Контроль доступа к сети

Основные задачи контроля доступа к сети:

1. однозначная идентификация и распределение ролей пользователей и устройств;
2. соблюдение установленных политик безопасности;
3. изоляция (карантин) и автоматическое восстановление неконформных конечных устройств;
4. управление и создание индивидуальных политик и ролей для различных групп пользователей.

Контроль доступа к сети в целом удовлетворяет двум основным требованиям:

Во-первых, обеспечивает полный обзор того, какие устройства находятся в (корпоративной) сети и где они подключены. Тип устройств — клиенты, принтеры, производственные системы, банкоматы, медицинские приборы, планшеты, смартфоны, холодильники, кофемашины и др. — при этом не важен. Такой обзор препятствует появлению посторонних или неизвестных систем во внутренней сети компании посредством подключения к Wi-Fi или свободному сетевому порту. Благодаря этому разрешается эксплуатация исключительно собственных и одобренных к работе устройств.

Второе требование — так называемая функция соответствия (compliance). Она подразумевает проверку соответствия устройств, уже находящихся в сети, требованиям безопасности или политики компании. Обычно это проверка установки и актуальности антивируса, наличия и статуса десктоп-фаервола, актуальности патчей, а также, при необходимости, других аспектов (например, обновлённость приложений, таких как Firefox или Adobe).

Цель — эксплуатация в корпоративной сети только тех конечных устройств и программного обеспечения, которые отвечают всем необходимым требованиям и политике безопасности. При несоответствии устройства политикам безопасности принимаются соответствующие меры: помещение в карантин, обновление за счёт патчей, реконфигурация системы, либо её вывод из эксплуатации.

Существуют также различия в трактовке того, какие сетевые подключения должны мониториться (LAN, WLAN, WAN). Для решения этой задачи используются технические методы с применением коммерческих и открытых продуктов.

Контроль сетевого доступа обсуждается с самого появления компьютерных сетей. В разные годы появлялись решения и продукты, успех которых был различным. Основные причины провалов — гетерогенность сетевой инфраструктуры, недостаточное покрытие сети, высокая сложность и стоимость решений. Подавляющее большинство компаний по-прежнему не имеет единой системы контроля сетевого доступа. Не существует и общепринятого определения понятия «Network Access Control», из-за чего ассортимент решений сильно различается. К другим терминам, способствовавшим путанице в этой области, относятся «Network Admission Protocol» (NAP) и «Network Admission Control» (NAC).

Этот метод основан на сканировании сети по используемым IP-адресам путём «ping»-запросов к адресным пространствам или анализа кэшей ARP на маршрутизаторах. Обнаруженные таким образом устройства далее анализируются для точной идентификации и проверки на соответствие списку разрешённых устройств.

Посторонние устройства могут блокироваться различными способами, например, перенаправлением на гостевой портал. Иногда применяется ARP-спуфинг, который, хотя является техникой атаки, может использоваться для защиты.

Для анализа трафика изготавливаются специальные аппаратные средства, работающие «на проходе» и анализирующие сетевой трафик, фиксируя каждое устройство, которое получает доступ к сети. Пакеты данных от нежелательных систем могут просто блокироваться, препятствуя их коммуникации в сети. Проблема — необходимость размещения таких устройств во всех подсетях для полного охвата, что усложняет и удорожает решение. Анализ должен производиться в реальном времени, иначе может возникать «узкое место», тормозящее работу сети и нарушающее рабочие процессы. Ещё одна слабость — такие устройства не выявляют «подслушивающих» злоумышленников, не инициирующих передачу пакетов, а значит, не препятствуют шпионским атакам (сниффинг).

Даже при широком развёртывании такого оборудования остаются зоны вне контроля: устройства, подключённые к одному коммутатору, часто могут обмениваться данными напрямую, минуя средства NAC, что делает их уязвимыми для соседей и позволяет атакующему проникнуть глубже в сеть.

