Guest Access, czyli jak zapewnić bezpieczny dostęp dla gości?

Częstym pytaniem, z którym spotykamy się przy okazji wdrożeń i rozmów z klientami jest „jak zapewnić bezpieczny dostęp dla gości, którzy pojawiają się w naszej organizacji”?  

Istnieje oczywiście minimum kilka sensownych rozwiązań na rynku, które zapewniają funkcjonalność tzw. Captive Portal dla gości, natomiast to, jakie rozwiązanie wybrać, powinno dyktować kilka czynników jak np.: 

• czy ruch gości powinien być odizolowany od ruchu reszty pracowników? 
• gdzie powinno nastąpić przekierowanie URL Redirect? 
• jak rozwiązać temat nadawania kont gościnnych? 
• czy guest access powinien być tylko w ramach sieci WiFi, czy też może przewodowej? 
• jakie mamy w ogóle opcje? 

Network Guest Access 

Jedną z większych zmian przy wprowadzeniu na rynek ISE było pojawienie się funkcjonalności dostępu gościnnego do sieci (Network Guest Access).  

Poprzednik, ACS, nie miał tej funkcjonalności i chyba jedynym sensownym rozwiązaniem Cisco rozwiązującym problem „gościnności” był Cisco NAC Guest Server – NGS (tak, istniał taki twór). To powodowało, że chcąc mieć obsługę gości, captive portal i 802.1x w sieci musieliśmy zainstalować Cisco ACS dla 802.1x oraz Cisco NGS dla sieci guest. 

Jeszcze jednym (prawie zapomnianym) mechanizmem, który potencjalnie można było wykorzystać, był mechanizm CTP – Cut through Proxy na ASA. Pamiętacie ten biały ekran i Times New Roman 🙂 ? 

Muszę to pokazać: 

Dzisiaj to RWD, CSS i HTML w najlepszym wydaniu: 

 
Dostęp gościnny z ISE 

Ale z ISE wszystko się zmieniło, co potwierdza Gartner pokazując właśnie ISE jako jedno z wiodących rozwiązań typu NAC. Dostęp gościnny, 802.1x, captive portal – to był dopiero początek. Wszystko, co potrzebne do zarządzania dostępem w jednym i widać, że zostało przemyślane.  

Co ważne, architekci pomyśleli zarówno o obsłudze gości, jak i intuicyjnym interfejsie dla nadających konta gości (tzw. sponsorów), bo przecież nie każdy sponsor musi być administratorem sieci.  

Z wartych podkreślenia rzeczy umożliwiono elastyczną konfigurację URL / FQDN zarówno dla portalu gościa jak i portalu sponsora, dowolność w wykorzystaniu certyfikatów dla https, zmianę portów, na których słuchają poszczególne portale, „Locale” dla rozwiązań wielojęzycznych, przekierowania, czy typy portali gościnnych.  

Co ważne, portal gościnny obsługuje sieci typu wired (przewodowe), jak i wireless. Niektóre rozwiązania na rynku wymuszają włączenie captive portal np. na poziomie kontrolera sieci WiFi, co automatycznie wyklucza spójność polityki gościnnej dla sieci WLAN i LAN.  

Inne rozwiązania (też ciekawe) aplikują funkcjonalność URL-Redirect na poziomie głównego firewall’a w sieci, co już umożliwia przekierowanie każdego typu ruchu (zarówno LAN jak i WLAN). Warto przy tym zanotować, że polityka routingu w takim wypadku musi kierować cały ruch zawsze przez takiego firewall’a. 

Podejście Cisco 

Cisco podeszło do tego inaczej – mianowicie bazuje na integracji całej funkcjonalności gościnnej ISE z przełącznikami Ethernet i kontrolerami sieci WLAN. Oznacza to, że całe przekierowanie użytkownika odbywa się już na porcie switcha’a, bądź na kontrolerze WLC (Wireless LAN Controller). Ma to swoje dobre i złe strony, ale jedną z zalet jest uniezależnienie lokalizacji węzła ISE (ISE node) od faktycznej ścieżki ruchu użytkownika – gościa. 

Konfiguracja i zasada działania portalu gościnnego (tak ważna w nowoczesnych sieciach IP) jest jednym z istotniejszych punktów szkolenia Cisco ISE. 

 Chcesz poznać szczegóły naszego szkolenia z ISE 3.0? Pobierz agendę oraz wykaz konfiguracji ISE dostępnych w naszej Bazie Wiedzy.