La solución: FreeNAC

FreeNAC provee una solución transparente para la administración dinámica de redes virtuales, a la vez que restringe la conectividad a la red. Desde el punto de vista de la seguridad, detecta dispositivos 'desconocidos' que están tratando de obtener acceso a través de un conector de red Ethernet abierto, negando el acceso (y registrando el evento). Dispositivos conocidos y registrados son colocados a la red virtual que es atribuida a ellos.

Visitantes (dispositivos desconocidos), pueden opcionalmente tener acceso a una zona de redes virtuales por defecto o para invitados. Esto puede ser útil, por ejemplo, para organizaciones que desean permitir a sus visitantes acceso Web/VPN a Internet, pero restringir el acceso a las redes internas.

Con FreeNAC, tan pronto como un nuevo dispositivo es conectado al puerto del switch, su dirección MAC se pasa al servidor, donde será almacenada y comprobada para determinar si este dispositivo tiene acceso a la red. Si el dispositivo está autorizado a tener acceso, el servidor le regresará al switch la red virtual a la que este dispositivo pertenece. Si este dispositivo todavía no está registrado, su acceso es bloqueado o se coloca en una red virtual limitada, dependiendo en la política.

 

 

FreeNAC tiene dos modos de operación:

  • VMPS
  • 802.1X

VMPS (VLAN Management Policy Server) es un método para asignar puertos de un switch a redes virtuales específicas de acuerdo a la dirección MAC del dispositivo que busca acceso a la red. En modo VMPS, un switch compatible con VMPS detecta una nueva PC y crea una petición VMPS pidiendo autorización de FreeNAC, el cual revisa en su base de datos y permite o niega el acceso a la red basandose en la dirección MAC. El switch se encarga de respaldar la decisión tomada por FreeNAC y niega acceso o en caso contrario, coloca el dispositivo de manera dinámica en su red virtual por defecto.

802.1X es un estándar creado por la IEEE para el control de acceso a redes basándose en el puerto del switch. Proporciona autentificación a dispositivos conectados a un puerto de la red, estableciendo una conexión punto a punto o restringiendo el acceso en caso de que la autentificación falle. 802.1x está disponible en algunos modelos recientes de switches y puede ser configurado para autentificar equipos los cuales cuenten con un software suplicante, no permitiendo accesos no autorizados a la red en la capa de enlace.

En modo 802.1x, FreeNAC verifica las credenciales de los usuarios ((a través del uso de un servidor de autentificación externo) y usa la dirección MAC del dispositivo que se conecta para asignarlo a una red virtual. Esto crea un par nombre de usuario/dispositivo que es único para cada cliente que se conecta.

Para un usuario malicioso no basta con saber únicamente la dirección MAC, sino que también debe de obtener credenciales válidas, lo cual hace más difícil el obtener acceso a la red.

Para dispositivos que no son compatibles con 802.1x y que usan switches Cisco compatibles con 802.1x, usamos un modo especial de autentificación llamado "MAC-Authentication bypass" para autorizar el dispositivo y asignar una red virtual. Autentificar al usuario y al dispositivo es más seguro que autentificar solamente el dispositivo; este es un compromiso riesgo/beneficio.