Podkast 22T27 IF-MAP – Interface for Metadata Access Points

WERSJA TEKSTOWA

Cześć, witam Cię w dzisiejszym odcinku mojego podkastu. Dzisiejszy temat to IF-MAP – Interface for Metadata Access Points. Co to jest? To jest protokół, który ma służyć do wymiany danych o sesji użytkowników. Po co się go stosuje? Przede wszystkim po to, żeby wymieniać informacje dotyczące użytkowników pomiędzy różnymi urządzeniami sieciowymi. Czyli mamy np dostęp VPN-owy, musimy tego użytkownika uwierzytelnić, wiemy kto to jest, wiemy jaki ma adres i tą informację o aktualnym adresie IP plus nazwie użytkownika lub innych atrybutów z nim związanych możemy przesłać np do Firewalla. Możemy przesłać tą informację za pomocą tego protokołu również do innych elementów, które to wspierają, np Sysloga czy innych systemów analitycznych.

Dlaczego dzisiaj o tym mówię? Mimo, że protokół jest już dość stary, bo został opublikowany w 2008 roku i zmodyfikowany w 2013 roku to dzisiaj widzę, że jego adopcja przez innych producentów jest po prostu szersza. Czyli możemy ten protokół spotkać na urządzeniach np Aruby, Junipera, Checkpointa i wielu innych, Pulsa czyli obecnie Ivanti, wielu innych producentów implementuje tego typu rozwiązanie, żeby móc wymieniać informacje o użytkownikach pomiędzy różnymi komponentami sieci. Założenie, jeśli chodzi o bezpieczeństwo sieci jest takie, żeby patrzeć całościowo a nie wyspowo. Nie na zasadzie, że Firewall ma taką politykę i widzi inaczej użytkowników, VPN widzi inaczej użytkowników, systemy SIEM mają swój kontekst widzenia sytuacji. W ten sposób, jeśli mamy ten kontekst w różnych urządzeniach rożny, to nawet jeżeli chcemy przeanalizować później dane zdarzenie, logi to zaczynamy mieć z tym duży problem, bo ciężko jest wyciągać wnioski. W przypadku gdy zunifikujemy informację o użytkownikach na różnych elementach bezpieczeństwa naszej sieci, np. w systemach NAC, na Firewallu, na VPN-ie, w systemach SIEM-owych. To wtedy możemy dużo łatwiej powiedzieć co się zdarzyło, przez jakie urządzenia użytkownik przechodził, jakie wykonał akcje i łatwo można to skorelować. Dlatego warto wykorzystywać tego typu mechanizm, a jest to mechanizm open source, czyli nie zależny od konkretnego jednego producenta i dzięki temu możemy spotkać go w implementacjach różnych urządzeń.

Jeśli chodzi o architekturę samego protokołu to jest to architektura klient – server, czyli musimy postawić gdzieś formę serwera tego protokołu IF-MAP, najczęściej w trybie HA, czyli jakiegoś klastra. Oprócz tego musimy skonfigurować te poszczególne komponenty nasze sieciowe, o których wspominałem. Czyli system NAC-owy, system VPN-owy, system Firewallowy jako klienta tego protokołu IF-MAP.

Teraz jeżeli mamy już działające nasze środowisko, mamy to wszystko spięte IF-MAPem to teraz informacja o sesjach będzie wymieniana pomiędzy poszczególnymi komponentami a co dodatkowo nam to umożliwia – podłączenie użytkownika bez dodatkowej konieczności logowania. Ponieważ my wiemy co to jest za użytkownik i jeżeli on np się podłączy przez jeden element naszego systemu a potem się przeniesie do innego komponentu to my mając tą informację o sesjach traktujemy tego użytkownika tak jakby już wcześniej był uwierzytelniony. Czyli jeżeli np mamy VPNa i uwierzytelniliśmy tego użytkownika, informacja IF-MAPem została wysłana do poszczególnych innych elementów naszej sieci i ona się potem przenosi np do sieci kablowej, to możemy tego użytkownika już potraktować jako użytkownika, którego znamy, bo jego sesja, informacje o tym jaki ma login, IP jest aktualnie dostępna w naszym systemie zarządzania bezpieczeństwem sieci LAN. I tak dalej. Możemy w ten sposób sobie te klocki budować.

W przypadku aktualizacji każdy element, który ma update dotyczący danego klienta czy danej sesji wysyła to do serwera a serwer wpisuje to w bazie danych w ramach atrybutów i meta danych, które dostaje od klientów. Jeżeli masz jakieś pytania co do tego to oczywiście zachęcam do pisania w komentarzu, na dzisiaj Ci już dziękuję i do usłyszenia już za tydzień.