Начиная с версии 1.6.3646 (сентябрь 2023 г.) система WNAM с лицензией корпоративной авторизации поддерживает интеграцию с комплексом информационной безопасности "Сакура" (КИБ "Сакура") производства компании "ИТ-Экспертиза". КИБ "Сакура" позволяет производить контроль удалённых рабочих мест и активно реагировать на несоответствие профилям безопасности. Для этого на АРМ предприятия устанавливаются агенты мониторинга и управления (ОС Windows, ОС Linux, ОС MacOS). Агенты взаимодействуют с корпоративным сервером "Сакура" для получения правил безопасности, обновлений, отправки статуса (уровня) защищенности рабочего места. КИБ "Сакура" может быть настроена и функционировать независимо от системы WNAM. Подробнее об этой системе можно узнать, обратившись в компанию-разработчика ("ИТ-Экспертиза").
Интеграция системы WNAM и КИБ "Сакура" позволяет присваивать и пере-присваивать сетевые политики безопасности АРМ предприятия, подключающимся к внутренней сети, в соответствии с заданным уровнем защищенности ОС АРМ. При этом могут быть проверены:
Система авторизации WNAM принимает заданное администратором решение в зависимости от обнаруженного уровня защищенности АРМ. Значение уровня защищенности передаются сервером КИБ "Сакура" в сторону сервера системы WNAM посредством REST API вызова. Для того, чтобы настроить отправку таких уведомлений, на сервере КИБ "Сакура" понадобится выполнить настройки, описанные в этом документе (Настройка сервера "Сакура").
Уведомления передаются:
Таким образом, система WNAM, не имеющая собственного агента контроля уровня защищенности подключающегося устройства, использует агент КИБ "Сакура" на стадии пост-авторизации для получения сведений о защищенности и возможного пере-подключения или отключения АРМ от сети.
Поддерживаются следующие уровни защищенности, передаваемые сервером КИБ "Сакура":
Текущий уровень защищенности АРМ (фактически, сетевого эндпоинта) доступен в записи об этом эндпоинте (пользователе) в разделе "Пользователи" во вкладке настроек "Категории":
Изменение записи статуса эндпоинта происходит в момент получения очередного уведомления от сервера. Дата последнего обновления изменяется, даже если статус не изменялся. В случае, если происходит изменение статуса эндпоинта, система WNAM реагирует на это путем отправки RADIUS CoA-сообщения подключающему АРМ сетевому оборудованию с запросом пере-авторизации сетевой сессии. Система WNAM реагирует в момент исходной авторизации или пере-авторизации сетевой сессии с использованием методов MAC Bypass или 802.1х по протоколу RADIUS, если для совпавшего профиля авторизации выставлен чекбокс "Применить ... Политику КИБ "Сакура"":
Дополнительно применяются заданные в интерфейсе администратора системы WNAM в разделе "Конфигурация" → "Корпоративные настройки" следующие условные значения:
Вначале производится сравнение параметра эндпоинта и его текущего уровня защищенности с заданным. Если эндпоинт не имеет текущего установленного уровня либо он ниже порога, система WNAM переопределяет результирующие политики авторизации.
Можно разрешить доступ эндпоинта в сеть, запретить доступ, либо допустить в сеть, применяя заданные в другом разделе интерфейса карантинные правила, с помещением эндпоинта в карантин.
В случае разрешения доступа, возможно переопределить следующие параметры сетевого подключения:
При этом, параметры, если они заданы, имеют больший приоритет (переопределяют) те, что были настроены в самом профиле авторизации. Если какой-то из параметров здесь не задан, но задано значение параметра в исходном профиле авторизации, используется значение из профиля авторизации.
Типовой сценарий использования предполагает, что для системы авторизации WNAM создается:
При этом VLAN 100 создан специально для подключения частично доверенных, т.е. прошедших аутентификацию, но не имеющих должного уровня защищенности клиентских устройств. В нем должен быть доступен только сервер КИБ "Сакура", антивирусный сервер, сервер обновлений ОС Windows и иные, специально заданные ресурсы, например сканер уязвимостей. В таком случае подключение АРМ пользователя с установленным агентом КИБ "Сакура" будет проходить следующим образом:
Указанный в настройках интеграции параметр "время кэширования" определяет, как долго сервер системы WNAM будет считать валидным полученный ранее от сервера КИБ "Сакура" статус защищенности данного АРМ. Этот параметр требуется для того, чтобы при повторяющихся пере-авторизациях АРМ с неизменным статусом не применять к нему политик КИБ "Сакура" и не переназначать целевой VLAN/ ACL/dACL этому подключению. В то же время этот параметр определяет, что давно проверенный (например, вчера) эндпоинт, хотя и имеет запомненный статус Compliant, при новом подключении (на следующий день) не является по умолчанию доверенным, и политика переназначения ему целевых параметров должна быть применена. Это поведение можно отключить, установив значение "длительности кэширования" в 0, сделав его бесконечным. В этом случае изменение статуса и связанная с ним попытка пере-авторизации, будет диктоваться исключительно API-запросами от сервера КИБ "Сакура".
Смена статуса АРМ, применение к нему политик КИБ "Сакура" находит отражение в лог-файле wnam.log и в записи о сессии корпоративной авторизации в разделе "Диагностика" веб-интерфейса.
1. Получение уведомления от сервера КИБ "Сакура" о том, что для эндпоинта (ранее система WNAM не имела сведений о его статусе) установлен уровень безопасности Critical:
18:17:30.032 DEBUG [SakuraApi.java:86] - setSakuraState ip=10.241.200.17, status=1, sess=06c8f10a000000657191e3bf, asess=64fc8c84cf2c215471c88054, endpoint=E4:02:9B:7B:8F:B818:17:30.034 TRACE [ASession.java:144] - log [102] endpointProtection - Set SAKURA level: Critical [enforcing] [changed from NoAgent]
2. Попытка авторизации эндпоинта с уровнем Critical (ниже заданного порога Info), что приводит к установке RADIUS-атрибута с номером VLAN 100 :
18:17:50.049 TRACE [ASession.java:144] - log [95] authorization - override with Sakura policy: Accept, level: Critical18:17:50.049 TRACE [ASession.java:144] - log [96] authorization - add/override attribute: VLAN ID='100'
3. Получение уведомления от сервера КИБ "Сакура" о том, что для эндпоинта (ранее система WNAM имела сведения о его статусе Critical) установлен новый статус Compliant. Производится отправка запроса на пере-авторизацию. Отображается новая попытка авторизации:
18:24:17.976 DEBUG [SakuraApi.java:86] - setSakuraState ip=10.241.200.17, status=100, sess=06c8f10a000000677194e023, asess=64fc8d46cf2c215471c88059, endpoint=E4:02:9B:7B:8F:B818:24:17.980 TRACE [ASession.java:144] - log [103] endpointProtection - Set SAKURA level: Compliant [enforcing] [changed from Critical]18:24:18.084 DEBUG [ProfilingService.java:388] - EndpointPortBounceOrDisconnect for endpoint MAC E4:02:9B:7B:8F:B8, execute18:24:18.088 TRACE [ASession.java:144] - log [104] sessionBounce - executed at: 09.09.2023 18:24:18.08818:24:18.088 TRACE [ASession.java:144] - log [105] sessionBounce - processing delay: 0 ms.18:24:18.096 WARN [ProfilingService.java:415] - handleEndpointPortBounceOrDisconnect Reauth status success18:24:18.096 TRACE [ASession.java:144] - log [106] sessionBounce - reauth status: success18:24:18.096 DEBUG [ProfilingService.java:428] - EndpointPortBounceOrDisconnect for endpoint MAC E4:02:9B:7B:8F:B8 processed in 113 ms.18:24:18.101 DEBUG [WnamRadiusService.java:548] - handleRadiusPacket AUTH as=10.241.200.6, secret_len=6, attrs=[User-Name: host/BAL-WD-939FJB9.lab.wnam.ru, ...]
4. В ходе данной пере-авторизации, т.к. уровень защищенности выше порога и не изменяется, политика КИБ "Сакура" не применяется:
18:24:18.245 TRACE [ASession.java:144] - log [95] authorization - Sakura policy level not changed: Compliant