Control de acceso a la red—¿Ha evolucionado lo suficiente para las empresas?

La seguridad de la información es un campo que continua creciendo y madurando. En la medida que la tecnología avanza, siempre habrá crecimiento en nuevas técnicas de seguridad y soluciones para ayudar a proteger los datos ante variados ataques. El control de acceso a la red NAC (Network Access Control-NAC), es la técnica para la administración de la red y su seguridad que hace cumplir la política, el cumplimiento y la gestión del control de acceso a una red. También monitoriza y controla la actividad una vez que los dispositivos y/o las personas están en la red.

A través de los años, NAC ha crecido y muchas compañías, tales como Cisco, Trustwave y Bradford Networks, han desarrollado soluciones para ayudar con su evolución. Sin embargo, no todas las organizaciones creen que NAC ha evolucionado para adaptarse a sus necesidades. Mientras NAC es una parte importante de la seguridad de la información y puede ayudar con las violaciones de los datos, ¿está verdaderamente listo para ser utilizado en todas las empresas o necesita ser desarrollado dentro de una solución técnica más usable antes de ser utilizado en todas partes?

Razones para implementar NAC

Las empresas tienen muchas razones para considerar la implementación de NAC. Cuando se trata de control de acceso, ellas necesitan tener un rango amplio de opciones. Pero tal vez la pregunta pertinente es si o no las empresas están incluso dispuesta a utilizar los controles de acceso a la red (NACs). Los NACs puede ser costosos de implementar, pero el costo no debiese ser una excusa para ignorar el hecho que las amenazas están con frecuencia intentando comprometer los sistemas de la Empresa.

Una de las razones más importantes para implementar NAC, son las amenazas asociadas a BYOD (bring your own device-BYOD)¹. Con cada vez más empleados trayendo sus dispositivos al trabajo y utilizándolos para propósitos de trabajo, NAC se ha vuelto más necesario. Existen muchas variedades de dispositivos móviles; algunos de los mejores sistemas operativos son iOS de Apple, Android y Windows. Hay cientos de combinaciones que tienen que ver con el tipo de dispositivo (por ejemplo Smartphone, laptop y tablet) y modelo. Cada uno de estos dispositivos inteligentes ahora vienen con una enorme selección de aplicaciones las cuales pueden ser descargadas a ellos². Hay muchas amenazas posibles, especialmente desde que los dispositivos personales típicamente no tienen soluciones de nivel empresarial para antivirus/antimalware o soluciones de administración de dispositivos móviles (Mobile Device Management-MDM) instalados.

La mayor parte de las soluciones técnicas NAC son capaces de soportar la mayoría de los sistemas operativos que están en el mercado hoy en día. Estas soluciones pueden automáticamente detectar los dispositivos mientras estos se conectan a la red y luego asegurarse que ellos no están comprometiendo la seguridad ya establecida. NAC es muy útil cuando se trata de proteger la integridad de la red, pero también puede ayudar con permitir o denegar el acceso a la red. Directorio Activo (Active Directory) es la mejor opción de implementación para permitir y denegar acceso a la red.

Proveer acceso a la red basado en roles es otra razón para moverse a un escenario NAC.³ Como los profesionales de TI saben, tener que manejar una gran cantidad de permisos de acceso a recursos compartidos en una organización muy grande puede ser una tarea difícil. Una solución de producto NAC puede hacer un poco más llevadero el gestionar todos los permisos que son requeridos para las carpetas compartidas de red así como otros grupos del “active directory”.

Una tercera razón para implementar NAC en una organización, es reducir el riesgo de amenazas persistentes avanzadas APTs (advanced persistent threats-APTs)⁴. NAC no provee ningún tipo de solución para detectar y detener APTs, pero puede detener la fuente atacante obteniendo el origen del acceso a la red⁵. Esto significa que si una cuenta de usuario está causando un ataque, el NAC puede evitar que esa cuenta siga causando más daño si el sistema NAC detecta acciones maliciosas.

Cuando es implementado correctamente, NAC puede ayudar a una organización a sentirse en control de su red y de los dispositivos conectados a ella, especialmente con la gran cantidad y tipos de dispositivos que están siendo usados.

