Zapeklité zadání zákazníka

Už na počátku, zadání zákazníka bylo formulováno zcela jinak, než jsme zvyklí, devíti obecnými principy ochrany, které předal ve formě tabulky. Naplnění principů ochrany bylo na našem uvážení, ovšem každý z oněch devíti bodů musel být řádně okomentován, naplněn technologií včetně doložení funkcionality. Po seznámení se s těmito body, dosavadním technologických zázemím zákazníka a způsoby práce jeho uživatelů, jsme velmi rychle došli k závěru, že není možné naplnit přání jedinou technologií.

První skupina požadavků / principů se týkala bezpečnosti, primárně v perimetru sítě s doplněním o endpoint ochranu a VPN, sekundárně pak náhrady stávajících wifi přístupových bodů s uceleným řízením bezpečnosti. Druhá skupina směřovala jasně na přístupovou bezpečnost samotné vnitřní sítě zákazníka včetně wifi a VPN – tedy kdo, kdy a za jakých okolností bude do sítě vpuštěn, či naopak ze sítě včasně vyhoštěn (karantenizován). Kromě vnitřní sítě, obecné principy ochrany zahrnovaly i práci s hostem, a to bez ohledu na způsob a místo jeho připojení.

Nutno dodat, že zákazník má své podnikání rozprostřeno do třech lokalit. Dvě hlavní se nachází v Praze a jsou vzájemně propojené přímým, pronajatým, optickým vláknem, nad nímž zákazník provozuje vlastní šifrovací technologii a kde na základě devíti principů ochrany, bylo nutné realizovat záložní L2 spojení skrze internet právě za účelem spojení lokalit. Třetí lokalita se nachází v Brně a zde v zájmu téže redundance, bylo nutné vybudovat VPN spojení do obou pražských lokalit zároveň. Přičemž, ve všech třech místech musely platit principy z obou skupin obecných principů shodně, tedy i s ohledem na řízení přístupu k vnitřní síti i práci s hostem.

Požadavky zákazníka: „Uvedené principy fungují bez ohledu na místo a způsob přihlášení k firemní infrastruktuře (přímé připojení do pevné sítě / připojení do WiFi / připojení přes VPN atd.) + pro všechny platformy daného zařízení (minimálně WIN, MacOS a iOS).“
 
Zdánlivě šlo o jednoduchý úkol, vybrat, navrhnout a popsat technologii pro první a druhou skupinu principů. Ve zcela jiném světle se tento úkol začne jevit, když se zaměříme na přímou integraci. Zákazník totiž své principy do dvou skupin nijak nedělil a považoval je, ze svého pohledu za jeden „systém pro celkovou bezpečnost“. Naším úkolem bylo tedy zajistit spolupráci obou oblastí tak, aby vytvořily požadovaný systém. Jak se později ukázalo, ležel před námi opravdu nelehký úkol.

Jaká kombinace technologií měla šanci

První skupinu principů jsme si zhodnotili jako plně splnitelnou technologiemi FORTINET. Konkrétně šlo o tři samostatné perimetrické firewally, které měly nahradit stávající MPLS propojení poboček. Jeden z této trojice byl navržen jako kontrolér bezdrátové sítě, spolu s firewally nabízenou sadou přístupových bezdrátových bodů. Ze znalosti prostředí zákazníka jsme zvolili produkty řady FGT vč. UTM licencí. Jako AP jsme vybrali model FortiAP-321E. Tento set byl završen licencemi FortiClient endpoint řešení vč. centralizované správy a jeho deployementu pomocí Enterprise Management Serveru (EMS).

Druhá skupina požadavků byla naplněna námi, mnohokrát ověřeným enforcerem HPE ARUBA Clearpass Policy Manager (CPPM), tento měl plnit hned několik důležitých úloh. Předně řídit přístup zaměstnanců a jejich firemních zařízení k síti většinově postavené na přístupových přepínačích Aruba 2540 a zároveň sloužit pro řízení přístupu hosta. Řídit přístup, bylo principy požadováno za pomoci certifikátu zařízení. Zákazník již PKI infrastrukturou disponoval, avšak revizi a drobným úpravám se přesto nevyhnula.

