Kontrola Dost臋pu do Sieci

Uwierzytelnianie 802.1X, RADIUS i systemy kontroli przyjmowania do sieci.

Recepcja w Biurowcu: Analogia Kontroli Dost臋pu do Sieci

Wyobra藕 sobie sie膰 korporacyjn膮 Twojej firmy jako nowoczesny, bezpieczny biurowiec. Budynek ten zawiera cenne zasoby: poufne dane w szafach na dokumenty, pot臋偶ne serwery w serwerowni i stanowiska pracy pracownik贸w. Podobnie jak nie mo偶na pozwoli膰, aby ktokolwiek wszed艂 z ulicy i swobodnie porusza艂 si臋 po budynku, tak nie mo偶na pozwoli膰, aby dowolne urz膮dzenie pod艂膮czy艂o si臋 do Twojej sieci bez autoryzacji. Otwarta sie膰 jest jak budynek bez drzwi i bez recepcji: koszmar z punktu widzenia bezpiecze艅stwa.

jest cyfrowym odpowiednikiem zaawansowanego lobby korporacyjnego z bardzo inteligentnym stra偶nikiem. Zanim ktokolwiek przejdzie przez bramki i uzyska dost臋p do zasob贸w budynku, stra偶nik musi odpowiedzie膰 na kilka kluczowych pyta艅: Kim jeste艣? Czy tu pracujesz? W jakim dziale? Czy urz膮dzenie, kt贸re wnosisz, jest bezpieczne i zgodne z polityk膮 firmy? Na podstawie odpowiedzi stra偶nik nie tylko decyduje, czy Ci臋 wpu艣ci膰, ale tak偶e, kt贸re pi臋tra otworzy Twoja karta dost臋pu. NAC robi dok艂adnie to samo dla ka偶dego urz膮dzenia pr贸buj膮cego po艂膮czy膰 si臋 z Twoj膮 sieci膮.

Dlaczego NAC jest Niezb臋dny w Nowoczesnych Sieciach?

Tradycyjny obw贸d sieci uleg艂 zatarciu. Dawniej sie膰 by艂a jasno zdefiniowanym zamkiem z jednym punktem wej艣cia. Dzi艣 dost臋p do sieci jest znacznie bardziej z艂o偶ony z powodu kilku kluczowych trend贸w:

  • Bring Your Own Device (BYOD): Pracownicy u偶ywaj膮 teraz swoich prywatnych laptop贸w, tablet贸w i smartfon贸w do pracy. Urz膮dzenia te nie s膮 zarz膮dzane przez dzia艂 IT firmy i mog膮 by膰 niezabezpieczone, nieza艂atane, a nawet zainfekowane z艂o艣liwym oprogramowaniem. NAC zapewnia spos贸b na bezpieczne w艂膮czenie tych urz膮dze艅 do sieci poprzez sprawdzanie ich stanu bezpiecze艅stwa przed przyznaniem dost臋pu.
  • Internet Rzeczy (IoT): Liczba pod艂膮czonych urz膮dze艅 eksplodowa艂a. Sieci hostuj膮 teraz wszystko, od inteligentnych termostat贸w i kamer bezpiecze艅stwa po czujniki przemys艂owe i sprz臋t medyczny. Wiele z tych urz膮dze艅 IoT nie posiada zaawansowanych wbudowanych zabezpiecze艅, co czyni je g艂贸wnymi celami dla atakuj膮cych. NAC mo偶e identyfikowa膰 te urz膮dzenia i umieszcza膰 je w izolowanych segmentach sieci, aby ograniczy膰 potencjalne szkody.
  • Dost臋p dla Go艣ci i Kontrahent贸w: Firmy regularnie musz膮 zapewnia膰 tymczasowy dost臋p do sieci go艣ciom, dostawcom i kontrahentom. NAC pozwala na tworzenie oddzielnych, izolowanych sieci dla go艣ci z ograniczonymi uprawnieniami (np. tylko dost臋p do internetu) i dost臋pem ograniczonym czasowo, kt贸ry automatycznie uniewa偶nia po艣wiadczenia po up艂ywie okre艣lonego czasu.
  • Zgodno艣膰 z Przepisami i Regulacjami: Bran偶e takie jak opieka zdrowotna (RODO w Europie) i finanse (standard PCI DSS) podlegaj膮 surowym wymogom regulacyjnym dotycz膮cym ochrony danych. NAC jest kluczowym narz臋dziem do egzekwowania tych polityk, zapewniaj膮c, 偶e tylko upowa偶nione osoby na zgodnych z polityk膮 urz膮dzeniach mog膮 uzyska膰 dost臋p do wra偶liwych danych i dostarczaj膮c szczeg贸艂owych log贸w, aby to udowodni膰.

