Импортозамещение NAC: обзор российского решения WNAM
Сегодня расскажем про российскую разработку WNAM от Netams. Мы знакомы с этим вендором много лет, и они заметно выросли после 2022 года. Сейчас это отечественный ACS/NAC-продукт, который является альтернативой ушедшим с рынка импортным решениям. И несмотря на название, реализует авторизацию не только по Wi-Fi, но и по LAN и VPN.
О том, что такое NAC, каким компаниям нужен и почему все сейчас переходят на российские продукты рассказывали в предыдущем материале.
Краткая история WNAM
Гостевая авторизация от WNAM
В 2014 году в России приняли закон, который запрещает раздавать Wi-Fi без авторизации по SMS или через Госуслуги. Это подстегнуло развитие рынка решений гостевой авторизации. К тому же можно зарабатывать дополнительные деньги на показе пользователям рекламы, особенно если у вас большой поток посетителей.
WNAM — отличный пример подобного отечественного NAC решения. Он знаком нам около семи лет, а сам производитель присутствует на рынке с 2008 года. До этого WNAM являлся решением для беспроводной веб-авторизации, то есть hotspot-порталом для Wi-Fi. Но в последние годы особенно быстро развивается в корпоративный сегмент.
Глобальные изменения произошли после ухода с рынка зарубежных вендоров и их продуктов для авторизации Enterprise, к которым все привыкли: Cisco ISE, HPE/Aruba ClearPass, а следом и Huawei NCE-Campus. На этом фоне компания Netams решила доработать WNAM: расширить функционал и занять освободившуюся часть рынка. Сделать из ПО для гостевой веб-авторизации многофункциональное решение, которое будет:
- осуществлять корпоративную аутентификацию и авторизацию через dot1x,
- поддерживать интеграцию с каталогом MS AD и центром сертификации MS CA,
- реализовывать профилирование устройств пользователей,
- логировать сессии,
- создавать отчеты о подключениях.
Детальные отчеты о подключениях
И еще много других дополнительных функций. В целом у Netams все получилось: они создали полноценный Enterprise-продукт, способный удовлетворить запросы корпоративных клиентов.
WNAM на чемпионате мира
Конструктор гостевого портала
Первый опыт взаимодействия с WNAM у нас в К2Тех состоялся во время чемпионата мира по футболу 2018 года. Мы проектировали и внедряли Wi-Fi высокой плотности на одном из стадионов. И в качестве портала гостевой авторизации по всей России использовался именно WNAM: работал на 10 из 12 стадионов, а также в пяти фан-зонах. Если вы подключались к Wi-Fi на Чемпионате мира, то с большой вероятностью пользовались именно системой WNAM.
Соответственно, уже тогда было реализовано:
- пять языков в интерфейсе абонента;
- поддержка оборудования Cisco, Ruckus, Huawei, Avaya;
- интеграция с СОРМ, системой аккредитаций и Fan ID болельщиков;
- расширенная отчетность (онлайн и по расписанию).
WNAM был развернут в облаке Ростелекома, а мы настраивали интеграцию Wi-Fi оборудования с системой. Как и другие интеграторы, работали на одной из площадок. Уже тогда было понятно — это простой и доступный продукт, с хорошо продуманной документацией, позволяющий быстро настроить подключение.
WNAM после 2022
Профили корпоративной аутентификации
Когда Cisco и другие вендоры ушли из России, поначалу было непросто. Потому что Cisco ISE крутой продукт с миллионом всяких фич, которые можно тонко тюнить. А еще в нем множество готовых интеграций с самыми разными продуктами, в том числе и проприетарные интеграции (например, с теми же самыми продуктами Cisco).
Но это решение в РФ официально больше недоступно. Поэтому отечественные разработчики подтянулись и активно развивают свои продукты — например, GIS Efros ACS/DO, DECK.Auth или Netams WNAM. Ситуация развивается динамично, обновления продуктов выходят регулярно, а новые функции добавляются быстро. Это позволило той же WNAM обогнать китайские аналоги, а по некоторым показателям даже выбиться в лидеры. Особенно если не учитывать недоступные в РФ NAC-решения.
Что представляет собой WNAM сейчас
Архитектура решения WNAM
WNAM — специализированное программное обеспечение для контроля доступа к сети. Его основная задача состоит в аутентификации и авторизации устройств и пользователей при подключении к проводной и беспроводной локальной сети или через VPN. В том числе — гостевая авторизация через web-порталы.
Основные функции, которые хочется отметить:
- Корпоративная аутентифкация (dot1x) по протоколам PEAP и EAP-TLS;
- Аутентификация устройств по MAC-адресу;
- Интеграция с внешними каталогами MS AD и FreeIPA;
- Встроенный центр управления сертификатами;
- Поддержка атрибутов авторизации (VLAN ID, Downloadable ACL, Dynamic ACL, ограничение скорости, в том числе проприетарных RADIUS атрибутов);
- Профилирование устройств;
- Аутентификация, авторизация и учет действий для административного доступа на сетевые устройства (RADIUS и TACACS+) ;
- Гостевые порталы с аутентификацией, соответствующей законодательству РФ (обратный вызов, SMS, Госуслуги/ЕСИА);
- Детальное логирование действий пользователей в сети: длительность сессий, скорость, количество подключений, объем трафика.
