ESPECIALIZAO EM TELEINFORMTICA E REDES DE COMPUTADORES
ALAN FLVIO FOLLMANN
IMPLANTAO DE NAC EM AMBIENTES CORPORATIVOS
MONOGRAFIA DE ESPECIALIZAO
CURITIBA 2011
OUTROSTRABALHOSEM: www.projetoderedes.com.br
ALAN FLVIO FOLLMANN
IMPLANTAO DE NAC EM AMBIENTES CORPORATIVOS
Monografia apresentada como requisito parcial obteno do ttulo de Especialista em Teleinformtica e Redes de Computadores, do DAELN, da Universidade Tecnolgica Federal do Paran,. Orientador: Prof. Kleber Kendy Horikawa Nabas
CURITIBA 2011
RESUMO
Este trabalho apresenta uma abordagem terica sobre a implantao da tecnologia NAC para o controle de acesso s redes de dados, tendo o foco em ambientes corporativos. Evidencia a necessidade de investimentos em segurana dinmica por parte das empresas, com o objetivo de controlar os diferentes tipos de usurios e dispositivos conectados rede. Apresenta as questes que devem ser levantadas durante a preparao e execuo do projeto. Discute de forma detalhada as fases de implantao, abordando os obstculos a serem superados e as boas prticas a serem seguidas para o sucesso do projeto, com base na literatura pertinente ao texto.
This paper presents a theoretical approach on deploying NAC technology to control access to data networks, with focus in corporate environments. Highlights the need for dynamic security investments by firms in order to control the different types of users and devices connected to the network. It presents the issues to be raised during the preparation and execution of the project. Discusses in detail the deployment, addressing the obstacles to be overcome and the good practices to be followed for the success of the project, based on the literature pertaining to the text.
1 INTRODUO ....................................................................................................................... 6 2 ENTENDENDO O NAC ......................................................................................................... 8 3 PREPARANDO PARA O NAC ........................................................................................... 11 3.1 Principal Objetivo ........................................................................................................... 11 3.2 Sistemas Finais e Usurios a Serem Suportados ............................................................ 12 4 IMPLANTAO .................................................................................................................. 13 5 DETECO E AUTENTICAO ...................................................................................... 14 6 AVALIAO ....................................................................................................................... 16 6.1 Sem Agente .................................................................................................................... 17 6.2 Com Agente .................................................................................................................... 18 7 AUTORIZAO .................................................................................................................. 20 8 REMEDIAO .................................................................................................................... 22 9 MONITORAMENTO ........................................................................................................... 24 10 CONCLUSO ..................................................................................................................... 25 11 REFERNCIAS .................................................................................................................. 26
6 1 INTRODUO
NAC uma sigla do ingls (Network Access Control) que significa Controle de Acesso Rede, sendo algumas vezes tambm referenciado como Controle de Admisso Rede. um termo com uma histria de utilizao entre os fabricantes de infraestrutura de rede, sistemas operacionais e softwares de segurana. Os fabricantes de infraestrutura de rede originalmente introduziram tecnologias de controle de acesso com solues baseadas em autenticao e autorizao para controle da comunicao dos usurios e equipamentos. Os sistemas baseados nas credenciais dos usurios e equipamentos permitiram as organizaes de TI administrar de forma centralizada quem e o que estava permitido comunicar na rede. Com o tempo esse conceito de controle de acesso a rede comeou a evoluir para incluir um conjunto de informaes mais sofisticadas, usadas para determinar quem e o que permitido comunicar na rede a partir de uma determinada localizao em um determinado horrio. Fabricantes de sistemas operacionais e softwares de segurana poderiam fornecer informaes sobre os sistemas finais, que poderiam ser utilizadas em adio com as credenciais no processo de autenticao. A avaliao da sade dos sistemas finais, incluindo a ameaa que os sistemas finais poderiam causar para o ambiente de rede, e a vulnerabilidade dos sistemas finais para ficarem infectados com vrus e worms (subclasse de vrus), poderia ser parte do contexto usado no processo de autenticao e autorizao. A partir dessa abordagem mltipla para determinar quem e o que deveria ser permitido na rede, e quando e onde um sistema final deveria ter acesso, veio a promoo da indstria para o agora comumente usado termo NAC. As solues de NAC atuais podem ajudar a proteger uma organizao do uso indesejado da rede, ameaas de segurana intencionais e no intencionais, e ataques de negao de servio propagados por worms e vrus atravs de sistemas finais vulnerveis. As solues NAC podem tambm ajudar a impor polticas de comunicao, permitindo melhor alocao de recursos de rede para que os processos sejam to eficientes quanto possvel. O benefcio para uma organizao ao implementar a soluo NAC um ambiente de negcios mais seguro e eficiente. O desafio est em entender as 7 muitas tecnologias envolvidas nas vrias solues NAC do mercado, e encontrar uma abordagem de arquitetura que oferea vrias funes crticas:
- Visibilidade e gesto de identidade dos vrios sistemas finais conectados na rede;
- Avaliao dos sistemas finais, antes deles estarem com acesso permitido na rede (pr-conexo) e depois que eles estiverem conectados na rede (ps-conexo);
- Assistncias de remedio para sistemas finais e/ou usurios que no estiverem em conformidade com as polticas de segurana da rede;
- Relatrios de conformidade que detalhem onde os sistemas finais esto na rede e o que eles estavam fazendo na rede.
