Saltar para o conteúdo principal
Português

Avaliação de Postura NAC: Garantir a Conformidade de Dispositivos Geridos Antes do Acesso à Rede

Este guia de referência técnica fornece uma análise aprofundada sobre a Avaliação de Postura NAC, detalhando a arquitetura, as normas e as estratégias de implementação necessárias para impor a conformidade de dispositivos geridos. Equipará os gestores de TI e os arquitetos de rede com informações práticas para mitigar riscos e garantir o acesso seguro à rede em ambientes empresariais multi-site.

📖 6 min de leitura📝 1,352 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo à série Purple Technical Briefing. Hoje vamos abordar uma das áreas mais críticas do ponto de vista operacional — e frequentemente mal compreendida — da segurança de redes empresariais: a avaliação de postura de NAC, e especificamente como garantir que apenas dispositivos geridos e em conformidade obtenham acesso à sua rede antes mesmo de enviarem um único pacote de tráfego de produção. Se é um gestor de TI, arquiteto de rede ou CTO responsável por uma infraestrutura multi-site — seja um grupo hoteleiro, uma cadeia de retalho, um estádio ou uma organização do setor público — isto é diretamente relevante para a sua postura de segurança neste momento. Vamos cobrir a arquitetura, as normas, os padrões de implementação no mundo real e as armadilhas que surpreendem até as equipas mais experientes. Vamos a isso. Então, o que é exatamente a avaliação de postura de NAC? O Network Access Control, ou NAC, é a estrutura abrangente que rege quais os dispositivos que se podem ligar à sua rede e sob que condições. A avaliação de postura é o mecanismo específico dentro do NAC que interroga o estado de segurança de um dispositivo antes — ou imediatamente após — este se ligar. Pense nisto como um controlo de saúde à porta. O dispositivo não precisa apenas de provar quem é; precisa de provar que está num estado adequado para ser confiável. A arquitetura aqui tem três componentes principais. Primeiro, tem o Ponto de Aplicação de Políticas — o PEP. Este é normalmente o seu ponto de acesso, o seu switch ou o seu controlador sem fios. É o guardião que controla fisicamente se o tráfego flui. Em segundo lugar, tem o Ponto de Decisão de Políticas — o PDP. Este é o seu motor de NAC, frequentemente integrado com um servidor RADIUS ou AAA. Ele recebe os dados de postura, avalia-os em relação à sua política e diz ao PEP o que fazer. Terceiro, tem o próprio Motor de Avaliação de Postura — que é um agente a correr no endpoint ou um mecanismo sem agente que utiliza protocolos como SNMP, WMI ou SSH para consultar o dispositivo remotamente. Agora, a camada de autenticação que sustenta tudo isto é o IEEE 802.1X. Este é o padrão de controlo de acesso à rede baseado em portas que existe desde 2001, mas que continua a ser a espinha dorsal do NAC empresarial hoje em dia. O 802.1X define três funções: o Supplicant — que é o dispositivo que se tenta ligar; o Authenticator — o seu switch ou ponto de acesso; e o Servidor de Autenticação — o seu servidor RADIUS. O Supplicant e o Servidor de Autenticação comunicam via EAP — o Extensible Authentication Protocol — encapsulado através do Authenticator. O EAP-TLS, que utiliza autenticação mútua baseada em certificados, é o padrão de excelência aqui. É o que deve implementar se leva a sério a conformidade de dispositivos geridos. O que é que a verificação de postura analisa realmente? Existem seis categorias principais. Nível de patch do sistema operativo — o dispositivo está a executar uma versão de SO suportada e os patches críticos são aplicados dentro da sua janela definida? Estado de segurança do endpoint — um agente AV ou EDR aprovado está instalado, ativo e com definições atualizadas? Estado da firewall — a firewall baseada no host está ativada e a sua política intacta? Encriptação de disco — a encriptação total do disco está ativa e não suspensa? Validade do certificado — o dispositivo possui um certificado de máquina válido e fidedigno emitido pela sua PKI? E, finalmente, conformidade de configuração — a configuração de segurança do dispositivo corresponde à sua linha de base definida? Com base no resultado destas verificações, o seu motor de políticas NAC atribui um de três estados. Em Conformidade — o dispositivo passa em todas as verificações exigidas e recebe acesso total à rede, normalmente à sua VLAN ou função atribuída. Condicional — o dispositivo passa nas verificações críticas, mas falha numa ou mais verificações não críticas; obtém acesso limitado, talvez apenas à Internet, com uma notificação ao utilizador. E Não Conforme — o dispositivo falha numa verificação crítica e é colocado numa VLAN de quarentena com acesso apenas a um portal de remediação. Esse portal de remediação é onde o dispositivo pode descarregar patches, atualizar definições de AV ou receber instruções para remediação manual. Agora, onde é que o WPA3 se enquadra nisto? O WPA3-Enterprise, especificamente com o modo de 192 bits, reforça a camada criptográfica sob o 802.1X. Exige GCMP-256 para encriptação e HMAC-SHA-384 para integridade, o que é particularmente relevante para ambientes que lidam com dados de cartões de pagamento ou dados pessoais sensíveis ao abrigo do GDPR. Se gere um ambiente de retalho com âmbito PCI DSS, ou uma unidade de saúde sob os requisitos de governação de dados do NHS, o WPA3-Enterprise deve estar no seu roteiro para novas implementações. Falemos sobre a avaliação de postura sem agente versus baseada em agente, porque este é um verdadeiro ponto de decisão arquitetónica. A avaliação baseada em agente — onde um cliente leve é executado no endpoint — oferece-lhe a visibilidade mais profunda. Pode consultar chaves de registo, processos em execução, software instalado e o estado de segurança em tempo real. A contrapartida é a sobrecarga de implementação: precisa de um MDM ou de uma plataforma de gestão de endpoints para distribuir e manter o agente em todo o seu parque informático. A avaliação sem agente utiliza interrogação baseada na rede — SNMP, WMI através da rede ou chamadas