Kontrola Dostępu do Sieci

Uwierzytelnianie 802.1X, RADIUS i systemy kontroli przyjmowania do sieci.

Recepcja w Biurowcu: Analogia Kontroli Dostępu do Sieci

Wyobraź sobie sieć korporacyjną Twojej firmy jako nowoczesny, bezpieczny biurowiec. Budynek ten zawiera cenne zasoby: poufne dane w szafach na dokumenty, potężne serwery w serwerowni i stanowiska pracy pracowników. Podobnie jak nie można pozwolić, aby ktokolwiek wszedł z ulicy i swobodnie poruszał się po budynku, tak nie można pozwolić, aby dowolne urządzenie podłączyło się do Twojej sieci bez autoryzacji. Otwarta sieć jest jak budynek bez drzwi i bez recepcji: koszmar z punktu widzenia bezpieczeństwa.

jest cyfrowym odpowiednikiem zaawansowanego lobby korporacyjnego z bardzo inteligentnym strażnikiem. Zanim ktokolwiek przejdzie przez bramki i uzyska dostęp do zasobów budynku, strażnik musi odpowiedzieć na kilka kluczowych pytań: Kim jesteś? Czy tu pracujesz? W jakim dziale? Czy urządzenie, które wnosisz, jest bezpieczne i zgodne z polityką firmy? Na podstawie odpowiedzi strażnik nie tylko decyduje, czy Cię wpuścić, ale także, które piętra otworzy Twoja karta dostępu. NAC robi dokładnie to samo dla każdego urządzenia próbującego połączyć się z Twoją siecią.

Dlaczego NAC jest Niezbędny w Nowoczesnych Sieciach?

Tradycyjny obwód sieci uległ zatarciu. Dawniej sieć była jasno zdefiniowanym zamkiem z jednym punktem wejścia. Dziś dostęp do sieci jest znacznie bardziej złożony z powodu kilku kluczowych trendów:

  • Bring Your Own Device (BYOD): Pracownicy używają teraz swoich prywatnych laptopów, tabletów i smartfonów do pracy. Urządzenia te nie są zarządzane przez dział IT firmy i mogą być niezabezpieczone, niezałatane, a nawet zainfekowane złośliwym oprogramowaniem. NAC zapewnia sposób na bezpieczne włączenie tych urządzeń do sieci poprzez sprawdzanie ich stanu bezpieczeństwa przed przyznaniem dostępu.
  • Internet Rzeczy (IoT): Liczba podłączonych urządzeń eksplodowała. Sieci hostują teraz wszystko, od inteligentnych termostatów i kamer bezpieczeństwa po czujniki przemysłowe i sprzęt medyczny. Wiele z tych urządzeń IoT nie posiada zaawansowanych wbudowanych zabezpieczeń, co czyni je głównymi celami dla atakujących. NAC może identyfikować te urządzenia i umieszczać je w izolowanych segmentach sieci, aby ograniczyć potencjalne szkody.
  • Dostęp dla Gości i Kontrahentów: Firmy regularnie muszą zapewniać tymczasowy dostęp do sieci gościom, dostawcom i kontrahentom. NAC pozwala na tworzenie oddzielnych, izolowanych sieci dla gości z ograniczonymi uprawnieniami (np. tylko dostęp do internetu) i dostępem ograniczonym czasowo, który automatycznie unieważnia poświadczenia po upływie określonego czasu.
  • Zgodność z Przepisami i Regulacjami: Branże takie jak opieka zdrowotna (RODO w Europie) i finanse (standard PCI DSS) podlegają surowym wymogom regulacyjnym dotyczącym ochrony danych. NAC jest kluczowym narzędziem do egzekwowania tych polityk, zapewniając, że tylko upoważnione osoby na zgodnych z polityką urządzeniach mogą uzyskać dostęp do wrażliwych danych i dostarczając szczegółowych logów, aby to udowodnić.

Standard 802.1X: Trójca Zaufania

Technologicznym sercem większości nowoczesnych rozwiązań NAC jest standard . Zapewnia on ustandaryzowane ramy dla uwierzytelniania urządzenia, zanim uzyska ono dostęp do sieci. Struktura ta jest często nazywana Trójcą 802.1X i składa się z trzech kluczowych komponentów:

Przepływ Uwierzytelniania 802.1X

Interakcja Suplikanta, Uwierzytelniacza i Serwera Uwierzytelniającego

EAPOL (LAN)
EAP (Rozszerzalne)
Transport RADIUS
Dostęp Przyznany
SUPLIKANT(Urządzenie Klienta)
UWIERZYTELNIACZ(Przełącznik / AP)
SERWER UWIERZ.(Baza RADIUS)

Kliknij dowolny krok, aby zobaczyć szczegóły

  1. Suplikant: Urządzenie Klienckie.

    Suplikant to urządzenie końcowe próbujące uzyskać dostęp do sieci. Może to być laptop pracownika, smartfon, telefon VoIP lub kamera IoT. Jest to osoba przychodząca do recepcji w lobby, prosząca o dostęp. Nowoczesne systemy operacyjne, takie jak Windows, macOS i Linux, mają wbudowane oprogramowanie suplikanta (zwane również żądającym).

  2. Uwierzytelniacz: Sieciowy Strażnik Bramy.

    Uwierzytelniacz to urządzenie infrastruktury sieciowej, do którego suplikant jest fizycznie podłączony. Zazwyczaj jest to bezprzewodowy punkt dostępowy dla połączeń Wi-Fi lub przełącznik Ethernet dla połączeń przewodowych. W naszej analogii jest to strażnik lub bramka przy wejściu. Uwierzytelniacz nie podejmuje ostatecznej decyzji sam. Jego zadaniem jest blokowanie całego ruchu od suplikanta (z wyjątkiem wiadomości uwierzytelniających), dopóki nie otrzyma pozwolenia, oraz działanie jako pośrednik, przekazujący informacje między suplikantem a serwerem uwierzytelniającym.

  3. Serwer Uwierzytelniający: Centralny Mózg.

    Serwer uwierzytelniający to centralna inteligencja systemu NAC. Jest odpowiedzialny za weryfikację poświadczeń suplikanta i podjęcie ostatecznej decyzji: zezwolić na dostęp lub go odmówić. To jest centrala bezpieczeństwa, z którą dzwoni strażnik w lobby, aby zweryfikować identyfikator. Serwer uwierzytelniający przechowuje bazę danych użytkowników i urządzeń, wraz z politykami bezpieczeństwa, które definiują, kto ma do czego dostęp. Najczęściej używanym protokołem dla tego komponentu jest RADIUS.

RADIUS: Język Uwierzytelniania

to de facto standardowy protokół komunikacji między Uwierzytelniaczem (przełącznikiem lub punktem dostępowym) a Serwerem Uwierzytelniającym. Choć jego nazwa brzmi przestarzale, pochodząc z czasów internetu wdzwanianego (dial-up), jego solidna i rozszerzalna konstrukcja uczyniła go kamieniem węgielnym nowoczesnego uwierzytelniania sieciowego.

RADIUS zapewnia pełne ramy dla tzw. AAA:

  • Authentication (Uwierzytelnianie):Weryfikacja tożsamości. Proces odpowiedzi na pytanie "Kim jesteś?" poprzez sprawdzenie poświadczeń, takich jak para nazwa użytkownika/hasło lub certyfikat cyfrowy.
  • Authorization (Autoryzacja):Określanie uprawnień. Proces odpowiedzi na pytanie "Co wolno ci robić?". Po uwierzytelnieniu użytkownika, serwer RADIUS informuje uwierzytelniacza, jaki poziom dostępu przyznać. Może to oznaczać przypisanie użytkownika do określonej Wirtualnej Sieci Lokalnej (VLAN), zastosowanie określonego zestawu reguł zapory (Listy Kontroli Dostępu) lub ustawienie limitów przepustowości.
  • Accounting (Rozliczanie): Śledzenie użycia. Proces zbierania danych o sesji użytkownika, takich jak czas połączenia, ilość przesłanych danych i dostęp do zasobów. Jest to kluczowe dla fakturowania, audytu i planowania pojemności.

Uścisk Dłoni 802.1X: Szczegółowa Konwersacja

Proces interakcji tych trzech komponentów w celu przyznania dostępu jest ustrukturyzowanym dialogiem. "Językiem" używanym między suplikantem a uwierzytelniaczem jest EAPoL (EAP over LAN). Językiem używanym między uwierzytelniaczem a serwerem uwierzytelniającym jest RADIUS. Co kluczowe, pakiety RADIUS działają jako transport do przenoszenia właściwej konwersacji uwierzytelniającej, która używa , między suplikantem a serwerem uwierzytelniającym. Uwierzytelniacz jest tylko pośrednikiem, który sam nie rozumie EAP.

  1. Inicjacja:Twój laptop (suplikant) jest podłączony do portu Ethernet na przełączniku (uwierzytelniacz). Port jest obecnie w stanie "nieautoryzowanym", blokując cały ruch z wyjątkiem wiadomości 802.1X. Suplikant wysyła wiadomość 'EAPOL-Start', ogłaszając swoją obecność.
  2. Żądanie Tożsamości:Przełącznik (uwierzytelniacz) odpowiada wiadomością 'EAP-Request, Identity', pytając: "Kim jesteś?".
  3. Odpowiedź Tożsamości:Suplikant odpowiada wiadomością 'EAP-Response, Identity', zawierającą jego tożsamość użytkownika, zazwyczaj nazwę użytkownika.
  4. Przekazanie RADIUS:Przełącznik bierze tę tożsamość, pakuje ją w pakiet 'RADIUS Access-Request' i wysyła przez sieć do skonfigurowanego serwera RADIUS (serwera uwierzytelniającego).
  5. Wyzwanie:Serwer RADIUS wyszukuje użytkownika. Inicjuje "wyzwanie", wybierając metodę EAP. Na przykład, może użyć PEAP (Protected EAP). Serwer wysyła wyzwanie do suplikanta (tunelowane przez przełącznik za pomocą wiadomości 'RADIUS Access-Challenge'). Ta faza obejmuje utworzenie bezpiecznego tunelu TLS między suplikantem a serwerem, chroniącego faktyczne poświadczenia (takie jak hasło), które zostaną wysłane w następnej kolejności.
  6. Werdykt:Suplikant dostarcza swoje poświadczenia w bezpiecznym tunelu EAP. Serwer RADIUS weryfikuje je w swojej bazie danych (np. Active Directory). Jeśli są poprawne, serwer wysyła do przełącznika wiadomość 'RADIUS Access-Accept'.
  7. Przyznawanie Dostępu: Wiadomość 'Access-Accept' zawiera informacje autoryzacyjne. Może zawierać atrybuty informujące przełącznik: "Ten użytkownik należy do VLANu 2020(Sprzedaż) i na jego porcie powinna być zastosowana ta lista kontroli dostępu."
  8. Sukces:Przełącznik konfiguruje port zgodnie z instrukcjami z serwera RADIUS i wysyła ostateczną wiadomość 'EAPOL-Success' do suplikanta. Port jest teraz w stanie "autoryzowanym", a normalny ruch sieciowy może płynąć.

Ocena Zgodności, Kwarantanna i Naprawa: Kontrola Stanu Zdrowia

Nowoczesne systemy NAC wykraczają poza prostą uwierzytelnianie. Przeprowadzają one kontrolę stanu "zdrowia" urządzenia przed jego podłączeniem i, w niektórych przypadkach, w trakcie jego trwania. Proces ten nazywa się oceną zgodności (posture assessment).

Podczas procesu uwierzytelniania agent NAC działający na suplikancie może raportować o stanie bezpieczeństwa urządzenia. System NAC sprawdza te informacje z polityką, która definiuje, jak wygląda "zdrowe" lub "zgodne z polityką" urządzenie. Polityka ta może wymagać:

  • Określonej wersji systemu operacyjnego i poziomu aktualizacji.
  • Obecności i statusu oprogramowania antywirusowego (działającego i aktualnego).
  • Włączonej lokalnej zapory sieciowej.
  • Braku określonych, nieautoryzowanych aplikacji.

Co się dzieje, jeśli urządzenie nie przejdzie tej kontroli? Tutaj wkracza proces naprawczy (remediation). Serwer RADIUS, zamiast przyznawać pełny dostęp, poinstruuje przełącznik, aby umieścił niezgodne z polityką urządzenie w specjalnym, izolowanym VLANie kwarantanny. Ten VLAN ma bardzo ograniczony dostęp do sieci: być może tylko do serwerów, które mogą dostarczyć niezbędne aktualizacje. Użytkownik może zostać przekierowany na portal internetowy wyjaśniający, że jego urządzenie jest niezgodne i dostarczający instrukcje lub narzędzia do naprawy problemu (np. linki do aktualizacji oprogramowania antywirusowego). Gdy urządzenie zostanie doprowadzone do zgodności, użytkownik może ponownie się uwierzytelnić i tym razem uzyskać pełny dostęp. Ten zautomatyzowany proces zapewnia, że tylko zdrowe urządzenia są wpuszczane do głównej sieci korporacyjnej, znacznie zmniejszając ryzyko rozprzestrzeniania się złośliwego oprogramowania.