Productos NAC

Los productos NAC Cisco TrustSec, del líder mundial de la industria TI Cisco, simplifica la provisión de acceso a la red. Cisco TrustSec está embebido en la infraestructura Cisco que muchas organizaciones ya utilizan⁶. Esta solución viene con un firewall; la porción NAC viene como un componente separado. Esto permite una administración más fácil de las políticas de seguridad y ayuda a la organización a gestionar los accesos a la red.

La solución NAC de Cisco, ayuda reconociendo a los usuarios que están en la red, así como a los dispositivos y roles. Otra característica de la solución Cisco NAC es que provee acceso a visitas y asegura que el acceso provisto es seguro. Esto es una característica valiosa para cualquiera que esté buscando implementar un sistema NAC.

Otra característica corresponde a que tanto la auditoría como los reportes están habilitados. Esto permite la trazabilidad de quien está en la red así como de asegurar que nadie intenta obtener acceso no autorizado a partes restringidas de la red a las cuales no debiesen tener acceso. Las características que los sistemas NAC de Cisco ofrecen son muy beneficiosas a la mayor parte de las organizaciones que están dispuestas a implementar sistemas NAC.

Hay otras compañías que ofrecen productos NAC que pueden ayudar a las organizaciones a mantener el acceso limitado solo a quienes realmente lo necesitan o basado en el trabajo que necesitan realizar cada día. Trustwave NAC, ofrecido por líder global en servicios de seguridad Trustwave, puede ser desplegado de forma transparente sin un agente. Como la mayoría de los productos NAC, puede ser integrado con “Active Directory”, de modo de determinar con mayor facilidad quienes tienen acceso.

De acuerdo con Trustwave, su solución NAC tiene detección y restricción automática de dispositivos que no estén en cumplimiento, así como una completa protección para todos los puntos finales administrados y no administrados. Esta es una afirmación audaz en lo que refiere a productos NAC⁷. También, Trustwave afirma que puede analizar cada paquete de cada dispositivo. Mientras es posible analizar muchos paquetes, es difícil afirmar que hay una manera para analizar cada paquete que viene a través del NAC.

Existen algunas opciones al implementar el producto de Trustwave, así como se muestra en la figura 1. Al igual que la solución NAC de Cisco, Trustwave ofrece soporte integrado para BYOD. La integración con BYOD de Trustwave ayudará con la identificación de dispositivos, autenticación, categorización y mitigación de amenazas. Trustwave ayuda a las organizaciones a realizar sus decisiones sobre BYOD a través de proveer una comparación lado a lado de sus diferentes opciones. Las soluciones que ofrece son NAC empresarial, un NAC administrado y un NAC conecta y usa (Plug and Play). Cada una de las soluciones tiene sus propios beneficios. La opción Plug-and-Play es un módulo adicional que viene con el servicio administrado de Trustwave unified threat management (UTM). El NAC administrado es similar al NAC empresarial, pero a un costo reducido y que no requiere un gasto mayor. El NAC empresarial provee todas las funciones y características y cuesta más que las otras dos opciones.

Trustwave ofrece numerosos beneficios, pero también presenta algunas grandes afirmaciones las cuales deberían ser revisadas minuciosamente. Los productos NAC de Trustwave, parecen ser muy buenos en lo que hacen, y protegerán la red de la organización sin necesidad de preocuparse de tener agentes.

Tecnologías ForeScout es un proveedor global de monitoreo continuo y soluciones de mitigación. La solución NAC de ForeScout es CounterACT. Esta solución permite a la organización tener visibilidad en tiempo real de personas, dispositivos, sistemas operativos y aplicaciones conectadas a la red. La solución CounterACT es diferente de algunas soluciones dado que no interrumpirá las actividades diarias de los usuarios; se asegurará que las operaciones no sean interrumpidas mientras provee a los usuarios de controles automáticos que ayudarán a preservar la experiencia de usuario⁸.

CounterACT es diferente de algunas soluciones en el Mercado dado que es una solución de “llave en mano”. Todos los componentes de la solución CounterACT están contenidos en una sola máquina virtual o física. Esto significa que su implementación es rápida y fácil. CounterACT también trabaja con la mayoría de los routers, switches y firewalls que están en el mercado hoy en día. Así como el NAC de Trustwave, CounterACT no utiliza agente, lo cual significa que puede identificar, clasificar, autentificar y controlar el acceso a la red para dispositivos, sean estos administrados o no.