Poucas empresas hoje so entidades fechadas com permetros de segurana bem definidos. As empresas se esforam para fornecer acesso s informaes aos usurios a qualquer hora e de qualquer lugar. Usurios mveis, servios terceirizados, acesso remoto, visitantes, necessitam de acesso rede para executarem seus trabalhos; trazendo seus equipamentos para dentro e fora dos escritrios. Assim, as empresas acabam expondo suas redes s ameaas e ataques. Violaes da rede podem levar perda de informao, privacidade pessoal, propriedade intelectual e outros dados crticos (CISCO, 2009). A habilidade de uma organizao em gerenciar o acesso do usurio e a segurana do sistema final um componente crtico para garantir segurana global e disponibilidade de sua infraestrutura de TI. As solues que fornecem tecnologias proativas e reativas para garantir a continuidade dos negcios iro providenciar um significativo retorno nos investimentos. O NAC um elemento essencial para uma arquitetura de segurana geral para proteger confidencialidade, integridade e disponibilidade das informaes. 8 2 ENTENDENDO O NAC
Apesar de NAC ser um termo comum hoje em dia para as organizaes de TI, h muita discusso em torno do que o NAC envolve e o que no envolve. Alguns vem o NAC como simplesmente o registro e autorizao das mquinas conectadas na rede. Alguns vem NAC como uma soluo para proteger o ambiente de rede dos vrus e worms. Outros vem o NAC como um porteiro da rede, com a funo de controlar como as mquinas, que no esto em conformidade com as diretrizes corporativas de computao, podem acessar a rede. Uma soluo NAC bem planejada na verdade todas essas coisas. NAC um termo que descreve vrias tecnologias desenvolvidas para controlar/restringir acesso aos usurios finais rede, baseado em sua sade. O conceito bsico que sistemas finais vulnerveis e perigosos no deveriam comunicar na rede de negcios porque eles poderiam causar um risco de segurana para servios e processos crticos. Uma soluo de NAC iria prevenir um sistema final doente de acessar a rede de uma maneira normal at que o sistema final fosse determinado como saudvel (NAC WHITEPAPER, 2008). A verificao da sade de um equipamento conectado na rede tambm conhecida como avaliao do sistema final. Sistemas finais podem ser os PCs tradicionais, impressoras, telefones IP, cmeras de segurana IP, etc. Uma avaliao deveria descobrir o nvel de vulnerabilidade e o nvel de ameaa de um sistema final. Elementos como patch de segurana, presena de antivrus, atualizao de assinaturas de antivrus, aplicaes sendo executadas, portas abertas, etc..., podem ser investigadas para determinar a sade geral do sistema final. Uma abordagem desejvel de NAC deveria permitir a avaliao de qualquer tipo de sistema final conectado na rede. Isso criticamente importante devido ao aumento da diversidade dos sistemas finais conectados nas redes. Para ter uma postura abrangente e proativa para a segurana da rede, cada sistema final conectado na rede (no interessa qual tipo de equipamento) deve ser desafiado por uma soluo de NAC. A funo atual de avaliao pode ser fornecida por vrias aplicaes. A aplicao de avaliao pode requerer um agente instalado no sistema 9 final, ou pode funcionar completamente independente dos sistemas finais, de uma maneira sem agente instalado. Muitos vendedores de solues NAC atuais no contam com um desafio de autenticao para os sistemas finais, como parte do processo de controle de acesso. Autenticao deveria ser um fundamento crtico para qualquer soluo de NAC, e necessria para obter escalabilidade, flexibilidade, visibilidade, e para fazer cumprir os