Network access control что это
Что такое технология NAC знают многие, и наверное некоторые с этой технологией сталкивались. Дабы не копипастить сюда описание технологии приведу некоторые ссылки на статьи описывающие принципы работы NAC:
Российский опыт применения NAC,
NAC: безопасность по принуждению.
Далее я расскажу по один из вариантов реализации технологии NAC, а именно о реализации данной технологии компанией Symantec.
Если быть совсем честным, то Symantec купила компанию Sygate, в рамках которой и разрабатывался продукт, который сейчас называется Symantec Network Access Control (SNAC).
На мой взгляд, SNAC — это один из лучших вариантов реализации технологии контроля доступа к сети на сегодняшний день. Дабы не закидали помидорами, скажу, что разворачивал стенды с аналогичными решениями от компании Cisco (Cisco NAC) и компании Microsoft (NAP).
Первым плюсом, при развёртывании SNAC оказалось, что он интегрируется в консоль управления Symatec Endpoint Protection Manager.
Из описания технологии NAC (не привязываясь к конкретной реализации) мы знаем, что NAC состоит из 3-х частей:
1. Устройство, запрашивающее доступ к сети
2. Среда применения политик
3. Точка принятия решения.
Рассмотрим, каждую из этих частей в реализации Symantec NAC. Начнём с конца.
Точка принятия решения. В реализации Symantec, точкой принятия решения выступает Symantec Endpoint Protection Manager. В консоли задаются политики, которым должны удовлетворять сетевые устройства, а так же действия, которые необходимо совершить над сетевыми устройствами. Symantec Endpoint Protection Manager может обращаться к сторонним RADUIS серверам, например для проверки аутентификации пользователей, или для проверки аутентификации сетевых устройств.
Среда применения политик. В реализации Symantec NAC существует 4 варианта среды применения политик:
1. Self-Enforcement – «самозащита» — применение политики происходит на самом устройстве запрашивающем доступ, например на ноутбуке пользователя. Данный вариант может быть реализован, если у клиента установлен SEP и агент SNAC, так как применение политики осуществляется за счёт таких компонентов SEP как, например firewall и IPS. Self-Enforcement самый простой и быстрореализуемый вариант внедрения Symantec NAC в сети организации.
2. DHCP-Enforcement – применение политики происходит на уровне сети в момент получения устройством IP-адреса. В зависимости от состояния устройства, запрашивающего доступ к сети, ему может быть выдан IP-адрес из различных подсетей. Относительно простой вариант для внедрения в сети, но требует некоторой модификации в схеме DHCP.
3. Gateway-Enforcement – можно назвать контролем на шлюзе. То есть применение политики происходит на уровне сети, при прохождении трафика через Gateway-Enforcer. Данный вариант уместен при контроле доступа устройств из отдельного небольшого сегмента сети, например такой как гостевой WiFi, или VPN-шлюз. Это обусловлено тем, что весь трафик проходит и обрабатывается на Gateway-Enforcer, что может стать узким местом в сети. Так же Gateway-Enforcer не контролирует трафик, который не проходит через него, например, при общении устройств внутри сегмента, такого как гостевой WiFi. По этому данный вариант уместнее применять на границе сегментов сети. При внедрении необходимо чётко представлять работу сети, потоки трафика, и возможности самого Gateway-Enforcer,; иногда требуется пересмотр и модернизация существующей схемы сети.
4. LAN-Enforcemet – применение политики на уровне сетевых устройств поддерживающих протокол 802.1x, например таких как коммутаторы, маршрутизаторы, WiFi-точки доступа. Точка принятия решений определяет какие действия необходимо совершить с данным сетевым устройством и даёт команду сетевому оборудованию, например переместить устройство в специализированный VLAN или поместить устройство в рабочий VLAN, или наложить определённый список контроля доступа на порт, к которому подключилось устройство. Данный вариант самый сложный в реализации и требовательный как к структуре сети, так и к сетевому оборудованию, на котором построена сеть, однако данный вариант обладает наибольшим функционалом.
При внедрении Symantec NAC возможно использовать различные варианты совмещения и дополнения сред применения политик, как это было сделано на описываемом в данной статье стенде.
