Пример решения: Защита корпоративной сети с помощью технологии Cisco NAC от «Поликом Про»

Компьютерная сеть является одним из наиболее уязвимых звеньев корпоративной ИТ-инфраструктуры. Все возрастающее количество вредоносного ПО и других угроз требует нестандартных решений в области информационной безопасности. Таким решением на сегодняшний день является Cisco Network Admission Control (Cisco NAC).

Cisco NAC — это система контроля доступа в сеть, которая позволяет обеспечить достаточную защиту всех конечных устройств: персональных компьютеров, лэптопов, серверов, смартфонов и КПК, получающих доступ к сетевым ресурсам, от угроз безопасности, которые присутствуют в сети. Следя за тем, чтобы на каждом конечном устройстве соблюдалась корпоративная политика безопасности (например, за тем, чтобы на этих устройствах стояли обновленные и наиболее подходящие ресурсы обеспечения безопасности), инженеры по ИТ-безопасности компании могут существенно сократить или вообще свести к нулю количество конечных устройств, которые становятся традиционным источником заражения или взлома сетей.

Принцип работы Cisco NAC

В большинстве современных компаний для аутентификации пользователей применяется управление идентификацией, авторизации и аудита (ААА) и авторизации сетевых привилегий. Однако во многих системах по ИТ-безопасности фактически отсутствует способ аутентификации профиля безопасности конечного устройства, на котором работают бизнес-пользователи. Поэтому такие устройства могут случайно подвергнуть других пользователей сети риску.

NAC – это набор технологий и решений, фундаментом которых служит общеотраслевая инициатива, реализуемая под патронажем Cisco Systems. NAC использует инфраструктуру сети для контроля над соблюдением политики безопасности на всех устройствах, стремящихся получить доступ к ресурсам сети. Использование NAC позволяет предоставлять сетевой доступ только безопасным конечным устройствам (например, компьютерам, серверам и КПК), соблюдающим предписанные требования, и ограничивать доступ для устройств, которые требованиям не соответствуют.

Стратегия Cisco NAC, используя существующую ИТ-инфраструктуру предприятия и ресурсы в области безопасности и управления, даёт минимальную дополнительную нагрузку на ИТ-ресурсы компании, обеспечивая при этом максимальный уровень защиты.

NAC позволяет выполнять следующие проверки соблюдения политики безопасности: проверка наличия лицензии на установленную ОС, наличие последних исправлений и обновлений ОС, а также антивирусного ПО и последних файлов сигнатур. Кроме того, NAC определяет, активированы ли антивирусные ресурсы и запускались ли они в недавнее время. Система позволяет проследить, инсталлирован ли и правильно ли сконфигурирован персональный межсетевой экран, инструменты предотвращения вторжений или иное программное обеспечение безопасности ПК. Также NAC определяет, вносились ли модификации или несанкционированные изменения в корпоративный образ устройства.

Основываясь на ответах на эти и другие схожие вопросы и сверив их с политиками безопасности, принятыми в компании, Cisco NAC принимает решение о допуске/недопуске того или иного компьютера в сеть. После внедрения NAC при каждой попытке конечного устройства соединиться с сетью автоматически запрашивается профиль безопасности конечного устройства, который выдается посредством инсталлированного клиента или инструментов экспертной оценки. Эта профильная информация сопоставляется с сетевой политикой безопасности, и уровень соответствия устройства этим политикам определяет реакцию сети на запрос доступа. Сеть может просто разрешать/запрещать доступ, или же ограничивать доступ, переадресуя устройство в сегмент сети, в котором ограничен контакт с потенциально уязвимыми узлами. Не соответствующее требованиям устройство также можно поместить в карантин.

Варианты внедрения

Cisco предлагает подходы к внедрению NAC на базе устройств (NAC Appliance) и на базе архитектуры (NAC Framework) в зависимости от потребностей компании, которой может быть необходима как самая простая политика безопасности, так и поддержка сложных структур безопасности.

Устройство NAC (Cisco Clean Access) — это решение по регистрации и контролю соблюдения политики, действующее в масштабах всей сети, созданное на базе линейки продуктов Cisco Clean Access. Это автономное, выполненное “под ключ” комплексное и полнофункциональное решение. Оно дает администраторам сетей возможность аутентификации, авторизации, экспертизы и корректировки проводных и беспроводных пользователей и их аппаратуры до того, как им будет предоставлен доступ в сеть. NAC Appliance может применять экспертизу статуса и корректировку к любому беспроводному пользовательскому устройству стандарта 802.11, включая клиентские устройства Cisco Aironet и Cisco Compatible

Cisco Clean Access выполняет три функции защиты: распознает пользователей, их устройства, их роль в сети и точку авторизации, аутентификации. Оценивает статус безопасности конечных узлов, используя технологию сканирования и анализа или легкую программу-агент для более глубокой экспертизы статуса и проверки уязвимостей. Реализует политику безопасности в сети, блокируя, помещая на карантин и проводя санацию конечных узлов, не отвечающих требованиям политик.

Решение оптимально для сетей LAN, не поддерживающих протокол 802.1x, беспроводных, филиальных, удаленных или простых рабочих LAN. Оно подходит для тех сетей, где применяется централизованная рабочая среда и управление ИТ, а доступ к сети осуществляется с неуправляемых компьютеров (например, посетителей, подрядчиков или учащихся). Также решение оптимально для применения в неоднородной (включающей продукты многих вендоров) сетевой инфраструктуре.

Архитектура NAC (NAC Framework) – это технологический подход на базе архитектуры, основанный на общеотраслевой инициативе, реализуемой под руководством Cisco Systems. Здесь для обеспечения соблюдения политики безопасности на всех конечных узлах используется сетевая инфраструктура и программное обеспечение сторонних разработчиков. Этим обеспечивается интеграция и более эффективное освоение инвестиций в сети Cisco, антивирусные технологии и другое программное обеспечение управления и обеспечения безопасности.

Архитектура NAC дает возможность применять привилегии доступа на сетевых устройствах Cisco, включая маршрутизаторы и коммутаторы, при попытке конечного устройства установить соединение с управляемой сетью. Принимаемое решение может быть основано на информации о конечном устройстве, в частности, о текущем состоянии его программного обеспечения, включая уровень программных обновлений для антивирусных ресурсов и операционной системы.

Архитектура NAC дает возможность отказать в доступе тем устройствам, на которых не соблюдаются предписанные требования, поместить их в карантинную зону или предоставить ограниченный доступ к вычислительным ресурсам. В архитектуре NAC (NAC Framework) реализован подход на базе архитектуры с интеграцией систем разных разработчиков. Здесь для решения проблемы контроля доступа в сеть применяются сетевая инфраструктура Cisco и решения сторонних разработчиков. Интеллектуальная инфраструктура сети объединена с решениями более 60 разработчиков ведущих антивирусных программ и другого программного обеспечения в области безопасности и управления.

В решении NAC Framework обеспечивает полномасштабный контроль за счет оценки всех конечных узлов и охвата всех методов доступа, включая LAN, беспроводной, удаленный доступ и WAN. NAC Framework обеспечивает видимость конечных узлов и контроль над ними, а также поддержку ресурсов контроля на конечных узлах в течение всего жизненного цикла. Архитектура позволяет объединить централизованное управление политикой, интеллектуальные сетевые устройства и сетевые сервисы с решениями десятков разработчиков в области борьбы с вирусами, обеспечения безопасности и управления для детализированного контроля доступа в сеть. Она поддерживает обширную “экосистему” партнеров и технологий за счет стандартов и гибких API.

Для внедрения архитектуры NAC оптимальны следующие характеристики сети: крупномасштабные корпоративные структуры, комплексная рабочая среда с LAN/WAN/беспроводными ресурсами, а также инфраструктура этих ресурсов, полностью или в основном основанная на технологиях Cisco. Также сюда относится операционная совместимость с решениями партнеров по NAC в области обеспечения безопасности и управления, внедрение ресурсов IP-телефонии и ресурсов стандарта 802.1X или планируемые внедрения.

Рекомендации по внедрению

Внедрение технологии Cisco NAC является сложным процессом и требует профессионального подхода. «Поликом Про» рекомендует использовать поэтапный подход при внедрении NAC, который включает следующие стадии:

1. Аудит. Оценка готовности к NAC: анализ всей информационной системы предприятия, выявление требований, предъявляемых к развертыванию, и экспертиза готовности сетевых устройств, процессов и архитектуры компании к поддержке NAC.
2. Ограниченное развертывание NAC. Инсталляция и конфигурирование ограниченного решения, которое дает специалистам компании возможность испытать NAC и получить опыт работы с ним.
3. Внедрение NAC в конфигурации, оптимально подходящей компании.
4. Обучение специалистов компании работе с Cisco NAC.
5. Сопровождение функционирования внедрённого решения, ИТ-аутсорсинг.