de API para a sua plataforma MDM. É mais fácil de implementar, mas oferece uma visibilidade mais superficial e é mais suscetível a evasão. Para um parque corporativo gerido, a abordagem baseada em agente é a resposta certa. Para ambientes onde tem uma mistura de dispositivos geridos e não geridos — pense num centro de conferências ou numa rede de bastidores de um hotel — uma abordagem híbrida faz mais sentido. Mais um ponto de arquitetura que vale a pena destacar: avaliação contínua de postura versus avaliação pontual. A maioria das implementações de NAC legadas apenas verifica a postura no momento da ligação. Essa é uma lacuna significativa. Um dispositivo que estava em conformidade às nove da manhã, quando se ligou, pode ter o seu AV desativado por um utilizador às onze. As plataformas modernas de NAC suportam avaliação contínua — reavaliando a postura em intervalos definidos ou em resposta a eventos — e alterando dinamicamente o nível de acesso à rede do dispositivo sem exigir uma nova ligação. Esta é a direção que deve seguir. Muito bem, passemos à prática. Ao implementar a avaliação de postura de NAC, o modo de falha mais comum que vejo é ir diretamente para o modo de imposição. Não o faça. Comece no modo de monitorização — por vezes chamado de modo de auditoria ou modo de visibilidade. Execute as suas verificações de postura, registe os resultados, mas não imponha políticas. Execute isto durante pelo menos duas a quatro semanas. Irá quase de certeza descobrir dispositivos que não sabia que existiam na sua rede, e descobrirá que uma proporção significativa dos seus dispositivos conhecidos falha numa ou mais verificações de postura. Utilize esses dados para corrigir o seu parque informático antes de aplicar a imposição. O segundo erro comum é a infraestrutura de certificados. A avaliação de postura baseada em agentes com EAP-TLS requer uma PKI funcional. Se não tiver uma, ou se a gestão do ciclo de vida dos seus certificados for manual e ad hoc, terá interrupções de serviço. Os certificados expiram. Os dispositivos são reinstalados sem certificados. Planeie a sua PKI antes de planear a sua implementação de NAC. Terceiro: design de VLAN. A sua VLAN de quarentena precisa de estar genuinamente isolada — não apenas numa sub-rede diferente na mesma infraestrutura física. Deve ter acesso apenas ao seu portal de remediação e, se necessário, ao Windows Update ou ao seu servidor de gestão de patches. Se a sua VLAN de quarentena tiver qualquer rota para os sistemas de produção, criou uma falsa sensação de segurança. Quarto: processos de exceção e desvio. Todas as organizações têm dispositivos que não conseguem executar um agente — impressoras, sensores IoT, sistemas de gestão de edifícios. Precisa de um processo documentado e aprovado para conceder desvio de autenticação MAC a estes dispositivos, com controlos de compensação. Se não definir este processo à partida, acabará com uma lista branca informal que ninguém gere e ninguém audita. Do ponto de vista das normas, alinhe a sua política de postura com os CIS Benchmarks para as suas plataformas de sistema operativo. Estes são neutros em relação ao fornecedor, atualizados regularmente e amplamente aceites como a base para a segurança de endpoints empresariais. Para ambientes PCI DSS, o Requisito 6.3 sobre gestão de patches e o Requisito 5.3 sobre anti-malware mapeiam-se diretamente nas suas categorias de verificação de postura. Agora, passamos a algumas perguntas rápidas. A avaliação de postura NAC pode funcionar para dispositivos BYOD? Sim, mas precisa de um fluxo de política separado. Os dispositivos BYOD normalmente passam por um método EAP diferente — EAP-PEAP com credenciais de utilizador em vez de EAP-TLS com certificados de máquina — e recebem um segmento de rede mais restrito. As verificações de postura para BYOD são normalmente mais leves: versão do SO, presença básica de antivírus, bloqueio de ecrã ativado. Como é que isto interage com uma rede WiFi de convidados? Não interage, e não deve interagir. O WiFi de convidados é um SSID e segmento de rede completamente separado, isolado da sua infraestrutura corporativa. A avaliação de postura NAC aplica-se apenas ao seu SSID corporativo. As duas redes nunca devem partilhar uma VLAN ou encaminhar tráfego entre si. Qual é o cronograma típico para uma implementação completa de NAC? Para uma média empresa — por exemplo, de quinhentos a dois mil endpoints em vários locais — preveja de doze a dezasseis semanas desde o design até à aplicação total. Isso inclui a configuração de PKI, implementação de agentes, modo de monitorização, remediação e implementação faseada da aplicação de políticas. Para resumir: a avaliação de postura NAC é o mecanismo que garante que a sua estrutura de controlo de acessos à rede tem dentes. A identidade por si só — saber quem se está a ligar — não é suficiente. Precisa de conhecer o estado de segurança do dispositivo, validá-lo em relação à política e aplicar consequências em caso de não conformidade. A arquitetura é madura e bem padronizada em torno de 802.1X, RADIUS e EAP-TLS. Os desafios de implementação são reais, mas geríveis se seguir uma abordagem faseada. Os seus próximos passos imediatos: audite o seu parque atual de endpoints para verificar a conformidade da postura utilizando o seu MDM ou ferramentas de gestão de endpoints existentes. Avalie a sua preparação para PKI. Desenhe a sua arquitetura de VLAN para segmentos em conformidade, condicionais e de quarentena. E planeie uma implementação em modo de monitorização antes de avançar para a aplicação de políticas. Para organizações que operam ambientes mistos — a retaguarda corporativa a par de WiFi público ou de convidados — plataformas como a Purple fornecem a inteligência de rede e analítica do lado dos convidados que complementam a sua implementação de NAC corporativo, mantendo esses dois mundos claramente separados enquanto lhe dão total visibilidade sobre ambos. Obrigado por ouvir. Explore o guia escrito completo na plataforma Purple para diagramas de arquitetura, exemplos práticos e referências de configuração.

