Технология Secure Networks в распределенной инфраструктуре регулирования доступа пользователей к сетевым ресурсам

тема неохватно велика ...

Среди прочих, многочисленных, тенденций развития систем автоматизации промышленных процессов, сегодня все более зримой и весомой становится роль средств обеспечения безопасности и, в том числе, обеспечения безопасности информационной. Тема обеспечения безопасного хранения и передачи данных в компьютерных сетях неохватно велика и многогранна. Решение этой задачи представляет собой сложный комплекс абсолютно разнородных действий, от совершенно административного, не имеющего никакого отношения к сетевым премудростям, вопроса недопущения посторонних к узловым точкам коммутации кабельной сети, до очень узких, специальных вопросов сетевого дизайна, выбора сетевых протоколов и приложений, взаимоувязки логики бизнес-процессов с логикой информационных потоков в сети, определения уровней доступов и средств контроля. Список может быть продолжен до бесконечности. «Ученый труд», описывающий все подробности и детали всего этого многообразия, потребовал бы длительной работы большого коллектива авторов и превратился бы в многотомное издание, конкурирующее с «Encyclopedia Britannica» по объему и широте охвата жизненных проблем. Посему сосредоточим наше внимание всего лишь на одном из многочисленных разделов этой, в высшей степени увлекательной, проблемы. Как это явствует из названия, речь пойдет о регулировании доступов не из внешнего мира, а из локальной сети предприятия. Средства авторизации и аутентификации пользователей, подключающихся к корпоративной сети через WAN каналы, разрабатываются человечеством уже много лет, результат этой деятельности налицо, неспециалисту трудно себе представить все те «круги ада» через которые проходят пакеты из внешнего мира в хорошо сконструированной сети с неленивым сетевым администратором. Вопрос же регулирования действий внутренних пользователей до самого последнего времени оставался «за кадром». В абсолютном большинстве случаев все отдано на откуп сетевым операционным системам которые, конечно же хорошо приспособлены для защиты серверных ресурсов, хотя и они чувствительны к атакам, прежде всего DoS (Denial of Service) типа, но никак не способны влиять на то, чем же именно занят пользователь, какие именно приложения он запускает на своей рабочей станции, к каким устройствам и сервисам пытается обратиться.

типичная структура сети ...

Можно не изобретать велосипед и прибегнуть к хорошо известным, апробированным методам. Компания Checkpoint придумала мощный анализатор сетевых пакетов и обозвала его Firewall (теперь это имя нарицательное) очень давно и по сей момент человечество не придумало ничего лучше для авторизации пользователей. Вкупе со средствами аутентификации, такими как RADIUS сервер, Firewall обеспечивает вполне надежную защиту внутренних ресурсов сетей от каких-либо внешних неприятностей. Идеальным с точки зрения защиты был бы такой вариант Firewall, который работал бы на всех портах локальной вычислительной сети, обеспечивая индивидуальные политики для каждого пользователя, разделение прав и доступов — это ведь один из важнейших принципов обеспечения информационной безопасности. Но…. Увы, всегда есть Но. Характерная для сегодняшнего дня скорость работы локальных вычислительных сетей абсолютно исключает такое решение. С такой скоростью копаться в «животике» у сетевых пакетов пока ни один Firewall не умеет. Производители сетевого оборудования давно умножили 1 Gbps на количество рабочих станций (наше светлое и совсем недалекое будущее) и, впечатлившись полученному результату, взялись искать какие-то другие пути.

вот так всё обычно и присходит ...

Надо воздать должное человечеству, IEEE (Institute of Electrical and Electronic Engineers) подобрался, создал соответствующий 802.1 комитет и выпустил стандарт 802.1x, который разрешил проблемы аутентификации пользователей и устройств локальных вычислительных сетей. Сейчас это стандарт поддерживается на почти всех коммутаторах более-менее приличных производителей. Но, опять случилось но. Это же только аутентификация, т.е. подтверждение того факта, что я именно тот пользователь за которого себя выдаю. После этого ворота в локальную вычислительную сеть распахиваются настежь и я могу делать все, что мне заблагорассудится вне зависимости от того кто я: — сетевой администратор, курьер или генеральный директор. Никакой авторизации, т.е. чего-нибудь вроде Firewall, 802.1x не предусматривает. Человечество опять задумалось и, на сей раз при посредстве IETF (Internet Engineering Task Force), выпустило RFC 3580, который описывает и стандартизует процесс определения пользовательского порта в тот или иной VLAN (Virtual Local Area Network) по результатам 802.1x аутентификации.

казалось бы всё хорошо, ан нет !..

Задача построения «чего-то вроде Firewall для LAN» решена? Да, но (опять, но) только отчасти. Авторизация пользователя определенного в тот или иной VLAN производится на виртуальном Layer 3 OSI интерфейсе маршрутизатора, через который обитатели VLAN проникают во внешний мир и другие VLAN. Авторизация эта производится путем наложения на виртуальный интерфейс маршрутизатора списков контроля доступа (Access Control Lists). Дает ли это возможность управлять происходящим внутри VLAN? Нет, ни при каких обстоятельствах. Дает ли это возможность авторизовать пользователя по атрибутике уровня 2 модели OSI? Нет, списками контроля доступов рассматривается только атрибутика уровней 3 и 4. Дает ли это возможность сделать индивидуальные права доступа для каждого пользователя? Теоретически да, если число VLAN сделать равным силу пользователей, для каждого VLAN прописать свой виртуальный маршрутизирующий интерфейс и каждому из этих интерфейсов назначить свой набор списков контроля доступа. Практически это неисполнимо, количество ручных манипуляций, затраты времени на конфигурацию и отладку вкупе с запредельной сложностью последующего администрирования такой сети полностью исключают этот путь. Т.е. все сводится к привычной еще со времен появления IP подсетей модели разделения пользователей на относительно небольшое количество групп (подсетей или VLAN, что по сути одно и то же) с авторизацией посредством не менее привычных списков контроля доступов, с одной добавкой – динамически, по результатам 802.1x аутентификации.

вот так всё на самом деле

Пейзаж достаточно унылый, но при внимательном исследовании вопроса на его фоне можно найти настоящие оазисы высокой функциональности и проработанности проблем индивидуализации доступов пользователей к ресурсам и сервисам локальных вычислительных сетей. В 2000 году «Кулибины» из компании Enterasys Networks (тогда еще Cabletron Systems) впервые предложили на своих коммутаторах технологию Multilayer Frame Classification (Многоуровневая Классификация Пакетов). Это была первая ласточка в деле организации индивидуальной авторизации пользователей при доступе к локальной вычислительной сети. Эта технология позволяла статически определить приоритеты, разрешения, запреты и пропускные способности для каждого порта коммутатора, причем включена в это была вся атрибутика уровней со 2-го по 4-й модели OSI. При таком подходе можно было отказаться от привычной (но низкофункциональной) VLAN модели сегрегации пользователей (портов), все функции авторизации уходили от центрального маршрутизатора с его списками контролей доступов к периферийным (Access Layer) коммутаторам непосредственно на пользовательские порты. В процесс авторизации включалась в плюс к атрибутике уровней 3 и 4 модели OSI вся атрибутика уровня 2 (критичных с этой точки зрения полей в пакетах немало, чего стоит одна возможность отфильтровывать передачи специальных протоколов, таких как STP например).

