Claves para elegir la mejor solución NAC

Hay muchas maneras de manejar el Control de Acceso a Redes, y como siempre, unas son mejores que otras. Según el ingeniero de red Paul Gann, decidir cuál es mejor depende de las necesidades de gestión que tenga el negocio y de las propias redes.

NAC con agente y sin agente
Otra solución es la que se basa en un agente. Nadie quiere tener que instalar, actualizar y mantener otra aplicación endpoint. Es una carga adicional para el equipo de TI y un catalizador más para las hordas de llamadas al servicio técnico.

La ventaja de utilizar un agente es que, dado que residen en el terminal, se puede realizar un escrutinio de mayor nivel, lo que debería ayudar a mejorar la seguridad. La realidad es que los agentes pueden ser la solucion disponible menos disruptiva, sobre todo en lo que respecta al tráfico de red. Esto es debido a que el agente funciona silenciosamente en la parte de atrás, limitándose a enviar actualizaciones periódicas al archivo de política del servidor y asegurándose de que todo esta protegido. Aún así no podemos negar la evidencia: nadie quiere instalar otra aplicación, por mucho que esto mejore la seguridad.

Así que la siguiente solución es la que no utiliza un agente. Una solución NAC tradicional sin agente implica escanear el sistema en busca de vulnerabilidades o evaluaciones de la política de seguridad, o ambas cosas, en los endpoints, antes de dar acceso total a la red. Ni que decir tiene que esto puede provocar demasiado stress en el tráfico de redes muy congestionadas. Los resultados del escaneo se envían al servidor de política y se toman acciones, si son necesarias, en los sistemas que no cumplen con las medidas necesarias.

La ventaja de una NAC sin agente es obvia: no es necesario instalar agentes. Desgraciadamente, no es tan simple. Siempre hay un “pero” y, en este caso, las soluciones sin agente no son una manera fiable de evaluar todo el estado del endpoint. Además, dado que la identidad no puede asegurarse examinando el tráfico de la red, los usuarios pueden ser engañados con esta táctica.

NAC dinámica
Así que sólo nos queda la NAC dinámica. Con esta solución existen agentes pero sólo se instalan en una parte del sistema. Conocida también como NAC “p2p”, esta solución no necesita que se hagan cambios en la red o el software para su instalación en todo el sistema. Los agentes se instalan en sistemas de confianza y, como si se tratarán de una verdadera fuerza policial, sólo se necesita que un número pequeño de ciudadanos actúen como tal para asegurar que todos los demás cumplan con las normas. De esta forma, es posible alcanzar el alto grado de seguridad asociado a los agentes y todos los beneficios de un NAC –sin la molestia de las soluciones basadas en hardware ni la necesidad de desplegar software en cada dispositivo de la red-.

Además, supón que se instala un número de “policías” en los equipos de sobremesa miembros de una LAN y que un sistema no verificado intenta entrar en la red. Estos policías restringirán el tráfico de la red hasta que el peligro desaparezca. Además, los agentes se comunicarán continuamente con el servidor central de política para aplicar medidas correctoras, si fuese necesario. Por tanto, un sistema podría quedar totalmente en cuarentena o ser bloqueado desde ciertos segmentos de la red, o permitir sólo el acceso a Internet.

Como podrás ver, existen grandes diferencias en la manera en la que un sistema NAC funciona. Es importante que evalúes las opciones para encontrar la solución NAC más efectiva para tu red, que será también la más barata de gestionar.