NAC-CONTROL DE ACCESO A LA

RED.

Control de acceso a red (del ingls Network Access Control, NAC) es un

enfoque de la seguridad en redes de computadoras que intenta unificar
la tecnologa de seguridad en los equipos finales (tales como antivirus,
prevencin de intrusin en hosts, informes de vulnerabilidades), usuario
o sistema de autenticacin y reforzar la seguridad de la red de acceso.

QUE ES NAC

El control de acceso a la red es un concepto de ordenador en red y

conjunto de protocolos usados para definir como asegurar los nodos de
la red antes de que estos accedan a la red.

NAC puede integrar el proceso de remedio automtico (corrigiendo

nodos que no cumplen las normativas antes de permitirles acceso) en el
sistema de red, permitiendo a la infraestructura de red como routers,
switches y firewalls trabajar en conjunto con el back office y el
equipamiento informtico del usuario final para asegurar que el sistema
de informacin est operando de manera segura antes de permitir el
acceso a la red.

QUE HACE NAC

La primera tarea de NAC es decidir a qu clientes se autoriza a

acceder y permanecer en la red.

Los criterios para tomar estas decisiones pueden variar

ampliamente, en funcin de mltiples parmetros de la mquina
cliente, como disponer de un software antivirus debidamente
actualizado, un sistema operativo con los parches adecuados o un
cortafuegos configurado apropiadamente, por citar slo algunos.

MAQUINAS
En pocas palabras, se podra decir

que cualquiera que quiera

Que una mquina pase el anlisis
comprobar si una mquina o
de su estado no significa que est
dispositivo cumple con los
libre de infecciones que podran
requisitos corporativos de
daar la red, pero ayuda a reducir
configuracin antes de que acceda
el nmero de oportunidades de
a la red y/o poder restringir el
que eso ocurra.
acceso si tal dispositivo viola las
polticas de seguridad una vez
admitido.

 OBJETIVO DE CONTROL DE ACCESO A LA

RED
El objetivo del control de acceso a red es realizar exactamente lo que su nombre
implica: control de acceso a la red con polticas, incluyendo pre-admisin, chequeo
de polticas de seguridad en el usuario final y controles post-admisin sobre los
recursos a los que pueden acceder en la red los usuarios y dispositivos y que
pueden hacer en ella.

OTROS OBJETIVOS
El control de acceso a red (NAC) representa una categora
emergente en productos de seguridad, su definicin es
controvertida y est en constante evolucin. Los objetivos
principales de este concepto se pueden resumir en:

Mitigar ataques de da cero

El propsito clave de una solucin NAC es la habilidad de
prevenir en los equipos finales la falta de antivirus, parches, o
software de prevencin de intrusin de hosts y acceder as a la
red poniendo en riesgo a otros equipos de contaminacin y
expansin de gusanos informticos.

PREVENCIONES
El objetivo es prevenir que los dispositivos que hayan
sido contaminados en otras redes accedan a la red
corporativa.
Los dispositivos mviles y los utilizados por visitantes o
socios comerciales que acceden a los recursos de la
empresa son buenos ejemplos de clientes
potencialmente peligrosos.
NAC puede tambin volver a ejecutar peridicamente los
chequeos de seguridad mientras los clientes permanecen
conectados a la red para cerciorarse de su buen
comportamiento.

REFUERZO DE POLTICAS
Las soluciones NAC permiten a los operadores de red definir
polticas, tales como tipos de ordenadores o roles de usuarios con
acceso permitido a ciertas reas de la red, y forzarlos en switches y
routers.

Administracin de acceso e identidad

Donde las redes IPs convencionales refuerzan las polticas de acceso
con base en direcciones IP, los dispositivos NAC lo realizan
basndose en rio identidades de usuarios autenticados, al menos
para usuarios finales de equipos porttiles y sobremesa.

CONCEPTOS
Pre-admisin y Post-admisin. Existen dos filosofas de diseo

predominantes en NAC, basadas en polticas de refuerzo antes de ganar

acceso a la red o despus de hacerlo. En el primer caso denominado
NAC de pre-admisin, las estaciones finales son inspeccionadas antes de
permitirles el acceso a la red.

La Pre-Admisin en NAC se encuentra en las siguientes

soluciones:
Microsoft NAP
Cisco NAC
Mobile NAC
IPSec VPN
SSL VPN

ESTRATEGIAS
Existen dos estrategias de implantacin de NAC basndonos en
dnde se introduce el control de acceso a la red, as que uno debe
decidir cul de las dos se ajusta ms a las caractersticas y
particularidades de la organisacion.
Control en el permetro (Edge control): introduce el control de

acceso a la red en el exterior, es decir en el punto donde se

conectan los sistemas a sta, por ejemplo en el switch de una LAN, o
en un concentrador VPN.
Control central (Core control): el control de acceso se puede

implantar en cualquier punto de acceso a la red, por ejemplo, a

travs de un dispositivo que se coloca en medio de la red por el que
pasa el trfico de los equipos cuyo acceso se quiere analizar.

CON AGENTE VS SIN AGENTE.

La idea fundamental de la tecnologa NAC es permitir a

la red tomar decisiones de control de acceso basadas en

inteligencia sobre los sistemas finales, por lo que la
manera en que la red es informada sobre los sistemas
finales es una decisin de diseo clave.

CUMPLIMIENTO NORMATIVO
No hay que engaarse. Por s solo, NAC no ayuda a cumplir con la

normativa sectorial y general. Sin embargo, puede ser til como

parte de un plan de cumplimiento ms amplio, ya que informa sobre
quin usa qu recursos y cundo.

Lo que s puede hacer NAC es reducir el nmero de usuarios que

consiguen llegar a los recursos crticos, restringiendo el acceso,
aunque, eso s, no evitar que esa clase de datos salgan de la red de
la organizacin.

EMPRESAS
Las empresas que ya tienen clara la necesidad de utilizar NAC

perderan meses esperando a disponer de la apuesta completa de

Microsoft en este campo.

El servidor de polticas Network Access Proteccin (NAP) ser

suministrado con Windows Server 2008, y, si bien su lanzamiento
est previsto para finales de febrero, llevar tiempo conseguir
integrar el componente NAP del cliente de sobremesa y Windows
Server 2008 con una infraestructura de reforzamiento.

EL FENMENO BYOD
El fenmeno BYOD (Bring Your Own Device) en el que los

empleados utilizan sus propios dispositivos (tabletas, porttiles,

smartphones) para acceder a los recursos corporativos est
acelerando la adopcin de las tecnologas NAC para autenticar al
dispositivo y al usuario.

EXISTEN UNA SERIE DE FASES

COMO:
Deteccin: es la deteccin del intento de conexin fsica o

inalmbrica a los recursos de red reconociendo si el mismo es un

dispositivo autorizado o no.
Cumplimiento: es la verificacin de que el dispositivo cumple con
los requisitos de seguridad establecidos como por ejemplo
dispositivo autorizado, ubicacin, usuario, antivirus actualizado.
Cuando un dispositivo no cumple los requerimientos se puede
rechazar la conexin o bien mandarlo a un portal cautivo
Cuarentena.
Remediacin: es la modificacin lgica de dichos requisitos en el
dispositivo que intenta conectarse a la red corporativa.
Aceptacin: es la entrada del dispositivo a los recursos de red en
funcin del perfil del usuario y los permisos correspondientes a su
perfil que residen en un servicio de directorio.
Persistencia: es la vigilancia durante toda la conexin para evitar
la vulneracin de las polticas asignadas.

ALGUNAS SOLUCIONES
Solucin, cuarentena y portal cautivo.
Los administradores de sistemas y redes despliegan productos NAC
con la esperanza de que a algunos clientes legtimos se les denegar
el acceso a la red.

(si los usuarios nunca tuvieron antivirus desactualizados y sus

sistemas estn siempre actualizados, NAC no sera necesario). Por
ello las soluciones NAC requieren de un mecanismo para remediar el
problema del usuario final que le ha sido denegado el acceso a la red.

SOLUCIONES
Las soluciones NAC son diferentes pero pueden ser
clasificadas en dos grupos.
Clienless no necesita de ningn software instalado en los
dispositivos.
Client-based un componente de software es preinstalado
en los dispositivos para poder asistir al proceso de NAC.
Existe un numero de factores para decidir cual tipo de
solucin es la mas adecuada dependiendo de cmo esta
formada la organizacin, NAC basado en cliente provee
mas detalle del dispositivo pero
tambin hay que tener en cuanta que requiere su instalacin
equipo por equipo.