NAC
Las preguntas más candentes
A pesar de la gran popularidad que las tecnologías NAC (Network Access Control) han alcanzando en los dos últimos años, aún habrá de pasar algún tiempo para que se conviertan en un componente estándar de la seguridad corporativa. No obstante, muestran signos elocuentes de crecimiento. Según Infonetics, los principales fabricantes de este segmento prevén vender alrededor de 630 millones de dólares en dispositivos de reforzamiento NAC en 2010. Los que ya hayan decidido internarse a corto o medio plazo en este nuevo mundo deberían empezar dando respuesta a algunas de las cuestiones más relevantes relacionadas con esta tecnología de seguridad, teniendo en cuenta además las principales tendencias que hoy mueven NAC.
¿Quién necesita NAC?
En pocas palabras, se podría decir que cualquiera que quiera comprobar si una máquina o dispositivo cumple con los requisitos corporativos de configuración antes de que acceda a la red y/o poder restringir el acceso si tal dispositivo viola las políticas de seguridad una vez admitido. Que una máquina pase el análisis de su estado no significa que esté libre de infecciones que podrían dañar la red, pero ayuda a reducir el número de oportunidades de que eso ocurra. Este es el motivo porque NAC haya sido más popular primero en sectores como el de enseñanza o sanidad, dado que estas organizaciones disponen de un elevado número de usuarios finales con dispositivos móviles que entran y salen continuamente de sus redes. NAC ayuda a garantizar que tales dispositivos han mantenido un estado de seguridad “sano” mientras estaban desconectados.
La primera tarea de NAC es decidir a qué clientes se autoriza a acceder y permanecer en la red. Los criterios para tomar estas decisiones pueden variar ampliamente, en función de múltiples parámetros de la máquina cliente, como disponer de un software antivirus debidamente actualizado, un sistema operativo con los parches adecuados o un cortafuegos configurado apropiadamente, por citar sólo algunos. El objetivo es prevenir que los dispositivos que hayan sido contaminados en otras redes accedan a la red corporativa. Los dispositivos móviles y los utilizados por visitantes o socios comerciales que acceden a los recursos de la empresa son buenos ejemplos de clientes potencialmente peligrosos.
NAC puede también volver a ejecutar periódicamente los chequeos de seguridad mientras los clientes permanecen conectados a la red para cerciorarse de su buen comportamiento. Asimismo, algunos equipos comprueban si los dispositivos intentan explotar recursos no autorizados, restringiendo el acceso cuando violan las políticas.
Pese a sus ventajas, la adopción de NAC está lejos de ser agresiva, ni en número de despliegues ni en sus primeras aplicaciones en los negocios. Según Nemertes Research, en la mayoría de los casos, el uso del control de accesos se limita a las conexiones VPN; sólo una minoría emplea hoy NAC en las LAN corporativas. Un estudio realizado por la consultora hace algo menos de un año concluye que sólo alrededor del 14% de los entrevistados chequeaban en los puntos extremos los parches del sistema operativo y las aplicaciones; la presencia de cortafuegos, antivirus o antispyware; dispositivos USB conectados; y contraseñas. Sin embargo, un 60% desearía poder disponer, al menos, de chequeo de cortafuegos, antivirus y antispyware. Al 40% le gustaría además disponer de chequeo de sistema operativo y contraseñas. Y menos de un tercio deseaba chequear la actualización de las aplicaciones.
¿Ayuda a mantener el cumplimiento normativo?
No hay que engañarse. Por sí solo, NAC no ayuda a cumplir con la normativa sectorial y general. Sin embargo, puede ser útil como parte de un plan de cumplimiento más amplio, ya que informa sobre quién usa qué recursos y cuándo. Para Yankee Group, las funciones de auditoría de las soluciones NAC permiten averiguar qué usuarios han accedido a un determinado archivo, sirviendo para demostrar, por ejemplo, que un empleado ha estado viendo una determinada información no pertinente para su rol en la empresa. Ahora bien, ser capaces de saber quién accede a determinados datos no significa que esa información estaba protegida contra usos inadecuados. Otras tecnologías han de tratar esa cuestión. Lo que sí puede hacer NAC es reducir el número de usuarios que consiguen llegar a los recursos críticos, restringiendo el acceso, aunque, eso sí, no evitará que esa clase de datos salgan de la red de la organización.
