Для дополнительного контроля подключающегося к корпоративной сети устройства (эндпоинта) можно использовать специальные средства, имеющиеся в составе системы WNAM.
Контроль может понадобиться для того, чтобы:
Необходимо реагировать на изменение статуса контроля устройства - определение его уровня "легитимности" и "защищенности", с помещением устройства (его сетевого подключения) в специализированный сетевой сегмент. Для этого применяется карантинная политика, назначение VLAN, ACL, загружаемого ACL и т.п.
Необходимо динамически помещать устройство в карантин, и извлекать его с помещением в целевой сегмент сети, при устранении нарушения.
Существует два принципиальных способа контроля подключающихся клиентских устройств:
Начиная с версии 1.6.4565 (17/0/2025) WNAM имеет в своём составе отдельный сервис проверки эндпоинтов, EndpointCheck. Он позволяет производить подключение к авторизующемуся компьютеру по протоколу winrm (Powershell Remoting) с последующей попыткой выполнения на нём вашего собственного сценария Powershell. Конечно, данный способ будет работать только для доменных компьютеров под управлением ОС Windows, с корректно настроенной службой удалённого управления. При этом произвольный PS-сценарий, который администратор системы может самостоятельно разработать, проверяет а) саму возможность подключения к компьютеру, успех чего свидетельствует о принадлежности устройства к домену и б) позволяет выполнить сколь угодно сложные проверки состояния компьютера.
Сервис EndpointCheck устанавливается и запускается на том же сервере, где работает ПО WNAM, либо на любом другом Linux-сервере в сети предприятия. Он получает API-запросы от WNAM, формирующиеся при авторизации эндпоинта через специально настроенное правило Aвторизации, и принимает ответ от Windows-компьютера с результатами выполнения PS-скрипта. В случае изменения статуса эндпоинта сетевому оборудованию отправляется команда на пере-авторизацию порта, и с последующим применением нужной политики безопасности сетевого подключения.
Система проверки эндпоинта требует работоспособного механизма сброса текущей сессии пользователя с его последующей пере-авторизацией. Он работает по механизму RADIUS CoA. Поскольку авторизация работает на основе MAC-адреса эндпоинта, а последующий запрос WinRM-сервиса производится по его IP-адресу, требуется надежная работоспособность функции DHCP-snooping на сетевом оборудовании, либо интеграция WNAM с DHCP-сервером. |
Система проверки эндпоинта может работать и на 802.1Х подключениях, и на МАВ-подключениях. Обратите внимание, что при включении компьютера в сеть авторизация по МАС-адресу производится сетевым оборудованием, как только начинает функционировать сетевая карта. При этом запрос статуса эндпоинта помещается в очередь, и повторяется указанное в настройках число раз с заданными интервалами (по умолчанию три раза каждые 30 секунд) с тем, чтобы дождаться загрузки ОС, и всё же выполнить в ней PS-скрипт.
При авторизации WNAM не имеет известных данных по эндпоинту, что вызывает срабатывание политики переопределения доступа - в данном случае назначается "карантинный" VLAN 409.
WNAM проводит несколько попыток получения сведений о компьютере за этим IP-адресом, в конце концов они получены:
Это вызывает переавторизацию порта, и назначение нового VLAN (1):
В результате, легитимное устройство оказывается в заданном правилом сегменте сети.
Если подключающееся устройство не легитимно (не является членом домена, или не проходит проверку скриптом), тогда EndpointCheck вернет ошибочный статус эндпоинта, и WNAM не осуществит сетевое пере-подключение, оставив устройство в карантинном VLAN.