• Tweet

Dos huecos en la arquitectura de NAC (Network Admisión Control) de Sistemas Cisco Inc. permiten a PCs no autorizadas ser vistos como dispositivos legítimos en una red, de acuerdo a investigadores de seguridad alemanes.

Una herramienta que toma ventaja de los huecos fue demostrada el mes pasado en la conferencia de seguridad Black Hat en Ámsterdam por Michael Thumann, oficial en jefe de seguridad, y Dror-John Roecher, consultor de seguridad para ERNW GmbH, una empresa de pruebas de penetración establecida en Alemania.

La tecnología NAC permite a los encargados de IT establecer reglas que prevengan a un dispositivo cliente de acceder a una red a menos que el dispositivo se conforme con políticas específicas en software antivirus, firewalls, parches de software y otras ediciones, dijo Cisco.

La arquitectura NAC utiliza tecnología Cisco Trust Agent, la cual implementa en cada cliente, para determinar si un dispositivo se conforma con establecer las políticas. Basado en la búsqueda del agente, un servidor de manejo de políticas cualquiera deja el dispositivo de registro en la red o coloca este dentro de la zona de cuarentena.

Roecher dice que una falla de “diseño fundamental” hace posible truquear el servidor de políticas para permitir a cualquier dispositivo acceder a la red. “Básicamente, este permite a cualquiera ir hacia delante y decir, ‘Aquí están mis credenciales, este es mi nivel de service pack, esta es la lista de parches instalados, mi software antivirus esta actualizado,’”.

Roecher dijo que el segundo hueco previene al servidor de políticas de confirmar si la información que este consigue del agente confiable es exacta. Por lo tanto, spoofear información fácilmente puede ser enviado al servidor de políticas.

“Aquí hay una manera de persuadir al Trust Agent instalado para que no reporte que esta actualmente en el sistema pero para reportar que lo queremos. Se puede hacer spoof de las credenciales y obtener acceso a la red” con un sistema que esta completamente fuera de conformidad.

Cisco no respondió a la solicitud de comentario. Pero en una nota colocada en su sitio Web, la compañía reconoció que es posible hacer spoof de información perteneciente al estado del dispositivo al simular comunicación entre Cisco Trust Agent y esta interacción con dispositivos aplicación de red.

Alan Shimel, oficial de seguridad en StillSecure Inc. cuyos productos compiten con NAC, dice que los problemas citados en la conferencia Black Hat pueden ser causadazos por el protocolo propietario de autenticación. “Ellos no tienen un mecanismo para aceptar certificados” para autenticar dispositivos.

Shimel también noto que cualquier agente de software que viva en una máquina, prueba la máquina y reporta al servidor puede ser falsificada.

El problema de seguridad de NAC también ilumina la importancia de utilizar “postadmision” controles de red a lo largo con “preadmission” verificados como NAC, dice Jeff Prince, Oficial en jefe de tecnología en Consentir Netwoks Inc., un proveedor de seguridad en Milpitas, California.

“NAC es una primer línea de defensa importante, pero este no es muy útil” sin maneras de controlar las acciones de un usuario después de obtener acceso.”