Você está na página 1de 11

O NAC-Network Access Control uma soluo unificada de controle e gerenciamento de ameaas virtuais (UTM UnifiedThreat Management) composta por

or 8 mdulos com o objetivo de aumentar a produtividade e a segurana do uso dos recursos de TI.
uma ferramenta para a segurana das redes de computadores que tenta unificar endpoint com tecnologia de segurana (tais como antivrus ,preveno de intruses de host e avaliao de vulnerabilidade ), usurio ou sistema de autenticao e aplicao de segurana de rede. A ferramenta funciona com computadores que utilizam um conjunto de protocolos para definir e implementar uma poltica que descreve como garantir o acesso rede por meio de ns de dispositivos quando a rede acessada . NAC pode integrar o processo de correo automtica para os sistemas de rede, permitindo que a infra-estrutura de rede, como roteadores, computadores e firewalls possam trabalhar em conjunto com servidores e equipamentos de computao do usurio final para garantir que o sistema de informao est operando de forma segura.

Network Access Control destina-se a fazer exatamente o que o nome implica o controle de acesso a uma rede,o endpoint verifica a poltica de segurana e controles de admisso e ps-admisso sobre o local onde os usurios podem ir e o que os dispositivos em uma rede pode fazer. Inicialmente 802.1X tambm foi pensado como NAC. Alguns ainda consideram como o 802.1X forma mais simples do NAC, mas a maioria das pessoas pensa NAC como algo mais. Quando um computador se conecta a uma rede de computadores , ele no tem permisso para acessar qualquer coisa, exceto se cumprir uma poltica comercial definida, essa politica seria nvel de proteo do anti-vrus, nvel de atualizao e configurao do sistema. Enquanto o computador est sendo controlado por um agente de software pr-instalado, ela s pode acessar os recursos que podem remediar (resolver ou atualizar) todas as questes. Uma vez que a poltica seja cumprida, o computador capaz de acessar recursos de rede e na Internet, no sendo cumprida, o computador permanece em uma VLAN criada pelo NAC, at que todas as solicitaes sejam finalizadas . NAC principalmente para acesso baseado no papel. O acesso rede, ser dada de acordo com o perfil da pessoa. Por exemplo, numa empresa, departamento de RH s poderia acessar apenas o arquivo do departamento de RH e assim para os demais departamentos da empresa.

Os mdulos disponveis pelo NAC para otimizar esses recursos so os seguintes:


y y y y y y y y

Usurios e Senhas; Firewall; Proxy; Email; Antispam; MSN; Samba; Impresso;

H alguns anos, a Cisco e a Microsoft criaram conceitos-chave que iriam ditar o desenvolvimento do NAC, mas essa tecnologia ganhou propores maiores quando a Cisco, atravs de uma iniciativa liderada por ela, divulgou a soluo Network AdmissionControl. Desde ento, as empresas tm adotado o NAC para gerenciar o acesso s suas informaes e impedir a propagao de malwares, aumentando de forma efetiva o controle do acesso aos recursos da rede e a segurana das informaes que nela trafegam. Os produtos NAC garantem que computadores e laptops conectados rede estejam em conformidade com as polticas da organizao e que medidas de quarentena e isolamento sejam tomadas para os dispositivos comprometidos at que eles estejam limpos e reparados. O NAC no faz somente a verificao dos computadores usados pelos empregados, mas tambm verifica a sade dos equipamentos dos visitantes, consultores ou fornecedores que precisam ter acesso rede da organizao. O NAC pode ser dividido em trs fases macro: avaliao, isolamento e reparo. Quando um equipamento entra na rede , ele passa, no mnimo, pela fase de avaliao que composta pelas funes de autenticao, autorizao e validao. As outras fases (isolamento e reparo) so desempenhadas a depender da poltica do NAC e se o dispositivo est comprometido. Resumindo, as funes aferidas durante o processo do NAC so autenticao, autorizao, validao, quarentena, reparo e inspeo.A autenticao e autorizao esto intrinsecamente ligadas e correspondem fase inicial do processo, em que o dispositivo identificado na rede para que o acesso dele seja liberado ou negado. A identificao e o controle do acesso so desempenhados atravs de mecanismos que utilizam o padro 802.1x e servios DHCP. Depoi s que o dispositivo detectado, ele deve passar pela validao, em que verificado se est de acordo com as polticas estabelecidas pelo departamento de TI e se atende aos requisitos de verificao de patches atualizados, assinaturas de antivrus, servios e aplicaes ativas, entre

outros, para acessar a rede. Caso o dispositivo no esteja em conformidade com as polticas da organizao, ele encaminhado para quarentena e o acesso rede bloqueado. Sendo o sistema de controle de acesso rede mais robusto, este dispositivo pode ser redirecionado para um servidor de quarentena no qual passar por um reparo que, a depender das polticas pr-definidas, inclui atualizao das assinaturas de antivrus e dos patches do sistema operacional, limpeza de malwaresdetectados e desativao de servios desnecessrios. Mesmo depois de identificado e validado na rede, o dispositivo pode ter todo seu trfego analisado. A inspeo tornou-se uma das principais funes da arquitetura NAC, que por sua vez avaliada de acordo com a eficincia do sistema de preveno de intruso (IDS/IPS) adotado. O NAC pode ser classificado em trs categorias que caracterizam a forma como ele integrado na infra-estrutura de rede. Os appliancesNAC, que so divididos em in-line e out-of-band, so integrados de forma mais simples, porm provem as principais funes da arquitetura NAC. Os arcabouos NAC compem uma arquitetura mais elaborada, pois integram solues de terceiros na infra -estrutura de rede envolvendo switches nextgenerationcom suporte tecnologia NAC. Por fim, existem as solues de segurana para desktops que estenderam seus produtos de antivrus a alguns recursos de NAC, reforando a segurana de endpoints. Os appliancesNAC podem operar no modo in-lineou out-of-band. As solues in-linemonitoram todo trfego, desde a funo de autenticao at inspeo, permitindo maior controle sobre o que transmitido na rede. Por conta disso, os appliancesde arquitetura in-lineso recomendados para redes sem fio. J as solues que operam em outof-bandmonitoram somente a entrada do dispositivo na rede, pois no existe visibilidade do trfego transmitido aps as etapas iniciais. A vantagem desse tipo de soluo que polticas podem ser aplicadas nos equipamentos existentes, o que torna mais fcil a sua implementao. Microsoft, Cisco e o TrustedComputingGroup tm se empenhado bastante para facilitar a integrao entre seus produtos NAC e expandir o mercado de controle de acesso rede. O TrustedComputingGroup definiu um arcabouo padro chamado Trusted Network Connect (TCN) como alternativa aberta para as iniciativas proprietrias do NAC. Este arcabouo tem como meta fornecer segurana dos endpointsa qualquer conexo na rede, permitindo a interoperabilidade entre equipamentos de diferentes fabricantes.

Com um crescimento significativo, o NAC agora lidera o ranking das tecnologias mais cobiadas em segurana de TI e j comea a entrar nos planos oramentrios de diversas empresas. Uma pesquisa feita no incio de 2006 pela consultoria InfoneticsResearch mostra que o rendimento das solues envolvendo NAC chegar aos quatro bilhes de dlares no prximo ano, um crescimento de 1.101% entre 2005 e 2008. Usado na proteo de redes sem fio, VPNs ou em computadores que se conectam a servidores de aplicaes crticas, o NAC uma tecnologia bastante promissora e um grande desafio para os CSOs decidir que soluo, levando em considerao o custo e o benefcio, se encaixa melhor para suas empresas.

Benefcios:
y y y y

Aumento da produtividade com o uso controlado da internet; Otimizao do uso do link de acesso a internet; Garantia de segurana contra ataques e pragas virtuais; Reduo de custos operacionais.

Principais diferencias do NAC:


y y y y y y y

Desenvolvido em C e PHP; Armazenamento de logs diretamente no banco de dados PostgreSQL para consultas em tempo real; Base de usurios em servio de diretrios LDAP; Interface amigvel e intuitiva usando o melhor da tecnologia web 2.0 ( AJAX ); Foco na gesto dos recursos disponibilizados atravs de mais de 60 grficos e relatrios em tempo real; Atualizao mensal com novos recursos, grficos e relatrios; Flexibilidade na criao de controles.

1. NAC: Perspectivas para uma rede mais segura Se voc um profissional da segurana da informao, provavelmente j ouviu falar de TAP (Total Access Protection), NAP (Network Access Protection) ou NAC (Network AdmissionControl/Network Access Control). Embora esta ltima seja mais usual, todas as siglas citadas descrevem sistemas de acesso rede que fornecem uma srie de funcionalidades focadas em integrar a autenticao do usurio, o gerenciamento da sade da mquina, a proteo contra ameaas e o controle de acesso baseado em polticas, nas redes das

organizaes. H alguns anos, a Cisco e a Microsoft criaram conceitos-chave que iriam ditar o desenvolvimento do NAC, mas essa tecnologia ganhou propores maiores quando a Cisco, atravs de uma iniciativa liderada por ela, divulgou a soluo Network AdmissionControl. Desde ento, as empresas tm adotado o NAC para gerenciar o acesso s suas informaes e impedir a propagao de malwares, aumentando de forma efetiva o controle do acesso aos recursos da rede e a segurana das informaes que nela trafegam. Os produtos NAC garantem que computadores e laptops conectados rede estejam em conformidade com as polticas da organizao e que medidas de quarentena e isolamento sejam tomadas para os dispositivos comprometidos at que eles estejam limpos e reparados. O NAC no faz somente a verificao dos computadores usados pelos empregados, mas tambm verifica a sade dos equipamentos dos visitantes, consultores ou fornecedores que precisam ter acesso rede da organizao.

http://www.istf.com.br/showthread.php/10855-NACPerspectivas-para-uma-rede-mais-segura

NAC: Perspectivas para uma rede mais segura


Se voc um profissional da segurana da informao, provavelmente j ouviu falar de TAP (Total Access Protection), NAP (Network Access Protection) ou NAC (Network AdmissionControl/Network Access Control).

Embora esta ltima seja mais usual, todas as siglas citadas descrevem sistemas de acesso rede que fornecem uma srie de funcionalidades focadas em integrar a autenticao do usurio, o gerenciamento da sade da mquina, a proteo contra ameaas e o controle de acesso baseado em polticas, nas redes das organizaes. H alguns anos, a Cisco e a Microsoft criaram conceitos-chave que iriam ditar o desenvolvimento do NAC, mas essa tecnologia ganhou propores maiores quando a Cisco, atravs de uma iniciativa liderada por ela, divulgou a soluo Network AdmissionControl. Desde ento, as empresas tm adotado o NAC para gerenciar o acesso s suas informaes e impedir a propagao de malwares, aumentando de forma efetiva o controle do acesso aos recursos da rede e a segurana das informaes que nela trafegam. Os produtos NAC garantem que computadores e laptops conectados rede estejam em conformidade com as polticas da organizao e que medidas de quarentena e isolamento sejam tomadas para os dispositivos comprometidos at que eles estejam limpos e reparados. O NAC no faz somente a verificao dos computadores usados pelos empregados, mas tambm verifica a sade dos equipamentos dos visitantes, consultores ou fornecedores que precisam ter acesso rede da organizao. O NAC pode ser dividido em trs fases macro: avaliao, isolamento e reparo. Quando um equipamento entra na rede , ele passa, no mnimo, pela fase de avaliao que composta pelas funes de autenticao, autorizao e validao. As outras fases (isolamento e reparo) so desempenhadas a depender da poltica do NAC e se o dispositivo est comprometido. Resumindo, as funes aferidas durante o processo do NAC so autenticao, autorizao, validao, quarentena, reparo e inspeo.A autenticao e autorizao esto intrinsecamente ligadas e correspondem fase inicial do processo, em que o dispositivo identificado na rede para que o acesso dele seja liberado ou negado. A identificao e o controle do acesso so desempenhados atravs de mecanismos que utilizam o padro 802.1x e servios DHCP. Depoi s que o dispositivo detectado, ele deve passar pela validao, em que verificado se est de acordo com as polticas estabelecidas pelo departamento de TI e se atende aos requisitos de verificao de patches atualizados, assinaturas de antivrus, servios e aplicaes ativas, entre outros, para acessar a rede. Caso o dispositivo no esteja em conformidade com as polticas da organizao, ele encaminhado para quarentena e o acesso rede bloqueado. Sendo o sistema de controle de acesso rede mais robusto, este dispositivo pode ser

redirecionado para um servidor de quarentena no qual passar por um reparo que, a depender das polticas pr-definidas, inclui atualizao das assinaturas de antivrus e dos patches do sistema operacional, limpeza de malwaresdetectados e desativao de servios desnecessrios. Mesmo depois de identificado e validado na rede, o dispositivo pode ter todo seu trfego analisado. A inspeo tornou-se uma das principais funes da arquitetura NAC, que por sua vez avaliada de acordo com a eficincia do sistema de preveno de intruso (IDS/IPS) adotado. O NAC pode ser classificado em trs categorias que caracterizam a forma como ele integrado na infra-estrutura de rede. Os appliancesNAC, que so divididos em in-line e out-of-band, so integrados de forma mais simples, porm provem as principais funes da arquitetura NAC. Os arcabouos NAC compem uma arquitetura mais elaborada, pois integram solues de terceiros na infra -estrutura de rede envolvendo switches nextgenerationcom suporte tecnologia NAC. Por fim, existem as solues de segurana para desktops que estenderam seus produtos de antivrus a alguns recursos de NAC, reforando a segurana de endpoints. Os appliancesNAC podem operar no modo in-lineou out-of-band. As solues in-linemonitoram todo trfego, desde a funo de autenticao at inspeo, permitindo maior controle sobre o que transmitido na rede. Por conta disso, os appliancesde arquitetura in-lineso recomendados para redes sem fio. J as solues que operam em outof-bandmonitoram somente a entrada do dispositivo na rede, pois no existe visibilidade do trfego transmitido aps as etapas iniciais. A vantagem desse tipo de soluo que polticas podem ser aplicadas nos equipamentos existentes, o que torna mais fcil a sua implementao. Microsoft, Cisco e o TrustedComputingGroup tm se empenhado bastante para facilitar a integrao entre seus produtos NAC e expandir o mercado de controle de acesso rede. O TrustedComputingGroup definiu um arcabouo padro chamado Trusted Network Connect (TCN) como alternativa aberta para as iniciativas proprietrias do NAC. Este arcabouo tem como meta fornecer segurana dos endpointsa qualquer conexo na rede, permitindo a interoperabilidade entre equipamentos de diferentes fabricantes. Com um crescimento significativo, o NAC agora lidera o ranking das tecnologias mais cobiadas em segurana de TI e j comea a entrar nos planos oramentrios de diversas empresas. Uma pesquisa feita no incio de 2006 pela consultoria InfoneticsResearch mostra que o rendimento das solues envolvendo NAC chegar aos quatro bilhes de dlares no

prximo ano, um crescimento de 1.101% entre 2005 e 2008. Usado na proteo de redes sem fio, VPNs ou em computadores que se conectam a servidores de aplicaes crticas, o NAC uma tecnologia bastante promissora e um grande desafio para os CSOs decidir que soluo, levando em considerao o custo e o benefcio, se encaixa melhor para suas empresas.

http://www.philipegaspar.com/2007/03/nac-perspectivas-parauma-rede-mais_27.html

NAC Network Access Control( controle de Acesso a Rede )


Network Access Control (NAC) uma ferramenta para a segurana das redes de computadores que tenta unificar endpointcom tecnologia de segurana (tais como antivrus ,preveno de intruses de host e avaliao de vulnerabilidade ), usurio ou sistema de autenticao e aplicao de segurana de rede.

Network Access Control (NAC) um rede computadores que utiliza um conjunto de protocolos para definir e implementar uma poltica que descreve como garantir o acesso rede por meio de ns de dispositivos quando a rede acessada . NAC pode integrar o processo de correo automtica para os sistemas de rede, permitindo que a infraestrutura de rede, como roteadores, comutadores e firewalls possam trabalhar em conjunto com servidores e equipamentos de computao do usurio final para garantir que o sistema de informao est operando de forma segura. Network Access Control destina-se a fazer exatamente o que o nome implica o controle de acesso a uma rede,o endpoint verifica a poltica de segurana e controles de admisso e ps-admisso sobre o local onde os usurios podem ir e o que os dispositivos em uma rede pode fazer. Inicialmente 802.1X tambm foi pensado como NAC. Alguns ainda consideram como o 802.1X forma mais simples do NAC, mas a maioria das pessoas pensa NAC como algo mais.

Quando um computador se conecta a uma rede de computadores , ele no tem permisso para acessar qualquer coisa, exceto se cumprir uma poltica comercial definida, essa politica seria nvel de proteo do anti-vrus, nvel de atualizao e configurao do sistema. Enquanto o computador est sendo controlado por um agente de software pr-instalado, ela s pode acessar os recursos que podem remediar (resolver ou atualizar) todas as questes. Uma vez que a poltica seja cumprida, o computador capaz de acessar recursos de rede e na Internet, no sendo cumprida, o

computadorpermanece em uma VLAN criada pelo NAC, at que todas as solicitaes sejam finalizadas . NAC principalmente para acesso baseado no papel. O acesso rede, ser dada de acordo com o perfil da pessoa. Por exemplo, numa empresa, departamento de RH s poderia acessar apenas o arquivo do departamento de RH e assim para os demais departamentos da empresa.

Gols do NAC
Porque NAC representa uma categoria emergente de produtos de segurana, sua definio de evoluir e controverso. Os objectivos globais do conceito pode ser destilada para: Mitigao de ataques de dia zero A proposio de valor de chave de solues NAC a capacidade de impedir que estaes finais que falta antivrus, patches ou preveno de intruses de host software de acessar a rede e colocar outros computadores em risco de contaminao cruzada de worms de computador . execuo da Poltica solues NAC permitir que os operadores de rede para definir polticas, como os tipos de computadores ou papis de usurios autorizados a acessar as reas da rede, e aplic-las em switches, roteadores e middleboxes rede . Gerenciamento de identidade e acesso Onde redes IP convencionais reforar as polticas de acesso em termos de endereos IP , ambientes NAC tentativa de faz-lo com base em autenticada identidades de usurio, pelo menos para o usurio final, como estaes de laptops e computadores desktop.

Como funciona esse controle?


Existem duas filosofias de projeto vigentes no NAC, com base em saber se as polticas so aplicadas antes ou depois do fim que as estaes ganham acesso rede. No primeiro caso, chamado NAC pr-admisso,primeiramente as estaes so inspecionados antes de serem autorizados na rede. Um caso de uso tpico do NAC de pr-admisso seria para impedir que clientes com a licena do antivrus desatualizado conversassecom os servidores confidenciais. Alternativamente, a ps-admisso toma decises de aplicao com base em aes do usurio, aps os usurios ter se ingressado rede

A ideia fundamental por trs do NAC permitir que a rede tome decises de controle de acesso baseado em inteligncia sobre a poltica de segurana, de modo que a politica de segurana formada em cima das decises finais do projeto de informtica da empresa. Uma das principais diferenas entre os sistemas de NAC saber se eles exigem software agente para informar as caractersticas do sistema, ou se eles usam tcnicas de digitalizao e inventrio de rede para discernir essas caractersticas remotamente. Como o NAC tem amadurecido, a Microsoft oferece agora a sua proteo de acesso rede (NAP), um agente como parte de seu Windows Server, Windows 7 , Vista e XP. H agentes NAP compatveis para Linux e Mac OS X que fornecem inteligncia igual para esses sistemas operacionais.

Out-of-band versus inline


Out-of-band (fora do sistema de banda), os agentes esto distribudos em estaes finais paraa comunicao com um console central, que por sua vez pode comandar e aplicar qualquer poltica. As solues em linha pode ser uma de soluo completa que funciona como firewalls internos para para a camada de rede executar a poltica. Solues out-of-bandtem a vantagem da reutilizao de infra-estrutura existente, os produtos em linha podem ser mais fceis de implantar em novas redes, e pode fornecer a capacidade de aplicao mais avanada no seu NAC, eles esto diretamente no controle de pacotes individuais do sistema.

Correo, quarentena e portais em cativeiro


Os administradores de rede implementam NAC com a expectativa de que alguns clientes legtimos ter negado o acesso rede (se os usurios sempre estivessem com os nveis de patch atualizados, o NAC no seria necessrio). Devido a isso, as solues NAC requerem um mecanismo para corrigir os problemas do usurio final que lhes negam o acesso. Duas estratgias comuns para a remediao so redes de quarentena e portais em cativeiro :

Quarentena Uma rede de quarentena uma rede IP restrita que fornece aos usurios acesso roteado somente para determinados hosts e aplicativos. A quarentena frequentemente implementadas em termos de VLAN , quando um produto NAC determina que um usurio final est fora de prazo, o sua porta do switch atribudo a uma VLAN que encaminhado apenas para atualizar os servidores e patch, a o resto da rede continua trabalhando normalmente. Outras solues utilizam tcnicas de gesto de endereos (como o AddressResolutionProtocol (ARP) ou NeighborDiscovery

Protocol (NDP)) para aplicaes de quarentena, evitando a sobrecarga de gerenciamento de VLANsem quarentena. Portais cativos Um portal cativo intercepta o protocoloHTTP( acesso a pginas web), redirecionando os usurios para uma aplicao web que fornece instrues e ferramentas para atualizar seu computador. At que seu computador passa pela inspeo automatizada, sem o uso da rede. Esta semelhante maneira como funciona o acesso sem fio pagoem pontos de acesso pblico.