stringtranslate.com

Control de acceso a la red

El control de acceso a la red ( NAC ) es un enfoque de seguridad informática que intenta unificar la tecnología de seguridad de puntos finales (como antivirus, prevención de intrusiones en el host y evaluación de vulnerabilidades), la autenticación de usuarios o sistemas y la aplicación de la seguridad de la red. [1] [2]

Descripción

El control de acceso a la red es una solución de redes informáticas que utiliza un conjunto de protocolos para definir e implementar una política que describe cómo proteger el acceso de los dispositivos a los nodos de la red cuando intentan acceder a la red por primera vez. [3] El control de acceso a la red puede integrar el proceso de remediación automática (reparar los nodos que no cumplen las normas antes de permitir el acceso) en los sistemas de red, lo que permite que la infraestructura de red, como enrutadores, conmutadores y cortafuegos, trabaje junto con los servidores de back office y el equipo informático del usuario final para garantizar que el sistema de información esté funcionando de forma segura antes de permitir la interoperabilidad. Una forma básica de control de acceso a la red es el estándar 802.1X .

El control de acceso a la red tiene como objetivo hacer exactamente lo que su nombre indica: controlar el acceso a una red con políticas, que incluyen controles de políticas de seguridad de puntos finales previos a la admisión y controles posteriores a la admisión sobre dónde pueden ir los usuarios y dispositivos en una red y qué pueden hacer.

Ejemplo

Cuando una computadora se conecta a una red informática, no se le permite acceder a nada a menos que cumpla con una política definida por la empresa; incluido el nivel de protección antivirus, el nivel de actualización del sistema y la configuración. Mientras la computadora está siendo verificada por un agente de software preinstalado, solo puede acceder a los recursos que pueden remediar (resolver o actualizar) cualquier problema. Una vez que se cumple la política, la computadora puede acceder a los recursos de la red y a Internet, dentro de las políticas definidas por el sistema NAC. NAC se utiliza principalmente para verificaciones de estado de los puntos finales, pero a menudo está vinculado al acceso basado en roles. El acceso a la red se otorgará de acuerdo con el perfil de la persona y los resultados de una verificación de estado/postura. Por ejemplo, en una empresa, el departamento de RR. HH. podría acceder solo a los archivos del departamento de RR. HH. si tanto el rol como el punto final cumplen con los mínimos del antivirus.

Objetivos del NAC

NAC es una categoría emergente de productos de seguridad, cuya definición está evolucionando y es controvertida. Los objetivos generales de este concepto se pueden resumir en:

Conceptos

Preadmisión y postadmisión

Existen dos diseños predominantes en NAC, en función de si las políticas se aplican antes o después de que las estaciones terminales obtengan acceso a la red. En el primer caso, llamado NAC previo a la admisión , las estaciones terminales se inspeccionan antes de que se les permita acceder a la red. Un caso de uso típico de NAC previo a la admisión sería evitar que los clientes con firmas antivirus desactualizadas se comuniquen con servidores confidenciales. Por otra parte, el NAC posterior a la admisión toma decisiones de aplicación en función de las acciones de los usuarios, después de que se les haya proporcionado acceso a la red.

Agente versus sin agente

La idea fundamental detrás de NAC es permitir que la red tome decisiones de control de acceso basadas en información sobre los sistemas finales, por lo que la forma en que la red recibe información sobre los sistemas finales es una decisión de diseño clave. Una diferencia clave entre los sistemas NAC es si requieren un software de agente para informar las características del sistema final o si utilizan técnicas de escaneo e inventario de red para discernir esas características de forma remota.

A medida que NAC ha madurado, los desarrolladores de software como Microsoft han adoptado este enfoque y ofrecen su agente de protección de acceso a la red (NAP) como parte de sus versiones de Windows 7, Vista y XP. Sin embargo, a partir de Windows 10, Microsoft ya no admite NAP. También existen agentes compatibles con NAP para Linux y Mac OS X que proporcionan la misma inteligencia para estos sistemas operativos.

Fuera de banda versus en línea

En algunos sistemas fuera de banda, los agentes se distribuyen en estaciones terminales y envían información a una consola central, que a su vez puede controlar conmutadores para hacer cumplir la política. Por el contrario, las soluciones en línea pueden ser soluciones de una sola caja que actúan como cortafuegos internos para redes de capa de acceso y hacen cumplir la política. Las soluciones fuera de banda tienen la ventaja de reutilizar la infraestructura existente; los productos en línea pueden ser más fáciles de implementar en redes nuevas y pueden proporcionar capacidades de cumplimiento de red más avanzadas, porque controlan directamente los paquetes individuales en el cable. Sin embargo, hay productos que no tienen agentes y tienen las ventajas inherentes de una implementación fuera de banda más sencilla y menos riesgosa, pero utilizan técnicas para proporcionar efectividad en línea para dispositivos no compatibles, donde se requiere cumplimiento.

