UNIVERSIDADE TECNOLGICA FEDERAL DO PARAN

PROGRAMA DE PS-GRADUAO EM TECNOLOGIA

ESPECIALIZAO EM TELEINFORMTICA E REDES DE COMPUTADORES




ALAN FLVIO FOLLMANN




IMPLANTAO DE NAC EM AMBIENTES CORPORATIVOS





MONOGRAFIA DE ESPECIALIZAO










CURITIBA
2011

OUTROSTRABALHOSEM:
www.projetoderedes.com.br

ALAN FLVIO FOLLMANN









IMPLANTAO DE NAC EM AMBIENTES CORPORATIVOS







Monografia apresentada como requisito parcial
obteno do ttulo de Especialista em
Teleinformtica e Redes de Computadores, do
DAELN, da Universidade Tecnolgica Federal do
Paran,.
Orientador: Prof. Kleber Kendy Horikawa Nabas










CURITIBA
2011



RESUMO


Este trabalho apresenta uma abordagem terica sobre a implantao da tecnologia
NAC para o controle de acesso s redes de dados, tendo o foco em ambientes
corporativos. Evidencia a necessidade de investimentos em segurana dinmica por
parte das empresas, com o objetivo de controlar os diferentes tipos de usurios e
dispositivos conectados rede. Apresenta as questes que devem ser levantadas
durante a preparao e execuo do projeto. Discute de forma detalhada as fases
de implantao, abordando os obstculos a serem superados e as boas prticas a
serem seguidas para o sucesso do projeto, com base na literatura pertinente ao
texto.



Palavras-chave: Autenticao. Avaliao. Autorizao. Remediao. NAC.

















ABSTRACT


This paper presents a theoretical approach on deploying NAC technology to control
access to data networks, with focus in corporate environments. Highlights the need
for dynamic security investments by firms in order to control the different types of
users and devices connected to the network. It presents the issues to be raised
during the preparation and execution of the project. Discusses in detail the
deployment, addressing the obstacles to be overcome and the good practices to be
followed for the success of the project, based on the literature pertaining to the text.



Keywords: Authentication. Assessment. Authorization. Remediation. NAC.




SUMRIO


1 INTRODUO ....................................................................................................................... 6
2 ENTENDENDO O NAC ......................................................................................................... 8
3 PREPARANDO PARA O NAC ........................................................................................... 11
3.1 Principal Objetivo ........................................................................................................... 11
3.2 Sistemas Finais e Usurios a Serem Suportados ............................................................ 12
4 IMPLANTAO .................................................................................................................. 13
5 DETECO E AUTENTICAO ...................................................................................... 14
6 AVALIAO ....................................................................................................................... 16
6.1 Sem Agente .................................................................................................................... 17
6.2 Com Agente .................................................................................................................... 18
7 AUTORIZAO .................................................................................................................. 20
8 REMEDIAO .................................................................................................................... 22
9 MONITORAMENTO ........................................................................................................... 24
10 CONCLUSO ..................................................................................................................... 25
11 REFERNCIAS .................................................................................................................. 26


6
1 INTRODUO


NAC uma sigla do ingls (Network Access Control) que significa Controle
de Acesso Rede, sendo algumas vezes tambm referenciado como Controle de
Admisso Rede. um termo com uma histria de utilizao entre os fabricantes
de infraestrutura de rede, sistemas operacionais e softwares de segurana. Os
fabricantes de infraestrutura de rede originalmente introduziram tecnologias de
controle de acesso com solues baseadas em autenticao e autorizao para
controle da comunicao dos usurios e equipamentos. Os sistemas baseados nas
credenciais dos usurios e equipamentos permitiram as organizaes de TI
administrar de forma centralizada quem e o que estava permitido comunicar na rede.
Com o tempo esse conceito de controle de acesso a rede comeou a evoluir
para incluir um conjunto de informaes mais sofisticadas, usadas para determinar
quem e o que permitido comunicar na rede a partir de uma determinada
localizao em um determinado horrio. Fabricantes de sistemas operacionais e
softwares de segurana poderiam fornecer informaes sobre os sistemas finais,
que poderiam ser utilizadas em adio com as credenciais no processo de
autenticao. A avaliao da sade dos sistemas finais, incluindo a ameaa que os
sistemas finais poderiam causar para o ambiente de rede, e a vulnerabilidade dos
sistemas finais para ficarem infectados com vrus e worms (subclasse de vrus),
poderia ser parte do contexto usado no processo de autenticao e autorizao.
A partir dessa abordagem mltipla para determinar quem e o que deveria ser
permitido na rede, e quando e onde um sistema final deveria ter acesso, veio a
promoo da indstria para o agora comumente usado termo NAC. As solues de
NAC atuais podem ajudar a proteger uma organizao do uso indesejado da rede,
ameaas de segurana intencionais e no intencionais, e ataques de negao de
servio propagados por worms e vrus atravs de sistemas finais vulnerveis. As
solues NAC podem tambm ajudar a impor polticas de comunicao, permitindo
melhor alocao de recursos de rede para que os processos sejam to eficientes
quanto possvel. O benefcio para uma organizao ao implementar a soluo NAC
um ambiente de negcios mais seguro e eficiente. O desafio est em entender as
7
muitas tecnologias envolvidas nas vrias solues NAC do mercado, e encontrar
uma abordagem de arquitetura que oferea vrias funes crticas:

- Visibilidade e gesto de identidade dos vrios sistemas finais conectados na rede;

- Avaliao dos sistemas finais, antes deles estarem com acesso permitido na rede
(pr-conexo) e depois que eles estiverem conectados na rede (ps-conexo);

- Assistncias de remedio para sistemas finais e/ou usurios que no estiverem
em conformidade com as polticas de segurana da rede;

- Relatrios de conformidade que detalhem onde os sistemas finais esto na rede e
o que eles estavam fazendo na rede.

Poucas empresas hoje so entidades fechadas com permetros de segurana
bem definidos. As empresas se esforam para fornecer acesso s informaes aos
usurios a qualquer hora e de qualquer lugar. Usurios mveis, servios
terceirizados, acesso remoto, visitantes, necessitam de acesso rede para
executarem seus trabalhos; trazendo seus equipamentos para dentro e fora dos
escritrios. Assim, as empresas acabam expondo suas redes s ameaas e
ataques. Violaes da rede podem levar perda de informao, privacidade
pessoal, propriedade intelectual e outros dados crticos (CISCO, 2009).
A habilidade de uma organizao em gerenciar o acesso do usurio e a
segurana do sistema final um componente crtico para garantir segurana global
e disponibilidade de sua infraestrutura de TI. As solues que fornecem tecnologias
proativas e reativas para garantir a continuidade dos negcios iro providenciar um
significativo retorno nos investimentos. O NAC um elemento essencial para uma
arquitetura de segurana geral para proteger confidencialidade, integridade e
disponibilidade das informaes.
8
2 ENTENDENDO O NAC


Apesar de NAC ser um termo comum hoje em dia para as organizaes de TI,
h muita discusso em torno do que o NAC envolve e o que no envolve. Alguns
vem o NAC como simplesmente o registro e autorizao das mquinas conectadas
na rede. Alguns vem NAC como uma soluo para proteger o ambiente de rede
dos vrus e worms. Outros vem o NAC como um porteiro da rede, com a funo
de controlar como as mquinas, que no esto em conformidade com as diretrizes
corporativas de computao, podem acessar a rede. Uma soluo NAC bem
planejada na verdade todas essas coisas.
NAC um termo que descreve vrias tecnologias desenvolvidas para
controlar/restringir acesso aos usurios finais rede, baseado em sua sade. O
conceito bsico que sistemas finais vulnerveis e perigosos no deveriam
comunicar na rede de negcios porque eles poderiam causar um risco de segurana
para servios e processos crticos. Uma soluo de NAC iria prevenir um sistema
final doente de acessar a rede de uma maneira normal at que o sistema final
fosse determinado como saudvel (NAC WHITEPAPER, 2008).
A verificao da sade de um equipamento conectado na rede tambm
conhecida como avaliao do sistema final. Sistemas finais podem ser os PCs
tradicionais, impressoras, telefones IP, cmeras de segurana IP, etc. Uma
avaliao deveria descobrir o nvel de vulnerabilidade e o nvel de ameaa de um
sistema final. Elementos como patch de segurana, presena de antivrus,
atualizao de assinaturas de antivrus, aplicaes sendo executadas, portas
abertas, etc..., podem ser investigadas para determinar a sade geral do sistema
final.
Uma abordagem desejvel de NAC deveria permitir a avaliao de qualquer
tipo de sistema final conectado na rede. Isso criticamente importante devido ao
aumento da diversidade dos sistemas finais conectados nas redes. Para ter uma
postura abrangente e proativa para a segurana da rede, cada sistema final
conectado na rede (no interessa qual tipo de equipamento) deve ser desafiado
por uma soluo de NAC. A funo atual de avaliao pode ser fornecida por vrias
aplicaes. A aplicao de avaliao pode requerer um agente instalado no sistema
9
final, ou pode funcionar completamente independente dos sistemas finais, de uma
maneira sem agente instalado.
Muitos vendedores de solues NAC atuais no contam com um desafio de
autenticao para os sistemas finais, como parte do processo de controle de acesso.
Autenticao deveria ser um fundamento crtico para qualquer soluo de NAC, e
necessria para obter escalabilidade, flexibilidade, visibilidade, e para fazer cumprir
os requerimentos de uso da rede e polticas de segurana. Uma vez que um usurio
ou mquina est autenticado (as credenciais foram verificadas) o processo de
autorizao toma lugar, alterando a configurao da porta de rede de origem fsica
ou virtual, para permitir comunicao baseada em um conjunto de regras de
polticas. Avanadas tecnologias de autorizao deveriam utilizar contextos
adicionais como localizao, hora do dia, endereo MAC, etc.., resultando em uma
soluo robusta. A flexibilidade de autenticao multiusurio, multimtodo em um
vendedor de soluo NAC significa que no h necessidade de substituio de
qualquer dos switches de borda para ganhar visibilidade e controle sobre aqueles
usurios e equipamentos conectados (JABBUSH, 2010).
Depois que o processo de avaliao e autorizao dos sistemas finais
realizado, se for determinado que um sistema final est fora de conformidade com
as polticas de segurana da rede, o sistema final colocado em um estado de
quarentena na rede. O processo de execuo de poltica de quarentena deve
envolver polticas de comunicao na rede bem granulares (no simplesmente
atribuio de VLAN). Alm do que, colocar todos os sistemas finais doentes dentro
da mesma VLAN de quarentena apenas significa que eles iro infectar uns aos
outros com novas vulnerabilidades.
Remediao o ato de retificar um problema para deixar em conformidade
com as polticas pr-definidas. O processo de remediao como parte da soluo
NAC permite aos usurios colocados em um estado de quarentena a ficarem em
conformidade. importante que o usurio de rede esteja envolvido no processo de
remediao para que a eficincia do processo de negcios seja maximizada.
Quando um usurio ou seu sistema final tem um problema, eles deveriam ser
capazes de consertar isso sem ter que envolver a equipe de TI. Isso ir impedir que
a equipe de suporte seja bombardeada com problemas de configuraes e
conformidade dos sistemas finais. Para que esse processo seja efetivo, a soluo
NAC deve fornecer uma notificao ao usurio quando um sistema final colocado
10
em quarentena na rede. As polticas de comunicao devem ser aplicadas como
parte do estado de quarentena para permitir comunicao segura aos servios
necessrios para deixarem o sistema final em estado de conformidade.
Autenticao, avaliao, autorizao, aplicao de polticas e remediao so
todas partes crticas de um soluo de NAC abrangente. H muitos produtos e
tecnologias disponveis de mltiplos vendedores que oferecem algumas dessas
partes. Uma soluo de NAC integrada, com arquitetura aberta dever fornecer
todos essas partes crticas trabalhando juntas.




11
3 PREPARANDO PARA O NAC


Se aplicado em toda empresa, a implantao do NAC pode ser um projeto
extenso e ir requerer muita preparao. As informaes a seguir iro descrever
algumas das preparaes que podem ser tomadas por uma organizao de TI para
garantir o sucesso do projeto NAC.

3.1 Principal Objetivo

Antes de embarcar em um projeto de implantao de soluo NAC,
importante entender os principais benefcios para os negcios que se deseja
alcanar com o NAC. Um exemplo poderia ser o seguinte:

Ns gostaramos de implementar NAC para garantir que nossos visitantes possam
acessar a internet em nossas salas de reunio. Aos visitantes no deve ser
permitido comunicao com a rede interna da empresa. Todos os sistemas finais
conectados na rede devem ter um nvel mnimo de segurana. (UNDERSTANDING
NAC, 2010)

Com esse exemplo, os elementos fundamentais de um projeto NAC podem ser
determinados:

- Quem permitido conectar na rede?
- Como eles so permitidos conectar?
- O que eles esto autorizados a conectar?
- Onde eles devem ter acesso?

O NAC geralmente um processo, e pode ser separado em:
- Funo (quem?)
- Direitos (como?)
- Recursos (o que?)
- Localizao (onde?)
12
Um componente de tempo tambm pode ser adicionado (quando algum pode
acessar?)

3.2 Sistemas Finais e Usurios a Serem Suportados

Um dos desafios de uma implementao NAC a integrao com os
diferentes tipos de sistemas finais. Considerando as diversas opes de
identificao, autenticao e avaliao no ponto de acesso rede, pode ser difcil
garantir uma cobertura completa com uma soluo NAC. Para garantir a aplicao
do NAC de forma abrangente, ser necessrio saber com antecedncia que tipos de
sistemas finais existem e quais direitos eles deveriam ter no ambiente de rede.
Grupos e recursos precisam ser atribudos para sistemas finais bem como para
usurios. Os grupos no deveriam ser muito especficos para no tornar o trabalho
administrativo muito difcil.

Algumas questes para preparao:

- Todos os tipos de equipamentos e usurios de rede so conhecidos?
- Todos os recursos necessrios para os grupos definidos foram identificados?
- H alguma restrio fsica ou lgica?
- Os recursos podem ser agrupados juntos?
- Deve ser concedido o acesso em geral e negado especificamente, ou vice-versa?

Mesmo que o projeto comece com apenas alguns equipamentos ou grupos de
usurios, necessrio ter uma viso completa do projeto inteiro para escolher a
arquitetura de NAC correta. Uma soluo baseada em agente, por exemplo, no
seria aplicvel a todos os tipos de equipamentos como impressoras, telefones IP, e
outros. Isso pode causar problemas aps a implantao pelo fato de muitos dos
clientes no serem gerenciveis (TIPPINPOINT NAC, 2008).
13
4 IMPLANTAO


Uma abordagem baseada em fases o mtodo preferido para a implantao
de soluo NAC. Em geral, uma implantao NAC pode ser separada nas seguintes
fases (UNDERSTANDING NAC, 2010):

Fase 1: Deteco e rastreamento dos sistemas finais
Fase 2: Autorizao dos sistemas finais
Fase 3: Autorizao dos sistemas finais com avaliao
Fase 4: Autorizao dos sistemas finais com avaliao e remediao

Fase 1: Coleta de informao sobre todos os sistemas finais, sem causar nenhuma
alterao nas conexes existentes. Isso basicamente um inventrio dos sistemas
finais conectados na rede. Pode ser feito com ou sem autenticao.

Fase 2: Considera as regras pr-definidas e restries relacionadas ao acesso a
rede. Isso tipicamente requer autenticao para garantir que polticas de acesso a
rede especficas possam ser aplicadas para cada sistema final e usurio.

Fase 3: Avaliao de todos os sistemas finais. Esse dado pode ser acessado via um
sistema de gerenciamento externo (por distribuio de software), um agente, ou por
scan de rede. As informaes tpicas so: sistema operacional, vulnerabilidades,
portas abertas.

Fase 4: Depois que as polticas de acesso a rede so aplicadas aos sistemas finais
individualmente, usando o resultado dos dados da avaliao. Os usurios deveriam
ser informados sobre essa avaliao e deveriam receber a oportunidade de
remediao caso no estejam em conformidade com as polticas de segurana
apropriadas.

As prximas sees iro detalhar as tecnologias empregadas para a
implantao de NAC em fases.
14
5 DETECO E AUTENTICAO


Todos deveriam ser capazes de acessar a rede a qualquer hora e de qualquer
lugar, e a rede deveria reagir dinamicamente e automaticamente de acordo com as
regras definidas para os equipamentos e/ou usurios fazendo conexo.
Para que isso acontea necessrio saber quem est conectado na rede e
onde eles esto localizados. A documentao manual da rede deveria ser
desnecessria. Com NAC, a empresa deveria ser capaz de realizar uma
documentao automtica da rede.

Como pode um sistema final ou usurio ser identificado?

Os equipamentos inline tm um mtodo bvio para fazer a identificao. Os
sistemas finais esto diretamente conectados neles, e assim so imediatamente
vistos pelo sistema.
Onde no h equipamentos inline para identificao, uma variedade de
mtodos pode ser utilizada para identificao dos equipamentos que esto se
conectando na rede. Endereos MAC e IP so os mtodos mais comumente
utilizados para identificao, mas eles podem mudar em menos de alguns minutos,
sendo portanto adequados de forma limitada. Na verdade, a identificao de um
sistema final anda de mos dadas com sua autenticao. O mesmo mecanismo que
usado para autenticao freqentemente tambm usado para identificar os
sistemas finais. Autenticao o mtodo pelo qual a soluo NAC identifica os
usurios ou equipamentos como sendo autorizados na rede (EDWARDS, 2009).
Contudo, a questo que precisa ser feita antes de decidir sobre qualquer
mtodo utilizar, :

qual autenticao suportada pelo sistema final?


