Outlier detection methods

El marco natural para esta propuesta es el de las arquitecturas y soluciones de NAC. Dada la amplitud de los conceptos de base de este ámbito, no es de extrañar que existan numerosas propuestas que pueden considerarse relacionadas con él de una u otra forma. Además, desde un punto de vista estrictamente académico, este entorno resulta peculiar en el sentido de que

Capítulo 5

76

existe un gran número de propuestas que se han materializado en productos, probablemente por el interés intrínseco que empresas de todos los tamaños tienen en asegurar sus infraestructuras de comunicaciones y proteger sus activos de red, elementos clave para su negocio y la forma de generar valor propia de cada corporación.

Entre las múltiples alternativas disponibles es posible encontrar una gran variedad de enfoques, y soluciones tanto propietarias como basadas en modelos de negocio propios del software libre. Desde las primeras soluciones de NAC, que sentaron las bases y conceptos de esta tecnología, siendo Microsoft NAP [Microsoft2008] el mayor exponente, el mercado de la seguridad basada en conceptos de NAC ha evolucionado de forma significativa. Entre los ejemplos más relevantes actualmente es posible encontrar productos con recorridos relativamente cortos, aunque también otros con un mayor bagaje, como muestra el Cuadrante Mágico de Gartner sobre NAC para 2014 [Orans2014], que se reproduce en la Figura 19.

Figura 19. Cuadrante Mágico de Gartner sobre NAC

Cisco sigue siendo el líder del mercado con su exhaustiva solución de control de acceso a red. Su propuesta de NAC está compuesta por numerosos productos que cubren, de forma independiente o combinada, las diferentes necesidades específicas que todo tipo de infraestructuras de red puedan tener. El enfoque de Cisco está basado en appliances basadas en hardware y software y en agentes que se ejecutan en los dispositivos a monitorizar.

Aruba Networks acumula también, como Cisco, una larga experiencia en el ámbito de las soluciones de NAC, con ClearPass como producto estrella [Aruba2014]. Entre los aspectos más significativos de su solución podría destacarse su aplicación para gestión de redes de invitados (redes desplegadas con el objetivo de permitir acceso controlado a usuarios externos a la

Propuesta 1: Configuraciones parciales certificadas

77 entidad que las ofrece), así como sus avanzadas herramientas diagnósticas para administradores de red.

En el terreno de las apuestas relativamente recientes destaca sobremanera ForeScout con su producto CounterACT [ForeScout2013]. La compañía trata de diferenciar su producto de aquéllos que responden a planteamientos más tradicionales dentro del entorno de NAC. Por ejemplo, CounterACT es de las pocas soluciones comerciales que permiten tanto funcionamiento basado en agentes instalados en los dispositivos de usuario como modos en los que la presencia de dichos agentes no es necesaria. Además, presume de ser una solución cuyo despliegue y correcta configuración carecen de los complejos planes de ejecución que, generalmente, caracterizan a este tipo de soluciones.

Como alternativa a los productos de las grandes empresas de seguridad pueden citarse Samsung KNOX [Samsung2014], enfocada al mercado de consumo, aunque muy centrada en los dispositivos móviles producidos por la compañía, o PacketFence [Balzard2008, PacketFence2014], como ejemplo de solución software libre de código abierto que, además, no requiere la instalación de agentes en los dispositivos de usuario.

5.1.1

Inconvenientes

El principal inconveniente que presentan estas soluciones es su imposibilidad para dar respuesta a las imposiciones del exigente modelo de caja blanca. Esto se debe principalmente a que se trata de propuestas orientadas fundamentalmente a la gestión de la heterogeneidad en la base de dispositivos que pueden utilizarse en el entorno corporativo, con un acento especial en la seguridad. Adicionalmente, en muchos casos no se trata de soluciones universales que puedan utilizarse con cualquier dispositivo, puesto que hacen uso de interfaces y tecnologías propietarias cuya utilización es permitida gracias a importantes acuerdos entre fabricantes y proveedores de hardware y software. Resulta, por tanto, necesario proporcionar una solución cuya principal motivación sea la seguridad y que pueda ser desplegada en la mayoría de dispositivos de usuario, a ser posible eliminando incluso la necesidad de soporte específico en el mismo.

El primer intento de dar respuesta a esta compleja problemática parte de un enfoque no orientado a asegurar el dispositivo como si se tratase de una entidad autocontenida y aislada, sino a involucrar en el proceso de obtención de los informes de configuración que definen el estado de la misma a otros elementos externos que estén fuera del alcance del atacante, de forma que resulte más sencillo asegurar su integridad a pesar de los exigentes requisitos del modelo de caja blanca. Por tanto, la solución que se propone aquí se basa en la posibilidad de que las medidas se lleven a cabo en una plataforma de ejecución ajena a la del dispositivo cuya configuración se trata de determinar.

Durante la fase inicial del procedimiento de control de acceso, que se iniciará cuando el Cliente solicite acceso a la red para hacer uso de sus recursos, la infraestructura de NAC desplegada en la red solicitará al Cliente información acerca del estado o el valor de aspectos concretos de su configuración para comprobar si se adapta a las políticas de acceso. Las arquitecturas más habituales contemplan como única opción que estos informes se generen en la propia plataforma de ejecución del dispositivo que el usuario utiliza para acceder a la red, pero esto no

Capítulo 5

78

tiene por qué ser así necesariamente. Trasladar la tarea de elaboración de los informes de configuración a una entidad de red independiente del dispositivo (y, por tanto, fuera del control de un atacante potencial) permitiría evitar las asunciones inherentes al modelo de caja blanca y, finalmente, la utilización de técnicas de seguridad más tradicionales, dando lugar a una solución más sencilla y potencialmente más segura.

El mecanismo propuesto introduce una nueva entidad en el esquema arquitectural del sistema de NAC y añade una fase previa al procedimiento de control de acceso tradicional. A lo largo del presente capítulo se presentarán los cambios necesarios y se describirá con detalle la solución propuesta.