ADG Оставить заявку
Блог Информационная безопасность 5 мин чтения

NAC и 802.1X: карантинный VLAN нашёл принтер, камеру и ноутбук подрядчика за одну неделю

Клиент с PCI DSS внедрил 802.1X на всех проводных портах. Первая неделя выявила 14 неизвестных устройств - от IP-камеры до личного ноутбука подрядчика.

Контекст момента

Network Access Control (NAC) и 802.1X входят в корпоративные стандарты безопасности в 2007 году

Один из клиентов с активным PCI DSS-аудитом получил в требованиях пункт, который поначалу показался простым: контролировать, какие устройства подключаются к сети. Требование 1 стандарта говорит об изоляции CDE, но аудитор пошёл дальше и явно указал на 802.1X как на инструмент подтверждения того, что в сеть попадают только авторизованные хосты. Мы взялись за внедрение - и первая неделя в боевом режиме удивила больше, чем хотелось бы.

Что такое 802.1X и зачем он нужен

Протокол IEEE 802.1X реализует аутентификацию на уровне порта: прежде чем устройство получит доступ к сети, оно должно предоставить коммутатору учётные данные. Коммутатор в роли аутентификатора проверяет их через RADIUS-сервер (в нашем случае - Microsoft IAS поверх Active Directory). Если аутентификация прошла - порт открывается в рабочую VLAN. Если нет или если устройство вообще не поддерживает 802.1X - порт переключается в карантинную VLAN с ограниченным доступом: только DNS и один веб-сервер с инструкцией «что делать дальше».

Схема проверенная, но в крупных офисных сетях с разнородным парком оборудования внедрение редко бывает бесшумным.

Как разворачивали

У клиента - офис примерно на 120 портов, Cisco Catalyst 3550/3750, Active Directory как основа. Инфраструктура в целом аккуратная: мы писали про сегментацию сети ещё в контексте PCI DSS-анализа, и там уже была неплохая основа для разделения по VLAN.

Первый этап - инвентаризация. Перед включением 802.1X важно понять, что вообще есть в сети. Прогнали nmap по всем подсетям, собрали MAC-адреса с коммутаторов, сверили с Active Directory. Получили список примерно из ста двадцати хостов - рабочие станции, серверы, несколько сетевых принтеров, IP-телефоны.

Второй этап - настройка коммутаторов. На каждом порту:

dot1x port-control auto
dot1x timeout quiet-period 10
dot1x timeout tx-period 10
spanning-tree portfast

Для портов с IP-телефонами добавили dot1x host-mode multi-domain - телефон и ПК за ним аутентифицируются независимо. На RADIUS настроили политики: успешная аутентификация по доменной учётной записи компьютера - рабочая VLAN, всё остальное - карантин.

Третий этап - тестирование на части портов в режиме monitor перед полным включением. Две недели смотрели на то, что не смогло бы аутентифицироваться. Таких устройств уже тогда нашлось несколько - в основном старые машины без настроенного supplicant.

Потом включили на всех портах.

Четырнадцать устройств за первую неделю

Карантинный VLAN оказался неожиданно популярным. За первые семь дней туда попало 14 устройств, которые не смогли или не захотели аутентифицироваться.

Сетевой принтер - старый HP LaserJet, купленный лет пять назад. 802.1X не поддерживает в принципе. Для таких устройств пришлось применить MAC-аутентификацию: коммутатор проверяет MAC-адрес через RADIUS и, если он в whitelist, открывает порт в нужную VLAN. Костыль, но рабочий. Принтеров в итоге оказалось три - два из них вообще не были внесены в инвентарь IT-отдела. Кто-то купил, подключил, всё работало, и никто не задумывался.

IP-камера видеонаблюдения - установлена охраной без согласования с IT. Тоже не поддерживает 802.1X, тоже пошла в MAC-whitelist, но сначала был неприятный разговор: камера записывала движение в серверной, и никто из IT об этом не знал. Камеру оставили, но теперь хотя бы знают.

Личный ноутбук подрядчика - вот это интереснее всего. Подрядчик пришёл на объект, подключился к первому попавшемуся порту (в переговорной, если быть точным), поработал несколько часов. Машина не в домене, аутентификация провалилась, он оказался в карантине. Пришёл к системному администратору с вопросом «у вас интернет не работает». Оказалось, что подрядчик приходит раз в две недели уже несколько месяцев, и до сих пор его ноутбук висел в той же сети, что и всё остальное, просто потому что порт в переговорной был открыт.

Остальные 10 устройств - смесь: несколько рабочих станций с устаревшим Windows XP SP1 без обновлённого supplicant, один тестовый сервер, который тоже оказался вне инвентаря, пара «потерянных» устройств с неизвестными MAC-адресами, которые так и не объявились повторно.

Что это говорит о состоянии сети

Честно: ничего неожиданного с точки зрения теории. Сети без контроля на уровне доступа имеют тенденцию к тому, что в них появляется всё что угодно. IP-камера охраны, принтер, купленный в обход IT, ноутбук подрядчика - классика.

Но одно дело знать это в теории, другое - увидеть конкретный список за первую неделю. Аудитор, который настаивал на 802.1X, был прав: не потому что это требование стандарта, а потому что без этого контроля организация не знает, что у неё в сети.

Для PCI DSS это критично: если неизвестное устройство оказывается в одном сегменте с CDE - а до сегментации по нашей работе из августа это было реально - весь аудит летит в мусор.

Что осталось настроить

Часть работы ещё впереди. MAC-аутентификация для устройств без 802.1X - это компромисс, и список MAC-адресов в whitelist нужно поддерживать в актуальном состоянии вручную. Для устройств с поддержкой 802.1X рассматриваем EAP-TLS с машинными сертификатами вместо пароля - это надёжнее, но требует PKI, которой сейчас нет.

Гостевой доступ - отдельная тема: сейчас карантинный VLAN с инструкцией «обратитесь к IT» - это не удобный гостевой доступ, а технический тупик. Нормальный гостевой VLAN с выходом в интернет без доступа во внутренние ресурсы ещё не настроен.

В рамках сопровождения инфраструктуры продолжаем следить за карантинным VLAN: каждую неделю разбираем попавшие туда устройства и либо авторизуем, либо выясняем, кто и зачем подключил. Это, как выяснилось, само по себе полезная привычка.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.