15
Existem muitos mtodos que podem ser utilizados para autenticao de
sistemas finais e usurios. Uma soluo de NAC abrangente deveria ser capaz de
suportar mltiplos mtodos:

- 802.X port based (via RADIUS)
- MAC based (via RADIUS)
- Web based
- Static port/Mac configuration
- Dynamic port/MAC configuration (SNMP)
- Kerberos Snooping

Outros contextos como hostname (nome da mquina) ou endereo IP podem
ser utilizados para identificao. Isso pode ser bastante til, especialmente para
sistemas que no sejam computadores.
importante notar que algumas solues NAC omitem a funcionalidade de
autenticao, e utilizam apenas o mtodo de identificao em combinao com a
avaliao para determinar se o usurio ou equipamento deveriam estar na rede
(NAC COMPARISON, 2007).




16
6 AVALIAO


Uma forte integrao do processo de registro para avaliao de sistemas
finais ainda no comum. O processo de registro um componente importante da
implantao do NAC. Os padres de avaliaes so a Microsoft (Network Access
Protection) e TNC (Trusted Network Connect). O IETF tambm est trabalhando
nisso, mas ainda no tem uma soluo completa at o momento. A funo de
avaliao vai alm da porta do switch e tenta avaliar o sistema final em si (FRATTO,
2007).
A Avaliao, ou verificao da sade, pode ser separada em dois mtodos:

Sem Agente:
1. Baseado na Rede um scanner de rede varre os sistemas finais
remotamente (utilizando a rede).
2. Baseado em Applet uma applet Java usada para lanar funes de
avaliao nos sistemas finais (baseado em navegador).

Com Agente:
1. Agente Temporrio tambm conhecido como agente dissolvvel. Pode ser
carregado e descarregado do sistema final. No requer direito administrativo
para executar as verificaes de conformidade.
2. Agente Permanente um conjunto permanente de software com firewall e
deteco de intrusos instalado no sistema final.

Durante uma avaliao, os sistemas finais so verificados para saber se esto
em conformidade e/ou vulnerveis. Isso tambm inclui testes do firewall instalado no
sistema final e outras aplicaes, a procura de vulnerabilidades.
A escolha de qual mtodo de avaliao o mais apropriado para um
ambiente em particular baseada no que se deseja verificar e quais possibilidades o
sistema final permite. Obviamente seria um grande desafio conseguir instalar um
agente em uma impressora ou em um telefone IP. Por outro lado, um scanner de
17
rede pode ter problemas com um antivrus local quando tentar varrer o sistema final
a procura de assinaturas de vrus.
O tempo de avaliao e a carga produzida na rede tambm so bem
diferentes para cada mtodo. Um scanner de rede varre a rede e,
conseqentemente causa uma carga maior, requerendo mais banda. Um agente
realoca essa carga dentro do cliente e ir necessitar somente de recursos locais at
que o relatrio final seja enviado para a administrao. Os recursos locais
requeridos por um Agente Permanente podem ser grandes, uma vez que eles
trabalham com aplicaes prprias para servir como firewall e sistemas de
preveno de intrusos. O tempo estimado para varredura com qualquer um desses
mtodos difcil de medir, pois depende de testes e os propsitos. Uma varredura
rpida no firewall local com certeza mais simples e rpida do que uma varredura
abrangente com testes de vulnerabilidades em milhares de portas em camada 4 do
modelo OSI.
Uma avaliao extensiva pode no somente fornecer informaes sobre o
estado da sade dos sistemas finais, mas tambm informaes adicionais para
propsitos de inventrio e auditoria (JABBUSH, 2010).

6.1 Sem Agente

A extenso dos testes de sistemas finais depende em parte do software
utilizado para a avaliao. H um grande mercado para scanners de vulnerabilidade,
oferecendo uma enorme variedade de programas que so projetados somente para
isso e so continuamente atualizados com conjuntos de novos testes.

Geralmente uma avaliao inclui os seguintes passos (sem ordem particular):
1 Disponibilidade e identificao Ping, DNS lookup
2 Portscan TCP/UDP
3 Identificao de vulnerabilidades
4 Explorao de vulnerabilidades

Cada um desses passos deveria ser configurado separadamente e um passo
poderia utilizar os resultados de qualquer outro passo. Por razes de carga e
18
desempenho, faz sentido somente procurar por vulnerabilidades nas portas abertas.
Alguns scanners de rede podem se conectar ao prprio cliente (com usurio e
senha) e executar testes locais no cliente. necessrio muito cuidado na realizao
dos testes de vulnerabilidade, uma vez que isso pode causar um colapso no sistema
final.
A desvantagem desse mtodo a preciso dos resultados. Por um lado,
possvel fazer a verificao somente das vulnerabilidades conhecidas. Por outro
lado, os servios e verses no podem ser identificados com preciso atravs de
comunicao remota na rede. Outro problema a grande carga (causada pelo scan)
no prprio servidor de scan. Na verdade, quase impossvel fazer scan de milhares
de sistemas finais com um nico servidor de scan. Uma vantagem desse mtodo de
avaliao a extenso dos testes, que geralmente so maiores do que um agente
poderia fazer. Tambm, em um ambiente com visitantes, no necessrio forar
eles a instalarem nenhum software.
A maior vantagem desse mtodo a capacidade de varrer sistemas finais que
no permitem a instalao de nenhum agente, que com certeza, aumenta o nmero
de equipamentos includos em uma implantao de NAC.

