Agradeciendo en gran manera a Telematica & Linux por sus aporte, con informaciones que nos resultan muy valiosas para los inforedesmaticos esa me la invente ahora, disfruten su blog.
Desde una perspectiva física, en todas las organizaciones hay puntos de acceso por donde las personas autorizadas entran y salen. Las dificultades comienzan cuando esto pasa a un plano lógico, pues los accesos dejan de ser evidentes y sencillos.
Las compañías cuentan con redes cada vez más distribuidas para que los empleados, clientes y proveedores tengan conectividad desde una gran variedad de dispositivos y plataformas. El entorno de la interconexión, por lo tanto, se ha vuelto complejo.
Por si esto fuera poco, a futuro, el aumento de los puntos de acceso expondrá aún más la infraestructura y los activos digitales de las empresas. Al respecto, Alvio Barrios, presidente de Nortel para la región del Caribe y Latinoamérica, comenta enfático: “La tendencia hacia 2010 será que habrá 10 conexiones en promedio por cada usuario, en las redes de comunicación. A esto le denominamos Hyper-Connectivity”.
La respuesta incipiente frente a este ecosistema de conectividad notoriamente más complicado, consiste en un conjunto de iniciativas tecnológicas agrupadas en torno a nuevos modelos de seguridad. Su nombre genérico es: Control de Acceso a la Red (Network Access Control: NAC, por sus siglas en inglés).
El concepto de control de acceso a red abarca cualquier tecnología que permita a las empresas garantizar la imposición de las políticas de seguridad corporativas a los puntos finales conectados a sus redes. Estas políticas de seguridad para puntos finales, pueden exigir, por ejemplo, que los dispositivos tengan completamente actualizados los parches de seguridad o las herramientas antivirus. También pueden haber sido definidas para prevenir la utilización de determinadas aplicaciones, como la compartición de ficheros peer-to-peer (P2P) o la mensajería instantánea. Es decir, determinan el estado y el comportamiento permitido por la empresa a los puntos finales conectados a sus redes.
Las políticas de seguridad NAC en el punto final sólo son verificables mediante el análisis de tales puntos desde el interior de las redes corporativas con vistas a establecer su nivel de conformidad con las normas de seguridad de la empresa. Este proceso implica la toma de medidas sobre el dispositivo que intenta conectarse, como las versiones de ficheros o la suma de verificaciones (checksums), y su posterior contrastación con los valores de referencia definidos por la empresa. Pero también exige, por ejemplo, la continua actualización de firmas y de parches disponibles, y, por tanto, es probable que las bases de datos de valores de referencia cambien casi diariamente. Así pues, aunque el análisis del punto final es la clave de NAC, para el correcto examen de los dispositivos exigirá una considerable infraestructura en las instalaciones corporativas para soportar todos los procesos implicados.
Objetivos generales que persigue NAC
Debido a que NAC representa una categoria emergente de productos de seguridad, su definición se mantiene en evolución, lo que la hace controversial. Los objetivos generales de este conjunto de conceptos pueden dividirse en los siguientes:
- Reducción del riesgo de ataques desconocidos (Mitigation of zero-day attacks): El punto clave de las soluciones de NAC es la habilidad de prevenir el acceso a la red de equipos terminales que no posean software antivirus, parches de seguridad, o software de prevención de instrusión al equipo, evitando así poner en riesgo los demás equipos de la red contra contaminación de gusanos o cualquier otro tipo de virus/código malicioso.
- Ejecución de Políticas de Seguridad (Policy enforcement): Las soluciones de NAC permiten a los administradores de red definir políticas, tales como cuales tipos de computadoras, o cuales perfiles de usuarios deben tener acceso a determinadas áreas de la red, y forzar su ejecución a través de switches, routers y otros dispositivos como los network middleboxes.
- Manejo de Identidad y Acceso (Identity and access management): Mientras las redes IP convencionales ejecutan sus políticas de seguridad y acceso en base a direcciones IP, NAC lo hace basandose en identidades autenticadas, al menos para para equipos terminales de usuarios, tales como laptops y desktops.
Soluciones Actuales de NAC
-C-NAC, DE CISCO
La primera arquitectura en este desfile de soluciones cuenta con unas siglas homónimas que, aunque se escriben igual, cuentan con un significado ligeramente diferente: NAC (Network Admission Control) de Cisco o simplemente, C-NAC.
