Port based network access control
ИТ База знаний
Полезно
— Узнать IP — адрес компьютера в интернете
— Онлайн генератор устойчивых паролей
— Онлайн калькулятор подсетей
— Калькулятор инсталляции IP — АТС Asterisk
— Руководство администратора FreePBX на русском языке
— Руководство администратора Cisco UCM/CME на русском языке
— Руководство администратора по Linux/Unix
Навигация
Серверные решения
Телефония
FreePBX и Asterisk
Настройка программных телефонов
Корпоративные сети
Протоколы и стандарты
Популярное и похожее
Модель OSI – это просто!
TCP и UDP – в чем разница?
Задержки в сети
TKIP, CCMP и GCMP. Про безопасность Wi-Fi
Зачем вам 802.1X и что он решает?
4 минуты чтения
Представьте себе, что рядом с вами в организации есть сетевая розетка и все, что туда подключается, автоматически получает туда доступ. Любые устройства — даже если они являются «шпионскими» или не авторизованными.
Вы конечно скажете — но есть же простой, как тапок, протокол под названием Port Security!
Верно, но как он работает? Вы либо указываете MAC-адрес, который может подключиться к порту и получить доступ в сеть, либо указываете какое-то количество таких MAC адресов, которые будут динамически опознаны коммутатором или смешиваете два этих способа.
Но что если вы находитесь в публичной зоне, например там, куда вы приглашаете клиентов, или, к примеру вы находитесь на некой веранде, откуда зачастую можно работать. Там внедрён Port Security, все нормально.
Но вдруг ваш ноутбук кто-то умудрился ловко спереть и что тогда? У кого-то постороннего появится доступ в вашу сеть, так как доступ по его MAC-адресу разрешен. Тут-то и вступает в дело 802.1X — он позволяет проводить аутентификацию не устройства, но пользователя. Таким образом, если устройство будет украдено, злоумышленники все равно не получат доступ в сеть.
Логичным вопросом будет «Как же я обеспечу гостей доступом в сеть без предоставления им полного доступа»? Ответ — легко, и вариантов десятки: гостевая учетка и гостевой VLAN, специальный портал саморегистрации для гостей и так далее и тому подобное.
Также некоторые скажут — ну конечно, у меня в компании доступ к беспроводной сети так и организован, через синхронизацию с AD и по учетным записям пользователей. Но как это работает в случае проводного доступа? Сразу отвечу, что 802.1X используется как в беспроводной сети, так и в проводной. Подробнее о принципе действия, его компонентах я расскажу ниже.
Из чего состоит 802.1X
У 802.1X есть три основных компонента — суппликант, аутентификатор и сервер аутентификации. Суппликант — это ваше оконечное устройство и пользователь с определенным ПО (здесь нет смысла углубляться в различные виды суппликантов).
Аутентификатор — это коммутатор или точка доступа (первое сетевое устройство уровня доступа, на который пришел трафик с суппликанта.
И, наконец, сервером аутентификации является специальное ПО или устройство, принадлежащее к классу NAC — Network Access Control, или средствам контроля сетевого доступа. Конкретный класс решений для реализации 802.1X называется RADIUS-сервером.
Итак, порядок подключения следующий: вы пытаетесь получить доступ в сеть и аутентификатор говорит — предъявите, пожалуйста документы. Ваше устройство (суппликант) предоставляет нужную информацию — логин и пароль, сертификат, обе этих сущности вместе и прочие. Далее аутентификатор отправляет полученную информацию на сервер аутентификации и ждёт ответа. Далее, в базовом варианте, сервер аутентификации отправит обратно на аутентификатор разрешение и после этого аутентификатор разрешение суппликанту. До этого момента почти никакой трафик разрешен не будет!
Важно понимать, что в сторону аутентификатора уходит фрейм с определенным регистром (для этого и нужен суппликант), а аутентификатор энкапсулирует отправляет полученную информацию от суппликанта в сторону сервера аутентификации как IP – пакет (чтобы его можно было маршрутизировать).
Протоколы в технологии 802.1X
Давайте теперь подробнее поговорим о протоколах в этой технологии – так как 802.1X являет собой неикий собирательный термин. Основных протоколов 2 – EAPoL (Extensible Authentication Protocol over LAN) и RADIUS (Remote Authentication Dial-In User Service).
