terça-feira, 27 de março de 2007

NAC: Perspectivas para uma rede mais segura

Se você é um profissional da segurança da informação, provavelmente já ouviu falar de TAP (Total Access Protection), NAP (Network Access Protection) ou NAC (Network Admission Control/Network Access Control).



Embora esta última seja mais usual, todas as siglas citadas descrevem sistemas de acesso à rede que fornecem uma série de funcionalidades focadas em integrar a autenticação do usuário, o gerenciamento da “saúde” da máquina, a proteção contra ameaças e o controle de acesso baseado em políticas, nas redes das organizações.
Há alguns anos, a Cisco e a Microsoft criaram conceitos-chave que iriam ditar o desenvolvimento do NAC, mas essa tecnologia ganhou proporções maiores quando a Cisco, através de uma iniciativa liderada por ela, divulgou a solução Network Admission Control. Desde então, as empresas têm adotado o NAC para gerenciar o acesso às suas informações e impedir a propagação de malwares, aumentando de forma efetiva o controle do acesso aos recursos da rede e a segurança das informações que nela trafegam.
Os produtos NAC garantem que computadores e laptops conectados à rede estejam em conformidade com as políticas da organização e que medidas de quarentena e isolamento sejam tomadas para os dispositivos comprometidos até que eles estejam limpos e reparados. O NAC não faz somente a verificação dos computadores usados pelos empregados, mas também verifica a “saúde” dos equipamentos dos visitantes, consultores ou fornecedores que precisam ter acesso à rede da organização.
O NAC pode ser dividido em três fases macro: avaliação, isolamento e reparo. Quando um equipamento entra na rede, ele passa, no mínimo, pela fase de avaliação que é composta pelas funções de autenticação, autorização e validação. As outras fases (isolamento e reparo) são desempenhadas a depender da política do NAC e se o dispositivo está comprometido. Resumindo, as funções aferidas durante o processo do NAC são autenticação, autorização, validação, quarentena, reparo e inspeção. A autenticação e autorização estão intrinsecamente ligadas e correspondem à fase inicial do processo, em que o dispositivo é identificado na rede para que o acesso dele seja liberado ou negado. A identificação e o controle do acesso são desempenhados através de mecanismos que utilizam o padrão 802.1x e serviços DHCP. Depois que o dispositivo é detectado, ele deve passar pela validação, em que é verificado se está de acordo com as políticas estabelecidas pelo departamento de TI e se atende aos requisitos de verificação de patches atualizados, assinaturas de antivírus, serviços e aplicações ativas, entre outros, para acessar a rede. Caso o dispositivo não esteja em conformidade com as políticas da organização, ele é encaminhado para quarentena e o acesso à rede é bloqueado. Sendo o sistema de controle de acesso à rede mais robusto, este dispositivo pode ser redirecionado para um servidor de quarentena no qual passará por um reparo que, a depender das políticas pré-definidas, inclui atualização das assinaturas de antivírus e dos patches do sistema operacional, limpeza de malwares detectados e desativação de serviços desnecessários. Mesmo depois de identificado e validado na rede, o dispositivo pode ter todo seu tráfego analisado. A inspeção tornou-se uma das principais funções da arquitetura NAC, que por sua vez é avaliada de acordo com a eficiência do sistema de prevenção de intrusão (IDS/IPS) adotado.
O NAC pode ser classificado em três categorias que caracterizam a forma como ele é integrado na infra-estrutura de rede. Os appliances NAC, que são divididos em in-line e out-of-band, são integrados de forma mais simples, porém provêem as principais funções da arquitetura NAC. Os arcabouços NAC compõem uma arquitetura mais elaborada, pois integram soluções de terceiros na infra-estrutura de rede envolvendo switches next generation com suporte à tecnologia NAC. Por fim, existem as soluções de segurança para desktops que estenderam seus produtos de antivírus a alguns recursos de NAC, reforçando a segurança de endpoints.
Os appliances NAC podem operar no modo in-line ou out-of-band. As soluções in-line monitoram todo tráfego, desde a função de autenticação até inspeção, permitindo maior controle sobre o que é transmitido na rede. Por conta disso, os appliances de arquitetura in-line são recomendados para redes sem fio. Já as soluções que operam em out-of-band monitoram somente a “entrada” do dispositivo na rede, pois não existe visibilidade do tráfego transmitido após as etapas iniciais. A vantagem desse tipo de solução é que políticas podem ser aplicadas nos equipamentos existentes, o que torna mais fácil a sua implementação.
Microsoft, Cisco e o Trusted Computing Group têm se empenhado bastante para facilitar a integração entre seus produtos NAC e expandir o mercado de controle de acesso à rede. O Trusted Computing Group definiu um arcabouço padrão chamado Trusted Network Connect (TCN) como alternativa aberta para as iniciativas proprietárias do NAC. Este arcabouço tem como meta fornecer segurança dos endpoints a qualquer conexão na rede, permitindo a interoperabilidade entre equipamentos de diferentes fabricantes.
Com um crescimento significativo, o NAC agora lidera o ranking das tecnologias mais cobiçadas em segurança de TI e já começa a entrar nos planos orçamentários de diversas empresas. Uma pesquisa feita no início de 2006 pela consultoria Infonetics Research mostra que o rendimento das soluções envolvendo NAC chegará aos quatro bilhões de dólares no próximo ano, um crescimento de 1.101% entre 2005 e 2008. Usado na proteção de redes sem fio, VPNs ou em computadores que se conectam a servidores de aplicações críticas, o NAC é uma tecnologia bastante promissora e um grande desafio para os CSOs é decidir que solução, levando em consideração o custo e o benefício, se encaixa melhor para suas empresas.

Nenhum comentário:

Postar um comentário