Cisco NAC Guest Server es un sistema completo de aprovisionamiento,

administración y generación de informes que proporciona acceso temporal a

la red para invitados, visitantes, contratistas, consultores o clientes.
El Cisco NAC Guest Server funciona junto con Cisco NAC Appliance, Cisco
Wireless LAN Controllers y otros dispositivos Cisco Network Enforcement,
que proporcionan el portal cautivo y el punto de cumplimiento para el
acceso de invitados.

Cisco NAC Guest Server permite a cualquier usuario con privilegios crear
fácilmente cuentas temporales de invitados y auspiciar invitados. Cisco
NAC Guest Server realiza la autenticación completa de los patrocinadores,
los usuarios que crean cuentas de invitado, y permite a los
patrocinadores proporcionar detalles de la cuenta al visitante mediante
impresión, correo electrónico o SMS. Toda la experiencia, desde la
creación de la cuenta de usuario hasta el acceso de la red de invitados,
se almacena para la auditoría y la generación de informes.

Cuando se crean cuentas de invitado, se aprovisionan dentro del

Administrador de dispositivos Cisco NAC (Administrador de acceso limpio)
o se almacenan dentro de la base de datos incorporada en el servidor de
invitado de Cisco NAC. Al utilizar la base de datos incorporada del
servidor invitado, los dispositivos de acceso a la red externos, como el
controlador de LAN inalámbrica de Cisco, pueden autenticar a los usuarios
contra el servidor invitado mediante el protocolo RADIUS (servicio de
usuario de autenticación remota).

El servidor de invitado Cisco NAC aprovisiona la cuenta de invitado por

la cantidad de tiempo especificada cuando se crea la cuenta. Al
vencimiento de la cuenta, el Servidor Invitado borra la cuenta
directamente del Administrador de dispositivos Cisco NAC o envía un
mensaje RADIUS que notifica al dispositivo de acceso a la red (NAD) la
cantidad de tiempo válido restante para la cuenta antes de que el NAD
elimine el usuario.

El Cisco NAC Guest Server proporciona una cuenta vital de acceso a la red
de invitados al consolidar todo el seguimiento de auditoría desde la
creación de la cuenta de invitado hasta el uso de la cuenta por parte de
los invitados para que los informes se puedan realizar a través de una
interfaz de administración central.

Cisco NAC Profiler

Descubrir, identificar y supervisar dinámicamente todos los puntos

finales conectados a la red dentro de una red empresarial con Cisco NAC
Profiler. Gestiona estos dispositivos de forma inteligente, en función de
las políticas de seguridad definidas por el usuario.

Puede implementar Cisco NAC Profiler, un componente central de la

solución Cisco TrustSec, ya sea como parte integral de una solución de
infraestructura 802.1x o como una solución de superposición de
dispositivos Cisco NAC.
Cuando se implementa como parte de una implementación más amplia de
Control de Admisión a la Red (NAC), Cisco NAC Profiler facilita el
despliegue y la administración de los sistemas Cisco NAC. Descubre y
realiza un seguimiento de la ubicación y el tipo de todos los puntos
finales conectados a la LAN, incluidos aquellos que no pueden
autenticarse.

Con Cisco NAC Profiler, sus administradores de TI y seguridad pueden:

Simplifique la implementación de Cisco NAC, automatizando la

identificación y autenticación del dispositivo y facilitando las tareas
administrativas
Facilite la implementación y la administración de la infraestructura
basada en Cisco ACS 802.1x o las soluciones de superposición de Cisco NAC
Recopilar información de perfiles de dispositivos de punto final y
mantener un inventario contextual en tiempo real de los dispositivos en
red
Supervise y administre las anomalías de comportamiento del
dispositivo, como el intercambio de puertos, la suplantación de
direcciones MAC y los cambios de perfil
Asegure todos los endpoints propiedad de la compañía, incluidos los
dispositivos no autenticados, como impresoras y teléfonos IP.

