Control de acceso a la red ( NAC ) Bypass
NAC – Control de Acceso a la Red
NAC es una tecnología diseñada para interrogar puntos finales antes de unirse a una red cableada o inalámbrica.
Por lo general, se usa junto con 802.1X para la gestión y el cumplimiento de la identidad.
En resumen, se puede configurar un interruptor de acceso a la red o un punto de acceso inalámbrico (AP) para autenticar a los usuarios finales y realizar una evaluación de la postura de seguridad del dispositivo de punto final para hacer cumplir la política.
Por ejemplo, puede verificar si tiene un software de seguridad como antivirus, antimalware y firewalls personales antes de que le permita unirse a la red.
También puede verificar si tiene una versión específica de un sistema operativo (por ejemplo, Microsoft Windows, Linux o macOS) y si su sistema ha sido parcheado para vulnerabilidades específicas.
Además, los dispositivos habilitados para NAC (conmutadores, AP inalámbricos, etc.) pueden usar varias técnicas de detección para detectar el punto final que intenta conectarse a la red.
Un dispositivo habilitado para NAC intercepta las solicitudes de DHCP desde los puntos finales. Un oyente de transmisión se utiliza para buscar tráfico de red, como solicitudes ARP y solicitudes DHCP generadas por puntos finales.
Varias soluciones de NAC utilizan agentes basados en el cliente para realizar evaluaciones de postura de seguridad de punto final para evitar que un punto final se una a la red hasta que se evalúe.
Además, algunos interruptores se pueden configurar para enviar un mensaje de trampa SNMP cuando se registra una nueva dirección MAC con un determinado puerto de conmutación y para activar el proceso NAC.
Las implementaciones de NAC pueden permitir que nodos específicos como impresoras, teléfonos IP y equipos de videoconferencia se unan a la red mediante el uso de una lista permitida (o una lista blanca) de direcciones MAC correspondientes a dichos dispositivos.
Este proceso se conoce como Autenticación MAC (autenticación) bypass.
El administrador de red puede preconfigurar o cambiar manualmente estos niveles de acceso.
Por ejemplo, un dispositivo que accede a una VLAN específica (por ejemplo, VLAN 88) debe ser predefinido manualmente para un puerto específico por un administrador, haciendo que la implementación de una política de red dinámica en múltiples puertos utilizando la seguridad portuaria sea extremadamente difícil de mantener.
Un atacante podría falsificar fácilmente una dirección MAC autorizada (en un proceso llamado Cucharada de direcciones MAC) y omitir una configuración NAC.
Por ejemplo, es posible falsificar la dirección MAC de un teléfono IP y usarla para conectarse a una red.
Esto se debe a que un puerto para el que está habilitado el bypass de autenticación MAC puede habilitarse o deshabilitarse dinámicamente en función de la dirección MAC del dispositivo que se conecta a él.