Standard 802.1X: Tr贸jca Zaufania

Technologicznym sercem wi臋kszo艣ci nowoczesnych rozwi膮za艅 NAC jest standard . Zapewnia on ustandaryzowane ramy dla uwierzytelniania urz膮dzenia, zanim uzyska ono dost臋p do sieci. Struktura ta jest cz臋sto nazywana Tr贸jc膮 802.1X i sk艂ada si臋 z trzech kluczowych komponent贸w:

  1. Suplikant: Urz膮dzenie Klienckie.

    Suplikant to urz膮dzenie ko艅cowe pr贸buj膮ce uzyska膰 dost臋p do sieci. Mo偶e to by膰 laptop pracownika, smartfon, telefon VoIP lub kamera IoT. Jest to osoba przychodz膮ca do recepcji w lobby, prosz膮ca o dost臋p. Nowoczesne systemy operacyjne, takie jak Windows, macOS i Linux, maj膮 wbudowane oprogramowanie suplikanta (zwane r贸wnie偶 偶膮daj膮cym).

  2. Uwierzytelniacz: Sieciowy Stra偶nik Bramy.

    Uwierzytelniacz to urz膮dzenie infrastruktury sieciowej, do kt贸rego suplikant jest fizycznie pod艂膮czony. Zazwyczaj jest to bezprzewodowy punkt dost臋powy dla po艂膮cze艅 Wi-Fi lub prze艂膮cznik Ethernet dla po艂膮cze艅 przewodowych. W naszej analogii jest to stra偶nik lub bramka przy wej艣ciu. Uwierzytelniacz nie podejmuje ostatecznej decyzji sam. Jego zadaniem jest blokowanie ca艂ego ruchu od suplikanta (z wyj膮tkiem wiadomo艣ci uwierzytelniaj膮cych), dop贸ki nie otrzyma pozwolenia, oraz dzia艂anie jako po艣rednik, przekazuj膮cy informacje mi臋dzy suplikantem a serwerem uwierzytelniaj膮cym.

  3. Serwer Uwierzytelniaj膮cy: Centralny M贸zg.

    Serwer uwierzytelniaj膮cy to centralna inteligencja systemu NAC. Jest odpowiedzialny za weryfikacj臋 po艣wiadcze艅 suplikanta i podj臋cie ostatecznej decyzji: zezwoli膰 na dost臋p lub go odm贸wi膰. To jest centrala bezpiecze艅stwa, z kt贸r膮 dzwoni stra偶nik w lobby, aby zweryfikowa膰 identyfikator. Serwer uwierzytelniaj膮cy przechowuje baz臋 danych u偶ytkownik贸w i urz膮dze艅, wraz z politykami bezpiecze艅stwa, kt贸re definiuj膮, kto ma do czego dost臋p. Najcz臋艣ciej u偶ywanym protoko艂em dla tego komponentu jest RADIUS.

RADIUS: J臋zyk Uwierzytelniania

to de facto standardowy protok贸艂 komunikacji mi臋dzy Uwierzytelniaczem (prze艂膮cznikiem lub punktem dost臋powym) a Serwerem Uwierzytelniaj膮cym. Cho膰 jego nazwa brzmi przestarzale, pochodz膮c z czas贸w internetu wdzwanianego (dial-up), jego solidna i rozszerzalna konstrukcja uczyni艂a go kamieniem w臋gielnym nowoczesnego uwierzytelniania sieciowego.