En el cumplimiento normativo, el control de accesos también es útil al asociar a un usuario con una máquina y un método de acceso con propósitos de autenticación. Así, por ejemplo, un usuario que se está autenticando desde la LAN podrá obtener mayores derechos de acceso, al conectarse desde una máquina gestionada por la empresa, que si lo hiciera desde un portátil corporativo mediante una conexión VPN. Si el mismo usuario intenta conectarse a la red con un ordenador no gestionado por la empresa a través de Internet, el acceso podría incluso ser rechazado.
¿Es necesario esperar a ver qué hace Microsoft?
Probablemente, no. Las empresas que ya tienen clara la necesidad de utilizar NAC perderían meses esperando a disponer de la apuesta completa de Microsoft en este campo. El servidor de políticas Network Access Protection (NAP) será suministrado con Windows Server 2008, y, si bien su lanzamiento está previsto para finales de febrero, llevará tiempo conseguir integrar el componente NAP del cliente de sobremesa y Windows Server 2008 con una infraestructura de reforzamiento. El esquema NAP permite reforzamiento vía gateways VPN, conmutadores con soporte de 802.1X y asignación de DHCP, y cada uno de ellos requerirá su propia configuración. Por otra parte, dado el tiempo que tarda una nueva versión de software en estabilizarse, sus primeros usuarios se ven obligados a probarlo en sus entornos antes de desplegarlo.
Lo cierto es que Microsoft coopera tanto con Cisco como con Trusted Computing Group (TCG) para lograr el entendimiento de NAP con los respectivos esquemas de control de accesos de ambos. Además, a primeros de 2007, Microsoft publicó el protocolo utilizado por su agente NAP para transmitir información sobre el estado de los puntos extremos al servidor de políticas NAC, encargado de tomar las decisiones de acceso de los dispositivos. Así, el resto de fabricantes puede utilizar el agente NAP –una parte estándar del cliente de Vista– junto con sus propios servidores de políticas. Una posibilidad que Juniper demostró públicamente hace ahora casi un año, aunque no la ha incluido aún comercialmente en su arquitectura de control de accesos, denominada Unified Access Control (UAC). Algo que demuestra que incluso los aliados de Microsoft se están tomando con cierta calma la interoperatividad con NAP.
¿Y a lo que haga Cisco?
Realmente, no es necesario seguir esperando porque, dependiendo de lo que se pretenda conseguir con NAC, es probable que Cisco ya lo tenga. Y si no lo ofrece aún, tampoco hay necesidad de esperar porque se puede obtener de otros fabricantes.
Cisco proporciona un dispositivo NAC que chequea los clientes antes de acceder a la red sólo en cuanto a la actualización de su antivirus y de sus parches. Una limitación que justifica las críticas que recibe por todo lo que no puede hacer, como ef
¿Quién necesita NAC?
En pocas palabras, se podría decir que cualquiera que quiera comprobar si una máquina o dispositivo cumple con los requisitos corporativos de configuración antes de que acceda a la red y/o poder restringir el acceso si tal dispositivo viola las políticas de seguridad una vez admitido. Que una máquina pase el análisis de su estado no significa que esté libre de infecciones que podrían dañar la red, pero ayuda a reducir el número de oportunidades de que eso ocurra. Este es el motivo porque NAC haya sido más popular primero en sectores como el de enseñanza o sanidad, dado que estas organizaciones disponen de un elevado número de usuarios finales con dispositivos móviles que entran y salen continuamente de sus redes. NAC ayuda a garantizar que tales dispositivos han mantenido un estado de seguridad “sano” mientras estaban desconectados.
La primera tarea de NAC es decidir a qué clientes se autoriza a acceder y permanecer en la red. Los criterios para tomar estas decisiones pueden variar ampliamente, en función de múltiples parámetros de la máquina cliente, como disponer de un software antivirus debidamente actualizado, un sistema operativo con los parches adecuados o un cortafuegos configurado apropiadamente, por citar sólo algunos. El objetivo es prevenir que los dispositivos que hayan sido contaminados en otras redes accedan a la red corporativa. Los dispositivos móviles y los utilizados por visitantes o socios comerciales que acceden a los recursos de la empresa son buenos ejemplos de clientes potencialmente peligrosos.
NAC puede también volver a ejecutar periódicamente los chequeos de seguridad mientras los clientes permanecen conectados a la red para cerciorarse de su buen comportamiento. Asimismo, algunos equipos comprueban si los dispositivos intentan explotar recursos no autorizados, restringiendo el acceso cuando violan las políticas.