Есть очень простые и не очень безопасные формы EAP и очень надежные, но крайне сложные в настройке. В простейшем виде будет необходим только логин и пароль. В более сложных – сертификат, токен и прочее. Есть правило – чем проще настроить EAP – тем он менее взломостойкий и наоборот 🙂
В наше время одним из популярных и очень умных RADIUS – серверов является Cisco ISE. Он позволяет авторизовывать пользователей в зависимости от их контекста: Что за устройство? Кто? Где? Когда? Было ли устройство скомпрометировано ранее? и автоматически профилировать каждое подключенное устройство для того, чтобы понимать какие устройства есть у вас в сети и в каком состоянии они находятся – многие даже не подозревают о том, как много у них в организации подключено неизвестных устройств (при количестве пользователей более 1000).
Ниже на диаграмме можно увидеть весь процесс установления соединения при использовании 802.1X:
Полезна ли Вам эта статья?
Пожалуйста, расскажите почему?
Нам жаль, что статья не была полезна для вас 🙁 Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!
Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации 🙂 Просто оставьте свои данные в форме ниже.
Контроль доступа к сети — Network Access Control
Контроль доступа к сети ( NAC ) является подходом к компьютерной безопасности , которая пытается объединить конечную точку безопасности технологии (например, антивирус , система предотвращения вторжений хозяина и оценки уязвимости ), пользователь или системы аутентификации и безопасность сети органам.
содержание
Описание
Контроль доступа к сети (NAC) является компьютерной сетью решением , которое использует набор протоколов для определения и реализации политики , которая описывает , как обеспечить доступ к сетевым узлам с помощью устройств , когда они сначала пытаются получить доступ к сети. НСС может интегрировать автоматический процесс исправления (фиксации несоответствующих узлов , прежде чем разрешить доступ) в сетевых системах, позволяя сетевой инфраструктуры , таких как маршрутизаторы, коммутаторы и межсетевые экраны работать вместе с задними офисных серверов и конечного пользователя вычислительного оборудования для обеспечения информационной системы надежно работает перед тем совместимость допускается. Основная форма NAC является 802.1X стандартом.
Контроль доступа к сети стремится сделать именно то , что доступ следует из названия-управления к сети с политикой, в том числе догоспитальной проверки политики безопасности конечных точек и управления после приема более , где пользователи и устройства могут пойти в сети и что они могут сделать.
пример
Когда компьютер подключается к компьютерной сети, не разрешен доступ, если ничего не соответствует бизнес-определенной политики; включая уровень антивирусной защиты, уровень обновления системы и настройки. Пока компьютер проверяется с помощью предварительно установленного программного агента, он может получить доступ только к ресурсам, которые могут устранять (разрешать или обновить) любые вопросы. После того, как политика соблюдена, компьютер может получить доступ к сетевым ресурсам и Интернету, в рамках политики, определенной в рамках системы NAC. NAC в основном используется для проверки состояния здоровья конечных точек, но это часто связанно с ролевым доступом. Доступ к сети будет предоставлен в соответствии с профилем личности и результатами проверки осанки / здоровья. Например, на предприятии отдел кадров может иметь доступ только к файлам отдел кадров, если и роль и конечная точка отвечают антивирусные минимумы.
Цели NAC
Поскольку NAC представляет вытекая категорию безопасности продуктов его определение как развивается и противоречивые. Общие цели концепции можно перегнать, как:
- Смягчение не-атак нулевого дня
- Авторизация, аутентификация и учет сетевых соединений.
- Шифрование трафика в беспроводной и проводной сети с использованием протоколов 802.1X, таких как EAP-TLS, EAP-PEAP или EAP-MSCHAP.
- На основе ролей управления пользователя, устройства или приложения после аутентификации осанки безопасности.
- Автоматизация с помощью других инструментов, чтобы определить сетевую роль на основе другой информации, такой как известные уязвимости, джейлбрейк статус и т.д.
- Основное преимущество решений NAC является предотвращение конечных станций , которые не имеют антивирус, патчи, или программное обеспечение предотвращения вторжений от доступа к сети и размещения других компьютеров на риске перекрестного заражения компьютерных червей .
- правоприменительная политика
- Решения NAC позволяют операторам сети определять политику, такие как типы компьютеров или ролей пользователей , которым разрешен доступ областей сети, и обеспечить их соблюдение в коммутаторах, маршрутизаторах и сетевое middleboxes .
- Управление идентификацией и доступом
- Там , где обычные IP — сети применять политику доступа с точки зрения IP — адресов , NAC среды пытаются сделать это , основываясь на прошедших проверку подлинности идентификаторами пользователей, по крайней мере , для пользователей конечных станций , таких как ноутбуки и настольные компьютеры.
