Sieć dla gości

Jak zbudować bezpieczną, logicznie odseparowaną gościnną strukturę dostępową, korzystającą z podstawowej infrastruktury sieciowej i umożliwiającą granularne sterowanie zakresem dostępu, nie naruszając wewnętrznej polityki bezpieczeństwa.

Jak zbudować bezpieczną, logicznie odseparowaną gościnną strukturę dostępową, korzystającą z podstawowej infrastruktury sieciowej i umożliwiającą granularne sterowanie zakresem dostępu, nie naruszając wewnętrznej polityki bezpieczeństwa.

Gość w dom, problem na głowę? Parafraza naszego narodowego powiedzonka dość dobrze pokazuje różne spojrzenie naszych krajan na kwestie gościnności. Bo z jednej strony oczywiście z otwartymi rękoma witamy naszych gości, z drugiej - z zakłopotaniem zastanawiamy się, co powinno pojawić się na stole. Szczególnie, jeżeli zależy nam na tym, aby ów gość wyszedł z naszego domu zadowolony i chętnie przyjmował zaproszenia na kolejne wizyty. A przy tym przygotowania nie zrujnowały naszego domowego budżetu i kalendarza.

Sieć dla gości

Architektura wirtualizacji sieci

Coraz częściej podobne dylematy wychodzą poza domową rzeczywistość, wkraczając do środowiska biznesowego. I nie mam tu na myśli bynajmniej możliwości poczęstowania kawą. Wraz z postępującym rozwojem systemów elektronicznego przetwarzania informacji dostęp do sieci (internetu, zasobów korporacyjnych) staje się ważnym elementem naszego życia. Co prawda coraz popularniejsze i tańsze stają się łącza mobilne, jednak ich wydajność, stabilność i pewność działania wciąż pozostawiają wiele do życzenia. Przyjmując w firmie gości, coraz bardziej wskazane (i oczekiwane!) jest zapewnienie im dostępu do sieci.

W większości przypadków odwiedzającym naszą firmę osobom wystarczy dostęp do internetu. Jeżeli jednak pojęcie gościa nieco rozciągniemy i obejmiemy nim także coraz częściej pojawiających się w naszych firmach zewnętrznych współpracowników, którzy z racji wykonywanych prac muszą uzyskać dostęp do określonych zasobów sieci wewnętrznej, sprawa nieco się komplikuje. Wracając do naszej początkowej analogii - wpuszczając na posesję ogrodnika, raczej nie chcemy, aby korzystał z naszej lodówki.

Jednocześnie ważne jest, aby poniesione (lub planowane) inwestycje w infrastrukturę sieciową nie musiały być zwielokrotniane budową wydzielonej struktury dostępowej dla gości...

Reasumując - chcemy zbudować bezpieczną, logicznie odseparowaną gościnną strukturę dostępową, korzystającą z podstawowej infrastruktury sieciowej i umożliwiającą granularne sterowanie zakresem dostępu, nie naruszając wewnętrznej polityki bezpieczeństwa.

Oczekiwania nie do pogodzenia? Zacytuję jednego z moich ulubionych rodzimych autorów: Przypomniałem sobie słowa dziadka. Problem nierozwiązywalny trzeba podzielić na mniejsze kawałki i rozpracować po fragmencie. Nie ma problemów nie do pokonania (Andrzej Pilipiuk, "Oko Jelenia: Droga do Nidaros"). Spójrzmy zatem na zagadnienie nieco bardziej metodycznie i spróbujmy określić mechanizmy, które nam to umożliwią. Śledząc typowe zachowanie gościa w naszej instytucji, możemy wyodrębnić trzy wyróżniające się obszary, o które musimy zadbać:

  • warstwę dostępową - miejsce i sposób dołączenia się gościa do sieci,
  • izolację ścieżki ruchu - sposób separacji ruchu gościa od danych wewnętrznych,
  • brzeg usługowy - zasoby pozwalające na kontrolę poczynań użytkownika gościnnego oraz zakresu jego uprawnień.

Po pierwsze - podłączamy

Początek przygody z dostępem gościnnym do sieci naszej instytucji to moment dołączenia urządzenia naszego gościa (celowo nie używam tu słowa "komputer", bowiem coraz częściej bywa to PDA czy telefon komórkowy). Wygoda tego pierwszego kroku z perspektywy gościa i jego bezpieczeństwo z punktu widzenia administratora są mocno zależne od możliwości naszej infrastruktury. Poza oczywistym efektem tego kroku (uzyskanie łączności), konieczne jest zatem również właściwe "osadzenie" użytkownika w odpowiednim logicznym segmencie naszej sieci. Bez tego zakres możliwości takiego użytkownika byłby zdecydowanie zbyt duży, co stanowiłoby zagrożenie dla użytkowników wewnętrznych i przetwarzanych przez nich danych. Przyjmijmy dla uproszczenia, że ten segment to określona podsieć VLAN w naszej sieci.

