volver a autenticarse con Clean Access y continuar el proceso según sea necesario.
Los sistemas que pasan las comprobaciones obtienen acceso a la red según lo definido por el rol asignado en Clean Access Manager. Las configuraciones de Clean Access varían de un sitio a otro. Los servicios de red disponibles también variarán según la configuración de Clean Access y el rol de usuario asignado.
Por lo general, los sistemas deben volver a autenticarse al menos una vez por semana, independientemente de su estado; sin embargo, el administrador de la red puede cambiar esta opción. Además, si un sistema se desconecta de la red durante un período de tiempo determinado (normalmente diez minutos), el usuario tendrá que volver a autenticarse cuando se vuelva a conectar a la red.
Clean Access normalmente comprueba el sistema Windows para ver si hay actualizaciones necesarias consultando el registro del sistema . Un registro dañado puede impedir que un usuario pueda acceder a la red.
El servidor Clean Access Server (CAS) determina el sistema operativo del cliente leyendo la cadena de agente de usuario del navegador después de la autenticación. Si se detecta un sistema Windows, el servidor solicitará al usuario que descargue el Clean Access Agent; en todos los demás sistemas operativos , el inicio de sesión está completo. Para combatir los intentos de falsificar el sistema operativo en uso en el cliente, las versiones más nuevas del servidor y el agente (3.6.0 y posteriores) también investigan el host a través de la identificación de la pila TCP/IP y JavaScript para verificar el sistema operativo de la máquina:
De manera predeterminada, el sistema utiliza la cadena User-Agent del encabezado HTTP para determinar el sistema operativo del cliente. La versión 3.6.0 proporciona opciones de detección adicionales que incluyen el uso de la información de la plataforma de JavaScript o la identificación del sistema operativo del protocolo de enlace TCP/IP para determinar el sistema operativo del cliente. Esta función tiene como objetivo evitar que los usuarios cambien la identificación de sus sistemas operativos cliente mediante la manipulación de la información HTTP . Tenga en cuenta que esta es una técnica de detección "pasiva" que solo inspecciona el protocolo de enlace TCP y no se ve afectada por la presencia de un firewall . [2]
Clean Access Agent hace un uso extensivo del motor de scripts de Windows , versión 5.6. Se demostró que la eliminación o desactivación del motor de scripts en MS Windows evitará y romperá la interrogación de postura del Clean Access Agent, que "fallará al abrirse" y permitirá que los dispositivos se conecten a una red tras la autenticación adecuada. [3]
Si bien la suplantación de direcciones MAC se puede lograr en un entorno inalámbrico mediante el uso de un rastreador para detectar y clonar la dirección MAC de un cliente que ya ha sido autorizado o colocado en un rol de usuario "limpio", no es fácil hacerlo en un entorno cableado, a menos que el servidor de acceso limpio haya sido mal configurado. En una arquitectura y configuración correctas, el servidor de acceso limpio distribuiría subredes y direcciones IP a través de DHCP en su interfaz no confiable utilizando una dirección de red de 30 bits y 2 bits para hosts, por lo tanto, solo se podría colocar un host en cada ámbito/subred DHCP en un momento dado. Esto separa a los usuarios no autorizados entre sí y del resto de la red, y hace que el rastreo cableado sea irrelevante y la suplantación o clonación de direcciones MAC autorizadas sea casi imposible. De hecho, una implementación adecuada y similar en un entorno inalámbrico contribuiría a una instancia más segura de acceso limpio.
Además, la suplantación de direcciones MAC se puede combatir aún más con el uso de temporizadores para dispositivos certificados. Los temporizadores permiten a los administradores borrar la lista de direcciones MAC certificadas de forma periódica y obligar a que se vuelva a autorizar a los dispositivos y usuarios en el servidor Clean Access. Los temporizadores permiten a un administrador borrar dispositivos certificados en función de los roles de usuario, la hora y la fecha, y la antigüedad de la certificación; también está disponible un método escalonado que permite evitar borrar todos los dispositivos a la vez.
Cisco NAC Appliance es conocido por crear interrupciones en las conexiones a Internet de los usuarios, considerando una conexión continua entre un ordenador y un servidor u otro ordenador como una actividad sospechosa. Esto es problemático para las personas que utilizan Skype o cualquier actividad con cámara web, así como para los juegos en línea como World of Warcraft . Con los juegos en línea, las interrupciones creadas por Cisco NAC Appliance hacen que el jugador cierre la sesión del servidor de juegos. Numerosas personas que han experimentado esta forma bastante brusca de seguridad han expresado abiertamente su frustración con este software en foros, así como en Facebook con grupos y publicaciones. [4]