Концепции
Предварительное признание и пост-прием
Есть два преобладающие конструкция в NAC, в зависимости от того, применяется политика до или после того, как конечные станции получают доступ к сети. В первом случае, называется предварительно прием NAC, конечные станции проверяются до того , допускается по сети. Типичный случай использования предварительного допуска NAC будет препятствовать клиентам неприменяющейся антивирусных сигнатур от разговоров к конфиденциальным серверам. С другой стороны , после допуска NAC делает правоприменительные решения , основанные на действиях пользователя, после того, как те пользователи , которые были обеспечены доступом к сети
Агент против Безагентного
Основная идея заключается в NAC позволяет сеть принимать решение контроля доступа на основе разведки о конечных системах, так что порядок , в котором сеть информируется о конечных системах является ключевым дизайнерским решением. Основное различие между NAC системами требуют ли они программное обеспечения агента сообщать конечные характеристики системы, или они используют сканирование и сеть инвентаризации методы различать эти характеристики дистанционно.
Как NAC созрел, разработчики программного обеспечения , такие как Microsoft приняли подход, обеспечивая их защиту доступа к сети (NAP) агента в качестве части их Windows 7, Vista и XP отпускает. Есть также NAP совместимых агентов для Linux и Mac OS X , которые обеспечивают равный интеллект для этих операционных систем.
Из внеполосных по сравнению с инлайн
В некоторых системах вне-группа, агенты распределены на конечных станциях и сообщать информацию в центральную консоль, которая , в свою очередь , может контролировать переключатели для обеспечения соблюдения политики. В отличии от инлайн решение может быть одно- коробкой решением , которые действуют в качестве внутренних брандмауэров для сетей уровня доступа и обеспечить соблюдение политики. Из-внеполосных решения имеют преимущество повторного использования существующей инфраструктуры; встроенные продукты могут быть проще в развертывание новых сетей, и могут обеспечить более расширенные возможности сетевого принуждения, потому что они находятся непосредственно в управлении отдельных пакетов на проводе. Тем не менее, есть продукты, которые Безагентные и имеют как преимущества , присущие более легкое, менее рискованное развертывания вне полосы, но и использовать методы , чтобы обеспечить эффективность инлайна для несоответствующих устройств, где требуются исполнение.
Рекультивация, карантин и пленные порталы
Сетевые операторы развертывание продуктов NAC с ожиданием того, что некоторые законные клиенты будут лишен доступом к сети (если пользователи никогда не были устарелыми уровнями патча, NAC будет ненужным). Из-за этого, NAC решения требуется механизм для устранения проблем конечных пользователей, которые лишают их доступ.
Две общих стратегий реабилитации карантинные сети и пленные порталы :
карантинный Карантинная сеть запретной IP сеть , которая предоставляет пользователям маршрутизируемого доступ только к определенным хостам и приложениям. Карантин часто реализуется через VLAN задания; когда продукт NAC определяет , что конечный пользователь устарелым, их порт коммутатора назначается VLAN , который направляется только патч и обновления серверов, а не к остальной части сети. Другие решения используют методы управления адресов (например, Address Resolution Protocol (ARP) или протокол NDP (НДП)) на карантин, избегая накладные расходы на управление карантином сетями VLAN. Пленница порталы Адаптивный портал перехватывает HTTP доступ к веб — страницам, перенаправляя пользователей на веб — приложение , которое предоставляет инструкции и средства для обновления своего компьютера. Пока их компьютер не проходит автоматизированный контроль, не использование сети помимо пленного портала не допускается. Это похоже на то , как оплачиваемую работу беспроводного доступа в точках общественного доступа. Внешние Пленница порталы позволяют организациям разгрузить беспроводные контроллеры и коммутаторы от хостинга веб-порталов. Единый внешний портал размещается в оповещателях для беспроводной и проводной аутентификации устраняет необходимость создания нескольких порталов, и объединяет процессы управления политиками.
Мобильный NAC
Использование NAC в мобильном развертывании, где рабочие подключения через различные беспроводные сети на протяжении всего рабочего дня, включает в себя проблемы, которые не присутствуют в проводной локальной среде. Когда пользователь будет отказано в доступе из — за безопасности концерна, производительное использование устройства теряется, что может повлиять на способность завершить работу или обслуживать клиента. Кроме того, автоматизированное восстановление , что занимает всего несколько секунд на проводное подключении может занять несколько минут , в течение более медленного подключения к беспроводной сети передачи данных, срывание устройства. Мобильное решение NAC предоставляет системным администраторам больший контроль над ли, когда и как устранять беспокойство безопасности. Меньший класс относится такие , как устарелые антивирусные сигнатуры могут привести к простому предупреждению для пользователя, в то время как более серьезные проблемы могут привести к отфильтровывая устройства. Политика может быть установлена таким образом, что автоматизированное восстановление, например, выталкивая и применение безопасности патчи и обновления, удерживаются до тех пор , пока устройство подключено через Wi-Fi или быстрое соединение, или после окончания рабочего дня. Это позволяет администраторам наиболее соответствующим образом сбалансировать необходимость защиты от цели сохранения рабочих продуктивным.
