Desde que los enfoques de confianza cero (zero trust) han comenzado a abrirse paso en los esquemas de seguridad informática de las empresas, en muchos departamentos de IT comienza a hablarse con cada vez más frecuencia de NAC (Network Access Control), una técnica que impide que usuarios no autorizados y dispositivos no conocidos puedan acceder a redes privadas de la organización y por lo tanto, a información sensible de la misma.
Aunque no hablamos de una técnica ni mucho menos nueva (se empieza a hablar de NAC a mediados de la pasada década), ha sido con el auge del BYOD, la movilidad de los trabajadores y especialmente a partir de la pandemia, cuando ha comenzado a popularizarse…Y es que en sus nuevas implementaciones además de autenticar usuarios, también permite gestionar endpoints y aplicar políticas de seguridad.
¿Cómo funciona NAC?
Las herramientas NAC funcionan en realidad de una forma bastante sencilla. Una vez implementadas, detectan todos los dispositivos que se han conectado o quieren conectarse a una red corporativa, proporcionando visibilidad sobre todos ellos.
A partir de aquí y a través de una serie de reglas definidas previamente por el departamento de TI, impide que los usuarios no autorizados puedan conectarse a la red; además aplica políticas de seguridad en los endpoints a los que sí se les permite conectarse para garantizar que se comportan de forma correcta dentro del perímetro empresarial. En este sentido, las soluciones NAC pueden asegurarse entre otras cosas, que el portátil que se quiere conectar a la red Wi-Fi de la organización tenga un antivirus actualizado a su última versión y otras herramientas antimalware recomendadas.
A los dispositivos que no cumplen con estos requisitos se les puede impedir por completo el acceso a la red, pero también se les puede poner en «cuarentena» (a la espera de que los cumplan) o en ocasiones se les puede permitir la entrada pero obteniendo únicamente privilegios limitados.
Este tipo de herramientas suelen en realidad, trabajar en dos etapas diferentes. En la primera, identifican a los usuarios y verifican sus credenciales. Para ello puede servirse de todo tipo de técnicas, desde el uso de contraseñas o pines de un solo uso, hasta soluciones biométricas.
En la segunda y más interesante, aplica una serie de factores destinados a garantizar la seguridad, analizando por ejemplo el estado del dispositivo, la ubicación en la que se encuentra, o el rol que tiene el usuario, de modo que muchas solo garantizan un acceso a la red corporativa en función de los privilegios que se han asignado a cada uno.
¿Qué tipo de aproximaciones hay?
No todas las herramientas NAC funcionan de la misma forma y de hecho, en el mercado conviven distintos enfoques.
Las principales diferencias sin embargo las encontramos a la hora de examinar cuándo se inspeccionan los dispositivos que se quieren conectar a una red y cómo se extrae la información de ese dispositivo. Teniendo esto en cuenta, podemos encontrar las siguientes aproximaciones:
Preadmisión vs. Postadmisión: Hay dos formas en que NAC autoriza el acceso a los dispositivos finales. En los diseños de preadmisión, los dispositivos se inspeccionan y se aplican las políticas antes de concederles acceso a la red. Este enfoque es el más adecuado para los casos de uso en los que los dispositivos pueden no tener antivirus y otras políticas de red actualizadas.
Conoce más aquí
