Centralna baza informacji o użytkownikach – systemy Radius

Wersja Youtube

Wersja Spotify

Wersja Anchor

Z bezpieczeństwem jest jak z murem, zabezpieczenie jest tak silne jak jego najsłabsza część. W tym kontekście każda cegiełka jest istotna i wpływa na pozostałe cegiełki a w konsekwencji na cały mur.

Wyobraź sobie sytuację – posiadasz domenę i masz wszystkie komputery firmowe zarządzane przez AD. Przychodzi do Ciebie dyrektor lub prezes i prosi o podłączenie swojego nowego tabletu lub telefonu do sieci firmowej.

Brzmi znajomo?

W ogromnej większości firm, które odwiedzam, jest używany dzisiaj kontroler domeny jako centralna baza informacji, konfiguracji i nadzoru nad systemami Windows. Jest tak zapewne również u Ciebie.
Gdyby na tym poprzestać, życie administratora byłoby relatywnie łatwe, bo to świetne narzędzie (niektórzy twierdzą, że najlepsze) do zarządzania komputerami firmowymi w dużej skali.

Niestety świat się zmienia, przyzwyczajenia użytkowników również. A za tym zmieniają się także wymagania i oczekiwania w stosunku do administratorów.
Dziś dla zapewnienia bezpieczeństwa w sieci firmowej nie wystarczy używać jedynie domeny.

Obecnie, także w środowisku firmowym, stykamy się powszechnie:

  • z sieciami gościnnymi
  • urządzeniami prywatnymi
  • urządzeniami IoT – sensorami, czytnikami, kamerami

a zatem Pojawia się konieczność zarządzania użytkownikami i urządzeniami także poza domeną.

Sieci gościnne:

Można i tak rozwiązać dostęp gościnny

Sieci gościnne stają się standardem dla każdego przedsiębiorstwa. Użytkownicy tak przyzwyczaili się korzystać z dostępu do sieci, że jej brak jest znacznym dyskomfortem.

Ale jak zbudować i potem zarządzać dostępem gościnnym w sposób bezpieczny i użyteczny?

Oto podstawowe kroki przy realizacji takiego zadania:

  1. Wybierz system Radius ze zintegrowaną funkcją obsługi gości.
  2. Stwórz portal gościnny z możliwością autorejestracji gości w oparciu o rolę sponsora.
  3. Powiąż w sytemie Radius konta pracowników z domeny jako sponsorów.
  4. Stwórz regulamin korzystania z dostępu gościnnego.
  5. Włącz filtrowanie treści, aby blokowane były kategorie niedozwolone jak pornografia.

Urządzenia prywatne w sieci firmowej (BYOD):

Wiele osób lubi używać swoich prywatnych urządzeń również w pracy

Wyzwaniem dla bezpieczeństwa są urządzenia prywatne. W tym przypadku, w zależności od firmy, jest zgoda na ich używanie w sieci firmowej lub nie. Co się jednak może zadziać, jeżeli zabronimy korzystać naszym użytkownikom z zasobów firmowych a oni bardzo będą tego chcieli? Będą szukać swojego sposobu na uzyskanie tego, czego potrzebują ale poza naszą wiedzą. Mówimy tutaj o zjawisku zwanym „shadow IT”.

Jeżeli w naszej organizacji dopuszczone jest podłączanie urządzeń prywatnych, to typowo urządzenia te powinny mieć podstawowy dostęp do zasobów firmy, np. do poczty czy na pracowniczy portal intranetowy.

Propunuję zrealizować to w następujący sposób:

  1. Do strony dostępu dla gości, którą już zapewne mamy, należy dodać link do strony rejestracji urządzeń prywatnych.
  2. Następnie stworzyć nową stronę pod rejestrację urządzeń prywatnych. Ten krok pozwoli nam stworzyć bazę urządzeń powiązanych z konkretnym pracownikiem firmy.
  3. Na tej stronie wymagane powinno być logowanie domenowe, a w tle realizowane profilowanie urządzenia. Dzięki temu będziemy wiedzieć jaki typ urządzenia pracownik chce podłączyć do sieci.
  4. Ostatnim krokiem jest automatyczne wygenerowanie certyfikatu oraz profilu dla naszej szyfrowanej sieci bezprzewodowej.

