В нашем случае система аналитки поведения Introspect из класса продуктов User and Entity Behavior Analytics (сокращённо UEBA) является единой точкой входа для большого количества разнообразной машинной информации, собираемой с имеющейся инфраструктуры, в том числе и с SIEM систем, и на основе алгоритмов машинной аналитики и искусственного интеллека помогать сотрудникам отдела безопасности автоматизировать рутинный труд по анализу большого количества инцидентов.
Более того, система может быть интегрирована с имеющимися системами контроля доступа к инфраструктуре (NAC) для выполнения различных действий с источниками аномального поведения в сети – отключать, понижать скорость, перемещать в другой VLAN и т.п.
В 2017 году сетевое подразделение Aruba компании Hewlett Packard Enterprise анонсировало комплексное решение по обеспечению сетевой безопасности Aruba 360 Secure Fabric. Это решение обеспечивает защиту корпоративной сети на 360 градусов от угроз извне и внутри сети в условиях постоянно меняющегося периметра безопасности, с появлением беспроводных устройств и облачных сервисов.
Решение построено на базе нескольких ключевых компонентов. В первую очередь, это защищённая и доверяемая инфраструктура. Сетевое оборудование Aruba с самого начала разрабатывалось с точки зрения обеспечения максимальной безопасности. Современные контроллеры могут обеспечить высокоскоростную (до 100 Гбит/с) обработку межсетвого трафика с учётом функции Deep packet inspection (DPI). С этим связано и появление специализированного протокола Advanced Monitoring (AMON), который предназначен для передачи большого объёма разнообразной информации между контроллерами БЛВС и системой управления и служит дополнительным источником информации для систем безопасности.
Следующим компонентом фабрики Aruba 360 служит система контроля доступа к инфраструктуре Aruba ClearPass, которая относится к семейству программных продуктов с общим названием Network Access Control (NAC). Этот продукт заслуживает подробного рассмотрения и мы планируем посвятить ему отдельную серию статей. Начнем с рассмотрения того, почему в современных условиях невозможно полагаться исключительно на периметр безопасности сети и откуда возникает потребность в SIEM-системах.
В цикле статей мы попытаемся осветить настройку различных технологий для организации доступа к беспроводной локальной вычислительной сети (БЛВС).
Целью этой статьи является показ возможность применение открытых стандартов для стыковки оборудования различных производителей друг с другом, привнося определённые преимущества или недостатки, решать вам. Мы же сделали для себя определённые выводы и привели их в конце статьи.
Персонифицированный контроль за доступом к сети — задача хлопотная как со стороны администратора, так и со стороны пользователя. Многие системные администраторы уходят от этой задачи, применяя более «простые» методы контроля за доступом к пользовательским портам типа MAC authentication, портальная аутентификация или Port-security, а то и вовсе не делают какой-либо контроль на порту.
Но что же делать, если всё-таки нужно применять персонифицированный контроль за доступом к сети? Причём, контроль доступа нужно осуществлять как для проводных, так и беспроводных абонентов.
В этой статье я расскажу, как эту задачу можно решить, используя связку между контроллером точек беспроводного доступа типа HP MSM (модель не столь важна), системой управления HP IMC c установленным модулем User Access Management (UAM). Другие элементы инфраструктуры, такие как точка беспроводного доступа и коммутатор проводного доступа, являются лишь передаточным звеном для трафика, и о них я упомяну вскользь.
Итак, в статье с помощью снимков с экрана и элементов конфигурации CLI я покажу, как настраивается оборудование для этой задачи.