header_image.png

এক্সিকিউটিভ সামারি

জটিল এবং মাল্টি-সাইট এনভায়রনমেন্ট পরিচালনাকারী এন্টারপ্রাইজ আইটি লিডারদের জন্য, নেটওয়ার্ক অ্যাক্সেসের ক্ষেত্রে শুধুমাত্র আইডেন্টিটি বা পরিচয় আর যথেষ্ট মেট্রিক নয়। কে কানেক্ট করছে তা জানার চেয়ে তারা যে ডিভাইসটি ব্যবহার করছে তার সিকিউরিটি স্টেট বা নিরাপত্তার অবস্থা জানা বেশি জরুরি। Network Access Control (NAC) posture assessment হলো সেই মেকানিজম যা এই শূন্যস্থান পূরণ করে এবং নিশ্চিত করে যে, প্রোডাকশন ট্রাফিকের একটি প্যাকেট ট্রান্সমিট করার আগেই শুধুমাত্র ম্যানেজড এবং কমপ্লায়েন্ট ডিভাইসগুলো কর্পোরেট ইনফ্রাস্ট্রাকচারে অ্যাক্সেস পায়।

এই গাইডটি NAC posture assessment ডিজাইন, ডিপ্লয় এবং ম্যানেজ করার বিষয়ে একটি বিস্তৃত টেকনিক্যাল রেফারেন্স প্রদান করে। আমরা 802.1X, RADIUS এবং EAP-TLS সহ এর অন্তর্নিহিত আর্কিটেকচার নিয়ে আলোচনা করেছি, এজেন্ট-বেসড এবং এজেন্টলেস ইন্টারোগেশনের সুবিধা-অসুবিধা মূল্যায়ন করেছি এবং অপারেশনাল ব্যাঘাত কমায় এমন একটি পর্যায়ক্রমিক ডিপ্লয়মেন্ট স্ট্র্যাটেজির রূপরেখা দিয়েছি। আপনি কোনো কর্পোরেট হেডকোয়ার্টার, ডিস্ট্রিবিউটেড রিটেইল এস্টেট, অথবা হসপিটালিটি খাতের ব্যাক-অফিস অপারেশন সুরক্ষিত করুন না কেন, ঝুঁকি কমানো এবং কমপ্লায়েন্স প্রয়োগের ক্ষেত্রে একটি শক্তিশালী posture assessment বাস্তবায়ন করা অত্যন্ত গুরুত্বপূর্ণ পদক্ষেপ।

মূল কনসেপ্ট এবং ডিপ্লয়মেন্টের সাধারণ ত্রুটিগুলোর একটি এক্সিকিউটিভ ওভারভিউ পেতে নিচে আমাদের ১০ মিনিটের টেকনিক্যাল ব্রিফিং পডকাস্টটি শুনুন।

টেকনিক্যাল ডিপ-ডাইভ

Posture Assessment-এর আর্কিটেকচার

Network Access Control ডিভাইসের কানেক্টিভিটি নিয়ন্ত্রণ করে, কিন্তু posture assessment হলো ডিভাইসের সিকিউরিটি হেলথ বা নিরাপত্তার অবস্থার নির্দিষ্ট ইন্টারোগেশন। এর আর্কিটেকচার মূলত একসাথে কাজ করা তিনটি প্রধান উপাদানের ওপর নির্ভর করে:

১. Policy Enforcement Point (PEP): এটি হলো ফিজিক্যাল বা লজিক্যাল গেটকিপার—সাধারণত একটি ওয়্যারলেস অ্যাক্সেস পয়েন্ট, সুইচ পোর্ট, অথবা ওয়্যারলেস ল্যান কন্ট্রোলার। পলিসি ইঞ্জিনের নির্দেশনার ওপর ভিত্তি করে PEP ফিজিক্যালি ট্রাফিকের প্রবাহ নিয়ন্ত্রণ করে। ২. Policy Decision Point (PDP): প্রায়শই RADIUS বা AAA সার্ভারের সাথে ইন্টিগ্রেটেড থাকা PDP হলো NAC আর্কিটেকচারের মস্তিষ্ক। এটি posture ডেটা গ্রহণ করে, নির্ধারিত কমপ্লায়েন্স পলিসির বিপরীতে তা মূল্যায়ন করে এবং PEP-কে এনফোর্সমেন্ট ডিরেক্টিভ বা নির্দেশিকা প্রদান করে। ৩. Posture Assessment Engine: এই উপাদানটি এন্ডপয়েন্ট থেকে প্রকৃত হেলথ ডেটা সংগ্রহ করে। এটি ডিভাইসে লোকালি চলা কোনো এজেন্ট হতে পারে, অথবা নেটওয়ার্ক প্রোটোকল (যেমন, SNMP, WMI) বা Mobile Device Management (MDM) প্ল্যাটফর্মের সাথে API ইন্টিগ্রেশন ব্যবহার করা কোনো এজেন্টলেস মেকানিজম হতে পারে।