RADIUS zapewnia pe艂ne ramy dla tzw. AAA:

  • Authentication (Uwierzytelnianie): Weryfikacja to偶samo艣ci. Proces odpowiedzi na pytanie "Kim jeste艣?" poprzez sprawdzenie po艣wiadcze艅, takich jak para nazwa u偶ytkownika/has艂o lub certyfikat cyfrowy.
  • Authorization (Autoryzacja): Okre艣lanie uprawnie艅. Proces odpowiedzi na pytanie "Co wolno ci robi膰?". Po uwierzytelnieniu u偶ytkownika, serwer RADIUS informuje uwierzytelniacza, jaki poziom dost臋pu przyzna膰. Mo偶e to oznacza膰 przypisanie u偶ytkownika do okre艣lonej Wirtualnej Sieci Lokalnej (VLAN), zastosowanie okre艣lonego zestawu regu艂 zapory (Listy Kontroli Dost臋pu) lub ustawienie limit贸w przepustowo艣ci.
  • Accounting (Rozliczanie): 艢ledzenie u偶ycia. Proces zbierania danych o sesji u偶ytkownika, takich jak czas po艂膮czenia, ilo艣膰 przes艂anych danych i dost臋p do zasob贸w. Jest to kluczowe dla fakturowania, audytu i planowania pojemno艣ci.

U艣cisk D艂oni 802.1X: Szczeg贸艂owa Konwersacja

Proces interakcji tych trzech komponent贸w w celu przyznania dost臋pu jest ustrukturyzowanym dialogiem. "J臋zykiem" u偶ywanym mi臋dzy suplikantem a uwierzytelniaczem jest EAPoL (EAP over LAN). J臋zykiem u偶ywanym mi臋dzy uwierzytelniaczem a serwerem uwierzytelniaj膮cym jest RADIUS. Co kluczowe, pakiety RADIUS dzia艂aj膮 jako transport do przenoszenia w艂a艣ciwej konwersacji uwierzytelniaj膮cej, kt贸ra u偶ywa , mi臋dzy suplikantem a serwerem uwierzytelniaj膮cym. Uwierzytelniacz jest tylko po艣rednikiem, kt贸ry sam nie rozumie EAP.

  1. Inicjacja: Tw贸j laptop (suplikant) jest pod艂膮czony do portu Ethernet na prze艂膮czniku (uwierzytelniacz). Port jest obecnie w stanie "nieautoryzowanym", blokuj膮c ca艂y ruch z wyj膮tkiem wiadomo艣ci 802.1X. Suplikant wysy艂a wiadomo艣膰 'EAPOL-Start', og艂aszaj膮c swoj膮 obecno艣膰.
  2. 呕膮danie To偶samo艣ci: Prze艂膮cznik (uwierzytelniacz) odpowiada wiadomo艣ci膮 'EAP-Request, Identity', pytaj膮c: "Kim jeste艣?".
  3. Odpowied藕 To偶samo艣ci: Suplikant odpowiada wiadomo艣ci膮 'EAP-Response, Identity', zawieraj膮c膮 jego to偶samo艣膰 u偶ytkownika, zazwyczaj nazw臋 u偶ytkownika.
  4. Przekazanie RADIUS: Prze艂膮cznik bierze t臋 to偶samo艣膰, pakuje j膮 w pakiet 'RADIUS Access-Request' i wysy艂a przez sie膰 do skonfigurowanego serwera RADIUS (serwera uwierzytelniaj膮cego).
  5. Wyzwanie: Serwer RADIUS wyszukuje u偶ytkownika. Inicjuje "wyzwanie", wybieraj膮c metod臋 EAP. Na przyk艂ad, mo偶e u偶y膰 PEAP (Protected EAP). Serwer wysy艂a wyzwanie do suplikanta (tunelowane przez prze艂膮cznik za pomoc膮 wiadomo艣ci 'RADIUS Access-Challenge'). Ta faza obejmuje utworzenie bezpiecznego tunelu TLS mi臋dzy suplikantem a serwerem, chroni膮cego faktyczne po艣wiadczenia (takie jak has艂o), kt贸re zostan膮 wys艂ane w nast臋pnej kolejno艣ci.
  6. Werdykt: Suplikant dostarcza swoje po艣wiadczenia w bezpiecznym tunelu EAP. Serwer RADIUS weryfikuje je w swojej bazie danych (np. Active Directory). Je艣li s膮 poprawne, serwer wysy艂a do prze艂膮cznika wiadomo艣膰 'RADIUS Access-Accept'.
  7. Przyznawanie Dost臋pu: Wiadomo艣膰 'Access-Accept' zawiera informacje autoryzacyjne. Mo偶e zawiera膰 atrybuty informuj膮ce prze艂膮cznik: "Ten u偶ytkownik nale偶y do VLANu 2020 (Sprzeda偶) i na jego porcie powinna by膰 zastosowana ta lista kontroli dost臋pu."
  8. Sukces: Prze艂膮cznik konfiguruje port zgodnie z instrukcjami z serwera RADIUS i wysy艂a ostateczn膮 wiadomo艣膰 'EAPOL-Success' do suplikanta. Port jest teraz w stanie "autoryzowanym", a normalny ruch sieciowy mo偶e p艂yn膮膰.

