Система управления доступом к сети (Network Access Control, NAC) выполняет авторизацию конечных устройств и обеспечивает доступ к ресурсам в соответствии с правилами (на основе идентификации пользователя и/или устройства). В этом контексте важен контроль критичных для безопасности параметров, а также места и времени подключения к инфраструктуре. Существует несколько подходов к реализации, которые следует принять во внимание при введении системы NAC.

Важные для доступа к сети параметры определяются в результате исследования, проводимого перед допуском устройства в сеть (Pre-Connect Assessment), а для контроля во время эксплуатации необходима повторная проверка (Post-Connect Assessment). Обязательной составляющей любого проекта NAC является процесс приведения в соответствие с требованиями безопасности, т.е. так называемой ремедиации — он должен обеспечиваться как техническими, так и организационными мерами.

Эта технология может применяться очень широко, поэтому пользователь должен иметь четкое представление о целях внедрения NAC, что крайне важно и для выбора решения NAC, поскольку предложения производителей существенно различаются (далее мы рассмотрим их подробнее).

СФЕРЫ ПРИМЕНЕНИЯ NAC

Сначала многие пользователи стараются просто разобраться в том, кто (и при помощи какого оборудования) подключается к их инфраструктуре. Некоторые решения NAC автоматически предоставляют функции распознавания устройств и их отслеживания (Asset Discovery и Tracking). Степень детализации информации и возможности обращения к этим данным неодинаковы у разных производителей. Обычно такие функции необходимы, чтобы оценить, что произойдет, если перевести решение NAC в «строгий» режим. Исходя из полученных сведений, предприятия часто проводят разделение между гостями (консультантами, партнерами по бизнесу и т. д.) и собственными сотрудниками с администрируемыми ПК и ноутбуками, а также вспомогательными устройствами — телефонами VoIP (Voice over IP), камерами наблюдения и прочими компонентами инфраструктуры управления зданием.

Еще одна сфера применения — проверка со-ответствия конечных устройств предопределенным требованиям. В прошлом технологии проверки (Pre-Connect Assessment) были в фокусе внимания органов стандартизации и со стороны участника рынка, к примеру, при полемике Microsoft с Trusted Computing Group (TCG). Поскольку Microsoft объявила о своей поддержке TCG, в отношении этого аспекта NAC бурных дебатов больше не возникает. Однако многие разработчики программного обеспечения предлагают собственные решения.

ФУНКЦИИ NAC

Для того чтобы понять, кто из поставщиков различных решений наиболее вам подходит, надо сопоставить предлагаемые ими функции NAC с точки зрения поставленных целей и приоритетов. Можно провести следующее общее разделение (см. Рисунок 1):

Рисунок 1. Функционал решения NAC простирается от распознавания устройств до исправления, то есть, восстановления состояния, которое соответствовало бы требованиям безопасности.

  • обнаружение (Detect) — насколько надежно решение обнаруживает новые конечные устройства в сети и в каком месте инфраструктуры (чем ближе к точке доступа, тем лучше)?
  • аутентификация (Authenticate) — как осуществляется аутентификация? Какие методы доступны и какие из них следует применять при существующих типах устройств и группах пользователей?
  • оценка (Assess) — каким образом решение осуществляет проверку устройств? Масштабируемы ли эти методы? Пригодны ли они для существующей инфраструктуры конечных устройств?
  • авторизация (Authorize) и исполнение (Enforce) — какова степень детализации и где осуществляется исполнение правил (Policy Enforcement)? Насколько легко его обойти?
  • коррекция (Remediate) — какие опции исправления существуют? Возможно ли автоматическое исправление? Какие способы взаимодействия с пользователем предоставляет решение?
  • наблюдение (Monitor) и ограничение (Contain) — какие варианты непрерывной проверки конечных устройств и их поведения (Post-Connect Assessment) предлагаются? Существует ли возможность инициировать изменения правил или процессы коррекции?