nac_architecture_overview.png

IEEE 802.1X এবং EAP-TLS-এর ভূমিকা

এন্টারপ্রাইজ NAC-এর ভিত্তি হলো IEEE 802.1X স্ট্যান্ডার্ড, যা পোর্ট-বেসড নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল সংজ্ঞায়িত করে। এই ফ্রেমওয়ার্কের মধ্যে তিনটি ভূমিকা সংজ্ঞায়িত করা হয়েছে:

  • Supplicant: কানেক্ট করার চেষ্টা করা এন্ডপয়েন্ট ডিভাইস।
  • Authenticator: কানেকশনে সহায়তা করা PEP (সুইচ বা অ্যাক্সেস পয়েন্ট)।
  • Authentication Server: ক্রেডেনশিয়াল যাচাইকারী RADIUS সার্ভার।

Supplicant এবং Authentication Server-এর মধ্যে যোগাযোগ Extensible Authentication Protocol (EAP)-এর মাধ্যমে ঘটে, যা Authenticator-এর মধ্য দিয়ে টানেল করা থাকে। ম্যানেজড কর্পোরেট ডিভাইসের জন্য EAP-TLS হলো গোল্ড স্ট্যান্ডার্ড। এটি X.509 ডিজিটাল সার্টিফিকেট ব্যবহার করে মিউচুয়াল অথেনটিকেশন বাধ্যতামূলক করে, যা নিশ্চিত করে যে ডিভাইস এবং নেটওয়ার্ক উভয়ই ক্রিপ্টোগ্রাফিকভাবে একে অপরের পরিচয় যাচাই করে। এটি ক্রেডেনশিয়াল চুরি এবং রগ (rogue) অ্যাক্সেস পয়েন্ট অ্যাটাক প্রতিরোধ করে।

Posture Check ক্যাটাগরি

যখন কোনো ডিভাইস কানেক্ট করার চেষ্টা করে, তখন posture assessment ইঞ্জিন বেশ কয়েকটি গুরুত্বপূর্ণ ভেক্টর মূল্যায়ন করে:

  • OS ও প্যাচ ম্যানেজমেন্ট: অপারেটিং সিস্টেমটি সাপোর্টেড কিনা এবং নির্ধারিত SLA-এর মধ্যে ক্রিটিক্যাল প্যাচগুলো অ্যাপ্লাই করা হয়েছে কিনা তা যাচাই করা।
  • এন্ডপয়েন্ট সিকিউরিটি (AV/EDR): অনুমোদিত অ্যান্টি-ভাইরাস বা Endpoint Detection and Response এজেন্ট ইনস্টল করা, সক্রিয় এবং আপডেটেড ডেফিনিশন ধারণ করছে কিনা তা নিশ্চিত করা।
  • ফায়ারওয়াল স্ট্যাটাস: হোস্ট-বেসড ফায়ারওয়াল এনাবল করা আছে এবং এর পলিসিতে কোনো পরিবর্তন করা হয়নি তা নিশ্চিত করা।
  • ডিস্ক এনক্রিপশন: ফুল-ডিস্ক এনক্রিপশন (যেমন, BitLocker, FileVault) সক্রিয় আছে এবং সাসপেন্ডেড অবস্থায় নেই তা যাচাই করা।
  • সার্টিফিকেট ভ্যালিডেশন: প্রয়োজনীয় মেশিন সার্টিফিকেটের উপস্থিতি এবং বৈধতা পরীক্ষা করা।
  • কনফিগারেশন কমপ্লায়েন্স: ডিভাইসের সিকিউরিটি বেসলাইন কর্পোরেট পলিসির সাথে মিলে কিনা তা নিশ্চিত করা (যেমন, স্ক্রিন লক টাইমার, ডিজেবল করা USB মাস স্টোরেজ)।

posture_compliance_checklist.png

WPA3-Enterprise এবং ক্রিপ্টোগ্রাফিক স্ট্রেংথ

নেটওয়ার্ক সিকিউরিটির উন্নতির সাথে সাথে এর অন্তর্নিহিত ক্রিপ্টোগ্রাফিক স্ট্যান্ডার্ডগুলোও উন্নত হয়। WPA3-Enterprise, বিশেষ করে যখন এটি 192-বিট মোডে কাজ করে, তখন এটি WPA2-এর তুলনায় উল্লেখযোগ্য উন্নতি প্রদান করে। এটি এনক্রিপশনের জন্য GCMP-256 এবং ইন্টিগ্রিটির জন্য HMAC-SHA-384 ব্যবহার বাধ্যতামূলক করে। সংবেদনশীল ডেটা নিয়ে কাজ করা প্রতিষ্ঠানগুলোর জন্য—যেমন PCI DSS-এর আওতাভুক্ত রিটেইল এনভায়রনমেন্ট বা কঠোর ডেটা গভর্ন্যান্সের অধীনে থাকা হেলথকেয়ার সুবিধাগুলো—নেটওয়ার্ক ইনফ্রাস্ট্রাকচারকে ফিউচার-প্রুফ করার জন্য WPA3-Enterprise-এ ট্রানজিশন করা একটি প্রয়োজনীয় পদক্ষেপ।

ইমপ্লিমেন্টেশন গাইড

ব্যাপক নেটওয়ার্ক আউটেজ এড়াতে NAC posture assessment ডিপ্লয় করার জন্য সতর্ক পরিকল্পনার প্রয়োজন। এন্টারপ্রাইজ এনভায়রনমেন্টের জন্য নিচের পর্যায়ক্রমিক পদ্ধতিটি সুপারিশ করা হলো:

পর্যায় ১: ইনফ্রাস্ট্রাকচার রেডিনেস এবং PKI ডিজাইন

Posture check এনাবল করার আগে, আপনার অন্তর্নিহিত ইনফ্রাস্ট্রাকচার এই আর্কিটেকচারকে সাপোর্ট করতে পারে কিনা তা নিশ্চিত করুন। EAP-TLS ডিপ্লয় করলে, একটি শক্তিশালী Public Key Infrastructure (PKI) থাকা অপরিহার্য। আপনার MDM বা গ্রুপ পলিসির মাধ্যমে সার্টিফিকেটগুলো স্বয়ংক্রিয়ভাবে প্রভিশন এবং রিনিউ হতে হবে। ম্যানুয়াল সার্টিফিকেট ম্যানেজমেন্টের ফলে সার্টিফিকেট মেয়াদোত্তীর্ণ হলে অনিবার্যভাবেই কানেক্টিভিটি ফেইলিওর দেখা দেবে।

পর্যায় ২: মনিটর মোড (ভিসিবিলিটি ফেজ)

যেকোনো NAC ডিপ্লয়মেন্টের সবচেয়ে গুরুত্বপূর্ণ পর্যায় হলো মনিটর মোড। এই পর্যায়ে, NAC সিস্টেম ডিভাইসের posture মূল্যায়ন করে এবং ফলাফলগুলো লগ করে, কিন্তু পলিসি এনফোর্স করে না। Posture-এর ফলাফল যাই হোক না কেন, PEP সম্পূর্ণ অ্যাক্সেসের অনুমতি দেয়。

কমপক্ষে ২-৪ সপ্তাহের জন্য মনিটর মোড রান করুন। এটি আপনার এস্টেটের প্রকৃত কমপ্লায়েন্স অবস্থা সম্পর্কে ধারণা প্রদান করে। ব্রোকেন এজেন্ট, পেন্ডিং রিবুট বা মিসকনফিগারেশনের কারণে চেক ফেইল করা ডিভাইসগুলোকে আপনি শনাক্ত করতে পারবেন। এস্টেটকে প্রোঅ্যাক্টিভভাবে রিমিডিয়েট বা সংশোধন করতে এই ডেটা ব্যবহার করুন।

পর্যায় ৩: সেগমেন্টেড এনফোর্সমেন্ট

কমপ্লায়েন্স বেসলাইন গ্রহণযোগ্য পর্যায়ে পৌঁছালে, এনফোর্সমেন্ট শুরু করুন। পলিসি মূল্যায়নের ওপর ভিত্তি করে ডিভাইসগুলোকে তিনটি অবস্থায় ভাগ করা হয়:

১. Compliant: ডিভাইসটি সমস্ত ক্রিটিক্যাল চেক পাস করে এবং সম্পূর্ণ প্রয়োজনীয় অ্যাক্সেস সহ প্রোডাকশন VLAN-এ অ্যাসাইন করা হয়। ২. Conditional: ডিভাইসটি কোনো নন-ক্রিটিক্যাল চেক ফেইল করে (যেমন, একটি মাইনর OS আপডেট পেন্ডিং আছে)। এটিকে রেস্ট্রিক্টেড অ্যাক্সেস (যেমন, শুধুমাত্র ইন্টারনেট) দেওয়া হতে পারে এবং ব্যবহারকারীকে একটি নির্দিষ্ট সময়সীমার মধ্যে তা সংশোধন করার জন্য নোটিফাই করা হয়। ৩. Non-Compliant: ডিভাইসটি কোনো ক্রিটিক্যাল চেক ফেইল করে (যেমন, AV ডিজেবল করা)। PEP ডিভাইসটিকে একটি কোয়ারেন্টাইন VLAN-এ অ্যাসাইন করে।

পর্যায় ৪: রিমিডিয়েশন আর্কিটেকচার

কোয়ারেন্টাইন VLAN-কে অবশ্যই কঠোরভাবে আইসোলেটেড রাখতে হবে। এটি শুধুমাত্র রিমিডিয়েশন পোর্টাল, প্রয়োজনীয় আপডেট সার্ভার (যেমন, Windows Update, AV ডেফিনিশন সার্ভার) এবং ইন্টারনাল আইটি সাপোর্ট রিসোর্সে ট্রাফিকের অনুমতি দেবে। যদি কোনো কোয়ারেন্টাইন করা ডিভাইস প্রোডাকশন সাবনেটে ট্রাফিক রাউট করতে পারে, তবে বুঝতে হবে NAC আর্কিটেকচার ব্যর্থ হয়েছে।

