Начиная с версии 1.6.3646 (сентябрь 2023 г.) система WNAM с лицензией корпоративной авторизации поддерживает интеграцию с комплексом информационной безопасности "Сакура" (КИБ "Сакура") производства компании "ИТ-Экспертиза". КИБ "Сакура" позволяет производить контроль удалённых рабочих мест и активно реагировать на несоответствие профилям безопасности. Для этого на АРМ предприятия устанавливаются агенты мониторинга и управления (ОС Windows, ОС Linux, ОС MacOS). Агенты взаимодействуют с корпоративным сервером "Сакура" для получения правил безопасности, обновлений, отправки статуса (уровня) защищенности рабочего места. КИБ "Сакура" может быть настроена и функционировать независимо от системы WNAM. Подробнее об этой системе можно узнать, обратившись в компанию-разработчика ("ИТ-Экспертиза").

Интеграция системы WNAM и КИБ "Сакура" позволяет присваивать и пере-присваивать сетевые политики безопасности АРМ предприятия, подключающимся к внутренней сети, в соответствии с заданным уровнем защищенности ОС АРМ. При этом могут быть проверены:

  • наличие установленных патчей ОС;
  • наличие последних версий БД антивируса;
  • функционирование либо отсутствие функционирования, заданного набора ПО на АРМ;
  • статусы для любых других событий, которые агент КИБ "Сакура" способен распознать.

Система авторизации WNAM принимает заданное администратором решение в зависимости от обнаруженного уровня защищенности АРМ. Значение уровня защищенности передаются сервером КИБ "Сакура" в сторону сервера системы WNAM посредством REST API вызова. Для того, чтобы настроить отправку таких уведомлений, на сервере КИБ "Сакура" понадобится выполнить настройки, описанные в этом документе (Настройка сервера "Сакура").

Уведомления передаются:

  • при изменении уровня защищенности в любую из сторон;
  • при обнаружении агентом своего сервера по завершении установления сетевого подключения.

Таким образом, система WNAM, не имеющая собственного агента контроля уровня защищенности подключающегося устройства, использует агент КИБ "Сакура" на стадии пост-авторизации для получения сведений о защищенности и возможного пере-подключения или отключения АРМ от сети.

Поддерживаются следующие уровни защищенности, передаваемые сервером КИБ "Сакура":

  • NoAgent - агент не установлен;
  • Offline - агент был ранее установлен, но АРМ не подключен к серверу;
  • Critical - критический;
  • Noncritical - не критический/предупреждение;
  • Info - информационный;
  • Compliant - нет нарушений, соответствует политике информационной безопасности (ИБ).

Текущий уровень защищенности АРМ (фактически, сетевого эндпоинта) доступен в записи об этом эндпоинте (пользователе) в разделе "Пользователи" во вкладке настроек "Категории":

 

Изменение записи статуса эндпоинта происходит в момент получения очередного уведомления от сервера. Дата последнего обновления изменяется, даже если статус не изменялся. В случае, если происходит изменение статуса эндпоинта, система WNAM реагирует на это путем отправки RADIUS CoA-сообщения подключающему АРМ сетевому оборудованию с запросом пере-авторизации сетевой сессии.  Система WNAM реагирует в момент исходной авторизации или пере-авторизации сетевой сессии с использованием методов MAC Bypass или 802.1х по протоколу RADIUS, если для совпавшего профиля авторизации выставлен чекбокс "Применить ... Политику КИБ "Сакура"": 

Дополнительно применяются заданные в интерфейсе администратора системы WNAM в разделе "Конфигурация" → "Корпоративные настройки" следующие условные значения:

Вначале производится сравнение параметра эндпоинта и его текущего уровня защищенности с заданным. Если эндпоинт не имеет текущего установленного уровня либо он ниже порога, система WNAM переопределяет результирующие политики авторизации. 

Можно разрешить доступ эндпоинта в сеть, запретить доступ, либо допустить в сеть, применяя заданные в другом разделе интерфейса карантинные правила, с помещением эндпоинта в карантин.

В случае разрешения доступа, возможно переопределить следующие параметры сетевого подключения:

  • назначенный номер VLAN;
  • назначенный номер или имя списка доступа ACL;
  • назначенный (из выпадающего списка ранее подготовленных) динамически загружаемый список доступа dACL.

При этом, параметры, если они заданы, имеют больший приоритет (переопределяют) те, что были настроены в самом профиле авторизации. Если какой-то из параметров здесь не задан, но задано значение параметра в исходном профиле авторизации, используется значение из профиля авторизации.

Типовой сценарий использования предполагает, что для системы авторизации WNAM создается:

  • совпадающее для требуемого метода авторизации (например EAP-PEAP с проверкой учетной записи до домену ОС Windows) правило аутентификации;
  • соответствующее результирующее правило авторизации, связанное с правилом аутентификации через прямую ссылку или тэг;
  • в результирующем правиле устанавливается назначение VLAN 10 c доступом к внутренним корпоративным ресурсам, а также применение политики КИБ "Сакура";
  • в настройках интеграции с КИБ "Сакура" устанавливается назначение VLAN 100 для эндпоинтов, не имеющих агентов, и для эндпоинтов с уровнем защищенности "Info" и ниже.

