Практические аспекты применения систем Network Access Control

Самая уязвимая точка корпоративной сети – не файрвол на периметре, а бесконтрольные подключения: подрядчик с ноутбуком, IP-камера без обновлений или сотрудник через VPN с зараженным компьютером. Именно с этих дыр начинается большинство инцидентов, которые без NAC (Network Access Control) закрыть невозможно.

Автор: Евгений Варламов, менеджер продукта Efros DefOps NAC компании “Газинформсервис”

Мы живем в быстроменяющемся мире: инновации появляются регулярно, влияя как на деловую среду, так и на частную жизнь. Вместе с удобством, комфортом, скоростью и эффективностью решения задач технологии приносят с собой и новые вызовы, связанные с уровнем безопасности.

Со временем наступает момент пересмотра фундаментальных подходов, которые на протяжении длительного периода доказывали свою эффективность. В области обеспечения безопасности сетевой инфраструктуры фундаментальным можно считать метод "защиты периметра", которым большинство специалистов по информационной безопасности пользовалось на протяжении нескольких десятилетий. Этот метод предполагает наличие внутренней сети, в которой можно доверять устройствам и пользователям, при этом направляя все силы и средства на защиту доступа к ресурсам компании извне.

С ростом количества подключаемых устройств, популярностью облачных решений, а также необходимостью бизнеса быть мобильным, все сложнее становилось находить границы периметра. Рост числа удаленных сотрудников во время и после пандемии, повсеместная цифровизация и увеличение количества устройств IoT (только в России по оценкам на конец 2023 г. было около 86 млн устройств [1]) окончательно размыли границы периметра и потребовали нового подхода к построению эффективной системы защиты ИТ-инфраструктуры. Такие подходы были предложены в рамках концепции Zero Trust (нулевого доверия) и ее практической реализации – технологии ZTNA – сетевого доступа с нулевым доверием.

Первым и основным шагом для реализации ZTNA является внедрение системы управления и контроля доступа и работающей аутентификации, (так как до 70% инцидентов связаны именно с этим) [2].

Network Access Control – основа ZTNA

NAC – один из ключевых аспектов сетевой безопасности, который обеспечивает видимость устройств и пользователей, пытающихся получить доступ к корпоративной сети. NAC контролирует сам факт доступа, блокируя его тем пользователям и устройствам, которые не соответствуют политикам безопасности (на основании информации о пользователе и состоянии устройства). Примером успешного решения этого класса служит Efros DefOps NAC [3].

Рассмотрим, как на практике NAC позволяет решать задачи защиты сетевой инфраструктуры.

ris1_new_w-3
Рис. Схема работы Efros DefOps NAC

Защита по MAC-адресам и доступ IoT-устройств

NAC играет ключевую роль в защите сетей при доступе устройств по уникальным физическим адресам (MAC). Сетевые принтеры, IP-телефоны, информационные панели, видеокамеры, промышленные датчики, оборудование для автоматизации зданий и прочие IoT-устройства, как правило, не поддерживают более защищенные способы аутентификации (802.1X), чем вызвана необходимость предоставлять доступ в сеть по MAC-адресам. Данный метод доступа еще называют MAC Authentication Bypass (MAB).

Подделка MAC-адресов представляет серьезную угрозу, позволяя злоумышленникам обходить существующие меры безопасности. Поскольку сама подделка MAC-адреса не является технически сложным действием, то данная проблема становится важной для сотрудников отделов ИТ или ИБ.

Для противодействия таким угрозам в системах NAC применяются специализированные технологии профилирования, которые обеспечивают динамическое определение типа устройств по ряду параметров. NAC может понять, что подключаемое по сети устройство является, например, принтером или VoIP-телефоном. При правильной настройке политики доступа на NAC (разрешать доступ в сеть по MAB только принтерам) злоумышленник даже при подмене MAC-адреса не сможет получить доступ – его устройство система спрофилирует как АРМ на OC Linux или Windows, и сработает блокирующее правило. При хорошо настроенном профилировании для реализации данной атаки злоумышленнику нужно знать как параметры, используемые NAC для идентификации подключаемых устройств, так и точные значения этих параметров для устройства, чей MAC-адрес он подделывает, а это требует уже гораздо большей подготовки.

Кроме профилирования, отдельные системы NAC имеют дополнительные механизмы защиты от подделки MAC-адресов. Одним из таких решений является определение связки MAC-адреса устройства и порта оборудования (коммутатора), с которого это устройство подключается в сеть. При активации данного механизма защиты злоумышленник, который подключается в сеть с поддельным MAC-адресом с другого оборудования, не сможет получить доступ. Для реализации атаки ему потребуется физически подключить свой компьютер в тот же порт коммутатора, то есть придется получить доступ в помещение, где установлено сетевое оборудование или само устройство, MAC-адрес которого скомпрометирован.