Każde urządzenie prywatne powinno się podłączyc do sieci firmowej z profilem urządzenia prywatnego – odpowiednio ograniczonego.
Do uwierzytelnienia najbezpieczniej jest zastosować certyfikat, wygenerowany indywidualnie per urządzenie. W razie zgubienia urządzenia będzie można odwołać certyfikat i zablokować dostęp do sieci firmowej bez blokowania konta domenowego.

Całość przedstawionego procesu powinna być całowicie zautomatyzowana i nie wymagać zaangażowania administratora przy podłączaniu kolejnych urządzeń.

Urządzenia IoT – sensory, czytniki, kamery

Nadchodzi IoT

Kilka lat temu miałem okazję prowadzić rozmowę z jednym z administratorów sieci i zadałem mu pytanie, czy otrzymuje prośby o podłączenie urządzeń nie domenowych do swojej sieci?

Odpowiedział mi, że nie otrzymuje takich zgłoszeń i to bardzo mnie zaciekawiło.
Wydawało mi się dziwne, że nie ma takich zapytań, więc dopytywałem dalej:

Jesteście firmą usługową, macie wiele różnych urządzeń dostarczanych przez różnych producentów a wiele z nich jest opomiarowanych i monitorowanych.
Jak zatem realizujecie dostęp firm trzecich, które mają monitorować zadany system podłączony do Waszej sieci firmowej?

Odpowiedź jaką usłyszałem, zaskoczyła mnie, a brzmiała mniej więcej tak:

Firmy zewnętrzne wymagające dostępu do naszej sieci firmowej mają zapisane w swoich umowach, że ponoszą odpowiedzialność za bezpieczeństwo w swoim dostępie, więc nas jako IT to nie interesuje.

Jak widzicie można do tego tematu podejść i w taki sposób.
Warto mieć jednak na uwadze scenariusz wystąpienia włamania i wycieku danych lub użycia wspomnianych sensorów do ataku DDoS.
Takiej sytuacji nie będzie można wytłumaczyć jedynie odpowiedzialnością firmy trzeciej. Poza tym udowodnienie firmie trzeciej, że to właśnie z ich powodu dane zostały skradzione byłoby ekstremalnie trudnym zadaniem. W konsekwencji odpowiedzialność spadnie na prezesa, dyrektora IT, a następnie na administratorów systemów oraz sieci. Przy dzisiejszych regulacjach prawnych dotyczących danych osobowych, konsekwencje takiego włamania są bardzo poważne…

Podsumowanie

Wymieniłem kilka typowych kategorii problemów z zakresu dostępu do sieci firmowej. Dla każdego z nich dysponujemy innym formatem informacji o użytkownikach oraz urządzeniach, ale niezależnie od tego dążymy jednak do posiadania jednej centralnej bazy urządzeń i użytkowników. Tylko to pozwoli na osiągnięcie rozliczalności i kontrolę dostępu do sieci oraz danych firmowych.

Odpowiedzią dla administratora na taki problem są oczywiście systemy Radius. Tak, ale nie takie najprostsze, jak FreeRadius, czy Microsoft NPS…
Zachęcam tutaj do korzystania ze zautomatyzowanych narzędzi, które umożliwiają podłączenie różnych źródeł danych.

W polskiej rzeczywistości najczęściej spotykane są:

            – Cisco ISE

            – Aruba ClearPass

Są jeszcze inne produkty, jak Extreme Networks czy Huawei, ale są to bardzo niszowe rozwiązania w Polsce i mało jest materiałów na ich temat w porównaniu do wcześniej wymienionych. W dłuższej perspektywie ten aspekt ma duże znaczenie.

Natomiast te źródła danych, z których Radius powinien odczytywać informacje to:

            – domena Microsoft

            – baza gości

            – baza urządzeń IoT

            – baza urządzeń prywatnych (BYOD)

Wyciągnij wnioski z doświadczeń innych i uniknij błędów u siebie. Do następnego artykułu, Darek Koralewski.


Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.