802.1X NAC: две недели ада в helpdesk и потом тишина
Развернули 802.1X с FreeRADIUS и проверкой антивируса перед пропуском в VLAN у производственного клиента. Что пошло не так и почему оно того стоило.
802.1X NAC в корпоративных сетях набирает популярность как метод контроля доступа с проверкой состояния конечных устройств
Идея контролировать, кто и с каким устройством заходит в сеть, стара как сама корпоративная сетка. Только раньше это решалось примерно так: охранник на входе, список компьютеров в голове у сисадмина и искреннее желание верить, что чужой ноутбук никто не воткнёт в розетку в переговорке. 802.1X предлагает кое-что более технологичное.
Протокол существует не первый год, но именно сейчас производители коммутаторов начали нормально его поддерживать даже в среднем ценовом сегменте, а supplicant-ы под Windows XP и 7 идут из коробки. Поэтому мы решили наконец попробовать в боевых условиях.
Что и зачем
Клиент - производственное предприятие со смешанной инфраструктурой: офисные Windows-машины, несколько Linux-серверов, куча принтеров, пара-тройка IP-телефонов и периодически появляющиеся ноутбуки подрядчиков. Требование простое: в корпоративный VLAN должны попадать только устройства с актуальным антивирусом и живым агентом Kaspersky Endpoint Security. Остальные - в карантинный VLAN с доступом только к серверу обновлений.
Схема следующая: коммутаторы Cisco Catalyst (у клиента стоят 3750-е) отправляют запросы аутентификации на FreeRADIUS, тот через расширения проверяет статус агента на машине. PEAP с MSCHAPv2 для пользовательских машин, MAC Authentication Bypass для принтеров и IP-телефонов - они 802.1X не умеют. Всё в духе того, что описано в RFC 3580.
На стороне клиента поставили NPS-агент для интеграции с Active Directory и написали простой скрипт, который при логине пользователя проверяет статус антивирусной базы через WMI и кладёт результат в атрибут учётки. FreeRADIUS читает этот атрибут и принимает решение о VLAN.
Две недели, которые мы вспоминаем с содроганием
Первое включение сделали в режиме monitor - порты просто логировали, кто бы не прошёл проверку, но не блокировали. Картина получилась занятная: примерно треть машин упала бы в карантин. Причины разные: устаревшие базы на машинах, которые давно не перезагружали; принтеры и плоттеры, о которых забыли при составлении списка MAC-адресов; ноутбук директора с отключённым агентом - «мешает работать».
Исправили, что могли, составили список исключений для железа без supplicant-а, и включили принудительную аутентификацию. Дальше началось.
Helpdesk первые дни тонул в обращениях. Большинство из них делились на несколько категорий:
- «Не работает интернет» - машина ушла в карантинный VLAN, пользователь не понимает почему. Оказывалось: агент не стартовал после обновления Windows, или база не обновилась, потому что машина была выключена всю неделю.
- «Гость не может подключиться» - подрядчики со своими ноутбуками. Им выделили отдельный гостевой SSID на Wi-Fi, но про проводные розетки в переговорках забыли.
- «Принтер не печатает» - несколько сетевых принтеров не попали в список MAB, пришлось добавлять на ходу.
- «У меня всё было нормально, а теперь нет» - обычно это означало, что Kaspersky обновился и сервис на секунду лёг, а 802.1X этого не простил.
Второй неожиданностью стали IP-телефоны Cisco. У них LLDP-MED корректно сообщает о себе, и VLAN для голоса назначается отдельно через CDP/LLDP. Но часть трубок оказалась старой прошивки, где это работало криво. Пришлось обновлять прошивки в темпе вальса.
К концу второй недели поток обращений сошёл на нет. Не потому что люди смирились, а потому что все нештатные ситуации были разобраны и задокументированы. На каждую категорию проблем - своя инструкция для helpdesk. MAB-список актуализировали и поставили на регламентное обновление раз в две недели.
Что получилось в итоге
Сейчас инфраструктура работает стабильно. Ноутбук директора, кстати, тоже - нашли компромисс: агент включён, но в тихом режиме без всплывающих окон.
Важное наблюдение: 802.1X - это не серебряная пуля и не замена нормальной политике безопасности. MAC Authentication Bypass, который неизбежно нужен для принтеров и прочей немой периферии, теоретически уязвим к спуфингу MAC-адреса. Об этом стоит помнить при проектировании.
Зато подрядчиков в корпоративный VLAN теперь не пускает физика, а не просьба «пожалуйста, не лезьте куда не надо». Это, пожалуй, главная практическая ценность.
Всё описанное делалось в рамках сопровождения инфраструктуры клиента. Если у вас похожая задача - имейте в виду, что две недели тряски в helpdesk это не баг, а обязательная часть внедрения. Планируйте буфер.
- Kaspersky Security Center 8: один экран вместо зоопарка разрозненных лицензий · 18 февраля 2010
- 152-ФЗ и ФСТЭК: два месяца на модель угроз и переписку с Роскомнадзором · 11 февраля 2010