Roger André Barros Karam, Solutions Engineer da Enterasys

By: vu

O primeiro motivo para a solução de NAC é prover serviços de identificação e autenticação para equipamentos e usuários, utilizando a “validação” da saúde de um sistema pré e pos conexão a sua rede.

1. Qual é o primeiro motivo de implantação Network Access Control (NAC)?
 
O primeiro motivo para a solução de NAC é prover serviços de identificação e autenticação para equipamentos e usuários, utilizando a “validação” da saúde de um sistema pré e pos conexão a sua rede.
 
Adicionalmente, é possível rastrear os usuários da rede em qualquer sistema onde eles estão logados, através dos serviços de identificação.
 
2. É possível realizar uma solução em sistemas heterogêneos com NAC uniforme?
 
Sim, seguindo padrões de mercados estabelecidos por RFCs, é possível implementar uma solução de NAC em um ambiente com diversos fabricantes. A solução NAC Enterasys trabalha desta forma, podendo ser utilizada sem a necessidade de uma rede 100% Enterasys.
 
3. Quais são as compatibilidades existentes entre Trusted Network Connect, Network Admission Control, Network Access Protocol e Network Endpoint Assessment?
 
A arquitetura de Trusted Computing Group (TCG) da Trusted Network Connect (TNC) é dividida em três componentes:
 
Requisitor de Acesso – O componente que coleta informações de integridade de um endpoint para comunicar ao Ponto de Decisão de Política
 
Ponto de Aplicação de Política – Autoriza um endpoint com base na determinação do Ponto de Decisão de Política
 
Ponto de Decisão de Política – Determina a conformidade de um endpoint a partir da informação de integridade. Esse componente tem três sub-componentes incluindo a Autoridade de Acesso a Rede, Servidor TNC e Verificadores de Informações de Integridade.
 
O Microsoft Network Access Protection (NAP) recentemente anunciou o suporte para especificação TNC – TCG conforme descrito abaixo:
 
O Requisitor de Acesso, em relação ao MS NAP, é incluído no Microsoft Vista e MS XP service pack 3, comunicando informação sobre a posição de segurança de um sistema Windows para o Ponto de Decisão de Política. Além disso, a Juniper fornece um agente para sistemas que estão em conformidade com TNC-TCG. O Ponto de Decisão de Política pode ser um Microsoft Server (Longhorn) que está em beta ou um servidor TNC capaz de aceitar mensagens de “avisos de saúde” da Microsoft, como o Servidor TNC da Juniper.
 
O Ponto de Aplicação de Política são os switches Enterasys, capazes de participar no processo de autenticação 802.1x e fornecendo o sistema com o nível de autorização desejável (através de VLAN ou políticas de acesso). Switches Enterasys foram atualmente testados para interoperabilidade com a arquitetura TNC-TCG com resultados positivos.
 
O produto Enterasys NAC (ENAC) se posiciona atualmente como Autoridade de Acesso a Rede, componente do Ponto de Decisão de Política, sem as camadas de Servidor TNC e Verificadores de Informações de Integridade. O Verificadores de Informações de Integridade entendem os avisos de saúde fornecidos pelo Requisitor de Acesso. O Servidor TNC define um grupo de APIs que a TNC fornece para Autoridade de Acesso a rede para comunicar a informação que é fornecida pelo REquisitor de Acesso – Vista rodando NAP ou um endpoint rodando TNC client (ex. Juniper). Atualmente isso não é suportado por ENAC, porém está sendo testado e será suportado em 2008. É importante observar que a TNC avisa que produtos compatíveis com as arquiteturas TNC e MSP NAP não estará disponível até o primeiro semestre de 2008.
 
Em resumo, atualmente os switches Enterasys estão em completa conformidade com a arquitetura TNC-TCG. A solução ENAC irá suportar TNC-TCG em 2008.
 
Também é importante observar que a solução ENAC já foi integrada com sucesso a MS NAP no modelo 802.1x. A solução ENAC, atuando como um proxy ao servidor RADIUS, se integra ao MS NAP implementando NAC a sistemas Microsoft e de outros fabricantes simultaneamente.
 
4. Como você identifica diferentes sistemas (por exemplo: computadores, PDA, IP-address, MAC-address etc.)?
 
A solução Enterasys NAC permite identificar e registrar sistemas através de 3 fatores principais:
 
Endereço MAC
Endereço IP
Login do Usuário
 
Opcionalmente também é possível registrar o sistema através do host-name.
 
