Импортозамещение NAC: обзор российского решения WNAM

Сегодня расскажем про российскую разработку WNAM от Netams. Мы знакомы с этим вендором много лет, и они заметно выросли после 2022 года. Сейчас это отечественный ACS/NAC-продукт, который является альтернативой ушедшим с рынка импортным решениям. И несмотря на название, реализует авторизацию не только по Wi-Fi, но и по LAN и VPN.

kaql_iwptrxufa99codyxqopyfg.png

О том, что такое NAC, каким компаниям нужен и почему все сейчас переходят на российские продукты рассказывали в предыдущем материале.

Краткая история WNAM


lxlxdwuyi-ekoufz_xkam4fddpk.png
Гостевая авторизация от WNAM

В 2014 году в России приняли закон, который запрещает раздавать Wi-Fi без авторизации по SMS или через Госуслуги. Это подстегнуло развитие рынка решений гостевой авторизации. К тому же можно зарабатывать дополнительные деньги на показе пользователям рекламы, особенно если у вас большой поток посетителей.

WNAM — отличный пример подобного отечественного NAC решения. Он знаком нам около семи лет, а сам производитель присутствует на рынке с 2008 года. До этого WNAM являлся решением для беспроводной веб-авторизации, то есть hotspot-порталом для Wi-Fi. Но в последние годы особенно быстро развивается в корпоративный сегмент.

Глобальные изменения произошли после ухода с рынка зарубежных вендоров и их продуктов для авторизации Enterprise, к которым все привыкли: Cisco ISE, HPE/Aruba ClearPass, а следом и Huawei NCE-Campus. На этом фоне компания Netams решила доработать WNAM: расширить функционал и занять освободившуюся часть рынка. Сделать из ПО для гостевой веб-авторизации многофункциональное решение, которое будет:

  • осуществлять корпоративную аутентификацию и авторизацию через dot1x,
  • поддерживать интеграцию с каталогом MS AD и центром сертификации MS CA,
  • реализовывать профилирование устройств пользователей,
  • логировать сессии,
  • создавать отчеты о подключениях.


8pfjwmi7fqe3ac4iktmvfqrsqfg.png
Детальные отчеты о подключениях

И еще много других дополнительных функций. В целом у Netams все получилось: они создали полноценный Enterprise-продукт, способный удовлетворить запросы корпоративных клиентов.

WNAM на чемпионате мира


9emsv9g2hvwip1ia2w9iwey_mfw.png
Конструктор гостевого портала

Первый опыт взаимодействия с WNAM у нас в К2Тех состоялся во время чемпионата мира по футболу 2018 года. Мы проектировали и внедряли Wi-Fi высокой плотности на одном из стадионов. И в качестве портала гостевой авторизации по всей России использовался именно WNAM: работал на 10 из 12 стадионов, а также в пяти фан-зонах. Если вы подключались к Wi-Fi на Чемпионате мира, то с большой вероятностью пользовались именно системой WNAM.

Соответственно, уже тогда было реализовано:

  • пять языков в интерфейсе абонента;
  • поддержка оборудования Cisco, Ruckus, Huawei, Avaya;
  • интеграция с СОРМ, системой аккредитаций и Fan ID болельщиков;
  • расширенная отчетность (онлайн и по расписанию).


WNAM был развернут в облаке Ростелекома, а мы настраивали интеграцию Wi-Fi оборудования с системой. Как и другие интеграторы, работали на одной из площадок. Уже тогда было понятно — это простой и доступный продукт, с хорошо продуманной документацией, позволяющий быстро настроить подключение.

WNAM после 2022


f7icnn0taf0tl_dtwiloiaoedjg.png
Профили корпоративной аутентификации

Когда Cisco и другие вендоры ушли из России, поначалу было непросто. Потому что Cisco ISE крутой продукт с миллионом всяких фич, которые можно тонко тюнить. А еще в нем множество готовых интеграций с самыми разными продуктами, в том числе и проприетарные интеграции (например, с теми же самыми продуктами Cisco).

Но это решение в РФ официально больше недоступно. Поэтому отечественные разработчики подтянулись и активно развивают свои продукты — например, GIS Efros ACS/DO, DECK.Auth или Netams WNAM. Ситуация развивается динамично, обновления продуктов выходят регулярно, а новые функции добавляются быстро. Это позволило той же WNAM обогнать китайские аналоги, а по некоторым показателям даже выбиться в лидеры. Особенно если не учитывать недоступные в РФ NAC-решения.

Что представляет собой WNAM сейчас


x0b80wyltlrwcelwroyughgkv70.png
Архитектура решения WNAM

WNAM — специализированное программное обеспечение для контроля доступа к сети. Его основная задача состоит в аутентификации и авторизации устройств и пользователей при подключении к проводной и беспроводной локальной сети или через VPN. В том числе — гостевая авторизация через web-порталы.