ОПЦИИ АУТЕНТИФИКАЦИИ

Как правило, «обнаружение» реализуется путем распознавания нового MAC- или IP-адреса, у устройств VPN — по факту построение туннеля, у систем на базе DHCP — по запросу DHCP со стороны нового конечного устройства. Затем (в большинстве решений) осуществляется аутентификация.

Здесь, как и на следующем шаге (при «оценке»), требуется высокая гибкость: диверсификация конечных устройств усиливается в результате реализации проектов конвергенции, где в качестве протокола для любого вида обмена данных используется IP. Как следствие, перед отделом ИТ ставится задача поддержки подходящих технологий для различных видов устройств и классов пользователей.

Автоматическое предоставление всех опций как нельзя более уместно, поскольку при переездах не придется предпринимать никаких дополнительных действий по конфигурации. Если одно и то же конечное устройство аутентифицируется несколько раз (к примеру, сначала по MAC-адресу, затем посредством 802.1X), то в таком случае должен существовать внешний механизм определения старшинства (Precedence), позволяющий применять правильную конфигурацию (авторизация и оценка).

При необходимости введения аутентификации предприятию сначала предстоит выбрать ее вид и способ. Здесь все зависит от конечной системы:

  • решение на базе 802.1X для собственных ПК и ноутбуков (в будущем — частично и для IP-телефонов);
  • MAC-адрес для принтеров, IP-телефонов и других сетевых устройств (камеры безопасности, управление производством, сенсоры и т.д.);
  • портал Web для регистрации в разных вариантах (простая регистрация, с паролем, со спонсором) для гостей, консультантов, сервисных инженеров и т.д.;
  • свойства по умолчанию, к примеру, для TFTP/Bootp с целью загрузки бездисковых станций.

К этому добавляются новые возможности аутентификации, в частности, Kerberos Snooping, позволяющие быстро выполнять проекты NAC, не ожидая развертывания 802.1X, и мигрировать на эту технологию впоследствии. Используемые затем правила и авторизация должны действовать на уровне конечного устройства и порта — на каждом порту коммутатора минимум два таких устройства, как ПК и телефоны VoIP, а лучше от четырех до восьми (для мини-коммутаторов, поддержки «волокна до офиса», а также для решений с виртуальными машинами). Что касается выделенных устройств, если коммутаторы беспроводных локальных сетей (WLAN) или шлюзы виртуальных частных сетей (VPN) расширяются с помощью устройств NAC Inline Appliances, то речь идет о сотнях и тысячах устройств на один порт.

Особое внимание следует уделить правилам. Простые правила для виртуальных локальных сетей (VLAN) не обеспечивают настоящий контроль. Что произойдет, если кто-то подключит к VLAN неавторизованный сервер DHCP и зарегистрируется с годными удостоверениями? Как в случае SoftPhone отличить собственно данные от трафика VoIP? Как остановить распространение червя в пределах виртуальной локальной сети? Ответ на эти вопросы кроется в правилах, которые помимо назначения VLAN реализуют списки доступа и ограничение трафика (Rate Limiting)/классы услуг (Class of Service, CoS) вплоть до четвертого уровня и действуют в пределах VLAN.

ОПЦИИ ПРОВЕРКИ

Опции доступа можно разделить на две группы: с применением агентов и без них. Каждая из них, в свою очередь, делится следующим образом:

  • на основе постоянного агента, который, как правило, может реализовывать и другие функции, включая Microsoft Network Access Protection (NAP), решение Trusted Network Connect (TNC) от TCG, а также множество других, ведущих свое начало от персональных брандмауэров, антивирусов и продуктов для предотвращения вторжения;
  • на основе временного агента (Dissolving Agent); он либо загружается как апплет, либо устанавливается как программа до следующей перезагрузки;
  • без агента посредством сканера уязвимостей (Vulnerability Assessment, VA). На рынке представлен целый ряд таких продуктов. Решение NAC должно уметь интегрировать различные сканеры;
  • без агента за счет таких интерфейсов, как Windows Management Instrumentation (WMI) и других, которые также могут использоваться сканнерами VA;
  • без агента после соединения (Post-Connect) с возможностью контроля поведения конечной системы благодаря технологиям обнаружения вторжений на основе сигнатур и аномалий исходящего трафика конечного устройства.

