Descripcin general de la solucin

Control de admisin a la red de Cisco para redes LAN inalmbricas

En este documento se presentan las opciones de Control de admisin a la red de Cisco que se ofrecen para las redes LAN inalmbricas mediante la Estructura NAC y NAC Appliance (Cisco Clean Access).

EL DESAFO Deben protegerse las redes contra las amenazas a la seguridad, como los virus, gusanos y spyware, debido a que estas amenazas alteran las actividades de las empresas, provocan interrupciones en la red y demandan continuos parches. Por ello, se necesita visibilidad y control de los puntos terminales a fin de garantizar que todos los dispositivos cableados e inalmbricos que intentan acceder a la red cumplan las polticas de seguridad de la empresa. Adems, es preciso detectar, aislar y limpiar de forma automtica los puntos terminales infectados o vulnerables. LA SOLUCIN El Control de admisin a la red (NAC) fue concebido especficamente para garantizar que todos los dispositivos de puntos terminales cableados e inalmbricos (por ejemplo, equipos personales o porttiles, servidores y agendas PDA) puedan acceder a los recursos de la red que cuenten con la proteccin adecuada contra las amenazas a la seguridad. NAC permite a las organizaciones analizar y controlar todos los dispositivos que acceden a la red. Al asegurarse de que cada dispositivo de punto terminal cumpla la poltica de seguridad de la compaa y tenga en ejecucin las medidas de proteccin ms pertinentes y actualizadas, las organizaciones pueden reducir de forma significativa o eliminar la vulnerabilidad de los dispositivos de puntos terminales, como principal fuente de contagio o de peligro para la red. NAC es un conjunto de soluciones y tecnologas desarrolladas sobre la base de una iniciativa de la industria impulsada por Cisco Systems. NAC utiliza la infraestructura de la red para asegurar el cumplimiento de la poltica de seguridad de todos los dispositivos que desean acceder a los recursos informticos de la red, con lo que se limita el dao que pueden causar las amenazas a la seguridad como los virus, gusanos y spyware. Las organizaciones que utilizan NAC pueden permitir que slo accedan a la red aquellos dispositivos de puntos terminales que son de confianza y cumplen las normas, y a su vez pueden restringir el acceso de los dispositivos que no cumplen la poltica de seguridad. NAC forma parte de la Red de autodefensa de Cisco, una estrategia concebida con el fin de mejorar drsticamente la capacidad de la red para identificar, prevenir y adaptarse de manera automtica a las amenazas contra la seguridad. Cisco ofrece planteamientos para NAC basados en equipos y en arquitectura que satisfacen las necesidades funcionales y operativas de cualquier organizacin, tanto si requiere una poltica de seguridad sencilla como si necesita dar soporte a una compleja implementacin de seguridad que comprende varios proveedores de productos de seguridad, junto con una solucin de administracin de escritorio de la empresa. NAC Appliance, basado en la lnea de productos Cisco Clean Access, proporciona un rpido despliegue con evaluacin de puntos terminales, administracin de polticas y servicios correctivos integrados. NAC Appliance es una versin "llave en mano, autnoma" de NAC que ofrece un paquete de solucin todo en uno. La Estructura NAC es una solucin basada en arquitectura de sistemas de varios fabricantes que utiliza la infraestructura de la red de Cisco y soluciones de terceros, a fin de solventar el problema de control de admisin a la red. En efecto, integra una infraestructura de red inteligente con soluciones de ms de 60 fabricantes de importantes antivirus y otras soluciones de software de administracin y seguridad.

