Современный арсенал средств защиты корпоративных сетей велик и разнообразен: межсетевые экраны нового поколения (NGFW), средства защиты веб-приложений (WAF), системы защиты от DDoS-атак, песочницы (Sandbox) и анализаторы сетевого трафика (NTA). Однако существует целый класс решений, которому, на наш взгляд, уделяется незаслуженно мало внимания, — это системы контроля и управления доступом к сети или NAC (Network Access Control). Данная статья призвана исправить этот пробел. Мы поговорим не о конкретных продуктах, а о самой идее контроля доступа в сеть: для чего это нужно, как работает и на какие ключевые аспекты стоит обратить внимание при выборе NAC-решения.
Почему важен контроль доступа к сети?
Актуальность контроля доступа к сети напрямую связана с кардинальными изменениями в корпоративных сетях за последние несколько лет. Устаревшая концепция «защищенного периметра», где все внутреннее считается доверенным, а внешнее — враждебным, больше не работает. Реальность диктует новые правила.
Гибридная работа стала нормой. Сотрудники подключаются к корпоративным ресурсам как из офиса, так и из дома и вообще из любой точки мира.
Доступ для сторонних лиц — обычная практика. В сеть необходимо пускать гостей, подрядчиков, партнеров, предоставляя им строго ограниченные права.
Нашествие IoT. Помимо привычных принтеров и IP-телефонов, в сеть массово подключаются камеры, датчики, контроллеры СКУД, «умные» устройства — часто с минимальным уровнем встроенной безопасности или с ее полным отсутствием.
Shadow IT и неизвестные устройства. Администраторы зачастую не представляют полной картины подключений. Сотрудник может незаметно подключить неавторизованную точку доступа, создав тем самым бэкдор в корпоративную сеть.
Таким образом, задача обеспечения прозрачности и контроля над всем, что подключено к корпоративной сети, сегодня как никогда актуальна. Именно ее и призваны решать системы NAC.
Устройства и пользователи подключаются к сети тремя основными способами: по проводу, без проводов по Wi-Fi и удаленно через VPN. Для контроля первых двух типов подключений существует стандарт IEEE 802.1X, который так и называется — Port-Based Network Access Control. Именно из-за названия его часто ошибочно отождествляют с NAC в целом, но это не так. Давайте разберемся почему.
Контроль доступа с 802.1X
IEEE 802.1X — это стандарт, который используется для аутентификации и авторизации пользователей и рабочих станций при подключении к сети. Он позволяет провести аутентификацию и авторизацию устройства или пользователя перед тем, как предоставить доступ в сеть.
В проводной сети, где нет 802.1Х процесс подключения к сети, как правило, выглядит так:
Пользователь включает компьютер.
Загружается ОС, активируется драйвер сетевой карты.
Если сетевой кабель подключен, то сетевая карта получает ip-адрес по DHCP, или назначает статический ip-адрес и фактически устройство уже подключено к сети.
То есть доступ в сеть предоставляется по факту подключения кабеля к сетевому коммутатору.
В 802.1Х все совершенно не так. В процессе подключения устройства к сети участвуют три ключевых компонента: супликант (клиентское устройство), аутентификатор (коммутатор или точка доступа) и сервер аутентификации (обычно RADIUS-сервер).
Процесс аутентификации начинается с подключения устройства к порту коммутатора. Коммутатор немедленно переводит порт в состояние «Неавторизован», блокируя весь трафик, кроме служебных сообщений протокола EAPoL.
Затем инициируется защищенный диалог: супликант и сервер аутентификации обмениваются данными через аутентификатор, который выступает лишь посредником.
Если RADIUS-сервер подтвердит легитимность клиента, то он отправит коммутатору команду «разрешить доступ» и укажет параметры авторизации — например, номер VLAN для порта. Получив команду, коммутатор назначит порту указанный VLAN, и лишь после этого переведет порт в состояние «авторизован» и устройство сможет получить IP-адрес и доступ к сети.
Таким образом, суть 802.1X — «сначала аутентифицируем — потом пускаем». Доступ к сети появляется строго после успешной аутентификации, что создает фундамент для контроля доступа на уровне сети.
В беспроводных сетях все происходит плюс-минус так же. Единственное отличие — среда передачи данных (радиоэфир вместо кабеля).
