Network Access Control

5 de Março de 2009 às 12:28:14 por João Nóbrega

Os produtos de Network Access Control (NAC) começaram como gestores de controlo da admissão que autenticavam os utilizadores e asseguravam que os seus sistemas cumpriam as politicas corporativas antes de acederem à rede de comunicações corporativa. Presentemente, estes produtos, tipicamente equipamentos dedicados, podem ainda gerir o acesso dos utilizadores a alguns servidores, aplicações e dados. Assegurar que um utilizador é quem diz que é normalmente desempenhado por portais cativos, autenticação baseada em MAC, autenticação baseada em portas ou autenticação de outros fornecedores. Definir politicas, ditar o nível de acesso de cada utilizador, controlo de acessos baseado em VLAN, filtros simples de pacotes ou firewall. A avaliação da segurança no endpoint é realizada através de software instalado no computador pessoal que informa o estado da informação a um servidor central de politicas.

NAC entra nas redes corporativas
Controlo de acessos dos utilizadores torna-se integrado e beneficia de maior interoperacionalidade.
Network Access Control (NAC) ainda é uma tecnologia recente pelo que a maior parte das tendências estão relacionadas com a tecnologia alcançar o seu potencial. Entre as principais tendências encontram-se algumas das básicas – a tecnologia NAC está madura para poder escalar a nível corporativo e a maior parte dos produtos pode ser integrada com ofertas complementares. Com maior detalhe, algumas tendências importantes incluem:

1.)  NAC está a ficar embebido na infra-estrutura de rede.
Os equipamentos NAC podem ser inseridos em redes com ligeira actualização da infra-estrutura de rede, mas estes equipamentos são colocados próximo do layer de acesso das redes de comunicações e implementações de grande dimensão requerem um grande número de equipamentos – uma questão de escala que a maior parte dos clientes preferem não ter que lidar.
Integrar os produtos NAC directamente na rede imposição e adicionar um motor de politicas NAC é uma melhor opção para implementações generalizadas que os clientes possam estar interessados, refere Lawrence Orans, analista da Gartner. Apesar de existirem progressos relativamente a este objectivo, ainda não chegámos lá.
“Muitas organizações pretendem isto – a tecnologia NAC embebida na sua infra-estrutura – mas, presentemente, a maior parte das infra-estruturas não estão preparadas e os fabricantes não estão prontos” refere Lawrence Orans.
A Bradford Networks, a ConSentry, a Forescout, a Lockdown Networks e a Vernier entre outras, utilizam equipamentos que se instalam próximo dos switches. A Cisco e a Juniper possuem arquitecturas que utilizam o seu equipamento de redes – firewalls, switches, gateways VPN – como pontos de imposição.

2.)  As normas e a interoperacionalidade NAC estão a melhorar.
À medida que os clientes olham para lá dos equipamentos NAC e analisam implementações NAC corporativas, estão à procura de mais funcionalidades que irão requerer a participação de mais do que um fabricante. “Não pode criar, impor, remediar e escalar com um equipamento dedicado. Necessita da integração na rede de comunicações”, salienta Rob Whiteley, analista da Forrester Research.
Têm sido feitos progressos através do Trusted Computing Group (TCG) através da participação de mais de 60 fabricantes e da formulação das suas próprias normas NAC. Mas dois dos maiores fabricantes NAC – Cisco e Microsoft – desenvolveram os seus programas de parcerias NAC que certificam a interoperacionalidade com os seus equipamentos. E a Cisco não quer participar no TCG.
“Ainda não existem muitas normas para adoptar e necessitamos de maior adopção em grande escala,” salienta Rob Whiteley.

3.)  Fabricantes de produtos de pós-ligação NAC estão a adicionar agentes NAC às suas ofertas.
Fabricantes como a ConSentry, a Forescout, a Mirage Networks e a Nevis Networks focalizaram-se em tecnologias de pós-ligação NAC e de exame sem agentes ou com agentes dissolúveis. As tecnologias de pós-ligação NAC mantêm um olho no comportamento dos equipamentos após terem tido sucesso no acesso à rede corporativa.
As tecnologias de pós-ligação NAC assumem várias formas mas globalmente podem monitorizar o tráfego e determinar quais os equipamentos que estão a tentar aceder a recursos que não são autorizados. Podem ainda detectar quais os equipamentos que estão relacionados com comportamentos maliciosos como sondagem de endereços IP e na geração de grandes quantidades de tráfego contra determinados equipamentos como sucede num ataque DoS.
As plataformas de pós-ligação NAC podem notificar as equipas de TI ou enviar para quarentena os equipamentos intrusos, deixar cair o tráfego suspeito ou desligar o acesso à rede.
Mas isto é insuficiente, refere Lawrence Orans. “Não é suficiente executar pós-ligações. Necessita de saber qual o estado de saúde de um determinado endpoint antes de entrar na rede corporativa – prevenir é melhor do que reagir” sublinha.

