FortiNAC, por sus siglas en ingles “NAC Network Access Control “, es una solución de acceso de confianza cero que protege todos los dispositivos de la red corporativa. Con FortiNAC se reduce el riesgo de acceso a la red corporativa de dispositivos no deseados o desconocidos que pueden ser una amenaza para la seguridad de la empresa.
FortiNAC cuenta con características importantes como son visibilidad, control y respuesta automatizada para todos los dispositivos que se conecten a la red, proporcionando protección contra amenazas de IoT. Al integrarse con FortiGate, Fortiswitch, FortiAP entre otras soluciones de Fortinet Security Fabric, FortiNAC obtiene una visión más completa de los dispositivos y usuarios conectados a la red. Al tener integración con otros fabricantes, FortiNAC puede aprovechar la infraestructura existente y determinar el control sobre los dispositivos de la red y genera la respuesta automática o acciones de control.
Las funciones principales de FortiNAC son:
-Escaneo con agente persistente
-Escaneo con agente disolvente
-Múltiples métodos de cumplimiento
-21 métodos de perfilamiento de dispositivos
-Integración con múltiples fabricantes
Todas estas funciones hacen de FortiNAC una de las mejores herramientas para controlar el acceso a la red corporativa de equipos no confiables.
Caso de uso Agente persistente
Cuando se conectan a la red corporativa, ya sea con equipos propios de la empresa o equipos personales de empleados o equipos de visitantes, podemos tener un control de permitir o no permitir el acceso de acuerdo con los parámetros de control definidos; entre algunos podemos implementar el Agente persistente.
Este agente persistente se descarga directamente desde FortiNAC, lo cual se puede realizar como extensión .EXE, .MSI, para ser desplegado por dispositivo o por política de directorio activo GPO, o por software de distribución de terceros, y también por medio de portal cautivo.
Al ser un método de cumplimiento será la primera opción para que cuando el equipo se conecte a la red con agente persistente instalado, deba comunicarse con FortiNAC y de esta manera realiza el registro del dispositivo para proceder con el escaneo más profundo de cumplimiento según se hayan definido con algunas de las siguientes condiciones: que el computador o dispositivo tenga un software antivirus actualizado, una versión de sistema operativo X, o que pertenezca al dominio corporativo.
El flujo del proceso se da de la siguiente manera:
Se conecta el pc a la red corporativa por medio de punto de red cableada y red wifi la cual ya se encuentra integrada a FortiNAC. Al no estar registrados será puesto en una red de cuarentena o aislamiento y de inmediato el FortiNAC valida el dispositivo, si este no cuenta con agente persistente FortiNAC no le permitirá el acceso a la red productiva y lo deja en una red de aislamiento o restringida. También es posible moverlo a una red de remediación para que este equipo tenga acceso a algunos recursos previamente definidos donde se pueda remediar o en este caso instalar el agente persistente con todos sus prerrequisitos.
En el caso que el dispositivo cuente con el agente persistente este se comunicará automáticamente con FortiNAC reportando la información recopilada del dispositivo, como versión de sistema operativo, inventario de software, pertenece a dominio o grupo de trabajo. FortiNAC realizará el registro del dispositivo dejándolo en la red de producción, inmediatamente realizará el respectivo escaneo al host para validar y verificar los parámetros de cumplimiento según se hayan configurado previamente; si este dispositivo cumple con escaneo satisfactorio continua en red de producción teniendo los accesos permitidos a toda la red corporativa, en caso que no cumpla algún parámetro, el FortiNAC lo registra como dispositivo registrado pero en riesgo para ser remediado y será movido a la red de remediación con acceso limitado a recursos donde se pueda remediar el no cumplimiento.
Requerimiento para que el agente persistente se comunique correctamente con FortiNAC
-Debe contar con el Agente persistente Instalado en el dispositivo y en ejecución.
-Debe contar con un certificado digital el cual se debe descargar desde el FortiNAC ya sea el default que maneja FortiNAC o un certificado digital firmado para FortiNAC de una CA de confianza.
-Se debe instalar una llave de registro de Windows donde se indican los parámetros de FortiNAC ya sea IP o registro DNS de FortiNAC.
Si quieres tener más información sobre esta solución puedes encontrarla en https://www.fortinet.com/lat/products/network-access-control o puedes ponerte en contacto con nosotros para asesorarte según tu necesidad específica en nuestro formulario de contacto.
Por: Mauricio Medina, Especialista de TI
