Menu

Region US

Grandmetric LLC
Brookfield Place Office
200 Vesey Street
New York, NY 10281
EIN: 98-1615498
Phone: +1 302 691 9410
info@grandmetric.com

Region EMEA

GRANDMETRIC Sp. z o.o.
ul. Metalowa 5, 60-118 Poznań, Poland
NIP 7792433527
+48 61 271 04 43
info@grandmetric.com

Sieci Gościnne

Czy ruch gości powinien być odizolowany od ruchu reszty pracowników?

Guest Access, czyli jak zapewnić bezpieczny dostęp dla gości?

Autor:


26.10.2021

Częstym pytaniem, z którym spotykamy się przy okazji wdrożeń i rozmów z klientami jest „jak zapewnić bezpieczny dostęp dla gości, którzy pojawiają się w naszej organizacji”?  

Istnieje oczywiście minimum kilka sensownych rozwiązań na rynku, które zapewniają funkcjonalność tzw. Captive Portal dla gości, natomiast to, jakie rozwiązanie wybrać, powinno dyktować kilka czynników jak np.: 

  • czy ruch gości powinien być odizolowany od ruchu reszty pracowników? 
  • gdzie powinno nastąpić przekierowanie URL Redirect? 
  • jak rozwiązać temat nadawania kont gościnnych? 
  • czy guest access powinien być tylko w ramach sieci WiFi, czy też może przewodowej? 
  • jakie mamy w ogóle opcje? 

Network Guest Access 

Jedną z większych zmian przy wprowadzeniu na rynek ISE było pojawienie się funkcjonalności dostępu gościnnego do sieci (Network Guest Access).  

Poprzednik, ACS, nie miał tej funkcjonalności i chyba jedynym sensownym rozwiązaniem Cisco rozwiązującym problem „gościnności” był Cisco NAC Guest Server – NGS (tak, istniał taki twór). To powodowało, że chcąc mieć obsługę gości, captive portal i 802.1x w sieci musieliśmy zainstalować Cisco ACS dla 802.1x oraz Cisco NGS dla sieci guest. 

Jeszcze jednym (prawie zapomnianym) mechanizmem, który potencjalnie można było wykorzystać, był mechanizm CTP – Cut through Proxy na ASA. Pamiętacie ten biały ekran i Times New Roman 🙂 ? 

Muszę to pokazać: 

Dzisiaj to RWD, CSS i HTML w najlepszym wydaniu: 

 
Dostęp gościnny z ISE 

Ale z ISE wszystko się zmieniło, co potwierdza Gartner pokazując właśnie ISE jako jedno z wiodących rozwiązań typu NAC. Dostęp gościnny, 802.1x, captive portal – to był dopiero początek. Wszystko, co potrzebne do zarządzania dostępem w jednym i widać, że zostało przemyślane.  

Co ważne, architekci pomyśleli zarówno o obsłudze gości, jak i intuicyjnym interfejsie dla nadających konta gości (tzw. sponsorów), bo przecież nie każdy sponsor musi być administratorem sieci.  

Z wartych podkreślenia rzeczy umożliwiono elastyczną konfigurację URL / FQDN zarówno dla portalu gościa jak i portalu sponsora, dowolność w wykorzystaniu certyfikatów dla https, zmianę portów, na których słuchają poszczególne portale, „Locale” dla rozwiązań wielojęzycznych, przekierowania, czy typy portali gościnnych.  

Mamy między innymi do dyspozycji portal typu: 

  • Hot spot – gdzie konfigurujemy dostęp zabezpieczony PIN-em, a dany PIN można wykorzystać np. przez 8 godzin przez wszystkich uczestników spotkania, czy konferencji. 
  • Sponsored Guest Portal – czyli standardowy portal Cisco ISE, w którym konta gościa nadaje sponsor (np. recepcja) 
  • Self-Registered Guest Portal – portal w którym gość może sam utworzyć sobie konto, podać kogo odwiedza, a link aktywacyjny schodzi na maila odwiedzanego, który akceptuje lub nie. 

Co ważne, portal gościnny obsługuje sieci typu wired (przewodowe), jak i wireless. Niektóre rozwiązania na rynku wymuszają włączenie captive portal np. na poziomie kontrolera sieci WiFi, co automatycznie wyklucza spójność polityki gościnnej dla sieci WLAN i LAN.  

Inne rozwiązania (też ciekawe) aplikują funkcjonalność URL-Redirect na poziomie głównego firewall’a w sieci, co już umożliwia przekierowanie każdego typu ruchu (zarówno LAN jak i WLAN). Warto przy tym zanotować, że polityka routingu w takim wypadku musi kierować cały ruch zawsze przez takiego firewall’a. 

Podejście Cisco 

Cisco podeszło do tego inaczej – mianowicie bazuje na integracji całej funkcjonalności gościnnej ISE z przełącznikami Ethernet i kontrolerami sieci WLAN. Oznacza to, że całe przekierowanie użytkownika odbywa się już na porcie switcha’a, bądź na kontrolerze WLC (Wireless LAN Controller). Ma to swoje dobre i złe strony, ale jedną z zalet jest uniezależnienie lokalizacji węzła ISE (ISE node) od faktycznej ścieżki ruchu użytkownika – gościa. 

Konfiguracja i zasada działania portalu gościnnego (tak ważna w nowoczesnych sieciach IP) jest jednym z istotniejszych punktów szkolenia Cisco ISE. 

 Chcesz poznać szczegóły naszego szkolenia z ISE 3.0? Pobierz agendę oraz wykaz konfiguracji ISE dostępnych w naszej Bazie Wiedzy. 

Autor

Marcin Bialy

Architekt systemów sieciowych i bezpieczeństwa IT. Prowadził duże projekty transformacyjne u klientów z branży bankowości, sektora enterprise, produkcji oraz instytucji państwowych. Spędził setki godzin przy konfiguracji, diagnostyce i projektowaniu sieci IP. Jest autorem kursów, workbook’ów do szkoleń autorskich Grandmetric i organizatorem inicjatyw takich jak Network & Wireless meetup zrzeszających społeczność specjalistów sieciowych. Jego specjalizacje obejmują obszar Network Security, Routing & Switching. Marcin posiada certyfikaty Cisco CCSI#35269, CCNP, CCNA. Był także był jednym z pierwszych inżynierów w Polsce uzyskując certyfikat FCNSP#7207 (dzisiejsza ścieżka NSE).

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Sign up to our newsletter!


Grandmetric