СОИБ. Проектирование. Усиленная аутентификация на уровне сети (UPD)
В своем блоге я уже делал несколько
заметок по теме усиленной аутентификации (например, эта), и теме защищенного доступа к сети. Сегодня ещё одна заметка в продолжение.
Большинство организаций уже осознает проблемы с классическими паролями – с их большим количеством, запоминанием, подбором,
потерей и т.п. и пытаются разработать дополнительное решение.
Но на пути внедрения усиленной
аутентификации могут встать технические ограничения:
·
большинство бизнес-приложений организации
может не поддерживать усиленную аутентификацию (об этом я писал в заметке)
·
в организации могут быть программно или аппаратно
отключены USB
порты
на АРМ пользователей, либо они могут быть опечатаны. А большинство средств
усиленной аутентификации (токены, смарт-карты, биометрические сканеры) подключаются
по USB
·
в организации может использоваться
нестандартная служба каталогов (Linux
и
LDAP или Novell eDirectory) а большинство средств усиленной аутентификации основаны на Microsoft Active Directory
·
рабочие места пользователей могут работать под
управлением ОС отличных от семейства Windows. Может
оказаться сборная солянка Windows, Linux, MacOS, Android, iOS
и
т.п.
В таких случаях нам на помощь приходит
аутентификация и контроль доступа на уровне сети, которая не зависит от приложений и почти не зависит от устройств пользователей. Дальше привожу несколько
вариантов решений на базе продукта Cisco
ISE.
Вариант 1. Аутентификация на уровне
сети интегрированная с аутентификацией в eDirectiry (нет усиления
аутентификации, но есть дополнительный контроль доступа)
Вариант 2. Аутентификация на уровне
сети по сертификатам (при этом сертификат и закрытые ключи могут хранится как
на съемном носителе, так и на виртуальном токене, так и в сетевых каталогах)
Вариант 3. Аутентификация на уровне
сети по SMS на мобильный телефон сотрудника
Комментарии
Сергей, а как это решает вопрос доступа пользователя в конкретную прикладную систему? Можешь на конкретном примере показать преимущества этого подхода? В качестве примера возьмём домашний ноутбук с Убунтой, с которого нужно подключится к терминальному серверу организации (по VPN) и зайти в 1С.
Подробнее:
Пусть у нас есть 1C и в организации не Active Directory. Тогда мы не сможем напрямую не сможем интегрировать 1С с усиленной или вобще какой либо централизованной аутентификацией.
1C не поддерживает внешние LDAP, не поддерживает аутентификацию по сертификатам, и вобще внешние сервисы аутентификации.
Тут либо разрабатывать коннектор от SSO к 1С (с поддержкой Linux)
либо решать вопрос на контроля доступа уровне сети:
создаем в серверной зоне небольшие сегменты сети под каждое бизнес-приложение и создаем в LDAP или прямо в ISE группы пользователей каждого приложения, дальше при сетевом обращении от АРМ к серверам приложений аутентифицируем польщователя и определяем можно ли ему обращаться к серверам 1с или только к файловым серверам или к терминальным сервера.
Причем ISE inline Posture не нужен когда не всё наше сетевое оборудование производства Cisco Systems (там можно его не применять).
Я же рисовал схемы, для того случая года сетевое оборудование более простое, либо солянка из разных вендоров.
В твоем примере ноутбук с убунтой использует встроенный сапликант 801.x который по протоколу Radius аутентифицируется в Cisco ISE Policy Server.
ISE inline Posture на основе данных аутентификации определяет какой трафик куда можно пропускать.
Причем используется информация не только об учетной записи, а целая группа правил:
(кто подключается)*(с какого устройства)*(по какому каналу {ЛВС, WiFi, VPN})* (в какое время) * (выполняет ли политики безопасности) * (куда обращается)
http://ru.scribd.com/doc/59925974/Cisco-TrustSec2-0
Видеоролик на английском по теме
http://ru.scribd.com/doc/59925974/Cisco-TrustSec2-0
http://www.cisco.com/en/US/prod/vpndevc/ps5712/ps11640/TrustSec_video.html