Детальные логи подключения
Дизайн интерфейса не похож на конкурентов. Потому что изначально WNAM пошли по собственному пути в построении UI, а не привязывались к интерфейсу Cisco ISE. На наш взгляд, получилось наглядно и удобно.
Дашборды с ключевыми метриками
Разберем некоторые фичи этого решения поподробнее.
1. Интеграция с внешними БД, такими как MS AD и FreeIPA — open-source аналогом решения от Microsoft. Вообще многие интеграторы (в том числе и мы) замечают, что open-source становится все более популярным среди заказчиков. Поэтому Netams не отстает и активно внедряет его в свои продукты.
2. Гостевой портал с SMS-авторизацией, помимо корпоративной аутентификации — главный плюс WNAM лично для нас. Потому что не приходится покупать два продукта: WNAM закрывает все потребности, которые обычно нужны Enterprise. Особенно если есть не только локальная сеть, но и Wi-Fi, через который компания предоставляет гостевой доступ своим посетителям в соответствии с текущим законодательством.
3. Профилирование — возможность определения типа устройств, подключающихся к сети. Чтобы понять, насколько это важная функция, разберем на примере.
Скажем, в вашей сети аутентификация сотрудниками осуществляется с корпоративных ноутбуков, по логину и паролю. Но внезапно к сети пытается подключиться смартфон. Или у вас есть подсеть принтеров, но с нее пытается подключиться какой-то ноутбук на Linux.
Если логин и пароль правильные — устройство успешно пройдет аутентификацию и попадет в сеть. В стандартной ситуации вы не поймете, что что-то идет не так.
Политики профилирования устройств
Профилирование позволяет определить тип устройства и тип операционной системы по атрибутам DHCP и RADIUS запросов, MAC-адресу и другим косвенным признакам. Так WNAM оценивает, не происходит ли подмена — причем делает это весьма качественно. В последние полтора года из-за участившихся атак на инфраструктуру российских предприятий, это стало особенно актуально.
У Netams есть отдельный продукт — Quality of Wireless, который позволяет мониторить качество Wi-Fi, имитируя работу Wi-Fi клиентов — реальные подключения ноутбуков и смартфонов. Для этого по офису расставляются специальные сенсоры — они сами подключаются к Wi-Fi, проходят аутентификацию, получают IP-адрес, пытаются заходить на разные ресурсы и замеряют метрики. Так можно получить данные о том, как функционирует Wi-Fi в контексте пользовательского опыта.
В итоге по функционалу надо отметить, что у WNAM пока нет некоторых функций, которые были в Cisco ISE. Например отсутствует:
- NAC-агент для проверки соответствия устройства корпоративным политикам безопасности (Device Posture Assessment в терминологии Cisco ISE);
- Полноценный BYOD сервис для онбординга личных устройств в корпоративной сети;
- Интеграция с Mobile Device Management (MDM) системами.
Но раньше список отсутствующих функций был гораздо больше, и он быстро сокращается (например, буквально недавно не было того же профилирования). Есть уверенность, что через год-полтора отличий от Cisco ISE в плане функционала у WNAM не будет.
Установка WNAM
WNAM — серверное приложение, работающее под управлением операционной системы Linux либо Windows. Продукт поставляется в виде как отдельного пакета, так и готовой OVF сборки с Astra Linux под капотом. Netams предлагает гибкое решение — несколько видов сборки, в зависимости от конкретной задачи заказчика. Если требуется только гостевой доступ, то это будет одна сборка, если же нужно только корпоративное включение — другая сборка.
Что мы хотим отметить:
- Системные требования у WNAM минимальные: от 4 ГБ ОЗУ, 200 ГБ дискового пространства, процессор от Core i5. Этого более чем достаточно, если у вас одновременно подключены меньше 500 сотрудников.
- WNAM можно поставить на Ubuntu, Debian или Astra Linux, а версии WNAM от 1.5 даже запускаются под Windows. Получается решение, совсем не требовательное к ОС (по сравнению почти со всеми другими NAC) и гибкое: многим админам не придется переучиваться под Astra Linux или еще что-то более специфическое.
- WNAM — полностью коробочное решение, on premises. Вы ставите продукт на собственном сервере и дальше поддерживаете его внутренними силами — лицензия покупается один раз и навсегда. Это не облачный продукт, за который вы платите каждый месяц, и цены на него могут постоянно меняться. Еще коробочное решение лучше с точки зрения безопасности: многие заказчики после ухода западных вендоров поняли, что если ты покупаешь облачный продукт, то по сути он тебе не принадлежат.
- У WNAM очень подробная документация, в отличие от тех же китайских аналогов, которые пытаются выйти на рынок. Здесь отличная Вики: детальная, удобная, на русском языке, со множеством полезных разделов и пошаговых гайдов с примерами. Одна из лучших документаций, с которой мы сталкивались. Так что вряд ли с установкой возникнут сложности, особенно если есть хотя бы минимальный опыт (а если нет, К2Тех поможет