Dáváte uživatelům VLAN? Posuňte se do moderní doby!

Většina implementací 802.1X přístupu do sítě se spokojuje s přiřazením VLAN – dynamické nastavení ACL a QoS se většinou moc nepoužívá. Proč? Je to těžkopádné. Změňte hru – používejte role!

Řízení přístupu uživatelů a VLAN

Asi to znáte. Nechcete, aby do vaší sítě mohl kdokoli. Současně řešíte problém, jak dávat různým uživatelům různé politiky tak, aby nebylo nutné to dělat ručně podle jejich fyzického portu – samozřejmě proto, že na WiFi už uživatel nesedí na jednom místě a totéž vlastně dnes platí i pro drátové připojení. První co vás napadne je přiřadit uživateli VLAN podle jeho uživatelské skupiny a to je určitě výborný krok kupředu, pokud tak ještě nečiníte (víte, že protokol 802.1X existuje od roku 1998?).

Ve skutečnosti to ale není, co chcete. Jde vám přece o to říct, jaký typ přístupu uživatel získá. To znamená kam má v síti přístup a s jakou kvalitou služby, jaké aplikace jsou mu dostupné a v jaké kvalitě a co naopak používat nesmí. Na jaké systémy a webové stránky přistupuje a není to náhodou někam, kde ho čeká bezpečnostní hrozba? VLAN je ale jen obyčejné číslo spojené s nějakým subnetem – nic víc.

Řešení první: přiřazení ACL a QoS

Většina přístupových prvků dnes umožňuje přiřadit po úspěšném ověření i ACL nebo dokonce QoS politiku. S tím jsou ale spojeny určité problémy. Tím prvním je naprostá nesourodost implementací mezi výrobci nebo i mezi různými modely a generacemi stejného. Jako ještě horší se ukázala udržitelnost těchto politik a schopnosti jejich centrální správy. Upřímně řečeno – za posledních sedm let jsem byl tím či oním způsobem přítomen, vzdáleně připojen či detailně obeznámen s asi tak stovkou nasazení 802.1X. Někdy se ACL a QoS testovalo, ale prakticky nikdy se neimplementovalo v plném měřítku a i když ano, neudržovalo se po dělší dobu. Spíše šlo o otestování v rámci PoC nebo na základě odpovědi na RFP, občas se možná použilo pro řešení omezeného specifického problému, ale plošné nasazení se moc neděje.

Řešení druhé: ruční provázání různých systémů

VLAN je jako informace celkem k ničemu, pokud k tomu nepřidáme politiky na směrovacím zařízení – zejména ACL a QoS. To také vede na pravidla na nějakém chytřejším bezpečnostním zařízení, které v režimu nějaké zóny či virtuálního segmentu přidává aplikační pravidla, webovou content a bezpečnostní filtraci či nějaké hrátky s kvalitou služby. Hnát veškerý provoz z celé planety do jednoho místa není ideální, notabene když takto chytré bezpečnostní prvky nemají výkon takový, aby bylo vhodné jimi nechat protékat všechno (proč byste nakoupili třeba 500 gigabitových portů a pak veškerý provoz nahnali do 5 GB firewallu … tady něco nehraje). To vede na to, že bezpečnostní politika je ve skutečnosti rozprostřena přes několik kategorií zařízení. Na přístupové síti, třeba WiFi, se hraje s VLAN. Někde dál na routeru s ACL a QoS a někde později s aplikacemi a webem. Politikou je Excel tabulka začínající číslem VLAN a pokračující nastavením a pojmenováním všech dalších věcí po cestě.

Řešení třetí: proprietární zřetězení nebo SDN

Vezměte to co jsem před chvilkou popsal a na začátku řetězce vložte do paketu nějaký proprietární tag. Na jeho základě pak budou ostatní zařízení v řetězci nastavena tak, že budou aplikovat příslušnou politiku. Ve skutečnosti jste se právě zavázali mít celý řetězec od jednoho výrobce, což vám nepřináší zrovna dobrou vyjednávací pozici o cenách, ani mix technologií, který nejlépe sedí vašim potřebám. Nicméně problém trvá – místo identifikátorů, jako je číslo VLAN na prvku a routeru a zóně na firewallu, tak máte jiný tag. No a? Stejně musíte mít orchestraci všech komponent v cestě z pohledu jejich nastavení – už jsem mluvil o tom, že řada technologií se nenasazuje kvůli rozháranosti implementací na různých zařízeních i generacích v rámci řešení jednoho výrobce? Druhou možností je nezavádět proprietární tag, ale pomoci s definicí politik přes celé prostředí s využitím současných identifikátorů. Hledáte tedy něco, co by umělo standardním způsobem mluvit k celé síťové infrastruktuře. Něco, co by mohlo naprogramovat (tedy ne „jen“ nastavit) chování elementů. Je vám to povědomé? Přihořívá … je to SDN. Nicméně komplexní end-to-end řešení interoperabilní mezi všemi výrobci zatím k dispozici není, byť je to cesta určitě správná.

