Журнал "Information Security/ Информационная безопасность" #4, 2025

Мы живем в быстроменяющемся мире: инновации появляются регулярно, влияя как на деловую среду, так и на частную жизнь. Вместе с удобством, комфортом, скоростью и эффективностью решения задач технологии приносят с собой и новые вызовы, связанные с уровнем безопасности. Со временем наступает момент пере- смотра фундаментальных подходов, которые на протяжении длительного периода доказывали свою эффектив- ность. В области обеспечения безопас- ности сетевой инфраструктуры фунда- ментальным можно считать метод "защи- ты периметра", которым большинство специалистов по информационной без- опасности пользовалось на протяжении нескольких десятилетий. Этот метод предполагает наличие внутренней сети, в которой можно доверять устройствам и пользователям, при этом направляя все силы и средства на защиту доступа к ресурсам компании извне. С ростом количества подключаемых устройств, популярностью облачных решений, а также необходимостью биз- неса быть мобильным, все сложнее ста- новилось находить границы периметра. Рост числа удаленных сотрудников во время и после пандемии, повсеместная цифровизация и увеличение количества устройств IoT (только в России по оцен- кам на конец 2023 г. было около 86 млн устройств 1 ) окончательно размыли гра- ницы периметра и потребовали нового подхода к построению эффективной системы защиты ИТ-инфраструктуры. Такие подходы были предложены в рам- ках концепции Zero Trust (нулевого дове- рия) и ее практической реализации – технологии ZTNA – сетевого доступа с нулевым доверием. Первым и основным шагом для реа- лизации ZTNA является внедрение систе- мы управления и контроля доступа и работающей аутентификации, (так как до 70% инцидентов связаны именно с этим) 2 . Network Access Control – основа ZTNA NAC – один из ключевых аспектов сетевой безопасности, который обес- печивает видимость устройств и поль- зователей, пытающихся получить доступ к корпоративной сети. NAC контролирует сам факт доступа, бло- кируя его тем пользователям и устрой- ствам, которые не соответствуют поли- тикам безопасности (на основании информации о пользователе и состоя- нии устройства). Примером успешного решения этого класса служит Efros DefOps NAC 3 . Рассмотрим, как на практике NAC позволяет решать задачи защиты сете- вой инфраструктуры. Защита по MAC-адресам и доступ IoT-устройств NAC играет ключевую роль в защите сетей при доступе устройств по уни- кальным физическим адресам (MAC). Сетевые принтеры, IP-телефоны, инфор- мационные панели, видеокамеры, про- мышленные датчики, оборудование для автоматизации зданий и прочие IoT- устройства, как правило, не поддержи- вают более защищенные способы аутен- тификации (802.1X), чем вызвана необходимость предоставлять доступ в сеть по MAC-адресам. Данный метод доступа еще называют MAC Authentica- tion Bypass (MAB). Подделка MAC-адресов представляет серьезную угрозу, позволяя злоумыш- ленникам обходить существующие меры безопасности. Поскольку сама подделка MAC-адреса не является технически сложным действием, то данная проблема становится важной для сотрудников отделов ИТ или ИБ. Для противодействия таким угрозам в системах NAC применяются специа- лизированные технологии профилиро- вания, которые обеспечивают динами- ческое определение типа устройств по ряду параметров. NAC может понять, что подключаемое по сети устройство является, например, принтером или VoIP- телефоном. При правильной настройке политики доступа на NAC (разрешать доступ в сеть по MAB только принтерам) злоумышленник даже при подмене MAC- адреса не сможет получить доступ – его устройство система спрофилирует как АРМ на OC Linux или Windows, и срабо- тает блокирующее правило. При хорошо настроенном профилировании для реа- лизации данной атаки злоумышленнику нужно знать как параметры, используе- мые NAC для идентификации подклю- чаемых устройств, так и точные значения этих параметров для устройства, чей MAC-адрес он подделывает, а это тре- бует уже гораздо большей подготовки. Кроме профилирования, отдельные системы NAC имеют дополнительные механизмы защиты от подделки MAC- адресов. Одним из таких решений являет- ся определение связки MAC-адреса устройства и порта оборудования (ком- мутатора), с которого это устройство под- ключается в сеть. При активации данного механизма защиты злоумышленник, кото- рый подключается в сеть с поддельным MAC-адресом с другого оборудования, не сможет получить доступ. Для реализа- ции атаки ему потребуется физически подключить свой компьютер в тот же порт коммутатора, то есть придется полу- чить доступ в помещение, где установлено сетевое оборудование или само устрой- ство, MAC-адрес которого скомпромети- рован. 56 • СПЕЦПРОЕКТ Практические аспекты применения систем Network Access Control амая уязвимая точка корпоративной сети – не файрвол на периметре, а бесконтрольные подключения: подрядчик с ноутбуком, IP-камера без обновлений или сотрудник через VPN с зараженным компьютером. Именно с этих дыр начина- ется большинство инцидентов, которые без NAC (Network Access Control) закрыть невозможно. С Евгений Варламов, менеджер продукта Efros DefOps NAC компании “Газинформсервис” Фото: Газинформсервис 1 https://www.comnews.ru/content/234991/2024-09-02/2024-w36/1008/kolichestvo-podklyuchennykh-iot-ustroystv-rossii-pochti- dostiglo-86-mln-2023-g 2 https://www.anti-malware.ru/analytics/Technology_Analysis/What-is-Zero-Trust-Network-Access 3 https://www.gaz-is.ru/produkty/zashchita-it-infrastrukturi/efros-defops-nac