При этом VLAN 100 создан специально для подключения частично доверенных, т.е. прошедших аутентификацию, но не имеющих должного уровня защищенности клиентских устройств. В нем должен быть доступен только сервер КИБ "Сакура", антивирусный сервер, сервер обновлений ОС Windows и иные, специально заданные ресурсы, например сканер уязвимостей. В таком случае подключение АРМ пользователя с установленным агентом КИБ "Сакура" будет проходить следующим образом:

  1. При первоначальном подключении эндпоинта производится успешная аутентификация. Система WNAM не имеет информации о статусе агента.
  2. Подключение будет авторизовано для доступа не в VLAN 10, а к нему будет применена политика КИБ "Сакура", раздел "нет информации об установленном агенте", правило Accept, назначение VLAN 100.
  3. Эндпоинт помещается в изолированный сегмент сети, производится его проверка. Сервер КИБ "Сакура" сообщает об установлении статуса "Compliant - нет нарушений".
  4. Сервер системы WNAM обновляет запись о статусе и времени обновления в своей записи об эндпоинте.
  5. Сервер системы WNAM отправляет сетевому оборудованию (NAS) запрос пере-авторизации данного подключения АРМ.
  6. Производится пере-подключение, срабатывает политика КИБ "Сакура", однако никакой из её разделов на совпадает (уровень Compliant выше Info).
  7. Для подключения эндпоинта применяются настроенные в правиле авторизации параметры - VLAN 100.
  8. АРМ попадает в VLAN 100 с полным доступом к корпоративным ресурсам (включая сервер КИБ "Сакура").

Указанный в настройках интеграции параметр "время кэширования" определяет, как долго сервер системы WNAM будет считать валидным полученный ранее от сервера КИБ "Сакура" статус защищенности данного АРМ. Этот параметр требуется для того, чтобы при повторяющихся пере-авторизациях АРМ с неизменным статусом не применять к нему политик КИБ "Сакура" и не переназначать целевой VLAN/ ACL/dACL этому подключению. В то же время этот параметр определяет, что давно проверенный (например, вчера) эндпоинт, хотя и имеет запомненный статус Compliant, при новом подключении (на следующий день) не является по умолчанию доверенным, и политика переназначения ему целевых параметров должна быть применена. Это поведение можно отключить, установив значение "длительности кэширования" в 0, сделав его бесконечным. В этом случае изменение статуса и связанная с ним попытка пере-авторизации, будет диктоваться исключительно API-запросами от сервера КИБ "Сакура".

Смена статуса АРМ, применение к нему политик КИБ "Сакура" находит отражение в лог-файле wnam.log и в записи о сессии корпоративной авторизации в разделе "Диагностика" веб-интерфейса.

1. Получение уведомления от сервера КИБ "Сакура" о том, что для эндпоинта (ранее система WNAM не имела сведений о его статусе) установлен уровень безопасности Critical:

18:17:30.032 DEBUG [SakuraApi.java:86] - setSakuraState ip=10.241.200.17, status=1, sess=06c8f10a000000657191e3bf, asess=64fc8c84cf2c215471c88054, endpoint=E4:02:9B:7B:8F:B8
18:17:30.034 TRACE [ASession.java:144] - log [102] endpointProtection - Set SAKURA level: Critical [enforcing] [changed from NoAgent]

2. Попытка авторизации эндпоинта с уровнем Critical (ниже заданного порога Info), что приводит к установке RADIUS-атрибута с номером VLAN 100 :

18:17:50.049 TRACE [ASession.java:144] - log [95] authorization - override with Sakura policy: Accept, level: Critical
18:17:50.049 TRACE [ASession.java:144] - log [96] authorization - add/override attribute: VLAN ID='100'

3. Получение уведомления от сервера КИБ "Сакура" о том, что для эндпоинта (ранее система WNAM имела сведения о его статусе Critical) установлен новый статус Compliant. Производится отправка запроса на пере-авторизацию. Отображается новая попытка авторизации:

18:24:17.976 DEBUG [SakuraApi.java:86] - setSakuraState ip=10.241.200.17, status=100, sess=06c8f10a000000677194e023, asess=64fc8d46cf2c215471c88059, endpoint=E4:02:9B:7B:8F:B8
18:24:17.980 TRACE [ASession.java:144] - log [103] endpointProtection - Set SAKURA level: Compliant [enforcing] [changed from Critical]
18:24:18.084 DEBUG [ProfilingService.java:388] - EndpointPortBounceOrDisconnect for endpoint MAC E4:02:9B:7B:8F:B8, execute
18:24:18.088 TRACE [ASession.java:144] - log [104] sessionBounce - executed at: 09.09.2023 18:24:18.088
18:24:18.088 TRACE [ASession.java:144] - log [105] sessionBounce - processing delay: 0 ms.
18:24:18.096 WARN [ProfilingService.java:415] - handleEndpointPortBounceOrDisconnect Reauth status success
18:24:18.096 TRACE [ASession.java:144] - log [106] sessionBounce - reauth status: success
18:24:18.096 DEBUG [ProfilingService.java:428] - EndpointPortBounceOrDisconnect for endpoint MAC E4:02:9B:7B:8F:B8 processed in 113 ms.
18:24:18.101 DEBUG [WnamRadiusService.java:548] - handleRadiusPacket AUTH as=10.241.200.6, secret_len=6, attrs=[User-Name: host/BAL-WD-939FJB9.lab.wnam.ru, ...]

4. В ходе данной пере-авторизации, т.к. уровень защищенности выше порога и не изменяется, политика КИБ "Сакура" не применяется:

18:24:18.245 TRACE [ASession.java:144] - log [95] authorization - Sakura policy level not changed: Compliant


  • No labels