В зависимости от типа устройства придется, вероятно, работать с различными технологиями.

ИСПОЛНЕНИЕ ПРАВИЛ

Выполнение может осуществляться различными способами в самых разных точках инфраструктуры. Помимо технологий проверки, это второй важный аспект, который следует учитывать при выборе решения NAC. Концептуально точка применения правил располагается между конечным устройством и защищаемыми ресурсами (см. Рисунок 2). Чем ближе она к конечным устройствам, тем надежнее защита ресурсов и тем меньшие неприятности доставит распространение червей, атак с целью вызвать отказ в обслуживании (Denial of Service) и т.д.

Рисунок 2. Концептуально точка применения правил располагается между конечным устройством и защищаемыми ресурсами. Чем ближе она к конечным устройствам, тем выше уровень безопасности.

Для точки применения правил существует несколько возможных вариантов. В варианте на базе DHCP управление доступом осуществляется путем избирательного предоставления IP-адресов сервером DHCP: в зависимости от результатов оценки и аутентификации он выдает различные IP-адреса.

Такое решение легко внедряется, но работает со статичным, самостоятельно назначаемым IP-адресом, поэтому не обеспечивает настоящего контроля доступа. Это, скорее, расширение для управления, но не решение для обеспечения безопасности.

Второй вариант функционирует на базе IPSec. В частности, в решении NAP от Microsoft соответствующая опция дополняет реализацию на базе 802.1X, что полезно в случае удаленного доступа: тогда в качестве блока исполнения правил выступает шлюз VPN, однако использование правил IPSec на конечных устройствах в локальных сетях тоже заслуживает рассмотрения и даже рекомендуется. Очевидно, это решение подходит исключительно для среды Microsoft, и его можно назвать точечным, поскольку конечные устройства становятся все разнообразнее.

ПОДХОД НА БАЗЕ КОММУТАТОРОВ

Оптимальное решение для NAC в локальных сетях — внедрение коммутаторов доступа, поддерживающих соответствующую аутентификацию посредством 802.1X и распределение правил (подход на базе коммутаторов или True Out-of-Band Appliance). В неоднородной среде с конечными устройствами, не поддерживающими 802.1X, и несколькими устройствами на один порт коммутатора требуется несколько из описанных выше механизмов аутентификации. Это справедливо также в отношении миграции и служит решающим фактором при использовании «волокна до офиса» (Fibre to the Office, FTTO). Чаще всего добавляется дополнительное внесетевое (Out-of-Band) устройство. В качестве интеллектуального посредника RADIUS оно предоставляет коммутаторам правила для каждого конечного устройства, берет на себя задачи оценки или перенаправляет запросы на аутентификацию и оценку и принимает итоговое решение по авторизации конечного устройства. При правильном внедрении можно получить полную инвентарную базу данных, содержащую сведения о конечных сетевых устройствах, включая историю статусов и настроек, а также времени и месте подключения к сети.

ПОДХОДЫ С ПРИМЕНЕНИЕМ СПЕЦИАЛИЗИРОВАННЫХ УСТРОЙСТВ

Предприятия, намеревающиеся быстро реализовать решение NAC и одновременно достичь высокого уровня безопасности, сегодня все чаще обращают внимание на подход на основе специализированных устройств. Последние представляют собой переходный вариант к решению NAC на базе коммутаторов. Так, коммутаторы доступа можно продолжать какое-то время использовать, даже если они и не поддерживают аутентификацию и механизмы правил или же поддерживают их в ограниченной мере. Этот вариант очень хорош для разнородных сред с относительно старыми коммутаторами. При выборе производителя решения проектная команда должна проанализировать, насколько легко удастся впоследствие перейти на решение на базе коммутаторов.

