| Artículos | 14 OCT 2007

El futuro de NAC

CIO

Seguramente estará utilizando ya control de acceso a red (NAC) en su organización o esté planteándose la posibilidad de hacerlo en el futuro. El hecho es que NAC es hoy en día uno de los componentes más candentes en las infraestructuras y estrategias corporativas de seguridad global. ¿Pero seguiremos hablando de NAC dentro de unos años? 

La respuesta es indudablemente afirmativa. Y ello se debe principalmente a que NAC hace referencia más a un concepto que agrupa múltiples procesos y tecnologías en evolución para asegurar la imposición de las políticas de seguridad corporativa que a una tecnología por sí misma. Así, aunque los métodos para la imposición de tales políticas cambiarán, su necesidad no lo hará.                   
      
El concepto de control de acceso a red abarca cualquier tecnología que permita a las empresas garantizar la imposición de las políticas de seguridad corporativas a los puntos finales conectados a sus redes. Estas políticas de seguridad para puntos finales, pueden exigir, por ejemplo, que los dispositivos tengan completamente actualizados los parches de seguridad o las herramientas antivirus. También pueden haber sido definidas para prevenir la utilización de determinadas aplicaciones, como la compartición de ficheros peer-to-peer (P2P) o la mensajería instantánea. Es decir, determinan el estado y el comportamiento permitido por la empresa a los puntos finales conectados a sus redes.

Base tecnológica, pero también mucho marketing

Las políticas de seguridad NAC en el punto final sólo son verificables mediante el análisis de tales puntos desde el interior de las redes corporativas con vistas a establecer su nivel de conformidad con las normas de seguridad de la empresa. Este proceso implica la toma de medidas sobre el dispositivo que intenta conectarse, como las versiones de ficheros o la suma de verificaciones (checksums), y su posterior contrastación con los valores de referencia definidos por la empresa. Pero también exige, por ejemplo, la continua actualización de firmas y de parches disponibles, y, por tanto, es probable que las bases de datos de valores de referencia cambien casi diariamente. Así pues, aunque el análisis del punto final es la calve de NAC, para el correcto examen de los dispositivos exigirá una considerable infraestructura en las instalaciones corporativas para soportar todos los procesos implicados.

Pero no debemos dejarnos deslumbrar y sí tener presente que el concepto de NAC tiene también mucho de marketing. Recordemos cuando las redes estaban formadas de routers y bridges. Desde la perspectiva del modelo OSI (Open Systems Interconnection), éstos actuaban en las capas 3 y dos respectivamente. Después llegaron los conmutadores, presentados por los fabricantes como plataformas de nivel 2 y/o 3 capaces de fusionar las capas que antes cubrían por separado los routers y bridges.

Con estos mensajes, el discurso de marketing quería generar en los usuarios la sensación de que los conmutadores de nivel 3 eran nuevos y los routers, por el contrario, algo del pasado. Es cierto que los conmutadores introducían avances en las tecnologías y metodologías, como el cambio del encaminamiento basado en software al basado en hardware. Pero, aunque podría haberse hablado de “routing basado en hardware”, esta forma de presentarlo no hubiera llevado asociadas las mismas connotaciones de innovación, a la que siempre acompaña una mayor expectación. Por eso, los especialistas en marketing prefirieron hablar de “conmutación de nivel 3” y anunciar el nacimiento –aunque en realidad se tratara de un renacimiento- de un “nuevo” mercado.

Desde los servidores de terminal
De igual forma, NAC no es un concepto nuevo, sino más bien un conjunto de metodologías re-empaquetadas y mejoradas. Los controles de acceso a red esenciales han existido desde el momento mismo en que aparecieron las redes compartidas. Consideremos los días de los servidores de terminal, en los que un cliente se autenticaba, a menudo vía módem o conexión en serie, y conseguía así conectarse mediante el protocolo Telnet a un dispositivo corporativo. De esta manera se conseguía un mecanismo de acceso controlado a los recursos en red vía autenticación simple en el servidor de terminal, lo que no deja de ser una forma básica de NAC.

Sin embargo, la explosión de las LAN, de las bases de datos online y del mundo conectado en general fue creando una enorme y urgente demanda de acceso a cualquier cosa, en cualquier lugar, en cualquier momento y casi desde cualquier tipo de dispositivo. El control de acceso a red se convirtió en algo secundario porque los esfuerzos de seguridad fueron concentrándose en los puntos finales. Pero a medida que las vulnerabilidades de tales puntos han empezado a ser explotadas cada vez en mayor medida y más rápidamente, la idea de controlar el acceso a red volvió a estar en boga.

Por tanto, la cuestión no es realmente tanto si NAC es una moda que terminará por desaparecer –lleva con nosotros muchos años y seguirá estándolo- sino, más bien, cómo evolucionará. Hay muchos productos hoy en día que utilizan escaneo de puntos finales para la evaluación de la situación de seguridad de los dispositivos, y estándares de red como manipulación Address Resolution Protocol (ARP) y asignación de red Dynamic Host Configuration Protocol (DHCP) para satisfacer las necesidades NAC. Sin embargo, estos métodos tienen sus limitaciones, principalmente debido a que fuerzan los protocolos aplicándolos más allá de las intenciones que guiaron su diseño original.

Carencia de estándares
Otros productos NAC utilizan métodos propietarios más avanzados para la valoración de la situación de los dispositivos clientes que intentan entrar en las redes, pero carecen de la naturaleza de estándares que garantizaría la interoperatividad multifabricante. Así pues, el principal problema para el desarrollo del mercado NAC en estos momentos reside en la ausencia de una suite de estándares cohesiva, unificada y bien definida que normalice la operativa NAC. Algo por otra parte esencial en este terreno dado que NAC implica una diversidad de elementos -dispositivos clientes, agentes cliente, servidores de políticas, protocolos para el transporte de la información desde los dispositivos a los

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información