বেস্ট প্র্যাকটিস

  • কন্টিনিউয়াস অ্যাসেসমেন্ট: লিগ্যাসি NAC শুধুমাত্র কানেকশনের সময় posture মূল্যায়ন করে। মডার্ন ডিপ্লয়মেন্টগুলোকে অবশ্যই কন্টিনিউয়াস অ্যাসেসমেন্ট সাপোর্ট করতে হবে, যা নির্দিষ্ট বিরতিতে বা কোনো ইভেন্টের (যেমন, একটি EDR অ্যালার্ট) রেসপন্সে posture পুনরায় মূল্যায়ন করে এবং Change of Authorization (CoA)-এর মাধ্যমে ডায়নামিকভাবে ডিভাইসের অ্যাক্সেস লেভেল আপডেট করে।
  • এজেন্ট বনাম এজেন্টলেস: ম্যানেজড কর্পোরেট ডিভাইসের ক্ষেত্রে, এজেন্ট-বেসড পদ্ধতি সবচেয়ে গভীর ভিসিবিলিটি এবং কন্টিনিউয়াস মনিটরিং সক্ষমতা প্রদান করে। আনম্যানেজড ডিভাইস বা এমন এনভায়রনমেন্টের জন্য এজেন্টলেস ইন্টারোগেশন উপযুক্ত, যেখানে এজেন্ট ডিপ্লয় করা অ্যাডমিনিস্ট্রেটিভভাবে নিষিদ্ধ।
  • MAC Authentication Bypass (MAB): 802.1X-এ অক্ষম ডিভাইসগুলোর (যেমন, লিগ্যাসি প্রিন্টার, IoT সেন্সর) জন্য MAB প্রয়োজন। তবে, MAB স্বভাবতই অনিরাপদ কারণ MAC অ্যাড্রেস স্পুফ করা যায়। MAB ডিভাইসগুলোকে অবশ্যই গভীরভাবে প্রোফাইল করতে হবে এবং কঠোরভাবে নিয়ন্ত্রিত, আইসোলেটেড VLAN-এ রাখতে হবে।
  • স্ট্যান্ডার্ডের সাথে সামঞ্জস্য রাখা: আপনার posture পলিসিগুলোকে CIS বেঞ্চমার্কের মতো প্রতিষ্ঠিত ফ্রেমওয়ার্কের ওপর ভিত্তি করে তৈরি করুন। এটি নিশ্চিত করে যে আপনার কমপ্লায়েন্স চেকগুলো ভেন্ডর-নিউট্রাল এবং ইন্ডাস্ট্রির বেস্ট প্র্যাকটিসের সাথে সামঞ্জস্যপূর্ণ।
  • গেস্ট ট্রাফিক আইসোলেট করা: কর্পোরেট NAC posture assessment-এর সাথে পাবলিক অ্যাক্সেস নেটওয়ার্কের কখনোই ইন্টারসেক্ট করা উচিত নয়। যেসব ভেন্যুতে উভয়ই প্রয়োজন, সেখানে সম্পূর্ণ আলাদা ইনফ্রাস্ট্রাকচারে পাবলিক অ্যাক্সেস ম্যানেজ করার জন্য একটি ডেডিকেটেড Guest WiFi প্ল্যাটফর্ম ব্যবহার করুন, যেমন Purple-এর WiFi Analytics সলিউশন।

ট্রাবলশুটিং এবং রিস্ক মিটিগেশন

সাধারণ ফেইলিওর মোড

১. 'বিগ ব্যাং' এনফোর্সমেন্ট: ওপেন অ্যাক্সেস থেকে সরাসরি পুরো এস্টেট জুড়ে একসাথে কঠোর এনফোর্সমেন্টে ট্রানজিশন করা অপারেশনাল ব্যাঘাতের একটি নিশ্চিত কারণ। সর্বদা সাইট বা ডিপার্টমেন্ট অনুযায়ী পর্যায়ক্রমিক রোলআউট ব্যবহার করুন। ২. PKI ফেইলিওর: মেয়াদোত্তীর্ণ রুট বা ইন্টারমিডিয়েট সার্টিফিকেট, অথবা Certificate Revocation List (CRL) / Online Certificate Status Protocol (OCSP) ইনফ্রাস্ট্রাকচারের ফেইলিওর ব্যাপক অথেনটিকেশন ফেইলিওরের কারণ হবে। আপনার PKI-এর জন্য শক্তিশালী মনিটরিং বাস্তবায়ন করুন। ৩. রিমিডিয়েশন লুপ: নিশ্চিত করুন যে কোয়ারেন্টাইন VLAN-এ থাকা ডিভাইসগুলোর কমপ্লায়েন্ট হওয়ার জন্য প্রয়োজনীয় আপডেটগুলো ডাউনলোড করার জন্য পর্যাপ্ত নেটওয়ার্ক অ্যাক্সেস রয়েছে। যদি তারা আপডেট সার্ভারে পৌঁছাতে না পারে, তবে তারা স্থায়ীভাবে কোয়ারেন্টাইনে থেকে যাবে।

ROI এবং বিজনেস ইমপ্যাক্ট

NAC posture assessment বাস্তবায়ন করা সাধারণ সিকিউরিটি মেট্রিক্সের বাইরেও পরিমাপযোগ্য বিজনেস ভ্যালু প্রদান করে:

  • রিস্ক মিটিগেশন: শুধুমাত্র হেলদি ডিভাইসগুলো নেটওয়ার্কে অ্যাক্সেস পাচ্ছে তা নিশ্চিত করার মাধ্যমে, ম্যালওয়্যার এবং র‍্যানসমওয়্যারের ল্যাটারাল স্প্রেড উল্লেখযোগ্যভাবে কমানো যায়, যা ব্যয়বহুল ডেটা ব্রিচের সম্ভাবনা হ্রাস করে।
  • কমপ্লায়েন্স ভেরিফিকেশন: হসপিটালিটি এবং ট্রান্সপোর্ট -এর মতো কঠোরভাবে নিয়ন্ত্রিত সেক্টরগুলোর জন্য, অটোমেটেড posture assessment PCI DSS এবং GDPR-এর মতো স্ট্যান্ডার্ডগুলোর সাথে কমপ্লায়েন্সের ধারাবাহিক প্রমাণ প্রদান করে, যা অডিট প্রক্রিয়াকে সহজ করে।
  • অপারেশনাল এফিশিয়েন্সি: কোয়ারেন্টাইন এবং রিমিডিয়েশন প্রক্রিয়া অটোমেট করার ফলে আইটি হেল্পডেস্কের ওপর চাপ কমে, যা ইঞ্জিনিয়ারদের ম্যানুয়ালি ইনফেক্টেড এন্ডপয়েন্ট ক্লিন করার পরিবর্তে স্ট্র্যাটেজিক উদ্যোগগুলোতে ফোকাস করতে দেয়।

Definições Principais

802.1X

Uma norma IEEE para controlo de acesso à rede baseado em portas que fornece um mecanismo de autenticação para dispositivos que pretendem ligar-se a uma LAN ou WLAN.

O protocolo fundamental que garante que um dispositivo deve autenticar-se antes que a porta do switch ou o ponto de acesso permita a passagem de qualquer tráfego IP.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Uma estrutura de autenticação que utiliza certificados digitais X.509 para autenticação mútua.

A norma recomendada para dispositivos corporativos geridos, pois baseia-se em certificados criptográficos em vez de palavras-passe facilmente comprometidas.

Posture Assessment

O processo de avaliação do estado de segurança e configuração de um dispositivo final em relação a uma política corporativa definida.

Garante que um dispositivo não só é autenticado, mas também está "saudável" (atualizado, encriptado, protegido) antes de lhe ser concedido acesso à rede.

Policy Enforcement Point (PEP)

O dispositivo de rede (switch, controlador sem fios ou ponto de acesso) que bloqueia ou permite fisicamente o tráfego com base na política NAC.

O componente que executa efetivamente o comando "permitir" ou "quarentena" emitido pelo servidor NAC.

Policy Decision Point (PDP)

O servidor ou motor central (frequentemente um servidor RADIUS) que avalia os pedidos de autenticação e os dados de postura para determinar os direitos de acesso.

O cérebro da operação que detém a base de regras e decide que nível de acesso um dispositivo específico deve receber.

MAC Authentication Bypass (MAB)

Um método de autenticação alternativo que utiliza o endereço MAC de um dispositivo como a sua credencial quando este não consegue executar o 802.1X.

Utilizado para dispositivos sem interface de utilizador, como impressoras ou sensores IoT. É inerentemente fraco e deve ser combinado com uma segmentação de rede rigorosa.

Change of Authorization (CoA)

Uma extensão RADIUS que permite ao servidor NAC alterar dinamicamente o estado de autorização de uma sessão ativa.

Crucial para uma avaliação contínua; se um dispositivo deixar de estar em conformidade enquanto está ligado, o CoA permite que o servidor NAC o mova instantaneamente para uma VLAN de quarentena sem exigir uma desconexão.

Quarantine VLAN

Um segmento de rede estritamente isolado concebido para conter dispositivos não conformes, fornecendo acesso apenas a recursos de remediação.

Impede que um dispositivo infetado ou vulnerável comunique com os sistemas de produção enquanto descarrega as atualizações ou correções necessárias.

Exemplos Práticos

Um hotel de 400 quartos necessita que os computadores portáteis da equipa corporativa acedam de forma segura ao sistema de gestão de propriedade (PMS) interno. No entanto, o local também aloja inúmeros dispositivos IoT não geridos (termóstatos inteligentes, sinalização digital) que não podem executar um agente NAC.

Implementar uma política 802.1X EAP-TLS para todos os computadores portáteis da equipa corporativa, impondo verificações de postura rigorosas (antivírus ativo, disco encriptado, atualizações instaladas). Estes dispositivos são atribuídos dinamicamente à VLAN Corporativa após a conformidade bem-sucedida. Para os dispositivos IoT, implementar o MAC Authentication Bypass (MAB) combinado com a criação de perfis detalhados de dispositivos. Garantir que estes dispositivos MAB são colocados em VLANs de IoT isoladas e dedicadas, com ACLs que restringem o seu acesso exclusivamente aos controladores específicos com os quais necessitam de comunicar. Sob circunstância alguma a VLAN de IoT deve encaminhar tráfego para a VLAN Corporativa ou para o PMS.

Comentário do Examinador: Esta abordagem segmenta corretamente a rede com base na capacidade do dispositivo e no perfil de risco. Impõe uma segurança elevada para dispositivos geridos, ao mesmo tempo que fornece um método de acesso prático e controlado para hardware IoT sem interface de utilizador, mitigando os riscos inerentes ao MAB.

