Control de acceso a la red (NAC)
Seguridad avanzada en el borde para redes empresariales
Los problemas de seguridad que enfrentan las redes empresariales han evolucionado con el tiempo, pasando de centrarse en mitigar ataques externos a reducir las brechas internas y la infiltración de software malicioso. Esta defensa interna exige una gestión más directa de los dispositivos conectados a la red, lo que incrementa la carga de trabajo de los administradores de red. Allied Telesis reduce esta carga y ofrece una solución eficaz para la seguridad interna mediante la integración de tecnología de conmutación avanzada como parte del Control de Acceso a la Red (NAC).
Evolución de la defensa de la red
Durante muchos años, la seguridad de las redes empresariales se centró en la defensa contra amenazas externas. Se instalaron cortafuegos para proteger la red LAN de hackers, gusanos, spammers y otros riesgos de seguridad provenientes de Internet.
Sin embargo, con el crecimiento de la computación móvil y la proliferación de dispositivos con capacidad Ethernet, los ataques originados dentro de la LAN superan ahora a las amenazas externas como principal preocupación de los administradores de red. Por ello, la atención se ha centrado en el “enemigo interno”: los riesgos de seguridad que acechan dentro de la propia red local.
El software malicioso, conocido como malware, puede ingresar a una red a través de empleados, contratistas y visitantes. Computadoras portátiles personales, dispositivos inalámbricos y las siempre populares memorias USB representan vías ideales para que el malware llegue al entorno laboral. Incluso los empleados más cuidadosos pueden introducir malware sin saberlo al utilizar sus dispositivos fuera de la red. Los visitantes y contratistas pueden ser portadores descuidados de malware o, peor aún, estar planificando un ataque malicioso para robar datos o causar interrupciones.
Defensa contra el enemigo interno
Para defender eficazmente la red frente a amenazas internas, los administradores de red necesitan switches LAN seguros que ofrezcan protección contra ataques comunes. También deben implementar políticas que garanticen que cada dispositivo que se conecte a la red sea lo más seguro posible. Esta combinación de switches LAN seguros y políticas antimalware puede resultar muy eficaz.
Los switches de Allied Telesis siempre han ofrecido una amplia gama de mecanismos de defensa para combatir ataques internos. Estos ataques van desde el robo de datos, como el ARP spoofing (suplantación de direcciones ARP), hasta ataques de Denegación de Servicio (DoS), como Tear Drop o Ping of Death. La correcta implementación de estas defensas permite crear una red prácticamente impermeable a la mayoría de los daños que estos ataques pueden causar.
Además, los administradores de red pueden implementar políticas que exijan a los usuarios instalar y mantener escáneres antimalware, así como aplicar los parches de seguridad que vayan publicando los proveedores de sistemas operativos. Sin embargo, esto ha obligado a los administradores a dedicar tiempo a verificar que los usuarios cumplan con dichas políticas, lo que incluso ha generado tensiones contraproducentes entre administradores y usuarios.
La solución es NAC
Aquí es donde el Control de Acceso a la Red (NAC) ofrece una solución. NAC permite a los administradores de red automatizar la aplicación de políticas. En lugar de pedir a los usuarios que se aseguren de que sus dispositivos cumplan con las políticas antimalware, los administradores pueden dejar que la propia red se encargue de ello.
El NAC se ha convertido rápidamente en un requisito fundamental de la industria y es mucho más que una palabra de moda para los profesionales de redes. Ofrece una excelente forma de controlar el acceso a la red mediante la aplicación automática de políticas y de gestionar la seguridad sin una carga administrativa excesiva.
En pocas palabras, NAC permite definir una política de seguridad integral para la red, implementarla en un servidor centralizado y hacer que la red la aplique automáticamente a todos los usuarios. NAC va mucho más allá de la simple autenticación de usuarios, ya que también está diseñado para proteger la red de usuarios y dispositivos que, aunque estén autorizados, puedan representar una amenaza.
El lugar más lógico para que esto ocurra es en el borde de la red, eliminando las amenazas de seguridad antes de que obtengan cualquier tipo de acceso. Una solución NAC, que incluya switches que actúan como puntos de aplicación de políticas, garantiza un enfoque proactivo para la seguridad de la red.
Cómo NAC protege su red
Hoy en día, el acceso a la red para múltiples tipos de dispositivos o usuarios temporales es una expectativa, no una excepción. Los requisitos de las redes empresariales modernas incluyen:
- algún nivel de acceso, sin importar quién seas o dónde estés
- acceso para invitados como subcontratistas, socios y empleados remotos
- control de acceso para una nueva gama de dispositivos conectados, como teléfonos inteligentes, tabletas y cámaras digitales
Los switches LAN de Allied Telesis cumplen con estos nuevos requisitos gracias a sus completas funciones de NAC e integración. Utilizados junto con las herramientas de software adecuadas en el servidor y el cliente, ofrecen un nivel excepcional de control sobre el estado de seguridad de los dispositivos que se conectan a la red. La implementación de NAC de Allied Telesis está basada en los estándares Trusted Network Connect (TCG-TNC) del Trusted Computing Group, lo que garantiza la interoperabilidad con los principales proveedores de software NAC, como Microsoft y Symantec. Esto brinda a los clientes la confianza necesaria para crear una solución NAC integral con proveedores reconocidos.
