No cenário atual com roubo de dados, vírus e regulamentações, é vital incorporar tecnologia de controle de acesso à rede, também chamada de network access control. Mas não é fácil definir o tipo de NAC. Esta reportagem visa esclarecer os pontos básicos para ajudar você a descobrir qual configuração é correta para cada ambiente.

O NAC está estreitamente ligado aos processos de negócio de uma empresa. Muitos hot spots sem fio em restaurantes, por exemplo, empregam sistemas de NAC básicos que exigem que os usuários concordem com uma política de uso para permitir a conexão.

Esta forma simples de NAC funciona porque o restaurante está oferecendo um serviço de rede simples – acesso à Internet – como um benefício relacionado à visita ao estabelecimento. Entretanto, este modelo não é aplicável em outros ambientes.

Para descobrir qual tipo de abordagem NAC é a certa para sua rede, é preciso preencher dois pré-requisitos. O primeiro é entender quais as soluções disponíveis, o que fazem, como fazem e como se integram à rede. O segundo está em ter uma política corporativa clara e aplicável para acesso e segurança. Os sistemas NAC não criam políticas, eles as aplicam.

Conhecendo o NAC
Para obter acesso à rede, em geral, é preciso passar por pelo menos um dentre três tipos de avaliação. O primeiro apenas exige que os usuários concordem com uma política de uso antes da conexão. A identidade do usuário e o status da máquina não têm influência sobre a concessão ou não do acesso.

O segundo tipo de teste valida a identidade do usuário e o terceiro, a situação da máquina. Estes dois raramente são usados para autorizar totalmente o acesso. Quando um teste que valida a identidade do usuário é empregado, diferentes níveis de acesso podem ser concedidos. Nos extremos, acesso total para administradores ou uso limitado de aplicações para usuários ‘convidados’.

A situação da máquina é avaliada perante a política de segurança estabelecida. Se a política determina que uma máquina Windows tenha atualizações para sistema operacional, a conexão é restrita até que os patches sejam instalados. Feito corretamente, esse passo reduz drasticamente os danos causados por worms e vírus.

Esta conectividade limitada é chamada de “estado de quarentena”. Para planejar a implementação de NAC é preciso utilizar os métodos de quarentena, suas limitações e a relação deles com a infra-estrutura da rede.

Métodos de quarentena
Os métodos manuais de quarentena têm usado listas de controle de acesso em roteadores e switches. Do ponto de vista da arquitetura da rede, demandam uma implementação inline (ou in-band). Quando inline, os métodos de NAC automatizam a gestão de controle de acesso.

Outra abordagem envolve designar LANs virtuais para separar as máquinas em quarentena da rede corporativa. Um método relativamente simples é usar Dynamic Host Configuration Protocol para designar um cliente para redes diferentes.
Em infra-estruturas mais sofisticadas, um sistema NAC pode configurar as portas para uma máquina ser membro de determinada VLAN.

Por padrão, todas as portas de switches na rede protegidas por NAC são designadas para a VLAN em quarentena com acesso limitado. Quando o sistema NAC detecta que os requisitos foram satisfeitos, instrui o switch a mudar a porta.
Há também o método de envenenamento de Address Resolution Protocol (ARP), que emula um ambiente inline manipulando a tabela ARP do cliente.

No entanto, há riscos para cada método. Com o método DHCP, um usuário final pode atribuir à sua máquina um endereço público válido, driblando a quarentena. O envenenamento do ARP pode ser driblado com a criação de uma entrada ARP manual para o gateway. Mas a maioria dos sistemas NAC tem medidas defensivas para estas táticas.

Credenciais do usuário
A verificação da identidade do usuário é um componente crítico de sistemas NAC. É aconselhável empregar outros métodos para restringir o acesso além de colocar a máquina como convidada.

Em um ambiente de autenticação simples, um NAC pode consultar um servidor RADIUS para determinar se um usuário está autorizado a ter acesso total à intranet e à internet.

Em ambientes mais complicados, nos quais gerentes acessam sistemas de ERP e administradores de rede acessam servidores, a opção está nas políticas de credenciais do usuário. Ao interfacear com servidores Active Directory ou Lightweight Directory Access Protocol (LDAP), o tipo de função do usuário pode ditar o nível de acesso.

Da perspectiva do usuário, a autenticação pode ser feita de várias maneiras. A mais simples é baseada na web, via um navegador. Qualquer que seja a URL solicitada, o browser abre uma página de autenticação em NAC.