Rambler's Top100
Реклама
 
Статьи
Дмитрий КОСТРОВ  03 февраля 2025

Зачем он нужен, этот NAC?

Системы контроля доступа к сети (NAC) действуют как цифровой привратник, аутентифицируя пользователей, авторизуя их действия и оценивая состояние безопасности их устройств, и тем самым защищают корпоративную сеть от несанкционированного доступа и потенциальных угроз. 

Контроль сетевого доступа (Network Access Control, NAC) Gartner определяет как комплекс технологий, которые позволяют организациям внедрять политики управления доступом к корпоративной инфраструктуре (корпоративной сети) как с помощью пользовательских устройств, так и с помощью устройств интернета вещей (IoT). Политики могут быть основаны на аутентификации, конфигурации конечной точки (позиции) или роли/идентификации пользователей. NAC также может устанавливать политики после подключения на основе интеграции с другими системами безопасности, например осуществлять сдерживание конечной точки на основе оповещения от SIEM.

Небольшой исторический экскурс

В России при упоминании NAC обычно все вспоминают Identity Services Engine от компании Cisco. Хотя есть и другие достойные иностранные разработки, такие как Aruba ClearPass Policy Manager, The Forescout Platform, FortiNAC, Ivanti NAC и другие. Есть и тройка отечественных решений, не уступающих иностранным, но в плане настройки напоминающих продукт Cisco.

Управление сетевым доступом «вошло в моду» почти два десятка лет назад. Тогда за внимание ИТ-менеджеров боролись конкурирующие стандарты от Microsoft, Cisco и Trusted Computing Group. Были десятки различных продуктов, претензий и встречных претензий, в которых было трудно разобраться, не говоря уже о том, чтобы в них поверить и их проверить. Продукты были откровенно слабыми и их было сложно внедрить без колоссального объема интеграционной работы разных поставщиков и заказчиков.

С тех пор решения NAC и сами корпоративные сети прошли долгий путь и сильно изменились. Продукты улучшились, а ландшафт безопасности конечных точек и сетей серьезно усложнился. Атаки на систему тоже изменились и усложнились. Теперь в корпоративных сетях много устройств помимо персональных компьютеров и принтеров, и для NAC сформировалась новая ниша. Изначально цель NAC заключалась в обеспечении безопасности сетевого доступа и фильтрации конечных точек, которые подключаются к корпоративной сети. Проблемы, связанные с атаками ботнетов интернета вещей (IoT) и компрометацией сетевых устройств, не похожих на традиционные конечные точки, создали для NAC новую нишу защиты. ИБ-специалисты, стремясь остановить волну вредоносного ПО, заново открыли для себя этот «старый» инструмент. При этом безопасность сетевого доступа и фильтрация конечных точек по-прежнему актуальны, особенно в ситуациях, когда конечные точки могут быть разными, что затрудняет применение защитных агентов. Поэтому безагентская схема выходит на первый план.

Сегодняшний функционал

Поскольку теперь приходится учитывать экспоненциальный рост числа мобильных устройств, а также «удаленщиков» и гостей, получающих доступ в том числе к корпоративным сетям, и сопряженные с ними риски безопасности, крайне важно иметь инструменты, которые обеспечивают «видимость» устройства, контроль доступа и соответствия требованиям по информационной безопасности компании, необходимые для безопасности корпоративной сети. Система NAC может запретить сетевой доступ несоответствующим устройствам, поместить их в карантинную зону или предоставить им только ограниченный доступ к вычислительным ресурсам, тем самым предотвращая заражение сети со стороны небезопасных узлов. 

Решения NAC помогают организациям контролировать доступ к своим сетям с помощью следующих базовых функций: 
  • управление жизненным циклом политик – обеспечивает соблюдение политик для всех рабочих сценариев без необходимости использования отдельных продуктов или дополнительных модулей;
  • профилирование и видимость – распознает и профилирует пользователей и их устройства до того, как вредоносный код сможет нанести ущерб; 
  • доступ к гостевой сети – управление гостями через настраиваемый портал самообслуживания, который включает регистрацию, аутентификацию и спонсирование гостей, и портал управления гостями; 
  • проверка состояния безопасности – оценивает соответствие политике безопасности по типу пользователя, типу устройства и операционной системе; 
  • реагирование на инциденты – снижает сетевые угрозы, применяя политики безопасности, которые блокируют, изолируют и восстанавливают несоответствующие требованиям машины без участия администратора;
  • двунаправленная интеграция – интеграция с другими решениями безопасности и сетями через открытый/RESTful API.
При подключении без NAC мы обычно видим только IP-адрес. NAC дает возможность узнать: IP-адрес, кто подключается (сотрудник или гость), имя сотрудника, какая ОС установлена на его ПК или мобильном устройстве, какую политику доступа к корпоративной сети под него настроить, дату, время, длительность подключения, откуда он подключился, стоят ли последние обновления безопасности на системе, включен ли антивирус и т.п.

Сегодня любой «безопасник» понимает: контроль доступа к сети (NAC) критически важен для обеспечения безопасности. Эта система призвана регулировать, кто и что может получить доступ к сети, гарантируя, что подключаться могут только авторизованные пользователи и совместимые устройства. По сути, как говорилось ранее, она выполняет функцию привратника, применяя политики, которые аутентифицируют пользователей, авторизуют их действия и оценивают состояние безопасности их устройств. Когда устройство пытается подключиться к сети, NAC оценивает такие факторы, как идентификация пользователя, авторизация устройства и его соответствие требованиям безопасности. Если необходимые условия соблюдены, доступ предоставляется; в противном случае он может быть ограничен или полностью запрещен. NAC также непрерывно отслеживает подключенные устройства, гарантируя, что они остаются совместимыми и безопасными, и предпринимая немедленные действия при обнаружении любых отклонений.

