CARGANDO

Escribe para buscar

NAC, controlando la red

Un vistazo a la red

En el contexto de las grandes empresas con un número elevado de equipos y sistemas en su parque tecnológico, administrar y mantener unos niveles de seguridad aceptables resulta una tarea complicada.

Con la finalidad de ayudar en el control de acceso a la red nacieron los dispositivos NAC o Network Access Control. Un elemento muy importante dentro de la estructura ZTNA de la que ya hablamos.

¿Qué es un NAC?

Un NAC es una herramienta de administración y control de acceso a la red. A muy grandes rasgos, un sistema capaz de decidir quién accede y quien no a la red corporativa según una serie de requisitos técnicos.

Estos sistemas pueden darse en dos sabores, en un appliance físico que se instala (normalmente) en un CPD. Y por otro lado, también está disponible como una o varias máquinas virtuales (ya sea en cloud u on-premise) instalable en un entorno virtual.

¿Cómo funciona?

Desde una perspectiva muy general, el funcionamiento del NAC es simple, evaluar un dispositivo antes de acceder a la red. De esta forma, puede determinar si el activo puede acceder a los recursos en base a unos requisitos previos como antivirus instalado, actualizaciones, aplicaciones específicas, pertenencia a dominio, etc.

Para conseguir esta finalidad los sistemas NAC disponen de varias vías. Una de ellas trata un pequeño agente en las máquinas previamente instalado, o que es instalado en el momento de la conexión de forma “disoluble”. Este agente hace comprobaciones y proporciona un resultado a la consola central.

Una vez hecho el primer análisis y cuando la consola tiene un resultado y veredicto, el activo entra o no en la red. Para hacer esto, los dispositivos NAC “hablan” con gran parte de la infraestructura de la red (switches, routers, firewalls, etc.). Dependiendo del fabricante esto lo pueden hacer mediante protocolos como SNMP o 802.1x, comunicando los cambios a los switches y haciendo cambios de VLAN, por ejemplo.

NAC como central de control

Como se ha comentado anteriormente, los sistemas NAC “hablan” con la infraestructura de red. De esta forma, mediante diferentes conectores o protocolos, pueden hacer consultas, realizar cambios, informar, etc.

Estos dispositivos son piezas muy transversales a muchas otras tecnologías que pueden controlar mediante las políticas que queramos implementar. Por estas razones, suelen ser dispositivos bastante intrusivos dentro de la organización y con un despliegue complejo.

Pongamos un ejemplo

En nuestra organización tenemos un dispositivo NAC configurado para el control a la red y configurado para comunicarse con diferentes elementos internos. Partiendo de esa premisa, tenemos una usuaria que acaba de volver de baja, ha sido mami, muchas felicidades!! 😉. Obviamente, no ha tenido tiempo de aplicar los sepetecientos millones de actualizaciones que salen cada mes, y claro, al malhumorado equipo de ciberseguridad corporativa no le hace mucha gracia…

La usuaria entra a la oficina y conecta su portátil a la red, pero extrañamente sucede algo que no era muy normal antes, su equipo no puede acceder a los recursos en red. Además, ha empezado a girar el ventilador del portátil muy rápido, parece que va a despegar! ¿Qué está sucediendo?

Bien, antes de que la usuaria levante el teléfono para llamar al CAU, el NAC ha empezado a funcionar. Al conectar el equipo a la red cableada (o wifi), se ha incluido dicho equipo en una red aislada sin acceso a la red corporativa. En esta red, el NAC (por medio de complementos) ha analizado el equipo y para su acceso a la red corporativa se tiene que cumplir que,

  • El equipo debe tener los parches de seguridad de Microsoft (u otros). Por lo que habla con SCCM para que obligue a su instalación.
  • El software antimalware debe estar actualizado. Le dice a la consola central que actualice la aplicación asap.
  • El equipo debe tener la aplicación interna X por requisito de IT. Se obliga su instalación.
  • Las políticas corporativas no se cumplen y habla con el dominio para aplicarlas.
  • El equipo tiene un certificado de máquina caducado. Se genera uno nuevo y se distribuye.
  • Etc etc etc….

Una vez que el equipo cumpla con la política impuesta en el NAC, este le dirá al switch en red que se cambien de VLAN y le permita acceder a la red corporativa y no antes.

Como se aprecia, puede llegar a ser un sistema muy intrusivo con gran potencial. Es una pieza muy importante dentro de la red, pero también es un elemento complicado de configurar.
close

Ah, hola 👋
Un placer conocerte.

Veo que te gusta la tecnología, ¿quieres que te mandemos una newsletter semanal?.

¡No enviamos spam!. yo también lo odio a muerte!.

Tags:

2 Comentarios

  1. Narf septiembre 30, 2021

    ¡Hola, Dani! ¿Qué tal estás? Muy bueno el artículo, tal como dices tiene un gran potencial enorme. Me surgen algunas preguntas sobre ello, ya que me ha dado mucha curiosidad.

    En el caso de que hubiese una intrusión por parte de alguien externo a la empresa, supongo que no podría entrar ni tan siquiera en la red aislada, ¿no? ¿Para esos casos, sería buena práctica añadir un honeypot?

    La otra pregunta, es un poco sobre el tema de la configuración, si suele hacerse mediante algún script para dejarlo preparado, o por lo general llevan una o varias interfaces o es una mezcla de todo. ¿Qué tal experiencia con ellos?

    Muchas gracias por tu tiempo, Dani y muchas gracias a Sys Beards por brindarte este espacio y darnos tan buen contenido.

    ¡Un abrazo!

    Narf

    Responder
    1. Daniel Consentini octubre 12, 2021

      Muy buenas Narf!! Que tal todo?? Me alegra mucho verte por aquí!! 🙂
      Primero mil disculpas por el retraso en responderte, esta siendo complicado sacar tiempo últimamente.

      En relación a tus fantásticas preguntas, trato de darte una respuesta. En el caso de la red aislada que comentábamos, el NAC no limita, si no que es el firewall en este caso quien impone las restricciones de acceso. Lo que hace el NAC normalmente es cambiar de red aquel equipo que no este correcto. Por ejemplo, tu eres un atacante y decides entrar en la organización sysbeards conectándote a la wifi de nuestro local imaginario. En este punto lo que entrarías es a una red aislada por nuestro firewall corporativo, seguidamente el NAC analizaría quien eres y, si cumples la política de nuestra empresa, te cambiaria de red a otra que no estuviera aislada. Pero la función que tendría aquí el NAC seria únicamente mover tu equipo de red. (Aun así, existen algunas integraciones de NAC que permiten cambiar las reglas de firewall y modificar los accesos)

      Los NAC son muy muy interesantes pero también complicados de instalar/configurar. Mas que nada por ser muy intrusivos en los equipos/red. Hay varias alternativas en su configuración, la mas habitual y genérica a muchos fabricantes es mediante 802.1x. Además se suele incluir un pequeño agente en la propia máquina. El protocolo 802.1x quizá es mas conocido en redes wifi, pero en entornos cableados su misión es parecida, autenticar y/o verificar el usuario y dispositivo. Adicionalmente, con la inclusión de un agente en la máquina se realizan las labores de escaneo y seguridad que se hayan configurado (antivirus actualizado, actualizaciones al día, software correcto, etc.)

      Espero que te resuelva algo, si no, sigue preguntando 😉

      Responder

Deja un Comentario

Your email address will not be published. Required fields are marked *