ПО СЕТИ И ВНЕ СЕТИ

Выделенные устройства пользуются спросом как для внутрисетевого (In-Band), так и для внесетевого (Out-of-Band) управления. Первые — в идеале они должны строиться на базе микросхем ASIC — представляют собой расширение решения на основе коммутаторов с поддержкой от сотен до нескольких тысяч устройств на один порт и работают с самыми разными механизмами авторизации и правилами.

Реализация на уровне распределения (Distribution Layer) в инфраструктуре сети — оптимальное местоположение для внутрисетевого устройства (In-Band). Кроме того, оно может устанавливаться за коммутатором WLAN или концентратором VPN (см. Рисунок 3). Однако часто его используют как точку агрегации.

Рисунок 3. Внутрисетевое устройство может быть установлено за коммутатором WLAN или концентратором VPN, но оптимальное место для него — уровень распределения.

Для более быстрой и эффективной реализации решения NAC в качестве расширения методов аутентификации коммутаторов доступа часто применяются такие технологии, как Kerberos, Reverse DNS Look-Ups и RADIUS Snooping. Стандартные внутрисетевые устройства поддерживают 1000-2000 конечных устройств.

В отличие от внутрисетевых устройств, внесетевые устройства не находятся на пути следования данных при обычном трафике, однако включаются во время аутентификации, в процессе оценки и в случае карантина, поэтому атаковать их легче.

На первый взгляд этот подход очень привлекателен, но и в нем есть свои подводные камни, особенно при распознавании новых конечных систем, перенастройки коммутаторов доступа в случае оценки или карантина, а также в отношении детализации при оценке и карантине.

Рисунок 4. Процесс коррекции требует внимания как до установления клиентом соединения, так и после него.

ПРОВЕРКА ПОСЛЕ СОЕДИНЕНИЯ

Некоторые производители концентрируются исключительно на системах проверки после предоставления доступа в сеть и противодействуют неавторизованным конечным системам посредством таких мер, как ARP Cache Poisoning, что при включенных персональных брандмауэрах чаще всего не эффективно. Нередко распознавание осуществляется посредством прерываний SNMP для новых MAC, либо путем регулярных опросов (Polling) таблиц адресов отправителей или кэша ARP маршрутизатора на сетевых компонентах.

Функция карантина и предварительное изолирование новых сетевых устройств приводят к массовым изменениям конфигурации VLAN на коммутаторе доступа, а обеспечить различие в правилах для ПК и телефонов VoIP на одном порту довольно трудно или вообще невозможно.

ПОДХОД НА ОСНОВЕ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

Принудительное исполнение правил посредством агента на устройстве пользователя предоставляет детальные возможности для управления в случае карантина. Персональные брандмауэры и системы предотвращения вторжений на уровне хоста уже длительное время предлагает целый ряд производителей. Эти решения часто комбинируются с решениями на базе сети (коммутатор/выделенное устройство). Недостаток кроется в том, что агента надо сначала инсталлировать (если это вообще возможно), а затем еще и обслуживать. Если агент был скомпрометирован, то безопасность при исполнении правил тоже окажется нарушенной.

При выборе решения NAC следует обращать внимание на открытость производителя для интеграции продуктов по безопасности от других поставщиков, к примеру, для проверки конечных устройств, а также на возможность миграции с точечного решения на решение, охватывающее всю инфраструктуру, что часто является конечной целью подобного проекта.

ЗАКЛЮЧЕНИЕ

Перед внедрением NAC предприятие должно правильно определить цели. Это требует тесного взаимодействия отделов, которые отвечают за работу серверов, настольных систем и сети, а также за обеспечение безопасности. Порой необходимо привлечь к обсуждению и управленческий персонал. Затем можно приступать к концептуальной и практической реализации системы. Необходимо подготовить рабочую модель, которая будет охватывать все происходящие события и основываться на производственном процессе. Только тогда на пути успешного внедрения NAC не будет никаких преград.

Маркус Ниспель — директор по архитектурным решениям компании Enterasys.

© AWi Verlag