И снова BYOD

В эпоху повсеместного распространения «удаленки» многие работодатели не выдают сотрудникам рабочие ноутбуки, вынуждая их использовать личные компьютеры в соответствии с концепцией «принеси свое устройство» (Bring your own device, BYOD). Если же личный компьютер (ноутбук/ПК), который сотрудник подключает к корпоративной сети, устарел, на нем не установлены обновления и антивирусное программное обеспечение, он заражен вредоносным ПО или взломан, то безопасность всей организации будет поставлена под угрозу. NAC предотвращает подобные инциденты, обнаруживая несанкционированные устройства, оценивая их соответствие и запрещая доступ, если они не соответствуют стандартам безопасности. Эта упреждающая мера не только защищает от потенциальных угроз безопасности, но и упрощает управление ИТ-инфраструктурой компании, обеспечивает соблюдение нормативных требований и автоматизирует задачи мониторинга сети.

Решения NAC можно разделить на два основных типа: работающие до и после допуска. Система NAC, работающая до допуска, проверяет устройства перед предоставлением доступа к сети, гарантируя соответствие политикам безопасности с самого начала. Это особенно полезно для гостевых устройств и настроек BYOD. 

А NAC после допуска постоянно отслеживает устройства, уже подключенные к сети, выявляя несоответствия или необычное поведение и предпринимая корректирующие действия (ограничение доступа или изоляция устройства). 

Многие современные системы NAC объединяют оба подхода, создавая многоуровневую защиту, которая обеспечивает безопасность сети как до, так и после подключения устройств.

«Кирпичики» NAC и дополнительные «фишки»

NAC обычно состоит из базового модуля, который обеспечивает ААА, контроль доступа к сетевому оборудованию, гостевой доступ, BYOD, базовое профилирование, а также модуля соответствия, выполняющего посчеринг (сканирование), и модуля RADIUS\TACACS+, отвечающего за контроль доступа к сетевому оборудованию.

Напомню, AAA (от англ. Authentication, Authorization, Accounting) — общее название процессов, связанных с обеспечением защиты данных в информационных системах, включая аутентификацию, авторизацию и учет, но без обеспечения доступности данных (защиты от DOS-атак): 
  1. Аутентификация — сопоставление персоны (запроса) с существующей учетной записью в системе безопасности. Осуществляется по логину, паролю, сертификату, смарт-карте и т.д.
  2. Авторизация, проверка полномочий, проверка уровня доступа — сопоставление учетной записи в системе (и персоны, прошедшей аутентификацию) и определенных полномочий (или запрета на доступ). В общем случае авторизация может быть «негативной» (например, пользователю А запрещен доступ к серверам компании). 
  3. Учет — отслеживание потребления пользователем ресурсов (преимущественно сетевых), а также запись фактов получения доступа к системе (access logs).
Аутентификация устройств и пользователей осуществляется обычно следующим образом: сначала производится авторизация по протоколу EAP_TLS, далее сертификат сопоставляется с пользователем и если пользователь найден, то ищется роль в соответствии с ранее выставленными критериями и назначается VLAN или срабатывают ACL.

Гостевой доступ осуществляется так: пользователь подключается к открытой сети, где проверяется его МАС-адрес, и, если он ранее подключался, то сразу переадресуется на портал авторизации, если нет, — то на портал регистрации, где он вводит необходимые данные для регистрации. Формируются логин и пароль, отправляются посредством смс (OPENAUTH) и также идет проключение на портал авторизации. Далее гость вводит полученные логин и пароль и получает доступ в сеть.

Часто в решении дополнительно имеется безопасный безагент для проверки политик информационной безопасности с транспортом на основе взаимной аутентификации, выполняется проверка клиента на принадлежность к домену на основе протокола аутентификации Kerberos и интеграция с решениями по анализу сетевого трафика (NDR) для реагирования на замеченные инциденты. Плюсом будут модификация RADIUS-запросов/ответов на любом из этапов аутентификации и гибкая модель автоматического назначения доступа. Полезны также одновременная поддержка нескольких независимых Active Directory и поддержка независимых удостоверяющих центров. 

При выборе решения следует обратить внимание на поддержку профилей 802.1х, API, CLI, SNMP; резервное копирование и отказоустойчивость, а также интеграцию с системами информационной безопасности типа syslog, API, межсетевые экраны SSO и т.п.

Так что же дает NAC?

Использование средств NAC дает организации ряд преимуществ:
  • контроль пользователей, входящих в корпоративную сеть;
  • контроль доступа к приложениям и ресурсам, к которым пользователи стремятся получить доступ;
  • возможность разрешить подрядчикам, партнерам и гостям при необходимости входить в корпоративную сеть, но c ограничением доступа;
  • сегментация сотрудников по группам на основе их должностных обязанностей и создание политики доступа на основе ролей;
  • защита от кибератак путем внедрения систем и средств контроля, которые обнаруживают необычную или подозрительную активность;
  • автоматизация реагирования на инциденты;
  • создание отчетов и аналитических данных о попытках доступа в сеть организации.
Введение строгих политик, контроля соответствия и сегментация доступа позволяет ИБ-специалистам с помощью NAC обеспечивать должный уровень безопасности. NAC гарантирует, что каждый пользователь и устройство в сети будут следовать установленным правилам, будь то защита корпоративных сред, управление политиками BYOD, гостевой доступ или устранение уязвимостей IoT.

NAC — важный инструмент для создания устойчивой и безопасной корпоративной сети, «must have» для ИБ-отдела.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!