Todo el contenido tiene Copyright 1992-2005 de Cisco Systems, Inc. Todos los derechos reservados. Avisos importantes y declaracin de privacidad. Pgina 1 de 6

NAC para redes WLAN Deben protegerse las redes LAN inalmbricas contra las amenazas a la seguridad, como los virus, gusanos y spyware. Tanto NAC Appliance como la Estructura NAC brindan a las redes WLAN proteccin contra las amenazas a la seguridad al garantizar el cumplimiento de las polticas de seguridad cuando los clientes WLAN intentan acceder a la red. Estas soluciones colocan en una zona de cuarentena a los clientes WLAN no conformes y proporcionan servicios correctivos a fin de garantizar el cumplimiento de las polticas de seguridad. La total interoperabilidad de las dos soluciones con la Red inalmbrica unificada de Cisco est garantizada. NAC Appliance (Cisco Clean Access) NAC Appliance, basado en la lnea de productos Cisco Clean Access, es una solucin de registro y aplicacin de las polticas de seguridad de extremo a extremo de la red que permite a los administradores de redes autenticar, autorizar, evaluar y corregir a los usuarios de redes cableadas e inalmbricas as como sus equipos antes de permitir su ingreso a la red. NAC Appliance puede aplicar una evaluacin de posicin y la correccin a cualquier dispositivo de usuario inalmbrico 802.11 como Cisco Aironet y dispositivos clientes compatibles con Cisco. NAC Appliance debe desplegarse en banda para dar soporte a las redes WLAN. En un despliegue en banda, el servidor de NAC Appliance siempre funciona en lnea con el trfico de usuarios: antes, durante y despus de la autenticacin, evaluacin de posicin y correccin. Para controlar de manera segura el trfico de usuarios autenticados y no autenticados, el servidor administra las polticas del trfico por protocolo/puerto o subred, proporciona la administracin de la poltica de ancho de banda segn el ancho de banda compartido o por usuario, o bien utiliza sesiones temporales y controles de latido (Figura 1) Figura 1. Arquitectura de NAC Appliance en el modo en banda Dispositivo de acceso a la red

Host que intenta acceder a la red

Cumplimiento basado en la red

Actualizaciones de Windows

Agente Clean Access

Internet/ Intranet

Antivirus p. ej. Symantec, McAffee

IP Servidor Clean Access Clean Access Manager

Comprobaciones personalizadas, p. ej. Spyware, Cisco Security Agent

Aplicacin de las polticas de seguridad

Creacin de las polticas de seguridad

Todos los usuarios de equipos inalmbricos pueden ser sometidos al proceso de verificacin del cumplimiento de las polticas de seguridad al conectarse a travs de cualquier punto de acceso Wi-Fi. Los siguientes productos inalmbricos son compatibles con NAC Appliance:

Todo el contenido tiene Copyright 1992-2005 de Cisco Systems, Inc. Todos los derechos reservados. Avisos importantes y declaracin de privacidad. Pgina 2 de 6

Cualquier punto de acceso Wi-Fi 802.11, por ejemplo: - Puntos de acceso Cisco Aironet desplegados en modo autnomo o en modo de servicios de dominio inalmbrico (WDS): puntos de acceso de las series Cisco Aironet 350, 1100, 1130AG, 1200, 1230AG, 1240AG y 1300. - Puntos de acceso ligero Cisco Aironet desplegados con un controlador de LAN inalmbrica de Cisco (Puntos de acceso de las series Cisco Aironet 1000, 1130AG, 1200*, 1230AG, 1240AG y 1500 y controladores de LAN inalmbrica de las series Cisco 2000, 4100 4400, adems del Mdulo de servicios inalmbricos (WiSM) de la serie Cisco Catalyst 6500 y el Mdulo de controlador de LAN inalmbrica de Cisco para routers de servicios integrados). Los puntos de acceso ligero Cisco Aironet se configuran para implementar Clean Access mediante una interfaz web del controlador de LAN inalmbrica. Cualquier dispositivo cliente Wi-Fi 802.11, por ejemplo: - Dispositivos clientes Cisco Aironet - Dispositivos clientes compatibles con Cisco Estructura NAC La Estructura NAC es una solucin tecnolgica basada en arquitectura que integra la iniciativa de la industria impulsada por Cisco Systems y utiliza la infraestructura de la red y el software de terceros para asegurar el cumplimiento de las polticas de seguridad en todos los puntos terminales. Integra y aumenta el valor de las inversiones realizadas en la red de Cisco, tecnologa de antivirus y dems software de seguridad y administracin. La Estructura NAC permite que los dispositivos de la red de Cisco, como routers y switches, apliquen privilegios de acceso cuando un dispositivo de punto terminal intenta acceder a una red administrada. Esta decisin puede basarse en la informacin sobre el dispositivo de punto terminal como el estado actual de su software, el del antivirus y el nivel de parches del sistema operativo. La Estructura NAC permite denegar el acceso de dispositivos no conformes, colocarlos en una zona de cuarentena o restringir su acceso a recursos informticos. La Estructura NAC asegura el cumplimiento de las polticas de seguridad por parte de los dispositivos de redes WLAN en el punto de acceso cuando los clientes WLAN intentan acceder a la red. Los puntos de acceso WLAN implementan las polticas de NAC mediante la asignacin de una VLAN, en tanto que un servidor RADIUS** asigna a los clientes WLAN no conformes a una VLAN/grupo de movilidad de cuarentena o correccin en el punto de acceso cuando se trata de puntos de acceso autnomo (Figura 2) o en el controlador de LAN inalmbrica cuando se trata de puntos de acceso ligero (Figura 3). Figura 2. Puntos de acceso Cisco Aironet desplegados en el modo autnomo

802.1X Hosts que intentan acceder a la red

Dispositivo de acceso a la red

Seleccione un dispositivo WDS: WLSM Cisco Catalyst o un AP Aironet Asignacin de VLAN dinmica

Servidor ACS de Cisco HCAP Servidor RADIUS

Servidor de tercero

Punto de acceso (AP) autnomo Cisco Aironet

* Puntos de acceso de la serie Cisco Aironet 1200 que contienen radios 802.11g (AIR-MP21G-x-K9) o de segunda generacin 802.11a (AIRRM21A-x-K9 o AIR-RM22A-x-K9) ** Necesita el servidor de control de acceso seguro (ACS) de Cisco versin 4.0 o posterior

Todo el contenido tiene Copyright 1992-2005 de Cisco Systems, Inc. Todos los derechos reservados. Avisos importantes y declaracin de privacidad. Pgina 3 de 6

Figura 3. Puntos de acceso ligero Cisco Aironet

Hosts que intentan acceder a la red

802.1X

Dispositivo de acceso a la red

Controlador de red inalmbrica de Cisco Asignacin de VLAN dinmica

Servidor ACS de Cisco

HCAP Servidor RADIUS

Servidor de tercero

Punto de acceso ligero Cisco Aironet

Los siguientes productos inalmbricos son compatibles con la Estructura NAC: Puntos de acceso Cisco Aironet desplegados en el modo autnomo o en el modo WDS: puntos de acceso de las series Cisco Aironet 1100, 1130AG, 1200, 1230AG, 1240AG y 1300 que ejecutan el software Cisco IOS versin 12.3(7)JA o posterior Puntos de acceso ligero Cisco Aironet desplegados con un controlador de LAN inalmbrica de Cisco (puntos de acceso de las series Cisco Aironet 1000, 1130AG, 1200***, 1230AG, 1240AG y 1500, y controladores de LAN inalmbrica de las series Cisco 2000, 4100 4400 adems del mdulo WiSM de la serie Cisco Catalyst 6500 y el mdulo de controlador de LAN inalmbrica de Cisco para routers de servicios integrados) que ejecutan el software de la Red inalmbrica unificada de Cisco, versin 3.1 o posterior Mdulo de servicios de LAN inalmbrica (WLSM) de la serie Cisco Catalyst 6500 desplegado como dispositivo WDS que ejecuta el software Cisco IOS versin 1.4.1 o posterior Cualquier dispositivo cliente Wi-Fi 802.11 con suplicante IEEE 802.1X que admita NAC. (Nota: El suplicante provisto por Cisco slo sirve para el adaptador Ethernet y no para el adaptador WLAN) - Dispositivo cliente Cisco Aironet con suplicante NAC de cliente Funk Odyssey o Meeting House AEGIS - Dispositivo cliente Wi-Fi de proveedores de suplicantes NAC como el cliente Funk Odyssey o Meeting House AEGIS - Dispositivos clientes compatibles con Cisco que ejecutan la versin 4.0 o posterior. (La versin 4.0 incluye el suplicante NAC necesario.) RESUMEN Las invasiones de virus y gusanos continan alterando las actividades de las empresas, provocando interrupciones en la red y demandando continuamente el uso de parches. NAC permite a las organizaciones atenuar este riesgo al impedir que los hosts vulnerables obtengan y mantengan el acceso normal a la red. NAC ayuda a garantizar que todos los hosts cumplan las ms recientes polticas de seguridad de la empresa en materia de antivirus, software de seguridad y parches del sistema operativo antes de acceder a la red. Es posible aislar los hosts vulnerables y no conformes, y restringir su acceso a la red hasta que cuenten con los parches adecuados y la proteccin necesaria, con lo cual se evita que sean un blanco fcil (o foco) de infecciones de virus y gusanos. NAC es til para cualquier organizacin que desea limitar los daos que pueden causar las amenazas emergentes a la seguridad, como los virus, gusanos y spyware. Asimismo, es til para las organizaciones que tienen intencin de restringir el acceso a sus entornos slo a los recursos aprobados que cumplen las polticas de seguridad, o bien para aquellas organizaciones que necesitan auditar y supervisar el acceso a todos los puntos terminales en el entorno conectado en red. NAC beneficia a todas las empresas de envergadura, en particular aqullas que tienen dificultades para administrar el cumplimiento de las polticas de seguridad de equipos de escritorio y servidores, incluidos los sistemas de contratistas y partners comerciales. Por las mismas razones, NAC es una solucin que tambin beneficia a las organizaciones ms pequeas. Prcticamente todos los sectores, como por ejemplo el sector financiero, de servicios mdicos, gubernamental y de manufactura, pueden beneficiarse con la solucin NAC. Para lograr una completa cobertura de la red, NAC se implementa en todos los mtodos de acceso que los hosts utilizan para conectarse a la red, incluidas las redes LAN inalmbricas. *** Puntos de acceso de la serie Cisco Aironet 1200 que contienen radios 802.11g (AIR-MP21G-x-K9) o de segunda generacin 802.11a (AIRRM21A-x-K9 o AIR-RM22A-x-K9)

Todo el contenido tiene Copyright 1992-2005 de Cisco Systems, Inc. Todos los derechos reservados. Avisos importantes y declaracin de privacidad. Pgina 4 de 6

PARA OBTENER MS INFORMACIN Si desea obtener informacin adicional, comunquese con un representante de venta de Cisco o visite alguna de nuestras oficinas de las que se indican a continuacin. Si desea obtener ms informacin sobre NAC de Cisco, visite: http:// www.cisco.com /go/nac Si desea obtener ms informacin sobre los productos Cisco Aironet, visite: http:// www.cisco.com /go/aironet Si desea obtener ms informacin sobre la Red inalmbrica unificada de Cisco, visite: http:// www.cisco.com /go/unifiedwireless

Todo el contenido tiene Copyright 1992-2005 de Cisco Systems, Inc. Todos los derechos reservados. Avisos importantes y declaracin de privacidad. Pgina 5 de 6

PARA OBTENER MAS INFORMACION

Cisco Systems Argentina / Bolivia / Paraguay y Uruguay Ing. Butty 240 - piso 17 - Capital Federal. (C1001ABF) - Argentina Argentina: 0810-444-24726 Paraguay / Uruguay / Bolivia +54-11-41321100 Ext. 0115 www.cisco.com.ar Cisco Systems Brasil Centro Empresarial Naes Unidas - CENU Av. das Naes Unidas, 12901 - 26 e 18 andares Torre Oeste So Paulo - SP - Cep: 04578-000 0800 702 4726 www.cisco.com/br Cisco Systems Chile Edificio World Trade Center, Torre Costanera Av. Nva. Tajamar 555 Santiago - Chile. 800 52 2000 www.cisco.com/cl Cisco Systems Colombia Carrera 7 No. 71-21. Torre A. Piso 17 Bogot, Colombia. 018009154303 Ext. 7182506 www.cisco.com/co Cisco Systems Costa Rica Parque Empresarial Forum, Edificio C, Segundo Piso San Jose, Costa Rica. 08000120118 ext 7182653 www.cisco.com/cr Cisco Systems Ecuador 18776852773 Ext. 7182506 Cisco Systems Panam Edificio World Trade Center Piso 17, Of 1701 Area Comercial, Marbella Panam 001-800-507-1286 Ext. 7182653 http://www.cisco.com/pa Cisco Systems Mxico Paseo de Tamarindos 400A, Piso 30 Bosques de las Lomas, Mxico. 001-800-667-0832 Mexico North Ext. 7186297 Mexico DF Ext 7186234 Mexico West Ext 7186235 Mexico South Ext 7182642 www.cisco.com/mx Cisco Systems Per Av. Victor Andrs Belaunde 147, Va Principal 123 Edificio Real Uno, piso 13 San Isidro, Per. +511 215-5117 www.cisco.com/pe Cisco Systems Puerto Rico 268 Ave. Munoz Rivera, Hato Rey Tower Suite 2300 Hato Rey, PR 00918 Puerto Rico. 1-800-493-9697 Ext 7182507 Bermuda 1-877-841-6599 Ext 6214 Rep. Dominicana 1-888-156-1464 Ext 6214 www.cisco.com/pr Cisco Systems Venezuela Av. La Estancia, Centro Banaven, Torre C, piso 7. Chuao. 0-800-100-4767 ext. 7182506/ 7182649 http://www.cisco.com/ve US Toll free 1-800-667-0832 Phone USA: 1-800-493-9697

Cisco Systems cuenta con ms de 200 oficinas en distintos paises y regiones. Direcciones, telfonos y nmeros de fax pueden ser encontrados en el siguiente site: www.cisco.com/go/offices
Alemania Arabia Saudita Argentina Australia Austria Blgica Brasil Bulgaria Canad Chile China PRC Colombia Corea Costa Rica Croacia Dinamarca Dubai, UAE Escocia Eslovaquia Eslovenia Espaa Estados Unidos Filipinas Finlandia Francia Grecia Hong Kong SAR Hungra India Indonesia Irlanda Israel Italia Japn Luxemburgo Malasia Mxico Nueva Zelanda Noruega Pases Bajos Per Polonia Portugal Puerto Rico Reino Unido Repblica Checa Rumania Rusia Singapur Sudfrica Suecia Suiza Tailandia Taiwn Turqua Ucrania Venezuela Vietnam Zimbabwe
Todo el contenido est protegido por Copyright 1992-2006 de Cisco Systems, Inc. Todos los derechos reservados. Catalyst, Cisco, Cisco Systems y el logotipo de Cisco Systems son marcas registradas de Cisco Systems, Inc. y/o de sus afiliadas en los EE.UU. y otros pases. Todas las dems marcas comerciales mencionadas en este documento o sitio web son propiedad de sus respectivos titulares. El uso de la palabra partner no implica una relacin de asociacin entre Cisco y ninguna otra empresa. (0304R) N2/KW/LW5530 01/04