Uma Decisão Multicamada
Reforçar a segurança da rede com uma solução de controle de acesso abrangente é um empreendimento crítico e, muitas vezes, temerário. Por isso, a última coisa de que profissionais de TI atarefados precisam é a confusão adicional de um argumento falso. Vale a pena considerar se os apelos estridentes exaltando as virtudes de uma única abordagem não se referem mais ao que o fabricante tem para vender e menos às realidades tecnológicas de um mundo de computação e segurança em evolução.
Segundo o analista Robert Whiteley, da Forrester Research, ambientes distribuídos e heterogêneos, em particular, exigem soluções de controle de acesso que incluam tecnologias de Camada 2 e Camada 3. As tecnologias de Camada 3 podem oferecer melhor escalabilidade e custos menores de implantação, enquanto as tecnologias de Camada 2, baseadas em porta, apresentam melhor desempenho, mais recursos de bloqueio e mais granularidade de quarentena. Assim, como identificar de qual delas você precisa? Aliás, é preciso escolher uma delas?
CAMADA 2: Controle Robusto de Acesso de Nível de Porta
VISÃO GERAL
Algumas soluções de controle de acesso bem conhecidas são baseadas em switch e lidam com o controle de acesso inteiramente na Camada 2. Essas soluções são padronizadas em torno do protocolo 802.1X originalmente adotado para fornecer segurança de Camada 2 para redes locais sem fio (WLANs) e, agora, estão sendo usadas para conceder controle de acesso em redes com e sem fio. Os elementos exigidos por uma solução de Camada 2 baseada em 802.1X incluem:
Software cliente, chamado de suplicante, em cada ponto de extremidade
Switches ou pontos de acesso habilitados para 802.1X, chamados de autenticadores, para “mediar” todas as comunicações ocorridas antes da atribuição do endereço IP
Servidor RADIUS (Remote Authentication Dial-in User Service), o servidor de autenticação, para gerenciar o processo AAA (Authentication, Authorization, andAccounting)
A inteligência dessa solução reside no suplicante e no servidor RADIUS, com o switch ou ponto de acesso simplesmente reempacotando e distribuindo as informações.
A inteligência dessa solução reside no suplicante e no servidor RADIUS, com o switch ou ponto de acesso simplesmente reempacotando e distribuindo as informações.
COMO FUNCIONA
Quando os clientes tentam acessar a rede, alcançam o switch ou ponto de acesso sem fio muito precocemente na sessão, antes que o dispositivo do ponto de extremidade consiga um endereço IP. Se o switch ou ponto de acesso for habilitado para 802.1X, ele perceberá que um ponto de extremidade está tentando iniciar uma sessão e enviará um pedido de autenticação. Clientes com o software suplicante 802.1X requisitado respondem ao pedido usando uma linguagem baseada em padrões chamada EAP (Extensible Authentication Protocol), que é enviada ao switch. Embora o EAP seja ele próprio um padrão, há versões dele, algumas das quais proprietárias. Portanto, um suporte amplo do espectro completo dos métodos EAP é um fator a ser considerado ao se escolher uma solução de Camada 2. Funcionando como intermediário, o switch reempacota as informações EAP para envio e as distribui ao servidor RADIUS, para autenticação.
Se as credenciais do usuário forem aprovadas, o acesso solicitado será autorizado. Se houver algum problema com as credenciais, o servidor de autenticação poderá instruir o autenticador a posicionar o tráfego do host cliente em um segmento de rede física ou logicamente isolado. O usuário é posto em quarentena nesse local, tendo seu acesso restrito a vários graus, conforme a política.
Se o software 802.1X não tiver sido instalado no dispositivo do usuário final, este não poderá “ouvir” a solicitação do switch ou ponto de acesso, e não responderá. O switch ou ponto de acesso tratará esse cliente que não respondeu como um dispositivo não gerenciado.
VANTAGENS E DESVANTAGENS
A implantação de uma solução de controle de acesso de Camada 2 oferece alguns benefícios importantes. Em primeiro lugar, a solução pode bloquear a camada de link de dados do computador para o compartimento de cabos com muita segurança. A autenticação do 802.1X detecta a entrada na rede antes que o ponto de extremidade adquira um endereço IP, eliminando, assim, o risco de infecção da rede ou de usuários pelos próprios usuários. O controle de acesso de Camada 2 também pode oferecer uma granularidade de quarentena considerável. E operando na camada MAC (Media Access Control), pode prometer melhor desempenho que as soluções de Camada 3.
A implementação do 802.1X também pode ajudar na conformidade normativa. O analista Robert Whiteley afirma que as empresas que implementaram o 802.1X estarão melhor posicionadas para assegurar que estejam gerenciando adequadamente a segurança da rede, enquanto aquelas que “protelam por muito tempo a implantação do 802.1X” se arriscam a ficar ultrapassados, com segurança ineficaz e pressões normativas crescentes.
Embora muitas empresas já tenham providenciado o upgrade para suporte a 802.1X, a implantação incremental de soluções de controle de acesso de Camada 2 baseadas em switch pode se mostrar complicada, já que todas as portas de entrada para o segmento de rede que você deseja proteger devem estar habilitadas para 802.1X. Isso pode exigir upgrade de software ou, algumas vezes, a substituição dos switches antigos por modelos mais novos.
Mesmo em um ambiente homogêneo composto exclusivamente de switches 802.1X prontos para upgrade, você precisará saber qual versão do software cada switch está executando no momento, e quais são as implicações — o que pode dar errado, por exemplo, em caso de upgrade. Este suporte pode ser difícil para a empresa, principalmente se esta possui uma rede estável funcionando com modelos de switches antigos. Também deve ser levado em conta que é preciso existir um mecanismo para instalar suplicantes 802.1X em cada dispositivo de ponto de extremidade. E, por fim, a equipe de TI pode ter que renovar a arquitetura das VLANs para suporte às áreas de quarentena, o que pode levantar algumas questões de escalabilidade.
Se for possível superar os obstáculos da implementação, ainda restarão inconvenientes à solução de controle de acesso de Camada 2 baseado em switch, o que deve ser equacionado à necessidade inegável de obter controle de acesso antes da concessão do endereço IP. Não há provisão para convidados que usam pontos de extremidade não gerenciados pela empresa, já que não existe forma eficaz de obter software suplicante para eles. Esses pontos de extremidade podem ser segregados em uma VLAN de acesso limitado especial, mas um controle granular mais avançado não é inerente à solução.
Além disso, hoje em dia as ameaças estão cada vez mais concentradas nas camadas de rede e aplicativo, onde os criminosos enfrentam menor resistência. Essa atividade pode permanecer invisível para uma solução de Camada 2 até que o estrago aconteça.
Dessa forma, as soluções de Camada 2, embora ofereçam recursos poderosos de bloqueio de porta de acesso, apresentam controles razoavelmente limitados. Os usuários são autorizados a entrar, ficam bloqueados ou são postos em quarentena.
CAMADA 3: Financeiramente eficaz, Flexível, Fácil de Implementar
VISÃO GERAL
Uma abordagem de Camada 3 ao controle de acesso pode ser, muitas vezes, mais simples de implementar que a abordagem de Camada 2, e pode oferecer uma solução imediata e financeiramente eficaz. Trata-se de uma solução de sobreposição que cria uma camada de controle de serviço sobre a infra-estrutura corporativa existente. Os investimentos existentes em hardware são integralmente aproveitados, e os fatores de introdução de risco inerentes a qualquer grande implantação de infra-estrutura são minimizados devido à natureza incremental da instalação. O controle de acesso de Camada 3 é montado no mesmo modelo usado pelas VPNs SSL para proteger o acesso remoto ou móvel à rede e, geralmente, se concentra em um mecanismo de política que funciona com pontos de aplicação situados de forma lógica ao longo da rede. O software cliente, que pode ser pré-instalado ou enviado ao usuário no início da sessão, reúne informações de autenticação e avalia o estado de segurança do ponto de extremidade.
COMO FUNCIONA
Uma típica solução de controle de acesso de Camada 3 é neutra em relação a switches, envolvendo o acréscimo de um mecanismo de política que consolida informações de autenticação e do estado de segurança do ponto de extremidade para controlar dinamicamente o acesso.
O mecanismo de política pode ser implementado facilmente por meio de um dispositivo dedicado de controle de acesso que usa dispositivos situados estrategicamente na Camada 3, como firewalls, para aplicar as regras. Se os firewalls existentes oferecerem suporte para o mecanismo de política, a solução inteira poderá ser implementada com a adição de um dispositivo de controle de acesso.