Port based network access control
Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.
NAC (Network Access Control) — комплекс технических средств и мер, обеспечивающий контроль доступа к сети на основании информации о пользователе и состоянии компьютера, получающего доступ в сеть, в частности на основе информации о его программном обеспечении.
Содержание
[править] Основные понятия
[править] Терминология NAC
Network Admission Control – термин, который употребляется как синоним NAC (Network Access Control). Этот термин применяется Cisco Systems для их решений в области NAC.
Политика контроля доступа –
Проверка устройства – проверка соответствия устройства политике контроля доступа.
Pre-connection проверка – проверка до предоставления устройству доступа в сеть.
Post-connection проверка – периодическая проверка после предоставления устройству доступа в сеть.
[править] Что такое NAC
NAC обеспечивает контроль за тем, к каким участкам сети и к каким приложениям получит доступ пользователь на основании:
- информации о пользователе, который подключается;
- информации о состоянии компьютера (установленное программное обеспечение, наличие обновлений и др.);
- времени подключения;
- точки подключения.
Конкретные реализации NAC могут учитывать все эти критерии, часть из них, или учитывать какие-то дополнительные критерии.
Назначение правил контроля доступа специфических для конкретного пользователя, с учетом вышеперечисленных критериев, происходит как только он проходит все необходимые проверки (pre-connection). После применения правил контроля доступа происходят периодические повторные проверки соответствия политикам контроля доступа (post-connection).
Правила контроля доступа могут применяться с помощью:
- Назначения пользователя в VLAN;
- Применения ACL;
- Ограничений пропускной способности.
В различных решениях NAC могут быть такие дополнительные возможности как, например, функциональность систем предотвращения вторжений.
В зависимости от того, какое решение NAC используется, правила ограничения и контроля доступа могут применяться на различных устройствах:
- Сетевом оборудовании (например, коммутатор);
- Компьютерах, с помощью установленных агентов;
- Устройствах, которые обеспечивают функциональность NAC.
[править] Использование NAC
Решения обеспечивающие NAC сейчас очень популярны, однако за рекламой производителей не всегда понятно где и когда применять их решения и их реальные возможности.
[править] Архитектура решения Trusted Network Computing
[править] Архитектура решения HP ProCurve
[править] Архитектура решения Cisco Network Admission Control
[править] Архитектура решения Microsoft Network Access Protection
NAP не предназначен для защиты сети от умышленных атак. Он разработан для того чтобы помочь администраторам автоматически поддерживать состояние «здоровья» компьютеров в сети. Например, если на компьютере установлено всё программное обеспечение и необходимые настройки, которые требует политика «здоровья», то компьютер получает неограниченный доступ в сеть.
Платформа NAP требует серверной части Windows Server 2008 и клиентов Windows Vista, Windows Server 2008, или Windows XP Service Pack 3.
[править] Компоненты NAP
NAP это платформа которая предоставляет компоненты инфраструктуры и API для добавления компонент, которые проверяют и оценивают «здоровье» компьютера и применяют различные типы доступа к сети или коммуникации.
System Health Agents и System Health Validators
Компоненты инфраструктуры NAP, известные как system health agents (SHA) и system health validators (SHV), обеспечивают сбор информации о состоянии «здоровья» и её оценку. В Windows Vista и Windows XP Service Pack 3 есть Windows Security Health Validator SHA, который мониторит настройки Windows Security Center. В Windows Server 2008 есть соответствующий Windows Security Health Validator SHV. NAP позволяет организовать взаимодействие с программным обеспеченим любого производителя, который предоставит SHA и SHV, которые используют NAP API.
[править] Компоненты и методы внедрения
Компоненты NAP известны как клиенты применения (enforcement clients, EC) и сервера применения (enforcement servers, ES) требуют проверки состояния «здоровья» и применения ограниченного доступа к сети к клиентам, которые не соответствуют требованиям.
Windows Vista, Windows XP Service Pack 3 и Windows Server 2008 поддерживают такие типы доступа для внедрения NAP:
- Internet Protocol security (IPsec)
- IEEE 802.1X
- VPN
- Dynamic Host Configuration Protocol (DHCP)
- Terminal Server (TS) Gateway
Эти типы доступа или коммуникаций известны также как методы применения NAP. Администраторы могут использовать их отдельно или вместе для ограничения доступа клиентам, которые не соответствуют требованиям политик контроля доступа.
Network Policy Server (NPS) в Windows Server 2008 работает как сервер политик здоровья (health policy server) для всех методов применения NAP.