Zdecydowana większość użytkowników korzystających z sieci gościnnej preferuje obecnie połączenie bezprzewodowe - na dziś zgodne ze standardami serii 802.11 a/b/g/n. Wpuszczając ich do naszej sieci, wskazane jest wykreowanie oddzielnego SSID (Service Set IDentifier - identyfikator segmentu sieci bezprzewodowej), który następnie zostanie zamapowany do właściwego VLAN-u w sieci przewodowej (całość ruchu klientów asocjowanych do danego SSID będzie kierowana do tego VLAN-u). Oczywiście rozwiązanie bezprzewodowe musi umożliwiać jednoczesną obsługę wielu identyfikatorów - właściwie wszystkie dostępne na rynku systemy klasy enterprise to zapewniają.

Z punktu widzenia komfortu dołączenia do sieci, wykreowany segment bezprzewodowy nie powinien mieć wielu mechanizmów zabezpieczających, a wręcz przeciwnie - winien maksymalnie ułatwiać dostęp. Przekłada się to także na komfort administratora, który uniknie konieczności rozwiązywania problemów mniej zaawansowanych technicznie gości przy próbach podłączenia. Właściwy zestaw "zabezpieczeń" takiej sieci to otwarty dostęp - bez mechanizmów szyfrowania czy autoryzacji (pamiętajmy - mówimy tu tylko o dołączeniu na poziomie warstwy 2 modelu ISO/OSI). Jako dodatkowy element zabezpieczający warto aktywować blokowanie komunikacji pomiędzy dołączonymi klientami - większość użytkowników tego segmentu i tak nie będzie nią zainteresowana, a delikwentom próbującym wykorzystać pozornie otwartą sieć w niecnych celach utrudni to nieco zabawę. Oczywiście musimy zdawać sobie sprawę z konsekwencji - dołączyć się, a także podsłuchać transmisję będzie mógł właściwie każdy, co znacząco ułatwia przeprowadzenie ataków typu Denial of Service. Podobnie jak w przypadku publicznych punktów dostępu do internetu, trzeba ten problem raczej zostawić naszym gościom - my za-pewniamy tylko prostą usługę dostępową.

Sieć dla gości

Najpopularniejsze wersje EAP (Extensible Authentication Protocol)

Nieco gorzej jest w przypadku stałych współpracowników firmy, którym chcemy udostępnić nasze wewnętrzne zasoby. Z jednej bowiem strony konieczne jest objęcie ich podobnym poziomem zabezpieczeń co użytkowników wewnętrznych (w końcu będą mieli potencjalnie dostęp do chronionych danych, więc komfort dołączenia ma niższy priorytet), z drugiej - niekoniecznie muszą mieć równie wysokie uprawnienia. W przypadku konieczności obsługi tego typu użytkowników wskazane jest zatem wykreowanie kolejnego segmentu, już obsługującego silniejsze mechanizmy zabezpieczające. Zakładając, że nasi użytkownicy wewnętrzni korzystają z rozwiązania zapewniającego możliwie najwyższy aktualnie dostępny poziom bezpieczeństwa, czyli WPA2 z 802.1x, podobne mechanizmy należy zastosować w stosunku do współpracowników. Pojawia się jednak kłopot - ich stacje końcowe niekoniecznie są przez nas zarządzane, co stwarza pewien problem w doborze trybu uwierzytelnienia 802.1x (zob. tabela).

Ponieważ trudno oczekiwać od każdego współpracownika posiadania suplikanta obsługującego dowolny tryb, a generowanie certyfikatów dla każdego klientajest dość problematyczne - najlepszym kompromisem wydaje się PEAP (nie zapewnia może takiego bezpieczeństwa jak EAP--TLS, ani łatwości implementacji jak EAP-FAST, ale jest obsługiwany przez większość suplikantów dostępnych w ramach systemów operacyjnych). Nie unikniemy co prawda wykreowania konta dostępowego, jednak cóż - w tym przypadku także administrator musi nieco zrezygnować z komfortu. Użycie tej metody w ramach warstwy dostępowej ma jeszcze dodatkową korzyść - pozwala na różnicowanie współpracowników pomimo dołączenia do tego samego segmentu bezprzewodowego. Odpowiednio manipulując jego profilem na poziomie serwera autoryzacyjnego (RADIUS), można dodatkowo sterować uprawnieniami. Szczegóły implementacyjne zależą od posiadanego systemu dostępu bezprzewodowego, przy czym najczęściej spotykane są dwa podejścia:

  • listy kontroli dostępu (downloadable ACL), przypisywane przez serwer autoryzacyjny - urządzenie dostępowe (Access Point przy systemach autonomicznych lub kontroler przy systemach zarządzanych centralnie) dowiązuje do użytkownika osobistą listę kontroli dostępu, określającą zakres jego uprawnień w sieci,
  • nadpisanie mapowania SSID do VLAN (VLAN override) - urządzenie dostępowe jest w stanie przesłać ruch danego użytkownika do innego segmentu sieci niż wynika to z konfiguracji urządzenia.


TOP 200