En el centro del uso de NAC para la seguridad de su red hay tres elementos clave:
- ningún acceso (o muy limitado) sin identificación
- la cuarentena y remediación de dispositivos no conformes
- establecer el nivel de acceso a los recursos de la red según la identidad autenticada del dispositivo
En la práctica, esto significa que cada dispositivo debe identificarse al conectarse y, si corresponde, ser evaluado para comprobar su cumplimiento con las políticas de seguridad. En una red típica, los dispositivos que:
No se puede proporcionar una identidad válida
están completamente excluidos de la red (o, alternativamente, podrían tener acceso restringido a Internet, y nada más).
Se autentican correctamente pero no cumplen con las políticas establecidas
se les da acceso a un proceso de reparación, y nada más.
Se autentican correctamente y se considera que cumplen con las políticas establecidas
se les concede acceso a los recursos de la red que correspondan a su identidad.
Este enfoque por capas para el control de acceso a la red se ilustra en el diagrama.
De este modo, la aplicación de las políticas de seguridad y el control de acceso a los recursos son gestionados por la propia red mediante NAC. El malware no puede dañar la red, ya que nunca se le permite el acceso. Los intrusos no pueden robar información ni causar interrupciones, ya que son bloqueados o restringidos de manera estricta.
Cómo NAC protege su red
Para ofrecer este avance en seguridad de red, las funciones clave incluidas en los switches de Allied Telesis son la triple autenticación, la autenticación con itinerancia, la autenticación en dos pasos y la integración con la infraestructura NAC.
Triple autenticación
La triple autenticación permite a la red identificar todos los dispositivos que se conectan a ella. Puede utilizarse como parte de una solución integral de NAC o de forma independiente, ofreciendo un método de bajo impacto para implementar la seguridad de acceso a la red.
Autenticación con itinerancia
Los usuarios móviles se desplazan de un punto de conexión a otro. Una vez que se les ha concedido acceso, la autenticación con itinerancia de Allied Telesis garantiza que no se vean afectados por la necesidad de volver a autenticarse al moverse por la red.
Autenticación en dos pasos
Los dispositivos y los usuarios pueden autenticarse por separado para prevenir intentos sofisticados de eludir la seguridad.
Integración con la infraestructura NAC
Los equipos de Allied Telesis pueden integrarse como un componente clave en soluciones de NAC a nivel de red.
Triple autenticación: los tres métodos
802.1X Es un protocolo de autenticación altamente seguro que permite el intercambio cifrado de contraseñas y la validación de certificados. El usuario debe ingresar su nombre y contraseña, los cuales se verifican contra una base de datos antes de permitirle el acceso a la red. Es seguro y configurable, pero requiere que el software 802.1X esté integrado y configurado en el dispositivo cliente. No todos los dispositivos que se conectan a la red cuentan con este software instalado o preconfigurado, especialmente en el caso de usuarios visitantes o temporales.
La autenticación Web se proporciona para atender a computadoras que no cuentan con 802.1X o no lo tienen configurado. El switch detecta la actividad de navegación web del cliente y presenta una pantalla de inicio de sesión en el navegador. El usuario no puede avanzar hasta que haya enviado una identidad válida mediante dicha pantalla. Esta autenticación puede realizarse en texto claro, utilizando el protocolo HTTP, o de forma cifrada mediante el protocolo HTTPS
La autenticación MAC es una opción de respaldo que puede utilizarse para dispositivos no interactivos, como impresoras o cámaras web. La dirección MAC del dispositivo ofrece una identidad única que puede usarse para autenticarlo.
Al ofrecer estas tres opciones de autenticación, los switches de Allied Telesis permiten construir una red en la que es posible autenticar todos los dispositivos que se conecten a ella.
Autenticación con itinerancia
Web authentication
Los usuarios de Ethernet inalámbrico son móviles y pueden desplazarse de un punto de acceso a otro. Un usuario puede autenticarse en un switch ubicado detrás de los puntos de acceso. Por defecto, una sesión autenticada se asocia a un puerto específico del switch, lo que puede resultar incómodo para el usuario al tener que volver a autenticarse al moverse entre puntos de acceso conectados a diferentes puertos.
Para resolver este problema, los switches de Allied Telesis permiten que el estado de autenticación se traslade junto con el usuario. Esta función se denomina “autenticación con itinerancia”. Con la autenticación con itinerancia, cuando un usuario se mueve de un puerto a otro, la información de autenticación se transfiere del puerto original al nuevo. De este modo, el usuario no necesita volver a autenticarse, y el cambio de puerto es totalmente transparente.