requerimentos de uso da rede e polticas de segurana. Uma vez que um usurio ou mquina est autenticado (as credenciais foram verificadas) o processo de autorizao toma lugar, alterando a configurao da porta de rede de origem fsica ou virtual, para permitir comunicao baseada em um conjunto de regras de polticas. Avanadas tecnologias de autorizao deveriam utilizar contextos adicionais como localizao, hora do dia, endereo MAC, etc.., resultando em uma soluo robusta. A flexibilidade de autenticao multiusurio, multimtodo em um vendedor de soluo NAC significa que no h necessidade de substituio de qualquer dos switches de borda para ganhar visibilidade e controle sobre aqueles usurios e equipamentos conectados (JABBUSH, 2010). Depois que o processo de avaliao e autorizao dos sistemas finais realizado, se for determinado que um sistema final est fora de conformidade com as polticas de segurana da rede, o sistema final colocado em um estado de quarentena na rede. O processo de execuo de poltica de quarentena deve envolver polticas de comunicao na rede bem granulares (no simplesmente atribuio de VLAN). Alm do que, colocar todos os sistemas finais doentes dentro da mesma VLAN de quarentena apenas significa que eles iro infectar uns aos outros com novas vulnerabilidades. Remediao o ato de retificar um problema para deixar em conformidade com as polticas pr-definidas. O processo de remediao como parte da soluo NAC permite aos usurios colocados em um estado de quarentena a ficarem em conformidade. importante que o usurio de rede esteja envolvido no processo de remediao para que a eficincia do processo de negcios seja maximizada. Quando um usurio ou seu sistema final tem um problema, eles deveriam ser capazes de consertar isso sem ter que envolver a equipe de TI. Isso ir impedir que a equipe de suporte seja bombardeada com problemas de configuraes e conformidade dos sistemas finais. Para que esse processo seja efetivo, a soluo NAC deve fornecer uma notificao ao usurio quando um sistema final colocado 10 em quarentena na rede. As polticas de comunicao devem ser aplicadas como parte do estado de quarentena para permitir comunicao segura aos servios necessrios para deixarem o sistema final em estado de conformidade. Autenticao, avaliao, autorizao, aplicao de polticas e remediao so todas partes crticas de um soluo de NAC abrangente. H muitos produtos e tecnologias disponveis de mltiplos vendedores que oferecem algumas dessas partes. Uma soluo de NAC integrada, com arquitetura aberta dever fornecer todos essas partes crticas trabalhando juntas.
11 3 PREPARANDO PARA O NAC
Se aplicado em toda empresa, a implantao do NAC pode ser um projeto extenso e ir requerer muita preparao. As informaes a seguir iro descrever algumas das preparaes que podem ser tomadas por uma organizao de TI para garantir o sucesso do projeto NAC.
3.1 Principal Objetivo
Antes de embarcar em um projeto de implantao de soluo NAC, importante entender os principais benefcios para os negcios que se deseja alcanar com o NAC. Um exemplo poderia ser o seguinte:
Ns gostaramos de implementar NAC para garantir que nossos visitantes possam acessar a internet em nossas salas de reunio. Aos visitantes no deve ser permitido comunicao com a rede interna da empresa. Todos os sistemas finais conectados na rede devem ter um nvel mnimo de segurana. (UNDERSTANDING NAC, 2010)
Com esse exemplo, os elementos fundamentais de um projeto NAC podem ser determinados:
- Quem permitido conectar na rede? - Como eles so permitidos conectar? - O que eles esto autorizados a conectar? - Onde eles devem ter acesso?
