Инструменты контроля и управления аутентификацией в корпоративной среде

Почему аутентификации пользователей недостаточно?

Кража идентификационных данных, заражения компьютеров через USB-носители, проникновения во внутреннюю сеть извне через незащищенный Wi-Fi, перехват корпоративного трафика, вывод из строя внутренних серверов, использование злоумышленниками принтеров в качестве базы для дальнейших атак… Вот только небольшой перечень тех проблем, которые существуют и против которых аутентификация пользователей не спасает. Почему? Ответ прост. Пользователь существует не в ваккуме. Как минимум, он работает на компьютере, который сам по себе может представлять интерес для злоумышленников. Что, например, произойдет, если будет взломан компьютер администратора СУБД или оператора АСУ ТП? Злоумышленник или вредоносный код смогут получить доступ ко всем ресурсам, к которым имел доступ администратор или оператор. И доступ этот будет предоставлен с максимально возможными привилегиями. Иными словами, система аутентификации и авторизации доступа пользователей сама откроет ворота для "плохих парней" и "за ручку" проводит их к интересующим их данным и приложениям.

Аутентификация устройств

Знаете ли вы, что в Дании свиней в 5 раз больше, чем граждан датского королевства? Вот и в корпоративных сетях устройств обычно больше, чем пользователей. Как минимум, раза в полтора. А в условиях повсеместного внедрения мобильности это соотношение может быть и три–четыре к одному. Вот у меня есть не только лэптоп, но и смартфон, и планшетник, а также IP-теле-фон и персональный TelePresence, стоящий на рабочем столе. Итого 5 устройств. И это не считая принтеров, коммутаторов, маршрутизаторов, точек доступа, межсетевых экранов и других "железок", наводнивших сеть. Что произойдет, если в обычной сети к порту коммутатора подключить посторонний компьютер? А если к точке беспроводного доступа подключится "левый" планшет? Аутентификация пользователей тут никак не спасет корпоративную сеть от перехвата данных, их подмены или выведения сети из строя.

Аутентификация нужна, но не только пользователей, а еще и устройств. В этом случае мы можем гарантировать, что в корпоративной среде не будет не только посторонних пользователей, но и посторонних устройств. Поверхность атаки будет существенно сужена. Как может быть реализована аутентификация устройств? Вариантов существует немало. Можно, например, на каждом порту коммутатора или интерфейсе маршрутизатора прописать белый список тех, кто может к ним подключиться. В случае с коммутаторами такой список будет содержать MAC-адреса, а в случае с маршрутизаторами – IP-адреса. Именно эти адреса и выступают в качестве аутенти-фикационной информации.

Но контроль по адресам может быть не только легко реализован, но и легко обойден – подменить MAC- или IP-адреса не стоит большого труда. Что же делать в такой ситуации? Рекомендуется использовать комбинацию аутентификаторов. К адресу устройства добавляется присущая конкретному устройству информация. Это может быть, например, информация о профиле устройства (его ОС, приложения и другие аналогичные сведения, вплоть до серийных номеров устройств или ПО). Злоумышленник может клонировать и эту информацию, но сделать это будет гораздо сложнее, чем просто подменить адрес. Наконец, в качестве аутентификационной информации может служить загруженный на устройство сертификат PKI. Комбинация всех упомянутых данных позволяет очень эффективно идентифицировать и аутентифицировать устройства сети. Причем даже те, за которыми человек не работает и к которым нельзя применить аутентификацию пользователей.

В идеале же необходимо использовать комбинацию "пользователь + устройство". Только в этом случае можно исключать такие ситуации, когда пользовательский пароль перехвачен, и кто-то пытается с чужого узла подключиться к корпоративным ресурсам. Протокол, который позволяет проводить аутентификацию устройств, называется 802.1x, а технология, с помощью которой можно оценивать соответствие целого узла требованиям политик безопасности, – Network Admission Control, или Network Access Control (NAC).

Авторизация и контроль доступа устройств

Знаете ли вы, почему установка межсетевых экранов на периметре сети так популярна, а во внутренней сети их ставят достаточно редко? Ответ прост. Периметр представляет собой одну точку контроля, в которой и ставится МСЭ. Внутренняя же сеть имеет десятки, сотни и тысячи точек контроля, в которые стекаются информационные потоки. Межсетевые экраны слишком дорого ставить перед каждым коммутатором или точкой беспроводного доступа. Да и архитектурно это не всегда возможно. Но как тогда быть? Как контролировать трафик внутри корпоративной среды? Ответом являются списки контроля доступа (Access Control List, ACL), загружаемые на каждое сетевое устройство внутри сети, но…

Нас подстерегает неприятный сюрприз – эффект масштаба. Давайте представим, что у нас сервер S1 должен подключаться к серверу D1 по двум TCP-пор-там, 443 (SSL) и 80 (HTTP), на которых работают корпоративные приложения. Как описать такую политику доступа на устройстве?

Казалось бы все просто. Для двух серверов, общающихся по двум протоколам, – да. А теперь представим, что нам необходимо описать политику доступа к 30 серверам по четырем протоколам к каждому. Если мы в качестве адреса источника (source address) укажем "любой" (any), то нам понадобится "всего" 120 правил. Если серверов внутри сети не 30, а 300, то и правил будет уже 1200. А теперь попробуем добавить контролируемости и заменить доступ отовсюду на доступ с конкретных узлов (иными словами, мы убираем any из правил). Если у нас всего 100 пользователей, то число правил в случае с 30 серверами составит 12 000, а с 300 серверами – уже 120 000 (!). 120 тысяч правил! И это на одно сетевое устройство, а их у нас может быть несколько сотен и даже тысяч.

Очевидно, что эффект масштаба играет дурную шутку с контролем доступа во внутренней сети. И именно поэтому его мало кто использует в реальной жизни – очень уж неудобно настраивать все эти тысячи правил. И даже если вопрос настройки можно решить, то что делать, когда надо внести изменения в такую политику доступа? Это ночной кошмар администратора, который в условиях динамичности современной сети не способен эффективно управлять политиками сетевого доступа. Это вам не политики для 100 пользователей настраивать и не один межсетевой экран администрировать; тут усилий нужно гораздо больше. Отсюда и возникает проблема – аутентификации только пользователей уже не хватает, а на уровень аутентификации устройств мало кто опускается, боясь сложности и неуправляемости этой задачи. Злоумышленники этим и пользуются.

Можно ли объединить все вместе?

Можно ли попробовать устранить описанную проблему со сложностью администрирования процесса аутентификации, авторизации и контроля доступа на уровне внутренней сетевой инфраструктуры? Да, безусловно. Как для администрирования множества межсетевых экранов или систем предотвращения вторжения используется система централизованного управления, так и для управления настройками доступа сетевого оборудования используется аналогичная система.

В принципе многие системы сетевого управления могут решить задачу централизации администрирования настроек сети и управления списками контроля доступа, но… Обычно делается это в отвязке от самих пользователей и в отрыве от оценки состояния (статуса) самого узла. Иными словами, котлеты отдельно, а мухи отдельно. А есть ли решения, которые смогут объединить все эти задачи вместе? Можно ли интегрировать сервисы:

• аутентификации;
• авторизации;
• управления жизненным циклом гостевого доступа;
• профилирования;
• оценки состояния узла?

Можно ли с помощью одного решения реализовать следующие политики:

• Мне нужно разрешать подключение к сети только определенных пользователей и устройств.
• Мне нужно, чтобы пользователь и устройства пользовались соответствующими сетевыми сервисами.
• Мне нужно разрешить гостям доступ в сеть и управлять их настройками.
• Мне нужно разрешать/блокировать использование iPad в моей сети (BYOD).
• Мне нужно, чтобы в моей сети были “чистые” (соответствующие политикам ИТ и ИБ) устройства.
• Мне необходим масштабируемый способ реализации политики доступа в сети.

Да, такие решения есть. Они не только проводят интегрированную аутентификацию устройств и пользователей. Они еще и упрощают управление сетью, т.к. не требуют наличия тысяч правил на каждом сетевом устройстве. Достаточно иметь одну ролевую политику, в которой правила описаны следующим образом:

• Финансовый контролер имеет доступ к финансовым серверам, принтеру, а к Интернету доступ в рабочее время запрещен.
• Сотрудник HR имеет доступ к HR-системе, порталу дистанционного обучения, принтеру и Интернету.
• Сотрудник отдела продаж имеет доступ к CRM-системе, принтеру, а к Интернету – только полчаса в день во время обеда.
• Принтер имеет доступ только к серверу обновления и сам не может инициировать никаких соединений.

Дальше система:

• сама, взяв данные из Active Directory, понимает, кто скрывается за ролью "финансовый контролер" или "сотрудник отдела продаж";
• сама определяет путь прохождения запроса на доступ от компьютера сотрудника до запрошенного ресурса;
• сама динамически и в реальном времени прописывает соответствующие настройки доступа сетевого оборудования (понимая "язык" конкретной модели) на всем протяжении пути;
• сама контролирует, чтобы пользователь или устройство не смогли сделать "шаг влево или вправо";
• сама по окончании доступа отменяет сделанные правила, тем самым реализуя принцип минимума привилегий на сетевом уровне;
• сама фиксирует все попытки доступа для последующего анализа или разбирательств.

Таких решений, цель которых – автоматизация контроля сетевого доступа, немного, но все-таки эта ниша постепенно заполняется продуктами, которые научили "дружить" традиционную информационную безопасность, следяющую за пользователями, и безопасность, следяющую за сетью. Обычно такие решения разрабатываются производителями сетевого оборудования, перед которыми и стоит задача эффективного управления всем тем многообразием настроек и функций, которые в их продукции есть, но которыми бывает неудобно пользоваться в крупных сетях.

Дело за малым – разрулить традиционный конфликт между айтишниками и безопасниками и понять, как они будут делить задачу управления безопасностью во внутренней сети. Ведь раньше безопасники этим не занимались, потому что у них не было правильного инструментария и их не пускали к сетевому оборудованию представители ИТ-подразделений. Последние же тоже не занимались безопасностью внутренней сети, считая это не своей работой. В итоге такого вакуума страдала компания – злоумышленники-то были рады такому конфликту и ничтоже сумняше-ся пользовались им.

Резюме

Итак, задача решена?! Мы можем аутентифицировать пользователей и аутентифици-ровать устройства в момент их первой попытки получить доступ к каким-либо корпоративным ресурсам. И неважно, откуда такая попытка осуществлялась – изнутри сети или снаружи, по проводному соединению или беспроводному, с Windows или Mac, с устройства, за которым сидит пользователь, или нет.

Мы можем гарантировать (при правильном использовании), что никто посторонний не подключится ни к нашей сети, ни к нашим серверам, ни к нашим приложениям, ни к нашим данным. Достаточно ли этого?

Увы! Серебряной пули в информационной и сетевой безопасности пока не придумано. Описанные в статье решения и технологии аутентификации устройств и контроля сетевого доступа позволяют гарантировать, что в сети будут только авторизованные пользователи и узлы (при полном охвате всей инфраструктуры). Но кто гарантирует, что пользователь, обладающий привилегиями по доступу к ценной информации, не захочет воспользоваться своим правом и не украдет данные для их последующего несанкционированного использования? А вдруг в системе безопасности все-таки найдется червоточина, через которую злоумышленники смогут попасть в сеть? Например, если сотруднику компании подкинут на рабочее место флешку с вредоносным кодом или он откроет e-mail от незнакомца и получит на свой компьютер целый букет неприятностей. В этом случае механизмы аутентификации пользователей и сети бессильны. Нужны системы мониторинга аномальной активности, которые, невзирая на привилегии и заслуги, следят за любой деятельностью в сети или на устройствах, которая, по их мнению, является незаконной. Иными словами, система защиты должна быть комплексной!