Pese a sus ventajas, la adopción de NAC está lejos de ser agresiva, ni en número de despliegues ni en sus primeras aplicaciones en los negocios. Según Nemertes Research, en la mayoría de los casos, el uso del control de accesos se limita a las conexiones VPN; sólo una minoría emplea hoy NAC en las LAN corporativas. Un estudio realizado por la consultora hace algo menos de un año concluye que sólo alrededor del 14% de los entrevistados chequeaban en los puntos extremos los parches del sistema operativo y las aplicaciones; la presencia de cortafuegos, antivirus o antispyware; dispositivos USB conectados; y contraseñas. Sin embargo, un 60% desearía poder disponer, al menos, de chequeo de cortafuegos, antivirus y antispyware. Al 40% le gustaría además disponer de chequeo de sistema operativo y contraseñas. Y menos de un tercio deseaba chequear la actualización de las aplicaciones.
¿Ayuda a mantener el cumplimiento normativo?
No hay que engañarse. Por sí solo, NAC no ayuda a cumplir con la normativa sectorial y general. Sin embargo, puede ser útil como parte de un plan de cumplimiento más amplio, ya que informa sobre quién usa qué recursos y cuándo. Para Yankee Group, las funciones de auditoría de las soluciones NAC permiten averiguar qué usuarios han accedido a un determinado archivo, sirviendo para demostrar, por ejemplo, que un empleado ha estado viendo una determinada información no pertinente para su rol en la empresa. Ahora bien, ser capaces de saber quién accede a determinados datos no significa que esa información estaba protegida contra usos inadecuados. Otras tecnologías han de tratar esa cuestión. Lo que sí puede hacer NAC es reducir el número de usuarios que consiguen llegar a los recursos críticos, restringiendo el acceso, aunque, eso sí, no evitará que esa clase de datos salgan de la red de la organización.
En el cumplimiento normativo, el control de accesos también es útil al asociar a un usuario con una máquina y un método de acceso con propósitos de autenticación. Así, por ejemplo, un usuario que se está autenticando desde la LAN podrá obtener mayores derechos de acceso, al conectarse desde una máquina gestionada por la empresa, que si lo hiciera desde un portátil corporativo mediante una conexión VPN. Si el mismo usuario intenta conectarse a la red con un ordenador no gestionado por la empresa a través de Internet, el acceso podría incluso ser rechazado.
¿Es necesario esperar a ver qué hace Microsoft?
Probablemente, no. Las empresas que ya tienen clara la necesidad de utilizar NAC perderían meses esperando a disponer de la apuesta completa de Microsoft en este campo. El servidor de políticas Network Access Protection (NAP) será suministrado con Windows Server 2008, y, si bien su lanzamiento está previsto para finales de febrero, llevará tiempo conseguir integrar el componente NAP del cliente de sobremesa y Windows Server 2008 con una infraestructura de reforzamiento. El esquema NAP permite reforzamiento vía gateways VPN, conmutadores con soporte de 802.1X y asignación de DHCP, y cada uno de ellos requerirá su propia configuración. Por otra parte, dado el tiempo que tarda una nueva versión de software en estabilizarse, sus primeros usuarios se ven obligados a probarlo en sus entornos antes de desplegarlo.
Lo cierto es que Microsoft coopera tanto con Cisco como con Trusted Computing Group (TCG) para lograr el entendimiento de NAP con los respectivos esquemas de control de accesos de ambos. Además, a primeros de 2007, Microsoft publicó el protocolo utilizado por su agente NAP para transmitir información sobre el estado de los puntos extremos al servidor de políticas NAC, encargado de tomar las decisiones de acceso de los dispositivos. Así, el resto de fabricantes puede utilizar el agente NAP –una parte estándar del cliente de Vista– junto con sus propios servidores de políticas. Una posibilidad que Juniper demostró públicamente hace ahora casi un año, aunque no la ha incluido aún comercialmente en su arquitectura de control de accesos, denominada Unified Access Control (UAC). Algo que demuestra que incluso los aliados de Microsoft se están tomando con cierta calma la interoperatividad con NAP.
¿Y a lo que haga Cisco?
Realmente, no es necesario seguir esperando porque, dependiendo de lo que se pretenda conseguir con NAC, es probable que Cisco ya lo tenga. Y si no lo ofrece aún, tampoco hay necesidad de esperar porque se puede obtener de otros fabricantes.
Cisco proporciona un dispositivo NAC que chequea los clientes antes de acceder a la red sólo en cuanto a la actualización de su antivirus y de sus parches. Una limitación que justifica las críticas que recibe por todo lo que no puede hacer, como ef
