Network Access Control: la mejor protección para redes internas

Gracias a Network Access Control se pueden proteger las redes de accesos no autorizados y acciones dañinas. NAC funciona antes y después de un acceso.

¿Qué es el Network Access Control?

El Network Access Control, también conocido como NAC o control de acceso a la red, sirve para proteger redes de ordenadores privadas de accesos no autorizados desde dispositivos que no cumplen con unos criterios de seguridad previamente definidos. Las soluciones de control de acceso a la red cumplen a grandes rasgos principalmente dos funciones:

NAC de preadmisión

Network Access Control tiene una visión general de todos los dispositivos que están conectados a una red en particular. El tipo de dispositivo es indiferente, se puede tratar tanto de ordenadores o smartphones como de impresoras, escáneres o tecnologías del Internet de las cosas. El objetivo de este modo operativo es prevenir el acceso a la red de sistemas externos a través de la red inalámbrica o de otros métodos de acceso, preservando así la arquitectura de seguridad. Este tipo de control de acceso a la red se conoce como NAC de preadmisión.

NAC posadmisión

Mediante una función de conformidad, el control de acceso a la red monitorea aquellos dispositivos que ya se encuentran en la red a fin de detectar lo más pronto posible problemas o fallos de seguridad. Con el Network Access Control se puede, por ejemplo, controlar el estado de un firewall o de un programa antivirus y garantizar así que en la red se encuentren únicamente dispositivos totalmente actualizados. Dicha función forma parte del NAC posadmisión, o sea, de un control de acceso que vigila determinados aspectos de la red.

¿Cómo funciona el Network Access Control?

Hay numerosos sistemas de NAC diferentes con funciones ligeramente distintas, aunque por lo general el control de acceso a la red funciona de manera similar. El equipo de seguridad de la empresa o la persona responsable de la red definen una serie de requisitos para todos aquellos dispositivos que vayan a acceder a dicha red. Cada nuevo dispositivo será entonces comprobado y categorizado por el Network Access Control, que otorgará o denegará el acceso a la red en función de los requisitos establecidos. Un dispositivo con acceso recibe ciertos derechos, pero seguirá siendo controlado. Así se garantiza la protección de la red.

¿Por qué resulta importante el Network Access Control?

Es cierto que una solución NAC no resulta necesaria para cualquier red, pero sí es muy recomendable para empresas y redes de mayor tamaño. Esta tecnología permite mantener una visión general de todos los dispositivos que se encuentren conectados a la red y evita que dispositivos no autorizados consigan acceder a ella con facilidad. El control de acceso a la red ayuda a definir y preservar las políticas de seguridad. Además, permite otorgar derechos y roles. Por ejemplo, se pueden poner en cuarentena dispositivos que ya se encuentren en la red pero no cumplan con los requisitos de seguridad, y reactivarlos una vez se haya solucionado el problema.

¿Cuáles son las funciones del Network Access Control?

El Network Access Control utiliza abundantes métodos y funciones para proteger la red tanto antes como después del acceso. Los más habituales son los siguientes:

Políticas de seguridad para NAC

Toda red necesita unas políticas de seguridad bien definidas que sean válidas para todos los dispositivos y casos de uso, pero contemplando también unas condiciones y permisos previos. Las soluciones NAC te permiten inicialmente definir estas reglas y si fuera necesario también ajustarlas una vez esté implementada la red. De acuerdo con los parámetros definidos los dispositivos serán controlados antes y después del acceso a la red.

Perfiles en NAC

Con la creación de perfiles el Network Access Control escanea todos los dispositivos, analiza sus propiedades y comprueba su dirección IP. De este modo, es posible tener un registro de todos los dispositivos que se encuentren en la red y clasificarlos según ciertos aspectos de seguridad.

Sensores para el control de acceso a la red

Los dispositivos autorizados pueden también ocasionar daños en la red, ya sea de manera intencionada, ya accidental. Los sensores analizan en tiempo real todo el tráfico de la red (o partes de ella), que puede interrumpir o parar si detectan algún problema. Estos sensores pueden ser componentes de software o trabajar directamente en los puntos de acceso.

Agentes del control de acceso a la red

Se suele tratar de un software instalado en los dispositivos que se comunica con una central de NAC, que otorgará el acceso a la red. La ventaja de este método es que únicamente los dispositivos previamente seleccionados y autorizados consiguen el acceso. Por otro lado, también hay una desventaja, y es que cada dispositivo debe estar equipado con tal agente, lo que en grandes redes resulta un tanto engorroso y supone una gran inversión de tiempo. Aparte de Microsoft, la compañía CISCO ofrece también su Trust Agent para su propia solución NAC.

Existe una alternativa con agentes temporales que no están instalados de forma permanente y se borran automáticamente después de reiniciar. Se suelen cargar a través del navegador y requieren la aceptación explícita por parte del usuario. Esta alternativa resulta muy conveniente para accesos temporales o esporádicos a la red. Sin embargo, para un uso prolongado resultan más adecuados otros métodos de control de acceso a la red.

Soluciones VLAN para NAC

Muchas herramientas de NAC permiten crear a través de redes de área local virtuales (VLAN) segmentos parciales que son accesibles únicamente para unos dispositivos determinados. De este modo, se pueden separar zonas sensibles de las zonas de acceso general.

Guías LADP para un mejor agrupamiento

Las guías LDAP permiten al Network Access Control crear grupos para clasificar a los usuarios. Cada grupo recibe permisos diferentes y por tanto tiene acceso a diferentes zonas de la red. De este modo es posible otorgar el acceso a la red no según el dispositivo, sino según el usuario.

¿Cuáles son las aplicaciones del Network Access Control?

Existen numeras aplicaciones para un control de acceso de la red, pero no todas las soluciones son adecuadas o recomendables para una finalidad determinada. Las siguientes aplicaciones son las más extendidas:

Bring Your Own Device

Bring Your Own Device o BYOD es una práctica que a día de hoy se encuentra en la mayoría de las redes. BYOD significa que los usuarios pueden acceder a la red utilizando su propio dispositivo, por ejemplo, un smartphone desde la oficina o un portátil desde la red de la universidad. Tantos dispositivos diferentes suponen un auténtico reto para la infraestructura y la seguridad de la red. En estos casos una solución de Network Access Control resulta indispensable para proteger datos importantes de malware.

Acceso de invitados al sistema

En ciertas ocasiones, personas ajenas a la empresa o invitados necesitan también acceder al sistema. Aunque se trate apenas de un acceso puntual o esporádico, resulta muy importante la combinación de una buena conexión y todos los requisitos de seguridad necesarios. Un sistema de control de acceso a la red bien implementado es necesario.

El Internet de las cosas

Con el Internet de las cosas cada vez hay más y más dispositivos con acceso a una red determinada. Y estos dispositivos no estarán siempre al día. Con una buena estrategia NAC se puede garantizar que tales dispositivos no supongan una puerta de entrada para usuarios no autorizados.

Network Access Control en la sanidad

En la sanidad resulta indispensable la seguridad. Los dispositivos deben funcionar perfectamente y los datos deben estar bien protegidos, y por ello es de suma importancia que la red no tenga puntos débiles. Es fundamental disponer de un control de acceso a la red adecuado.