En este caso, la autenticación con itinerancia para 802.1X o autenticación web permite que un usuario se desconecte de un switch de acceso y se conecte a otro sin necesidad de volver a autenticarse. La autenticación con itinerancia también admite situaciones en las que el usuario está conectado directamente al switch autenticador.
La función de autenticación con itinerancia para puertos desconectados permite que un usuario se desconecte de un puerto en el switch autenticador y se conecte a otro puerto del mismo switch sin necesidad de volver a autenticarse.
Autenticación itinerante en entornos inalámbricos y cableados
En entornos donde no se utiliza autenticación 802.1X en el punto de acceso, la alternativa es emplear la autenticación web en el switch ubicado detrás del punto de acceso. En estos casos, la autenticación con itinerancia resulta especialmente valiosa.
En un entorno cableado, donde se utilizan switches simples con paso transparente de Extensible Authentication Protocol (EAP) en el borde de la red, la autenticación 802.1X o la autenticación web se realiza en el switch con capacidad de autenticación ubicado en la capa de agregación.
Autenticación en dos pasos
Tradicionalmente, la autenticación de acceso a la red ha implicado solo un único método de autenticación. Una vez que un usuario o dispositivo ha sido autorizado mediante autenticación MAC, autenticación web o 802.1X, el proceso de autenticación se considera completo.
Este enfoque de autenticación en un solo paso conlleva posibles riesgos de seguridad:
- Un usuario no autorizado puede acceder a la red utilizando un dispositivo autorizado, por ejemplo, al robar un dispositivo que haya sido autenticado mediante autenticación por MAC.
- Un usuario autorizado puede acceder a la red con un dispositivo no autorizado. Los métodos de autenticación 802.1X y la autenticación web verifican la identidad del usuario, pero no la del dispositivo que utiliza.
Para resolver estos riesgos de seguridad, Allied Telesis ha introducido la "autenticación en dos pasos".
La autenticación en dos pasos consiste en autenticar tanto al usuario como al dispositivo. El cliente (supplicant) solo quedará autenticado si ambos pasos se completan con éxito.
El proceso de la autenticación en dos pasos consiste, literalmente, en que el cliente (supplicant) se autentica dos veces mediante dos métodos diferentes.
Se admiten las siguientes secuencias de autenticación para la autenticación en dos pasos:
- Autenticación por MAC seguida de autenticación 802.1X
- Autenticación por MAC seguida de autenticación 802.1X
- Autenticación 802.1X seguida de autenticación web
Servidores RADIUS por método
Como un nivel adicional de seguridad, Allied Telesis admite el uso de diferentes servidores RADIUS para distintos métodos de autenticación.
Se pueden utilizar diferentes servidores RADIUS para cada uno de los tres métodos de autenticación. Esto permite una separación total de las bases de datos RADIUS empleadas en los métodos de autenticación utilizados en la autenticación en dos pasos.
Gracias a esta separación de bases de datos, un usuario malintencionado no puede eludir la autenticación en dos pasos utilizando la misma combinación de nombre de usuario y contraseña para ambos métodos. El nombre de usuario y la contraseña registrados en un servidor RADIUS para un método de autenticación no deberían estar presentes en el servidor RADIUS utilizado para el segundo método.
Integración con infraestructuras NAC
La integración con NAC permite que los switches actúen como puntos de aplicación de políticas dentro de una infraestructura NAC con proveedores de software de terceros. Específicamente, esto significa que el switch:
- transportar los paquetes que constituyen la interrogación del servidor NAC al dispositivo cliente
- recibir la notificación de la decisión tomada en el punto de decisión y hacerla cumplir
El diagrama ilustra el papel del switch como Punto de Aplicación de Políticas (PEP) en una solución NAC.
El servidor NAC determina el nivel de acceso a la red que puede tener un usuario o las acciones correctivas necesarias para que su computadora u otro dispositivo cumpla con las políticas establecidas. El switch actúa como ejecutor de la política, garantizando la seguridad continua de la red y el acceso adecuado a los recursos. La integración de tecnología de conmutación avanzada en una solución NAC permite aplicar políticas con un alto nivel de detalle, lo que aporta un valor añadido significativo a la infraestructura de NAC.
Una red más segura
En conclusión, la empresa moderna ha experimentado un aumento extraordinario en la convergencia de funcionalidades sobre la red, incorporando voz, video, monitoreo de seguridad y otros servicios, además del acceso tradicional a datos e internet. La necesidad de controlar el acceso a la red y contar con una infraestructura segura es hoy más importante que nunca.
El Control de Acceso a la Red (NAC) puede mitigar las amenazas al combinar el control de acceso con la gestión automatizada del cumplimiento de las políticas de seguridad de los dispositivos conectados a la red. Las funciones avanzadas en el borde de los switches de Allied Telesis garantizan un entorno seguro donde las empresas pueden prosperar.