Система управления доступом WNAM имеет ряд встроенных механизмов, направленных на усиление уровня безопасности системы. Также рекомендованы к применению различные внешние и сторонние способы, позволяющие предотвратить атаку на WNAM на сетевом или прикладном уровне.
Все эти меры рекомендуются к рассмотрению на этапе проектирования системы, и к настройке на этапе выполнения пуско-наладочных работ. Объем применяемых мер диктуется топологией сети заказчика, наличием выхода в Интернет, применяемыми методами авторизации и другими критериями.
1. Внешний межсетевой экран
При установке сервера с ПО WNAM в локальной сети, разграниченной на сегменты маршрутизирующим оборуованием либо с применением межсетевых экраном, рекомендуется заблокировать весь сетевой трафик к сервера, и от сервера, оставив только необходимые правила для взаимодействия системы с:
- Сетевым оборудованием (коммутаторы, контроллеры, шлюзы и т.п.)
- Средствами авторизации (СМС или телефонными шлюзами)
- Сетями с гостевыми клиентами (при гостевой авторизации)
- Рабочими местами администраторов
- Сервисными системами (DNS, NTP, Active Directory и т.п.)
Для формирования правил необходимо придерживаться опубликованной здесь матрицы межсетевого взаимодействия
2. Встроенный межсетевой экран
При отсутствии внешнего межсетевого экрана требуется обеспечить наличие всех вышеуказанных правил ограничения трафика на самом сервере, с применением системных (встроенных в дистрибутив ОС) средств фильтрации: iptables, nftables, fw4 и их аналогов.
3. Nginx
Для ограничения доступа пользователей гостевой сети к административному интерфейсу WNAM (путь /wnam/) настоятельно рекомендуется дополнить конфигурацию проксирующего сервера nginx, используемого системой, директивами Allow/Deny, как указано в этом разделе документации
4. API key
При использовании прикладного интерфейса WNAM (API) для автоматизации работы различных служебных задач может применяться авторизация запросов к нему с помощью цифровой подписи, вычисляемой для каждого из запросов. Для настройки этого в разделе «конфигурация-дополнительные настройки» необходимо установить параметры api_sign=true и задать параметр переменной api_key (подойдет строка с произвольными символами)
5. Ограничения на IP адреса RADIUS-клиентов
По умолчанию сервер WNAM принимает запросы по протоколу RADIUS только с IP-адресов, определенных в RFC xx (частные IP адреса 10.х, 172.16х, 192.168.х) и с 127.0.0.1. Если вы планируете взаимодействовать с хотспотами (RADIUS-клиентами), установленными в сети Internet без применения VPN-туннелей, и отправляющих запросы со своих публичных IP-адресов, необходимо модифицировать параметр «radiusd_networks» в разделе «конфигурация-дополнительные настройки». Настоятельно не рекомендуется указывать там сеть «0.0.0.0/0».
6. Ограничения на IP адреса WEB admin-клиентов
По умолчанию сервер WNAM позволяет аутентифицироваться через свой административный Web-интерфейс с любого IP-адреса. Если вы планируете разрешить доступ только с некоторых заданных сетей управления, и не настраивать для этой цели nginx, необходимо модифицировать параметр «allowed_ips» в разделе «конфигурация-дополнительные настройки».
7. Парольная политика администраторов
Установите для администраторов WNAM действующую на предприятии парольную политику (сложность пароля, время его жизни и т.п.), как описано в этом документе.
8. Авторизация администраторов
Для крупной инсталляции WNAM, которой управляет несколько сотрудников, имеющих разные роли, рекомендуется настроить авторизацию доступа в административный веб-интерфейс через учетных запись службы каталога с привязкой групп к ролям, как описано здесь.
9. Проверка целостности дистрибутива
Для тестовых и продуктивных дистрибутивов WNAM, распространяемых в виде war-файла, автоматически создается файл, содержащий контрольную сумму в формате sha256.
Вы можете сравнить содержимое этого файла, и контрольную сумму дистрибутива, воспользовавшись командой:
sha256sum wnam.war
Описание инцидентов безопасности
В процессе эксплуатации WNAM системный администратор / администратор ИБ может столкнуться с попытками несанкционированного доступа к системе и серверу. Ниже приведены основные источники информации, которые следует проанализировать, и типовые сценарии минимизации риска несанкционированного доступа / устранения его последствий.
Анализ syslog
В зависимости от типа операционной системы лог системных событий находится в файле /var/log/messages, /var/log/daemon.log, /var/log/syslog и т.п.
Путем ручного или автоматизированного анализа этих файлов могут быть выявлены события, которые классифицируются как события ИБ, например логин на сервер по протоколу SSH. Также возможна настройка отправки системных логов ОС на внешний сервер (посредством rsyslog).
Анализ wnam.log
В основном файле логгирования, /home/wnam/logs/wnam.log отображаются все прикладные события, связанные как с авторизацией пользователей сети, с авторизацией и действиями администраторов, служебные сообщения.
Дополнительный файл логгирования, /home/wnam/logs/console.log, отображает важные (критические системные события), а также выброшенные программным кодом исключения (Exception).
Анализ журнала аудита
Через административный веб-интерфейс WNAM, в разделе «Диагностика-Аудит», доступны записи о событиях администрирования (вход в интерфейс, создание/удаление/модификация различных конфигурационных объектов.
Анализ журнала SIEM системы (Нотификации)
Посредством механизма отправки уведомлений во внешние системы возможно по протоколам Syslog, SNMP получать сведения о событиях, связанных как с авторизацией пользователей сети, так и работой администраторов системы.
При анализе сообщений ИБ необходимо принять решение:
Происходит ли авторизация легитимного пользователя
Происходит ли авторизация с легитимного источника подключения
Производится ли легитимное действие
В случае обнаружения несоответствия запроса/действия установленным политикам безопасности, типовой сценарий решения инцидента включает в себя одно из двух, или оба действия:
Блокировка учетной записи пользователя, от имени которого совершается действие. Контакт с владельцем учетной записи, установка нового пароля. Усиление парольной политики.
Блокировка IP-адреса источника запроса/сети источника/всех адресов путем установки правил в межсетевой экран, конфигурационный файл nginx.