В этом случае на каждом конечном устройстве устанавливается программный агент, позволяющий устройству проходить аутентификацию перед центральной службой, а значит — только управляемые устройства могут зашифрованно коммуницировать друг с другом; посторонние устройства не могут напрямую взаимодействовать с корпоративными. Главная сложность — обеспечить наличие совместимых агентов для всех используемых операционных систем, чтобы покрыть всю корпоративную сеть.

К этой категории относится и стандарт IEEE 802.1X, использующий встроенных в ОС агентов (супликантов). Однако и здесь невозможно обеспечить 100% покрытие всех участников сети: устаревшие устройства и коммутаторы часто не поддерживают технологию.

IEEE 802.1X подробно описан в отдельной статье; здесь отметим, что это проактивный подход: при подключении устройства к коммутатору или беспроводной точке доступа оно должно пройти аутентификацию с использованием учётных данных (например, имя пользователя и пароль, либо сертификат). Коммутатор или точка доступа валидирует эти данные через RADIUS-сервер, который в ответ может присвоить не только права «разрешить»/«отказать», но и дополнительные правила, такие как назначение VLAN или ACL. Основная сложность состоит в администрировании RADIUS-сервера и управлении идентификацией.

Чаще всего для этого используется протокол Simple Network Management Protocol (SNMP), поддерживаемый почти всеми корпоративными коммутаторами. В отдельных случаях могут применяться SSH или другие (желательно зашифрованные) протоколы.

Таким образом можно получить полный обзор всех устройств в сети, независимо от её масштаба. Любое устройство, подключённое к порту коммутатора и осуществляющее передачу данных, обнаруживается системой контроля. При подключении нового устройства коммутатор уведомляет NAC-систему (например, через trap), либо NAC-система опрашивает коммутатор на предмет подключённых устройств.

Идентификация устройств выполняется по MAC-адресу; данный подход называют ещё MAC-based NAC. С помощью списка разрешённых (whitelist) определяется, какие устройства допускаются к корпоративной сети. Через тот же канал управления коммутатор может получать команду на изменение конфигурации порта. При обнаружении постороннего устройства порт автоматически выключается — коммуникация прекращается на физическом уровне.

Со временем коммутаторы обзавелись дополнительным функционалом, в том числе поддержкой VLAN даже для небольших сетей, что позволяет удобно сегментировать инфраструктуру.

Поскольку VLAN также конфигурируются через коммутаторы, контроль доступа к сети может не только блокировать порты, но и перенаправлять трафик. Посторонние устройства могут не изолироваться полностью, а переводиться в гостевой сегмент, где им доступен только интернет.

Недостаток подхода — лёгкая подделка MAC-адреса: злоумышленник может вручную указать нужный адрес (например, списав его с принтера), чтобы получить доступ в сеть.

В связи с этим профессиональные решения могут проводить корреляцию по целому набору свойств: IP-адресу, имени хоста, операционной системе, открытым и закрытым портам. Таким образом, интрузер должен не только подделать MAC-адрес, но и остальные характеристики, что усложняет атаку. При обнаружении несоответствий NAC-система может инициировать тревогу.

Помимо повышения безопасности, такой подход способствует удобному управлению VLAN: порту автоматически назначается нужная виртуальная сеть, соответствующая подключённому устройству, — сотрудник в любой точке сети получает привычную рабочую среду.

Контроль сетевого доступа главным образом означает выявление и управление идентичностью сетевых участников с последующим предоставлением или запретом доступа. При этом важно различать идентичность устройств и пользователей, поскольку на первом этапе контроль ориентирован на устройства. Контроль пользователя зачастую реализуется средствами, такими как Active Directory или иные службы каталогов.