O NAC geralmente um processo, e pode ser separado em: - Funo (quem?) - Direitos (como?) - Recursos (o que?) - Localizao (onde?) 12 Um componente de tempo tambm pode ser adicionado (quando algum pode acessar?)
3.2 Sistemas Finais e Usurios a Serem Suportados
Um dos desafios de uma implementao NAC a integrao com os diferentes tipos de sistemas finais. Considerando as diversas opes de identificao, autenticao e avaliao no ponto de acesso rede, pode ser difcil garantir uma cobertura completa com uma soluo NAC. Para garantir a aplicao do NAC de forma abrangente, ser necessrio saber com antecedncia que tipos de sistemas finais existem e quais direitos eles deveriam ter no ambiente de rede. Grupos e recursos precisam ser atribudos para sistemas finais bem como para usurios. Os grupos no deveriam ser muito especficos para no tornar o trabalho administrativo muito difcil.
Algumas questes para preparao:
- Todos os tipos de equipamentos e usurios de rede so conhecidos? - Todos os recursos necessrios para os grupos definidos foram identificados? - H alguma restrio fsica ou lgica? - Os recursos podem ser agrupados juntos? - Deve ser concedido o acesso em geral e negado especificamente, ou vice-versa?
Mesmo que o projeto comece com apenas alguns equipamentos ou grupos de usurios, necessrio ter uma viso completa do projeto inteiro para escolher a arquitetura de NAC correta. Uma soluo baseada em agente, por exemplo, no seria aplicvel a todos os tipos de equipamentos como impressoras, telefones IP, e outros. Isso pode causar problemas aps a implantao pelo fato de muitos dos clientes no serem gerenciveis (TIPPINPOINT NAC, 2008). 13 4 IMPLANTAO
Uma abordagem baseada em fases o mtodo preferido para a implantao de soluo NAC. Em geral, uma implantao NAC pode ser separada nas seguintes fases (UNDERSTANDING NAC, 2010):
Fase 1: Deteco e rastreamento dos sistemas finais Fase 2: Autorizao dos sistemas finais Fase 3: Autorizao dos sistemas finais com avaliao Fase 4: Autorizao dos sistemas finais com avaliao e remediao
Fase 1: Coleta de informao sobre todos os sistemas finais, sem causar nenhuma alterao nas conexes existentes. Isso basicamente um inventrio dos sistemas finais conectados na rede. Pode ser feito com ou sem autenticao.
Fase 2: Considera as regras pr-definidas e restries relacionadas ao acesso a rede. Isso tipicamente requer autenticao para garantir que polticas de acesso a rede especficas possam ser aplicadas para cada sistema final e usurio.
Fase 3: Avaliao de todos os sistemas finais. Esse dado pode ser acessado via um sistema de gerenciamento externo (por distribuio de software), um agente, ou por scan de rede. As informaes tpicas so: sistema operacional, vulnerabilidades, portas abertas.
Fase 4: Depois que as polticas de acesso a rede so aplicadas aos sistemas finais individualmente, usando o resultado dos dados da avaliao. Os usurios deveriam ser informados sobre essa avaliao e deveriam receber a oportunidade de remediao caso no estejam em conformidade com as polticas de segurana apropriadas.
As prximas sees iro detalhar as tecnologias empregadas para a implantao de NAC em fases. 14 5 DETECO E AUTENTICAO
Todos deveriam ser capazes de acessar a rede a qualquer hora e de qualquer lugar, e a rede deveria reagir dinamicamente e automaticamente de acordo com as regras definidas para os equipamentos e/ou usurios fazendo conexo. Para que isso acontea necessrio saber quem est conectado na rede e onde eles esto localizados. A documentao manual da rede deveria ser desnecessria. Com NAC, a empresa deveria ser capaz de realizar uma documentao automtica da rede.
Como pode um sistema final ou usurio ser identificado?
