Control de Admisión a la Red (NAC)

  • Posted on: 2 December 2020
  • By: ReYDeS

Network Admission Control (NAC) o por su traducción al idioma español “Control de Admisión a la Red”, ha sido una tecnología tumultuosa con una diversidad de soluciones y técnicas. Aunque NAC puede tener diferentes significados, esencialmente representa una restricción de acceso el cual se debe intentar evadir como un buen profesional en pruebas de penetración.

Los sistemas utilizando NAC aprovechan un método para el control de red, requiriendo los usuarios realicen algún tipo de autenticación o validación de políticas del sistema, antes de otorgarle acceso hacia la red. Esto puede ser implementado con niveles variantes de escrutinio y requerimientos de seguridad, con algunas organizaciones requiriendo como mínimo todos los clientes estén parchados con firmas antivirus, antes de acceder hacia la red. Otras organizaciones pueden requerir tokens de autenticación con doble factor de autenticación, verificaciones de la postura del sistema y sistemas operativos cliente, además del fortalecimiento de acceso privilegiado hacia ciertos sistemas basado en credenciales de login para el cliente.

Existen diversas técnicas para implementar, evadir o saltar sistemas NAC, mostrando primero el requerimiento de la política y la implementación del sistema NAC, para luego apuntar cuales fallas se pueden aprovechar y tomar ventaja.

Por ejemplo en un escenario NAC, se inicia con una definición de política la cual describe las metas sobre la implementación NAC en la red. La política requiere una autenticación simple, y asegura los clientes cumplen los requerimientos mínimos de la política de seguridad.

En este escenario se realiza una mínima verificación sobre nivel de cumplimiento sobre los dispositivos del cliente, mientras se requiere todos los usuarios se autentiquen hacia la red. Este es un ejemplo de un despliegue NAC minimista, donde la organización probablemente tiene soporte para una amplia variedad de sistemas del cliente, y opta por solo fortalecer un nivel mínimo de control y verificación del sistema.

En estos despliegues NAC, un NAC sin cliente, o un sistema agente disoluble es desplegado. En lugar de requerir cada dispositivo tenga un cliente NAC completo y pesado, los sistemas cliente utilizan un navegador web y un agente temporal para realizar verificaciones del sistema. Este cliente puede también realizar autenticación, aunque es más común ver autenticación en portales cautivos utilizados antes del agente disoluble sea entregado hacia el cliente.

En sistemas NAC sin cliente, el cliente se conecta inicialmente hacia un red restringida antes de ser redireccionada hacia una página de autenticación, la cual fuerza a la autenticación y validación de política de agente. Este acceso inicial puede ser fortalecido sobre un switch, donde un evento de autenticación exitosa fuerza a un switch de una VLAN una operación para el usuario, o este puede ser fortalecida en linea por el NAC, únicamente otorgándole acceso hacia los recursos de la red interna siguiente la autenticación.

Fuentes:

https://csrc.nist.gov/glossary/term/Network_Access_Control
https://en.wikipedia.org/wiki/Network_Access_Control

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: https://www.reydes.com/d/?q=node/1