Cómo elegir la mejor solución de Control de Acceso a la Red (NAC)

DRosolen,

Desde los basados en hardware, en agentes software hasta los que funcionan sin agentes e incluso las de tipo dinámico, todos ellos tienen en común mejorar la seguridad de nuestra red pero, ¿cuál elegir?

El NAC y las redes separadas geográficamente

Si pensamos en una red de gran tamaño hay muchas consideraciones a desarrollar, gestionar y administrar. Por ejemplo, en el caso de la opción basada en hardware, las soluciones de NAC “in-line”, que se asientan en el flujo de salida de los switches, son un potencial punto débil donde pueden producirse fallos. Y es que pueden ser perjudiciales si no pueden seguir el ritmo de muchos backbones actuales, con redes a 10 Gbps.

Además, las soluciones NAC “in-line” podrían no ser las ideales para redes geográficamente dispersas, o en redes altamente segmentadas. No sólo obliga a contar con un appliance en cada ubicación, sino que cuanto más arriba estén en la red, menos información recogerán acerca del tráfico de red.

Hay una sensación de mayor seguridad con NAC cuando no puedes ver o detener tráfico intruso en una red de gran tamaño. Las alternativas “out-of-band”, como las opciones que utilizan 802.1x, a menudo requieren múltiples cambios a nivel de red y configuración del servidor. Esto requiere de redes adicionales de cuarentena y configuración de los puertos de cada switch, así como reglas de acceso que deben ser configuradas en routers y switches. Todo esto no sólo incrementa los costes de administración, sino que también eleva los riesgos de cometer errores. Claramente, las soluciones NAC basadas en hardware ni son baratas, ni son la panacea.

Eso sí, estas soluciones hardware pueden proporcionar mayores niveles de seguridad y, dado que están enfocados específicamente al tráfico de red, pueden encontrar rápidamente código maligno que viaje a través del cableado.

Con las soluciones basadas en software, en redes geográficamente dispersas, los desafíos en cuanto a la gestión se mantienen pero se trasladan a los puntos finales (PCs, dispositivos, etc.), que necesitarán tener un cliente software instalado. Mientras que la opción de NAC sin agentes podría aliviar esta sobrecarga en la gestión, no proporciona una forma consistente de evaluar de manera minuciosa el estado de los clientes, lo que supone un aumento del riesgo para la seguridad a favor de la facilidad de administración.

Dado que el NAC dinámico gestiona sólo un cierto porcentaje de sistemas como supervisores de la seguridad, podría ayudarnos a aprovechar las posibilidades de las redes distribuidas actuales para protegerse.