Os equipamentos inline tm um mtodo bvio para fazer a identificao. Os sistemas finais esto diretamente conectados neles, e assim so imediatamente vistos pelo sistema. Onde no h equipamentos inline para identificao, uma variedade de mtodos pode ser utilizada para identificao dos equipamentos que esto se conectando na rede. Endereos MAC e IP so os mtodos mais comumente utilizados para identificao, mas eles podem mudar em menos de alguns minutos, sendo portanto adequados de forma limitada. Na verdade, a identificao de um sistema final anda de mos dadas com sua autenticao. O mesmo mecanismo que usado para autenticao freqentemente tambm usado para identificar os sistemas finais. Autenticao o mtodo pelo qual a soluo NAC identifica os usurios ou equipamentos como sendo autorizados na rede (EDWARDS, 2009). Contudo, a questo que precisa ser feita antes de decidir sobre qualquer mtodo utilizar, :
qual autenticao suportada pelo sistema final?
15 Existem muitos mtodos que podem ser utilizados para autenticao de sistemas finais e usurios. Uma soluo de NAC abrangente deveria ser capaz de suportar mltiplos mtodos:
- 802.X port based (via RADIUS) - MAC based (via RADIUS) - Web based - Static port/Mac configuration - Dynamic port/MAC configuration (SNMP) - Kerberos Snooping
Outros contextos como hostname (nome da mquina) ou endereo IP podem ser utilizados para identificao. Isso pode ser bastante til, especialmente para sistemas que no sejam computadores. importante notar que algumas solues NAC omitem a funcionalidade de autenticao, e utilizam apenas o mtodo de identificao em combinao com a avaliao para determinar se o usurio ou equipamento deveriam estar na rede (NAC COMPARISON, 2007).
16 6 AVALIAO
Uma forte integrao do processo de registro para avaliao de sistemas finais ainda no comum. O processo de registro um componente importante da implantao do NAC. Os padres de avaliaes so a Microsoft (Network Access Protection) e TNC (Trusted Network Connect). O IETF tambm est trabalhando nisso, mas ainda no tem uma soluo completa at o momento. A funo de avaliao vai alm da porta do switch e tenta avaliar o sistema final em si (FRATTO, 2007). A Avaliao, ou verificao da sade, pode ser separada em dois mtodos:
Sem Agente: 1. Baseado na Rede um scanner de rede varre os sistemas finais remotamente (utilizando a rede). 2. Baseado em Applet uma applet Java usada para lanar funes de avaliao nos sistemas finais (baseado em navegador).
Com Agente: 1. Agente Temporrio tambm conhecido como agente dissolvvel. Pode ser carregado e descarregado do sistema final. No requer direito administrativo para executar as verificaes de conformidade. 2. Agente Permanente um conjunto permanente de software com firewall e deteco de intrusos instalado no sistema final.
Durante uma avaliao, os sistemas finais so verificados para saber se esto em conformidade e/ou vulnerveis. Isso tambm inclui testes do firewall instalado no sistema final e outras aplicaes, a procura de vulnerabilidades. A escolha de qual mtodo de avaliao o mais apropriado para um ambiente em particular baseada no que se deseja verificar e quais possibilidades o sistema final permite. Obviamente seria um grande desafio conseguir instalar um agente em uma impressora ou em um telefone IP. Por outro lado, um scanner de 17 rede pode ter problemas com um antivrus local quando tentar varrer o sistema final a procura de assinaturas de vrus. O tempo de avaliao e a carga produzida na rede tambm so bem diferentes para cada mtodo. Um scanner de rede varre a rede e, conseqentemente causa uma carga maior, requerendo mais banda. Um agente realoca essa carga dentro do cliente e ir necessitar somente de recursos locais at que o relatrio final seja enviado para a administrao. Os recursos locais requeridos por um Agente Permanente podem ser grandes, uma vez que eles trabalham com aplicaes prprias para servir como firewall e sistemas de preveno de intrusos. O tempo estimado para varredura com qualquer um desses mtodos difcil de medir, pois depende de testes e os propsitos. Uma varredura rpida no firewall local com certeza mais simples e rpida do que uma varredura abrangente com testes de vulnerabilidades em milhares de portas em camada 4 do modelo OSI. Uma avaliao extensiva pode no somente fornecer informaes sobre o estado da sade dos sistemas finais, mas tambm informaes adicionais para propsitos de inventrio e auditoria (JABBUSH, 2010).