Cisco ® NAC Guest Server es un componente central de la solución Cisco

TrustSec ® que se puede agregar a las implementaciones inalámbricas o por
cable de Cisco NAC para integrar el acceso seguro de los invitados. Cisco
NAC Guest Server facilita la creación de cuentas de invitado para el
acceso temporal a la red al permitir que cualquier usuario interno
patrocine a un invitado y cree una cuenta de invitado de manera simple y
segura. Además, todo el proceso se registra en un solo lugar y está
disponible para informar, incluidos los detalles de la actividad de
acceso a la red.

Aplicaciones
Cisco NAC Guest Server es ideal para organizaciones que pueden necesitar
proporcionar acceso a Internet a clientes y socios visitantes. Las
demandas de productividad y los avances en movilidad han transformado a
las empresas en puntos de acceso importantes. El Cisco NAC Guest Server
agiliza enormemente el proceso de ofrecer cuentas de acceso para
invitados de una manera simple, segura y flexible.

Características y Beneficios
Cisco NAC Guest Server permite que su organización haga lo siguiente:

• Proporcionar una solución de control de acceso y confidencialidad

completa: Cisco NAC Guest Server se puede implementar con otros
componentes de Cisco TrustSec, incluidos componentes de políticas,
componentes de cumplimiento de la infraestructura, componentes de punto
final y servicios profesionales, para una solución integral de control de
acceso y confidencialidad.
• Disminuya los costos de implementación y administración: Cisco NAC
Guest Server permite a los empleados de confianza crear cuentas de
invitado de forma rápida y segura. Esto elimina la carga de recursos de
TI y el personal de la mesa de ayuda.

• Reduzca el riesgo de implementación: la automatización del

aprovisionamiento de cuenta temporal con una política fija reduce el
riesgo de error humano y permite la eliminación en el momento correcto.

• Mejore la productividad para los huéspedes: la racionalización de la

creación de cuentas de invitados alienta a los huéspedes a usar la red y
mejora la productividad.

• Mejorar la satisfacción de los clientes y los socios: proporcionar

acceso de invitados para los visitantes permite una mayor colaboración.
Tanto los clientes como los socios aprecian esta capacidad.

Autenticación del patrocinador

Cisco NAC Guest Server ofrece la posibilidad de que los patrocinadores,
empleados de la empresa de acogida, creen cuentas de invitado. Los
patrocinadores se autentican contra la interfaz web en el servidor
invitado y se les otorgan permisos según su función. El administrador
decide qué políticas se deben aplicar contra cada rol de usuario.
La autenticación del patrocinador se realiza contra una base de datos de
cuenta de usuario interna definida por el administrador o contra la
implementación de Active Directory de la organización. Los patrocinadores
se asignan a un rol basado en los grupos a los que pertenecen en Active
Directory, o se asignan a un usuario en una base de datos local que
patrocina al invitado. Los patrocinadores pueden recibir permisos basados
en roles para crear cuentas, editar cuentas, suspender cuentas y ejecutar
informes. Estos permisos se pueden otorgar solo a las cuentas que crearon
o a todas las cuentas, o no se otorgaron en absoluto.

Creación de cuenta de invitado

Cisco NAC Guest Server crea cuentas basadas en la política establecida
para nombres de usuario y contraseñas. Los nombres de usuario se pueden
basar en la dirección de correo electrónico del invitado, nombre o
apellido, o un nombre de usuario completamente aleatorio basado en la
longitud y la complejidad que establece el administrador. Las contraseñas
también se pueden crear en función de la longitud y la complejidad que
exigen las políticas de autenticación corporativa.

Aprovisionamiento de cuenta
Las cuentas se aprovisionan en la base de datos integrada en el Cisco NAC
Guest Server. Desde aquí, pueden aprovisionarse y administrarse
automáticamente en Cisco NAC Manager, o pueden ser autenticados por los
controladores LAN inalámbricos de Cisco.