4.)  A identidade dos utilizadores está tornar-se mais importante para as politicas NAC.
Com o conhecimento da identidade dos utilizadores, as soluções NAC podem ir mais além de proteger a rede de ataques que a ameaçam e proteger os recursos de rede do abuso, refere Lawrence Orans.
Os equipamentos podem ser categorizados pela sua postura de segurança, tipo, localização e método de acesso para avaliar o risco que o equipamento coloca à rede de comunicações. Mas estas decisões acerca dos equipamentos não afectam os recursos de rede utilizados pela pessoa que usa o equipamento autorizado para aceder. Politicas de utilizadores podem ligar um indivíduo ou grupo a um conjunto de recursos que estão autorizados a utilizar em lugar de dar acesso total à rede de comunicações. Tal pode prevenir o abuso e a perda de dados corporativos.
“As políticas de utilizador permitem o controlo do acesso à informação”, sublinha Lawrence Orans.

5.) Os agentes de controlo e de segurança dos endpoint estão a fundir-se e a tornar-se mais compatíveis.
Agentes de controlo dos endpoint podem reunir informação por sua conta ou podem recolher informação de outros agentes de segurança instalados nos endpoints para recolher informação mais detalhada. Alguns destes agentes de segurança, como a McAfee e a Policy Orchestrator, suportam numerosas funções de segurança como antivírus e conformidade com patches de segurança. A informação sobre estas funcionalidades pode ser útil nas decisões sobre NAC.
Se o agente NAC da Microsoft incluído no sistema operativo Windows Vista pode separar a informação dos agentes antivírus no mesmo equipamento, por exemplo, pode disponibilizar maior detalhe acerca do estado do equipamento que está a analisar.
Os fabricantes que desenvolvem pacotes de segurança endpoint, como a Symantec, estão a adicionar agentes NAC agentes a estas aplicações. Deste modo, o agente NAC não tem que ser implementado separadamente e e pode recolher dados valiosos dos endpoint a partir do componente de segurança do software cliente.
Esta realidade irá auxiliar na adopção NAC através da redução do número de agentes que os administradores de sistemas têm que manter. Adicionar mais software aos endpoints é uma marca contra qualquer tecnologia e não apenas a tecnologia NAC, sublinha Lawrence Orans says. Um inibidor da adopção tem sido outro agente. É verdade para as tecnologias NAC como para outras tecnologias”, refere.

Seis dicas para seleccionar produtos NAC
O mercado está inundado de equipamentos integrados NAC. Aqui ficam alguns conselhos acerca do modo como reduzir o espectro a ofertas que se aplicam às necessidades da sua rede de comunicações.

1. Estabeleça prioridades para os seus requisitos de autenticação, segurança endpoint, controlo de acessos e gestão global antes de pensar em adquirir produtos.
Os produtos NAC variam no modo como agrupam estes quatro componentes. Os produtos NAC integrados tendem a dar uma maior ênfase à segurança dos endpoint relativamente à autenticação, controlo de acessos e gestão, porque este é o maior problema dos gestores de redes que procuram uma solução NAC. Tal não significa que não possa encontrar produtos integrados com funcionalidades sólidas de autenticação e imposição, mas irá ter que analisar mais profundamente para ter a certeza de que compreende o modo como cada produto funciona nestas áreas para ter a certeza de que cumpre os seus requisitos.

2. Não se assuste com o fantasma da escalabilidade.
A maior parte dos produtos integrados NAC possuem alguns componentes inband — mesmo que estejam inline apenas em algum momento no decorrer do processo de ligação do utilizador. Em qualquer momento em que um equipamento está colocado entre os utilizadores e os seus dados, existe a possibilidade de problemas de desempenho. Os produtos integrados NAC que são inline entre os utilizadores e o resto da rede corporativa requerem uma cuidadosa engenharia de desempenho. Muitos dos fabricantes de produtos integrados NAC evitam a percepção de um problema de desempenho através da adopção de uma abordagem híbrida: os produtos são instalados inline apenas durante a autenticação, avaliação da segurança do endpoint e/ou procedimentos de imposição; em seguida, reconfiguram a sua infra-estrutura de switching.

