Home  >  Segurança

Tudo o que você precisa saber sobre NAC

Como escolher a configuração correta para sua empresa quando o assunto é controle de acesso à rede.

Computerworld

22/06/2007 às 9h05

Foto:

No cenário atual com roubo de dados, vírus e regulamentações, é vital incorporar tecnologia de controle de acesso à rede, também chamada de network access control. Mas não é fácil definir o tipo de NAC. Esta reportagem visa esclarecer os pontos básicos para ajudar você a descobrir qual configuração é correta para cada ambiente.

O NAC está estreitamente ligado aos processos de negócio de uma empresa. Muitos hot spots sem fio em restaurantes, por exemplo, empregam sistemas de NAC básicos que exigem que os usuários concordem com uma política de uso para permitir a conexão.

Esta forma simples de NAC funciona porque o restaurante está oferecendo um serviço de rede simples – acesso à Internet – como um benefício relacionado à visita ao estabelecimento. Entretanto, este modelo não é aplicável em outros ambientes.

Para descobrir qual tipo de abordagem NAC é a certa para sua rede, é preciso preencher dois pré-requisitos. O primeiro é entender quais as soluções disponíveis, o que fazem, como fazem e como se integram à rede. O segundo está em ter uma política corporativa clara e aplicável para acesso e segurança. Os sistemas NAC não criam políticas, eles as aplicam.

Conhecendo o NAC
Para obter acesso à rede, em geral, é preciso passar por pelo menos um dentre três tipos de avaliação. O primeiro apenas exige que os usuários concordem com uma política de uso antes da conexão. A identidade do usuário e o status da máquina não têm influência sobre a concessão ou não do acesso.

O segundo tipo de teste valida a identidade do usuário e o terceiro, a situação da máquina. Estes dois raramente são usados para autorizar totalmente o acesso. Quando um teste que valida a identidade do usuário é empregado, diferentes níveis de acesso podem ser concedidos. Nos extremos, acesso total para administradores ou uso limitado de aplicações para usuários ‘convidados’.

A situação da máquina é avaliada perante a política de segurança estabelecida. Se a política determina que uma máquina Windows tenha atualizações para sistema operacional, a conexão é restrita até que os patches sejam instalados. Feito corretamente, esse passo reduz drasticamente os danos causados por worms e vírus.

Esta conectividade limitada é chamada de “estado de quarentena”. Para planejar a implementação de NAC é preciso utilizar os métodos de quarentena, suas limitações e a relação deles com a infra-estrutura da rede.

Métodos de quarentena
Os métodos manuais de quarentena têm usado listas de controle de acesso em roteadores e switches. Do ponto de vista da arquitetura da rede, demandam uma implementação inline (ou in-band). Quando inline, os métodos de NAC automatizam a gestão de controle de acesso.

Outra abordagem envolve designar LANs virtuais para separar as máquinas em quarentena da rede corporativa. Um método relativamente simples é usar Dynamic Host Configuration Protocol para designar um cliente para redes diferentes.
Em infra-estruturas mais sofisticadas, um sistema NAC pode configurar as portas para uma máquina ser membro de determinada VLAN.

Por padrão, todas as portas de switches na rede protegidas por NAC são designadas para a VLAN em quarentena com acesso limitado. Quando o sistema NAC detecta que os requisitos foram satisfeitos, instrui o switch a mudar a porta.
Há também o método de envenenamento de Address Resolution Protocol (ARP), que emula um ambiente inline manipulando a tabela ARP do cliente.

No entanto, há riscos para cada método. Com o método DHCP, um usuário final pode atribuir à sua máquina um endereço público válido, driblando a quarentena. O envenenamento do ARP pode ser driblado com a criação de uma entrada ARP manual para o gateway. Mas a maioria dos sistemas NAC tem medidas defensivas para estas táticas.

Credenciais do usuário
A verificação da identidade do usuário é um componente crítico de sistemas NAC. É aconselhável empregar outros métodos para restringir o acesso além de colocar a máquina como convidada.

Em um ambiente de autenticação simples, um NAC pode consultar um servidor RADIUS para determinar se um usuário está autorizado a ter acesso total à intranet e à internet.

Em ambientes mais complicados, nos quais gerentes acessam sistemas de ERP e administradores de rede acessam servidores, a opção está nas políticas de credenciais do usuário. Ao interfacear com servidores Active Directory ou Lightweight Directory Access Protocol (LDAP), o tipo de função do usuário pode ditar o nível de acesso.

Da perspectiva do usuário, a autenticação pode ser feita de várias maneiras. A mais simples é baseada na web, via um navegador. Qualquer que seja a URL solicitada, o browser abre uma página de autenticação em NAC.

Situação da máquina
A maior parte das implementações NAC conta com algum método de avaliação de vulnerabilidades em estação cliente para avaliar a situação da máquina e fortalecê-la conforme as políticas da empresa.

Existem três tipos básicos de avaliação: externa, interna e de transporte. A avaliação externa envolve um servidor central varrendo a máquina cliente.
Uma avaliação interna envolve instalar na máquina um agente que, além de lidar com autenticação, realiza verificações designadas no cliente e reporta os resultados para os sistemas NAC.

Analisar dados de transporte é um método mais reativo. Tal qual um IPS (Intrusion Prevention System), os sistemas NAC varrem tráfego da rede e procuram definições maliciosas conhecidas. Uma máquina que antes tinha acesso pleno, mas depois foi infectada, tem acesso negado.

Opções open source
Certamente, algumas das raízes básicas de NAC podem estar em iniciativas open source. Embora a tecnologia NAC esteja estabelecida no mercado comercial, uma opção open source pode ser ideal dependendo das necessidades.

Em geral, os sistemas comerciais têm mais recursos do que as contrapartidas open source e têm suporte maior. Mas isso não é regra.

Implementar sistemas NAC open source exige paciência e, no mínimo, habilidades competentes de administrador Linux. Tais implementações normalmente são apoiadas em outros pacotes open source, mas têm documentação limitada.

Por que adotar open source, então? Se existe uma solução assim com os recursos de que você precisa e os aspectos técnicos não são aterrorizantes, o custo de implementação é substancialmente menor. Embora não esteja sempre disponível suporte convencional do fornecedor, em alguns casos terceiros fornecem suporte e os próprios desenvolvedores estão disponíveis para dúvidas.

Resultado
A questão não é se você precisa ou não de tecnologia NAC na sua rede, mas que tipo de sistema funciona melhor para seu caso específico. A preocupação com a segurança e a privacidade dos recursos de rede nunca foi tão grande e NAC veio para ficar. O modo como você implementar a tecnologia, entretanto, poderá pagar dividendos silenciosos ou gerar perdas conhecidas.

Tags

Deixe uma resposta