FAQ вебинара «Сеть без риска: контроль доступа для защиты данных и устройств» — ответы на вопросы о безопасности данных и контроле устройств сети
1 апреля 2025
11 марта прошел вебинар «Сеть без риска: контроль доступа для защиты данных и устройств», на котором эксперты обсудили альтернативы зарубежным решениям в области контроля доступа на отечественном рынке, особенности и преимущества системы Efros DO NAC и примеры ее использования для защиты данных и устройств, а также наглядно продемонстрировали, как работает система.
Участники вебинара активно задавали спикерам вопросы, на самые интересные из них отвечаем в этом FAQ.
11 марта прошел вебинар «Сеть без риска: контроль доступа для защиты данных и устройств», на котором эксперты обсудили альтернативы зарубежным решениям в области контроля доступа на отечественном рынке, особенности и преимущества системы Efros DO NAC и примеры ее использования для защиты данных и устройств, а также наглядно продемонстрировали, как работает система.
Участники вебинара активно задавали спикерам вопросы, на самые интересные из них отвечаем в этом FAQ.
Чем недостаточно функционала корпоративного антивируса?
Антивирусное ПО решает совсем другие задачи. Антивирус не контролирует доступ к сети, не проводит аутентификацию пользователей и устройств, а также не определяет права доступа к различным сегментам сети.
Какой уровень автоматизации предлагается платформой для задач анализа и
выявления уязвимостей?
Платформа Efros DO обеспечивает высокий уровень автоматизации для анализа и выявления уязвимостей. Ключевым функционалом является модуль Vulnerability control, который идентифицирует уязвимости в соответствии с требованиями ФСТЭК и внешними зарубежными источниками.
Интеграция с уязвимостями сканерами позволяет значительно обогащать информацию для более точного анализа. Хотя вопросы контроля доступа к сети (NAC) могут не полностью входить в основной продукт, платформа остается многофункциональным инструментом для решения задач в области уязвимостей.
При необходимости мы можем продемонстрировать возможности построения векторов атак, что позволяет моделировать параметры злоумышленника и визуализировать вектор атаки на карте сети, содействуя в определении дальнейших шагов по снижению рисков.
Интеграция с уязвимостями сканерами позволяет значительно обогащать информацию для более точного анализа. Хотя вопросы контроля доступа к сети (NAC) могут не полностью входить в основной продукт, платформа остается многофункциональным инструментом для решения задач в области уязвимостей.
При необходимости мы можем продемонстрировать возможности построения векторов атак, что позволяет моделировать параметры злоумышленника и визуализировать вектор атаки на карте сети, содействуя в определении дальнейших шагов по снижению рисков.
Основное преимущество Cisco ISE — это применение TrustSec и SGACL, которые
позволяют избежать менеджмента множества классических АСL. У Вашего продукта используются классические ACL?
Безусловно Cisco TrustSec — удобное решение, поскольку значительно упрощает управление безопасностью, особенно в контексте взаимодействия с NGFW. В нашем продукте мы используем классические и загружаемые ACL. В настоящее время ведутся работы по интеграции EDO NAC с межсетевыми экранами для возможность передачи информации об идентификации.
Есть поддержка интеграции UserGate 7.x?
Да, у программного комплекса EDO есть интеграция с Usergate 7.х версии. Интеграция EDO NAC с VPN шлюзом UserGate в настоящее время в проработке у коллег.
Как контролировать подключение по удалённому рабочему столу/RDP к
хосту-суппликанту? Вроде как внутренний Dot1X-агент, к примеру, Windows такие
сессии не аутентифицирует по Dot1X
Никак. Это не задача NAC и 802.1Х. Пользователи подключаю по удаленному рабочему столу к серверу, который уже в сети.
Я правильно понимаю, что функционал Efos ACS реализован именно в модуле NAC-продукта Efros DO? Или у данных продуктов разное назначение?
Да, EDO NAC - продолжение продукта Efros ACS, который снят с продажи в 2024 году. Сервер TACACS+ также входит в модуль NAC.
EDO client — это аналог Cisco AnyConnect?
Частично. EDO-агент — это ПО, которое осуществляет проверку конечных устройств на соответствие политикам безопасности (аналог Posture). Также для ОС Windows, Linux, в EDO-агент встроен модуль “суппликант”. При этом EDO-агент не является VPN клиентом для удаленных подключений.
После аутентификации пользователя/устройства RADIUS возвращает коммутатору номер Vlan, в которую следует поместить сетевое устройство? Или есть еще варианты?
Есть возможность назначить dACL (downloadable ACL) на порт коммутатора или использовать уже существующий на коммутаторе ACL. Также, если аутентификатор (коммутатор) поддерживает Vendor Specific Attributes (VSA), то в AccessAccept можно передать VSA.
Можно использовать сторонний сервис MFA?
Для контроля доступа в сеть сторонний сервис MFA на данный момент использовать нельзя - эта функция будет доступна в ближайшем обновлении. В текущей версии доступ с MFA предоставляется только для административного доступа к ПК EDO.