3. Clarifique as razões de implementação de avaliação da segurança dos endpoints. Necessitar de tecnologias NAC para proceder à avaliação de conformidade é muito diferente de adoptar tecnologias para detectar comportamentos maliciosos. Esta distinção diferencia os produtos NAC integrados uns dos outros.
Algumas organizações olham para as medidas de segurança dos endpoint para determinar se os utilizadores de um portátil ou de computador pessoal estão conformes com a política de segurança corporativa. Apesar de nenhum antivírus ou firewall pessoal poder garantir que um sistema não é comprometido, uma politica bem desenhada reduz o risco de problemas. Outras organizações não estão tão preocupadas com a conformidade com a política de segurança como estão na detecção e isolamento de sistemas e utilizadores com comportamentos inadequados.
Decida em que área se encontra e utilize a sua posição para restringir os produtos integrados. Concluímos que nenhum produto NAC realiza ambas as funções, pelo que se procura ambas as funções, decida qual é a mais importante e destaque-a nos seus testes. Porque não é possível testar todas as combinações de avaliação de segurança dos endpoint, decida qual a mais importante e identifique os fabricantes focalizados na sua área como estratégia de segurança dos endpoint.

4. Não deixe que o software cliente o prejudique.
Não existe consenso sobre a maneira adequada de lidar com software NAC cliente. Apesar de nem todos os produtos NAC requererem um cliente, concluímos que possuir um cliente instalado simplifica a maior parte dos cenários NAC. As implementações NAC que não utilizam um cliente possuem alguns pontos fracos: browsers com funcionalidades desligadas, utilizadores com firewalls pessoais e uma variedade de plataformas que podem causar uma indigestão aos produtos NAC que tentam descarregar um cliente “dissolúveis” quando o utilizador está a tentar ligar-se a um rede de comunicações.
Se a sua estratégia de NAC requer um cliente em algum ponto, não deixe que anteriores experiências com outros produtos o façam abandonar a ideia de instalar um para a tecnologia NAC. Poderá não ter apreciado queijo Gorgonzola em criança, mas as coisas mudaram, quer no modo como é produzido quer no modo como pode ser saboreado por um adulto. Os fabricantes de software aprenderam como facilitar a instalação e manutenção do software cliente e, em muitos casos, fizeram um bom trabalho. Não opte por um projecto integrado NAC assumindo que um cliente instalado é uma impossibilidade.
Em simultâneo, não deixe um fabricante ir embora sem dar uma boa resposta sobre o modo como o produto funciona com o sistema operativo Windows Vista. A Microsoft disponibiliza algumas ferramentas no Windows Vista para auxiliar com todos os aspectos da tecnologia NAC, incluindo um conjunto de API e a sua framework Network Access Protection. Poderá não ter planeado adoptar o sistema operativo Windows Vista tão cedo, mas algum dia poderá migrar. Se puder utilizar as funcionalidades incluídas no Windows Vista para evitar a instalação de um cliente NAC, irá conseguir um produto mais seguro. Assegure-se que o fabricante NAC não se recusa a integrar as funcionalidades incluídas no Windows Vista – senão for imediatamente, pelo menos no futuro próximo.

5. Acentue a importância da gestão administrativa.
Um ponto forte dos produtos integrados NAC é o de que um único fabricante controla a generalidade dos componentes. Um produto de um único fabricante pode conduzir a uma experiência com o mínimo de problemas de interoperacionalidade e o máximo de integração entre os diferentes componentes. No entanto, não deixe que a experiência de utilização obscura a necessidade de gestão adequada e de experiência de operações.
Lembre-se que o objectivo das tecnologias NAC é o de permitir que os equipamentos e utilizadores acedam à rede de comunicações e não de mantê-los fora. Quando alguém não se consegue ligar é critico identificar o problema e resolvê-lo o mais rapidamente possível. Muitos dos produtos integrados que testámos eram particularmente fracos nas áreas de gestão e de operações. É critico que o gestor de redes seja alertado acerca de qualquer problema e tenha condições de identificar as causas e rapidamente resolver o problema. Quando avaliar produtos NAC, assegure-se de que perde algum tempo a avaliar a interface de administração. Avalie se a configuração do produto é fácil de compreender, se consegue relatórios, e se existem ferramentas de correcção que possibilitem devolver o acesso à rede quando os problemas ocorram.