Remediación, cuarentena y portales cautivos

Los operadores de red implementan productos NAC con la expectativa de que a algunos clientes legítimos se les negará el acceso a la red (si los usuarios nunca hubieran tenido niveles de parches desactualizados, NAC sería innecesario). Debido a esto, las soluciones NAC requieren un mecanismo para remediar los problemas de los usuarios finales que les niegan el acceso.

Dos estrategias comunes para la remediación son las redes de cuarentena y los portales cautivos :

Cuarentena
Una red de cuarentena es una red IP restringida que proporciona a los usuarios acceso enrutado solo a ciertos hosts y aplicaciones. La cuarentena se implementa a menudo en términos de asignación de VLAN ; cuando un producto NAC determina que un usuario final está desactualizado, su puerto de conmutación se asigna a una VLAN que se enruta solo para aplicar parches y actualizar servidores, no al resto de la red. Otras soluciones utilizan técnicas de administración de direcciones (como el Protocolo de resolución de direcciones [ARP] o el Protocolo de descubrimiento de vecinos [NDP]) para la cuarentena, lo que evita la sobrecarga de administrar las VLAN de cuarentena.
Portales cautivos
Un portal cautivo intercepta el acceso HTTP a las páginas web y redirige a los usuarios a una aplicación web que proporciona instrucciones y herramientas para actualizar su equipo. Hasta que el equipo pase la inspección automática, no se permite el uso de ninguna red además del portal cautivo. Esto es similar a la forma en que funciona el acceso inalámbrico pago en los puntos de acceso públicos.
Los portales cautivos externos permiten a las organizaciones descargar controladores y conmutadores inalámbricos de los portales web de alojamiento. Un único portal externo alojado por un dispositivo NAC para autenticación inalámbrica y por cable elimina la necesidad de crear varios portales y consolida los procesos de gestión de políticas.

NAC móvil

El uso de NAC en una implementación móvil , donde los trabajadores se conectan a través de varias redes inalámbricas durante la jornada laboral, implica desafíos que no están presentes en un entorno LAN cableado . Cuando a un usuario se le niega el acceso debido a un problema de seguridad , se pierde el uso productivo del dispositivo, lo que puede afectar la capacidad de completar un trabajo o atender a un cliente. Además, la reparación automatizada que toma solo segundos en una conexión por cable puede tardar minutos en una conexión de datos inalámbrica más lenta, lo que ralentiza el dispositivo. [4] Una solución NAC móvil brinda a los administradores de sistemas un mayor control sobre si, cuándo y cómo solucionar el problema de seguridad. [5] Un problema de menor grado, como firmas de antivirus desactualizadas, puede resultar en una simple advertencia para el usuario, mientras que problemas más graves pueden resultar en la cuarentena del dispositivo. [6] Se pueden establecer políticas para que la reparación automatizada, como enviar y aplicar parches y actualizaciones de seguridad, se retenga hasta que el dispositivo esté conectado a través de Wi-Fi o una conexión más rápida, o después del horario laboral. [4] Esto permite a los administradores equilibrar de la manera más adecuada la necesidad de seguridad con el objetivo de mantener a los trabajadores productivos. [6]

Véase también

Referencias

  1. ^ "IEEE 802.1: 802.1X-REV – Revisión de 802.1X-2004 – Control de acceso a red basado en puertos". ieee802.org .
  2. ^ Tutorial: Control de acceso a la red (NAC) Archivado el 28 de noviembre de 2015 en Wayback Machine Mike Fratto, Network Computing, 17 de julio de 2007
  3. ^ Matias, Jon; Garay, Jokin; Mendiola, Alaitz; Toledo, Nerea; Jacob, Eduardo (2014). "FlowNAC: Control de acceso a la red basado en flujo". 2014 Third European Workshop on Software Defined Networks . págs. 79–84. doi :10.1109/EWSDN.2014.39. ISBN 978-1-4799-6919-7. Número de identificación del sujeto  1892809.
  4. ^ ab "Control de acceso a redes móviles: extensión de las políticas de seguridad corporativa a los dispositivos móviles" (PDF) . Archivado desde el original el 5 de octubre de 2011. Consultado el 28 de mayo de 2011 .{{cite web}}: CS1 maint: bot: original URL status unknown (link)
  5. ^ "Módulo de control de acceso a la red" Archivado el 3 de septiembre de 2011 en Wayback Machine
  6. ^ ab "Field Technologies Online". Archivado desde el original el 14 de marzo de 2012. Consultado el 28 de mayo de 2011 .{{cite web}}: CS1 maint: bot: original URL status unknown (link)

Enlaces externos