Ocena Zgodno艣ci, Kwarantanna i Naprawa: Kontrola Stanu Zdrowia

Nowoczesne systemy NAC wykraczaj膮 poza prost膮 uwierzytelnianie. Przeprowadzaj膮 one kontrol臋 stanu "zdrowia" urz膮dzenia przed jego pod艂膮czeniem i, w niekt贸rych przypadkach, w trakcie jego trwania. Proces ten nazywa si臋 ocen膮 zgodno艣ci (posture assessment).

Podczas procesu uwierzytelniania agent NAC dzia艂aj膮cy na suplikancie mo偶e raportowa膰 o stanie bezpiecze艅stwa urz膮dzenia. System NAC sprawdza te informacje z polityk膮, kt贸ra definiuje, jak wygl膮da "zdrowe" lub "zgodne z polityk膮" urz膮dzenie. Polityka ta mo偶e wymaga膰:

  • Okre艣lonej wersji systemu operacyjnego i poziomu aktualizacji.
  • Obecno艣ci i statusu oprogramowania antywirusowego (dzia艂aj膮cego i aktualnego).
  • W艂膮czonej lokalnej zapory sieciowej.
  • Braku okre艣lonych, nieautoryzowanych aplikacji.

Co si臋 dzieje, je艣li urz膮dzenie nie przejdzie tej kontroli? Tutaj wkracza proces naprawczy (remediation). Serwer RADIUS, zamiast przyznawa膰 pe艂ny dost臋p, poinstruuje prze艂膮cznik, aby umie艣ci艂 niezgodne z polityk膮 urz膮dzenie w specjalnym, izolowanym VLANie kwarantanny. Ten VLAN ma bardzo ograniczony dost臋p do sieci: by膰 mo偶e tylko do serwer贸w, kt贸re mog膮 dostarczy膰 niezb臋dne aktualizacje. U偶ytkownik mo偶e zosta膰 przekierowany na portal internetowy wyja艣niaj膮cy, 偶e jego urz膮dzenie jest niezgodne i dostarczaj膮cy instrukcje lub narz臋dzia do naprawy problemu (np. linki do aktualizacji oprogramowania antywirusowego). Gdy urz膮dzenie zostanie doprowadzone do zgodno艣ci, u偶ytkownik mo偶e ponownie si臋 uwierzytelni膰 i tym razem uzyska膰 pe艂ny dost臋p. Ten zautomatyzowany proces zapewnia, 偶e tylko zdrowe urz膮dzenia s膮 wpuszczane do g艂贸wnej sieci korporacyjnej, znacznie zmniejszaj膮c ryzyko rozprzestrzeniania si臋 z艂o艣liwego oprogramowania.

    Kontrola Dost臋pu do Sieci | Teleinf Edu