Los NAC (Network Access Control) son una tecnología que ha existido durante casi dos décadas. Pero una nueva generación de soluciones está ayudando a las organizaciones a mantenerse al día con la superficie de ataque en constante expansión. Estas soluciones brindan no solo dan visibilidad del entorno de red, sino también de aplicación y control dinámico de políticas. Ya sea que los dispositivos se conecten desde dentro o fuera de la red, puede responder automáticamente a dispositivos comprometidos o actividad anómala.

Las soluciones NAC modernas también brindan una visión clara de los activos de la red para respaldar las certificaciones regulatorias (ISO 27001, NIST Cobit y otras). De esta manera, se aseguran las mejores prácticas de seguridad que requieren que las organizaciones establezcan y mantengan un inventario preciso de todos los dispositivos conectados. Lo anterior, incluso, en entornos virtuales donde los activos se conectan y desconectan constantemente de la red. Las capacidades de monitoreo y respuesta son especialmente críticas, ya que muchos dispositivos exponen a los usuarios a un riesgo adicional a través de software comprometido, mal escrito y sin parche, puertas traseras no anunciadas conectadas al firmware y otros factores.

Zero Trust Network Access

NAC es una parte importante de un modelo de seguridad denominado ZTNA, Zero Trust Network Access. Para entender el concepto de ZTNA se debe comprender a que se refiere el modelo de Zero Trust (cero confianzas), que básicamente significa que no se debe “confiar” en nadie desde dentro o fuera de la red. De esta manera, cualquier persona, sistema o dispositivo que desee tener acceso a los recursos de la red, deben ser validados y verificados. Así se garantiza que dichos solicitantes a los recursos sean quien dicen ser, de manera que una vez validados e identificados se pueda otorgar los privilegios de acceso. Estos privilegios deben ser tan granulares como sea posible, ya que esto me va a permitir manejar el principio de mínimo privilegio.

En este modelo la confianza ya no es implícita para usuarios, aplicaciones o dispositivos que intentan acceder a la red.  Los equipos de TI pueden saber fácilmente quién y a qué se está accediendo a la red. De esta manera, se protegen los activos corporativos tanto dentro como fuera de la red.

Razones para implementar NAC

Las empresas tienen muchas razones para considerar la implementación de NAC. Cuando se trata de control de acceso, ellas necesitan tener un rango amplio de opciones. Pero tal vez la pregunta pertinente es si o no las empresas están incluso dispuesta a utilizar los controles de acceso a la red. Los NACs puede ser costosos de implementar, pero el costo no debiese ser una excusa para ignorar el hecho que las amenazas están con frecuencia intentando comprometer los sistemas de la empresa.

• Una de las razones más importantes para implementar NAC, son las amenazas asociadas a BYOD (bring your own device-BYOD).
• Control de quién accede a la red y restricción del número de recursos con los que puede operar.
• Protección de red IP.
• Control del acceso de los usuarios no conocidos o con menos garantías de seguridad, como proveedores, clientes o usuarios remotos.
• Restricción del acceso a información.
• Control de los accesos en función del rol del usuario, hora del día, localización y aplicación.
• Segmentación de usuarios en función del cumplimiento normativo.
• Protección contra programas malignos y virus, conocidos y desconocidos.
• Notificaciones sobre la vigencia y falta de parches sistemas operativos de las máquinas de los usuarios de la red.

Cuando es implementado correctamente, NAC puede ayudar a una organización a sentirse en control de su red y de los dispositivos conectados a ella, especialmente con la gran cantidad y tipos de dispositivos que están siendo usados.

¿Quién necesita NAC?

Cualquiera que quiera comprobar si una máquina o dispositivo cumple con los requisitos corporativos de configuración y seguridad antes de que acceda a la red, y que necesite un mecanismo para restringir el acceso si tal dispositivo viola las políticas de seguridad una vez admitido.

¿Qué consideraciones debo tener para implementar NAC?

Como tal no hay una guía ya que depende de cada solución, pero vamos a tratar de darle las recomendaciones más comunes a tomar en cuenta:

• Revise los requerimientos que cada fabricante tiene para implementar su solución, para escoger la más adecuada a su arquitectura y a su presupuesto
• Tradicionalmente la implementación de NAC requería que tu infraestructura soportará 802.1X, hoy ya hay soluciones en el mercado que ya no lo requieren, tome esto en cuenta
  • El estándar 802.1x es una solución de seguridad ratificada por el IEEE en junio de 2001 que puede autenticar (identificar) a un usuario que quiere acceder a la red (ya sea por cable o inalámbrica). Esto se hace a través del uso de un servidor de autenticación
• Tener visibilidad completa de la red, para poder sacar un inventario completo de los activos que están conectados y donde están conectados (hay soluciones que requieren acceso via ssh, snmp, ntp, active directory, dchp, etc. Para hacerse de ese inventario o bien con la instalación de agentes)
• Preferentemente que la infraestructura de red sea del mismo fabricante, de igual forma esto ya ha cambiado mucho y hay soluciones en el mercado que trabajan independientemente de la tecnología de red que se tenga)
• Tener claras las políticas que serán enforzadas por el NAC
• Contemple que es muy posible que se tengan que instalar agentes para tener una mejor aplicación y políticas
• Los agentes pueden ser un buen complemento si queremos tener hasta un inventario de los aplicativos en cada equipo
• Tradicionalmente NAC solo era para la red interna, hoy día también se toma en cuenta todo acceso remoto.
• Los licenciamientos regularmente van por IP o dispositivo a gestionar (solo los dispositivos que vayan a tener acceso a la red) y cuenta cualquiera PC, smartphone, Tablet, smartwatch, etc