Nuevas especificaciones perfeccionan las capacidades del control de acceso a redes (NAC)

19 May 2009 en Seguridad

Un grupo de la industria acaba de presentar nuevos recursos para realizar controles de salud en una mayor variedad de dispositivos, redes y hasta servidores de aplicaciones. Se trata de TCG (Trusted Computing Group), formado por diversos proveedores y que presentó tres nuevas especificaciones como parte de su framework TNC (Trusted Network Connect). Tenemos una especificación para puntos terminaleses sin cliente, soporte a SSL/TLS como transporte de autenticación y TNC federado.
Estas especificaciones mejoran la seguridad online y los servidores son potencialmente capaces de controlar la seguridad de cualquier punto terminal donde se trata de conectar un usuario.
Originalmente, las especificaciones TNC describían un mecanismo estándar para que se pudiera verificar la aplicación de las actualizaciones de seguridad en los puntos terminales de la LAN. El proyecto luego se amplió con el apoyo de Microsoft y su TNCCS-SOH (protocolo “statement-of-healt) que ayuda a realizar un control previo a la admisión a la red validando las condiciones de seguridad en el punto terminal.
El protocolo que Microsoft donó en 2007 es parte de su tecnología Network Address Protection (NAP), presente en Windows Vista y Windows XP SP3.
El año pasado, TNC amplió su alcance con el protocolo IF-MAP (Interface for Metadata Access Point), cuyo alcance supera el control de acceso previo a la admisión incluyendo correlación de eventos post-conexión aplicando las políticas de control de acceso. Ahora, TNC incorpora la capacidad de controlar puntos terminales que no tengan un cliente TNC. Esto incluye dispositivos como impresoras, teléfonos VoIP y otros, gracias a la especificación Clientless Endpoint Support. Si bien existieron funcionalidades similares por parte de algunos proveedores, mediante esta especificación basada en estándares se posibilita la interoperabilidad.
NAC ya no será un método para proteger sólo la seguridad de la red. Esta semana se está presentando la especificación IF-T Binding for TLS 1.0, una nueva opción de transporte para el “handshake” TNC que controla la salud de un dispositivo. De esta forma, además de la capa de red, tenemos a las aplicaciones participando en el proceso de decisiones respecto a seguridad.
TLS es prácticamente similar a SSL y se utiliza en servidores para seguridad online. Con IF-T Binding for TLS 1.0, se pueden realizar controles sobre cualquier red IP.
También monitorea en forma constante y si un dispositivo se sale de las condiciones requeridas, es identificado por el servidor de políticas de seguridad TNC. Esta especificación puede operar en sitios Web para controlar los dispositivos de usuarios que intentan conectarse.
Por último, tenemos a Federated TNC, que permitirá compartir o federar controles entre dominios de seguridad. Eso gracias a un nuevo conjunto de perfiles que muestra cómo transmitir la información TNC en SAML (Security Assertion Markup Language).
Los proveedores que participan en TNC son Juniper, Microsoft, HP, Nortel, IBM y Aruba, entre otros. Cisco no se ha sumado y recién consideraría las especificaciones cuando se conviertan en un estándar de Internet Engineering Task Force, cuerpo del que forma parte.