CounterACT no es disruptiva; esto significa que puede ser desplegado por fases. Esto permitirá a los usuarios continuar trabajando sin tener que preocuparse sobre perder el acceso a archivos críticos. Una característica útil de CounterACT es la habilidad de decidir que ocurre a los dispositivos que coinciden con ciertos parámetros definidos. Al administrar esos parámetros, existen tres niveles de control posible: alertar y remediar, limitar el acceso, y mover y deshabilitar⁹. Cuando se refiere a alertar y remediar, el sistema alerta cuando detecta un incidente y activa otros sistemas de administración de puntos finales para remediar el asunto. Limitar el acceso despliega un firewall virtual en torno al dispositivo seleccionado y toma acciones para restringir completamente su acceso a la red o lo pone en una red de visitas. La opción más estricta corresponde a mover y deshabilitar, la cual mueve el dispositivo a una VLAN de cuarentena y bloquea el acceso del dispositivo a la red¹⁰. Dado que la solución de ForeScout es una de las más rápidas y fáciles de configurar, implementar e integrar, puede ser considerada como una de las mejores soluciones que puede ser implementada en una red.

Cuando se trata de elegir productos NAC, las empresas debiesen escoger la solución que mejor se ajusta a sus necesidades. Adicionalmente a considerar todos los costos, es mejor no elegir una solución que está diseñada para una red más pequeña.

Ventajas y desventajas de implementar NAC

Hay tanto argumentos a favor como en contra de la implementación de NAC. Algunos argumentos irresistibles muestran que NAC debiese ser instalado en las múltiples redes de una organización, de modo que esas redes puedan tener una protección apropiada contra amenazas inminentes. Uno de los beneficios es que impedirá a actores maliciosos el poder conectarse a la infraestructura de red de la organización. Con empleados y usuarios trayendo sus propios dispositivos al lugar de trabajo, es fácil para ellos traer cables para conectarse a uno de los puertos Ethernet desocupados e intentar ganar acceso a la red. NAC ayudará a prevenir que esto ocurra porque los dispositivos que intenten conectarse a la red no estarán en la lista de dispositivos aprobados o no han sido registrados como dispositivos confiables dentro de NAC.

Otro beneficio de NAC es que hay registros de auditoría que permiten saber si las puertas Ethernet vacías están encendidas o apagadas. Esto puede ayudar a la organización a determinar si hay algunas puertas Ethernet que debiesen ser apagadas para que nadie, erróneamente se conecte a ellas. NAC también debiese permitir la detección de dispositivos que estén conectados a la infraestructura de red y que no debiesen estarlo.

NAC se integra bien con otras soluciones. NAC que no están destinados a ser soluciones independientes; ellos se suponen que deben trabajar en conjunto con firewalls y otras soluciones de seguridad para ayudar a mejorar las medidas generales de seguridad de la organización. NAC son necesarios para ayudar a la organización a ser más segura en lo que respecta a quien tiene acceso y quien debiese no tenerlo. Esto también ayuda a minimizar el número de brechas en la red.

Puede ser difícil encontrar el producto NAC apropiado que mejor se ajuste a la infraestructura de red de la Empresa. NAC han recorrido un largo camino desde donde solían estar, pero esto no significa que todas las empresas están listas para implementarlas en su red. Como la mayoría de las soluciones de software, NAC tiene algunos beneficios y algunos inconvenientes. Es importante tener en cuenta las desventajas al decidir sobre una solución NAC.

Se ha dicho que los controles de seguridad de punto final funcionan sólo cuando menos se necesitan¹¹. Lo que esto significa es que los NAC tienden a funcionar bien cuando se utilizan para controlar laptops y PC de escritorio, pero no tan bien cuando son necesarios para supervisar otros dispositivos/usuarios dentro de la empresa. Otro inconveniente es que, en general, los NACs siempre se preparan para luchar la última guerra, no se preparan para la próxima. Los NACs se enfocan en las amenazas de las semanas anteriores. Si bien esto es beneficioso, no es lo que necesita ocurrir cuando se trata de amenazas de seguridad avanzadas. NACs necesita ser capaz de concentrarse en las amenazas del mañana, además de las amenazas de la semana pasada.