Основные функции, которые хочется отметить:

  • Корпоративная аутентифкация (dot1x) по протоколам PEAP и EAP-TLS;
  • Аутентификация устройств по MAC-адресу;
  • Интеграция с внешними каталогами MS AD и FreeIPA;
  • Встроенный центр управления сертификатами;
  • Поддержка атрибутов авторизации (VLAN ID, Downloadable ACL, Dynamic ACL, ограничение скорости, в том числе проприетарных RADIUS атрибутов);
  • Профилирование устройств;
  • Аутентификация, авторизация и учет действий для административного доступа на сетевые устройства (RADIUS и TACACS+) ;
  • Гостевые порталы с аутентификацией, соответствующей законодательству РФ (обратный вызов, SMS, Госуслуги/ЕСИА);
  • Детальное логирование действий пользователей в сети: длительность сессий, скорость, количество подключений, объем трафика.


gh83h8ndbsoiqgbgqa4j5izbbhw.png
Детальные логи подключения

Дизайн интерфейса не похож на конкурентов. Потому что изначально WNAM пошли по собственному пути в построении UI, а не привязывались к интерфейсу Cisco ISE. На наш взгляд, получилось наглядно и удобно.

tniz04mbherbaesk3lxv7wafvqe.png
Дашборды с ключевыми метриками

Разберем некоторые фичи этого решения поподробнее.

1. Интеграция с внешними БД, такими как MS AD и FreeIPA — open-source аналогом решения от Microsoft. Вообще многие интеграторы (в том числе и мы) замечают, что open-source становится все более популярным среди заказчиков. Поэтому Netams не отстает и активно внедряет его в свои продукты.

2. Гостевой портал с SMS-авторизацией, помимо корпоративной аутентификации — главный плюс WNAM лично для нас. Потому что не приходится покупать два продукта: WNAM закрывает все потребности, которые обычно нужны Enterprise. Особенно если есть не только локальная сеть, но и Wi-Fi, через который компания предоставляет гостевой доступ своим посетителям в соответствии с текущим законодательством.

3. Профилирование — возможность определения типа устройств, подключающихся к сети. Чтобы понять, насколько это важная функция, разберем на примере.

Скажем, в вашей сети аутентификация сотрудниками осуществляется с корпоративных ноутбуков, по логину и паролю. Но внезапно к сети пытается подключиться смартфон. Или у вас есть подсеть принтеров, но с нее пытается подключиться какой-то ноутбук на Linux.
Если логин и пароль правильные — устройство успешно пройдет аутентификацию и попадет в сеть. В стандартной ситуации вы не поймете, что что-то идет не так.

hx3kprpns_nrtctndihervwllrk.png
Политики профилирования устройств

Профилирование позволяет определить тип устройства и тип операционной системы по атрибутам DHCP и RADIUS запросов, MAC-адресу и другим косвенным признакам. Так WNAM оценивает, не происходит ли подмена — причем делает это весьма качественно. В последние полтора года из-за участившихся атак на инфраструктуру российских предприятий, это стало особенно актуально.

У Netams есть отдельный продукт — Quality of Wireless, который позволяет мониторить качество Wi-Fi, имитируя работу Wi-Fi клиентов — реальные подключения ноутбуков и смартфонов. Для этого по офису расставляются специальные сенсоры — они сами подключаются к Wi-Fi, проходят аутентификацию, получают IP-адрес, пытаются заходить на разные ресурсы и замеряют метрики. Так можно получить данные о том, как функционирует Wi-Fi в контексте пользовательского опыта.

В итоге по функционалу надо отметить, что у WNAM пока нет некоторых функций, которые были в Cisco ISE. Например отсутствует:

  • NAC-агент для проверки соответствия устройства корпоративным политикам безопасности (Device Posture Assessment в терминологии Cisco ISE);
  • Полноценный BYOD сервис для онбординга личных устройств в корпоративной сети;
  • Интеграция с Mobile Device Management (MDM) системами.


Но раньше список отсутствующих функций был гораздо больше, и он быстро сокращается (например, буквально недавно не было того же профилирования). Есть уверенность, что через год-полтора отличий от Cisco ISE в плане функционала у WNAM не будет.

Установка WNAM

WNAM — серверное приложение, работающее под управлением операционной системы Linux либо Windows. Продукт поставляется в виде как отдельного пакета, так и готовой OVF сборки с Astra Linux под капотом. Netams предлагает гибкое решение — несколько видов сборки, в зависимости от конкретной задачи заказчика. Если требуется только гостевой доступ, то это будет одна сборка, если же нужно только корпоративное включение — другая сборка.

Что мы хотим отметить:

  • Системные требования у WNAM минимальные: от 4 ГБ ОЗУ, 200 ГБ дискового пространства, процессор от Core i5. Этого более чем достаточно, если у вас одновременно подключены меньше 500 сотрудников.
  • WNAM можно поставить на Ubuntu, Debian или Astra Linux, а версии WNAM от 1.5 даже запускаются под Windows. Получается решение, совсем не требовательное к ОС (по сравнению почти со всеми другими NAC) и гибкое: многим админам не придется переучиваться под Astra Linux или еще что-то более специфическое.
  • WNAM — полностью коробочное решение, on premises. Вы ставите продукт на собственном сервере и дальше поддерживаете его внутренними силами — лицензия покупается один раз и навсегда. Это не облачный продукт, за который вы платите каждый месяц, и цены на него могут постоянно меняться. Еще коробочное решение лучше с точки зрения безопасности: многие заказчики после ухода западных вендоров поняли, что если ты покупаешь облачный продукт, то по сути он тебе не принадлежат.
  • У WNAM очень подробная документация, в отличие от тех же китайских аналогов, которые пытаются выйти на рынок. Здесь отличная Вики: детальная, удобная, на русском языке, со множеством полезных разделов и пошаговых гайдов с примерами. Одна из лучших документаций, с которой мы сталкивались. Так что вряд ли с установкой возникнут сложности, особенно если есть хотя бы минимальный опыт (а если нет, К2Тех поможет

    © Habrahabr.ru