[править] IPsec
В методе применения IPsec, компьютер должен соответствовать требованиям политики контроля доступа (быть «здоровым»), для того чтобы инициировать коммуникации с другими «здоровыми» компьютерами. Так как этот метод использует протокол IPsec, то администратор может определить требования для защищенных коммуникаций на основе адресов или портов.
Метод применения IPsec определяет коммуникации между «здоровыми» компьютерами после того как они успешно подключились к сети и получили насройки IP. Это самый безопасный метод в архитектуре NAP.
Компоненты метода применения IPsec состоят из Health Registration Authority (HRA) на Windows Server 2008 и IPsec Relying Party EC в Windows Vista, Windows XP Service Pack 3 и Windows Server 2008.
HRA выдает X.509 сертификаты для клиентов NAP после того как они доказали свое соответствие политикам контроля доступа. Затем эти сертификаты используются для аутентификации между клиентами NAP, когда они инициируют IPsec-соединение с другими клиентами NAP в локальной сети.
[править] 802.1X
В методе применения 802.1X, компьютер должен соответствовать требованиям политики контроля доступа, для того чтобы получить неограниченный доступ в сеть через аутентификатора (коммутатор или точку доступа). Для «нездоровых» компьютеров доступ к сети ограничивается с помощью ограниченного профайла доступа, который применяется на коммутаторе или точке доступа.
В профайле может содержаться ACL, который будет применен или VLAN, в который будет помещен компьютер. Требования политики доступа применяются каждый раз, когда компьютер пытается получить доступ к сети через устройство 802.1X. После подключения состояние «здоровья» активно отслеживается и в случае, если клиент более не соответствует политике контроля доступа, то к нему применяется профайл ограниченного доступа.
Компоненты метода применения 802.1X — это NPS в Windows Server 2008 и EAP Quarantine EC в Windows Vista и Windows Server 2008. Для Windows XP Service Pack 3 существуют отдельные EC для проводных и беспроводных соединений. Метод внедрения 802.1X обеспечивает надежный доступ в сеть для всех компьютеров, которые подключаются через устройства 802.1X.
[править] VPN
В методе применения VPN, компьютер должен соответствовать требованиям политики контроля доступа (быть «здоровым»), для того чтобы получить неограниченный доступ через удаленное соединение VPN.
Для компьютеров, которые не прошли проверку доступ в сеть ограничен с помощью применения ACL к соединениям на VPN-сервере. Требования политики доступа применяются каждый раз, когда компьютер пытается получить удаленный доступ к сети через VPN-сервер. После подключения состояние «здоровья» активно отслеживается и в случае, если клиент более не соответствует политике контроля доступа, то к его VPN-соединению применяется ACL для ограничения доступа.
Компоненты метода применения VPN — это NPS в Windows Server 2008 и Remote Access Quarantine EC в Windows Vista, Windows XP Service Pack 3 и Windows Server 2008. Метод внедрения VPN обеспечивает надежный доступ в сеть для всех компьютеров, которые подключаются в сеть через удаленные VPN-соединения.
[править] DHCP Enforcement
В методе применения DHCP, компьютер должен соответствовать требованиям политики контроля доступа (быть «здоровым»), для того чтобы получить IPv4 настройки с неограниченным доступом от DHCP-сервера.
Для компьютеров, которые не прошли проверку, доступ в сеть ограничен с помощью применения настроек IPv4, которые разрешают доступ только к ограниченной части сети.
Требования политики доступа применяются каждый раз, когда компьютер пытается получить или обновить настройки IPv4. После подключения состояние «здоровья» активно отслеживается и в случае, если клиент более не соответствует политике контроля доступа, то его IPv4 настройки обновляются для того чтобы клиент получил доступ в ограниченную сеть.
Компоненты метода применения DHCP — это DHCP ES, который является частью DHCP Server service в Windows Server 2008 и DHCP Quarantine EC в Windows Vista, Windows Server 2008 и Windows XP Service Pack 3.
Так как DHCP-метод основан на выдаче ограниченной IPv4 конфигурации, которая может быть переписана пользователем с правами администратора, то это самый слабый метод внедрения в NAP.
[править] Другие решения NAC
- McAfee
- Symantec
- ForeScout
[править] Дополнительная информация
- NAC Resources (англ.) — очень хорошая коллекция ссылок по теме Network Access Control. Тут есть как материал общего характера, так и ссылки на описание решений NAC от различных производителей. Ссылки по теме 802.1x и примеры конфигурационных файлов различных устройств (Aruba, Cisco, Enterasys, Extreme, HP, Juniper, NetScreen, Nortel)
- Secure Access Central (англ.) — информация о SSL VPNs, network admission control, network access control и identity-based access management
[править] Standard-based NAC
- Network Access Control (NAC) Initiative 2007 (англ.)
- NAC: Proceed with caution (англ.)
- NAC: Now or later? (англ.)
[править] Cisco NAC
- NAC competition: Cisco’s network control (англ.)
- Контроль доступа в сеть
- Cisco going open source with NAC client (англ.) —
[править] Juniper Unified Access Control (UAC)
Unified Access Control (англ.) Описание технологии и продуктов, ее реализующих.
[править] Microsoft Network Access Protection (NAP)
В Windows Server 2008 появился новый сервер — Network Policy Sever, который пришёл на замену Internet Authentication Server (IAS). Одна из причин, почему его можно использовать — поддержка Network Access Protection (NAP).
Российский опыт применения NAC
Контроль за конечными сетевыми устройствами в компании — постоянная головная боль сразу трех отделов: ИТ, информационной безопасности и сетевого. Несмотря на то что задачи у них разные, каждый должен убедиться, что подключаемые к сети пользовательские устройства безопасны и их конфигурации соответствуют установленным правилам доступа к корпоративным ресурсам.
Для этой цели существует технология . На российском рынке данная технология представлена в основном в решениях Cisco Network Admission Control (Cisco NAC), Symantec Network Access Control (Symantec NAC), Microsoft Network Access Protection (Microsoft NAP) и Juniper Networks Unified Access Control. Постараемся объяснить на конкретных примерах её суть.
Идея NAC проста. Мы хотим получить информацию о любом устройстве, которое подключается к сети (ноутбук, принтер, IP-телефон, МФУ и т. п.) из любой точки и любым способом (Ethernet, Wi-Fi, VPN и пр.), и в автоматическом режиме принять решение по данному устройству или пользователю: пустить/не пустить/пустить с ограничениями. На этом этапе возникают вопросы, связанные с проверкой устройства на соответствие корпоративным политикам доступа в сеть.
Схема применения NAC приведена на рисунке. Рассмотрим порядок работы системы.
- Устройство подключается к сети. Сервер принятия решений получает уведомление о новом сетевом устройстве.
- Сервер принятия решений инициирует процесс проверки устройства на соответствие правилам безопасности.
- Устройство пересылает запрошенные сервером данные.
- Полученные данные сервер принятия решений пересылает на внутренние серверы (LDAP, антивирус, сервер обновлений ПО) и от каждого из них получает решение о степени соответствия.
- Устройству передаётся результат проверки. Применяются правила или на самом устройстве, или на устройстве применения политик.
- Устройство получает доступ к сети — полный, ограниченный или только к серверам обновлений.
Сценарии использования NAC в корпоративной сети
Самым простым вариантом использования NAC является запрет на доступ в сеть устройств, не соответствующих политике безопасности. Допустим, в компании требуется, чтобы на всех компьютерах, работающих под управлением Windows, были установлены последние критические обновления ОС, корпоративный антивирус и т. д. Если хотя бы одно их этих требований не выполнено, то компьютер в сеть допущен не будет. Этот вариант обычно комбинируется с другими.
В следующем примере рассмотрим более распространенный случай. В больших компаниях сеть часто бывает разделена на сегменты по подразделениям и отделам. Такое сегментирование, как правило, выполняется с помощью виртуальных сетей (VLAN). Технология NAC позволяет по принадлежности сотрудника к тому или иному подразделению подключить его в соответствующий сегмент VLAN. Для этого используется корпоративная служба каталогов, скажем, Microsoft Active Directory.
Другим примером контроля доступа является разделение корпоративной сети на рабочий и карантинный сегменты.
Карантинный сегмент предназначен для компьютеров, которые по каким-то пунктам не соответствуют установленным политикам; он содержит серверы обновлений, чтобы компьютеры пришли в состояние, требуемое политикой безопасности сети. В этом случае с помощью NAC можно не только проверить пользовательские устройства на соответствие политикам безопасности, но и заставить выполнять эти политики. NAC поможет компьютеру обновить ОС, антивирус, включить межсетевой экран и т. п. После этого компьютер опять подвергается проверке и в случае выполнения всех условий помещается в рабочий сегмент сети.
Разделение сети на рабочий и карантинный сегменты — это не самый сложный вариант, сегментов может быть столько, сколько необходимо. С помощью технологии NAC можно организовать контроль доступа в корпоративную сеть партнёров, сотрудников филиалов и гостей: на основании информации, полученной от компьютера партнёра/сотрудника/гостя, им предоставляется доступ к необходимым внутренним ресурсам.
Помимо перечисленных примером технология NAC позволяет контролировать состояние устройств, подключаемых удалённо. При дистанционном подключении к корпоративной сети через VPN тоже проводится проверка состояния компьютера на соответствие политикам сети и принимается соответствующее решение.