Další z požadavků zákazníka: „V rámci příslušné části sítě, kam je přihlášené zařízení přesměrováno, má uživatel přístup ke zdrojům na základě své autentifikace (jméno + heslo + osobní certifikát).“

Splnit obecné principy by nebylo možné bez rozšíření CPPM o modul OnGuard, který reaguje na stav (zdraví) zařízení připojeného k síti. Konkrétně v tomto případě sleduje stav antivirového systému Sophos a operativně reaguje na zjištěné nedostatky např. stáří databáze, a to i v případě, že ke změně stavu dojde později po úspěšném přihlášení.

Spolu s CPPM bylo nutné síť více segmentovat. Zákazník požadoval sekvenci způsobů ověření, tak aby mohlo dojít k rozlišení, zda se na port připojuje firemní zařízení, známé nefiremní (BYOD), hloupé, ale známé (MAC+profil) nebo prostě host. Bylo nutno zvolit efektivní a bezpečný způsob autorizace portu – microsegmentaci. Tím správným oříškem ale byla práce s hostem.

Vzájemná integrace odlišných světů

Svět perimetrického firewallu a 802.1x enforceru se nám v prolínal hned v několika principech ochrany. Jmenujme například endpoint klienta FortiClient. Enforcer musel být schopen reagovat na chybějící endopoint a antivirovou ochranu, případně její stáří. Obráceně firewall vyžaduje odsouhlasení přístupu VPN klienta v případě jeho volání.

Místem, kde se oba světy, perimetr a enforcer prolínají nejtěsněji, je přístup hosta. V principu jde o to, že host musí být v momentě prvního svého přístupu wifi sítí řízeně přesměrován na externí captive portál samotného enforceru CPPM, kde si host vyplní žádost o přístup, zadá své i druhotné heslo a měl by být následně vpuštěn do vybraného segmentu sítě. Wifi síť také musí vědět, jak dlouho bude přístup hosta platný a umět jej v době platné periody zjednodušeně ověřit a využít. 

Integrace, s kterou jsme se museli popasovat:
  1. Ověření stavu antivirového řešení v konzoli jeho centrální správy, ještě před přihlášením.
  2. Ověření existence FortiClient endpoint řešení a AV řešení Sophos vč. stáří signatury.
  3. CPPM Guest portál k ověření hosta nad wifi platformou Fortinet.
První příklad integrace - zákazník si přál, aby CPPM enforcer byl integrovaný s existujícím antivirovým systémem (AV). Obvykle je tato integrace dělaná za pomoci OnGuard agenta, tedy stav AV systému se vyčítá přímo z každé stanice prostřednictvím agenta, nejdříve však v momentě po přihlášení a následně periodicky. Přání zákazníka bylo ale, zjistit poslední stav AV přistupující stanice, ještě před žádostí o přihlášení. Na první pohled se jednalo o téměř nemyslitelnou variantu a k takovému způsobu jsme byli zprvu i dosti skeptičtí. Ovšem, jak se ukázalo, nejednalo se o nic, co by nebylo proveditelné, tím spíš v době moderních API.

Druhý příklad integrace – byla možnost pracovat se stavy zdraví interních počítačů přímo v politice FortiGate firewallu. Za pomoci API se vyčítá z CPPM aktuální stav zdraví přihlášených počítačů a dynamicky se plní dva rozdílné adresné objekty, jeden pro INFACTED stav a druhý HEALTHY. Tyto listy jsou pak navázané jako zdrojové v komunikační politice. Velmi snadno lze rozdělit průchod politikou firewallu pro jeden, resp. druhý stav nalezený v CPPM databázi. Integrace ostatních funkcionalit např. pro potřeby ověřování VPN probíhá standardním RADIUS dotazem/odpovědí.

