Seguridad | Artículos | 01 SEP 2007

Productos NAC "todo en uno"

El pasado mes de abril, Network World, semanario editado por IDG en Estados Unidos, analizó un total de 13 productos NAC “todo en uno” con el objetivo de dar a conocer las principales prestaciones de estas soluciones. Symantec Network Access Control V5.1 fue el que mejores resultados obtuvo.

El control de accesos de red (NAC) está acaparando las mejores artes del marketing, corriendo el peligro de convertirse en un ruido mediático de proporciones épicas del que, en realidad, nadie sepa qué significa realmente. No es de extrañar por tanto que, como ha sucedido en otras áreas de las TI, productos que apenas entran dentro del concepto de NAC se estén vendiendo como componentes integrales de estas tecnologías. Por ello, los usuarios han de conocer exactamente qué pueden esperar de este tipo de soluciones y las distintas opciones disponibles. Este ha sido el objetivo de la evaluación de productos NAC “todo en uno” realizada por IDG en Estados Unidos durante el pasado mes de abril, cuyas principales conclusiones puden servir de guía a la hora de seleccionar soluciones comerciales.
Las pruebas analizaron las características y prestaciones de este tipo de soluciones globales, que proporcionan autenticación, autorización, análisis de seguridad de extremo, reforzamiento de políticas de control de accesos y gestión. En concreto, se probaron un total de 13 productos de los fabricantes Brad-ford Networks, Check Point Software, Cisco, ConSentry Networks, ForeScout Technologies, InfoExpress, Juniper Networks, Lock-down Networks, McAfee, StillSecure, Symantec, Trend Micro y Vernier Networks.
Las pruebas evaluaron las alternativas disponibles para conectarse a la red físicamente, las opciones de autenticación soportadas y cómo cada producto trata la autorización. Aunque el estándar de autenticación 802.1X es hoy un punto clave de las arquitecturas NAC, tambien se tuvieron en cuenta productos que usan otras opciones de autenticación (como, por ejemplo, monitorización inline), porque muchas organizaciones querrán desplegar NAC antes de estar en condiciones de emplear la norma. Y afortunadamente todos los fabricantes analizados ofrecen al menos un enfoque alternativo.
En la evaluación de las prestaciones sobre información del entorno, generalmente conocidas como análisis de seguridad de extremo, se comprobó la efectividad con que cada producto reune datos pertinentes sobre los puntos extremos. Los detalles recogidos van desde información general sobre el equipo cliente a las medidas de seguridad específicas en él instaladas; todos ellos se utilizan para reforzar las políticas.
En cuanto a reforzamiento, se evaluaron las opciones disponibles para tratar sistemas infractores una vez completado el análisis e identificada la política a aplicar. Y en gestión global se comprobaron las herramientas disponibles para hacer un seguimiento del sistema NAC, incluyendo la definición de nuevas políticas, recepción de alertas y generación de informes, todo en una interfaz accesible e intuitiva.
Las buenas noticias son que todos los productos evaluados funcionaron consistentemente tal como prometían: identificaron, autorizaron (o bloquearon, en su caso) y ayudaron a remediar los fallos de los sistemas como sus fabricantes aseguran que lo hacen. Sin embargo, como cada uno toma estas medidas de forma diferente y a distintos niveles, saber qué producto es el mejor para nuestra empresa exige comprender claramente qué áreas de las mejor cubiertas por cada uno son las más críticas para nuestros entornos. Globalmente, la solución de Symantec fue la número uno, aunque otros productos tuvieron un mejor compartamiento en categorías específicas. Lugares muy destacados ocuparon también los productos de ForeScout, Lockdown y Juniper.

Autenticación y autorización
Los tests de autenticación y autorización mostraron que, en su mayor parte, estas soluciones “todos en uno” operan con efectividad de distintas formas. La autorización de accesos a usuarios conocidos e invitados vía LAN convencionales, LAN inalámbricas y conexiones de acceso remoto es una prestación soportada por la mayoría de los productos; los métodos técnicos difieren pero los objetivos son los mismos. También común a la gran mayoría de las soluciones es la integración con directorios estándar, como Active Directory de Microsoft y otros repositorios basados en LDAP (Lightweight Directory Access Protocol), y servidores de autenticación del tipo de RADIUS. Una diferencia clave es que algunos prouctos proveen autenticacion mediante monitorización de tráfico de autenticación (por ejemplo, paquetes de autenticación Kerberos) pasivamente y tomando nota del evento, mientras otros requeiren que el usuario introduzca credenciales activamente. Otra diferencia significativa entre los distintos productos es la información de extremo usada durante los procesos de reforzamiento y autorización. Mientras que algunos refuerzan las políticas en función de la información de usuario, otros garantizan el acceso teniendo sólo en cuenta la información sobre el dispositivo, y unos pocos soportan ambos enfoques.
En este apartado de autenticación y autorización, sobresalieron Juniper, Symantec y Vernier, ofreciendo escenarios de despliegue muy bien integrados con los métodos de conexión previstos (LAN, acceso remoto, invitados y wireless). Asimismo, soportan diferentes tecnologías de autenticación y permiten configurar parámetros de autorización en función de usuario o dispositivo.

Análisis de extremo
Los tests de análisis de puntos extremos evaluaron las opciones disponibles para chequear el cumplimiento de políticas de seguridad, focalizándose en software antivirus, parches de seguridad de Windows, estado del cortafuegos del host, vulnerabilidades del extremo y sistemas infectados activamente. La conclusión es que la mayoría de los productos proveen básica estas funcionalidades, pero con diferencias en la amplitud de la cobertura de estos mecanismos de análisis, la facilidad de configuración, periodos y nivel de detalle de los cheques. La capacidad de los productos para definir chequeos de seguridad personalizados van desde la comprobación de ciertas claves de registro y propiedades de archivo a dispositivos de scripting total.
En este apartado, la solución de Symantec fue excelente, proporcionando la mejor funcion de analisis global. ForeScout también se comportó bien, aportando funciones de análisis adicionales, como detección de anomalías y una plataforma de análisis total de vulnerabilidades.

Refuerzo de políticas
Las características de refuerzo dependen generalmente de la implementación de las soluciones. Por ejemplo, en productos que se enfocan en el control del conmutador de acceso, proporcionan primariamente como mecanismso de refuerzo cambios de LAN virtual (VLAN) y de listas de control de acceso (ACL). Los despliegues inline, por lo general, ofrecieron reglas de cortafuegos para controlar los accesos, aunque algunos además permiten realizar cambios de VLAN median

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios