CISCO NETWORKING ACADEMY

NETWORK ACCESS CONTROL

RAFAEL CAMPOS
CARLOS PREZ S.
DANIEL JARQUIN U.

9 DE ABRIL DE 2013

INTRODUCCIN
El presente trabajo trata el tema de la implementacin de Control de Acceso a Redes ya que
en los ltimos aos se ha producido una necesidad de acceso a las redes corporativas
utilizando distintos medios de acceso ya que las empresas tienen cada vez redes mas
distribuidas, con oficinas y centros de negocios repartidos en distintas ubicaciones
geogrficas. Adems, se ha intensificado el uso de aplicaciones multimedia que requieren
que la red le garantice condiciones de seguridad y confidencialidad para el trfico de los
datos que intercambian.
El presente trabajo pretende analizar las distintas alternativas que ofrece el Control de
Acceso a Redes. A esto se asocian diversos productos y tecnologas, y los diferentes
utilizados en el rea de seguridad.
Con el creciente aumento de ataques informticos seria grandioso que se pudiera dejar la
seguridad a un lado implementado el Control de Acceso a Redes as que a lo largo de este
trabajo trataremos de ayudarlos con eso.

OBJETIVOS
I.
II.
III.
IV.
V.
VI.

Analizar la importancia del Control de Acceso a Redes.

Explicar que es el Control de Acceso a Redes.
Explicar las tecnologas del Control de Acceso a Redes.
Conocer las amenazas dentro y fuera de la red.
Mostrar las soluciones existentes a la inseguridad en la red.
Conocer los pasos por los que pasa el Control de Acceso a Redes.

ESCENARIO, AMENAZAS DENTRO Y FUERA DE LA RED

La razones de la importancia del control de acceso a redes pueden encontrarse porque las empresas cada vez
tienen redes mas distribuidas, con oficinas y centros de negocios repartidos en distintas ubicaciones
geogrficas, todos con la necesidad de acceso a la red y sistemas de la compaa utilizando distintos medios de
acceso desde tecnologas inalmbricas, Internet, VPN, etc.
Este entorno de interconexin tan complejo unido a la mayor criticidad de los datos que poseen las empresas y
organizaciones, y a la necesidad de acceso a los datos desde cualquier dispositivo y ubicacin, todo ello sin
comprometer la integridad y confidencialidad de la informacin, ha provocado la aparicin de innumerables y
nuevos puntos dbiles de acceso. Estas circunstancias implican nuevos riesgos y amenazas ante los cuales las
empresas demandan nuevas soluciones para solventarlas
En respuesta a esta demanda surgen iniciativas y tecnologas para resolverlas que se engloban dentro de lo
que se conoce como Control de Acceso a la Red.
Otro gran problema que puede ofrecer la implementacin de una arquitectura NAC es el impacto en la
infraestructura donde se implante, debido a que afecta tanto a los elementos de red, como switches, routers y
firewalls como a equipos de usuarios y su software, tambin incrementa la carga de los servidores de
autenticacin.
Amenazas de seguridad pueden ser causadas por usuarios de una organizacin sin ninguna intencin, por
ejemplo:
Si no tenemos control de quienes se conectan a nuestra red.

O aun teniendo un sistema de seguridad externo, el problema puede ser causado sin intencin por un
empleado.

No solo es importante tener un sistema de seguridad que controle el acceso desde el exterior.

Tenemos un escenario en el que debemos tener proteccin tanto externa como interna y en la batalla por la
supremaca de proveer sistemas de acceso seguro nos encontramos con tres tecnologas claramente
diferenciadas:
NAC de Cisco
NAP de Microsoft
TNC (del Trusted Computing Group)

TRMINOS Y TECNOLOGAS
Las soluciones NAC son diferentes pero pueden ser clasificadas en dos grupos
Clienless no necesita de ningn software instalado en los dispositivos
Client-based un componente de software es pre instalado en los dispositivos para poder asistir al proceso de
NAC
Existe un numero de factores para decidir cual tipo de solucin es la ms adecuada dependiendo de cmo este
formada la organizacin, NAC basado en cliente provee ms detalle del dispositivo pero tambin hay que tener
en cuenta que requiere su instalacin equipo por equipo.
Pre admisin NAC
Determina que un dispositivo cumpla con ciertos criterios predeterminados antes de permitirle el acceso a la
red. Si esos criterios no se cumplen, no permite que el dispositivo se conecte a la red, o le asigna un acceso
restringido.
La Pre-Admisin en NAC se encuentra en las siguientes soluciones:
Microsoft NAP
Cisco NAC
Mobile NAC
IPSec VPN
SSL VPN

Existen tres estrategias de implantacin de NAC basndonos en dnde se introduce el control de acceso a la
red, as que uno debe decidir cul de las tres se ajusta ms a las caractersticas y particularidades de la
organizacin.
Estas estrategias son:
Control en el permetro (Edge control): introduce el control de acceso a la red en el exterior, es decir en el
punto donde se conectan los sistemas a sta, por ejemplo en el switch de una LAN, o en un concentrador VPN.
Control central (Core control): el control de acceso se puede implantar en cualquier punto de acceso a la red,
por ejemplo, a travs de un dispositivo que se coloca en medio de la red por el que pasa el trfico de los
equipos cuyo acceso se quiere analizar
Control en el cliente (Client control): la implantacin de las polticas de seguridad y control de acceso se
realiza fundamentalmente en el usuario final, instalando en cada uno de los equipos y sistemas que se quiera
gestionar y controlar todas las aplicaciones necesarias para realizar este control, como firewalls personales,
aplicaciones de control del acceso inalmbrico, control de dispositivos USB, etc.

Terminologa

NAC

Colector de estado

Posture Plug-in Applications

Agente intermedio

Cisco Trust Agent

Mdulo de peticiones de acceso

Cisco Trust Agent

Punto de acceso y aplicacin de polticas

Network Access Device

Servidor de verificacin de estado

Policy Vendor Server

Mdulo intermedio

Access Control Server

Servidor de autorizacin de acceso

Access Control Server

NAC NETWORK ADMISIN CONTROL

Se trata de la solucin de control de acceso a redes de Cisco. Es una arquitectura propietaria, que en el lado
del cliente se compone de un agente denominado Cisco Trust Agent software gratuito descargable desde la
pgina del fabricante y cuya funcin es la de recibir la informacin del estado de la seguridad del equipo a
conectar a la red proporcionando toda la informacin recogida, para recopilar esta informacin pueden usarse
aplicaciones de distintos fabricantes o una propietaria de Cisco, el Cisco Secure Access.
Para el Trust Agent Cisco ha desarrollado un protocolo propietario el EAP, en dos versiones: una sobre UDP y
otra sobre 802.1X. La diferencia entre ambas es que sobre UDP se hace solo validacin y en 802.1X se hace
validacin y autenticacin. Adems no todos los equipos Cisco soportan todos los escenarios posibles a travs
del protocolo EAP, muchos switches y routers requieren de una actualizacin. En cuanto a servidores Cisco la
implementa en base al Access Control Server que ha desarrollado para tal fin, completando con interfaces de
verificacin, auditoria y autenticacin de otros fabricantes. Cisco tambin ofrece una solucin basada en
appliances permitiendo una ms rpida implementacin
Cisco define a NAC como: El control de la admisin de la red de Cisco (NAC) es una solucin que utiliza la
infraestructura en red para hacer cumplir polticas de seguridad en todos los dispositivos que intentan tener
acceso a recursos de computacin de la red NAC ayuda a asegurar que todos los hosts cumplan con las
ltimas polticas de seguridad corporativa, tales como antivirus, software de la seguridad, y patch (remiendo)
del sistema operativo, antes de obtener el acceso de red normal.

MTODO DE AUTENTIFICACIN
I.
II.

III.
IV.
V.
VI.

VII.
VIII.
IX.

La validacin de postura ocurre cuando un dispositivo de acceso a la red detecta que un host se
quiere conectar o usar los recursos de la red
Una vez detectado el nuevo dispositivo el NAD (dispositivo de acceso a la red) habilita una conexin
entre el AAA server (servidor de autorizacin autenticacin y auditoria) y el access control server ACS
o server de control de acceso, una vez establecida el Server AAA requiere las credenciales de postura
al host desde uno o ms plugins de posturas
El host responde a la peticin con sus credenciales de postura desde los software compatibles con
NAC
El server AAA valida la informacin de las posturas localmente, o puede delegar esta decisin a otros
servers de validacin de posturas
El server AAA agrega los resultados individuales de la postura, o smbolo (tokens)de postura, de todos
los servers para determinar la conformidad total del host, o del smbolo de postura del sistema
La autenticacin de identidad y el token de postura del sistema son luego chequeadas por una red de
autorizacin , que puede consistir en : server Radius, asignacin de VLANs o listas de acceso
descargables
Estas cualidades del Radius se envan al NAD para la aplicacin en el host
El CTA en el host enva el estado de su postura para notificar los plugins respectivos de su postura
individual del uso as como la postura entera del sistema
Se puede enviar opcionalmente un mensaje al usuario final usando el dilogo de la notificacin de
CTA's notificando el estado actual del anfitrin en la red.

Firewall, IPS e IDS previenen de ataques de hackers.

Pero qu pasa con nuestra red, con nuestros dispositivos. Muchas compaas no tienen un control de sus
propias computadoras, laptops del personal que accede desde afuera, oficinas remotas de la organizacin.

No sabemos si todos ellos cumplen con las polticas de seguridad en todos los puntos de acceso ala red, quizs
en un primer momento en su implementacin pero hace falta una poltica global para todos aquellos que usan
nuestra red, esto es una poltica de control de admisin de acceso
Qu y quien se conecta y por cunto tiempo?
Cules son los requerimientos para garantizar un acceso seguro a la red?
Qu pasos se deben seguir para conseguir que se cumpla este acceso seguro?
Cules son los requerimientos creados y cuales modificaremos?
Cisco introduce el concepto de NAC o Control de Admisin a la red
NAC asegura la entera relacin entre los puntos finales y la red
Una verdadera solucin de NAC debe:
I.
II.
III.
IV.

Autenticar e identificar accesos

Hacer cumplir la poltica de accesos, impidiendo aquellos no permitidos
Identificar e impedir el acceso a usuarios que no cumplan con la poltica de seguridad establecida
Eliminar o en su defecto mitigar las vulnerabilidades

El control de acceso a la red se define como una tecnologa o arquitectura que permite controlar el acceso de
los usuarios a la red en un punto de acceso verificando adems de su identidad el cumplimiento de todas las
polticas se seguridad establecidas por la organizacin, es decir que el equipo que trate de conectarse este
actualizado, tenga todas las herramientas de seguridad exigidas por la empresa, etc. se incluye adems el
control sobre lo que pueden hacer, a que contenidos e informacin pueden acceder estos usuarios y que
sistemas o recursos son accesibles una vez admitidos en la red.

Un usuario se conecta a la red corporativa con su laptop, pero su sistema operativo es vulnerable.

Su autenticacin es validada
El sistema de control de admisin a la red scanea el dispositivo que se quiere conectar y encuentra que el
sistema operativo de esa laptop es vulnerable a un nuevo gusano que acaba de aparecer.

Esta vulnerabilidad es chequeada por el o los servers de polticas de validacin

Si no cumple con lo estipulado sus credenciales no son aceptadas

Por tal motivo su acceso no es otorgado.

El sistema redirecciona la conexin a un server llamado server de remediacin, el cual actualiza el sistema
operativo con los ltimos fixes haciendo que el dispositivo cumpla con las normas de seguridadestablecidas
por la organizacin.

El dispositivo es nuevamente chequeado y ya remediado se le otorgan las credenciales de acceso.

COMPONENTES DEL NAC

I.

II.

III.

Clean Access Manager (CAM): Servidor de administracin para la implementacin de Cisco NAC
Appliance. La consola web segura de la Clean Access Manager es el nico punto de gestin para un
mximo de 20 servidores de acceso (o 40 si se instala un EAP SuperCam). Para fuera de banda (OOB)
la consola de administracin web permite controlar interruptores y asignacin de VLAN de puertos
de usuario mediante el uso de SNMP.
Cisco NAC Appliance Agents: Agentes temporales opcionales de lectura que se encuentran en los
dispositivos clientes, este verifica las aplicaciones, archivos, servicios y claves de registro para
asegurar que los clientes cumplen con las especificaciones de acceso a la red.
Incluso este puede comprobar el registro del cliente a pesar de si un servidor de seguridad es
instalado y en funcionamiento (Firewall).
Cisco NAC Appliance Update: Actualizaciones regulares de pre-paquetes polticos y reglas que se
pueden utilizar de manera que comprueba en tiempo real los estados de los sistemas operativos,
antivirus, antispywares entre otros.

Cisco Nac Appliance Puesta en marcha

C ARACTERSTICAS DEL C LEAN A CCESS S ERVER

I.
II.
III.
IV.
V.
VI.
VII.
VIII.
IX.
X.
XI.

Funcionamiento Fuera y Dentro de banda

Despliegue en capa 2 y capa 3
Total integracin con VPN de Cisco
Autentificacin segura del usuario
Basado en escaneo y remediacin
Acceso basado en roles de control
Utilizacin de diferentes modos de DHCP para la asignacin de direcciones no confiables
(administrativo) clientes, relay y passthrough
Soporte para Nat Dinmico
Registro de eventos y servicios de informacin
Total control de Vlan
Total flexibilidad de integracin a la red

M ODOS DE OPERACIN DEL C LEAN A CCESS S ERVER

I.

IB Virtual Gateway: Opera como un puente entre la red no confiable y el Gateway existente, mientras
provee evaluacin, filtrado y otros servicios.

II.

IB Real-IP Gateway: Funciona como puerta de enlace predeterminada de la red no confiable.

III.

OOB Virtual Gateway: Funciona como una puerta de enlace virtual durante la autentificacin y
certificacin antes de que el usuario sea cambiado a fuera de banda, es decir el usuario se conecta
directamente a la red de acceso.

IV.

Real OOB IP Gateway: Funciona como una puerta de enlace IP real durante la autentificacin y
certificacin al igual que el anterior.

I MPLEMENTACIN R OUTED C ENTRAL

Es una implementacin de enrutamiento central en el cual el servidor de Clean Access est configurado para
actuar como la puerta de enlace IP para cada una de las sub-redes que se deseen gestionar, los pasos para ello
son los siguientes:
I.
II.
III.
IV.
V.

Apagar el enrutamiento de los switches o routers capa 3 existentes para las sub-redes que desea
administrar.
Configurar la interfaz no fiable del CAS para ser la puerta de entrada para las sub-redes que desea
administrar.
Configurar la puerta de enlace predeterminada de la interfaz confiable del CAS para actuar como el
switch o router de capa 3.
Agregar rutas estticas en el switch o router capa 3 para enviar el trafico de las sub-redes
administradas al CAS.
Si usa su propio servidor DHCP modificar su configuracin para que la direccin de la puerta de enlace
predeterminada que pasa a los clientes sea la de la interfaz no confiable del CAS.

C LEAN A CCESS S ERVER R ESUMEN

C ONFIGURACIN NAC
Configuracin NAC validacin de IP capa 2:
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# ip admission name nac eapoudp
Switch(config)# access-list 5 permit any any
Switch(config)# interface gigabitethernet 2/0/1
Switch(config-if)# ip access-group 5 in
Switch(config-if)# ip admission name nac
Switch(config-if)# exit
Switch(config)# aaa new-model
Switch(config)# aaa authentication eou default group radius
Switch(config)# ip device tracking
Switch(config)# ip device tracking probe count 2
Switch(config)# radius-server host admin key rad123
Switch(config)# radius-server vsa send authentication
Switch(config)# eou logging
Switch(config)# end
Switch# show ip admission configuration

Configuracin EAPoUDP:
EAPoUDP es el protocolo que NAC en capa 2 utiliza para intercambiar informacin con los sistemas finales
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# eou logging
Switch(config)# eou allow clientless
Switch(config)# eou timeout revalidation 2400
Switch(config)# eou revalidate
Switch(config)# interface gigabitEthernet 1/0/4
Switch(config-if)# eou timeout status-query 600
Switch(config-if)# end
Switch# show eou

Configuracin de perfiles y Polticas:

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# identity policy policy1
Switch(config-identity-policy)# access-group group1
Switch(config)# identity profile eapoudp
Switch(config-identity-prof)# device authorize ip address 10.10.142.25 policy policy1
Switch(config-identity-prof)# exit
Switch(config)# end
Switch# show identity policy

Configuracion Track de dispositivo via IP:

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# ip device tracking
Switch(config)# ip device tracking probe count 3
Switch(config)# ip device tracking probe interval 60
Switch(config)# end
Switch# show ip device tracking all

Configuracin de IP DHCP Snooping para NAC:

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 8
Switch(config)# end
Switch# show ip dhcp snooping

Configuracin de inspeccin IP ARP con Lista de filtros de ARP:

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# arp access-list arp-list
Switch(config-arp-nacl)# deny ip host 101.50.1.54 mac any
Switch(config-arp-nacl)# deny ip host 101.50.1.51 mac any
Switch(config-arp-nacl)# permit ip 101.50.1.0 0.0.0.255 mac any
Switch(config-arp-nacl)# exit
Switch(config)# ip arp inspection vlan 101
Switch(config)# ip arp inspection filter arp-acl vlan 101
Switch(config)# end
Switch# show ip arp inspection vlan 101

Configuracion de inpeccion ARP con IP DHCP Snooping

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# ip dhcp snooping vlan 8
Switch(config)# ip arp inspection vlan 8
Switch(config)# end
Switch# show ip arp inspection vlan 8