Detalles de cuenta de usuario

Es posible pasar los detalles de la cuenta de usuario a un invitado
utilizando varios métodos, todos ellos completamente configurables por el
administrador. Los detalles de acceso pueden imprimirse como una copia
impresa para entregar a los invitados, enviarse por correo electrónico
antes de su llegada o transmitirse por mensaje de texto a los teléfonos
móviles de los huéspedes. Esto permite un nivel adicional de seguridad al
crear una pista de auditoría de a quién se le proporcionaron los
detalles.
Independientemente de cómo se den los detalles de acceso, el contenido es
totalmente personalizable. Los administradores pueden agregar detalles
tales como instrucciones adicionales o una política de uso aceptable para
que los invitados lo reconozcan.

Estrecha integración con la solución Cisco NAC completa

Cisco NAC Guest Server se integra con Cisco NAC Server and Manager a
través de su API. De esta forma, las cuentas de invitado se pueden
controlar directamente en el servidor invitado, incluida la creación,
edición, suspensión y eliminación de cuentas. El Cisco NAC Guest Server
luego controla estas cuentas en el Cisco NAC Manager a través de su API.
Además, el servidor invitado recibe información contable de la solución
NAC para permitir el informe completo de toda la experiencia.

El ISE (Identity Service Engine) es el producto que Cisco lanzó tanto para reemplazar su
solución de ACS (Access Control System) como su solución de NAC (Network Access
Control).

ISE es un servidor de políticas que nos permite gestionar el acceso a una red corporativa a
todo tipo de usuarios que quieren ingresar a la red con una gran variedad de dispositivos
desde laptops o equipos de escritorio hasta ipads y smartphones. Es decir los dispositivos
pueden ser alámbricos, inalámbricos e inclusive acceso remoto a través de VPN.

El ISE hace las funciones análogas a las de un servicio de vigilancia corporativa. Es como
el policía que está a la entrada de la organización y revisa el gafete de todo aquel personal o
visitante que quiere ingresar a nuestras instalaciones. En este gafete puede venir codificada
información como por ejemplo a qué áreas tiene permitido el acceso y durante cuánto
tiempo, además de decirnos qué tipo de visitante es: empleado, directivo, contratista,
visitante, etc. Adicionalmente si existe un tipo de política corporativa respecto a la
vestimenta, el guardia corroborará que se cumpla esta política antes de permitir el ingreso.

ISE es una solución de control de políticas centralizada que por medio de la autenticación
vía radius de los usuarios y de la integración con directorios de usuarios tipo LDAP,
concede el ingreso a la red sólo a usuarios autorizados y permite aplicar políticas selectivas
por grupos para autorizar el uso de los servicios de red adecuados al grupo al que el usuario
pertenece. Es decir, a un empleado de Ingeniería le daría acceso a los servidores donde
residen las aplicaciones de Ingeniería pero no a las bases de datos de finanzas, por ejemplo.

Esta solución también permite el poder identificar el tipo de dispositivo que utiliza el
usuario para ingresar a la red (se conoce como perfilamiento) y de esta forma aplicarle una
política acorde a ello, permitiendo el uso de dispositivos personales de los empleados
brindándoles una mayor satisfacción laboral. Esta iniciativa se conoce como BYOD.

Además se puede validar que previamente a conceder el acceso al usuario el dispositivo que
utiliza para ingresar cumpla con ciertas políticas de seguridad y buenas prácticas, como
últimos parches de sistema operativo y última versión de antivirus, o inclusive que tenga
instalada alguna aplicación en particular. A esto se le conoce como validación de postura.

Otro de los casos de uso de ISE es el manejo de invitados, donde se tienen diferentes
formas de gestionar el acceso a la red de este tipo de usuarios. Se pueden habilitar zonas en
la empresa tipo hotspot donde los invitados se conectan a la red wifi solo aceptando una
política de uso, y de esta forma tienen acceso a Internet. Otra forma es mediante sponsors
internos que tienen que autorizar previamente el ingreso a la red de sus invitados, y una vez
haciendo esto se les mandan sus credenciales a estos usuarios por varios medios (correo,
impresos, mensaje).

En resumen, ISE le permite a mi organización tener una visibilidad y control mejorado

sobre quién, cómo, cuándo y dónde ingresa a mi red corporativa, permitiendo disminuir el
riesgo en el mal uso de los recursos de red y permitiendo además identificar rápidamente la
ubicación de algún usuario en caso de algún incidente de seguridad.