Тем не менее, Active Directory и особенно LDAP являются популярными источниками данных об идентификаторах устройств и пользователей для сетевого контроля. При этом возможны следующие нюансы:

• Использование только информации о устройствах из Active Directory часто оправдано с точки зрения администрирования, однако при этом требуется тщательно определять, какие группы устройств (AD-группы) к каким сегментам сети или VLAN относятся, чтобы избежать ошибок при изменениях политики.
• Использование только информации о пользователях из AD не обеспечивает должного уровня безопасности, так как любой сотрудник сможет подключить произвольное устройство и получить доступ; в этом случае реальный контроль доступа невозможен.
• Комбинированное определение прав (по пользователю и устройству) увеличивает сложность настройки. Если планируется дифференцировать доступ разных пользователей с одного устройства, правила должны быть чётко структурированы и реализованы, что требует значительных трудозатрат, предварительного анализа целесообразности и стоимости.

• • Само по себе Active Directory управляет доступом сотрудников к серверам и сервисам компании согласно назначенным правам. Таким образом, если на одном устройстве попеременно работают «обычный» сотрудник и ИТ-администратор, благодаря разным учетным данным разграничивается доступ к тем или иным ресурсам. Перевод устройства между сетевыми сегментами становится необходим только в крупных распределённых инфраструктурах, где требуемые ресурсы могут быть недоступны в текущем сегменте. Кроме того, стандарт ИБ предусматривает, что административные действия следует выполнять не с обычных пользовательских станций, иначе вредоносное ПО может получить административные права и нанести серьёзный ущерб.

• • В подавляющем большинстве случаев достаточно авторизации устройств или введения отдельных специальных правил на исключения.

Помимо Active Directory и LDAP источников, доступны иные системы идентификации: базы данных help desk, базы CMDB, Mobile Device Management и т. п. Любой каталог, содержащий уникальные идентификаторы устройств, может облегчить внедрение и обслуживание NAC. Отличие — возможность либо проводить онлайн-аутентификацию (live), либо просто синхронизировать идентификаторы с NAC-системой.

Так как система контроля сетевого доступа защищает от выхода во внутреннюю сеть сторонних устройств, коммерческие NAC-решения часто включают гостевые порталы, позволяющие временно предоставлять доступ к определённым ресурсам для гостей и посетителей — их идентичность допускается в сети на ограниченное время. Техническая реализация подобных порталов подробно рассматривается в статье Captive Portal.

С ростом количества мобильных устройств, усложнением требований сотрудников и необходимостью предоставлять сервисные доступы увеличивается актуальность задачи гостевого допуска.

В условиях «Bring Your Own Device» гостевые порталы нередко дополняются функцией регистрации собственных устройств сотрудников для работы в корпоративной сети.

В контексте контроля доступа к сети соответствие (compliance) обычно означает соответствие требованиям ИТ-безопасности. Основное — соответствие устройств корпоративным политикам: обновленность антивируса (версия, активность, давность сигнатур), статус фаервола, актуальность патчей (ОС, браузеры, плагины и другие приложения), статус шифрования и др.

Этот статус может определяться как дистанционно, так и агентным методами. Дистанционный способ обычно подразумевает сканирование устройств средствами WMI, SNMP или NMAP; возможна и браузерная проверка через ActiveX или JavaScript. Локальные агенты, обладающие административными правами на устройстве, позволяют более глубоко диагностировать статус системы (например, сверить версию файлов по хешу с эталонной), а не только делать формальную проверку по ключам реестра или API.

Возможны разные стратегии по моменту проверки: агенты могут оценивать статус устройства непрерывно, в то время как безагентские проверки обычно выполняются периодически или при определённых событиях.

Максимальную защищённость обеспечивает оценка перед подключением устройства к сети, однако реализовать её крайне сложно; поэтому чаще применяется реактивная проверка и блокировка при обнаружении нарушения.

Некоторые решения NAC дополнительно позволяют получать статус соответствия устройств от стороннего ПО: например, сведения о патчинге — от сервера обновлений WSUS, о заражённых устройствах — от антивируса, а SIEM может при угрозе автоматически инициировать изоляцию пострадавших устройств.

Контроль доступа к сети играет ключевую роль в комплексной стратегии ИТ-безопасности, поскольку позволяет эффективно и оперативно реагировать на угрозы, особенно при интеграции различных средств защиты информации.