Для повышения уровня защищенности от атак с подменой MAC-адресов целесообразно использовать комбинацию методов, включая профилирование и привязку к порту коммутатора. Это особенно актуально, когда речь заходит о промышленном сегменте с IoT-устройствами, которые по-прежнему остаются слабо защищенными. Система NAC помогает определить права доступа каждого устройства в зависимости от профиля, ограничивая взаимодействие уязвимых устройств с критическими сегментами сети. Профилирование позволяет выявлять аномалии поведения (к нему может относиться значительное изменение параметров ранее спрофилированного устройства, MAC-адрес которого пробует подделать злоумышленник), своевременно реагируя на потенциальные угрозы.

Атаки через доверенных поставщиков и подрядчиков

Доверенность сторонних организаций – один из ключевых факторов риска современных компаний. Атаки через доверенных партнеров стали частым инструментом киберпреступников. Значительный рост атак через подрядчиков отмечается практически всеми исследованиями в 2024–2025 гг.

Данные атаки по классификации матрицы MITRE ATT&CK относят к тактике T1199 Trusted Relationship – доверительные отношения [4]. Неудивительно, что именно тут системы NAC, которые являются фундаментом реализации стратегии нулевого доверия, показывают свою эффективность.

Контроль сетевых прав доступа внешних сотрудников позволяет ограничить зоны видимости внутри корпоративной инфраструктуры, минимизируя последствия взлома учетных записей контрагентов.

Правильно настроенная сегментация сети и политики доступа для подрядных организаций – одна из практических возможностей NAC для защиты от данных угроз.

Другим способом защиты является проверка устройств подрядчика, подключаемых в сеть заказчика, на соответствие политикам безопасности. При этом проверка выполняется не только перед предоставлением доступа в сеть, но и на протяжении всего сеанса. Наиболее эффективным можно считать решение с предварительной установкой на устройства подрядчика агента NAC, который будет собирать всю необходимую информацию и оценивать степень соответствия политикам. Критерии – параметры соответствия политике безопасности – могут быть совершенно разные: начиная с версии операционной системы и статуса антивирусной программы, заканчивая значениями в реестре или проверкой шифрования дисков.

Постоянный мониторинг активности подключенных устройств подрядчика и своевременное оповещение администратора, а также отправка сообщения в SIEM-систему позволяют снизить риски атак через доверенных партнеров. Дополнительно можно использовать решения многофакторной аутентификации совместно с системой контроля доступа для повышения уровня защиты от несанкционированного проникновения извне.

Безопасность VPN-подключений

Удаленный доступ сотрудников к ресурсам организации становится все более распространенным решением: 93% компаний используют VPN для обеспечения безопасного удаленного доступа [5]. При этом, согласно оценке специалистов, 97% компаний подвержены атакам через корпоративный VPN [6]. Использование стандартных VPN-решений недостаточно эффективно защищает компанию от возможных нарушений политик безопасности.

С уходом иностранных вендоров, которые предлагали экосистемы или многофункциональные продукты, включающие в себя и решения NAC, и VPN, ситуация на отечественном рынке несколько усложнилась.

Современные решения NAC могут интегрироваться с VPN-инфраструктурой, проверяя состояние подключаемого устройства перед открытием канала связи.

Как правило, для этого используется программный агент, который проводит проверку установленных патчей, антивирусных программ, настроек файрвола и иных критериев безопасности, обеспечивая безопасность соединения только при выполнении всех требований политик безопасности предприятия. В случае несоответствия устройство помещается в карантин с ограниченным доступом. Для улучшения пользовательского опыта система NAC может проинформировать конечного пользователя о причинах несоответствия.

Заключение

NAC перестал быть экзотикой и стал инструментом первой необходимости. Он закрывает те источники рисков, где классические средства защиты бессильны: от IoT-устройств до подрядчиков и VPN-подключений. Но важно понимать, что NAC сам по себе не решит все проблемы. Его эффективность зависит от того, насколько тщательно выстроены политики доступа, сегментация сети и процессы контроля подрядчиков.

И здесь возникает несколько вопросов, на которые каждая компания должна ответить сама. Готовы ли мы к тому, что NAC станет не просто технологией, а основой всей стратегии нулевого доверия? Насколько быстро мы можем адаптировать его под растущий парк IoT и гибридные форматы работы? Есть ли у нас ресурсы, чтобы превратить NAC из формальной галочки в реальный инструмент управления рисками?

Ответы на эти вопросы определят не только устойчивость сетевой инфраструктуры, но и способность бизнеса безопасно двигаться вперед в условиях постоянного роста цифровых угроз.