Cisco Romania Blog

Accesul personalizat la rețea sau dincolo de 802.1x – partea I

2 min read



Astăzi vă propunem să discutam mai multe despre accesul personalizat la rețea, într-o serie de două posturi care vor trata care este situația actuală și ce soluții moderne pot fi implementate.

Proliferarea dispozitivelor personale, creșterea mobilității angajaților împreună cu virtualizarea accelerată a aplicațiilor creează presiuni asupra rețelei din punct de vedere al securității și scalabilității. Devine o necesitate cunoașterea exactă a utilizatorului, punctului de acces, tipului de dispozitiv și drepturilor de acces la resurse pentru a asigura funcționarea afacerii fără un impact negativ asupra siguranței datelor și a resurselor.

Cisco IBNS (Identity Based Networking Services) este o soluție integrată care oferă autentificare, control access și punerea în aplicare apoliticii de securitate în functie deutilizator.  Soluția simplifică provizionarea și operarea accesului securizat la rețea și resurse. Comparată cu sistemele arhaice care se bazeaza pe topologia rețelei, Cisco IBNS se bazează pe politici logice de grup, oferind astfel flexibilitate și uniformitate fără să depindă de mobilitatea resurselor sau a dispozitivelor.

O componentă de bază a soluției o reprezintă standardul 802.1x. IEEE 802.1x a fost dezvoltat începand cu 2001 și prezintă o metodă generală de configurare a unui port de rețea pentru controlul accesului. 802.1x asigură securitatea la nivelul rețelei indiferent dacă accesul se face printr-un port ethernet sau via WiFi.

În realitate, accesul la rețea nu se poate baza exclusiv pe 802.1x:

Ce facem dacă dispozitivul care se conectează la rețea nu suportă standardul 802.1x? În acest caz, autentificarea se poate face pe baza adresei MAC.

  • Dacă serverul RADIUS (baza de date cu utilizatorii, dispozitivele, politicile de acces și securitate) nu răspunde la cererea de autentificare sau dacă autentificarea eșuează, ce măsuri este recomandat să luăm? Tocmai pentru astfel de situații a apărut noțiunea de VLAN de “avarie” și/sau “carantină” care ne permite să identificăm dacă traficul provenit din routerul unui client este curat (aderă la reguli) imediat după conectare
  • Ce facem cu vizitatorii? Cum îi diferențiem pe angajați? Segmentăm rețeaua cu VLAN-uri
  • Cum restricționăm și partajăm accesul la resurse? Definim și implementăm politici de acces.

1

 

Pentru a putea personaliza accesul la rețea trebuie să identificăm utilizatorul, dispozitivul folosit și punctul de acces. ISE (Identity Services Engine), parte integrantă din soluția IBNS, este serverul RADIUS care autentifică și clasifică utilizatori și dispozitive. După autentificare și clasificare, este implementată politica de acces. Aceasta este definită șI aplicată tot cu ajutorul serverului ISE.

 

Diagrama

În următorul post vom trata mai pe larg semnificația accesului personalizat la rețea și vom încerca să tratăm și beneficiile oferite de către soluția IBNS.

Authors

Bogdan Zapca

Consulting Systems Engineer

Cisco Romania

Lăsați un comentariu