Další příklad integrace – to, co nám dalo nejvíce zabrat, bylo provázání bezdrátové platformy Fortinet (FortiGate kontrolér a FortiAPs) v případě přístupu hosta. Přesměrovat hosta na jakýkoliv „externí“ captive portál není problém. Problém je ale „zpětný kanál“. Tahle část integrace nám zabrala dlouhé dny a hodiny testování. Bylo zřejmé, že si musíme pomoct sami a podařilo se. Nyní umíme zabezpečenou cestou (https post) kontroléru, předávat zpětnou zprávu a ten na ni reaguje.

Naše networking & security kompetence

Kompetence v oblasti HPE Aruba Clearpass (CPPM) máme na vysoké úrovni, ale přesto se vždy najde něco nového. V úvodu implementace CPPM u daného zákazníka, jsme záhy narazili na problém v souvislosti s cestovními profily. Tyto se synchronizují s přihlášením. Problém nastává, jakmile přecházíme z původní autentizace počítače, na autentizaci uživatele v momentě jeho přihlášení ke stanici. Výsledkem je nepříjemný time-out, čekání a s tím spojené snížení pracovní pohody zaměstnance, nemluvě o dalších technických nepříjemnostech na pozadí toho všeho.

Všechny tyto nepříjemnosti nás dovedly k použití dynamických uživatelských rolí (tzv. DUR). Role mají mnoho výhod, tou hlavní je, že se v nich může určit mnohem více, než jen pouhý segment. Mohou být dále použity pro vynucení mnohých dalších nastavení, platných jen a pouze pro daného uživatele/zařízení. DUR se aplikuje uživateli/zařízení přímo na portu, ke kterému je připojen a v pravdě jde tedy o mikrosegmentaci, jelikož ACL se aplikují přímo a ne až při průchodu nějakým L3 směrovačem.

Ne, opravdu je nikdo dnes nemusí definovat, nikdo nemusí obcházet přístupové přepínače a „klepat“ do nich ACL listy. Dynamicky se stahují (https z CPPM) v momentě prvního přístupu a posléze se jen kontroluje revize daného DUR, případně se provede stejně dynamicky i jeho update.

Konfigurace přepínačů je krásně čistá a dynamika ušetří mnohé starosti. Jediné ale spočívá v tom, že certifikát musí být veřejný, aby byl vždy důvěryhodný pro CPPM. Nejen legislativní povinnosti vedly zákazníka k rozhodnutí, že k zosobnění hosta bude použito jeho telefonní číslo ověřené autorizační SMS. Zvolili jsme cestu přes integraci s internetovou branou, důvodů výběru dané služby jsme měli vícero, tím hlavním byla nativní integrace s CPPM, druhým jednoduchý způsob nákupu kreditu a tím posledním pak, že SMS jsou odesílány z národního čísla.

Zkušenosti, které rádi nabídneme dalším zákazníkům

Z projektu si odnášíme další silné zkušenosti. Návykům prostředí zákazníka a jeho uživatelům, se často musí přizpůsobit nový systém, se kterým je spojena časová náročnost. Při větší integraci lze spoléhat jen na hotové integrační články jednoho nebo druhého výrobce (plugins) a hlavně na vlastní um a erudici specialistů při práci s API.  Integrace musí být nejprve otestována v uzavřeném prostředí LABu, jen hrdina by si dnes dovolil testovat na prostředí zákazníka. Přípravě předimplementační dokumentace také musí vždy předcházet analýza prostředí s důrazem na strukturu a stav MS Active Directory a návazně PKI. Však už dobře víme, že každá implementace se vzájemnou integrací zdánlivě nesourodých, síťových komponent, vyžaduje mnoho „neviditelné“ práce, často za sklem vybudovaného LAB prostředí.

Ze zpětné vazby od výrobců Fortinet a HPE Aruba si odnášíme i velmi dobrou informaci. To, co umí naši specialisté, se jiným zatím nepovedlo. Integrujeme to, na co jiní ani nepomysleli a děláme to dobře! Víme jak. Využijte toho i pro vaše potřeby.