| Artículos | 01 ABR 2007

Control de acceso: un Gran Hermano en nuestra red

Tags: Histórico
Seguridad integrada en los equipos de red
Arantxa Herranz.
Controlar quién accede a la red, a qué recursos y en qué estado es algo cada vez más necesario y demandado, sobre todo en la medida en que los entornos se vuelven cada vez más abiertos. Las soluciones en el mercado que permiten controlar y/o restringir el acceso a la red son diversas y los enfoques, según sus promotores, difieren en algunos aspectos aunque en todos los casos nos encontramos ante un conjunto de mecanismos y tecnologías de identificación y autenticación de los usuarios y dispositivos que se conectan a una red de datos. Es decir, un pequeño Gran Hermano en cada red.

Cuando hablamos de acceso seguro a redes nos referimos, a grandes rasgos, a una serie de mecanismos y protocolos que son los encargados de hacer que la red sepa qué usuario se está conectando y, en función de ello, proporcionarle una serie de servicios o aplicaciones a los que poder acceder. A partir de ahí, se abre un abanico de diferentes posibilidades, en función también de los diferentes actores de este mercado que tienen algo qué decir.
Empecemos, por ejemplo, por Cisco, uno de los primeros en acuñar el término NAC (Network Admission Control, o Control de Admisión en Red) aunque, tal y como insisten sus competidores, no es un término o tecnología de su propiedad. En cualquier caso, Yolanda Lamilla, directora de desarrollo de negocio de seguridad en Cisco, explica que NAC es un componente principal de la estrategia global de seguridad de Cisco denominada Redes de Auto-Defensa o Self-Defending Networks y por la que se persigue que el usuario sólo pueda acceder a los dispositivos “seguros”, abarcando a todos los métodos de acceso: red de área local, red inalámbrica, red de área extensa y accesos remotos, “ya que se ha desarrollado para los accesos a través de cualquier dispositivo de red: conmutadores, equipos WiFi, routers y concentradores VPN”.
Consciente o no de las limitaciones que, como fabricante de equipos de redes, tenía a la hora de integrar la seguridad en sus sistemas, Cisco apuesta por llegar a acuerdos con diversas compañías de seguridad para completar esta estrategia NAC. Quizá el emblema más importante de esta serie de acuerdos fue el suscrito con Microsoft, quien, por su parte, firma el término Network Access Protection (NAP) para referirse también al acceso seguro a las redes. Una solución que tiene, de momento, dos pilares básicos: el servidor Windows de Microsoft (Longhorn) y el Intelligent Application Gateway 2007 (IAG), que ya analizamos en estas mismas páginas de PC World.

NAC y NAP
Aunque, como vemos, en este caso las propuestas NAC y NAP de Cisco y Microsoft, respectivamente, trabajan de la mano, David Rodríguez García, responsable de desarrollo de negocio de soluciones de seguridad de Microsoft Ibérica, defiende que su compañía propone soluciones integradas que permiten “crear políticas personalizadas para validar la salud del sistema antes de permitir el acceso o la comunicación; actualizar de forma automática clientes para garantizar el cumplimiento con las políticas facilitando el remedio para clientes que las incumplen; y confinar equipos que no cumplan con las políticas establecidas a una red restringida hasta que las cumplan”.
Evidentemente, la diferencia principal de la propuesta de Microsoft respecto a la que pueda hacer cualquier otro fabricante reside en el hecho de que, en el caso de la primera, la función de acceso seguro reside en los nodos y servidores de la red, por lo que sólo dispositivos con sistemas operativos pueden ser autenticados. En este sentido, Pedro Casado, responsable de negocio comercial de HP ProCurve en España, considera que los puntos fuertes de la autenticación por parte de la red son que se descarga de esta función a los servidores y a los clientes se hace independiente del sistema operativo, y se puede utilizar con dispositivos que no utilizan sistema operativo alguno (como teléfonos IP o cámaras de video-vigilancia) frente a lo ampliamente extendido del sistema operativo de Microsoft y la integración con el software de usuario, lo que lo hace extremadamente accesible a la hora de implementar, virtudes de la propuesta de Bill Gates.
Además, hay que tener en consideración la reciente alianza suscrita entre Microsoft y Nortel, precisamente en este ámbito, y cuyo objetivo es trabajar conjuntamente en el desarrollo de una serie de productos y servicios que permitan mejorar las comunicaciones en el entorno empresarial, integrando la gestión de sistemas de Microsoft con el control de acceso a las redes de Nortel. Desde esta empresa se defiende que uno de los puntos fuertes de NAP es la presencia de Microsoft en el ordenador de sobremesa de la mayoría de las empresas “y el hecho de que NAP integre un mayor número de herramientas y funciones que NAC”.
Pero, como decíamos, cada fabricante de soluciones propone su alternativa al mercado. Así, Anton Grashion, responsable de la estrategia de seguridad de Juniper en EMEA (Europa, Oriente Medio y África) considera que tanto NAC como NAP tienen el problema de estar demasiado enfocadas en su base instalada. “La oferta de Cisco funciona mejor en un entorno exclusivamente Cisco mientras que la de Microsoft se enfocará en los puntos de acceso Microsoft”, sostiene para, renglón seguido, apostar por su propuesta UAC, que “funcionará sobre cualquier tipo de red ya sea compatible con 802.1X o no, y con una gran variedad de sistemas operativos”.

Cuándo y cómo funcionan
Cuando cualquier usuario, sea de nuestra organización o no, intenta acceder a nuestra red corporativa, a través de un puerto libre de conexión (sea inalámbrico o no) si no existe un sistema de control de acceso a redes podrá ver todos los recursos de la red (servidores, accesos y servicios) con el perfil que el puerto desde el que está accediendo tenga. Sin embargo, cuando la red tiene control de acceso, “los puertos se encuentran físicamente desconectados de la red hasta que un usuario o dispositivo inicia la conexión”, tal y como explica Pedro Casado. En ese momento, “es el switch (la red) el que inicia el proceso de autenticación del usuario, haciendo de intermediario entre el usuario y el servidor de autenticación, hasta que esta se produce. Si las credenciales del usuario pueden ser verificadas con éxito, entonces el switch conecta el puerto a la red, y el switch se configura de manera automatizada, con los parámetros de red definidos para ese usuario o el grupo al que pertenece, ofreciendo al usuario una experiencia consistente en el uso de la red esté donde esté, y conecte como conecte. Todo este proceso de autenticación se realiza con protocolos estándar de la industria, y es por tanto interoperable entre fabricantes”.
Básicamente, estas tecnologías responden a cinco pasos para entrar en funcionamiento: 1- Comprobación de identidad del usuario; 2- Comprobación de la integridad del sistema utilizado por el usuario (softwares autorizados, etc.); 3- Si el software no es el adecuado, se produce una actualización; 4- Una vez validado, se permite el acceso a la red y los servicios correspondientes; 5- Mientras el usuario está conectado es necesario estar atento a que no se produzca ningún cambio en el estatus. Una vez llevados a cabo todos estos pasos, NAC efectúa una serie de comprobaciones sobre la máquina y en función del resultado le dice al usuario su grado de acceso a la red. En este punto, cabe se

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información