5. Como você administra diferentes sistemas desconhecidos (em LAN, WLAN, Acceso de hospedagem)?
 
Sistemas desconhecidos são automaticamente identificados ao tentar entrar ou se logar na rede.
 
Ao entrar na rede LAN o usuário é automaticamente passado para autenticação e validação, podendo ser colocado em uma VLAN ou política de “validação”, permitindo que seu sistema seja avaliado pelo serviço de NAC. Caso o sistema esteja em conformidade com as políticas da empresa e o usuário não possua login ou endereço MAC registrado, o sistema é isolado em uma VLAN para convidados, com acesso limitado (configurável) a recursos da rede. É importante salientar que caso o sistema não esteja em conformidade com as políticas da empresa, ele é colocado em uma VLAN de quarentena, conforme detalhado na resposta 10.
 
Na rede WLAN o usuário é tratado na mesma maneira, onde o ponto de autenticação/validação é posicionado in-line ao access point ou wireless switch, possibilitando tratar todos os usuários passando por aquele sistema WLAN.
 
Adicionalmente, a solução Enterasys NAC possui o feature de MAC Registration. Caso ativado, esse feature obriga usuários convidados a aceitarem a política de acesso da empresa e registrarem um usuário e senha através de uma pagina web, salvando o endereço MAC do sistema sendo utilizado. Isso permite que usuários convidados sejam rastreáveis na empresa, caso seja necessário levantar informações e históricos de acesso.
 
O MAC Registration também permite que um usuário convidado seja obrigado a ter um “sponsor” para entrar na rede local. O “sponsor” é um profissional da empresa com permissões para trazer convidados ao acesso de redes. Neste caso, após o convidado aceitar a política de acesso e registrar seu endereço MAC, o “sponsor” terá que digitar seu usuário e senha diretamente no sistema convidado para autorizá-lo. Desta forma, além de ter um histórico completo de acesso de convidados, o administrador da rede também tem a informação de quem trouxe o convidado a rede.
 
6. Como você administra outros sistemas (por exemplo: Telefone VoIP, impressoras, video cameras, Facility Management ou Industrial Ethernet Devices?
 
Sistemas na rede que não possuem usuários e features de 802.1x são registrados por endereço MAC e tem o acesso limitado ao tipo de dados que transmitem. Desta forma, é possível manter registro dos equipamentos permitidos na rede sem correr o risco de uso indevido do endereço MAC.
 
7. Quais os sistemas de autenticação você recomendaria?
 
Para autenticação de usuários, a Enterasys recomenda uso de um servidor de autenticação Radius. Para autenticação de equipamentos físicos, é recomendado o uso de endereçamento MAC.
 
Como serviço de validação de sistemas, a Enterasys utiliza a solução Nessus (www.nessus.org), que permite avaliar detalhadamente o sistema para validação junto à política da empresa.
 
8. Pra você seria possível através do acesso de rede 802.1x utilização autenticação NAC?
 
Sim, a solução Enterasys NAC segue o padrão 802.1x, atuando como um proxy ao servidor de autenticação do cliente. Desta forma, quando um usuário 802.1x efetuar o logon, ele será direcionado ao serviço de NAC para validação e autenticação.

9. Quais organizações tem executado nas empresas condições na realização de um projeto NAC implantação em rede, segurança, Desktops e Server?
 
Qualquer organização com infra-estrutura de redes suportando a RFC 3580 pode ser base para uma solução de NAC.
 
Para solução completa é recomendado serviço de autenticação Radius (802.1x) e serviços de analise pós-conexão, através de IDS ou IPS.
 
10. Como poderia transformar um computador (Client) na diretriz de empresa conforme NAC?
 
Uma vez que um usuário está reconhecido em não conformidade com a política da empresa, seu sistema é isolado para uma VLAN de “quarentena”. Na VLAN de “quarentena”, quando o usuário tentar acessar um serviço http, ele será direcionado ao serviço de Remediação. O serviço de Remediação é feito através de uma interface web, onde o usuário é informado de seu status de não conformidade e o procedimento necessário para entrar em conformidade. Caso seja necessário, é possível direcionar o usuário através de links para sites ou servidores que possuem atualizações necessárias para seu sistema. Uma vez que seu sistema é atualizado, o usuário é novamente avaliado e, se não for necessárias outras modificações, permitido entrar na rede.
 
Essa solução permite que o usuário entre em conformidade com a as políticas da empresa sem a interferência do help desk, aumentando a produtividade de atendimento.