14 мая, 2018, BIS Journal №2(29)/2018

Централизованный удаленный доступ без проблем


Сидорова Алина

инженер отдела технических решений защиты информации (АМТ-ГРУП)

Интеграция Cisco ISE c решениями С-Терра Шлюз и С-Терра Клиент

В современном мире деятельность организаций становится более динамичной, и для повышения эффективности и гибкости работы сотрудников многие наши клиенты применяют технологии удаленного решения корпоративных задач. Традиционно удаленный доступ к корпоративной сети реализуется на основе решений, обеспечивающих построение VPN. Существует достаточно большое количество VPN-клиентов – каждый со своими плюсами и минусами.

Зачастую использовать произвольное решение по предоставлению удаленного доступа невозможно, так как при обработке в информационной системе информации, подлежащей обязательной защите в соответствии с законодательством (например, персональные данные), необходимо использовать сертифицированные средства защиты, прошедшие процедуру оценки соответствия регуляторами – ФСБ России и/или ФСТЭК России.

Также во многих организациях используются решения по контролю физических подключений к ЛВС, позволяющие реализовать функции идентификации и аутентификации пользователей по протоколу IEEE 802.1x с помощью внутренней базы учетных записей или службы каталогов Microsoft Active Directory, при этом проблема состоит в том, что аутентификация при подключении по 802.1x и по VPN зачастую осуществляется независимо, что существенно снижает информативность журналов доступа и затрудняет расследование инцидентов и устранение неполадок.

В связи с этим у администраторов сети возникают вопросы о том, как одновременно обеспечить:

выполнение требований Российского законодательства по защите персональных данных при организации подключений удаленного доступа;
централизованный контроль доступа к ресурсам сети удаленных пользователей;
централизованный контроль физических подключений к ЛВС.

ТЕХНИЧЕСКИЕ РЕШЕНИЯ

Во многих организациях используется многофункциональное решение по реализации в корпоративной ИТ-инфраструктуре средств аутентификации и авторизации пользователей – система контроля доступа к сети Cisco Identity Services Engine (Cisco ISE).

В свою очередь, одним из решений, позволяющим реализовывать VPN-туннель, по которому передается зашифрованный с применением ГОСТ-алгоритмов трафик, являются ПАК С-Терра Шлюз и ПО С-Терра Клиент, традиционно используемые для соответствия требованиям законодательства РФ по защите персональных данных.

Решить задачу обеспечения удаленного доступа сотрудников с соблюдением всех вышеописанных требований позволяет интеграция С-Терра Шлюз и С-Терра Клиент версии 4.2, в которой появилась возможность аутентификации пользователей по доменному логину и паролю на RADIUS-сервере, с Cisco ISE версии 2.3, которые выступает в качестве данного сервера.

При этом использование доменной учетной записи при аутентификации позволяет организовать более строгую аутентификацию. Преимущество заключается в том, что даже если злоумышленник каким-либо образом получит доступ к компьютеру пользователя, то для входа в сеть ему необходимо ввести дополнительно аутентификационные данные. Также при утере устройства, с которого осуществлялся удаленный доступ, становится возможным не только отзыв сертификата пользователя, но и блокировка доменной УЗ.

Система контроля доступа Cisco ISE, которая выступает в качестве RADIUS-сервера, позволяет осуществлять интеграцию со службой каталогов Microsoft Active Directory, благодаря чему пользователь может использовать свою доменную учетную запись при подключении к сети.

ПРАКТИЧЕСКАЯ РЕАЛИЗАЦИЯ

Тестирование описанных выше решений проводилось в лаборатории АМТ-ГРУП. Для этого использовались С-Терра Шлюз и С-Терра Клиент версии 4.2, Cisco ISE версии 2.3 и служба каталогов Microsoft Active Directory.

Были произведены настройки по взаимодействию шлюза с RADIUS-сервером и использование XAuth. При построении IKE-сессии от клиента до шлюза на клиенте выводится окно "XAuth request dialog" (рис.1). Введенные в окне данные передаются на RADIUS-сервер для аутентификации. При удачной аутентификации (рис.2) происходит построение IKE и IPsec туннелей между клиентом и шлюзом. При неудачной аутентификации будет выдаваться окно "XAuth ERROR dialog" с сообщением "Extended authentication failed" (рис.3), а также окно для повторной аутентификации.

Рис. 1. Окно запроса аутентификационных данных

Рис. 2. Окно при удачном подключении

Рис. 3. Окно при неудачном подключении

Как только пользователь успешно проходит процедуры аутентификации и авторизации и получает доступ в сеть, на Cisco ISE появляется полная информация об этом пользователе, включающая IP-адрес пользователя и его учётную запись (рис.4).

Рис. 4. Radius live log при удачном подключении пользователя

В случае неудачной процедуры аутентификации и авторизации в журнале Cisco ISE появляется запись о неудачной попытке доступа к сети (рис.5).

Рис. 5. Radius live log при неудачном подключении пользователя

При просмотре детальной информации о подключении можно убедиться, что пользователь подключился к сети через С-Терра Шлюз, взаимодействие с которым настроено на сервере Cisco ISE (рис.6).

