Czy ruch gości powinien być odizolowany od ruchu reszty pracowników?
Częstym pytaniem, z którym spotykamy się przy okazji wdrożeń i rozmów z klientami jest „jak zapewnić bezpieczny dostęp dla gości, którzy pojawiają się w naszej organizacji”?
Istnieje oczywiście minimum kilka sensownych rozwiązań na rynku, które zapewniają funkcjonalność tzw. Captive Portal dla gości, natomiast to, jakie rozwiązanie wybrać, powinno dyktować kilka czynników jak np.:
Jedną z większych zmian przy wprowadzeniu na rynek ISE było pojawienie się funkcjonalności dostępu gościnnego do sieci (Network Guest Access).
Poprzednik, ACS, nie miał tej funkcjonalności i chyba jedynym sensownym rozwiązaniem Cisco rozwiązującym problem „gościnności” był Cisco NAC Guest Server – NGS (tak, istniał taki twór). To powodowało, że chcąc mieć obsługę gości, captive portal i 802.1x w sieci musieliśmy zainstalować Cisco ACS dla 802.1x oraz Cisco NGS dla sieci guest.
Jeszcze jednym (prawie zapomnianym) mechanizmem, który potencjalnie można było wykorzystać, był mechanizm CTP – Cut through Proxy na ASA. Pamiętacie ten biały ekran i Times New Roman 🙂 ?
Muszę to pokazać:
Dzisiaj to RWD, CSS i HTML w najlepszym wydaniu:
Ale z ISE wszystko się zmieniło, co potwierdza Gartner pokazując właśnie ISE jako jedno z wiodących rozwiązań typu NAC. Dostęp gościnny, 802.1x, captive portal – to był dopiero początek. Wszystko, co potrzebne do zarządzania dostępem w jednym i widać, że zostało przemyślane.
Co ważne, architekci pomyśleli zarówno o obsłudze gości, jak i intuicyjnym interfejsie dla nadających konta gości (tzw. sponsorów), bo przecież nie każdy sponsor musi być administratorem sieci.
Z wartych podkreślenia rzeczy umożliwiono elastyczną konfigurację URL / FQDN zarówno dla portalu gościa jak i portalu sponsora, dowolność w wykorzystaniu certyfikatów dla https, zmianę portów, na których słuchają poszczególne portale, „Locale” dla rozwiązań wielojęzycznych, przekierowania, czy typy portali gościnnych.
Mamy między innymi do dyspozycji portal typu:
Co ważne, portal gościnny obsługuje sieci typu wired (przewodowe), jak i wireless. Niektóre rozwiązania na rynku wymuszają włączenie captive portal np. na poziomie kontrolera sieci WiFi, co automatycznie wyklucza spójność polityki gościnnej dla sieci WLAN i LAN.
Inne rozwiązania (też ciekawe) aplikują funkcjonalność URL-Redirect na poziomie głównego firewall’a w sieci, co już umożliwia przekierowanie każdego typu ruchu (zarówno LAN jak i WLAN). Warto przy tym zanotować, że polityka routingu w takim wypadku musi kierować cały ruch zawsze przez takiego firewall’a.
Cisco podeszło do tego inaczej – mianowicie bazuje na integracji całej funkcjonalności gościnnej ISE z przełącznikami Ethernet i kontrolerami sieci WLAN. Oznacza to, że całe przekierowanie użytkownika odbywa się już na porcie switcha’a, bądź na kontrolerze WLC (Wireless LAN Controller). Ma to swoje dobre i złe strony, ale jedną z zalet jest uniezależnienie lokalizacji węzła ISE (ISE node) od faktycznej ścieżki ruchu użytkownika – gościa.
Konfiguracja i zasada działania portalu gościnnego (tak ważna w nowoczesnych sieciach IP) jest jednym z istotniejszych punktów szkolenia Cisco ISE.
Zapisz się do Grandmetric Tech Newsletter. Otrzymaj dostęp do materiałów premium: ebooków, checklist, webinarów i innych.
Dodaj komentarz