El retorno de la inversión (ROI) en los NACs es una gran incógnita. Aunque podría ser crucial tener NAC en la red, es posible que no entregue el ROI esperado. Poner una NAC en su lugar no es barato; es muy costoso y podría llegar a no valer la pena para algunas organizaciones.

Otra falla: El exceso de información a veces puede sobrecargar un NAC¹². Con un NAC, una organización puede establecer sus propias políticas para cada usuario. Esto podría dar lugar a una gran cantidad de políticas, que con el tiempo produciría una gran cantidad de información innecesaria en el momento o causar que NAC genere alertas falsas.

Otra falla de NAC es que la red sólo puede controlar lo que ve¹³. Con algunas de las soluciones NAC permitiendo a los usuarios acceder a los servidores permitidos, esto causa un enorme agujero en la configuración de NAC. Si cualquier persona puede tener acceso a los servidores, el servidor puede llegar a ser lo que se llama un “punto de partida” que permitirá a los usuarios transitar por la red y acceder a otros objetos de red o recursos.¹⁴ Es fácil acceder a la red cuando se falsifica la dirección MAC de un host. Cuando la MAC es falsificada, le permitirá al usuario atacante ingresar a la red. Las amenazas significativas pueden venir desde el interior o el exterior, porque hay poca o ninguna seguridad física. Sin una seguridad física adecuada, es fácil para cualquiera el acceder a la NAC y perjudicar su funcionamiento. Si no hay un escenario de conmutación por error, es muy probable que la organización vaya a provocar una situación de denegación de servicio (DoS) para sí misma—el mismo tipo de amenaza que la organización está tratando de evitar.

NAC también son difíciles de administrar con un gran número de puertos del commutador (switch), porque es difícil asegurarse de que los puertos del switch están configurados correctamente todo el tiempo. Esto puede ser perjudicial para la red. Es muy importante asegurarse de que, incluso cuando hay muchos puertos, todos ellos están configurados correctamente.

Conclusión

Toda la investigación necesaria debe ser completado para determinar exactamente lo que la red necesita para ser lo más segura posible. Después que la investigación sobre el producto adecuado ha sido llevada a cabo, los pros y los contras pueden ser medidos y así tomar la decisión de si el costo de la NAC es aceptable para la organización. Cisco, Trustwave y ForeScout tienen soluciones NAC que pueden ser beneficiosas a cualquier red; sin embargo, la plena realización de los beneficios depende de que la solución se ajuste a la infraestructura de red actualmente instalada. NACs ayudará a limitar el acceso a los dispositivos y los accesos dados a los usuarios. El acceso es determinado en base a roles de trabajo de los usuarios, lo cual ayuda a garantizar que su acceso a la red de almacenamiento se alinea con lo que necesitan para completar su trabajo, no lo que creen que necesitan. NAC no es un requisito, pero puede ahorrar el daño a la reputación de la organización, honorarios legales y de trabajo adicional requerido después de experimentar una brecha de seguridad.

Notas Finales

¹ Shapland, R.; “Three Reasons to Deploy Network Access Control Products,” TechTarget, 7 April 2015, http://searchsecurity.techtarget.com/feature/Three-reasons-to-deploy-network-access-control-products
² Ibid.
³ Ibid.
⁴ Ibid.
⁵ Boscolo, C.; “How to Implement Network Access Control,” ComputerWeekly.com, November 2008, www.computerweekly.com/opinion/How-to-implement-network-access-control.
⁶ Network Admission Control, Cisco, www.cisco.com/c/en/us/solutions/enterprise-networks/network-admission-control/index.html
⁷ Trustwave Network Access Control, www.trustwave.com/Products/Network-Security-and-Access-Control/Network-Access-Control/
⁸ Network Access Control (NAC), ForeScout, www.forescout.com/solutions/network-access-control/
⁹ Snyder, J.; NAC Deployment: A Five Step Methodology, Opus One, February 2007, www.opus1.com/nac/vendorwhitepapers/opusone_nacdeployment.pdf
¹⁰ Ibid.
¹¹ Snyder, J.; “The Pros and Cons of NAC,” NetworkWorld, 12 June 2006, www.networkworld.com/article/2304152/lan-wan/the-pros-and-cons-of-nac.html
¹² Ibid.
¹³ Ibid.
¹⁴ Ibid.