6.1 Sem Agente
A extenso dos testes de sistemas finais depende em parte do software utilizado para a avaliao. H um grande mercado para scanners de vulnerabilidade, oferecendo uma enorme variedade de programas que so projetados somente para isso e so continuamente atualizados com conjuntos de novos testes.
Geralmente uma avaliao inclui os seguintes passos (sem ordem particular): 1 Disponibilidade e identificao Ping, DNS lookup 2 Portscan TCP/UDP 3 Identificao de vulnerabilidades 4 Explorao de vulnerabilidades
Cada um desses passos deveria ser configurado separadamente e um passo poderia utilizar os resultados de qualquer outro passo. Por razes de carga e 18 desempenho, faz sentido somente procurar por vulnerabilidades nas portas abertas. Alguns scanners de rede podem se conectar ao prprio cliente (com usurio e senha) e executar testes locais no cliente. necessrio muito cuidado na realizao dos testes de vulnerabilidade, uma vez que isso pode causar um colapso no sistema final. A desvantagem desse mtodo a preciso dos resultados. Por um lado, possvel fazer a verificao somente das vulnerabilidades conhecidas. Por outro lado, os servios e verses no podem ser identificados com preciso atravs de comunicao remota na rede. Outro problema a grande carga (causada pelo scan) no prprio servidor de scan. Na verdade, quase impossvel fazer scan de milhares de sistemas finais com um nico servidor de scan. Uma vantagem desse mtodo de avaliao a extenso dos testes, que geralmente so maiores do que um agente poderia fazer. Tambm, em um ambiente com visitantes, no necessrio forar eles a instalarem nenhum software. A maior vantagem desse mtodo a capacidade de varrer sistemas finais que no permitem a instalao de nenhum agente, que com certeza, aumenta o nmero de equipamentos includos em uma implantao de NAC.
6.2 Com Agente
Um agente uma parte independente de um software que roda em um sistema final, e fornece informaes sobre a sade do sistema final, e em alguns casos, trabalha proativamente contra ameaas. A grande vantagem de um agente a opo de requisitar e verificar todos os dados de um sistema. Mas tambm h desvantagens nesse mtodo. Desde que um agente precisa ser instalado em um sistema final, pode haver limitaes na capacidade de cobertura em um ambiente de rede corporativo. Em reas com mltiplos sistemas operacionais e aplicaes, pode ser necessrio fazer muitos ajustes de configuraes nos clientes, e comum que s vezes nem haja essa opo. O agente tem que ser muito social e tem que ser capaz de se comunicar com seu ambiente. Isso pode causar problemas em ambientes com mltiplos fabricantes. A maioria dos fabricantes de NAC oferece 19 tambm seus prprios agentes para tornar suas solues NAC mais fortes, e restringir a integrao com outras solues.
Esto sendo realizados trabalhos para desenvolver agentes para mltiplos fabricantes. A Microsoft oferece seu Network Access Protection (NAP) como uma interface entre agentes e NAC no prprio sistema operacional. Geralmente deve-se considerar a sustentabilidade e compatibilidade de permanecer flexvel para futuras decises envolvendo a implantao de NAC.
Uma avaliao de agente normalmente oferece as seguintes informaes: - O firewall est ativo e sendo executado? - H algum software de antivrus instalado e com assinaturas atualizadas? - Qual o sistema operacional rodando? - Qual o nvel de patch do sistema? - Existe uma conexo com o agente? - Quais softwares esto instalados? - Quais processos e servios esto sendo executados?