Esta solução pode utilizar elementos importantes de suas origens no mundo da VPN SSL. Por exemplo: alguns dispositivos de controle de acesso podem enviar dinamicamente software agente confiável leve para os pontos de extremidade. Assim, o pessoal de TI não precisa fazer upgrade e configuração manualmente. Assim como o primeiro acesso remoto em VPNs SSL, o dispositivo de controle de acesso baixa dinamicamente o software agente para o ponto de extremidade. Nos logons posteriores, o dispositivo irá verificar automaticamente a versão do agente do ponto de extremidade e fará o upgrade se houver uma versão mais nova disponível.
No contato inicial após a solicitação de acesso do ponto de extremidade, o software do agente de controle de acesso pode ser usado para pedir autenticação, coletando informações que serão enviadas à infra estrutura AAA para verificação. As soluções de controle de acesso de Camada 3 podem aproveitar o investimento em qualquer infra-estrutura AAA. O agente de controle de acesso também realiza outras funções importantes: ele pode verificar a conformidade do estado do ponto de extremidade. Se o agente for baseado em APIs abertas, poderá ser configurado para verificar qualquer aplicativo de segurança de ponto de extremidade ou outro software que a empresa já tenha implementado. Entre os outros critérios que o agente pode verificar, estão a execução de processos, a atividade de portas e a autenticidade de aplicativos.
Se o ponto de extremidade não estiver em conformidade, o usuário poderá ser direcionado a um site onde a postura do cliente será remediada — geralmente durante a execução. Caso contrário, as informações do ponto de extremidade serão devolvidas ao dispositivo de controle de acesso, que se comunica com servidores de autenticação e seus armazenamentos de diretório de identidade e autenticação. Os aplicadores da política de firewall da Camada 3 são instruídos a tomar a providência adequada, e o cliente recebe acesso específico à sessão e condicional aos recursos da rede.
VANTAGENS E DESVANTAGENS
Em poucas palavras, esta solução de controle de acesso de Camada 3 cria uma camada de controle de serviço que integra informações do ponto de extremidade e do usuário com inteligência de rede e aplicativo, sendo suas principais vantagens a viabilidade em termos de custos e a facilidade de implantação. O resultado é um controle de uso flexível, possível e granular que pode aproveitar a infraestrutura existente, defender o ponto de extremidade e gerenciar o acesso específico à sessão.
A solução de Camada 3 também pode fornecer um controle abrangente contra ameaças, abordando agressiva e proativamente os vários perigos excessivamente transparentes da Camada 2. Esse tipo de controle de ameaça vai além da proteção básica ao ponto de extremidade e acaba englobando toda a rede e a análise de seu tráfego. O controle inclui uma rigorosa inspeção de pacotes feita pelos firewalls e também pode interagir com o controle de uso, detectando e removendo sessões de conteúdo mal intencionado em andamento.
As desvantagens da solução de controle de acesso da Camada incluem alguns preocupações com a proteção de fronteiras e o desempenho. Como o controle da Camada 3 não ocorre tão imediatamente na sessão, ao contrário do controle da Camada 2, é tecnicamente possível que algum usuário autorizado, com um laptop infectado, espalhe acidentalmente um vírus ou worm antes de chegar ao aplicador de firewall.
As VLANs de quarentena da Camada 3 também são mais fracas quando comparadas às da Camada 2. A tecnologia de quarentena da Camada 3 geralmente é baseada em DHCP, que já é usada em ambientes empresariais para atribuição de endereço IP. Mas os endereços IP estáticos podem furar a segurança DHCP. Além disso, é difícil configurar redes de quarentena na Camada 3 sem usar parâmetros razoavelmente amplos.
ONDE COMEÇAR
Na verdade, não existem regras rígidas e rápidas para implantar um controle de acesso.
Uma solução de controle de acesso de Camada 3 pode, por si própria, ser implantada relativamente rápida, em contraste com a abordagem de Camada 2 baseada em switch, que pode exigir ajustes significativos na infraestrutura de rede. Conseqüentemente, faz mais sentido começar com uma solução de sobreposição de Camada 3, e iniciar a montagem de uma camada de controle de serviço na qual seja possível implantar o controle de acesso em partes. Isso é especialmente útil em ambientes que ainda não possuem uma massa crítica de switches ou pontos de acesso habilitados para 802.1X.
Com uma solução de Camada 3, você pode enviar o software agente confiável aos pontos de extremidade, proteger o centro de dados e as gateways da rede remota com dispositivos de controle de acesso posicionados estrategicamente e aplicadores de firewall, além de estabelecer políticas para aperfeiçoar a proteção da empresa quando as pessoas se aventuram pela Internet pública. Isso irá solucionar rapidamente uma grande parte dos problemas de segurança atuais.
