Provavelmente você já ouviu falar de medidas básicas de segurança como: Firewall, Proxy, Detecção de Intrusão. Mas e NAC (Network Access Control), já ouviu falar?

Ele já existe há um bom tempo, mas está começando aparecer mais no mercado, devido a popularização dos notebooks e dispositivos móveis.

Para que serve Network Access Control

NAC serve para você controlar os dispositivos da sua rede, sejam eles com fio ou sem fio. O NAC protege a sua rede de acesso não autorizado, intrusões fraudulentas e exposições externas de segurança introduzidas por dispositivos vulneráveis ou corrompidos que podem infectar e danificar sua rede.

Com o NAC, você vai usar a infraestrutura de rede da sua organização para garantir o cumprimento da política de segurança em todos os dispositivos que tentam obter acesso.

Os administradores de rede podem usar o NAC para autenticar, autorizar, avaliar e corrigir os usuários com fio, sem fio e remotos antes que eles possam acessar a rede.

Mas o NAC não se restringe apenas a computadores e notebooks, hoje a principal utilidade dele é dentro das tecnologias BYOD.

O BYOD (Bring Your Own Device) é a nova tendência do mercado de trabalho. A sigla significa “traga o seu próprio dispositivo”, onde os funcionários podem utilizar os seus próprios dispositivos na empresa.

Porém, o NAC tem como principal característica, permitir que o dispositivo se conecte à rede corporativa somente se ele estiver de acordo com as políticas pré-definidas pelos administradores.

A solução de NAC (Controle de Acesso à Rede) executa diversas tarefas de segurança:

  • Garante que computadores e notebooks que desejam se conectar à rede, sejam identificados e autorizados;
  • Verifica a atualização de patches, assinaturas de antivírus e aplicações ativas nestes dispositivos;
  • Se houver algum problema, providencia que sejam tomadas medidas de quarentena, isolamento e remediação para os dispositivos comprometidos;
  • Tudo isso sem a necessidade de  instalação de agentes.

É uma solução que passa por todas as camadas da rede, sejam físicas, virtuais ou em nuvem, para visualizar, analisar e controlar todos os dispositivos e usuários conectados.

Benefícios

Os benefícios podem ser agrupados em três categorias:

  • Security Compliance: Um NAC garante que todos os terminais (computadores) da rede fiquem conforme as regras de segurança da empresa. O NAC acomoda política do nível de risco e protege os recursos de infraestrutura, assegurando a produtividade dos funcionários. Ela também bloqueia os recursos gerenciados e não gerenciados enquanto permite acesso seguro ao visitante.
  • Autenticação de Usuário: NAC reforça as políticas de acesso à base de identidades de usuários autenticados;
  • Mitigar os riscos de acesso não autorizado e Malware: NAC é concebido para controlar e investigar a infraestrutura de grandes empresas. A tecnologia é particularmente valiosa pela sua capacidade de encontrar dispositivos sem proteção, patches atualizados e outras defesas atuais de segurança de acesso à rede. Esse atributo faz NAC uma primeira linha de defesa de ataques de malware.

Como eu adquiro um sistema NAC

NAC são produzidos em forma de Software ou Appliance (Hardware+Software), existem soluções pagas e algumas Open Source.

nac

Soluções pagas de algumas empresas líderes de mercado:

  • Cisco Systems Inc.
  • ConSentry Networks
  • InfoExpress Motores de Identidade Inc.
  • Vernier Networks Inc.
  • Aruba ClearPass (Aruba é uma empresa da HP)
  • Dell SonicWall
  • Juniper – Identity and Policy Control

Soluções Open Source:

  • PacketFence’s Zero Effort NAC (ZEN)
  • Swisscom’s FreeNAC

Como implementar NAC

Network Access Control

A primeira chave para uma implementação bem sucedida NAC é pesquisar com cuidado as várias ferramentas e garantir que elas são compatíveis com a sua infraestrutura.

Se você estiver trabalhando em um ambiente de rede bastante homogêneo, é uma idéia razoável dar preferência ao produto NAC produzido pelo seu fornecedor.

Por exemplo, sua infraestrutura toda é DELL, o ideal é que você opte pela solução NAC da DELL.

Não só vai ter melhor chance de interoperabilidade, mas você também vai ter um único ponto de contato, se você tiver problemas de implementação.

Não há nada mais frustrante do que assistir a dois fornecedores empurrar o problema um para o outro.

A segunda chave é garantir que a implantação do NAC é viável em sua organização.

O NAC vai deixar sua rede mais segura, mas também mais burocrática, com constantes configurações e com um certo investimento de tempo, conhecimento e financeiro .

Você realmente tem necessidade deste nível de controle?

Aqui estão alguns itens que você deve considerar:

  • A sua rede atual suporta uma infraestrutura NAC ou são necessários atualizações significativas?
  • Será que o seu sistema atual de autenticação suporta a infra-estrutura NAC?
  • Como você vai lidar com sistemas incompatíveis? Eles serão colocados em uma zona de quarentena, ou terão acesso aos recursos necessários para se tornar compatíveis? Por exemplo: antivírus servidores de atualização, servidores de patches do sistema operacional.
  • A sua organização tem os recursos de TI para lidar com uma súbita onda de abertura de chamados?

Como você pode ver, NAC não é pra todo mundo. A implementação compensa se um acesso não autorizado ou roubo de informação vai impactar de forma significativa a organização. Por exemplo: bancos, financeiras, indústrias com segredos industriais, etc.

Solução Open Source de Network Access Control

Não há nada de errado com sistemas open source. No entanto, neste caso eu seria cauteloso ao optar por esta solução.

Primeiro, vamos olhar para produtos open source e como eles diferem de suas contrapartes comerciais. Existem dois grandes produtos no mercado: PacketFence e FreeNAC.

Ambos os produtos têm vem crescendo e aumentado rapidamente os seus recursos para aqueles que precisam implementar NAC com um orçamento apertado.

Eles oferecem recursos de classe empresarial, como a integração com o Active Directory, suporte a máquina virtual e relatórios de acompanhamento.

nac

nac

O que eles não oferecem são interfaces de usuário melhoradas e o suporte avançado disponíveis nas ferramentas pagas.

Eles oferecem alguma integração limitada com outros produtos, mas nenhum deles possui a ampla gama de suporte à terceiros disponíveis em um produto comercial.

Tanto o PacketFence e FreeNAC tem suporte profissional disponível, mas não é livre. FreeNAC requer que você compre a edição empresarial que começa em U$ 5.000, juntamente com o Suporte Gold de U$8 a U$12 por dispositivo por ano.

Em segundo lugar, implantar NAC é um processo intenso, requer muitos recursos e um alto grau de envolvimento do usuário. Caso a solução free não funcionar, você está disposto a passar por isso duas vezes?

Se você sentir que NAC é apropriado e necessário para o seu ambiente, você deve selecionar cuidadosamente o produto certo e implantá-lo de uma forma cuidadosa e metódica.

De repente é mais viável você investir nas soluções tradicionais de segurança e em outras necessidades de TI para o negócio.

Lembre-se o objetivo é sempre o negócio. Leia os posts sobre governança!

Um abraço!