Control de acceso a red (del inglés Network Access Control, NAC) es un enfoque de la seguridad en redes de computadoras que intenta unificar la tecnología de seguridad en los equipos finales, usuario o sistema de autenticación y reforzar la seguridad de la red de acceso.
El control de acceso a red es un concepto de ordenador en red y conjunto de protocolos usados para definir como asegurar los nodos de la red antes de que estos accedan a la red.
El objetivo del control de acceso a red es realizar exactamente lo que su nombre implica: control de acceso a la red con políticas, incluyendo pre admisión, chequeo de políticas de seguridad en el usuario final y controles post admisión sobre los recursos a los que pueden acceder en la red los usuarios y dispositivos y que pueden hacer en ella (Wikipedia, the free encyclopedia, 2013).
DE CIENCIAS
FISICAS
B. AUTENTICACIÓN, AUTORIZACIÓN Y CONTABILIZACIÓN
Los usuarios obtienen acceso a la red de datos y a los recursos de red, a través de varios dispositivos. Esto se realiza a través de un variado rango de hardware: Switches Ethernet, puntos de acceso WI-FI y servidores VPN, los cuales ofrecen acceso a la red.
Cuando estos dispositivos son usados para controlar el acceso a una red, por ejemplo un punto de acceso WI-FI con seguridad WPA2-Enterprise implementada o un Switch Ethernet con autenticación basada en puerto 802.1X (EAP) habilitada, éstos son llamados Servidores de Acceso a Red (Network Access Server - NAS).
Todos estos dispositivos necesitan ejecutar alguna forma de control para asegurar la apropiada seguridad y uso. Este requerimiento es descrito comúnmente como Autenticación, Autorización y Contabilización (Authentication, Authorization, and Accounting - AAA). La AAA es a veces también referida como el Framework Triple A. La AAA es un modelo de arquitectura de alto nivel, el cual puede ser usado para implementaciones específicas.
La AAA está especificada a través de varios RFCs. La arquitectura AAA genérica está especificada en el RFC 2903. Existen también RFCs que tratan diferentes aspectos de la AAA (Van der Walt, 2011).
DE CIENCIAS
FISICAS
Autenticación (Authentication)
La autenticación es usualmente el primer paso a tomar con el fin de obtener acceso a una red y los servicios que ésta ofrece. Este es un proceso que confirma si las credenciales que el usuario suministró son válidas. La forma más común de entregar credenciales es a través del uso de un usuario y una contraseña.
Después de una autenticación exitosa una sesión es iniciada. Esta sesión se mantiene hasta que la conexión a la red es terminada. La siguiente imagen ilustra el proceso de autenticación usando como ejemplo el retiro de dinero de un cajero ATM. Esto en esencia permite tener acceso a la red del banco (aunque este acceso es limitado en extremo).
Figura 3: Ejemplo de autenticación en un cajero ATM.
Autorización (Authorization)
Autorización es el proceso mediante el cual se controla el acceso a los recursos. Después que el cliente se ha autenticado se imponen ciertas restricciones o se otorgan ciertos privilegios. Se identifica desde que dispositivo el usuario accede a la red y basado en esto se toma una decisión, se puede limitar el número de sesiones abiertas que el usuario puede
DE CIENCIAS
FISICAS
transferencia de cierto tipo de tráfico, o imponer Calidad de Servicio (Quality of Service - QoS) basado en un Acuerdo de Nivel de Servicio (Service Level Agreement - SLA) entre el proveedor y el cliente.
La autorización usualmente involucra la lógica. Si el usuario es parte del grupo estudiantes entonces no tendrá permitido el acceso a Internet durante las horas de trabajo. Si el usuario accede a la red a través de un portal cautivo, entonces una limitación de ancho de banda es impuesta para evitar que consuma todo el ancho de banda de la conexión a Internet. La lógica puede estar basada en varias cosas. Por definición, las decisiones de autorización pueden estar basadas en la membresía de grupos o el NAS a través del cual el usuario se conecta, o la hora del día en la que el usuario accede a los recursos.
Si se toma el ejemplo anterior del cajero ATM, se puede apreciar que si el usuario no tiene la facilidad de sobregiro, estará limitado en la cantidad de dinero que puede retirar.
Figura 4: Ejemplo de autorización en un cajero ATM.
DE CIENCIAS
FISICAS
Contabilización (Accounting)
La contabilización es una forma de medir el uso de los recursos. Después que se ha establecido quien es el usuario y se ha impuesto el control apropiado sobre la sesión establecida, también se puede medir su uso. La contabilización es el proceso en curso de la medición del uso.
Esto permite rastrear cuanto tiempo o recursos el cliente gasta durante una sesión establecida. Obtener la información de contabilización permite al proveedor del servicio cobrarle al cliente por el uso de sus recursos.
La información de contabilización no solamente es útil para calcular costos, sino que también permite realizar un planeamiento de la capacidad, análisis de tendencias y monitoreo de las actividades.
Volviendo de nuevo al ejemplo del cajero ATM, si el cliente quiere revisar el uso y disponibilidad del dinero de su cuenta, el cajero ATM le ofrece esta funcionalidad. El banco también puede monitorear esta cuenta y ver si el cliente usualmente se queda sin dinero antes de fin de mes. Si es así el banco puede ofrecer la facilidad de sobregiro al cliente.
Figura 5: Ejemplo de contabilización en un cajero ATM.
DE CIENCIAS
FISICAS
Radius es un protocolo que es usado para proporcionar AAA -
Authentication, Authorization, and Accounting
(Autenticación, Autorización y Contabilización) en redes TCP/IP.