Claves para elegir la mejor solución NAC

Hay muchas maneras de manejar el Control de Acceso a Redes, y como siempre, unas son mejores que otras. Según el ingeniero de red Paul Gann, decidir cuál es mejor depende de las necesidades de gestión que tenga el negocio y de las propias redes.

nac.jpg

Desde la perspectiva del usuario final, el establecimiento de un Control de Acceso a Redes (NAC) debe ser transparente, es decir, como si funcionase de forma autónoma. Cuando los usuarios se registran en la red, sus sistemas deben ser revisados, en silencio y desde la sombra, para que los niveles de fiabilidad sean los adecuados según la política de seguridad interna de la red.

Entre los ejemplos de lo que un NAC examinaría en un terminal están los parches y funciones, y la actualización de los antivirus y los cortafuegos personales. Sólo en los casos en los que se produce algo fuera de lo normal se informa a los usuarios de que sus sistemas no funcionan bien. En ese caso, lo más normal es que sean guiados a un portal de la intranet donde el sistema recupera los niveles adecuados de seguridad.

Tanto para las pequeñas empresas como para las grandes, son muchas las ventajas de contar con un nivel de seguridad tan dinámico. Una red con NAC no sólo funciona de forma más segura, sino también más productivamente, ajustándose a la normativa establecida y generando menos llamadas al centro de asistencia técnica. Aunque los beneficios de una solución NAC son evidentes, la manera en la que las distintas soluciones hacen el trabajo –dependiendo de si se basan en hardware, si son en línea, fuera de banda, con agente o sin agente- las hace ser algo más complejas.

NAC basada en hardware

Consideremos primero la manera en la que hace su trabajo una solución basada en hardware. Esta forma de NAC suele requerir un dispositivo que opere ya sea en línea o fuera del tráfico de la red. Algunos de estos dispositivos sustituyen a los conmutadores de acceso, mientras que otros operan entre el punto de acceso y los conmutadores de la red. De cualquier manera, existen ciertos cambios en el despliegue, la gestión y la operatividad que hay que tener en cuenta.

En primer lugar, las soluciones basadas en hardware tienen un número inherente de desventajas. La más importante es que crean un único punto de fallo en la red. Pueden también provocar interrupciones en el tráfico y puede que no sean las mejores en redes geográficamente dispersas o altamente segmentadas. El dispositivo no sólo tiene que instalarse en toda la red, sino que cuanto más lejos esté la red, menos visibilidad del tráfico se conseguirá con esta solución. No tiene mucho sentido pensar que se está bien protegido con una NAC cuando no se puede ver o detener a un intruso en una gran subred.

En cuanto a las soluciones fuera de banda, como las que utilizan la red 802.11, también suelen requerir un alto nivel de configuración y cambios de la red y de los puertos para funcionar. Esto no sólo incrementa los costes administrativos sino también los riesgos de error.