As possibilidades de testes so muitas, mas testes especficos acrescentam complexibilidade uma vez que o agente primeiro precisa aprender o que deveria ser testado e como diferenciar entre bom e mau. Um agente capaz de executar uma avaliao e fornecer os resultados mais rpido que os outros mtodos. Ele tambm aloca a maior parte da carga para o sistema final. Isso faz da soluo baseada em agente mais escalvel para ambientes de redes maiores. Em alguns casos o agente tambm pode executar a auto remediao, como por exemplo, ativar o firewall local do sistema final. Tambm h a opo de gerenciar os visitantes com agentes dissolvveis, onde o agente instalado na RAM do sistema final e se dissolve depois da prxima iniciao do sistema (CISCO 2009). No h uma soluo nica de avaliao para todos os sistemas finais. A melhor implementao seria com agentes onde possvel e com scanner de rede onde fosse preciso. Os dois mtodos se complementam, e em ambientes com grande nvel de segurana, s vezes faz sentido utilizar os dois mtodos ao mesmo tempo. Outra vantagem, independente das informaes de segurana dos sistemas finais, a documentao de todos os equipamentos de rede. 20 7 AUTORIZAO
Depois de detectar, autenticar e avaliar um sistema final, uma arquitetura NAC bem planejada pode aproveitar a informao aprendida para autorizar os sistemas finais a acessarem a rede e servios especficos. Autorizao o processo pelo qual uma soluo NAC aplica decises sobre acesso rede para um sistema final. A autorizao modo pelo qual o sistema conduz aes, como por exemplo, mover os sistemas finais para diferentes VLANs (Virtual LAN), aplicar restries de acesso via ACL (Access Control List) ou garantir acesso adicional. As opes de autorizao variam muito entre as solues NAC. A autorizao de longe a funo mais desafiadora de uma soluo NAC para implementar e integrar na rede porque ela necessita modificar de alguma maneira o sistema final ou a prpria rede, para aplicar as mudanas dos direitos de acesso. O processo de autorizao aplica todas as regras planejadas durante a fase de preparao da implementao NAC. Como discutido anteriormente, h mltiplas opes disponveis em relao autorizao de servios para os sistemas finais. Essas opes podem ser dependentes do desempenho da rede, e em particular, da capacidade da soluo NAC. Alm disso, a escolha da opo de autorizao depende do nvel de segurana requerido, bem como do desenho da infraestrutura em si. importante saber se mais do que um sistema final precisa compartilhar portas ou se equipamentos, usurios, portas, ou fluxos de trfego individuais precisam ser considerados (UNDERSTANDING NAC, 2010).
Algumas questes para considerar na escolha do mtodo de autorizao:
- Qual nvel de granularidade necessrio? Na porta, usurio, equipamento, camada de trfego? - Tudo deveria ser negado por padro e somente permitido caso por caso? Ou vice- versa? - Como manipulada a autorizao de vrios equipamentos na porta do switch?
Os principais mtodos de autorizao so: 21
a) Inline: O equipamento autorizador fica entre os sistemas finais e o restante da rede,
b) Software: Instalado nos sistemas finais para aplicar regras ditadas por um controlador NAC instalado na rede,
c) Out Of Band (OOB): Utiliza um controlador NAC central que se comunica com um servidor de autenticao (Radius) e com todos os switches de borda da rede.
Cada mtodo apresenta seus prs e contras, que no sero discutidos nesse trabalho. 22 8 REMEDIAO
O NAC deve ter a funo de remediao completamente integrada na soluo. Sem opes para remediao, uma soluo NAC simplesmente ir bloquear o acesso do sistema final em no conformidade, sem fornecer uma maneira de trazer o equipamento para conformidade. Estar impedindo que um nmero significativo de sistemas finais se conecte aos servios necessrios para manter a continuidade e produtividade dos negcios. Remediao o processo de apoiar os sistemas finais a atingirem o nvel necessrio de conformidade, para depois, permitir o acesso a rede. Para diminuir o processo de remediao manual, os problemas com os sistemas finais devem ser resolvidos automaticamente ou pelo usurio, ao invs de envolver o suporte tcnico de TI (CISCO, 2007). Remediao automtica possvel com a utilizao de agentes. Em alguns casos um software de gerncia pode ser acionado pela soluo NAC para resolver essa questo. A soluo mais comum para remediao manual um servidor de remediao web especfico para o qual os usurios so redirecionados. A vantagem disso uma gerncia centralizada do processo de remediao disponvel, com a execuo distribuda para os usurios finais.
Contedo importante de um portal Web: - Informao sobre o status do sistema final: em quarentena, permitido na rede, etc. - Especificao das violaes do sistema final: Firewall desabilitado, base de assinaturas desatualizadas, etc. - Detalhes para resoluo do problema: habilitar firewall, se conectar ao servidor de atualizaes, etc. - Informaes sobre os servios disponveis: servidor de atualizao do sistema operacional, etc. - Link para se reconectar depois de seguir as instrues.