6. Tenha em consideração que os equipamentos integrados NAC possuem pontos fracos.
Cada abordagem NAC possui algumas fraquezas de segurança e os produtos integrados são particularmente vulneráveis no que diz respeito a uma análise intensa da arquitectura. Por exemplo, a maior parte das implementações NAC são susceptíveis de “clientes mentirosos” que afirmam estar em conformidade com a política de segurança.
Em qualquer dos casos, é importante ter em consideração a razão pela qual está a instalar tecnologias NAC: qual o risco de segurança que está a tentar reduzir? Só porque um produto possui um ponte forte não significa que seja uma ferramenta valiosa para aumentar a sua segurança global.
Devido à intensa concorrência existente no mercado NAC, os investigadores de segurança que trabalham para fabricantes NAC concorrentes tem vindo a apontar as falhas nos seus concorrentes, enquanto se asseguram que os seus produtos são mais seguros. A realidade das tecnologias NAC é a de que nenhum software ou hardware irá proteger completamente contra intrusos que conhecem qual o produto instalado, possua acesso físico às suas instalações ou esteja determinado a causar problemas.
Resolva este problema através da compreensão das vulnerabilidades dos produtos que está a analisar e balanceando estas fraquezas contra as razões pelas quais está a implementar a tecnologia NAC na sua rede de comunicações.

Mapeie os requisitos NAC para produtos NAC
Tendo em conta a excitação em redor das tecnologias NAC, é importante ordenar as funcionalidades que as soluções NAC podem disponibilizar, assim como os requisitos de segurança da rede local que possui. Diferentes arquitecturas NAC resolvem diferentes problemas de negócio e necessita de mapear as suas necessidades de acordo com a arquitectura adequada.
A tecnologia NAC teve o seu início como uma tecnologia de controlo de admissão, autenticando utilizadores e examinando os seus equipamentos para conformidade regulamentar antes de permitir a entrada na LAN. E, francamente, a maior parte da discussão acerca da tecnologia NAC permanece focada nesta definição da tecnologia.
Mas a tecnologia NAC desenhada como solução de controlo de acesso pode fazer mais do que controlar quem acede à LAN. Pode auxiliar a restringir o que as pessoas podem fazer após ter entrado na LAN – controlar quais os servidores que podem aceder, quais os dados a que podem ter acesso e quais as aplicações que podem executar.
O controlo que consegue alcançar numa solução NAC irá depender fortemente da arquitectura. Se necessita de um simples controlo de acessos de visitantes – ou seja, restringir aqueles que “não são os nossos” na Internet e permitir aqueles que “são dos nossos” circular no interior da rede corporativa – então um produto simples pode facilmente cumprir os requisitos.
Se necessita de maior controlo, restringindo aquilo que os utilizadores podem fazer após ter entrado na rede corporativa, então equacione arquitecturas NAC inline. Na medida em que estes equipamentos analisam todo o tráfego que passa através deles, disponibilizam uma fundação para maior controlo. Qual o grau de controlo que possui continua a ser determinado pelo conjunto de funcionalidades disponibilizadas pelos fabricantes. Por exemplo, a compreensão das aplicações são critica para controlar os utilizadores, mas algumas soluções NAC analisam as aplicações através da informação proveniente do Layer 4, enquanto outras descodificam as aplicações no Layer 7. Quanto mais funcionalidades, maior o controlo que possui.
Deve perguntar o que é que a solução NAC pode e não pode fazer pelas suas necessidades. Uma solução de controlo de acessos plena de funcionalidades deverá permitir o desempenho das seguintes funções:
* Controlar quem pode aceder à LAN e limitar os recursos a que pode aceder;
* Proteger o seu endereço de IP;
* Limitar o acesso de utilizadores menos conhecidos ou de menor confiança, tais como fornecedores, técnicos, utilizadores remotos ou trabalhadores em offshore;
* Restringir quem pode aceder a dados financeiros sensíveis ou registos de clientes;
* Controlo de acesso a dados baseado nas funções, hora do dia, localização e aplicação;
* Segmentar utilizadores para assegurar os requisitos de conformidade;
* Proteger contra malware conhecido e desconhecido;
* Simplificar a resposta a incidentes;
* Proteger serviços aplicacionais críticos como VoIP
Claro que a tecnologia NAC não deverá ser a única medida de segurança. Por exemplo, as tecnologias NAC não irão auxiliar nas seguintes tarefas:
* Proteger a informação que abandona as instalações através de correio electrónico, roubo de portáteis, impressão ou equipamentos de armazenamento USB;
* Defender contra engenharia social;
* Bloquear o malware conhecido de entrar numa ligação WAN;
* Prevenir os utilizadores com acesso autorizado de utilizar dados inapropriadamente
As funcionalidades de auditoria da solução NAC podem permitir identificar quais os ficheiros que os utilizadores acederam, pelo que se for necessário poderá demonstrar que alguém estava à procura de informação que não era pertinente para a sua função. No entanto, a solução NAC não impede que estes dados abandonem a sua organização.
Em resumo, outras técnicas de segurança como as tecnologias de prevenção de roubo de dados e ferramentas de bloqueio de USB serão importantes para complementar a implementação da solução NAC, mas escolher uma solução com todas as funcionalidades poderá atribuir-lhe um controlo significativo de quem acede aos dados sua rede local.