6.2 Com Agente

Um agente uma parte independente de um software que roda em um
sistema final, e fornece informaes sobre a sade do sistema final, e em alguns
casos, trabalha proativamente contra ameaas. A grande vantagem de um agente
a opo de requisitar e verificar todos os dados de um sistema. Mas tambm h
desvantagens nesse mtodo. Desde que um agente precisa ser instalado em um
sistema final, pode haver limitaes na capacidade de cobertura em um ambiente de
rede corporativo.
Em reas com mltiplos sistemas operacionais e aplicaes, pode ser
necessrio fazer muitos ajustes de configuraes nos clientes, e comum que s
vezes nem haja essa opo. O agente tem que ser muito social e tem que ser
capaz de se comunicar com seu ambiente. Isso pode causar problemas em
ambientes com mltiplos fabricantes. A maioria dos fabricantes de NAC oferece
19
tambm seus prprios agentes para tornar suas solues NAC mais fortes, e
restringir a integrao com outras solues.

Esto sendo realizados trabalhos para desenvolver agentes para mltiplos
fabricantes. A Microsoft oferece seu Network Access Protection (NAP) como uma
interface entre agentes e NAC no prprio sistema operacional. Geralmente deve-se
considerar a sustentabilidade e compatibilidade de permanecer flexvel para futuras
decises envolvendo a implantao de NAC.

Uma avaliao de agente normalmente oferece as seguintes informaes:
- O firewall est ativo e sendo executado?
- H algum software de antivrus instalado e com assinaturas atualizadas?
- Qual o sistema operacional rodando?
- Qual o nvel de patch do sistema?
- Existe uma conexo com o agente?
- Quais softwares esto instalados?
- Quais processos e servios esto sendo executados?

As possibilidades de testes so muitas, mas testes especficos acrescentam
complexibilidade uma vez que o agente primeiro precisa aprender o que deveria ser
testado e como diferenciar entre bom e mau. Um agente capaz de executar uma
avaliao e fornecer os resultados mais rpido que os outros mtodos. Ele tambm
aloca a maior parte da carga para o sistema final. Isso faz da soluo baseada em
agente mais escalvel para ambientes de redes maiores. Em alguns casos o agente
tambm pode executar a auto remediao, como por exemplo, ativar o firewall local
do sistema final. Tambm h a opo de gerenciar os visitantes com agentes
dissolvveis, onde o agente instalado na RAM do sistema final e se dissolve
depois da prxima iniciao do sistema (CISCO 2009).
No h uma soluo nica de avaliao para todos os sistemas finais. A
melhor implementao seria com agentes onde possvel e com scanner de rede
onde fosse preciso. Os dois mtodos se complementam, e em ambientes com
grande nvel de segurana, s vezes faz sentido utilizar os dois mtodos ao mesmo
tempo. Outra vantagem, independente das informaes de segurana dos sistemas
finais, a documentao de todos os equipamentos de rede.
20
7 AUTORIZAO


Depois de detectar, autenticar e avaliar um sistema final, uma arquitetura
NAC bem planejada pode aproveitar a informao aprendida para autorizar os
sistemas finais a acessarem a rede e servios especficos.
Autorizao o processo pelo qual uma soluo NAC aplica decises sobre
acesso rede para um sistema final. A autorizao modo pelo qual o sistema
conduz aes, como por exemplo, mover os sistemas finais para diferentes VLANs
(Virtual LAN), aplicar restries de acesso via ACL (Access Control List) ou garantir
acesso adicional. As opes de autorizao variam muito entre as solues NAC.
A autorizao de longe a funo mais desafiadora de uma soluo NAC
para implementar e integrar na rede porque ela necessita modificar de alguma
maneira o sistema final ou a prpria rede, para aplicar as mudanas dos direitos de
acesso.
O processo de autorizao aplica todas as regras planejadas durante a fase
de preparao da implementao NAC. Como discutido anteriormente, h mltiplas
opes disponveis em relao autorizao de servios para os sistemas finais.
Essas opes podem ser dependentes do desempenho da rede, e em particular, da
capacidade da soluo NAC. Alm disso, a escolha da opo de autorizao
depende do nvel de segurana requerido, bem como do desenho da infraestrutura
em si. importante saber se mais do que um sistema final precisa compartilhar
portas ou se equipamentos, usurios, portas, ou fluxos de trfego individuais
precisam ser considerados (UNDERSTANDING NAC, 2010).

