stringtranslate.com

Control de acceso a la red

El control de acceso a la red ( NAC ) es un enfoque de la seguridad informática que intenta unificar la tecnología de seguridad de los terminales (como antivirus, prevención de intrusiones en el host y evaluación de vulnerabilidades), la autenticación de usuarios o sistemas y la aplicación de la seguridad de la red. [1] [2]

Descripción

El control de acceso a la red es una solución de redes informáticas que utiliza un conjunto de protocolos para definir e implementar una política que describe cómo proteger el acceso a los nodos de la red por parte de los dispositivos cuando inicialmente intentan acceder a la red. [3] NAC podría integrar el proceso de reparación automática (arreglar los nodos no conformes antes de permitir el acceso) en los sistemas de red, permitiendo que la infraestructura de la red, como enrutadores, conmutadores y firewalls, trabaje junto con los servidores administrativos y el equipo informático del usuario final para garantizar el sistema de información esté funcionando de forma segura antes de que se permita la interoperabilidad. Una forma básica de NAC es el estándar 802.1X .

El control de acceso a la red tiene como objetivo hacer exactamente lo que su nombre implica: controlar el acceso a una red con políticas, incluidas verificaciones de políticas de seguridad de endpoints previas a la admisión y controles posteriores a la admisión sobre dónde pueden ir los usuarios y dispositivos en una red y qué pueden hacer.

Ejemplo

Cuando una computadora se conecta a una red informática, no se le permite acceder a nada a menos que cumpla con una política definida por la empresa; incluido el nivel de protección antivirus, el nivel de actualización del sistema y la configuración. Mientras un agente de software preinstalado revisa la computadora, solo puede acceder a recursos que pueden remediar (resolver o actualizar) cualquier problema. Una vez que se cumple la política, la computadora puede acceder a los recursos de la red e Internet, dentro de las políticas definidas por el sistema NAC. NAC se utiliza principalmente para comprobaciones del estado de los terminales, pero a menudo está vinculado al acceso basado en roles. El acceso a la red se dará según el perfil de la persona y los resultados de un control postural/de salud. Por ejemplo, en una empresa, el departamento de recursos humanos solo podría acceder a los archivos del departamento de recursos humanos si tanto la función como el punto final cumplen con los mínimos antivirus.

Objetivos del NAC

NAC es una categoría de productos de seguridad emergente, cuya definición está en evolución y es controvertida. Los objetivos generales de este concepto se pueden resumir en:

Conceptos

Pre-ingreso y post-ingreso

Hay dos diseños predominantes en NAC, basados ​​en si las políticas se aplican antes o después de que las estaciones finales obtengan acceso a la red. En el primer caso, llamado NAC previo a la admisión , las estaciones terminales se inspeccionan antes de que se les permita ingresar a la red. Un caso de uso típico de NAC de admisión previa sería evitar que los clientes con firmas antivirus desactualizadas se comuniquen con servidores confidenciales. Alternativamente, el NAC posterior a la admisión toma decisiones de cumplimiento basadas en las acciones de los usuarios, después de que a esos usuarios se les haya proporcionado acceso a la red.

Agente versus sin agente

La idea fundamental detrás de NAC es permitir que la red tome decisiones de control de acceso basadas en inteligencia sobre los sistemas finales, por lo que la manera en que la red está informada sobre los sistemas finales es una decisión de diseño clave. Una diferencia clave entre los sistemas NAC es si requieren software de agente para informar las características del sistema final o si utilizan técnicas de escaneo e inventario de red para discernir esas características de forma remota.

A medida que NAC ha madurado, los desarrolladores de software como Microsoft han adoptado este enfoque, proporcionando su agente de protección de acceso a la red (NAP) como parte de sus versiones de Windows 7, Vista y XP; sin embargo, a partir de Windows 10, Microsoft ya no admite NAP. También existen agentes compatibles con NAP para Linux y Mac OS X que brindan la misma inteligencia para estos sistemas operativos.

Fuera de banda versus en línea

En algunos sistemas fuera de banda, los agentes se distribuyen en estaciones finales y envían información a una consola central, que a su vez puede controlar los conmutadores para hacer cumplir la política. Por el contrario, las soluciones en línea pueden ser soluciones de caja única que actúan como firewalls internos para las redes de capa de acceso y hacen cumplir la política. Las soluciones fuera de banda tienen la ventaja de reutilizar la infraestructura existente; Los productos en línea pueden ser más fáciles de implementar en nuevas redes y pueden proporcionar capacidades de aplicación de red más avanzadas, porque controlan directamente los paquetes individuales en el cable. Sin embargo, hay productos que no tienen agentes y tienen las ventajas inherentes de una implementación fuera de banda más fácil y menos riesgosa, pero utilizan técnicas para brindar efectividad en línea para dispositivos que no cumplen con las normas, donde se requiere cumplimiento.

