Menu

Region US

Grandmetric LLC
Lewes DE 19958
16192 Coastal Hwy USA
EIN: 98-1615498
+1 302 691 94 10
info@grandmetric.com

Region EMEA

GRANDMETRIC Sp. z o.o.
ul. Metalowa 5, 60-118 Poznań, Poland
NIP 7792433527
+48 61 271 04 43
info@grandmetric.com

UK

Grandmetric LTD
Office 584b
182-184 High Street North
London
E6 2JA
+44 20 3321 5276
info@grandmetric.com

  • en
  • pl
  • Guest Access, czyli jak zapewnić bezpieczny dostęp dla gości?

    Czy ruch gości powinien być odizolowany od ruchu reszty pracowników?

    Guest Access, czyli jak zapewnić bezpieczny dostęp dla gości?

    Date: 26.10.2021

    Autor:


    Częstym pytaniem, z którym spotykamy się przy okazji wdrożeń i rozmów z klientami jest „jak zapewnić bezpieczny dostęp dla gości, którzy pojawiają się w naszej organizacji”?  

    Istnieje oczywiście minimum kilka sensownych rozwiązań na rynku, które zapewniają funkcjonalność tzw. Captive Portal dla gości, natomiast to, jakie rozwiązanie wybrać, powinno dyktować kilka czynników jak np.: 

    • czy ruch gości powinien być odizolowany od ruchu reszty pracowników? 
    • gdzie powinno nastąpić przekierowanie URL Redirect? 
    • jak rozwiązać temat nadawania kont gościnnych? 
    • czy guest access powinien być tylko w ramach sieci WiFi, czy też może przewodowej? 
    • jakie mamy w ogóle opcje? 

    Network Guest Access 

    Jedną z większych zmian przy wprowadzeniu na rynek ISE było pojawienie się funkcjonalności dostępu gościnnego do sieci (Network Guest Access).  

    Poprzednik, ACS, nie miał tej funkcjonalności i chyba jedynym sensownym rozwiązaniem Cisco rozwiązującym problem „gościnności” był Cisco NAC Guest Server – NGS (tak, istniał taki twór). To powodowało, że chcąc mieć obsługę gości, captive portal i 802.1x w sieci musieliśmy zainstalować Cisco ACS dla 802.1x oraz Cisco NGS dla sieci guest. 

    Jeszcze jednym (prawie zapomnianym) mechanizmem, który potencjalnie można było wykorzystać, był mechanizm CTP – Cut through Proxy na ASA. Pamiętacie ten biały ekran i Times New Roman 🙂 ? 

    Muszę to pokazać: 

    Dzisiaj to RWD, CSS i HTML w najlepszym wydaniu: 

     
    Dostęp gościnny z ISE 

    Ale z ISE wszystko się zmieniło, co potwierdza Gartner pokazując właśnie ISE jako jedno z wiodących rozwiązań typu NAC. Dostęp gościnny, 802.1x, captive portal – to był dopiero początek. Wszystko, co potrzebne do zarządzania dostępem w jednym i widać, że zostało przemyślane.  

    Co ważne, architekci pomyśleli zarówno o obsłudze gości, jak i intuicyjnym interfejsie dla nadających konta gości (tzw. sponsorów), bo przecież nie każdy sponsor musi być administratorem sieci.  

    Z wartych podkreślenia rzeczy umożliwiono elastyczną konfigurację URL / FQDN zarówno dla portalu gościa jak i portalu sponsora, dowolność w wykorzystaniu certyfikatów dla https, zmianę portów, na których słuchają poszczególne portale, „Locale” dla rozwiązań wielojęzycznych, przekierowania, czy typy portali gościnnych.  

    Mamy między innymi do dyspozycji portal typu: 

    • Hot spot – gdzie konfigurujemy dostęp zabezpieczony PIN-em, a dany PIN można wykorzystać np. przez 8 godzin przez wszystkich uczestników spotkania, czy konferencji. 
    • Sponsored Guest Portal – czyli standardowy portal Cisco ISE, w którym konta gościa nadaje sponsor (np. recepcja) 
    • Self-Registered Guest Portal – portal w którym gość może sam utworzyć sobie konto, podać kogo odwiedza, a link aktywacyjny schodzi na maila odwiedzanego, który akceptuje lub nie. 

    Co ważne, portal gościnny obsługuje sieci typu wired (przewodowe), jak i wireless. Niektóre rozwiązania na rynku wymuszają włączenie captive portal np. na poziomie kontrolera sieci WiFi, co automatycznie wyklucza spójność polityki gościnnej dla sieci WLAN i LAN.  

    Inne rozwiązania (też ciekawe) aplikują funkcjonalność URL-Redirect na poziomie głównego firewall’a w sieci, co już umożliwia przekierowanie każdego typu ruchu (zarówno LAN jak i WLAN). Warto przy tym zanotować, że polityka routingu w takim wypadku musi kierować cały ruch zawsze przez takiego firewall’a. 

    Podejście Cisco 

    Cisco podeszło do tego inaczej – mianowicie bazuje na integracji całej funkcjonalności gościnnej ISE z przełącznikami Ethernet i kontrolerami sieci WLAN. Oznacza to, że całe przekierowanie użytkownika odbywa się już na porcie switcha’a, bądź na kontrolerze WLC (Wireless LAN Controller). Ma to swoje dobre i złe strony, ale jedną z zalet jest uniezależnienie lokalizacji węzła ISE (ISE node) od faktycznej ścieżki ruchu użytkownika – gościa. 

    Konfiguracja i zasada działania portalu gościnnego (tak ważna w nowoczesnych sieciach IP) jest jednym z istotniejszych punktów szkolenia Cisco ISE. 

    Bądź na bieżąco w tematach, z którymi pracujesz na co dzień

    Zapisz się do Grandmetric Tech Newsletter. Otrzymaj dostęp do materiałów premium: ebooków, checklist, webinarów i innych.

      Zapisując się na newsletter wyrażam zgodę na przetwarzanie udostępnionych danych osobowych na potrzeby prowadzonego newslettera, w ramach którego Grandmetric sp. z o.o. jako administrator danych przesyłać będzie informacje marketingowe, promocyjne, handlowe i informacyjne w obszarze prowadzonej działalności gospodarczej. Zapoznałam/em się z treścią Regulaminu oraz Polityki prywatności i akceptuję ich treść. Regulamin Polityka prywatności

      Autor

      Marcin Bialy

      Architekt systemów sieciowych i bezpieczeństwa IT. Prowadził duże projekty transformacyjne u klientów z branży bankowości, sektora enterprise, produkcji oraz instytucji państwowych. Spędził setki godzin przy konfiguracji, diagnostyce i projektowaniu sieci IP. Jest autorem kursów, workbook’ów do szkoleń autorskich Grandmetric i organizatorem inicjatyw takich jak Network & Wireless meetup zrzeszających społeczność specjalistów sieciowych. Jego specjalizacje obejmują obszar Network Security, Routing & Switching. Marcin posiada certyfikaty Cisco CCSI#35269, CCNP, CCNA. Był także był jednym z pierwszych inżynierów w Polsce uzyskując certyfikat FCNSP#7207 (dzisiejsza ścieżka NSE).

      Dodaj komentarz

      Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *


      Grandmetric: Network & Security