Рассмотрим компоненты NAC. Самым сложным в схеме решения NAC, на наш взгляд, является среда применения политик. Наиболее распространённые варианты такой среды приведены в табл. 1. Возможные варианты клиентов, запрашивающих доступ в сеть, сведём в табл. 2. В качестве сервера принятия решений выступают продукты разных вендоров, например Cisco NAC Appliance, Cisco ACS, Microsoft NPS, Symantec SEPM и т. п.
Основные причины неудачных внедрений
О внедрении решений с применением технологии NAC думают многие компании, однако реально работающих систем в нашей стране мало. Мы можем назвать ряд причин этого обстоятельства.
На рынке много предложений от разных вендоров, из которых трудно выбрать наиболее подходящее. Одни вендоры (например, Cisco, Juniper, Microsoft) утверждают, что возможности их решений практически безграничны и с ними можно интегрировать все ИТ-системы заказчика. Другие (скажем, Trend Micro, Sophos) упирают на то, что их решение идеально интегрируется именно с их продуктами, и хотя возможности этих решений ограничены, они позволяют оперативно справиться с любой конкретной задачей.
В первом случае возможности действительно велики, но нужно убедиться, что все устройства и сервисы заказчика, которые придется интегрировать с NAC-решением, поддерживаются его поставщиком. Показательно, что на данный момент Cisco Systems не является партнёром Microsoft по NAP (реализация технологии NAC, предлагаемая Microsoft), однако это не мешает использовать NAP в сетях, построенных на оборудовании Cisco. Во втором случае заказчик становится заложником ограниченного функционала и решений от одного вендора, но зато задача в целом упрощается и решается в более короткие сроки.
Хотя технология NAC лежит на стыке интересов служб ИТ и ИБ, основным ее заказчиком и потребителем построенных на ней решений должен быть отдел, отвечающий за ИТ-инфраструктуру, а не за безопасность. Отдел информационной безопасности должен выступать в роли консультанта, например, при разработке политик доступа к сети. Но, как показывает опыт, каждая компания решает данный вопрос, как может. Это сильно зависит от той роли и тех полномочий, которыми обладают ИТ-отдел и отдел безопасности в той или иной конкретной организации.
NAC — всегда гибрид
Мы считаем, что в России есть три лидирующих решения NAC (наша оценка связана не столько с функциональными возможностями продуктов, сколько с позицией вендора и возможностью получить помощь при внедрении и сопровождении продукта). Это Cisco NAC, Symantec NAC и Microsoft NAP. Практически всегда мы приходили к схеме использования решения как минимум двух вендоров (а иногда и трех), и всегда одним из них была компания Microsoft. Дело в том, что в Vista и XP SP3 встроен клиент для работы с NAC. (На текущий момент существуют клиенты и для других операционных систем, например для Linux и для Mac OS, но они пока не так функциональны, как клиенты для Windows). А про cвои продукты лучше всего знает сама Microsoft, поэтому потребуется NPS (Network Police Server). С другой стороны, применение политик на уровне сетевых устройств — не самое сильное место в Microsoft NAP. Поэтому приходится смотреть в сторону Cisco или Symantec.
Cisco 802.1x и Windows Server 2012R2 NAP
Оценка: 87.21 % — 14 Голосов
Общая
802.1x является стандартом авторизации и аутентификации пользователей и компьютеров в сети передачи данных. Данный стандарт позволяет очень просто назначать разным клиентам нужные VLAN-ы, а так же предотвратить доступ к сети неизвестным системе устройствам.
Для успешной работы данного стандарта в корпоративной среде под управлением операционной системы Windows требуется настроенные:
1. Домен-контроллер;
2. Сервер центра сертификации;
3. Сервер политики сети.
Выдача сертификата центром сертификации.
Для того чтобы Cisco без проблем работала с клиентами требуется сертификат созданный на основе RAS и IAS серверы.
Данный шаблон необходимо скопировать и дать при этом ему свое уникальное имя.
После копирования шаблона необходимо указать совместимость, а так же в разделе Безопасность добавить группу Серверы RAS и IAS и внести разрешения на Заявку и Автоматическую подачу заявок .
После того как сертификат скопирован нужно перезапустить сервер политики сети. В разделе Выданные сертификаты должен появиться сертификат с именем вашего скопированного шаблона сертификата, выданный вашему NAP серверу.
Настройка NAP.
Добавление клиентов
Для работы коммутатора с NAP сервером в первую очередь надо добавить RADIUS-клиенты в одноимённом пункте настройки NAP введя понятное имя, ip-адрес, секрет , а так же в разделе дополнительно необходимо выбрать в поле имя поставщика поставщика Cisco . Поставить галочку на против пункта RADIUS-клиент поддерживает защиту доступа к сети .