Устройство, запрашивающее доступ к сети. В качестве устройства, запрашивающего доступ к сети, может быть любое устройство имеющее MAC-адрес. Устройства, запрашивающие доступ к сети можно разделить на управляемые и неуправляемые. Управляемые устройства – это устройства на которых установлен или может быть установлен агент SNAC, который может предоставить запрашиваемую точкой принятия решений информацию. Неуправляемые устройства – это устройства, на которые агент SNAC не может быть установлен (например, принтеры).
Как было написано выше, у Symantec существует 4 варианта применения политик. Вариант Self-Enforcement реализуется только программными средствами, остальные 3 варианта реализуются с помощью программно-аппаратных комплексов (appliance), в терминологии Symantec, называемых Enforcer.
Поговорим поподробнее про Self-Enforcement. Данный вариант реализации технологии NAC подразумевает применение политик к сетевому устройству на самом устройстве. То есть, у нас есть компьютер, с установленным SEP 11 и агентом SNAC, есть политики доступа в сеть, и есть политики карантина, например, карантинная политика фаервола, в которой запрещен доступ в сеть. Карантинная политика может включать правила не только для фаервола, но и для серверов обновлений, для антивируса, IPS.
Ключевым моментом Self-Enforcement является то, что для его реализации не требуется никакого дополнительного оборудования в виде SNAC Appliance, не важна архитектура сети и не важно, на каком оборудовании построена сеть. Данный вариант SNAC можно легко развернуть практически в любой сети.
Самым интересным и наиболее функциональныму вариантом SNAC является вариант LAN – Enforcement. Данный вариант SNAC взаимодействует с сетевым оборудованием, что позволяет реализовывать очень сложные и в тоже время гибкие политики и действия, применяемые к сетевым устройствам, запрашивающим доступ.
Поподробнее остановимся на принципе работы LAN-Enforcement. У нас есть устройство, запрашивающее доступ в сеть – пусть это будет ноутбук сотрудника компании, и на данном ноутбуке установлен агент SNAC. Есть сетевой коммутатор, который «понимает» протокол аутентификации 802.1x, например, коммутатор Cisco Catalyst. Есть LAN-Enforcer и есть Symantec Endpoint Protection Manager.
На коммутаторе, порты, к которым могут подключаться пользователи, настроены на аутентификацию по протоколу 802.1x. Как только компьютер подключается к сети, коммутатор сообщает LAN-Enforcer о появлении нового устройства. LAN-Enforcer, на основе данных, полученных от агента, установленного на ноутбуке, и на основе политик, заданных в Symantec Endpoint Protection Manager, принимает решение, что делать с подключившимся ноутбуком, и передаёт управляющие команды коммутатору. А коммутатор, соответственно, эти команды исполняет, и помещает ноутбук или в заданный VLAN или просто закрывает порт, в зависимости от политик.
Необходимо добавить, что LAN-Enforcer будет являться RADUIS-сервером для сетевых устройств, к которым подключаются пользователи.
В варианте с LAN-Enforcement, существует два режима работы: Transparent mode и Full mode. Различие между этими режимами в том, что когда мы используем Transparent mode мы можем реализовать только аутентификацию компьютера с установленным агентом и проверку на соответствие заданным политикам, но не можем реализовать проверку пользователя, который аутентифицировался на данном компьютере. При этом нам не требуется какой-либо внешний RADIUS. В режиме Full mode, помимо аутентификации компьютера и проверки на соответствие политикам мы можем так же реализовать проверку пользователя, который аутентифицировался на компьютере. Однако, для аутентификации пользователей нам потребуется внешний RADIUS-сервер.
Так же в реализации SNAC предусмотрен гостевой доступ. Под гостевым доступом мы подразумеваем предоставление доступа к сети компьютерам, которые не управляются нашим Symantec Endpoint Protection Manager. Следовательно мы не можем проверить состояние этих компьютеров, установленное и запущенное программное обеспечение и т.д. — то есть, не можем проверить эти компьютеры на соответствие сетевым политикам, которые применяются в нашей организации.
