O que acontece quando se espeta um cabo de rede na sua empresa? Se na sua empresa a resposta é: "quando espeto o cabo eu tenho acesso à rede", então você precisa urgentemente de uma solução de NAC - Network Access Control ou Controle de Acesso à Rede.

Mas afinal o que é NAC e por que precisamos disso?

Antes, vamos entender o problema. Quando falamos de segurança, logo pensamos nas bordas: Firewall, IPS, Proxy, Anti-Spam... tantas e tantas soluções que são focadas em proteger o perímetro da rede - e tudo bem com isso.

Mas e nossa LAN? E nossa rede interna? Quem (diabos) está conectando-se à nossa rede? Bem, primariamente, temos 3 métodos de conexão a uma rede:

1. Cabo (UTP, RJ-45)

2. Wireless

3. VPN

Enquanto os métodos 2 e 3 tradicionalmente têm algum tipo de senha para o acesso (autenticação), o método 1 é completamente inseguro. O "Modus Operandi" normal de uma rede (mesmo as de grandes empresas) é de que há um cabo azul que sai da parede e esta ali, de bobeira, em cima da mesa e, ao espetar (conectar) o cabo no computador, tem-se, de bate-pronto, acesso à rede. Que tipo de acesso? Tradicionalmente, algo definido no Switch, de acordo com a VLAN que esteja configurada naquela porta (por favor, que não que não seja a VLAN 1) e também as ACLs (Access Control List) configuradas por ali e extendidas pelo restante dos Switches da hierarquia.

Tá, legal... e qual é o problema com isso?

Bem, do ponto de vista de Segurança da Informação, TODO o problema! De nada adianta ter o melhor dos melhores dos perímetros se, tudo que um "atacante" tem que fazer é ganhar acesso físico à rede para efetuar um ataque, apenas conectando um cabo de rede no seu computador e tendo acesso. A situação fica ainda pior quando observamos a quantidade de empresas que possuem pouca ou nenhuma segmentação na rede (todo mundo na VLAN 1) o que implica ao "atacante" ter acessso completo a tudo e a todos na rede.

Além disso, cada vez mais e mais empresas que trabalham com Auditoria de TI estão pegando no pé quanto a isso (o famoso Ponto de Auditoria). Infelizmente, para muitas empresas que insistem em NÃO investir em Segurança, resultado de Auditoria é o único modo de fazê-las "abrir a mão" e investir em soluções de SegInfo.

Não vamos tratar aqui dos detalhes técnicos (que envolvem coisas como 802.1x e RADIUS) mas o vídeo abaixo dá uma boa ideia.

É importante esclarecer que NAC não é algo novo. NACs já estão no mercado há muito tempo. O que há de novo é a importância que as ameaças internas (Insider Threats) estão ganhando. Estamos (finalmente) abrindo o olho para o fato de que proteger o perímetro não é suficiente, seja pela sua extensão com Cloud e VPN ou pelo fato de que não se pode confiar nem na rede interna (Inside). Logo, NACs caem como uma luva para resolver o problema de visão e controle de quem entra na rede.

Mas é só isso?

Não. Tem muito mais. Além de controlar o acesso à rede, ganha-se uma outra vantagem quando se implementa NAC: simplificação de política e operação. Explico:

Sem NAC temos uma política de acesso (como VLAN) configurada diretamente no Switch, outra política configurada no Access Point (ou na sua controladora WLC) e ainda uma terceira política de acesso configurada na concentradora VPN. Tradicionalmente implementadas por times diferentes (Infra, Wifi e Segurança) que pouco se conversam e que, como resultado, levam a experiência ruím dos colaboradores.

Com NAC pode-se centralizar essas políticas. Tira a política do Switch, tira a do AP (WLC) e tira a da concentradora VPN e cria-se uma política única no servidor (NAS) que vai gerenciar o NAC. Dessa forma, além de facilitar a gerência das políticas, deixa a operação mais eficiente e cria uma experiência homogênea aos usuários.

É evidente no mercado de hoje (2017) um chaveamento de clientes de todos os tamanhos (P, M e G) para soluções NAC seja por segurança pura ou por ponto de auditoria. Mais do que nunca os profissionais de Segurança da Informação devem conhecer não só os benefícios dessas soluções mas também suas "tecnicalidades", conhecendo termos como 802.1x, RADIUS, MAB e outros.

No Curso de Segurança em Redes de Computadores temos um Módulo específico sobre o tema (M14) onde falamos sobre Teoria, Prática (ferramentas de verdade) e Experiência do Instrutor quanto ao assunto e suas melhores práticas, tudo pensando em deixar nossos alunos preparados para o mundo real.

Marcos Cavinato é Engenheiro Consultor de Segurança da Informação em uma das maiores multinacionais do ramo. É certificado CISSP #604399, Instrutor do Curso de Segurança em Redes de Computadores aqui na SegInfoBrasil e criador do Canal Segurança Cavinato no Youtube.

#nac #networkaccesscontrol #controldeacessoÀrede #seginfobrasil #segurançacavinato #segurançadainformação #8021x #RADIUS #mab #auditoria #seginfo