Создание политики запросов на подключение
В разделе Политики, в подразделе политики запросов на подключение необходимо создать политику. В данной политике необходимо указать ее имя, а так же добавить условие Тип порта NAS со значением Ethernet .
Создание сетевой политики
Если нам необходимо переводить пользователя в другой VLAN при входе в ОС то нам необходимо создать специальную группу в домене. Эта группа будет указана в условиях на подключение.
При создании сетевой политики указываем ее имя. Добавляем два условия:
Группа пользователей — указываем группу в которой будут пользователи, которым развешен доступ к данному VLAN;
Типа порта NAS — Ethernet.
На вкладке Ограничения необходимо указать тип проверки пользователей — нам необходимо указать:
Microsoft: защищённый пароль (EAP-MSCHAP v2)
Microsoft: защищённый EAP (PEAP)
Так же в пункте Менее безопасные методы проверки подлинности отмечаем:
Шифрованная проверка подлинности (Microsoft), версия 2, (MS-CHAP-v2)
Разрешить смену пароля по истечении срока действия
Шифрованная проверка подлинности Майкрософт (MS-CHAP)
Разрешить смену пароля по истечении срока действия
На вкладке Параметры , в разделе Атрибуты RADIUS — Стандарт добавим несколько атрибутов:
Tunnel-Medium-Type = 802 (includes all 802 media plus Ethernet canonical format)
Tunnel-Pvt-Group-ID = номер VLAN в который вы хотите переключать клиента
Tunnel-Type = Virtual LANs (VLAN)
После создания политик перезапустите NAP.
Настройка коммутатора Cisco
Коммутатор должен иметь первоначальную простую настройку, а так же должен знать VLAN-ы, которые будут указываться в настройке.
Настройка RADIUS серверов
Первым делом необходимо применить команду:
aaa new-model
dot1x system-auth-control
dot1x guest-vlan supplicant
Далее создаём группу серверов RADIUS отвечающих за 802.1x
aaa group server radius DOT1X
server-private IP-адрес NAP-Сервера auth-port 1812 acct-port 1813 key секрет созданный RADIUS-Клиенту на NAP сервере
ip radius source-interface Loopback0
Настраиваем авторизацию через созданные группы NAP серверов
aaa authentication dot1x default group DOT1X
aaa authorization network default group DOT1X
802.1X Port-Based Network Authentication
Настройка портов на примере GigabitEthernet1/1:
interface GigabitEthernet1/1
switchport mode access
Указываем VLAN в который помещаются клиенты не прошедшие авторизацию:
authentication event fail action authorize vlan ‘номер-vlan’
Указываем VLAN в который помещаются клиенты если NAP сервер не работает:
authentication event server dead action authorize vlan ‘номер-vlan’
Указываем VLAN в который помещаются клиенты если не отвечают:
authentication event no-response action authorize vlan ‘номер-vlan’
authentication priority dot1x mab
Активируем функцию Mac-address bypass:
Настройка таймеров и переавторизации:
authentication port-control auto
authentication periodic
authentication timer reauthenticate 600
dot1x pae authenticator
dot1x timeout quiet-period 10
dot1x timeout server-timeout 5
dot1x timeout tx-period 5
Включим защиту от петель:
Настройка клиентского ПК под управлением Windows 7
Первым делом необходимо запустить службу Проводная автонастройка а так же назначить ей автоматический тип запуска.
После в свойствах сетевого адаптера появится Проверка подлинности.
В вкладке включаем проверку подлинности IEEE 802.1X , в параметрах отключаем проверку сертификата , включаем быстрое переключение .
В пункте Дополнительные параметры необходимо активировать пункт Указать режим проверки подлинности учётными записями пользователей , активируем Включить единую регистрацию для сети , выбрать вариант Выполнять непосредственно перед входом пользователя .
Важно: пользователь, которому разрешено подключаться в VLAN, должен выйти со всех устройств для того чтобы домен-контроллер обновил ему SID. В противном случае может получиться так, что коммутатор не сможет найти указанного пользователя в указанной группе пользователей, а следовательно он не авторизуется и не попадет в нужный VLAN.
Настройка ПК через AD
Чтобы включить необходимые настройки на ПК через групповую политику необходимо создать новую политику сети и применять ее на группу компьютеров в AD.
Включаем службу проводной автонастройки с автоматическим запуском:
Настраиваем проверку подлинности:
Данная политика применяется при включении ПК и если порт коммутатора не настроен на dot1x то не препятствует подключению к сети.