Portales de remediación, cuarentena y cautivos

Los operadores de red implementan productos NAC con la expectativa de que a algunos clientes legítimos se les niegue el acceso a la red (si los usuarios nunca tuvieran niveles de parches desactualizados, NAC sería innecesario). Debido a esto, las soluciones NAC requieren un mecanismo para solucionar los problemas de los usuarios finales que les niegan el acceso.

Dos estrategias comunes de remediación son las redes de cuarentena y los portales cautivos :

Cuarentena
Una red de cuarentena es una red IP restringida que proporciona a los usuarios acceso enrutado solo a determinados hosts y aplicaciones. La cuarentena suele implementarse en términos de asignación de VLAN ; Cuando un producto NAC determina que un usuario final está desactualizado, su puerto de conmutador se asigna a una VLAN que se enruta solo para parchear y actualizar servidores, no al resto de la red. Otras soluciones utilizan técnicas de administración de direcciones (como el Protocolo de resolución de direcciones (ARP) o el Protocolo de descubrimiento de vecinos (NDP)) para la cuarentena, evitando la sobrecarga de administrar las VLAN en cuarentena.
Portales cautivos
Un portal cautivo intercepta el acceso HTTP a páginas web y redirige a los usuarios a una aplicación web que proporciona instrucciones y herramientas para actualizar su computadora. Hasta que su computadora pase la inspección automatizada, no se permite ningún uso de la red además del portal cautivo. Esto es similar a la forma en que funciona el acceso inalámbrico pago en los puntos de acceso público.
Los portales cautivos externos permiten a las organizaciones descargar controladores y conmutadores inalámbricos de los portales web de alojamiento. Un único portal externo alojado en un dispositivo NAC para autenticación inalámbrica y por cable elimina la necesidad de crear múltiples portales y consolida los procesos de gestión de políticas.

NAC móvil

El uso de NAC en una implementación móvil , donde los trabajadores se conectan a través de varias redes inalámbricas durante la jornada laboral, implica desafíos que no están presentes en un entorno de LAN cableada . Cuando a un usuario se le niega el acceso debido a un problema de seguridad , se pierde el uso productivo del dispositivo, lo que puede afectar la capacidad de completar un trabajo o atender a un cliente. Además, la reparación automatizada que tarda sólo unos segundos en una conexión por cable puede tardar minutos en una conexión de datos inalámbrica más lenta, lo que atasca el dispositivo. [4] Una solución NAC móvil brinda a los administradores de sistemas un mayor control sobre si, cuándo y cómo remediar el problema de seguridad. [5] Una preocupación de menor grado, como firmas antivirus desactualizadas, puede resultar en una simple advertencia al usuario, mientras que problemas más graves pueden resultar en la puesta en cuarentena del dispositivo. [6] Se pueden establecer políticas para que la reparación automatizada, como la implementación y aplicación de parches y actualizaciones de seguridad, se retenga hasta que el dispositivo esté conectado a través de una conexión Wi-Fi o más rápida, o después del horario laboral. [4] Esto permite a los administradores equilibrar de forma más adecuada la necesidad de seguridad con el objetivo de mantener productivos a los trabajadores. [6]

Ver también

Referencias

  1. ^ "IEEE 802.1: 802.1X-REV - Revisión de 802.1X-2004 - Control de acceso a la red basado en puertos". ieee802.org .
  2. ^ Tutorial: Control de acceso a la red (NAC) Archivado el 28 de noviembre de 2015 en Wayback Machine Mike Fratto, Network Computing, 17 de julio de 2007
  3. ^ Matías, Jon; Garay, Jokin; Mendiola, Alaitz; Toledo, Nerea; Jacobo, Eduardo (2014). "FlowNAC: control de acceso a la red basado en flujo". 2014 Tercer Taller Europeo sobre Redes Definidas por Software . págs. 79–84. doi :10.1109/EWSDN.2014.39. ISBN 978-1-4799-6919-7. S2CID  1892809.
  4. ^ ab "Control de acceso a redes móviles: ampliación de las políticas de seguridad corporativa a dispositivos móviles" (PDF) . Archivado desde el original el 5 de octubre de 2011 . Consultado el 28 de mayo de 2011 .{{cite web}}: CS1 maint: bot: original URL status unknown (link)
  5. ^ "Módulo de control de acceso a la red" Archivado el 3 de septiembre de 2011 en la Wayback Machine.
  6. ^ ab "Tecnologías de campo en línea". Archivado desde el original el 14 de marzo de 2012 . Consultado el 28 de mayo de 2011 .{{cite web}}: CS1 maint: bot: original URL status unknown (link)

enlaces externos