Moderní přístup s Aruba a ClearPass: role

Chceme tedy jednoduchým způsobem pracovat s politikami. Tyto nemají být nějaká VLAN, ale bohatá definice pravidel včetně těch aplikačních. Současně ale nechceme, aby řešení znamenalo nějakou ruční synchronizaci mezi hromadou různých typů zařízení. Stejně nepříjemné je provádět všechno v jakémsi centrálním chytrém prvku, což může znamenat výkonnostní obtíže a hlavně je v ten okamžik už celkem pozdě, řešit nějakou kvalitu služby nebo bezpečnost, když před tím uživatelé prochází hloupou neošetřenou sítí. Také nechceme řešit nekompatibility celého systému s ohledem na stáří jednotlivých součástí nebo svázat životní cyklus firewallů, centrální core routerů, LAN a WiFi – chcete se přece rozhodovat podle vašich potřeb a ve fázích, které vyhovují vašemu byznysu – ne tak, že pokud se všechno neposune na novou generaci od jednoho výrobce, tak celý příběh o bezpečnosti přestane fungovat.

Řešení nabízím toto: přesuňte kompletní politiku do přístupové infrastruktury. Dobrým příkladem je Aruba AP (a může to být klidně i clusterované Instant AP). Definujte uživatelské role přímo v přístupové vrstvě, tedy tam, kde se uživatelé připojují a kde jsou věci jako bezpečnost a QoS potřeba nejvíc (většina neošetřených hlasových paketů při použití ve WiFi jistě není ztracena na core routerech, ale už ve WiFi). Nechť vaše role klidně obsahují VLAN, ale také filtraci, kvalitu služby, rozpoznání aplikací a řízení jejich politik na úrovni bezpečnosti i kvality služby, kategorizaci webového obsahu a hlídání přístupů na nakažené stránky či zachycení červů volajících domů. S každým nákupem nového AP získáváte další výkon a neznamená pro vás, že se musíte bát nějaké integrace s drátovou sítí či firewally – WiFi síť bude fungovat jako overlay přes jakoukoli drátovou infrastrukturu. Tyto role pak namapujte například na uživatelovo organizační zařazení v rámci Microsoft Active Directory a přiřaďte při ověřování politikou v Aruba ClearPass. Role si buď vytvořte dopředu z virtuálního (distribuovaného) či hardwarového kontroleru nebo z management řešení AirWave, případně si vytvořte jejich downloadable verzi, která se do zařízení dopraví ad-hoc.

Podívejte se, jak rychle tohle celé nastavíte:

Similar posts
  • HPE Networking na GitHub – skri... Zaměstnanci HPE publikovali zajímavé skripty a celé knihovny jako open source v licenci Apache2, tedy k volnému použití včetně jakýchkoli modifikací. https://github.com/HPENetworking/scriptsonly Obsah se bude jistě dost rozšiřovat… přidejte si záložku [...]
  • Návod na Aruba ClearPass v češtině Čtěte online na stránkách netSvět: http://www.netsvet.cz/clearpasslab [...]
  • ArubaOS-Switch (dříve ProVision OS) a... ArubaOS-Switch 16.01 a podpora captive portálu ClearPass Guest. ProVision OS generace 15 podporoval lokální webový portál, lokálně ověřovaný webový portál s obsahem na externím serveru a proprietární HTTP redirect kompatibilní s Comware platformou a iMC UAM portálem. Nová generace software s označením ArubaOS 16.01 přináší nově podporu pro Guest ověřování s ClearPass Guest. Které prvky [...]
  • ClearPass Guest: Vyplňte a vstupte pr... Už jsme si ukázali, jak pouštět hosty do vaší sítě bezpečně a pohodlně s licenčním ujednání nebo SMSkou. Další možnost je nechat uživatele vyplnit údaje o sobě. Řekni mi co čteš a já … Co čtete raději? netsvet.cz nebo cloudsvet.cz? Nebo oboje stejně? Stačí jen odpovědět a pustím vás do sítě. Takhle nějak můžete nastavit [...]
  • Píp-píp, tady je váš login do sítě Podívejte se jak Aruba ClearPass umožňuje přistupovat pouze těm hostům, kteří uvedou platné telefonní číslo. Rádi ti dáme připojení, ale dej nám telefonní číslo Řada zákazníků řeší problém jak připojit hosty do sítě a to tak, aby to bylo elegantní (ať to není ostuda), pro hosty velmi jednoduché (bez diktování dlouhých hesel nebo klíčů) a [...]

No Comments Yet

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *