March 10, 2011

NAC ¿Por dónde empezar?

Siguiendo la línea de mi primer post, aquí viene una pequeña sugerencia de cómo abordar un proyecto de NAC con escaneo de vulnerabilidades de principio a fin.
Uno de los comentarios que más he oído es que al poner NAC, vamos a sacar a todo el mundo de la red, ya que casi nadie cumple los requisitos mínimos. Pues bien, eso ya no es excusa.

Asumo que antes de empezar, ya tenemos una red que nos pide autentificación, ya sea una red Enterasys, o una de otro fabricante mediante RFC3580.
Primero tenemos que decidir que queremos evaluar en los equipos a consultar, y como lo vamos a hacer, con agente, sin agente, todo lo que se conecta, o solo los PC’s corporativos. Esta es quizás la parte más importante, aunque la podemos ir afinando a medida que vayamos avanzando en la implementación.

El siguiente paso es empezar a escanear todos estos equipos, pero no poner a nadie en cuarentena. Las herramientas de reporting de NAC, nos darán una visión de todas las vulnerabilidades en nuestra red. Con esta información, ya podemos empezar a solucionar las más comunes.

Durante este proceso, hay que ir informando a los usuarios, que una vez finalizada esta etapa, se empezará a dejar a los usuarios en cuarentena si no cumplen con los requisitos de seguridad.

Una vez hayamos solucionado la mayoría de problemas, ponemos un umbral alto, todo el mundo que tenga más de 20 problemas, los dejamos en cuarentena. Solucionamos estos pocos usuarios, y bajamos el umbral a 15, y así sucesivamente hasta llegar al umbral deseado (zero, uno, dos… eso depende del entorno, y la seguridad requerida).

Hay que recordar que disponemos de la posibilidad de ofrecer al usuario final
un portal cautivo con la información de por qué está en cuarentena, y la posibilidad de solucionarlo por sí solo, para que no todos los usuarios tengan que llamar al servicio de soporte para poder volver a entrar en la red. Este portal le muestra su IP, los problemas de seguridad que tiene, y las soluciones. También puede encontrar el teléfono de soporte para llamar.

Durante el proceso, hemos podido aprender a realizar la gestión del NAC, hemos podido decidir que evaluar, y ajustarlo poco a poco, y los usuarios han ido aprendiendo que ya no se permite cualquier cosa, y que sus sistemas son evaluados antes de entrar.

About The Contributor:
Extreme Marketing Team

See My Other Posts

Leave a Reply

Your email address will not be published. Required fields are marked *