Algumas questes para considerar na escolha do mtodo de autorizao:

- Qual nvel de granularidade necessrio? Na porta, usurio, equipamento,
camada de trfego?
- Tudo deveria ser negado por padro e somente permitido caso por caso? Ou vice-
versa?
- Como manipulada a autorizao de vrios equipamentos na porta do switch?

Os principais mtodos de autorizao so:
21

a) Inline: O equipamento autorizador fica entre os sistemas finais e o restante da
rede,

b) Software: Instalado nos sistemas finais para aplicar regras ditadas por um
controlador NAC instalado na rede,

c) Out Of Band (OOB): Utiliza um controlador NAC central que se comunica com
um servidor de autenticao (Radius) e com todos os switches de borda da rede.

Cada mtodo apresenta seus prs e contras, que no sero discutidos nesse
trabalho.
22
8 REMEDIAO


O NAC deve ter a funo de remediao completamente integrada na
soluo. Sem opes para remediao, uma soluo NAC simplesmente ir
bloquear o acesso do sistema final em no conformidade, sem fornecer uma
maneira de trazer o equipamento para conformidade. Estar impedindo que um
nmero significativo de sistemas finais se conecte aos servios necessrios para
manter a continuidade e produtividade dos negcios.
Remediao o processo de apoiar os sistemas finais a atingirem o nvel
necessrio de conformidade, para depois, permitir o acesso a rede. Para diminuir o
processo de remediao manual, os problemas com os sistemas finais devem ser
resolvidos automaticamente ou pelo usurio, ao invs de envolver o suporte tcnico
de TI (CISCO, 2007).
Remediao automtica possvel com a utilizao de agentes. Em alguns
casos um software de gerncia pode ser acionado pela soluo NAC para resolver
essa questo.
A soluo mais comum para remediao manual um servidor de
remediao web especfico para o qual os usurios so redirecionados. A vantagem
disso uma gerncia centralizada do processo de remediao disponvel, com a
execuo distribuda para os usurios finais.

Contedo importante de um portal Web:
- Informao sobre o status do sistema final: em quarentena, permitido na rede, etc.
- Especificao das violaes do sistema final: Firewall desabilitado, base de
assinaturas desatualizadas, etc.
- Detalhes para resoluo do problema: habilitar firewall, se conectar ao servidor de
atualizaes, etc.
- Informaes sobre os servios disponveis: servidor de atualizao do sistema
operacional, etc.
- Link para se reconectar depois de seguir as instrues.

23
As remediaes deveriam ser automticas para diminuir a interveno do
usurio. Quanto melhor o processo de remediao, menor a carga de trabalho
administrativo, uma vez que a maioria das solues dos problemas pode ser
redirecionada para o agente ou usurio.

Questes relevantes para o processo de remediao:
- Quem o responsvel pela remediao? Um agente, o usurio ou o
administrador?
- Quanto tempo leva o processo de remediao e reconexo?
- O portal de remediao est acessvel para todos?

24
9 MONITORAMENTO


At agora a discusso centrou-se na avaliao de sistemas finais na fase de
pr-conexo. Mas quem garante que mudanas no so feitas para tirar o sistema
final da conformidade aps a conexo na rede? Ferramentas para avaliao e
monitoramento contnuo so frequentemente empregadas. Dependendo do mtodo,
intervalos diferentes de tempo podem ser usados para avaliao ps-conexo. Um
agente ou um scan remoto do sistema final podem executar avaliaes contnuas a
cada espao de tempo determinado.
A soluo NAC tambm deveria incluir uma variedade de opes para
atender os requisitos da rede. A soluo NAC escolhida deveria trabalhar de forma
flexvel, mas baseada em modelos para diminuir o trabalho administrativo e facilitar a
resoluo de problemas (ROBINSON, 2007).

Alguns parmetros para considerar:
- Os sistemas deveriam ser avaliados toda vez que eles conectarem?
- Qual o intervalo que os sistemas deveriam ser reavaliados (toda semana, ms)?
- Os clientes podem permanecer conectados durante a avaliao, ou eles deveriam
ser colocados em quarentena, por padro?