"C-NAC es un planteamiento estratégico de largo plazo y no una iniciativa que se resuelva con puros appliances o soluciones puntuales, puesto implica todo un esquema de colaboración por desarrollar".
En el caso de un smartphone o una laptop, la solución revisa que el dispositivo móvil a conectarse esté actualizado y tenga instaladas todas las herramientas de seguridad solicitadas por la empresa. Asimismo, incluye control sobre los recursos y sistemas a los que el usuario tiene acceso desde la red.
Actualmente la iniciativa de Cisco beneficia a 2,500 clientes y es apoyada por más de 70 socios certificados, entre los que destacan compañías como Symantec, Intel, CA, IBM, McAfee, Sophos, TrendMicro y Symantec, entre otras. De acuerdo con Infonetics, la vía liderada por C-NAC tiene una participación en el mercado de 47%, mientras que Frost & Sullivan le otorga 45%.
En opinión de Juan Pablo Castro, ingeniero de seguridad de Trend Micro: “C-NAC mejora de forma dramática la seguridad de la red, permitiendo el acceso sólo a aquellos dispositivos como PCs, PDAs y servidores que se ha comprobado cumplen con las políticas de seguridad establecidas”.
- NAP, DE MICROSOFT
La segunda participante en desfilar por la pasarela es NAP (Network Access Protection), una tecnología propietaria desarrollada por Microsoft, que incluye componentes de servidor y de cliente. Lo fuerte en NAP vendrá con la integración Vista y Windows Server 2008. Parches para Windows XP se verán en algunos meses más en el mercado.
De acuerdo con Emiliano Estevez, especialista y consultor certificado, NAP persigue la interoperatividad con otras tecnologías de control de acceso como C-NAC, por lo que provee cumplimiento con IPSec (Internet Protocol Security), IEEE 802.1x, Authenticated Network Connections, VPNs (Virtual Private Networks) y Dynamic Host Configuration Protocol (DHCP).
La razón de esto es simple: Microsoft está al tanto de que una de las labores más arduas de los administradores de TI, lo cual consiste en asegurar que cualquier equipo terminal conectado a la red cumpla con el modelo de seguridad definido por la empresa.
Así que NAP no está pensada para asegurar la red frente a usuarios maliciosos. Se diseñó con el objetivo de auxiliar a los encargados de sistemas a mantener la "higiene" de los dispositivos con sistema operativo Microsoft.
- TNC
La última concursante es TNC (Trusted Network Connect), una iniciativa desarrollada por el Trusted Computing Group (TCG), que pretende consolidar una alternativa frente a las tecnologías propietarias. Su propósito: que cualquier compañía pueda adoptar políticas de seguridad y control de acceso en sus redes.
De acuerdo con el TCG, "las compañías que proporcionan actualmente productos compatibles con las especificaciones TNC incluyen: Extreme Networks, HP ProCurve, Juniper Networks, Meru Networks, OpSwat, Patchlink, Q1 Labs, StillSecure, Wave Systems, General Dynamics, entre otras".
Lo que se busca es desarrollar una alternativa para crear productos compatibles entre sí y con las soluciones ya existentes en el mercado, como el protocolo 802.1x. Pero no sólo eso: en mayo de 2007, TCG y Microsoft anunciaron la interoperabilidad de las arquitecturas TNC y NAP.
Sergio Flores, consultor en control, auditoría y seguridad en IT y miembro de la mesa directiva de ISACA, capítulo ciudad de México, asegura que en TNC se están dedicado a crear estándares globales para que las arquitecturas de resguardo trabajen sobre sistemas abiertos; en tanto que C-NAC es más para dispositivos de red Cisco y NAP para los endpoints.
No obstante, el perito asegura que: "las tres arquitecturas conviven e interactúan en una especie de simbiosis. De hecho, la tendencia a partir de la segunda mitad de 2007 y 2008 es que se conviertan en estándares y permitan crear clientes seguros para las redes".
Conclusión
El control de acceso a red ha pasado por diversas etapas de evolución, desde los primeros tiempos –por otra parte, no muy distantes- de la simple autenticación Web y del escaneo de clientes, hasta su versión actual para la que resultarán determinantes los estándares emergentes de compleja interoperatividad. Pero no cabe duda de que NAC –o cualquier otro nombre que quiera darse a los mecanismos de imposición de políticas de seguridad
sobre los dispositivos de acceso a las redes- está aquí para quedarse.
