Система управления сетевым доступом WNAM 2 поддерживает динамический анализ уровня защищенности (compliance) автоматизированных рабочих мест предприятия, проводящих авторизацию сетевых подключений.

Это реализуется с применением т.н. "агентской" схемы, при которой на АРМ пользователя установлено специальное ПО, "агент безопасности", управляемое собственным сервером.

WNAM 2 поддерживает интеграцию с комплексом информационной безопасности "Сакура" (КИБ "Сакура") производства компании "ИТ-Экспертиза". КИБ "Сакура" позволяет производить контроль удалённых рабочих мест и активно реагировать на несоответствие профилям безопасности. Для этого на АРМ предприятия устанавливаются агенты мониторинга и управления (ОС Windows, ОС Linux, ОС MacOS). Агенты взаимодействуют с корпоративным сервером "Сакура" для получения правил безопасности, обновлений, отправки статуса (уровня) защищенности рабочего места. КИБ "Сакура" может быть настроена и функционировать независимо от системы WNAM 2 . Подробнее об этой системе можно узнать, обратившись в компанию-разработчика ("ИТ-Экспертиза").

Интеграция системы WNAM 2 и КИБ "Сакура" позволяет присваивать и пере-присваивать сетевые политики безопасности АРМ предприятия, подключающимся к внутренней сети, в соответствии с заданным уровнем защищенности ОС АРМ. При этом могут быть проверены:

  • наличие установленных патчей ОС;
  • наличие последних версий БД антивируса;
  • функционирование либо отсутствие функционирования, заданного набора ПО на АРМ;
  • статусы для любых других событий, которые агент КИБ "Сакура" способен распознать.

Система авторизации WNAM 2 принимает заданное администратором решение в зависимости от обнаруженного уровня защищенности АРМ. Значение уровня защищенности передаются сервером КИБ "Сакура" в сторону сервера системы WNAM 2 посредством REST API вызова (для "Сакура" версии 2) или по RADIUS протоколу (для "Сакура" версии 3). Для того, чтобы настроить отправку таких уведомлений, на сервере КИБ "Сакура" понадобится выполнить настройки, описанные в этом документе (Настройка сервера "Сакура").

Уведомления передаются:

  • при обнаружении агентом своего сервера по завершении установления сетевого подключения
  • при изменении уровня защищенности в любую из сторон: повышение, понижение

Таким образом, система WNAM 2, не имеющая собственного агента контроля уровня защищенности подключающегося устройства, использует агент КИБ "Сакура" на стадии пост-авторизации для получения сведений о защищенности и возможного пере-подключения или отключения АРМ от сети.

Поддерживаются следующие уровни защищенности, передаваемые сервером КИБ "Сакура":

  • NoAgent - агент не установлен;
  • Offline - агент был ранее установлен, но АРМ не подключен к серверу;
  • Critical - критический;
  • Noncritical - не критический/предупреждение;
  • Info - информационный;
  • Compliant - нет нарушений, соответствует политике информационной безопасности (ИБ).

Текущий уровень защищенности АРМ (фактически, сетевого эндпоинта) доступен в записи об этом эндпоинте (пользователе):

TODO картинка

Изменение записи статуса эндпоинта происходит в момент получения очередного уведомления от сервера. Дата последнего обновления изменяется, даже если статус не изменялся. В случае, если происходит изменение статуса эндпоинта, система WNAM 2 реагирует на это путем отправки RADIUS CoA-сообщения подключающему АРМ сетевому оборудованию с запросом пере-авторизации сетевой сессии.  Система WNAM 2 реагирует в момент исходной авторизации или пере-авторизации сетевой сессии с использованием методов MAC Bypass или 802.1х по протоколу RADIUS, если для совпавшего профиля авторизации выставлено правило "Политика КИБ "Сакура"": 

Дополнительно применяются заданные в интерфейсе администратора системы WNAM 2 в разделе "Главная - NAC - Дополнительно - Интеграция с сервером КИБ "Сакура" следующие параметры:

В начале производится сравнение параметра эндпоинта и его текущего уровня защищенности с заданным. Если эндпоинт не имеет текущего установленного уровня либо он ниже порога, система WNAM 2 переопределяет результирующие политики авторизации. 