так намного лучше
Вот кажется оно! Натуральное «что-то вроде Firewall для LAN», причем работающее с характерными для LAN скоростями и в характерном для LAN 2-ом уровне модели OSI в плюс к уровням 3 и 4. Получив в руки такой инструмент, сетевой администратор может сконструировать нечто большее, чем список контроля доступов, он может сконструировать политику (Policy). Политика в зависимости от нужд может содержать блокаду или наоборот разрешение специальных протоколов, таких как например STP для уровня 2 и ICMP с TFTP для уровня 3, ограничение пропускных способностей для предотвращения DOS атак, блокаду траффика сетевых игр, приоритизацию голосовых или каких-то иных критичных пакетов и так до «бесконца». Увы, с одним большим вычетом, политика статически привязана к порту пользователя. Т.е. сетевой администратор, пришедший на рабочее место секретарши в попытке выяснить почему «не печатает» не сможет предпринять никаких действий по разрешению ситуации, потому что даже ping с секретарского места работать не будет. Огорчительная ситуация, на каждое «не печатает» заниматься переконфигурациями портов? «Не напасешься !!!». Напоминаю, это 2000-й год и 802.1x витает в воздухе только в виде черновиков (ietf drafts), нет ни одной операционной системы, включающей 802.1x клиента. Необходимы средства аутентификации, которые бы позволили по результатам этой аутентификации, динамически авторизовать пользователя. Компания Enterasys почесала в затылке и сказала “No Problem”. Была разработана система Web Port Authentication (WPA), которая позволила аутентифицировать пользователей любых операционных систем, лишь бы на них был хоть какой-нибудь Web Browser. На каждом модуле, каждого устройства жил (и живет по сей момент) очень маленький Web Server, который умел показать только три странички:- первую, с запросом Login Name и Password, вторую, с информацией об успешной аутентификации (пользователь пропущен к сети), и третью, с информацией о том, что аутентификация не прошла (пользователь, в зависимости от конфигурации будет авторизован как Guest или вообще блокирован). Благо черновики 802.1x к тому моменту уже были, backend этой конструкции был сделан в полном соответствии со стандартной логикой, т.е. имя и пароль пользователя передавались RADIUS серверу, он сравнивал их со своими базами (например, Microsoft Active Directory) и отвечал сетевому устройству сообщением «да, я его знаю, ему назначена политика № 10, или «нет, совсем его не знаю». Сетевое устройство Enterasys, заведомо зная какой набор разрешений и запретов называется политикой № 10, динамически применяет эту политику к порту, с которого пришел запрос на аутентификацию.

так намного лучше
Таким образом, проблема статичности политик разрешена, политика на порту возникает динамически в привязке к пользователю, который через этот порт аутентифицировался. Теперь сетевому администратору, пришедшему выяснить, почему у секретарши любимого начальника «не печатает», достаточно сказать сети свои имя и пароль, чтобы получить администраторские права с секретарского рабочего места. Появление Windows XP со встроенным 802.1x клиентом, вкупе с 802.1x клиентами прочих операционных систем окончательно разрешило проблему аутентификации пользователей, теперь достаточно одного Logon для того чтобы аутентифицироваться и получить соответствующую авторизацию как на серверных ресурсах (средствами сетевых операционных систем), так и на сетевом уровне (средствами «что-то вроде Firewall для LAN» компании Enterasys Networks.

На этом этапе развития «что-то вроде Firewall для LAN» обрело свое имя – Secure Networks и, вырвавшись на оперативный простор, стало развиваться семимильными шагами. Началось все с Динамической Реакции на Вторжение (Dynamic Intrusion Response). По нынешним временам системы детектирования и предотвращения вторжений (Intrusion Detection/Prevention Systems) не экзотика. По сути дела эти системы представляют собой очень умные анализаторы траффика, способные детектировать в нем подозрительные и опасные команды, протокольные нарушения и последовательности. Усмотрев такого рода вещи, система детектирования вторжений может (если ее об этом попросят) переписать список контроля доступа на центральном маршрутизаторе заблокировав доступ подозрительному IP адресу, обращаю Ваше внимание, это опять интерфейс маршрутизатора, опять центральное устройство, опять манипуляции с VLAN полностью, никакой возможности воздействовать точечно, непосредственно на злоумышленника нет. Опять ковровые бомбардировки и стрельба по площадям. Если в сети используется технология Secure Networks компании Enterasys Networks ситуация кардинально меняется. Суть в том, что каждый коммутатор, поддерживающий эту технологию обладает «сокровенным» знанием об IP адресах станций, работающих через его порты (уникальная способность, никаким более сетевым производителем на сегодняшний день не поддерживаемая), это знание вкупе со способностью динамически изменить политику для совершенно конкретного пользователя на совершенно конкретном порту, делает возможным нанесение ответного удара с «хирургической» точностью. Т.е. система детектирования вторжений дает коммутаторам информацию о том, что некий IP адрес совершает аномальные или противоправные действия, коммутаторы, сверившись со своими Node/Alias Tables (так называется место, где хранится «сокровенное» знание об IP адресах рабочих станций) определяют порт, через который работает этот IP адрес, дальше следует простейшее действие по изменению политики для этого порта на некий карантин (если это запланировано) или полная его блокада. Все эти действия не требуют никакого участия сетевых администраторов, мало того, коммутаторы сами «настучат админу» о том, что произошло. Обращаю Ваше внимание, политика изменяется для всего лишь одного порта, замеченного в неблаговидных действиях, не для VLAN или целой подсети, только для одной станции.

