Embed Size (px)
Citation preview
BRUNO MONTEIRO | GIONNI LÚCIO | SÉRGIO AUGUSTO | WEMERSON COSTA
Conceitos
Entendendo o NAC
Benefícios
Tipos de NAC
Implementação
Aplicabilidade (cenários)
Softwares
Custos
Demonstração
Abordaremos nesta apresentação
Conceito
NAC (NETWORK CONTROL ACCESS)
A sigla NAC (Controle de Acesso de Rede ou Controle de Admissão à Rede), é um componente
importante de uma solução de gerenciamento de segurança abrangente.
O NAC protege a sua rede de acesso não autorizado, intrusões fraudulentas e exposições externas de
segurança introduzidas por dispositivos vulneráveis ou corrompidos que podem infectar e danificar sua rede.
Entendendo o NAC
CENÁRIO
QUARENTENA
REMEDIAÇÃO DOS RECURSOS
DISPOSITIVOS QUE QUEREM
CONECTAR NA REDE
DISPOSITIVO DE
CONTROLE DE
ACESSOSERVIDOR DE VALIDAÇÃO DE
POSTURAREDE CORPORATIVA
(PROTEGIDA)
Entendendo o NAC
Controle de acesso a rede
NAC é um termo que descreve várias tecnologias desenvolvidas para controlar/restringir acesso aos
usuários finais à rede, baseado em sua “saúde”. O conceito básico é que sistemas finais vulneráveis e perigosos
não deveriam comunicar na rede de negócios porque eles poderiam causar um risco de segurança para serviços
e processos críticos. Uma solução de NAC iria prevenir um sistema final “doente” de acessar a rede de uma
maneira normal até que o sistema final fosse determinado como “saudável” (NAC WHITEPAPER, 2008).
Benefícios
Porque utilizar o NAC?
Impede o acesso não autorizado à rede para proteger seus ativos de informação;
Ajuda a proativamente mitigar ameaças de rede, tais como vírus, worms e spyware;
resolve vulnerabilidades em máquinas de usuários através da avaliação periódica e remediação;
traz-lhe significativa redução de custos através do rastreamento automaticamente, reparar e atualizar
máquinas clientes;
Reconhece e categoriza os usuários e seus dispositivos antes de códigos maliciosos podem causar danos;
Avalia o cumprimento da política de segurança baseada no tipo de usuário, tipo de dispositivo e sistema
operacional;
Benefícios
Porque utilizar o NAC?
Reforça as políticas de segurança, bloqueando, isolando e reparação de máquinas não compatíveis em uma
área de quarentena sem a necessidade de atenção administrador;
Aplica-se serviços de avaliação e remediação de postura para uma variedade de dispositivos, sistemas
operacionais e; métodos de acesso de dispositivos, incluindo LAN, WLAN, WAN e VPN;
Reforça as políticas para todos os cenários que operam sem a necessidade de produtos separados ou
módulos adicionais;
Oferece autenticação sem cliente web para usuários convidados;
Tipos de NAC
Tipos
Agent-Based: Este tipo de NAC conta com um software que age em dispositivos terminais. O agente se
comunica com o servidor, e autentica uma rede conectada servidor NAC ou aparelho. A abordagem é simples,
mas é relativamente rígida e requer um software especial para ser instalada e aplicada em dispositivos de
usuário final.
Agentless: Com a opção do NAC sem agente, não há necessidade de instalar agentes especiais na área de
trabalho individual e computadores portáteis e dispositivos de usuário final de outro. Em vez disso, um agente
é armazenado em um diretório temporário. Evitar agentes torna mais fácil a implantação e simplifica as
operações NAC.
Tipos de NAC
Tipos
Inline: Um NAC inline tem todo o tráfego que passa através dele. O NAC funciona como um firewall de
camada de redes de acesso, reforçando as políticas de segurança. Embora conveniente, esta abordagem
pode criar gargalos throughput em redes maiores. Essa configuração também pode aumentar os custos ao
longo do tempo, uma vez que mais dispositivos embutidos devem ser acrescentados ao tráfego crescente.
Out-of-Band: uma alternativa para uma NAC inline é usar um out-of-band. Out-of-band utilizam as
capacidades de execução de infra-estrutura da rede. Com esta técnica, os agentes são normalmente
distribuídos como clientes que repassam os dados para um console central, que pode comandar a aplicar a
política. A abordagem é mais complexa, mas exerce um impacto mínimo sobre o desempenho da rede.
Implantação
Fases
1. Detecção e rastreamento dos sistemas finais;
2. Autorização dos sistemas finais;
3. Autorização dos sistemas finais com avaliação;
4. Autorização dos sistemas finais com avaliação e remediação;
Implantação
1. Detecção e rastreamento dos sistemas finais
Coleta de informação sobre todos os sistemas finais, sem causar nenhuma alteração nas conexões
existentes. Isso é basicamente um inventário dos sistemas finais conectados na rede. Pode ser feito com ou sem
autenticação.
Considera as regras pré-definidas e restrições relacionadas ao acesso a rede. Isso tipicamente requer
autenticação para garantir que políticas de acesso a rede específicas possam ser aplicadas para cada sistema
final e usuário.
2. Autorização dos sistemas finais
Implantação
3. Autorização dos sistemas finais com avaliação
Esse dado pode ser acessado via um sistema de gerenciamento externo (por distribuição de software),
um agente, ou por scan de rede. As informações típicas são: sistema operacional, vulnerabilidades, portas
abertas.
Depois que as políticas de acesso a rede são aplicadas aos sistemas finais individualmente, usando o
resultado dos dados da avaliação. Os usuários deveriam ser informados sobre essa avaliação e deveriam
receber a oportunidade de remediação caso não estejam em conformidade com as políticas de segurança
apropriadas.
4. Autorização dos sistemas finais com avaliação e remediação
Implantação
3. Autorização dos sistemas finais com avaliação
Esse dado pode ser acessado via um sistema de gerenciamento externo (por distribuição de software),
um agente, ou por scan de rede. As informações típicas são: sistema operacional, vulnerabilidades, portas
abertas.
Depois que as políticas de acesso a rede são aplicadas aos sistemas finais individualmente, usando o
resultado dos dados da avaliação. Os usuários deveriam ser informados sobre essa avaliação e deveriam
receber a oportunidade de remediação caso não estejam em conformidade com as políticas de segurança
apropriadas.
4. Autorização dos sistemas finais com avaliação e remediação
Softwares
Packetfense
Softwares
CISCO NAC
http://www.cisco.com/c/dam/en/us/td/i/300001-400000/300001-310000/302001-303000/302167.tif/_jcr_content/renditions/302167.jpg
Custo
Sistemas
Existem uma gama de sistemas NAC proprietários, como o CISCO NAC, por exemplo. Existem também
NAC open-source, o Packetfense.
