Понятие «контроль доступа» подразумевает контроль физического доступа в помещения, к рабочей станции, съемным носителям, сети и информационным ресурсам. Существует ли решение, способное объединить все вышеперечисленные задачи? Как обеспечить проверку подключаемых к локальной сети рабочих станций и других устройств (принтеров, терминалов, IP-телефонов) на соответствие внутренним требованиям? Актуальность этих вопросов подтверждается увеличением количества внутренних инцидентов, связанных с нарушением информационной безопасности предприятий. Согласно весьма неутешительной статистике, более 80% зарегистрированных инцидентов являются внутренними.
Сегодня существуют два основных подхода к решению данной проблемы — использование встроенных возможностей ОС на основе технологии 802.1х или агентского программного обеспечения на рабочих станциях. Если первое решение изначально разрабатывалось в качестве стандартного и предназначалось для контроля беспроводных подключений, то второе у многих производителей реализуется на базе собственных разработок. Сравнение решений от разных производителей — тема для отдельной статьи, здесь же мы ограничимся сопоставлением двух принципиально разных подходов и рассмотрим их на конкретном примере, оценив как достоинства, так и недостатки.
СТАНДАРТ 802.1Х
Появление 802.1х было вызвано необходимостью контроля подключений персональных устройств в беспроводных сетях. Протоколы 802.1x, EAP, RADIUS стандартизированы комитетом IEEE как 802.11i, а также сертифицированы «Альянсом Wi-Fi» под названием WPA (Wi-Fi Protected Access) или WPA2. Встроенная поддержка 802.1х включена во все последние версии Windows, а клиентское ПО для операционных систем, предшествовавших Windows XP, предлагают компании Funk Software (приобретена компанией Juniper Networks) и Meetinghouse (приобретена Cisco Systems). Кроме того, в арсенале Meetinghouse имеется клиентская часть для Linux, поставляемая бесплатно. Программу-клиент 802.1x с общедоступным кодом для Linux и UNIX написала также группа Open1x.
В случае 802.1х аутентификация выполняется «на уровне порта» — т. е. до ее завершения пользователю разрешено посылать только определенные пакеты: Extensible Authentication Protocol over LAN (EAPOL), Cisco Discovery Protocol (CDP) и Spanning Tree Protocol (STP). Для реализации контроля доступа по протоколу 802.1x требуется вспомогательная инфраструктура — клиенты, коммутаторы локальной сети с поддержкой протокола 802.1х, сервер RADIUS и база данных для хранения учетных записей (например, служба Active Directory). Пользователь идентифицируется на основе имени/пароля или цифрового сертификата. Последний может размещаться как в хранилище сертификатов на рабочей станции, так и на накопителе USB или смарт-карте.
АГЕНТСКОЕ ПО
С точки зрения контроля состояния ПО рабочей станции и авторизации пользователя наиболее эффективна технология «тонкого» клиента. Однако с ростом требований к производительности и появлением мультисервисных приложений тонкие клиенты уступают по своим возможностям традиционным решениям на основе персональных компьютеров. В случае последних, вопросы обеспечения безопасности и управления состоянием рабочей станции выходят на первое место. Ведущие свое происхождение от отдельно размещенного агентского ПО, решения становятся все более сложными и комплексными. Многие производители предлагают свое видение архитектуры контроля доступа:
-
Network Access Protection (NAP), Microsoft;
-
Network Admission Control (NAC), Cisco;
-
LANdesk Trusted Access, LANDesk;
-
Тotal Access Protection (TAP), CheckPoint;
-
Universal Network Access Control (UNAC), Symantec;
-
Enterprise Infrared, Juniper.
Архитектура решений основывается на взаимодействии клиент-сервер, где в качестве клиента выступает агентское ПО. В состав наиболее сложных решений входят:
-
сервер управления отвечает за авторизацию пользователя, управление коммутаторами по SNMP и в соответствии с групповыми правилами, а также за обработку собранных данных;
-
сервер доступа служит посредником при передаче агентских запросов, выполняет сетевое сканирование рабочих станций (поиск открытых портов, анализ на уязвимость и т.д.) и следит за применением правил;
-
агентское ПО осуществляет сканирование реестра рабочей станции, сбор версий ОС, контроль версий антивирусного ПО, взаимодействие с серверами управления;
-
сервер обновлений предоставляет обновления ПО для рабочих станций.
Как и в случае 802.1х, сетевой доступ блокируется, если пользователь не зарегистрирован на сервере управления.
Итак, контролировать пользовательский доступ и состояние устройств можно двумя способами. Выбор того или иного решения зависит от многих факторов, в частности от задач, стоящих перед отделом ИТ предприятия. Приводимый ниже типовой пример поможет, как мы надеемся, правильно разобраться с конкретной ситуацией.
ПОСТАНОВКА ЗАДАЧИ
Преимущества и недостатки решений рассмотрим на конкретном примере. Итак, некая компания имеет центральный офис в Санкт-Петербурге и филиалы в городах РФ. На Рисунке 1 представлена топология локальной сети центрального офиса, семь подразделений которого распределены по всему городу и объединены кольцом Gigabit Ethernet. Цифрами на рисунке обозначены сегменты VLAN. Пользователи не находятся постоянно в одном и том же подразделении, что связано со спецификой бизнеса, а также расширением и ремонтом офисов. В результате почти 50% рабочего времени администраторов сети уходит на отслеживание перемещений сотрудников, перенастройку оборудования, документирование и контроль за изменениями в документации.
На Рисунке 2 представлена топология глобальной сети. База данных размещается в центральном офисе, ее копия — в московском филиале. Доступ пользователей из филиалов к базе данных осуществляется по выделенным каналам, а мобильных пользователей — по каналам Internet. Для всей корпоративной сети предоставлен один домен — Company.lan. Один контроллер домена размещается в центральном офисе, второй — в московском. Оба контроллера реализованы в виде кластера. Пользователи из остальных филиалов регистрируются на ближайшем контроллере домена. Выделенные каналы корпоративной сети резервируются каналами подключения к Internet.
Рисунок 2. Топология глобальной сети.
На Рисунке 3 представлена структура Active Directory. Организационному блоку (Organization Unit) соответствуют территориальные подразделения по городам. В каждый из них включены пользователи из конкретного подразделения. В качестве глобальной группы (Global Group) выбраны существующие сегменты VLAN (телекоммуникационный, финансовый и т.д.). Соответственно, пользователи из Organization Unit распределены по представленным группам.
С учетом приведенных данных была поставлена следующая задача:
-
пользователь должен иметь доступ к базе данных посредством любого удобного способа подключения, будь то локальная сеть центрального офиса, локальная сеть филиала или удаленный доступ через Internet;
-
пользователя следует идентифицировать и отнести к определенному сегменту VLAN с заданными для него правилами доступа к корпоративным ресурсам независимо от места подключения к сети;
-
общее снижение затрат на управление ИТ;
-
общее повышение защищенности;
-
внедрение удобного инструмента для мониторинга пользовательского доступа.
Возможны следующие сценарии подключения пользователей:
-
переезды между офисами и филиалами. Необходимо отслеживать, кто, когда, где, с какого IP-адреса произвел подключение к сети. Опционально — сколько времени проработал, какой трафик произвел и т.д.;
-
подключение к локальной сети в удаленном офисе с контролем доступа пользователей;
-
посменная работа операторов, кассиров и других сотрудников в многопользовательской среде. Необходимо идентифицировать сотрудника и отследить продолжительность рабочего времени;
-
удаленный доступ к ресурсам (из гостиницы и дома) по VPN с авторизацией на уровне сети и на уровне приложений. Решение по организации удаленного доступа через сеть VPN должно быть масштабируемым, при этом сотрудника необходимо идентифицировать и отнести к соответствующей группе с определенными правами доступа к ресурсам;
-
предоставление гостевого входа в Internet для рабочих станций заказчиков и партнеров, находящихся на территории организации. Специалисты, не являющиеся сотрудниками организации, направляются в защищенный сегмент с ограниченными правами доступа в Internet;
-
подключение принтеров, терминалов и других устройств, не поддерживающих 802.1x или агентское ПО. Эти устройства желательно идентифицировать, отнести к определенной VLAN, присвоить соответствующий IP-адрес и отследить статистику по времени подключения и нагрузке на сетевой трафик.
РЕШЕНИЕ НА ОСНОВЕ 802.1Х
В случае 802.1х можно применять решение с централизованным хранилищем учетных данных пользователей и уникальными пользовательскими идентификаторами. В качестве хранилища пользовательских данных логично выбрать Active Directory, а функции уникального идентификатора способен выполнить цифровой сертификат х.509. Для реализации решения на основе цифровых сертификатов необходима соответствующая инфраструктура из удостоверяющего центра (Certificate Authority, CA; Registration Authority, RA) и носителей сертификатов (USB-ключи, смарт-карты, хранилища сертификатов в ОС). На роль унифицированного носителя сертификата обычно выбирается USB-ключ. Таким образом, решение должно включать коммутаторы локальной сети с поддержкой 802.1х, сервер идентификации RADIUS, средства аутентификации (USB-ключи), удостоверяющий центр, контроллер домена и службу каталогов (см. Рисунок 4).
Изначально порты на коммутаторе настраиваются так, что весь трафик, за исключением некоторых служебных протоколов и EAPOL, игнорируется, а на рабочих станциях в настройках TCP/IP указываются следующие действия: вывод значка в области уведомлений при подключении и включение проверки подлинности IEEE 802.1x (смарт-карта или иной сертификат). Взаимодействие начинается при попадании на порт коммутатора стартового кадра EAPOL Start Frame. Это происходит при входе пользователя в операционную систему (процедура регистрации) или загрузке ОС на рабочей станции (при размещении сертификата в хранилище сертификатов).
Вот типичный сценарий (см. Рисунок 5). (1) Пользователь вставляет USB-ключ в порт рабочей станции. Для предоставления доступа
к зашифрованному хранилищу сертификатов на данном USB-ключе опционально запрашивается пароль. При правильном вводе пароля инициируется обмен EAP-TLS.
(2) Агент на коммутаторе запрашивает у клиента на ПК его идентификационные данные и передает их по протоколу EAPOL поверх RADIUS на сервер проверки подлинности (RADIUS), который зарегистрирован в общем домене и имеет собственный цифровой сертификат. На данном этапе осуществляется проверка подлинности подписи удостоверяющего центра и, опционально, проверка списка отозванных сертификатов (Certificate Revocation List, CRL) и списка доверенных сертификатов (Certificate Trust List, CTL).
(3) RADIUS обращается к AD как к внешней базе данных, поскольку задействуется централизованное хранение базы учетных данных пользователей. В качестве атрибутов для поиска пользователя в AD подойдут следующие:
-
Certificate CN Comparison на основе имени в Subject Common Name в пользовательском сертификате;
-
Certificate SAN Comparison на основе имени в Subject Alternate Name в пользовательском сертификате;
-
Certificate Binary Comparison на основе бинарной суммы всего сертификата.
(4) При наличии в каталоге имени пользователя и соответствии предоставленных идентификационных атрибутов, AD пересылает серверу RADIUS результаты идентификации и дополнительную информацию о пользователе — принадлежность к группам, временные ограничения, права доступа и т.д.
(5) На сервере RADIUS предварительно настраиваются локальные группы с теми же именами, что и группы в AD с соответствующими правилами (наименование и номер VLAN, временные ограничения, списки доступа и т.д.). Группы из ответа AD сравниваются с локальными группами и при совпадении на коммутатор (в рамках открытого сеанса EAP-TLS) высылаются RADIUS AV-Pairs для конфигурирования порта коммутатора как принадлежащего к указанной VLAN.
(6) Таким образом, рабочая станция оказывается в нужном сегменте и посылает запрос на IP-адрес по протоколу DHCP. Коммутатор перехватывает этот запрос и формирует пакет BOOTP, где в качестве IP-адреса отправителя указывает SVI-адрес сегмента VLAN, из которого пришел запрос, и отправляет пакет BOOTP серверу DHCP. Последний, на основании IP-адреса полученного пакета BOOTP, выделяет свободный IP-адрес из соответствующего пула адресов и высылает ответ, где помимо IP-адреса имеется информация о DNS, шлюзе по умолчанию, WINS и т.д. В результате рабочая станция получает соответствующий IP-адрес. Используя специфические для вендора атрибуты RADIUS, можно настроить дополнительные ограничения (QoS, ACL) на портах коммутатора. К примеру, с помощью атрибута [009/001] cisco-av-pair загрузить списки доступа ACL L2 или L3 на порт коммутатора.
Переезды сотрудников между офисами осуществляются без предварительной конфигурации пользовательских сегментов VLAN на коммутаторах. Подключаясь к сети со своим ноутбуком, либо регистрируясь на стационарной рабочей станции, пользователь идентифицируется по сертификату, размещенному на USB-ключе, и попадает в определенный сегмент VLAN с соответствующим IP-адресом. При этом на сервере RADIUS выполняется регистрация событий — кто, когда, на каком коммутаторе и в каком сегменте VLAN осуществил подключение, долго ли проработал и сколько октетов прошло через порт подключения. Для отслеживания соответствия пользователя и IP-адреса, назначаемого с помощью DHCP, необходимо задействовать технологию DHCP Snooping, доступную на коммутаторах серии Cisco Catalyst, и в настройках RADIUS Accounting активировать атрибут Framed-IP-Address AV Pair.
При подключении к сети со своего ноутбука, либо при входе на стационарную рабочую станцию, пользователь филиала идентифицируется по сертификату, размещенному на USB-ключе, и попадает в определенный сегмент VLAN с соответствующим IP-адресом. Для реализации данной возможности коммутаторы удаленных офисов обращаются к серверу RADIUS, находящемуся в центральном офисе. Назначение IP-адреса по DHCP осуществляется либо локально, либо через сервер DHCP центрального офиса.
Сценарий посменной работы операторов и кассиров мало чем отличается от вышеописанного. Используя групповые правила на контроллере домена, можно настроить тип поведения рабочей станции при удалении ключа из порта USB (блокирование рабочей станции, завершение сеанса работы). К примеру, интересное решение получается при использовании USB-ключа с интегрированными метками RFID для контроля физического доступа в помещения организации: сотрудник будет вынужден всегда брать с собой USB-ключ и тем самым блокировать рабочую станцию каждый раз, когда ему необходимо выйти из помещения.
При удаленном доступе пользователей к ресурсам (из гостиницы, дома), через защищенное соединение VPN в настройках клиента VPN на рабочей станции задается использование сертификата пользователя. На сервере VPN (межсетевом экране, маршрутизаторе, концентраторе VPN) предварительно устанавливается собственный цифровой сертификат и сертификат удостоверяющего центра организации. При открытии туннеля VPN выполняется двухфакторная идентификация — сеанса ISAKMP и пользователя. Сеанс ISAKMP идентифицируется на основе цифрового сертификата пользователя. Задействуя поле Organization Unit (в нашем случае это SPB, MSK, OMS) в полученном сертификате, сервер VPN пересылает соответствующие настройки клиенту VPN (IP-адрес, Split ACL, DNS, WINS и т.д.). Опционально на данном этапе можно проверять список отозванных сертификатов CRL. Идентификация пользователя осуществляется по имени и паролю с помощью сервера RADIUS и AD, где размещены все учетные пользовательские данные. Дополнительно, прибегнув к группам RADIUS, можно загрузить списки доступа ACL на сервер VPN. В результате получается масштабируемое решение по организации удаленного доступа через VPN, идентификации сотрудника, включение в соответствующую группу с определенными правами доступа к ресурсам.
Если гостевой вход в Internet предоставляется для рабочих станций специалистов, не являющихся сотрудниками организации, то возможны две ситуации: 802.1х не настроен или принципиально не поддерживается, либо цифровой сертификат выдан чужим удостоверяющим центром. В первом случае на коммутаторах настраивается отдельный сегмент VLAN, куда пользователи направляются после нескольких неудачных попыток получения доступа. Во втором можно реализовать более комплексное решение:
-
настроить список доверенных сертификатов CTL, куда включить сторонний удостоверяющий центр;
-
завести группу guest и временных пользователей в AD;
-
выполнить соответствующие настройки на сервере RADIUS и коммутаторах.
В обоих случаях пользователи попадают в соответствующие сегменты VLAN с ограниченными правами доступа в Internet или к корпоративным ресурсам.
Для подключения принтеров, терминалов и других устройств, не поддерживающих 802.1x, можно использовать технологию MAC Authentication Bypass. Ее принцип заключается в следующем: на основе MAC-адреса устройства создается комбинация из имени/пароля, которая отправляется коммутатором на сервер RADIUS для идентификации. В AD учетная запись данного пользователя включается в определенную глобальную группу (VLAN). При прохождении аутентификации устройство попадает в нужный сегмент VLAN и получает по DHCP необходимые настройки (IP-адрес, адрес шлюза по умолчанию, tftp и т.д.).
Итак, решение на базе 802.1х позволяет объединить задачи по контролю физического доступа (интегрированные метки RFID), доступа к рабочей станции, к сети и информационным ресурсам. В результате его внедрения сокращаются административные затраты и появляется удобный инструмент по отслеживанию подключений пользователей. Необходимо отметить и относительную простоту развертывания решения.
Однако не следует забывать, что контроль доступа к съемным носителям и проверка программного обеспечения подключаемых устройств не поддерживаются. А ведь именно эти два фактора являются причиной возникновения большинства инцидентов (утечка информации, распространение вирусов в локальной сети и т.д.). Частично данные задачи решаются при наличии на рабочих станциях операционной системы Windows Vista и размещении в сети сервера обновлений.
При первоначальном подключении рабочей станции (регистрации пользователя в домене) — обязательно нужен доступ к контроллеру домена (DC) для входа в домен и загрузки групповой политики. При каждой последующей загрузке ОС и входе пользователя в систему также необходимо предоставить доступ к DC. Данную задачу можно решить двумя путями: это позволяет сделать, во-первых, кэширование информации о входе пользователя в систему, во-вторых, использование двойной идентификации — машинной (по сертификату) и пользовательской (сертификат или комбинация имя/пороль). В последнем случае, при загрузке ОС происходит идентификация рабочей станции и назначение VLAN, из которой есть доступ к DC. Затем осуществляется идентификация пользователя и перевод рабочей станции в пользовательский VLAN.
Но для полной и комплексной реализации вышеперечисленных задач уже необходимо агентское ПО.
РЕШЕНИЕ НА ОСНОВЕ АГЕНТСКОГО ПО
Решения на основе агентского ПО обычно предусматривают аутентификацию пользователя, аудит состояния программного обеспечения на рабочей станции, обновление в случае несовпадения с текущими требованиями и применение правил фильтрации к пользовательскому трафику.
Алгоритм работы агента идентичен вышеописанному алгоритму работы 802.1x, но параллельно процедуре авторизации пользователя производится аудит состояния ПО рабочей станции на соответствие корпоративным правилам (версия сервисного пакета ОС, наличие последних заплат, версия антивирусного ПО и т.д.). Аудит осуществляется встроенными подключаемыми модулями агента, а результаты пересылаются на сервер идентификации RADIUS и далее на сервера аудита. При соответствии корпоративным правилам рабочая станция допускается в локальную сеть, в противном случае — попадает в карантинную VLAN, где версии ПО обновляются. Затем рабочая станция снова проходит аудит и допускается в сеть. Управление коммутатором осуществляется на основе RADIUS атрибутов, как и в вышеописанном решении. Таким образом, к возможности контроля различных видов доступа на основе 802.1х, добавляется контроль состояния подключаемых к сети рабочих станций.
Архитектура решения без поддержки инфраструктуры 802.1х основывается на взаимодействии клиент-сервер, где в качестве протокола используется стандартный стек TCP/IР. Решение включает следующие компоненты (см. Рисунок 6):
-
сервер управления для авторизации пользователя, управления серверами доступа и коммутаторами;
-
серверы доступа в качестве посредников при обслуживании запросов агентского ПО и для сетевого сканирования рабочих станций (поиск открытых портов, анализ на уязвимость и т.д.), управления групповыми правилами (ролями) и обработки пользовательского трафика;
-
клиентское ПО — выполняет сканирование реестра рабочей станции, сбор версий ОС, контроль версий антивирусного ПО, взаимодействие с сервером управления;
-
антивирусный сервер;
-
сервер обновлений для загрузки обновлений ПО на рабочие станции.
В зависимости от существующей инфраструктуры сети и поставленной задачи, сервер доступа может размещаться как на пути следования трафика (in-band), так и вне его (out-of-band). В первом случае трафик пользователей постоянно проходит через серверы доступа. Благодаря этому осуществляется постоянный контроль всего трафика с целью соблюдения правил доступа пользователей к сетевым ресурсам. Дополнительно возможен контроль выделяемой для каждого пользователя пропускной способности. В сетях с высокой пропускной способностью такой подход не рекомендуется. Во втором случае трафик пользователей проходит через серверы доступа только на этапе авторизации (при идентификации, определении правил доступа и оценке состояния рабочей станции). После успешной авторизации порт коммутатора, к которому подключен данный пользователь, перенастраивается по SNMP на соответствующую VLAN, и трафик не проходит через сервер доступа.
Варианты решения различаются по месту размещения серверов управления и доступа, требуемой пропускной способности, наличия филиалов и мобильных пользователей и решаемых задач. Централизованное управление производится на сервере управления, который распространяет созданные шаблоны (правила фильтрации, пользовательские роли, стандартные конфигурации серверов доступа) на все серверы доступа. Роли назначаются пользователю на основе либо идентификационных атрибутов, либо фильтров (в зависимости от MAC- и IP-адреса). Отказоустойчивость решения достигается за счет резервирования сервера управления и серверов доступа.
Решение состоит из двух этапов — авторизации пользователя и сертификации состояния рабочей станции на соответствие корпоративным правилам. Изначально все порты коммутатора приписываются к определенному сегменту, а именно — VLAN для аутентификации. При подключении к порту коммутатора еще не зарегистрированного пользователя весь трафик от клиентской машины перенаправляется на сервер доступа. Авторизация осуществляется либо с помощью агентского ПО (NTLM), либо через всплывающее окно регистрации через Web. Это окно сервер доступа создает для разных операционных систем. Идентификация операционной системы осуществляется на основе поступившего от клиента запроса http get, а идентификация пользователей — по атрибутам имя/пароль с помощью Kerberos, LDAP, RADIUS или домена Windows NT. Сертификация (оценка состояния) может выполняться либо локально, средствами установленного агентского ПО, либо удаленно, за счет возможностей сервера доступа (сканирование стека TCP/IP). Агент проверяет на рабочих станциях приложения, файлы, сервисы или реестр рабочей станции. Результаты передаются на сервер управления. При соответствии состояния рабочей станции заданным в профайле пользователя (Role Based Policy) значениям, рабочая станция допускается в нужный сегмент VLAN с соответствующим IP-адресом (полученным по DHCP от сервера доступа или от общего сервера DHCP). Механизм перевода пользователя в другую VLAN зависит от архитектуры решения. Если весь пользовательский трафик постоянно проходит через сервер доступа, последний изменяет значения тега VLAN в исходящем пользовательском трафике. В противном случае меняется значение VLAN ID на порту коммутатора. Управление коммутаторами (назначение VLAN) осуществляется по протоколу SNMP с сервера управления.
Если рабочая станция не проходит аудит, то ее трафик направляется в отдельный сегмент, где выполняется обновление ПО. От сервера управления поступает уведомление пользователю в виде страницы Web с подробной инструкцией и ссылками на конкретные обновления. Для мониторинга активности пользователей сервер управления может отсылать сообщения на сервер RADIUS (start, stop) с информацией о каждом пользователе.
Благодаря использованию архитектуры клиент-сервер можно задавать специальные правила для групп пользователей, регламентирующие контроль подключаемых к рабочей станции внешних устройств и контроль работы с конфиденциальными файлами, что позволит уменьшить вероятность утечки информации.
Переезды пользователей между офисами осуществляются без предварительной конфигурации пользовательских сегментов VLAN на коммутаторах. Подключаясь к сети со своим ноутбуком, либо заходя на стационарную рабочую станцию, пользователь идентифицируется по имени и паролю, проходит сертификацию и, при успешном ее завершении, попадает в соответствующий сегмент VLAN с соответствующим IP-адресом. При этом на сервере управления осуществляется регистрация событий: кто, когда, на каком коммутаторе в каком сегменте VLAN осуществил подключение; сколько времени проработал, сколько октетов прошло через порт подключения.
Контроль доступа пользователей в филиале осуществляется либо локальным сервером доступа, размещенным непосредственно в филиальной сети, либо сервером доступа, находящимся в центральном офисе. Пользователь идентифицируется по имени и паролю, проходит сертификацию и попадает в определенный сегмент VLAN с соответствующим IP-адресом. Это событие регистрируется на центральном сервере управления.
Сценарий посменной работы операторов и кассиров очень похож на уже описанный. Новый пользователь регистрируется в ОС под своими учетными записями (имя/пароль), затем с помощью агентского ПО или через Web выполняет регистрацию на cервере доступа. Далее происходит изменение пользовательской VLAN на порту коммутатора (на примере Оut-of-Вand) и получение по DHCP нового IP-адреса.
Решение обеспечивает интеграцию с концентраторами VPN и поддерживает единую точку входа (Single Sign-On) для пользователей VPN при удаленном доступе к ресурсам (из гостиницы и дома). Данная функциональность достигается с помощью статистики RADIUS (Аccounting). После открытия туннеля к концентратору VPN и идентификации, клиент получает внутренние настройки (IP-адрес, Split ACL, DNS, WINS и т.д.). Идентификация пользователя осуществляется по имени и паролю с помощью сервера RADIUS и Active Directory, после чего он попадает в сегмент, где расположен сервер доступа. Последний получает всю статистику (Radius Accounting) с концентратора VPN, в том числе IP-адрес клиента VPN по атрибутам Framed_IP_address или Calling_Station_ID. В результате трафик с IP-адреса клиента VPN не идентифицируется повторно. Преимущества SSO заключаются в том, что идентификация пользователя выполняется только один раз — при открытии туннеля. В дальнейшем, при прохождении в локальную сеть через сервер доступа, нет необходимости в дополнительной идентификации с помощью агентского ПО или браузера Web.
Для предоставления гостевого входа в Internet с рабочих станций посторонних лиц, на cервере доступа можно создать стандартное всплывающее окно Web (страница регистрации), где содержится кнопка для гостевого входа (Guest Access). Когда выбирается данная опция, на сервер управления отправляются стандартные значения имени и пароля — guest/guest. В результате пользователь попадает в сегмент VLAN с ограниченными правами доступа в Internet или к корпоративным ресурсам.
На терминалы и принтеры агентское ПО установить нельзя, поэтому для них настраиваются фильтры на основе MAC-адресов. Соответственно, при аутентификации устройство попадает в выделенный для них сегмент VLAN и получает по DHCP необходимые настройки (IP-адрес, шлюз по умолчанию, tftp и т.д.).
Среди преимуществ внедрения решений на основе агентского ПО следует отметить возможность контроля состояния подключаемых устройств, что позволяет существенно снизить вероятность возникновения внутренних инцидентов. Главными недостатками можно считать немалую совокупную стоимость внедрения и высокие требования к отказоустойчивости элементов решения.
ПРЕИМУЩЕСТВА И НЕДОСТАТКИ РЕШЕНИЙ
Выбор конкретной реализации зависит от существующей инфраструктуры сети и от поставленных целей. В Таблицах 1 и 2 даны общие преимущества и недостатки решений.
В связи с необходимостью контроля состояния подключаемых к локальной сети устройств, наиболее предпочтительными выглядят решения на основе агентского программного обеспечения. Однако простота реализации, а также удобство и универсальность USB-ключей, предназначенных для контроля разнообразных видов доступа, делают решения на основе 802.1х актуальными и востребованными. Стоит ли типовому предприятию использовать комплексное решение на основе агентского ПО с поддержкой 802.1х? Безусловно. Внедрение подобного проекта позволит решить все задачи по контролю доступа. Однако в реальных проектах выбор конкретной реализации зависит от существующей инфраструктуры сети заказчика, от поставленных целей и бюджета проекта.
Виталий Томилко — системный архитектор, компания «Открытые Технологии».