SOLUCIONES NAC Una solución adaptada a las necesidades del cliente Por Gerardo Buhler, Systems Engineer de Logicalis Chile El despliegue de una solución de NAC en una empresa tiene como objetivo asegurar el cumplimiento en los computadores de los usuarios, de las políticas de seguridad que se asocian a la existencia de un ambiente de red seguro y limpio. A continuación, un detalle del funcionamiento de este mecanismo de autenticación para la red corporativa. Gerardo Buhler, Systems Engineer de Logicalis Chile El control de admisión a la red (NAC) incluye un conjunto de tecnologías y soluciones que utiliza la infraestructura de la red para hacer cumplir la política de seguridad en todos los dispositivos que pretenden acceder a los recursos informáticos de la red, contribuyendo así a reducir el daño causado por las amenazas emergentes contra la seguridad. Una implementación de NAC considera una mezcla de elementos de hardware y software, y generalmente se basa en un conjunto de appliances, como dispositivos de hardware especializados, que se ubican en diversos puntos de la red, de modo de poder realizar la función de control de acceso requerida en donde sea necesario, y bajo diversas modalidades de conectividad. El mecanismo general de funcionamiento consiste en permitirles a los usuarios acceder inicialmente a la red con permisos restringidos, siendo esta restricción a nivel de alguno de estos appliances en capa 4. Lo habitual es que se permita solo acceso a servicios de autenticación contra el dominio o similares. Para poder efectuar el análisis del cumplimiento de políticas en los clientes, lo normal es usar un agente de software que recolecta la información relevante del cliente. En caso » Logicalis Now - Marzo 2011 | 35 SOLUCIONES NAC » de que el usuario no posea en forma previa el agente, es posible redirigir el tráfico web de los usuarios hacia un portal cautivo de autenticación. Después de una autenticación exitosa contra este portal, los usuarios pueden ser obligados a descargar el agente. Como alternativa, los usuarios pueden ser sólo autenticados, y opcionalmente se puede forzar al usuario a aceptar un formulario con términos de uso aceptable de la red. Si el usuario ya tiene instalado el agente en forma previa, se produce el proceso de 36 | Marzo 2011 - Logicalis Now autenticación estándar integrado al dominio de Microsoft, o bien con una base de datos de otro tipo y su respectiva validación de usuario y contraseña. Cuando la autenticación se hace usando las credenciales del usuario en el dominio de Windows, en general este proceso conocido como “single sign-on” resulta ser transparente para el usuario. Una vez que el usuario está autenticado, el agente chequea al cliente por vulnerabilidades conocidas del sistema operativo, versión actualizada del antivirus o antispyware, firmas de estos programas, entre otros. Estos chequeos son mantenidos como conjuntos de reglas en la plataforma de gestión de la solución NAC. Propiedades que definen al agente de software En función de la implementación específica de NAC, el agente de software puede ser configurado para chequear, instalar o actualizar un conjunto predefinido de características en el sistema del usuario. Por ejemplo, el “agente” podría gatillar un proceso de actualización del sistema operativo o del antivirus si detecta que no está acorde a la política vigente de parches o antigüedad de las firmas. » Alcances y requerimientos previos a una implementación de NAC 1. Red de datos Para la operación correcta de una solución NAC, se requiere que exista una VLAN de acceso o autenticación adecuada para los usuarios que aun no han sido autenticados o validados. Para operación fuera de banda, la infraestructura de red debe proporcionar aislamiento lógico en el borde, de modo que la autenticación inicial y tráfico de remediación sea ruteado a los appliance de NAC. Esto es relativamente simple en entornos de capa 2 (usando VLAN), pero se requiere un mecanismo para proveer continuidad a dichos segmentos sobre una red ruteada. Del mismo modo, para implementaciones fuera de banda, la solución requiere que los switches de acceso sean compatibles con la mensajería SNMP necesaria o bien con 802.1x (en función de la marca de la solución NAC), para el cambio de VLAN para los usuarios una vez que sean validados, así como detección de cambios respecto al estado de las puertas y las MAC en dichas puertas. La idea es poder detectar a los usuarios cada vez que se conecten a un switch que forme parte de la solución. 2. Máquinas de cliente Como se ha indicado, una operación óptima de una solución NAC considera el uso de agentes de software especializados en cada máquina de usuario. Aun cuando suele estar disponible el mecanismo de instalación basado en una página web de portal cautivo, esto presenta algunas desventajas: ∞∞ Para instalar al “agente” se requieren permisos de usuario que permitan instalar el software en el cliente o ejecutar un control Java o ActiveX. ∞∞ Pese a que el usuario es invitado a instalar el software, es voluntad de él hacer efectiva la instalación. Si decide no instalarlo, dado que no se validará su postura, no tendrá acceso a la red, lo que incidirá en llamados al Help Desk por problemas de conectividad. Debido a lo anterior, se recomienda la distribución masiva del “agente” mediante mecanismos propios de entorno Microsoft o usando herramientas complementarias. 3. Políticas de seguridad La implementación y configuración de una solución de NAC asume que el cliente cuenta con políticas de seguridad vigentes, puesto que esta tecnología es una herramienta de refuerzo y apoyo al cumplimiento de dichas políticas por parte de los usuarios. Logicalis Now - Marzo 2011 | 37 SOLUCIONES NAC Arquitecturas posibles La solución de NAC puede ser instalada de diversas maneras, según lo que mejor acomode al escenario de cada corporación. Eventualmente, múltiples arquitecturas pueden usarse en una única corporación. La implementación en línea es recomendada para NAC de clientes de acceso inalámbrico y acceso VPN. Por otro lado, la implementación fuera de banda es la recomendada para ambientes de producción cableados de alto rendimiento, como tráfico de producción, post » Una vez que el “agente” examina el sistema, informa al usuario del resultado a través de un mensaje de éxito o bien un mensaje de falla. Estos últimos indican explícitamente al usuario, en español si es deseado, por qué su postura de seguridad fue rechazada, sea por actualizaciones de Windows, antivirus, entre otras razones; y opcionalmente ofrecen instrucciones al cliente respecto a cómo proceder. A cualquier PC que falle durante el chequeo le será negado el acceso general a 38 | Marzo 2011 - Logicalis Now validación, ya que van directamente por la red de datos sin pasar a través del appliance de NAC. Por lo tanto, mientras el modo en línea es compatible con cualquier infraestructura de red, el modo fuera de banda requiere que la solución NAC se comunique con los switches de acceso mediante SNMP, o que interactúe usando 802.1x. la red. Es posible ubicar a los usuarios en cuarentena o remediación, es decir, se le otorgará un acceso limitado en tiempo y recursos de red disponibles para que pueda corregir las deficiencias detectadas. Transcurrido el tiempo definido, si el usuario no ha corregido dichos defectos, es bloqueado en su acceso a la red. Después de esto debe entonces reiniciar el proceso de validación de postura de seguridad. Los sistemas que pasen en forma adecuada el chequeo obtienen acceso a la red de la manera correspondiente a su rol, el cual debe ser acorde a las políticas de seguridad relacionadas con los permisos para los usuarios válidos en la red. Asimismo, de acuerdo a la política de seguridad que esté vigente, es posible requerir reautenticaciones y re-validaciones periódicas. Como también se puede determinar que en el caso de que un usuario se desconecte de la red por un tiempo determinado, se deba repetir el proceso de validación. Host Attempting Network Access Network Access Device Network-Based Enforcement Internet / Intranet IP Quarantine Zone Security Policy Enforcement Security Policy Creation Diagrama de implementación fuera de banda. Modelo de instalación Opciones Soluciones basadas en appliance: Modo de paso o detección del tráfico de usuario - Bridgeado o conmutado (capa 2 del modelo OSI) - Gateway IP real o ruteado (capa 3 del modelo OSI) - Detección de actividad por DHCP o reflejo de switches (port mirroring) Ubicación de los appliance - Centralizado (en datacenter) - Distribuido (por pisos o sucursales) Modelo de flujo del tráfico de usuarios - Dentro de banda (el appliance de NAC está siempre en la línea de tráfico del usuario). También llamada “en línea” - Fuera de banda (el appliance de NAC puede estar en línea con el tráfico del usuario sólo durante la detección, autenticación, validación de postura y remediación) Logicalis Now - Marzo 2011 | 39