¿Son las NAC un riesgo para la salud de la red?

Un seminario, celebrado durante la última conferencia RSA, y que respondía al título 'Control de Acceso de Redes (NAC): Los Gigantes de la Industria Debaten el Futuro' fue, tal vez, el pistoletazo de salida a uno de los litigios más candentes de la actualidad. Un debate en el que Cisco Systems alardeaba de haber instalado más de 1.500 clientes NAC; Microsoft afirmaba que la implementación de seguridad IP es fácil de realizar; y el Trusted Computing Group se quejaba de la laboriosa tarea que implica la creación de estándares interoperables NAC.

Más que una charla amigable, este encuentro no hizo sino evidenciar que cada una de estas empresas no quiere más que promocionar sus respectivos marcos NAC para comprobar la autenticación, bien a través de procedimientos basados en red o bien mediante software, de cualquier dispositivo conectado a la red, en las medianas y grandes empresas.

Normalmente, los entornos NAC utilizan una combinación de tecnologías de red con algún tipo de inteligencia, instalado en los extremos, políticas administrativas, y datos de identidad y localización como base de los privilegios de acceso. En términos reales, esta 'inteligencia' podría traducirse en interrogantes como: el sistema, ¿intenta acceder a alguna parte de la organización? ¿Están actualizadas las soluciones antivirus? ¿Está activado el cortafuegos? ¿Se ha parcheado correctamente el sistema operativo? ¿Están disponibles y completamente parcheadas las aplicaciones? ¿Se puede comprobar la ausencia de malware?

Normalmente, el mismo dispositivo proporciona algunas de estas respuestas, con tal sólo conectarse. Esta autenticación se realiza por un dispositivo que forma parte de la infraestructura de red con el derecho de desconectar cualquier acceso que no cumpla los mínimos requisitos. Pero la configuración de las respuestas a estas preguntas en un formato que se pueda entender, logar y verificar por máquinas controladas por la organización, no resulta una tarea fácil.

Por otra parte, existe un conflicto entre tecnologías basadas en estándares y métodos que pueden ser o no ser estándar y que interoperan o no con el cliente.

eWEEK Labs asistió a una mesa redonda sobre este tema, en la que estaban presentes algunos de los nombres más relevantes en de mercado: Cisco, Microsoft y Trusted Computing Group.

Los delegados de las compañías fueron: Russell Rice, director de Producto de Cisco; Kjaja Ahmed, arquitecto de Windows Networking Security; y Steve Hanna, ingeniero de Juniper Networks, en representación del Trusted Computing Group.

A pesar de todo lo que se ha dicho sobre NAC, el marco de control de acceso de redes sigue siendo un entorno inmaduro y poco probado. Lawrence Orans, analista de Gartner y moderador de la mesa redonda, lo expresaba de forma contundente al afirmar que los entornos se encuentran tan poco desarrollados que Microsoft no dispondrá de NAP (protección de acceso de redes) hasta la introducción de la nueva plataforma Windows Server, prevista para la segunda mitad del año. Orans también añadió que no sabe de ningún usuario que haya implementado una solución NAC, basándose en las propuestas del Trusted Computing Group.

Lo cierto es que, aunque los participantes de la mesa redonda no consiguieron ponerse de acuerdo sobre los principios de NAC, la mesa sirvió, al menos, para que algunas ideas de gran interés salieran a la luz. Por ejemplo, el hecho de que la tecnología NAC impide que los sistemas ineficientes de la organización se conecten a la red de la empresa, restringiendo así el acceso de los invitados únicamente a las aplicaciones y los recursos básicos como, por ejemplo, Internet.

Esta tecnología también comprueba la conexión de dispositivos (portátiles, PCs, PDAs e impresoras) en los puntos extremos para asegurar la actualización de parches de sistema. Asimismo, la tecnología sirve para comprobar la existencia en los dispositivos de aplicaciones no admitidas.

NAC en la práctica

Los administradores de redes, aplicaciones y seguridad que desean evaluar una solución NAC han de tener muy claras las razones de semejante despliegue, antes de valorar los productos de cualquier proveedor.

Asimismo, deberán entender que las soluciones NAC forman parte de una categoría de productos que, en principio, necesitan ser desplegados, en primer lugar, en un entorno de TI controlado, y solamente después de haber hecho esto, pueden extenderse al resto de los usuarios de la organización. De hecho, un despliegue en fases es la mejor manera de implementar una tecnología NAC. Los equipos TI han de ser inventariados por orden de importancia, asegurando la protección preliminar de los servidores, las redes y aplicaciones más sensibles.

Un despliegue por fases permite a los administradores de TI analizar y comprender el funcionamiento crítico de NAC, evitando una avalancha de llamadas al centro de asistencia de usuarios cuando no consiguen conectarse. El cumplimiento de políticas de acceso significa que cuando una conexión se deniega por un fallo de inspección, los dispositivos de toda la red se bloquean, salvo en el área de la VLAN o el sitio Web. En estos casos, los usuarios pueden solucionar los problemas más comunes como las firmas de los antivirus no actualizadas o cómo acceder a información para eliminar software no permitido, como spyware o aplicaciones P2P. Una vez encontrada la solución, los usuarios deberían obtener la autorización y volver a acceder a la red. Este proceso de prevención, solución y reintento ha de funcionar sin ningún problema, antes de abordar el despliegue de la solución NAC en una red.

Al igual que en cualquier otra evaluación de tecnología, los responsables de TI deberán tener en cuenta el futuro y asegurarse de que la solución les será útil, al menos durante los próximos tres años. En el caso de NAC, parece ser que quien marcará su futuro es el protocolo o estándar 802.1x. Normalmente, DHCP es el primer mecanismo utilizado en una implementación NAC, donde una petición de dirección IP activa una comprobación del dispositivo, en un punto extremo. El protocolo 802.1x proporciona una manera de verificar comunicaciones autorizadas en la red, pero también puede suponer una implementación compleja, especialmente, en dispositivos como las impresoras, que no disponen de capacidades 802.1x. La mayoría de los asistentes a la mesa coincidió en que el cumplimiento de DHCP es el primer paso de una implementación NAC, y en que los responsables de TI de una empresa deberán considerar una hoja de ruta de actualización que incluya el despliegue de 802.1x, para así robustecer la red.

La NAP de Microsoft se incluirá en las diferentes versiones de los sistemas operativos Windows con la IPSec incorporada, método preferido por Microsoft para dar seguridad a las comunicaciones. Kjaja Ahmed, de Microsoft, explicó en este sentido que la facilidad de una implementación IPSec es el factor clave. Pero Steve Hanna, de Trusted Computing Group, no dudó en señalar lo que seguramente estaba en las mentes del resto de asistentes: que la implementación de IPSec deja mucho que desear.