Есть ли design guide от вендора по распределенной системе контроля доступа для филиалов, чтобы избежать блокировки доступа при обрыве VPN?
Есть. Поддерживается кластеризация и иерархия серверов. Для проработки распределенной схемы контроля доступа просьбы обратиться к УЦСБ.
Как функционал пересекается с NAD?
Нет. Это разные классы решений. Они дополняют друг друга.
С какими российскими производителями телеком-оборудования есть интеграция
(интересует Eltex, SNR)?
Если речь идет о модуле NAC, то он совместим с любым оборудованием, которое поддерживает стандарт 802.1X. Полный список поддерживаемого оборудования есть в документации на продукт на сайте Газинформсервис.
Как лицензируется агент на конечные точки? Per host, per feature?
Модуль NAC лицензируется по количеству устройств. Отдельная лицензия для EDO-агента не нужна. Лицензии конкурентные, поэтому при приобретении лицензии на Efros DO можно установить количество агентов, указанное в максимальном количестве устройств, и у агента будет полный функционал.
В продукте все включено (за исключением инфраструктуры сертификатов)? Нет
необходимости дополнительно развертывать RADIUS?
В продукте имеется как Удостоверяющий центр (УЦ, СА - Certificate Authority) так и RADIUS и TACACS+ серверы.
ACL загружаются на коммутатор «руками» админа или продуктом?
Возможны два варианта:
- Настройка ACL на коммутаторе и на ПК EDO. В случае успешной авторизации пользователя передать имя ACL-аутентификатору.
- dACL настраивается на стороне продукта. Для этого потребуется использовать RADIUS Vendor Specific Attributes аутентификатора.
Сценарий NAC с VPN: нужен ли EDO-агент и КриптоПро Ngate на пользователе? Шлюз КриптоПро Ngate на сервере связан с EFROS NAC-сервером?
Для работы nGate VPN-клиента в туннельном режиме в любом случае требуется криптопровайдер КрипроПро CSP.
Возможно несколько схем интеграции КриптоПро Ngate и EDO NAC
Возможно несколько схем интеграции КриптоПро Ngate и EDO NAC
- EDO выступает RADIUS-сервером при подключении удаленных VPN-пользователей к КриптоПро Ngate. Тогда EDO-агент не требуется.
- Если требуется менять параметры авторизации (ACL) на КриптоПро Ngate в зависимости от статуса удаленного VPN-пользователя, то да, требуется EDO-агент.
В какой момент Endpoint получает IP-адрес и из какого VLAN?
После подключения порт изначально находится в состоянии «не идентифицирован». Когда Endpoint проходит аутентификацию, информация о том, в какой порт и какую VLAN включить, передается через RADIUS-атрибуты.
Коммутатор включает порт и применяет настройки VLAN. После этого Endpoint запускает DHCP-запрос, чтобы получить IP-адрес, что происходит уже после успешной аутентификации.
Коммутатор включает порт и применяет настройки VLAN. После этого Endpoint запускает DHCP-запрос, чтобы получить IP-адрес, что происходит уже после успешной аутентификации.
EDO только с AD работет или есть альтернативы, например, FreeIPA?
Есть альтернативы и поддержка FreeIPA и LDAP.
Как обновлять систему? Где берутся обновления?
Обновления передаются клиенту в рамках пакетов технической поддержки.
Можно ли реализовать сервис для личных устройств, например, BYOD-сервис?
Да, в EDO NAC есть гостевой портал. Пользователь может самостоятельно зарегистрироваться в сети анонимно или подтвердив себя по email или SMS и получить доступ к ресурсам, в соответствии с политикой организации.
Подскажите, как масштабируется система? С каким максимальным
количеством endpoints приходилось сталкиваться?
На данный момент есть один проект, который находится в стадии реализации , в котором производится подключение около 15 тысяч устройств с высокими требованиями, особенно в условиях пиковых нагрузок. Например, в случае определенных сбоев в сети или электроснабжении может возникнуть ситуация, когда одновременно пытаются подключиться до 1000 устройств.
С целью минимизации времени ожидания в таких сценариях мы анализируем наш опыт и сопоставляем его с практиками, аналогичными тем, что применяются в Cisco. В конце прошлого года были проведены улучшения архитектуры, что позволило нам добиться значительных результатов: система теперь способна обрабатывать до 200 подключений в секунду, что обеспечивает возможность подключения оставшихся устройств без отказов. Они просто становятся в очередь. При этом максимальная производительность системы достигает более 20 тысяч подключений.
С целью минимизации времени ожидания в таких сценариях мы анализируем наш опыт и сопоставляем его с практиками, аналогичными тем, что применяются в Cisco. В конце прошлого года были проведены улучшения архитектуры, что позволило нам добиться значительных результатов: система теперь способна обрабатывать до 200 подключений в секунду, что обеспечивает возможность подключения оставшихся устройств без отказов. Они просто становятся в очередь. При этом максимальная производительность системы достигает более 20 тысяч подключений.
Напишите нам на cybersec@ussc.ru или оставьте заявку
Нужна консультация по внедрению DevSecOps?
Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных