Page History

Система управления сетевым доступом WNAM 2 поддерживает динамический анализ уровня защищенности (compliance) автоматизированных рабочих мест предприятия, проводящих авторизацию сетевых подключений.

Это реализуется с применением т.н. "агентской" схемы, при которой на АРМ пользователя установлено специальное ПО, "агент безопасности", управляемое собственным сервером.

WNAM 2 Начиная с версии 1.6.3646 (сентябрь 2023 г.) система WNAM с лицензией корпоративной авторизации поддерживает интеграцию с комплексом информационной безопасности "Сакура" (КИБ "Сакура") производства компании "ИТ-Экспертиза". КИБ "Сакура" позволяет производить контроль удалённых рабочих мест и активно реагировать на несоответствие профилям безопасности. Для этого на АРМ предприятия устанавливаются агенты мониторинга и управления (ОС Windows, ОС Linux, ОС MacOS). Агенты взаимодействуют с корпоративным сервером "Сакура" для получения правил безопасности, обновлений, отправки статуса (уровня) защищенности рабочего места. КИБ "Сакура" может быть настроена и функционировать независимо от системы WNAM 2 . Подробнее об этой системе можно узнать, обратившись в в компанию-разработчика ("ИТ-Экспертиза").

Интеграция системы WNAM 2 и КИБ "Сакура" позволяет присваивать и пере-присваивать сетевые политики безопасности АРМ предприятия, подключающимся к внутренней сети, в соответствии с заданным уровнем защищенности ОС АРМ. При этом могут быть проверены:

• наличие установленных патчей ОС;
• наличие последних версий БД антивируса;
• функционирование либо отсутствие функционирования, заданного набора ПО на АРМ;
• статусы для любых других событий, которые агент КИБ "Сакура" способен распознать.

Система авторизации WNAM 2 принимает заданное администратором решение в зависимости в зависимости от обнаруженного уровня защищенности АРМ. Значение уровня защищенности передаются сервером КИБ "Сакура" в сторону сервера системы WNAM 2 посредством REST API вызова (для "Сакура" версии 2) или по RADIUS протоколу (для "Сакура" версии 3). Для того, чтобы настроить отправку таких уведомлений, на сервере КИБ "Сакура" понадобится выполнить настройки, описанные в этом документе (Настройка сервера "Сакура").

Уведомления передаются:

...

• при обнаружении агентом своего сервера по завершении установления сетевого подключения.
• при изменении уровня защищенности в любую из сторон: повышение, понижение

Таким образом, система WNAM 2, не имеющая собственного агента контроля уровня защищенности подключающегося устройства, использует агент КИБ "Сакура" на стадии пост-авторизации для получения сведений о защищенности и возможного пере-подключения или отключения АРМ от сети.

...

Текущий уровень защищенности АРМ (фактически, сетевого эндпоинта) доступен в записи об этом эндпоинте (пользователе) в разделе "Пользователи" во вкладке настроек "Категории":

Image Removed Image RemovedTODO картинка

Изменение записи статуса эндпоинта происходит в момент получения очередного уведомления от сервера. Дата последнего обновления изменяется, даже если статус не изменялся. В случае, если происходит изменение статуса эндпоинта, система WNAM 2 реагирует на это путем отправки RADIUS CoA-сообщения подключающему АРМ сетевому оборудованию с запросом пере-авторизации сетевой сессии.  Система WNAM 2 реагирует в момент исходной авторизации или пере-авторизации сетевой сессии с использованием методов MAC Bypass или 802.1х по протоколу RADIUS, если для совпавшего профиля авторизации выставлен чекбокс "Применить ... Политику выставлено правило "Политика КИБ "Сакура"": 

Image RemovedImage Added

Дополнительно применяются заданные в интерфейсе администратора системы WNAM 2 в разделе "Конфигурация" → "Корпоративные настройки" следующие условные значения:

Image Removed

Главная - NAC - Дополнительно - Интеграция с сервером КИБ "Сакура" следующие параметры:

Image Added

В начале Вначале производится сравнение параметра эндпоинта и его текущего уровня защищенности с заданным. Если эндпоинт не имеет текущего установленного уровня либо он ниже порога, система WNAM 2 переопределяет результирующие политики авторизации. 

...

При этом, параметры, если они заданы, имеют больший приоритет (переопределяют) те, что были настроены в самом профиле правиле авторизации. Если какой-то из параметров здесь не задан, но задано значение параметра в исходном профиле правиле авторизации, используется значение из профиля правила авторизации.

Типовой сценарий использования предполагает, что для системы авторизации WNAM 2 создается:

• совпадающее для требуемого метода авторизации (например EAP-PEAP с проверкой учетной записи до домену ОС Windows) правило аутентификации;
• соответствующее результирующее правило авторизации, связанное с правилом аутентификации через прямую ссылку или тэгна которое проставляется ссылка из правила аутентификации;
• в результирующем правиле авторизации устанавливается назначение VLAN 10 c доступом к внутренним корпоративным ресурсам, а также применение политики КИБ "Сакура";
• в настройках интеграции с КИБ "Сакура" устанавливается назначение VLAN 100 для эндпоинтов, не имеющих агентов, и для эндпоинтов с уровнем защищенности "Info" и ниже.

...

1. При первоначальном подключении эндпоинта производится успешная аутентификация. Система WNAM 2 не имеет информации о статусе агента.
2. Подключение будет авторизовано для доступа не в VLAN 10, а к нему будет применена политика КИБ "Сакура", раздел "нет информации об установленном агенте", правило Accept, назначение VLAN 100.
3. Эндпоинт помещается в изолированный сегмент сети, производится его проверка. Сервер КИБ "Сакура" сообщает об установлении статуса "Compliant - нет нарушений".
4. Сервер системы WNAM 2 обновляет запись о статусе и времени обновления в своей записи об эндпоинте.
5. Сервер системы WNAM 2 отправляет сетевому оборудованию (NAS) запрос пере-авторизации данного подключения АРМ.
6. Производится пере-подключение, срабатывает политика КИБ "Сакура", однако никакой из её разделов на совпадает (уровень Compliant выше Info).
7. Для подключения эндпоинта применяются настроенные в правиле авторизации параметры - VLAN 100.
8. АРМ попадает в VLAN 100 с полным доступом к корпоративным ресурсам (включая сервер КИБ "Сакура").

...

Указанный в настройках интеграции параметр "время кэширования" определяет, как долго сервер системы WNAM WNAM 2 будет считать валидным полученный ранее от сервера КИБ "Сакура" статус защищенности данного АРМ. Этот параметр требуется для того, чтобы при повторяющихся пере-авторизациях АРМ с неизменным статусом не применять к нему политик КИБ "Сакура" и не переназначать целевой VLAN/ ACL/dACL этому подключению. В то же время этот параметр определяет, что давно проверенный (например, вчера) эндпоинт, хотя и имеет запомненный статус Compliant, при новом подключении (на следующий день) не является по умолчанию доверенным, и политика переназначения ему целевых параметров должна быть применена. Это поведение можно отключить, установив значение "длительности кэширования" в 0, сделав его бесконечным. В этом случае изменение статуса и связанная с ним попытка пере-авторизации, будет диктоваться исключительно API-запросами от сервера КИБ "Сакура".

Смена статуса АРМ, применение к нему политик КИБ "Сакура" находит отражение в лог-файле wnam.log и в записи о сессии корпоративной авторизации в разделе "Диагностика" веб-интерфейса.

1. Получение уведомления от сервера КИБ "Сакура" о том, что для эндпоинта (ранее система WNAM не имела сведений о его статусе) установлен уровень безопасности Critical:

18:17:30.032 DEBUG [SakuraApi.java:86] - setSakuraState ip=10.241.200.17, status=1, sess=06c8f10a000000657191e3bf, asess=64fc8c84cf2c215471c88054, endpoint=E4:02:9B:7B:8F:B8

18:17:30.034 TRACE [ASession.java:144] - log [102] endpointProtection - Set SAKURA level: Critical [enforcing] [changed from NoAgent]

2. Попытка авторизации эндпоинта с уровнем Critical (ниже заданного порога Info), что приводит к установке RADIUS-атрибута с номером VLAN 100 :

18:17:50.049 TRACE [ASession.java:144] - log [95] authorization - override with Sakura policy: Accept, level: Critical

18:17:50.049 TRACE [ASession.java:144] - log [96] authorization - add/override attribute: VLAN ID='100'

3. Получение уведомления от сервера КИБ "Сакура" о том, что для эндпоинта (ранее система WNAM имела сведения о его статусе Critical) установлен новый статус Compliant. Производится отправка запроса на пере-авторизацию. Отображается новая попытка авторизации:

18:24:17.976 DEBUG [SakuraApi.java:86] - setSakuraState ip=10.241.200.17, status=100, sess=06c8f10a000000677194e023, asess=64fc8d46cf2c215471c88059, endpoint=E4:02:9B:7B:8F:B8

18:24:17.980 TRACE [ASession.java:144] - log [103] endpointProtection - Set SAKURA level: Compliant [enforcing] [changed from Critical]

18:24:18.084 DEBUG [ProfilingService.java:388] - EndpointPortBounceOrDisconnect for endpoint MAC E4:02:9B:7B:8F:B8, execute

18:24:18.088 TRACE [ASession.java:144] - log [104] sessionBounce - executed at: 09.09.2023 18:24:18.088

18:24:18.088 TRACE [ASession.java:144] - log [105] sessionBounce - processing delay: 0 ms.

18:24:18.096 WARN [ProfilingService.java:415] - handleEndpointPortBounceOrDisconnect Reauth status success

18:24:18.096 TRACE [ASession.java:144] - log [106] sessionBounce - reauth status: success

18:24:18.096 DEBUG [ProfilingService.java:428] - EndpointPortBounceOrDisconnect for endpoint MAC E4:02:9B:7B:8F:B8 processed in 113 ms.

18:24:18.101 DEBUG [WnamRadiusService.java:548] - handleRadiusPacket AUTH as=10.241.200.6, secret_len=6, attrs=[User-Name: host/BAL-WD-939FJB9.lab.wnam.ru, ...]

Image Removed

4. В ходе данной пере-авторизации, т.к. уровень защищенности выше порога и не изменяется, политика КИБ "Сакура" не применяется:

...

.

...