Alm disso, o NAC um perfeito complemento para solues de segurana
baseadas em comportamento e anomalias. Essas solues geralmente analisam os
fluxos de comunicao de dados e detectam ataques de camada 3-7(Modelo OSI),
mas no so capazes de aplicar qualquer ao de combate na infraestrutura de
rede. Esse tipo de monitoramento pode ser integrado com uma soluo de NAC bem
planejada para fornecer proteo efetiva aps conexo. Outra opo a
combinao de um Sistema de Deteco de Intrusos (IDS-Intrusion Detection
Sistem) e uma soluo NAC para detectar os ataques e tambm ter uma resposta
automtica do sistema.
Quanto mais aberta for a interface do NAC, mais solues de segurana
podem utilizar essa interface, e maior seu valor para a rede.
25
10 CONCLUSO


A coisa mais importante a saber sobre NAC que ele no um produto, e
sim um processo. Produtos podem estar envolvidos, mas as partes mais importantes
do NAC no envolvem tecnologia e sim o gerenciamento de pessoas e riscos.
Um projeto NAC no tem que ser complexo e nem difcil. A implementao
NAC pode ser dividida em etapas lgicas ou fases. E os benefcios incrementais
podem ser rapidamente percebidos atravs do processo de implementao. O
sucesso do projeto NAC depende realmente de um bom comeo. Quanto mais
informaes estiverem disponveis e melhores as polticas forem definidas, mais fcil
ser a implementao.


26
11 REFERNCIAS


CISCO NAC EXECUTIVE OVERVIEW. 2009. Disponvel em:
http://www.cisco.com/en/US/solutions/collateral/ns340/ns394/ns171/ns466/net_imple
mentation_white_paper0900aecd80557152.pdf. Acesso em: 09 abril 2011.


NAC WHITEPAPER. 2008. Disponvel em:
http://www.enterasys.com/company/literature/nac-wp.pdf.
Acesso em: 05 maro 2011.


JABBUSH, Jennifer. Universal NAC Feature Model. 2010. Disponvel em:
http://securityuncorked.com/2010/03/universal-nac-feature-model-document.
Acesso em: 20 abril 2011.


UNDERSTANDING NAC. 2010. Disponvel em:
http://www.enterasys.com/company/literature/enterasys-nac-guide.pdf.
Acesso em: 12 maro 2011.


TIPPINPOINT NAC. 2008. Disponvel em:
http://www.netevents.tv/output/tippingpoint/downloads/401079-
001_TippingPointNAC.pdf. Acesso em: 7 maio 2011.


FRATTO, Mike. Tutorial Network Access Control. 2007. Disponvel em:
http://www.networkcomputing.com/data-protection/229607166?pgno=1. Acesso em:
21 maio 2011


EDWARDS, John. The Essential Guide to NAC. 2009. Disponvel em:
http://www.focus.com/briefs/essential-guide-nac/. Acesso em: 02 abril 2011.


NAC COMPARISON GUIDE. 2007. Disponvel em:
http://www.networksecurityjournal.com/whitepaper/pdf/nac-comp-guide-nsj_8-07.pdf.
Acesso em: 16 abril 2011.


CISCO NAC: HELP CUSTOMERS IMPROVE SECURITY. 2007. Disponvel em:
http://www.cisco.com/en/US/solutions/collateral/ns340/ns394/ns171/ns466/net_imple
mentation_white_paper0900aecd8051f9e7.pdf. Acesso em: 09 abril 2011.



27
ROBINSON, Brian. What You Need to Know About NAC. 2007. Disponvel em:
http://www.itsecurity.com/features/what-you-need-to-know-about-nac-072607/.
Acesso em: 2 abril 2011.


DEPLOY AN INTEROPERABLE AND STANDARDS-BASED NAC SOLUTION. 2007.
Disponvel em:
http://www.cisco.com/en/US/solutions/collateral/ns340/ns394/ns171/ns466/net_imple
mentation_white_paper0900aecd8067e368.pdf. Acesso em: 09 abril 2011.


360
O
NETWORK ACESS CONTROL WITH TIPPINGPOINT NAC. 2007.
Disponvel em:
http://www.netevents.tv/output/tippingpoint/downloads/503188-
001_360NACwithTippingPoint.pdf. Acesso em: 7 maio 2011.


WILSON, Tim. Annual CSI Study. 2007. Disponvel em:
http://www.darkreading.com/security/perimeter-security/208804727/annual-csi-study-
cost-of-cybercrime-is-skyrocketing.html. Acesso em: 21 maio 2011


JUNIPER NETWORKS. Disponvel em:
http://www.juniper.net. Acesso em: 11 junho 2011.


SYMANTEC. Disponvel em:
www.symantec.com. Acesso em: 11 junho 2011