Network Access Control на практике: профилирование устройств, политика допуска в сеть и реагирование на нарушения
Изображение: recraft
Network Access Control (NAC) — это комплекс технологий и политик, обеспечивающих контроль и управление доступом к корпоративной сети для пользователей и устройств. На практике NAC реализуется через профилирование устройств, применение политик допуска и автоматическое реагирование на нарушения.
Любая современная корпоративная сеть – это сложная экосистема с сотнями самых разных устройств, каждое из которых обладает своим уровнем доверия и потенциальными уязвимостями. Такая разнородная среда не позволяет применять единый подход к обеспечению безопасности и предоставлять одинаковый уровень доступа корпоративным рабочим станциям, гостевым и личным устройствам сотрудников, IoT, периферии и прочему оборудованию.
В данной статье рассмотрим, как на практике может быть реализован контроль и управление сетевым доступом с применением инструментов профилирования, политик безопасности и автоматического реагирования на любые нарушения.
Профилирование как основа
Прежде чем применить какую-либо политику, система NAC должна точно идентифицировать устройство, которое пытается получить доступ к корпоративной сети. Механизмы профилирования могут основываться на целом комплексе применяемых инструментов. Современная NAC-система позволяет комбинировать несколько методов:
· Идентификация по MAC-адресу: OUI (Organizationally Unique Identifier), который содержится в MAC-адресе, является уникальным идентификатором производителя оборудования и в большинстве случаев позволяет отличить принтер от ноутбука или IP-телефона;
· Анализ DHCP-запросов, в которых зачастую содержится информация о производителе и модели устройств, имени клиента и других параметрах;
· Сбор данных о конечном устройстве посредством его опроса по SNMP или с использованием NMAP;
Интеграция с внешними инфраструктурными сервисами, такими как службы каталогов, позволит определить принадлежность устройства к домену или к какой-либо группе безопасности.
Подробная информация о состоянии устройства, установленной на него типе операционной системы и ее версии, актуальности обновлений безопасности, наличии установленных и запущенных корпоративных средств защиты может быть предоставлена NAC-системе при установленном на АРМ агенте, предназначенном для оценки соответствия устройства корпоративным требованиям безопасности.
В результате для каждого устройства, которое осуществляет попытку доступа в сеть, создается индивидуальный профиль, который содержит информацию о его типе, производителе, владельце, версии ОС, наличии корпоративного антивируса и многих других параметров. Такой профиль будет основой для дальнейшего применения соответствующей политики доступа.
Политики доступа
Политика доступа – это набор правил, определяющий, что разрешено конкретному профилю сетевых устройств. Гранулярная политика подразумевает предоставление доступа на основе
- ролевой модели;
- динамических атрибутов, определяющих характеристики устройства и его владельца;
- контекстных условий, таких как время и локация подключения.
При прохождении аутентификации NAC определяет профиль устройства и применяет соответствующую преднастроенную политику доступа. Результатом применения политики будет набор атрибутов, который система передает в сторону коммутатора для применения на порту, на котором подключено устройство. Это может быть номер или название VLAN, список ACL, различные таймеры подключений и другие параметры.
Таким образом, политики доступа представляют собой сложную логическую цепочку, определяющую конечное сетевое назначение для устройства при каждой его попытке подключения к ресурсам корпоративной сети.
Динамический контроль и реагирование на нарушения
Ситуация внутри сети не является константой. Осуществляется постоянное подключение новых устройств, а состояния уже подключенных могут меняться – параметры при подключении могут в любой момент устареть, или устройство может быть скомпрометировано. Поэтому важно применять политики доступа не только в момент первичного подключения, но и непрерывно контролировать соответствие устройств установленным правилам безопасности и своевременно реагировать на любые отклонения.
Процесс реагирования, применяемый в системах NAC, является многоэтапным и включает в себя как автоматические технические изменения в сети, так и оповещения в сторону всей инфраструктуры безопасности и средств мониторинга, а также запускает сторонние сценарии анализа и дальнейшего реагирования.
Ключевым инструментом динамического управления доступом в NAC является механизм CoA (Change of Authorization), который позволяет отправлять команды сетевому оборудованию на изменение доступа подключенного устройства без необходимости его переподключения. Так, при изменении ключевых характеристик рабочего места, являющихся обязательными для безопасного подключения устройства в контур сети, система незамедлительно направляет сетевому оборудованию CoA-запрос о смене сетевого назначения. Например, в случае остановки работы корпоративного антивируса такое устройство немедленно окажется в изолированном или карантинном сегменте до устранения несоответствия внутренним требованиям и стандартам безопасности.
Помимо этого, NAC позволяет обмениваться информацией с другими системами. Самый распространенный способ оповещения – отправка syslog-сообщений. Любое значимое событие, зарегистрированное в NAC, может отправляться на центральный сервер сбора логов. Это может быть появление новых незарегистрированных устройств в сети, события, связанные с обнаружением отклонений устройств от установленных стандартов безопасности, изменение политик и многое другое.
Таким образом, NAC обеспечивает не только прозрачность и аудит, но и автоматизацию реагирования на инциденты. Это позволит оперативно локализовать угрозы и повысить общий уровень защищенности корпоративной сети.
Вывод
Профилирование устройств, гибкие политики доступа и выстроенные процессы реагирования на инциденты – ключевые факторы, от которых зависит эффективность работы NAC. Система позволяет создать доверенную среду, понимая, кто и что подключается к сети, минимизируя риски несанкционированного доступа и предоставляя механизмы оперативного реагирования, что делает её незаменимым инструментом противодействия современным угрозам.
Автор: Александр Черных, генеральный директор Блазар.