23 As remediaes deveriam ser automticas para diminuir a interveno do usurio. Quanto melhor o processo de remediao, menor a carga de trabalho administrativo, uma vez que a maioria das solues dos problemas pode ser redirecionada para o agente ou usurio.
Questes relevantes para o processo de remediao: - Quem o responsvel pela remediao? Um agente, o usurio ou o administrador? - Quanto tempo leva o processo de remediao e reconexo? - O portal de remediao est acessvel para todos?
24 9 MONITORAMENTO
At agora a discusso centrou-se na avaliao de sistemas finais na fase de pr-conexo. Mas quem garante que mudanas no so feitas para tirar o sistema final da conformidade aps a conexo na rede? Ferramentas para avaliao e monitoramento contnuo so frequentemente empregadas. Dependendo do mtodo, intervalos diferentes de tempo podem ser usados para avaliao ps-conexo. Um agente ou um scan remoto do sistema final podem executar avaliaes contnuas a cada espao de tempo determinado. A soluo NAC tambm deveria incluir uma variedade de opes para atender os requisitos da rede. A soluo NAC escolhida deveria trabalhar de forma flexvel, mas baseada em modelos para diminuir o trabalho administrativo e facilitar a resoluo de problemas (ROBINSON, 2007).
Alguns parmetros para considerar: - Os sistemas deveriam ser avaliados toda vez que eles conectarem? - Qual o intervalo que os sistemas deveriam ser reavaliados (toda semana, ms)? - Os clientes podem permanecer conectados durante a avaliao, ou eles deveriam ser colocados em quarentena, por padro?
Alm disso, o NAC um perfeito complemento para solues de segurana baseadas em comportamento e anomalias. Essas solues geralmente analisam os fluxos de comunicao de dados e detectam ataques de camada 3-7(Modelo OSI), mas no so capazes de aplicar qualquer ao de combate na infraestrutura de rede. Esse tipo de monitoramento pode ser integrado com uma soluo de NAC bem planejada para fornecer proteo efetiva aps conexo. Outra opo a combinao de um Sistema de Deteco de Intrusos (IDS-Intrusion Detection Sistem) e uma soluo NAC para detectar os ataques e tambm ter uma resposta automtica do sistema. Quanto mais aberta for a interface do NAC, mais solues de segurana podem utilizar essa interface, e maior seu valor para a rede. 25 10 CONCLUSO
A coisa mais importante a saber sobre NAC que ele no um produto, e sim um processo. Produtos podem estar envolvidos, mas as partes mais importantes do NAC no envolvem tecnologia e sim o gerenciamento de pessoas e riscos. Um projeto NAC no tem que ser complexo e nem difcil. A implementao NAC pode ser dividida em etapas lgicas ou fases. E os benefcios incrementais podem ser rapidamente percebidos atravs do processo de implementao. O sucesso do projeto NAC depende realmente de um bom comeo. Quanto mais informaes estiverem disponveis e melhores as polticas forem definidas, mais fcil ser a implementao.
CISCO NAC: HELP CUSTOMERS IMPROVE SECURITY. 2007. Disponvel em: http://www.cisco.com/en/US/solutions/collateral/ns340/ns394/ns171/ns466/net_imple mentation_white_paper0900aecd8051f9e7.pdf. Acesso em: 09 abril 2011.
27 ROBINSON, Brian. What You Need to Know About NAC. 2007. Disponvel em: http://www.itsecurity.com/features/what-you-need-to-know-about-nac-072607/. Acesso em: 2 abril 2011.
DEPLOY AN INTEROPERABLE AND STANDARDS-BASED NAC SOLUTION. 2007. Disponvel em: http://www.cisco.com/en/US/solutions/collateral/ns340/ns394/ns171/ns466/net_imple mentation_white_paper0900aecd8067e368.pdf. Acesso em: 09 abril 2011.
360 O NETWORK ACESS CONTROL WITH TIPPINGPOINT NAC. 2007. Disponvel em: http://www.netevents.tv/output/tippingpoint/downloads/503188- 001_360NACwithTippingPoint.pdf. Acesso em: 7 maio 2011.