Uma cadeia de retalho está a implementar novos terminais de ponto de venda (POS) em 50 localizações. A equipa de TI pretende impor a conformidade de postura para cumprir os requisitos do PCI DSS, mas está preocupada em não perturbar as operações das lojas durante a implementação.

Implementar a arquitetura NAC em Modo de Monitorização durante 30 dias. Durante este período, o sistema NAC irá autenticar os terminais POS e avaliar a sua postura em relação à linha de base do PCI DSS (por exemplo, firewall ativa, sem software não autorizado), mas irá registar as falhas sem bloquear o acesso. A equipa de TI analisa os registos semanalmente, identifica os terminais que falham as verificações e corrige-os através da plataforma MDM. Assim que a taxa de conformidade atingir os 100%, a política é alterada para o Modo de Imposição, local por local, durante as janelas de manutenção.

Comentário do Examinador: A abordagem faseada utilizando o Modo de Monitorização é fundamental para a continuidade do negócio. Permite que a equipa de segurança identifique e resolva lacunas de conformidade sem afetar as operações de POS que geram receitas.

Perguntas de Prática

Q1. Uma solução NAC recentemente implementada num escritório corporativo está a causar problemas generalizados de conectividade. Dispositivos que ontem estavam em conformidade estão agora a ser colocados na VLAN de Quarentena. O suporte de TI relata que os dispositivos parecem saudáveis, com o antivírus ativo e patches aplicados. Qual é a falha de arquitetura mais provável?

Dica: Considere o ciclo de vida das credenciais utilizadas no EAP-TLS.

Ver resposta modelo

A causa mais provável é uma falha na Infraestrutura de Chaves Públicas (PKI). Se os certificados de máquina utilizados para a autenticação EAP-TLS expiraram, ou se o servidor NAC não consegue aceder à Lista de Revogação de Certificados (CRL) ou ao responder OCSP, a autenticação falhará independentemente do estado real de segurança do dispositivo. O sistema NAC assume por defeito um estado de falha fechada ou quarentena.

Q2. Está a desenhar a arquitetura de VLAN para uma nova implementação de NAC. A equipa de segurança insiste que a VLAN de Quarentena deve permitir o acesso ao servidor proxy corporativo para que os utilizadores possam navegar na internet enquanto os seus dispositivos são corrigidos. Este é um design seguro?

Dica: Avalie o risco de permitir que um dispositivo potencialmente comprometido aceda a infraestruturas partilhadas.

Ver resposta modelo

Não, este é um design falhado. Permitir que um dispositivo em quarentena aceda ao proxy corporativo introduz um risco significativo. Se o dispositivo estiver infetado com malware, poderá utilizar o proxy para estabelecer comunicações de comando e controlo ou tentar mover-se lateralmente para outros sistemas internos acessíveis através do proxy. A VLAN de Quarentena deve ser estritamente isolada, permitindo o acesso apenas a servidores de remediação específicos (ex.: Windows Update, servidores de definições de antivírus) e ao próprio portal de remediação.

Q3. Uma equipa de TI de um hospital precisa de proteger o acesso à rede para uma frota de novas bombas de infusão médica sem fios. Estes dispositivos não suportam suplicantes 802.1X e não podem executar um agente de postura. Como deve ser controlado o acesso à rede para estes dispositivos?

Dica: Considere métodos de autenticação alternativos e o princípio do privilégio mínimo.

Ver resposta modelo

Os dispositivos devem ser autenticados utilizando MAC Authentication Bypass (MAB). Como o MAB é inerentemente fraco (os endereços MAC podem ser falsificados), o acesso à rede deve ser fortemente restrito. As bombas de infusão devem ser colocadas numa VLAN de IoT Médica dedicada e isolada. Devem ser aplicadas Listas de Controlo de Acesso (ACLs) a esta VLAN, permitindo a comunicação apenas com os servidores de gestão central específicos necessários para o seu funcionamento, e bloqueando qualquer outro movimento lateral ou acesso à internet.

Continue a ler esta série

Staff WiFi vs. Guest WiFi: Melhores Práticas de Segmentação de Rede Corporativa

Um guia técnico abrangente para líderes de TI sobre como segmentar redes WiFi de funcionários e convidados. Abrange arquitetura de VLAN, autenticação 802.1X, políticas de firewall e o impacto comercial de um design de rede seguro.

Ler o guia →

Soluções de WiFi para apartamentos: um guia completo para empresas

Este guia aborda a arquitetura, a implementação e o caso de negócio para soluções de WiFi em apartamentos em empreendimentos Build to Rent e edifícios multifamiliares. Explica como a tecnologia Identity Pre-Shared Key (iPSK) cria bolhas de rede seguras e isoladas para cada residente, ao mesmo tempo que suporta dispositivos inteligentes e IoT. Promotores imobiliários, proprietários e operadores de BTR encontrarão orientações práticas de implementação, dados de ROI e cenários reais de implementação.

Ler o guia →

Cox business managed WiFi: um guia completo para empresas

Este guia detalha como os promotores imobiliários e operadores de BTR podem implementar redes escaláveis e seguras utilizando o Cox Business managed WiFi. Abrange a arquitetura de rede, a implementação de hardware neutro em termos de fornecedor e o impacto empresarial de transformar a conectividade de uma dor de cabeça operacional numa infraestrutura fiável.

Ler o guia →