Дальше – больше. А как быть с устройствами, которые сами ничего про себя не говорят, такими как принтеры, сканнеры, видеокамеры и т.п.? Да такие пользователи сети неспособны сказать имя и пароль, однако все они имеют MAC адреса, причем уникальные. Технология Secure Networks позволяет аутентифицировать и авторизовать такие устройства по MAC адресам, так что даже если кто-то и попытается включиться в сеть вместо принтера, его все равно туда не пустят, пока не представится.

А можно ли использовать совсем тупые краевые устройства на уровне доступа и заставить технологию Secure Networks работать в не вполне ее зоне, т.е. на уровне распределения? Можно, устройства серии Matrix N способны по-разному аутентифицировать и авторизовать до 255 пользователей работающих через один входной порт. При этом если один из этих 255 будет делать что-то неблаговидное, изолирован будет только он один, все остальные продолжат свою работу.

так намного лучше

Технологя Secure Networks способна даже решить проблему того несчастного, который не загрузил вовремя последние обновления операционной системы и теперь его за это не пускают в сеть (такой вариант тоже возможен). Функция “Network Based Trusted Access Management) предполагает сканирование рабочей станции специальным сервером перед авторизацией. И не дай Бог, Вы не поставили все до единого Microsoft Hot Fixes, ничего кроме карантинной зоны Вам в сети не увидеть. Функция Assisted Remediation позволяет сделать не просто карантин с допуском в «никуда», а перенаправить его пакеты на соответствующий Web сервер с которого пользователь сможет сам загрузить и поставить недостающие обновления, а не звонить сетевому администратору и не скандалить по поводу того, что он «совсем не видит сети».

По сути дела технология Secure Networks представляют собой большой «зонт» позволяющий накрыть всю локальную вычислительную сеть. Система детектирования и предотвращения вторжений Dragon умеет поговорить не только с коммутаторами локальной сети, но и с внешними Firewall, читать их логи и в связи с этим менять политики для коммутаторов, что позволяет внести под тот же «зонт» Secure Networks и WAN границу сети предприятия.

Важнейший момент для такой системы – это высочайшая отказоустойчивость и компания Enterasys Networks не была бы продолжением компании Cabletron, если бы не проработала эту сторону технологии. Интеллект и функции технологии Secure Networks распределены по всей сети и «живут» внутри каждого (Sic!) коммутатора. Нет ни одного выделенного сервера или устройства, от которого зависела бы работоспособность системы в целом. Такой подход очень выгодно отличает разработки Enterasys Networks всех конкурентских предложений. Распределенность функций как классической коммутации так и обеспечения надежной и безопасной передачи информации – это во многом философия подхода компании Enterasys Networks к построению сетевых технологий и устройств.

давайте работать вместе

В заключение несколько слов о средствах управления устройствами Enterasys Networks. У всякого нормального человека мысль о конфигурации столь высокофункциональных коммутаторов, несущих сотни и тысячи разнообразных пользовательских политик ( в зависимости от размера сети) с командной строки, в консоли устройства вызывает тяжелую оторопь. Во избежание проблем, вызываемых этой оторопью, компания Enterasys Networks предлагает полный набор средств конфигурации и управления именуемый NetSight Atlas. В состав этого программного комплекса входит, в том числе, и средство конфигурации пользовательской аутентификации и авторизации. Это средство называется NetSight Atlas Policy Manager и предназначено для работы со всеми коммутаторами Enterasys Networks, поддерживающими технологию Secure Networks. Удобный графический интерфейс вкупе с множеством заранее заготовленных политик кардинально облегчают задачи конфигурации аутентификационных и авторизационных средств.

Важная особенность NetSight Atlas Policy Manager состоит в том, что он представляет собой исключительно конфигурационное средство и не требуется для работы Secure Networks как таковой. По окончании процесса конфигурирования политик можно его выключить и унести с собой, все будет работать.

Презентация в формате MS Office Power Point содержит дополительные слайды к тексту (2Mb). (Тезисы доклада на научно-практическая конференция «ИТ-Бизнес в Металлургии и Машиностроении», Москва, гостиничный комплекс «Измайлово», 17-19 июня 2008г., Л.М.Бокштейн)