Важно понимать, что использование 802.1Х не дает 100% гарантии от несанкционированного доступа в сеть. Существуют способы обхода 802.1Х. Поэтому критически важно не просто внедрить 802.1X, а использовать самые стойкие методы EAP, такие как EAP-TLS со взаимной аутентификацией сервера и клиента.
MAB: аутентификация для «немых» устройств
К сожалению, многие устройства, например, принтеры, видеокамеры, IoT-датчики, не поддерживают 802.1X. Для них обычно применяется аутентификация по MAC-адресу — MAC Authentication Bypass (MAB). В этом случае коммутатор отправляет MAC-адрес устройства на RADIUS-сервер в качестве идентификатора клиента. Если этот MAC-адрес присутствует в базе RADIUS-сервера, то он возвращает параметры авторизации. Более простой вариант — настроить на порту коммутатора функцию port-security, то есть прямо в настройках порта указать, с каким именно MAC-адресом разрешено подключаться.
Бесплатный NAC: стандартная реализация на 802.1X
Технически для внедрения NAC на основе 802.1X вам потребуется:
супликант: встроен в любую современную ОС;
аутентификатор: поддержка 802.1X есть в большинстве управляемых коммутаторов;
сервер аутентификации: бесплатный FreeRADIUS или Windows NPS.
Настроив эту связку, вы уже получите контроль доступа к сети. Возникает закономерный вопрос: зачем тогда платить за отдельное NAC-решение, если можно использовать бесплатное ПО?
Почему NAC-решение — это больше, чем 802.1Х
Безусловно, любое NAC-решение включает в себя функциональность RADIUS-сервера, однако его главная ценность заключается в дополнительных возможностях, которые выходят далеко за рамки стандарта 802.1Х.
Контекст безопасности и соответствие политикам (Posturing/Compliance)
Первое преимущество — это то, что NAC-решение может дополнительно принимать во внимание контекст безопасности (Security Context). Этот контекст безопасности может включать:
Оценку «здоровья» устройства: проверку его соответствия корпоративным политикам безопасности, например, является ли оно доменным, установлено ли антивирусное ПО, обновлена ли операционная система, зашифрованы ли локальные диски и прочее.
Учет дополнительных факторов: геолокация устройства при доступе через VPN или время подключения — рабочее время или выходной день.
Эта информация о состоянии, как правило, собирается специальным NAC-агентом, который устанавливается на устройство. Данные о состоянии собираются не только при первоначальном решении о предоставлении доступа в сеть. NAC-агент мониторит состояние в режиме реального времени и в случае изменения состояния, например, пользователь отключил антивирусное ПО, то NAC-агент сообщит об этом NAC-серверу. Сервер, в свою очередь, может «налету», используя расширение RADIUS CoA (Change of Authorization), дать команду коммутатору изменить параметры авторизации для этого устройства, например, перевести его порт в другой VLAN.
Профилирование устройств (Profiling)
Еще одна важная функция NAC-сервера — это профилирование устройств, которые аутентифицируются в сети по МАС-адресу. Аутентификация только по МАС-адресу не является достаточно надежной, так как злоумышленнику могут легко его подделать.
Профилирование помогает собрать дополнительный контекст с устройств, не поддерживающих 802.1X и установку NAC-агента, и может включать:
Анализ информации из DHCP-запросов: например, определение производителя и модели устройства.
Активное сканирование по SNMP: для получения подробной информации об устройстве.
Регулярный мониторинг: такие проверки проводятся постоянно, что усложняет обход защиты.
Хорошо настроенное профилирование не так-то просто обойти. Но важно понимать, что профилирование — это не замена аутентификации, а лишь дополнительный инструмент для классификации устройств. Сначала устройство определяется к определенному классу, например, как «сетевой принтер», а затем к нему применяются соответствующие политики авторизации.
Гостевой доступ и портал самообслуживания
К корпоративной сети могут подключаться не только служебные, но и личные устройства сотрудников (BYOD, Bring Your Own Device), а также гости, которым требуется доступ в интернет или к внутренним ресурсам. Очевидно, что таким устройствам не требуется и не должен предоставляться такой же уровень доступа, как корпоративным ноутбукам, а выпускать для них сертификаты и настраивать аутентификацию по 802.1X непрактично.
Для решения этой задачи в хорошем NAC должен быть гостевой веб-портал. На таком портале можно организовать самостоятельную регистрацию пользователей, например, по электронной почте, СМС или через портал «Госуслуг», и после подтверждения предоставить им доступ в сеть на определенных, ограниченных условиях.
Собирать полный контекст безопасности с таких клиентов, конечно, не удастся, но какую-то базовую информацию получить можно — например, определить операционную систему и версию браузера через анализ User-Agent. При этом важно понимать, что пользователь может легко изменить эти данные, поэтому их надежность ограничена.
Интеграция с VPN
Еще одна немаловажная часть подключений к корпоративной сети — это удаленные подключения через VPN. Сегодня — это актуальная тема, особенно после массового перехода на гибридную работу из-за пандемии COVID-19. Поскольку такой доступ априори менее безопасен, чем подключение из локальной сети, хороший NAC должен уметь интегрироваться с VPN-шлюзами. Это нужно, чтобы распространить проверку состояния устройства и его контекста безопасности на удаленных пользователей. Вдруг сотрудник подключается с домашнего ПК без антивируса или это делает подрядчик с непроверенным устройством? Встроенные проверки в самом VPN-клиенте, как правило, работают лишь в момент подключения. NAC же позволяет мониторить состояние постоянно и в случае «заболевания» клиента через API отдать команду VPN-серверу на отключение или ограничение доступа «нездорового» клиента к сети, чтобы он не «заразил» остальные устройства.
Централизованное управление доступом администраторов (TACACS+)
Поскольку NAC-сервер по сути является RADIUS-сервером, а протокол RADIUS универсален, его можно использовать для аутентификации не только пользователей сети, но и администраторов различного оборудования и прикладных систем. Активное сетевое оборудование, такое как коммутаторы и маршрутизаторы, в большинстве случаев действительно поддерживает аутентификацию по RADIUS. Однако для администрирования гораздо чаще применяется протокол TACACS+, который поддерживается практически любым сетевым оборудованием.
Ключевое отличие TACACS+ от RADIUS заключается в возможности авторизации выполняемых администратором команд. Если RADIUS позволяет лишь аутентифицировать администратора и вести журнал его действий, то с TACACS+ можно дополнительно проверять, имеет ли пользователь право на выполнение каждой конкретной команды или нет. Именно поэтому наличие встроенного сервера TACACS+ — значительное преимущество NAC-решения.
Нефункциональные аспекты выбора: надежность, интеграции и стоимость
Помимо функциональных возможностей, при выборе NAC-решения также необходимо уделить внимание важным нефункциональным требованиям: отказоустойчивости, интеграциям и модели лицензирования.
NAC-сервер является критически важным элементом инфраструктуры. Его выход из строя может заблокировать доступ в сеть для сотен или тысяч пользователей, что может парализовать работу предприятия. Поэтому возможность работы в отказоустойчивой (кластерной) конфигурации является обязательным требованием для хорошего NAC-решения.
Наряду с интеграцией VPN, про которую мы говорили выше, важна возможность подключения NAC к другим системам. Как минимум необходима интеграция с SIEM-платформой для централизованного сбора и анализа событий безопасности.
Наконец, требуется тщательно оценить стоимость владения. Поскольку функциональность NAC несравнимо шире возможностей базового RADIUS-сервера, важно детально изучить схему лицензирования: состав базового пакета функций, список платных опций, тип лицензий (постоянные или подписочные), а также последствия истечения срока их действия.
Заключение
Контроль доступа к сети — это не роскошь, а необходимость в современной ИТ-среде с размытым периметром. NAC-решения эволюционировали от простых реализаций 802.1X до комплексных систем, обеспечивающих глубокий контекст, профилирование, гостевой доступ и интеграцию со всей экосистемой безопасности.
Выбирая NAC-решение, важно смотреть на его способность гибко интегрироваться с вашей инфраструктурой и предоставлять реальную видимость всего, что происходит в вашей сети. Только такой подход позволяет эффективно противодействовать как внешним угрозам, так и внутренним рискам.
Автор:
Алексей Брыляков, менеджер по развитию решений