Компания Symantec предложила для проверки гостевых компьютеров использовать загружаемый Java или ActiveХ компонент, который после загрузки на компьютер может произвести его проверку и предоставить Symantec Endpoint Protection Manager требуемые данные для принятия решения о доступе в сеть. К сожалению, данный функционал реализован только на Gateway Enforcer — поэтому для реализации гостевого доступа клиент должен подключаться к сети через Gateway Enforcer. Если пользователь, у которого агент SNAC не установлен, попытается получить доступ к внутренним ресурсам сети, то ему будет предложено скачать SNAC-агента, после чего будет произведена проверка компьютера и будет принято решение о предоставлении компьютеру доступа в сеть.
Данный пост является некой, выжимкой более большого документа, который был сделан после тестирования технологии SNAC на стенде. Сам документ целиком Вы можете скачать по этой ссылке
.
Технологии безопасности сети на 2-ом уровне OSI. Часть 1
Казалось бы, получив доступ во внутреннюю сеть, злоумышленник может относительно беспрепятственно исследовать соседние узлы, собирать передаваемую информацию и в общем уже все потеряно.
Тем не менее при корректном подходе к контролю уровня доступа можно существенно осложнить упомянутые процедуры. При этом грамотно подготовленная сетевая инфраструктура, заметив зловредную аномалию, об этом своевременно сообщит, что поможет снизить ущерб.
Под катом перечень механизмов, которые помогут выполнить данную функцию.
Хотелось бы привести общую выжимку без лишних Вики-обоснований, но с описанием вариаций конфигурации, тем не менее иногда отступаю в ликбез, что бы стороннему читателю статья показалась более дружелюбной.
Статья выходила объемной, и, по-моему, слишком большие статьи не читаются, а складываются в долгий ящик с мыслью «как-нибудь осилю». Поэтому материал пришлось разделить, и при должном успехе составлю вторую часть с менее распространенными (по крайней мере у нас) технологиями.
Предполагаю, что данный вендор самый процентуально распространенный, да и самый информационно богатый, и вызывает бОльшую заинтересованность у начинающих изучать подобные темы.
Тем не менее, уверен, что после усвоения каждой конкретной технологии на циске, корректно составить конфигурацию у другого вендора не составит труда, если у Вас есть 30 мин. и обычный User Guide.
Считаю, что информация не дублирует уже существующую на хабре, хотя что-то похожее можно встретить тут и тут.
Port Security
Описание
Технология предназначена для контроля подключенных к коммутатору устройств и предотвращения аномалий или атак, нацеленных на переполнения таблицы MAC-адресов (CAM table overflow).
С помощью Port Security устанавливается максимальное количество MAC адресов на конкретный свитчпорт (сетевой порт, оперирующий на 2-ом уровне OSI) или VLAN, и контролируется доступ по заданным MAC-адресам.
Способы работы с MAC-адресами:
- Dynamic — пропускает и запоминает (на заданный период времени) любые MAC-адреса, пока не достигнет разрешенного максимума;
- Static — пускает только заранее введенный руками MAC-адрес (может быть использовано вместе с Dynamic типом);
- Sticky — учит новые MAC-адреса, записывая их в конфигурацию;
Действия в случае превышения полномочий:
- Potect — в случае лишних или не заданных МАС-адресов не пускает новые, не генерирует сислог или SNMP трап, не роняет интерфейс;
- Restrict — то же, что и Protect, но плюс лог и/или SNMP трап. А еще отчитывается в счетчик под show port-security interface <name> :
Конфигурация
Port-Security может быть активирован только, если тип свитчпорта явно задан (т.е. или Access, или Trunk). Если порт динамический (что уже неправильно), Port-Security на нем включить не получиться.
Access порты
Технология задается посредством команды switchport port-security… в режиме конфигурации конкретного интерфейса, доступные опции:
- aging — задается временной интервал, после которого динамический МАС-адрес может быть переписан;
- mac-address — дает доступ к следующей ветке:
В результате все выглядит примерно так:
— Если хотим разрешить неизвестно какие маки, лимитируя их количество 5-ю, ставим максимум на 5 и не задаем ничего статически. Опционально указываем время жизни.
— Если известно, что за устройство стоит на втором конце провода и больше ничего там не будет и быть не должно — максимум=1, адрес прописываем статически.
— Если ждем нового работника с новым ПК или лень узнавать MAC-адрес, ставим Sticky, после подключения перепроверяем.
Trunk порты
То же самое, только можно указывать поведение не относительно физического интерфейса, а конкретного VLAN'а. Для этого к каждой из предыдущих команд в конце добавляется vlan .
Проверка
Не прибегая к show run информация касательно Port-Security может быть найдена:
- show port-security — отображает суммарно информацию об интерфейсах, их статус, количество адресов;
- show interface <name> switchport — более детальная информация (счетчики, отдельные опции);
- show mac address-table .. плюс опция, список ниже:
Команда проводит проверку актуальной информации о таблице MAC-адрессов. Например, нынешнее количество записей в таблице для конкретного VLAN'a и объем доступных записей проверяется посредством show mac address-table count vlan <id> :
DHCP snooping
Описание
Технология предотвращает использование не авторизированного DHCP сервера в сети, что позволяет например произвести атаку человек-посередине (man-in-the-middle, MITM). Еще защищает сеть от атак на истощение DHCP (DHCP starvation/exauction), которая имхо не особо актуальна.
Технология следит за DHCP коммуникацией в сети, которая (в основном) состоит из четырех пакетов:
- DHCP Discover — отправляет только клиент, запрос на получения IP по DHCP;
- DHCP Offer — отправляет только сервер, предложение конфигурации от DHCP сервера;
- DHCP Request — отправляет только клиент, выбор конкретной конфигурации и сервера;
- DHCP ACK — отправляет только сервер, окончательное подтверждение;
Очень немаловажно, что после активации DHCP snooping, коммутатор начинает следить за DHCP коммуникацией в сети и отождествлять выданные IP адреса с MAC-адресами запрашивающих устройств, складируя данную информацию в таблицу DHCP snooping binding.
Конфигурация
Под доверенным интерфейсом вводится команда ip dhcp snooping trust :
Для предотвращения DHCP starvation под не доверенными интерфейсами указывается частота получаемых клиентских запросов с помощью ip dhcp snooping limit rate <nr> :
Важно не занизить данную характеристику, чтобы не порезать валидный трафик. Циска советует использовать число «10».
После этого указываем конкретный VLAN для работы DHCP snooping'a и включаем непосредственно саму технологию командой без опций:
Проверка
- show ip dhcp snooping — отображает доверенные порты и VLAN'ы, на которых включен DHCP snooping;
- show ip dhcp snooping binding — показывает ту самую таблицу, где фигурирует привязка IP-MAC внутри VLAN'ов с включенным DHCP snooping'ом:
Dynamic ARP inspection
Описание
Технология предназначена для предотвращения ARP spoofing/poisoning атак, которая является базовым способом организации перехвата трафика (опять же атака человек-посередине/MITM), находясь в одном широковещательном домене с жертвой.
Конфигурация
Что бы эффективно предотвратить ARP spoofing, коммутатор должен иметь информацию о связке MAC-адрес/IP-адрес. Как упоминалось выше, данная информация хранится в таблице DHCP snooping. По этому корректная конфигурация эти две технологии практически всегда использует вместе.
При совместном использовании с DHCP snooping, технология активируется в режиме глобальной конфигурации командой:
После этого в данном VLAN'е будет разрешен трафик только тех устройств, которые фигурируют в таблице DHCP snooping.
В случае, если устройства НЕ используют DHCP, необходимо проводить дополнительные меры. ARP inspection позволяет использовать статические записи. Для этого создаются списки доступа ARP, создается который из режима глобальной конфигурации командой:
Синтаксис отдельной записи ниже:
помимо указания единичного MAC-адреса, в arp access-list'е можно указать диапазон. И это делается посредством !обратных ARP! масок:
По-моему, это ужасный костыль и мир сошел с ума, но если по другому никак..
Под таким arp access-list'ом указываются все необходимые статические записи. Далее технология активируется не как прежде, а с опцией filter:
Отдельный интерфейс(ы) можно пометить как доверенные. На этих интерфейсах ARP inspection проводиться не будет:
Опционально можно добавить дополнительные проверки на соответствие MAC адресов в заголовках ARP и Ethernet. Делается это командой ip arp inspection validate <option> :
Функционал по каждой опции отдельно можно прочитать тут.
Проверка
Проверить статус технологии, включена ли, использует ли список доступа, статус проверки дополнительных опций и т.п. информацию:
Source Guard
Описание
В случае, если нет нужды проверять всю подсеть по ARP inspection, но хотелось бы защитить от подобных угроз пару-тройку узлов, можно использовать Source Guard. На практике их функционал дублирует друг друга, хотя и есть нюансы.
Конфигурация
Source Guard тоже использует таблицу DHCP snooping. Она содержит не только связку IP-MAC, но и еще интерфейс, за которым находится конкретный узел.
Если узлы опять же не используют DHCP, в режиме глобальной конфигурации создается мануальная запись:
Source Guard активируется непосредственно на интерфейсе:
Проверка
Проверка записей, которые использует технология, проводится командой:
show ip source binding
Что полезно, команда выводит как мануальные записи, так и взятые из таблицы DHCP snooping.
Список интерфейсов, на которых Source Guard активирован, выводится командой:
show ip verify source
Основные причины неудачных внедрений
О внедрении решений с применением технологии NAC думают многие компании, однако реально работающих систем в нашей стране мало. Мы можем назвать ряд причин этого обстоятельства.
В первом случае возможности действительно велики, но нужно убедиться, что все устройства и сервисы заказчика, которые придется интегрировать с NAC-решением, поддерживаются его поставщиком. Показательно, что на данный момент Cisco Systems не является партнёром Microsoft по NAP (реализация технологии NAC, предлагаемая Microsoft), однако это не мешает использовать NAP в сетях, построенных на оборудовании Cisco. Во втором случае заказчик становится заложником ограниченного функционала и решений от одного вендора, но зато задача в целом упрощается и решается в более короткие сроки.
Хотя технология NAC лежит на стыке интересов служб ИТ и ИБ, основным ее заказчиком и потребителем построенных на ней решений должен быть отдел, отвечающий за ИТ-инфраструктуру, а не за безопасность. Отдел информационной безопасности должен выступать в роли консультанта, например, при разработке политик доступа к сети. Но, как показывает опыт, каждая компания решает данный вопрос, как может. Это сильно зависит от той роли и тех полномочий, которыми обладают ИТ-отдел и отдел безопасности в той или иной конкретной организации.
NAC — всегда гибрид
Мы считаем, что в России есть три лидирующих решения NAC (наша оценка связана не столько с функциональными возможностями продуктов, сколько с позицией вендора и возможностью получить помощь при внедрении и сопровождении продукта). Это Cisco NAC, Symantec NAC и Microsoft NAP. Практически всегда мы приходили к схеме использования решения как минимум двух вендоров (а иногда и трех), и всегда одним из них была компания Microsoft. Дело в том, что в Vista и XP SP3 встроен клиент для работы с NAC. (На текущий момент существуют клиенты и для других операционных систем, например для Linux и для Mac OS, но они пока не так функциональны, как клиенты для Windows). А про cвои продукты лучше всего знает сама Microsoft, поэтому потребуется NPS (Network Police Server). С другой стороны, применение политик на уровне сетевых устройств — не самое сильное место в Microsoft NAP. Поэтому приходится смотреть в сторону Cisco или Symantec.
3. Требования
Cisco ISE может быть внедрен, как и большинство современных решений виртуально или физически как отдельный сервер.
Физические устройства с установленным ПО Cisco ISE называются SNS (Secure Network Server). Они бывают трех моделей: SNS-3615, SNS-3655 и SNS-3695 для малого, среднего и большого бизнеса. В таблице 1 приведена информация из даташита SNS.
Cisco ISE: Введение, требования, установка. Часть 1
У каждой компании, даже самой малой есть потребность в проведении аутентификации, авторизации и учета пользователей (семейство протоколов ААА). На начальном этапе ААА вполне себе хорошо реализуется с использованием таких протоколов, как RADIUS, TACACS+ и DIAMETER. Однако с ростом количества пользователей и компании, растет и количество задач: максимальная видимость хостов и BYOD устройств, многофакторная аутентификация, создание многоуровневой политики доступа и многое другое.
Для таких задач отлично подходит класс решений NAC (Network Access Control) - контроль сетевого доступа. В цикле статей, посвященному Cisco ISE (Identity Services Engine) - NAC решению для предоставления контроля доступа пользователям к внутренней сети с учетом контекста, мы подробно рассмотрим архитектуру, инициализацию, настройку и лицензирование решения.
Ссылки на все статьи в цикле приведены ниже:
Кратко напомню, что Cisco ISE позволяет:
Быстро и просто создавать гостевой доступ в выделенной WLAN;
Обнаруживать BYOD устройства (например, домашние ПК сотрудников, которые они принесли на работу);
Централизовать и применять политики безопасности к доменным и не доменным пользователям с помощью меток групп безопасности SGT (технология TrustSec);
Проверять компьютеры на наличие установленного определенного ПО и соблюдение стандартов (posturing);
Классифицировать и профилировать оконечные и сетевые устройства;
Предоставлять видимость оконечных устройств;
Отдавать журналы событий logon/logoff пользователей, их учетки (identity) на NGFW для формирования user-based политики;
Нативно интегрироваться с Cisco StealthWatch и вносить в карантин подозрительные хосты, участвующие в инцидентах безопасности (подробнее);
И другие стандартные для ААА сервера фичи.
Про Cisco ISE уже писали коллеги по отрасли, поэтому в дальнейшем советую ознакомиться: практика внедрения Cisco ISE, как подготовиться к внедрению Cisco ISE.
Сценарии использования NAC в корпоративной сети
Самым простым вариантом использования NAC является запрет на доступ в сеть устройств, не соответствующих политике безопасности. Допустим, в компании требуется, чтобы на всех компьютерах, работающих под управлением Windows, были установлены последние критические обновления ОС, корпоративный антивирус и т. д. Если хотя бы одно их этих требований не выполнено, то компьютер в сеть допущен не будет. Этот вариант обычно комбинируется с другими.
В следующем примере рассмотрим более распространенный случай. В больших компаниях сеть часто бывает разделена на сегменты по подразделениям и отделам. Такое сегментирование, как правило, выполняется с помощью виртуальных сетей (VLAN). Технология NAC позволяет по принадлежности сотрудника к тому или иному подразделению подключить его в соответствующий сегмент VLAN. Для этого используется корпоративная служба каталогов, скажем, Microsoft Active Directory.
Другим примером контроля доступа является разделение корпоративной сети на рабочий и карантинный сегменты.
Карантинный сегмент предназначен для компьютеров, которые по каким-то пунктам не соответствуют установленным политикам; он содержит серверы обновлений, чтобы компьютеры пришли в состояние, требуемое политикой безопасности сети. В этом случае с помощью NAC можно не только проверить пользовательские устройства на соответствие политикам безопасности, но и заставить выполнять эти политики. NAC поможет компьютеру обновить ОС, антивирус, включить межсетевой экран и т. п. После этого компьютер опять подвергается проверке и в случае выполнения всех условий помещается в рабочий сегмент сети.
Разделение сети на рабочий и карантинный сегменты — это не самый сложный вариант, сегментов может быть столько, сколько необходимо. С помощью технологии NAC можно организовать контроль доступа в корпоративную сеть партнёров, сотрудников филиалов и гостей: на основании информации, полученной от компьютера партнёра/сотрудника/гостя, им предоставляется доступ к необходимым внутренним ресурсам.
Помимо перечисленных примером технология NAC позволяет контролировать состояние устройств, подключаемых удалённо. При дистанционном подключении к корпоративной сети через VPN тоже проводится проверка состояния компьютера на соответствие политикам сети и принимается соответствующее решение.
Рассмотрим компоненты NAC. Самым сложным в схеме решения NAC, на наш взгляд, является среда применения политик. Наиболее распространённые варианты такой среды приведены в табл. 1. Возможные варианты клиентов, запрашивающих доступ в сеть, сведём в табл. 2. В качестве сервера принятия решений выступают продукты разных вендоров, например Cisco NAC Appliance, Cisco ACS, Microsoft NPS, Symantec SEPM и т. п.
2. Архитектура
В архитектуре Identity Services Engine есть 4 сущности (ноды): нода управления (Policy Administration Node), нода распределения политик (Policy Service Node), мониторинговая нода (Monitoring Node) и PxGrid нода (PxGrid Node). Сisco ISE может быть в автономной (standalone) или распределенной (distributed) инсталляции. В Standalone варианте все сущности находятся на одной виртуальной машине или физическом сервере (Secure Network Servers - SNS), когда в Distributed - ноды распределены по разным устройствам.
Policy Administration Node (PAN) - обязательная нода, которая позволяет выполнять все административные операции на Cisco ISE. Она обрабатывает все системные конфигурации, связанные с ААА. В распределенной конфигурации (ноды можно устанавливать как отдельные виртуальные машины) у вас может быть максимум две PAN для отказоустойчивости - Active/Standby режим.
Policy Service Node (PSN) - обязательная нода, которая обеспечивает доступ к сети, состояние, гостевой доступ, предоставление услуг клиентам и профилирование. PSN оценивает политику и применяет ее. Как правило, PSN устанавливается несколько, особенно в распределенной конфигурации, для более избыточной и распределенной работы. Конечно же, эти ноды стараются устанавливать в разных сегментах, чтобы не терять возможности обеспечения аутентифицированного и авторизованного доступа ни на секунду.
Monitoring Node (MnT) - обязательная нода, которая хранит журналы событий, логи других нод и политик в сети. MnT нода предоставляет расширенные инструменты для мониторинга и устранения неполадок, собирает и сопоставляет различные данные, в также предоставляет содержательные отчеты. Cisco ISE позволяет иметь максимум две MnT ноды, тем самым формируя отказоустойчивость - Active/Standby режим. Тем не менее, логи собирают обе ноды, как активная, так и пассивная.
PxGrid Node (PXG) - нода, применяющая протокол PxGrid и обеспечивающая общение между другими устройствами, которые поддерживают PxGrid.
PxGrid - протокол, который обеспечивает интеграцию продуктов ИТ- и ИБ-инфраструктуры разных вендоров: систем мониторинга, систем обнаружения и предотвращения вторжений, платформ управления политиками безопасности и множества других решений. Cisco PxGrid позволяет обмениваться контекстом в однонаправленном или двунаправленном режиме со многими платформами без необходимости использования API, тем самым позволяя использовать технологию TrustSec (SGT метки), изменять и применять ANC (Adaptive Network Control) политику, а также осуществлять профилирование - определение модели устройства, ОС, местоположение и другое.
В конфигурации высокой доступности ноды PxGrid реплицируют информацию между нодами через PAN. В случае, если PAN отключается, нода PxGrid перестает аутентифицировать, авторизовывать и проводить учет пользователей.
Ниже схематично изображена работа разных сущностей Cisco ISE в корпоративной сети.
Рисунок 1. Архитектура Cisco ISE
Российский опыт применения NAC
Контроль за конечными сетевыми устройствами в компании — постоянная головная боль сразу трех отделов: ИТ, информационной безопасности и сетевого. Несмотря на то что задачи у них разные, каждый должен убедиться, что подключаемые к сети пользовательские устройства безопасны и их конфигурации соответствуют установленным правилам доступа к корпоративным ресурсам.
Для этой цели существует технология . На российском рынке данная технология представлена в основном в решениях Cisco Network Admission Control (Cisco NAC), Symantec Network Access Control (Symantec NAC), Microsoft Network Access Protection (Microsoft NAP) и Juniper Networks Unified Access Control. Постараемся объяснить на конкретных примерах её суть.
Идея NAC проста. Мы хотим получить информацию о любом устройстве, которое подключается к сети (ноутбук, принтер, IP-телефон, МФУ и т. п.) из любой точки и любым способом (Ethernet, Wi-Fi, VPN и пр.), и в автоматическом режиме принять решение по данному устройству или пользователю: пустить/не пустить/пустить с ограничениями. На этом этапе возникают вопросы, связанные с проверкой устройства на соответствие корпоративным политикам доступа в сеть.
Схема применения NAC приведена на рисунке. Рассмотрим порядок работы системы.
- Устройство подключается к сети. Сервер принятия решений получает уведомление о новом сетевом устройстве.
- Сервер принятия решений инициирует процесс проверки устройства на соответствие правилам безопасности.
- Устройство пересылает запрошенные сервером данные.
- Полученные данные сервер принятия решений пересылает на внутренние серверы (LDAP, антивирус, сервер обновлений ПО) и от каждого из них получает решение о степени соответствия.
- Устройству передаётся результат проверки. Применяются правила или на самом устройстве, или на устройстве применения политик.
- Устройство получает доступ к сети — полный, ограниченный или только к серверам обновлений.
Читайте также: