пятница, 7 декабря 2012 г.

СОИБ. Проектирование. Усиленная аутентификация на уровне сети (UPD)


В своем блоге я уже делал несколько заметок по теме усиленной аутентификации (например, эта), и теме защищенного доступа к сети. Сегодня ещё одна заметка в продолжение.

Большинство организаций уже осознает проблемы с классическими паролями – с их большим количеством, запоминанием, подбором, потерей и т.п. и пытаются разработать дополнительное решение.

Но на пути внедрения усиленной аутентификации могут встать технические ограничения:
·        большинство бизнес-приложений организации может не поддерживать усиленную аутентификацию (об этом я писал в заметке)
·        в организации могут быть программно или аппаратно отключены USB порты на АРМ пользователей, либо они могут быть опечатаны. А большинство средств усиленной аутентификации (токены, смарт-карты, биометрические сканеры) подключаются по USB
·        в организации может использоваться нестандартная служба каталогов (Linux и LDAP или Novell eDirectory) а большинство средств усиленной аутентификации основаны на Microsoft Active Directory
·        рабочие места пользователей могут работать под управлением ОС отличных от семейства Windows. Может оказаться сборная солянка Windows, Linux, MacOS, Android, iOS и т.п.  

В таких случаях нам на помощь приходит аутентификация и контроль доступа на уровне сети, которая не зависит от приложений и почти не зависит от устройств пользователей. Дальше привожу несколько вариантов решений на базе продукта Cisco ISE.

Вариант 1. Аутентификация на уровне сети интегрированная с аутентификацией в eDirectiry (нет усиления аутентификации, но есть дополнительный контроль доступа)



Вариант 2. Аутентификация на уровне сети по сертификатам (при этом сертификат и закрытые ключи могут хранится как на съемном носителе, так и на виртуальном токене, так и в сетевых каталогах)


Вариант 3. Аутентификация на уровне сети по SMS на мобильный телефон сотрудника



4 комментария:

Alexey Komarov комментирует...

В таких случаях нам на помощь приходит аутентификация и контроль доступа на уровне сети, которая не зависит от приложений и почти не зависит от устройств пользователей.

Сергей, а как это решает вопрос доступа пользователя в конкретную прикладную систему? Можешь на конкретном примере показать преимущества этого подхода? В качестве примера возьмём домашний ноутбук с Убунтой, с которого нужно подключится к терминальному серверу организации (по VPN) и зайти в 1С.

Сергей Борисов комментирует...

Алексей, когда мы идем по пути контроля доступа на уровне сети ме не лезем внутрь приложений.

Подробнее:
Пусть у нас есть 1C и в организации не Active Directory. Тогда мы не сможем напрямую не сможем интегрировать 1С с усиленной или вобще какой либо централизованной аутентификацией.
1C не поддерживает внешние LDAP, не поддерживает аутентификацию по сертификатам, и вобще внешние сервисы аутентификации.
Тут либо разрабатывать коннектор от SSO к 1С (с поддержкой Linux)
либо решать вопрос на контроля доступа уровне сети:
создаем в серверной зоне небольшие сегменты сети под каждое бизнес-приложение и создаем в LDAP или прямо в ISE группы пользователей каждого приложения, дальше при сетевом обращении от АРМ к серверам приложений аутентифицируем польщователя и определяем можно ли ему обращаться к серверам 1с или только к файловым серверам или к терминальным сервера.

Причем ISE inline Posture не нужен когда не всё наше сетевое оборудование производства Cisco Systems (там можно его не применять).
Я же рисовал схемы, для того случая года сетевое оборудование более простое, либо солянка из разных вендоров.

В твоем примере ноутбук с убунтой использует встроенный сапликант 801.x который по протоколу Radius аутентифицируется в Cisco ISE Policy Server.

ISE inline Posture на основе данных аутентификации определяет какой трафик куда можно пропускать.
Причем используется информация не только об учетной записи, а целая группа правил:
(кто подключается)*(с какого устройства)*(по какому каналу {ЛВС, WiFi, VPN})* (в какое время) * (выполняет ли политики безопасности) * (куда обращается)

Сергей Борисов комментирует...

Презентация на русском по теме
http://ru.scribd.com/doc/59925974/Cisco-TrustSec2-0

Видеоролик на английском по теме
http://ru.scribd.com/doc/59925974/Cisco-TrustSec2-0

Сергей Борисов комментирует...

Видеоролик на английском по теме
http://www.cisco.com/en/US/prod/vpndevc/ps5712/ps11640/TrustSec_video.html