Для дополнительного контроля подключающегося к корпоративной сети устройства (эндпоинта) можно использовать специальные средства, имеющиеся в составе системы WNAM.
Контроль может понадобиться для того, чтобы:
- Убедиться в принадлежности подключающегося устройства организации (устройство - член домена)
- Убедиться в актуальности установленных обновлений, антивирусных баз и т.п.
- Убедиться в том, что на компьютере запущено определённое ПО, и не запущено зловредное, как предписывают ИБ-политики предприятия
Необходимо реагировать на изменение статуса контроля устройства - определение его уровня "легитимности" и "защищенности", с помещением устройства (его сетевого подключения) в специализированный сетевой сегмент. Для этого применяется карантинная политика, назначение VLAN, ACL, загружаемого ACL и т.п.
Необходимо динамически помещать устройство в карантин, и извлекать его с помещением в целевой сегмент сети, при устранении нарушения.
Существует два принципиальных способа контроля подключающихся клиентских устройств:
- Использование установленного на клиентском устройстве агента безопасности (EDR-агента), который постоянно на нём работает, и при обнаружении несоответствия корпоративным ИБ-политикам вызывает пере-авторизацию в сети. Требуется постоянно работающий агент (сервис), и сервер управления этими агентами. Пример реализации такой системы в сочетании с WNAM - КИБ "Сакура".
- Использование разовых проверок устройства при его подключении к корпоративной сети, путём взаимодействия со встроенными в его операционную систему средствами. Этот способ не требует установки специализированных агентов на устройство, но не позволяет оперативно реагировать на изменения состояния устройства в последующем. Такой способ в интеграции с WNAM описан далее.
Начиная с версии 1.6.4565 (17/0/2025) WNAM имеет в своём составе отдельный сервис проверки эндпоинтов, EndpointCheck. Он позволяет производить подключение к авторизующемуся компьютеру по протоколу winrm (Powershell Remoting) с последующей попыткой выполнения на нём вашего собственного сценария Powershell. Конечно, данный способ будет работать только для доменных компьютеров под управлением ОС Windows, с корректно настроенной службой удалённого управления. При этом произвольный PS-сценарий, который администратор системы может самостоятельно разработать, проверяет а) саму возможность подключения к компьютеру, успех чего свидетельствует о принадлежности устройства к домену и б) позволяет выполнить сколь угодно сложные проверки состояния компьютера.
Сервис EndpointCheck устанавливается и запускается на том же сервере, где работает ПО WNAM, либо на любом другом Linux-сервере в сети предприятия. Он получает API-запросы от WNAM, формирующиеся при авторизации эндпоинта через специально настроенное правило Aвторизации, и принимает ответ от Windows-компьютера с результатами выполнения PS-скрипта. В случае изменения статуса эндпоинта сетевому оборудованию отправляется команда на пере-авторизацию порта, и с последующим применением нужной политики безопасности сетевого подключения.
Настройка механизма проверки эндпоинта состоит из следующих стадий:
- Получение и установка сервиса EndpointCheck. Обратитесь в техническую поддержку компании "Нетамс" за дистрибутивом.
- Настройка службы удаленного управления Windows (WS-Management), выполняемая вручную, либо средствами групповой политики Windows. Поддерживается HTTP-подключение с NTLM-авторизацией доменного пользователя.
- Создание проверочного Powershell-скрипта. Вы можете написать любой скрипт, который в случае успеха выдаёт код возврата 0, неудачи - любой другой, и короткую текстовую строку статуса в стандартный вывод. Пример скрипта - производит получение версии Windows.
- Настройка действий, осуществляемых при подключении эндпоинта, не прошедшего проверку. Здесь назначаются переопределяющие сетевые правила, различные таймеры. Действие производится в разделе "Конфигурация - Корпоративные настройки - Интеграция с сервисом проверки эндпоинтов":
- Настройка адреса (REST API) сервиса EndpointCheck, логина и пароля пользователя, от имени которого будет проводиться WinRM-подключения. Действие производится в разделе "Конфигурация-Дополнительные настройки":
- Настройка правила авторизации, в котором по умолчанию задаётся целевой VLAN, dACL и т.п. для случая успешной проверки состояния эндпоинта (когда она завершилась успехом в пределах тайм-аута), и ссылкой на необходимость запуска такой проверки:
- Настройка сервера доступа (NAS) с поддержкой функции CoA, правил аутентификации, интеграция со службой каталога и т.п.
Система проверки эндпоинта требует работоспособного механизма сброса текущей сессии пользователя с его последующей пере-авторизацией. Он работает по механизму RADIUS CoA.
Поскольку авторизация работает на основе MAC-адреса эндпоинта, а последующий запрос WinRM-сервиса производится по его IP-адресу, требуется надежная работоспособность функции DHCP-snooping на сетевом оборудовании, либо интеграция WNAM с DHCP-сервером.
Система проверки эндпоинта может работать и на 802.1Х подключениях, и на МАВ-подключениях. Обратите внимание, что при включении компьютера в сеть авторизация по МАС-адресу производится сетевым оборудованием, как только начинает функционировать сетевая карта. При этом запрос статуса эндпоинта помещается в очередь, и повторяется указанное в настройках число раз с заданными интервалами (по умолчанию три раза каждые 30 секунд) с тем, чтобы дождаться загрузки ОС, и всё же выполнить в ней PS-скрипт.
Рассмотрим пример первоначального подключения устройства к сети.
При авторизации WNAM не имеет известных данных по эндпоинту, что вызывает срабатывание политики переопределения доступа - в данном случае назначается "карантинный" VLAN 409.
WNAM проводит несколько попыток получения сведений о компьютере за этим IP-адресом, в конце концов они получены:
Это вызывает переавторизацию порта, и назначение нового VLAN (1):
В результате, легитимное устройство оказывается в заданном правилом сегменте сети.
Если подключающееся устройство не легитимно (не является членом домена, или не проходит проверку скриптом), тогда EndpointCheck вернет ошибочный статус эндпоинта, и WNAM не осуществит сетевое пере-подключение, оставив устройство в карантинном VLAN.