Como funciona?
É simples: a sua função deverá condicionar aquilo que poderá ter acesso na rede de comunicações.
Genericamente, o controlo de acessos de rede é um conceito simples: a função do utilizador deverá condicionar aquilo que pode ser autorizado a fazer no interior da rede de comunicações. Quando todos os componentes estão instalados, a tecnologia NAC será um modo de aplicar uma politica para acesso a redes de comunicações através de infra-estruturas LAN, wireless e VPN. A política de controlo de acessos NAC pode variar desde a simples decisão de autorização de acesso à rede ou a escolha de LAN virtuais ou pode ser mais complexa como a definição de regras de firewall por utilizador definindo que partes da rede estão acessíveis.
No interior de uma implementação NAC, os gestores de TI utilizam três elementos principais para desenvolver uma politica de controlo de acessos: autenticação, avaliação de segurança do endpoint e informação ambiental da rede de comunicações. A autenticação é uma transacção que os utilizadores estão acostumados a utilizar com outras aplicações. Como conceito, a NAC não possui requisitos especiais para autenticação.
Uma boa implementação NAC irá utilizar o mesmo sistema de autenticação de outras aplicações. Por exemplo, se aplicar a tecnologia NAC a um acesso remoto IPSec VPN, deverá utilizar a mesma autenticação para activar o protocolo IPSec tunnel que utilizou para autenticar o utilizador.
A avaliação de segurança do endpoint é a parte mais complexa de seleccionar uma politica na tecnologia NAC, mas é também o factor principal para implementação destas tecnologias.
A ideia subjacente é a de que a segurança de ligar um portátil, um computador pessoal ou um servidor deverá ser parte integrante de politicas de controlo de acessos. Por exemplo, se um sistema não possui o pacote de anti-vírus normalizado no interior da organização, o utilizador deverá ter uma politica de controlo de acessos diferente do que se tivesse tudo instalado e todas as assinaturas actualizadas.
A informação ambiental da rede de comunicações é uma pequena mas importante parte de seleccionar politicas de acesso num esquema NAC. A informação ambiental poderão ser dados circunstanciais acerca do modo como está a ser efectuada a ligação – através de uma rede wireless ou através de uma VPN – ou se está no edifício ou noutro país.
Estas circunstâncias vão influenciar a decisão da política de controlo de acesso atribuída a um sistema. Por exemplo, se está a aceder através de uma VPN, poderá não ser autorizado a aceder a diferentes componentes da rede de comunicações como se estivesse localizado no interior do edifício.
A tecnologia NAC é uma buzzword quente; no entanto, esta definição de nível de componentes poderá não ligar directamente com todos os produtos e arquitecturas NAC. Mas a maior parte dos produtos disponíveis como componentes de uma estratégia global de NAC incluem pelo menos um dos componentes se não todos desta definição.

Pode acompanhar os comentários a este artigo via RSS 2.0.

Partilhar |

Notícias Relacionadas

Insira um comentário, ou crie um trackback no seu próprio site.

Deixe o seu Comentário

  • Pesquisa

  • Siga o Computerworld

  • Newsletter

  • Computerworld TV

  • InfoClipz

    Virtualização de Armazenamento em 3 minutos
    Saiba como a virtualização de ficheiros e blocos transcende a abordagem clássica de SAN ao armazenamento.

    Gestão de Risco em 3 minutos
    Uma estratégia de gestão de risco coerente fornece um quadro abrangente para a regulamentação, segurança de dados e continuidade do negócio.

    Virtualização de servidores em 3 minutos
    Três tipos de virtualização de servidores e os seus benefícios.

    Green IT em 3 minutos
    Custos energéticos elevados, espaço limitado do centro de dados e a pressão das questões ambientais, estão a fazer com que muitas empresas acelerem a implementação de iniciativas de Green IT.

    Comunicações unificadas em 3 minutos
    O conceito de presença e a proliferação de novas aplicações de dados e voz estão a mudar as comunicações empresariais.

    Protecção de Dados Empresariais em 3 minutos
    O essencial para proteger os dados, sistemas e comunicações do seu negócio.

    Cloud Computing em 3 minutos
    A Cloud Computing – ou computação na nuvem – tornou-se numa tecnologia indispensável. Promete menores custos para as empresas, maior flexibilidade na gestão das soluções informáticas, garante melhorias na eficiência e uma escalabilidade à medida.