En la última década las redes han evolucionado bastante. Las redes definidas por software hicieron su parte, la búsqueda de la automatización de todo, la orquestación y la infraestructura como código también forma parte de esta evolución de las redes. Ya sea planeado o como consecuencia.
El control de acceso a la red existe ya hace un par de décadas. Basándose siempre en fortalecer los controles para acceder a redes corporativas.
Me parece interesante analizar la evolución de los sistemas de control de acceso a la red, su evolución y los protocolos que se utilizan, contrastarlos con las infraestructuras de redes actuales y poder responder a la consulta: ¿Son útiles los sistemas de control de acceso a la red en 2024?
¿Son útiles los sistemas de control de acceso a la red en 2024?
La respuesta en entornos inalámbricos parece obvia. Un mecanismo de control de acceso en redes WiFi no tiene discusión. Sin embargo, quiero pensar en la red como un todo, redes cableadas e inalámbricas. Incluso el acceso remoto es algo que también debemos analizar.
En estrategias Zero Trust o de confianza cero, ningún endpoint puede acceder a la red hasta que demuestre el cumplimiento de ciertos estándares. Siendo estos estándares definidos por nuestro sistema de control a la red.
Toda solución de control de acceso a la red tiene tres componentes clave:
- Solicitante: el cliente que accede a la red, usa un software normalmente embebido en el sistema operativo para negociar con los mecanismos de control.
- Autenticador: quien intermedia la solicitud de autenticación y refuerza el control.
- Servidor de autenticación: una base de datos de identidades para enviar un mensaje de aprobación o denegación de la solicitud de autenticación. Así como otras referencias o variables al autenticador.
Cuando hablamos de estándares y protocolos tenemos casos casi de facto. Por un lado el estándar 802.1x que establece protocolos y mecanismos para el funcionamiento del control de acceso a la red. Y por otro lado un servidor de autenticación que utiliza el protocolo Radius compatible con 802.1x.
Los mecanismos que usa 802.1x han evolucionado entre intercambio encriptado, la doble autenticación de usuario y hardware o el “chaining” de autenticaciones.
Uno de los puntos de inflexión de los sitemas de control de acceso a la red es que distintos fabricantes y networking han intentado nuevas formas de control de acceso a la red. Nuevas referencias dentro de la cabecera IP como SGT (Security Group Tags), y/o redes sobrepuestas o nuevas formas de etiquetado de paquetes y tramas como VxLAN. Incluso soluciones que mezclan todo lo anterior con el mundo tradicional de 802.1x.
Es en el párrafo anterior donde se empieza a elaborar mi respuesta al cuestionamiento inicial. Los sistemas de control de acceso son necesarios todavía. Sin embargo, creo que debemos buscar un valor agregado que trascienda a la seguridad de red per se. Se me ocurre la automatización de funciones operativas como el cambio de VLAN en un puerto, cambio de permisos o políticas en base a identidades o en base al perfilamiento del host. Y así liberar algo de funciones operativas al gestionar una red.
En resumen, los sistemas de control de acceso a la red son necesarios, pero podemos usarlos también como excusa para agregar funciones de automatización en base a identidades. De esta manera traemos más seguridad y automatización a la red de una vez.
Este es un artículo original del blog. Si le parece interesante por favor compártalo.