Можно разрешить доступ эндпоинта в сеть, запретить доступ, либо допустить в сеть, применяя заданные в другом разделе интерфейса карантинные правила, с помещением эндпоинта в карантин.

В случае разрешения доступа, возможно переопределить следующие параметры сетевого подключения:

  • назначенный номер VLAN;
  • назначенный номер или имя списка доступа ACL;
  • назначенный (из выпадающего списка ранее подготовленных) динамически загружаемый список доступа dACL.

При этом, параметры, если они заданы, имеют больший приоритет (переопределяют) те, что были настроены в самом правиле авторизации. Если какой-то из параметров здесь не задан, но задано значение параметра в исходном правиле авторизации, используется значение из правила авторизации.

Типовой сценарий использования предполагает, что для системы авторизации WNAM 2 создается:

  • совпадающее для требуемого метода авторизации (например EAP-PEAP с проверкой учетной записи до домену ОС Windows) правило аутентификации;
  • соответствующее результирующее правило авторизации, на которое проставляется ссылка из правила аутентификации;
  • в результирующем правиле авторизации устанавливается назначение VLAN 10 c доступом к внутренним корпоративным ресурсам, а также применение политики КИБ "Сакура";
  • в настройках интеграции с КИБ "Сакура" устанавливается назначение VLAN 100 для эндпоинтов, не имеющих агентов, и для эндпоинтов с уровнем защищенности "Info" и ниже.

При этом VLAN 100 создан специально для подключения частично доверенных, т.е. прошедших аутентификацию, но не имеющих должного уровня защищенности клиентских устройств. В нем должен быть доступен только сервер КИБ "Сакура", антивирусный сервер, сервер обновлений ОС Windows и иные, специально заданные ресурсы, например сканер уязвимостей. В таком случае подключение АРМ пользователя с установленным агентом КИБ "Сакура" будет проходить следующим образом:

  1. При первоначальном подключении эндпоинта производится успешная аутентификация. Система WNAM 2 не имеет информации о статусе агента.
  2. Подключение будет авторизовано для доступа не в VLAN 10, а к нему будет применена политика КИБ "Сакура", раздел "нет информации об установленном агенте", правило Accept, назначение VLAN 100.
  3. Эндпоинт помещается в изолированный сегмент сети, производится его проверка. Сервер КИБ "Сакура" сообщает об установлении статуса "Compliant - нет нарушений".
  4. Сервер системы WNAM 2 обновляет запись о статусе и времени обновления в своей записи об эндпоинте.
  5. Сервер системы WNAM 2 отправляет сетевому оборудованию (NAS) запрос пере-авторизации данного подключения АРМ.
  6. Производится пере-подключение, срабатывает политика КИБ "Сакура", однако никакой из её разделов на совпадает (уровень Compliant выше Info).
  7. Для подключения эндпоинта применяются настроенные в правиле авторизации параметры - VLAN 10.
  8. АРМ попадает в VLAN 10 с полным доступом к корпоративным ресурсам (включая сервер КИБ "Сакура").

Внимание! В карантинном подключении, в которое вы переключаете авторизующийся эндпоинт посредством назначения VLAN, ACL либо dACL. у вас обязательно должен присутствовать сервер "Сакура".

В противном случае "не соответствующий политике" эндпоинт не сможет "вылечиться", сообщить об этом своему серверу и никогда из карантина не выйдет.

Указанный в настройках интеграции параметр "время кэширования" определяет, как долго сервер системы WNAM 2 будет считать валидным полученный ранее от сервера КИБ "Сакура" статус защищенности данного АРМ. Этот параметр требуется для того, чтобы при повторяющихся пере-авторизациях АРМ с неизменным статусом не применять к нему политик КИБ "Сакура" и не переназначать целевой VLAN/ ACL/dACL этому подключению. В то же время этот параметр определяет, что давно проверенный (например, вчера) эндпоинт, хотя и имеет запомненный статус Compliant, при новом подключении (на следующий день) не является по умолчанию доверенным, и политика переназначения ему целевых параметров должна быть применена. Это поведение можно отключить, установив значение "длительности кэширования" в 0, сделав его бесконечным. В этом случае изменение статуса и связанная с ним попытка пере-авторизации, будет диктоваться исключительно API-запросами от сервера КИБ "Сакура".

  • No labels