Рис. 6. Детальный просмотр Radius live log

Для выполнения данной задачи достаточно базовой лицензии Cisco ISE (Base).

При просмотре информации о подключении на С-Терра Шлюз дополнительно отображается метод аутентификации XAuth (рис.7).

Рис. 7. Информации о подключении на С-Терра Шлюз

При этом при подключении удаленных пользователей к сети С-Терра Шлюз и С-Терра Клиент имеется возможность применения профилей авторизации на основе принадлежности к определенной группе в AD.

В данном случае используется проверка атрибута memberOf и указание условия принадлежности к выбранной группе в политики авторизации.

Например, при указании группы Domain Guest в политике авторизации (рис.8), пользователь, не состоящий в данной группе доступа к сети не получит, если для него не создана отдельная политика для подключения.

Рис. 8. Указание группы AD в условии применения профиля авторизации

Рис. 9. Radius live log при неудачном подключении пользователя, не состоящего в группе Domain Guest

Рис. 10 – Атрибуты пользователя, не состоящего в группе Domain Guest

Пользователь, который состоит, в указанной группе, получит доступ к сети на основе указанного профиля авторизации (рис.11).

Рис. 11. Radius live log при удачном подключении пользователя, состоящего в группе Domain Guest

Рис. 12. Атрибуты пользователя, состоящего в группе Domain Guest

Дополнительно возможно создание учетной записи на сервере Cisco ISE и применение профилей авторизации на основе группы пользователя, в которую помещена учетная запись, а также настройка таких атрибутов как IP-адрес выдаваемый по IKECFG, IP-адреса DNS-сервера и DNS-суффикса.

Для выдачи IP-адреса с помощью сервера Cisco ISE необходимо использовать атрибут Radius:Framed-IP-Address = (рис.13), где IP- -  адрес, выдаваемый удаленному пользователю . При этом на C-Терра Шлюз пул адресов в крипто-карте не указывается.

Рис. 13. Атрибут, настроенный в профиле авторизации, для выдачи адреса по IKECFG

Рис. 14. Адрес, выданный пользователю, при подключении через С-Терра Клиент

Для определения адреса DNS-сервера с помощью сервера Cisco ISE указывается дополнительный атрибут Cisco-av-pair = “ipsec:dns-servers=”, где IP1 адрес DNS-сервера (рис.15).

Рис. 15. Атрибут, настроенный в профиле авторизации, для выдачи DNS-сервера

Рис. 16. Адрес DNS-сервера, выданный пользователю, при подключении через С-Терра Клиент

РАСШИРЕННЫЕ ВОЗМОЖНОСТИ ДЛЯ ПОВЫШЕНИЯ УРОВНЯ КОНТРОЛЯ

Вышесказанное демонстрирует, что интеграция решений по контролю доступа с решением по предоставлению удаленного доступа предоставляет возможность настройки параметров удаленных пользователей в зависимости от атрибутов, определяемых при аутентификации.

Становится возможным применение тонких настроек для конкретных пользователей и групп пользователей, подключаемых посредством С-Терра Шлюз и С-Терра Клиент, через централизованную консоль, а также решается задача по мониторингу состояния подключений к сети в реальном времени и ретроспективе.

Полученная при VPN-подключении пользователя к сети информация может быть использована в технологии Cisco Platform Exchange Grid (pxGrid), посредством которой осуществляется взаимодействие различных продуктов Cisco, а также связь решений Cisco с системами других вендоров. Данная технология предлагает общий язык взаимодействия для обмена информации между различными системами, например, FirePOWER, ISE, WSA, Cyber Threat Defense (CTD) и т.д. Тем самым, появляется возможность использовать результаты профилирования Cisco ISE, например, в правилах доступа межсетевых экранов производства компаний Cisco, Check Point  и др.

Помимо pxGrid Cisco ISE позволяет реализовать архитектуру Cisco TrustSec. Cisco TrustSec позволяет разграничивать доступ в сети по меткам, называемым Security Group Tags (SGT). Метка назначается как результат авторизации сессии оконечного подключившегося устройства, уникально его идентифицирует и переносится через всю сеть вместе с трафиком оконечного устройства. Тегирование дает возможность каждому устройству, поддерживающему работу с SGT, на пути следования пакета видеть, принимать решение по фильтрации и логировать события о прохождении данного трафика.

Таким образом, возможность совместного использования решений Cisco ISE и С-Терра Шлюз и С-Терра Клиент позволяет не только повысить уровень защиты сети при подключении удаленных пользователей к внутренним ресурсам и снизить риски связанные с безопасностью информации, но и соответствовать требованиям Российского законодательства по защите персональных данных в части организации VPN для подключения к сети удаленных пользователей, снизить трудозатраты на инвентаризацию используемых конечных устройств, отправлять информацию о подключении удаленных пользователей в систему управления информацией и событиями о безопасности (SIEM), а так же помогает отслеживать и расследовать инциденты информационной безопасности.