La seguridad de las redes es hoy día un tema relativamente fácil de gestionar con tecnologías maduras. El perímetro de la red estaba bien definido y acotado y proteger el perímetro era sinónimo de proteger a la red. Hoy día, sin embargo, este perímetro se ha ido difuminando por la movilidad del usuario, el alza del teletrabajo y la externalización de servicios.
En realidad el problema es análogo a controlar quién entra y sale de nuestra casa: debemos proteger nuestros objetos de valor y también nuestro espacio. Si la casa no tiene puertas, cualquiera podrá entrar y salir sin control alguno. Por ello, los cortafuegos, que son como las puertas de la casa, son necesarios pero no suficientes.
Hay nuevas amenazas que son capaces de atravesar cortafuegos de múltiples maneras, y por ello se hace imprescindible controlar el estado del PC del usuario final tanto para garantizar la salubridad del propio Endpoint como para evitar que contagie a otros puestos, colapse la red o se roben datos.
NAC -Network Access Control o Control de Acceso a Red- es una solución para este problema, en el que el entorno de la red se difumina y se extiende debido a la movilidad. La idea es autenticar máquinas, y/o usuarios para permitir el acceso a red. Sólo podrán tener acceso quienes tengan credenciales. (Es algo análogo a poner cerraduras en las puertas: para que sólo entren quienes tengan llave).
Las primeras soluciones NAC -a las que llamaremos NAC 1.0- se centran en impedir el acceso a red a quienes no estén autorizados. Es una buena idea pero como veremos, no es suficiente ni adecuada en todos los casos. La cuestión es: ¿Es NAC 1.0 realmente eficaz y viable tanto para el negocio como para el IT en el día a día? Veamos una a una las distintas implementaciones de NAC 1.0 que hay en el mercado:
1. IPS: (Intrusion Prevention System): Son sondas de red que analizan comportamientos de tráfico anómalos. Han sido útiles mientras las amenazas se han mantenido con un comportamiento previsible. En la actualidad el malware cuida mucho la apariencia de su comportamiento para mimetizarse con el de aplicaciones legítimas, por lo que los IPS son ineficaces.
2. Appliances de red: Se trata de máquinas que filtran el tráfico de red entre usuarios y el troncal. Es un buen enfoque aunque tiene flecos:
1. El tráfico del malware comienza a ser cifrado casi siempre, por lo que un appliance que analice el tráfico, es incapaz de identificar muchos de estos flujos dañinos.
2. El despliegue de appliances de red obliga a modificar la propia red, y esto es muchas veces un problema en sí mismo debido a:
A. Los appliances se convierten en puntos únicos de fallo por los que debe pasar el tráfico de red, y penalizan también el rendimiento: Baja la calidad de servicio.
B. Para escalar la solución hacen falta balanceadores y appliances en cada segmento de red y ubicación física con un coste en hardware y consumo energético.
C. Electrónica de red: El punto débil de delegar el NAC en la electrónica de red exclusivamente es que no hay forma de gestionar una política de seguridad. Además es inflexible: O sí se permite o se impide el acceso a red.
D. Frameworks NAC: Los Frameworks originales de NAC, (Microsoft NAP, Cisco NAC o TNC) ofrecen estándares de operación muy básicos. Un fallo crítico en todos estos sistemas es que todos ellos necesitan software anti-malware para poder informar del propio estado del PC, y en el caso de que el propio anti-malware tenga un problema nos quedamos sin NAC. Estos sistemas tampoco detectan software Peer2Peer o spyware en los PCs. Son una buena aproximación pero incompletos.
Hacia NAC 2.0
Nuestro enfoque se basa en que la mejor forma de controlar lo que sucede en la red es reforzar NAC 1.0, construyendo un sistema con componentes en los servidores de acceso, en la electrónica de red y además, en los propios dispositivos que deseamos proteger: con un agente en los PCs ya que de esta manera el ordenador se evalúa automáticamente antes, durante y tras su conexión a la red.
NAC 1.0 valida el estado de un ordenador sólo en el instante de su conexión a la red. Una vez validado, se mantendría el acceso a red aunque el usuario desinstalara su antivirus (con lo que seguramente incumpla la política de seguridad). Con un NAC 2.0, podremos asegurar que el PC tiene antivirus instalado y activado en todo momento (al hacer login y después). Un NAC 2.0 podría aislarlo de la red de producción si el usuario desactivara el antivirus y volver a admitirlo en el momento en que vuelva a activarlo, o forzar su activación automáticamente.
Con NAC 2.0 se tiene control total del estado del puesto de trabajo porque hay un software en el puesto y así es posible comprobar qué software está instalado, en ejecución y es también posible tomar acciones correctivas (como ordenar la descarga e instalación de parches, etc.) en caso de incumplimiento de la política.
NAC 2.0 tiene un grado mucho más fino de control y de política de seguridad: ya que estar en red, o no estarlo (lo que hace NAC 1.0) es un poco limitado: La vida es en color y no en blanco y negro. NAC 2.0 permite flexibilidad manteniendo la política de seguridad: puede ubicar a un PC en diferentes redes (de invitados, de producción, de remediación, etc.) en función del estado del PC en cada instante.
Un PC puede no cumplir la política de seguridad en muchos grados, y algunos de ellos pueden aconsejarnos, efectivamente, impedirles el acceso a red, pero algunos otros simplemente, pueden suponer restricciones de acceso a aplicaciones o recursos muy concretos y limitados, de forma que no entorpecemos el funcionamiento del negocio con una política demasiado estricta, y tampoco tenemos por qué tener una política demasiado permisiva para -precisamente- posibilitar la correcta y buena operación del negocio, tal y como sucede a menudo en muchas rganizaciones.
En resumen, NAC 2.0 unifica en una única solución, el control de acceso a red, del estado del puesto de trabajo y de cumplimiento de las políticas de seguridad sin entorpecer la agilidad y buena salud del negocio. La implementación software de NAC; es para nosotros la solución al problema: Por ser realista, fácil y más barata que cualquier otra.