Os problemas restantes — entre eles o bloqueio satisfatório de portas e a proteção do perímetro, mais VLANs granulares e redes de quarentena — podem ser atacados com a exploração dos padrões de indústria para melhorar a solução do controle de acesso de Camada 3 com sua contraparte complementar de controle de acesso da Camada 2. Isso pode ser conseguido com a implementação de uma infra-estrutura AAA baseada em um servidor RADIUS e posterior distribuição do software suplicante 802.1X aos pontos de extremidade de toda a empresa.
Uma vez posicionadas essa infra-estrutura AAA e o software suplicante cliente, a política pode ser aplicada por qualquer porta de switch compatível com 802.1X na rede. Obtém-se o melhor dos mundos do controle de acesso da Camada 3 e Camada 2, e você ganha uma arquitetura de camada de controle de serviço com suporte para implementação em partes - hoje e possibilidade de acomodar padrões emergentes no futuro.
Individualmente, as soluções de controle de acesso das Camadas 2 e 3 podem falhar, pois ambas apresentam pontos fracos. Integrar as tecnologias dessas duas camadas para criar uma solução de controle de acesso mais abrangente é mais um sinal de que a infra-estrutura e a segurança de rede estão cada vez mais inseparáveis. Como lembra o analista da Gartner Lawrence Orans, “as tecnologias de Camada 3 usadas para controlar o acesso podem ser derrotadas por um determinado hacker, mas uma abordagem de Camada 3 oferece proteção eficaz contra funcionários e visitantes mal-intencionados”.
A tecnologia da Camada 2 opera mais próximo do usuário, oferecendo maior desempenho e recursos de bloqueio mais potentes. Sua implantação também pode ser cara, complexa e demorada. Executada em um nível mais alto, a tecnologia da Camada 3 pode ser mais adaptativa, inteligente e escalonável, criando cenários financeiramente viáveis e de implantação gradativa. Mas nada disso fornece proteção imediata ao perímetro, e os recursos de VLAN de quarentena são limitados e podem apresentar problemas.
Essas respectivas vantagens e desvantagens transformam em tecnologias complementares o controle de acesso de Camada 2 e Camada 3. Forma-se uma combinação muito potente que pode alargar as possibilidades de controle de acesso com uma solução composta por uma única camada, oferecendo uma proteção abrangente para pontos de extremidade gerenciados e não gerenciados. Lembre-se disso ao avaliar o leque de opções e programar seu futuro controle de acesso. Ao integrar o controle de acesso das camadas 2 e 3, você pode obter benefícios significativos quase imediatamente e colocar sua empresa em um caminho claro em direção ao controle de acesso.
INTEGRANDO INFRA-ESTRUTURA E SEGURANÇA
Individualmente, as soluções de controle de acesso das Camadas 2 e 3 podem falhar, pois ambas apresentam pontos fracos. Integrar as tecnologias dessas duas camadas para criar uma solução de controle de acesso mais abrangente é mais um sinal de que a infra-estrutura e a segurança de rede estão cada vez mais inseparáveis. Como lembra o analista da Gartner Lawrence Orans, “as tecnologias de Camada 3 usadas para controlar o acesso podem ser derrotadas por um determinado hacker, mas uma abordagem de Camada 3 oferece proteção eficaz contra funcionários e visitantes mal-intencionados”.
A tecnologia da Camada 2 opera mais próximo do usuário, oferecendo maior desempenho e recursos de bloqueio mais potentes. Sua implantação também pode ser cara, complexa e demorada. Executada em um nível mais alto, a tecnologia da Camada 3 pode ser mais adaptativa, inteligente e escalonável, criando cenários financeiramente viáveis e de implantação gradativa. Mas nada disso fornece proteção imediata ao perímetro, e os recursos de VLAN de quarentena são limitados e podem apresentar problemas.
Essas respectivas vantagens e desvantagens transformam em tecnologias complementares o controle de acesso de Camada 2 e Camada 3. Forma-se uma combinação muito potente que pode alargar as possibilidades de controle de acesso com uma solução composta por uma única camada, oferecendo uma proteção abrangente para pontos de extremidade gerenciados e não gerenciados. Lembre-se disso ao avaliar o leque de opções e programar seu futuro controle de acesso. Ao integrar o controle de acesso das camadas 2 e 3, você pode obter benefícios significativos quase imediatamente e colocar sua empresa em um caminho claro em direção ao controle de acesso.