При сетевой авторизации устройств, не имеющих расширенных инструментов безопасного подключения (клиентских суппликантов протокола 8902.1Х) зачастую требуется организовать дополнительные проверки типа и легитимности устройства. напримерНапример, при авторизации IP телефонов, камер, принтеров, СКУД и другого оборудования требуется желательно как минимум определить тип оборудования, и на его основе поместить подключение в заданный VLAN или либо как-то ещё иначе ограничить его доступ (ACL, ACL dACL и т.п.). В сети может существовать несколько категорий типов устройств, каждому из которых требуются свои сетевые правила (, например: телефоны в телефонный VLAN + назначение признака Voice; принтеры в принтерный, причем допускать только собственные принтеры). Каждое устройство требуется промаркировать к своей категории.должно быть промаркировано к своему типу.
Подобное определение Подобная механика определения типа устройства называется профилированием. Это механизм, позволяющий на основе каких-то признаков понять, что подключающийся при МАВ-авторизации сетевой клиент - то точно принтерэто например принтер, а не ноутбук.
| Note |
|---|
Учтите, что профилирование Профилирование не является мерой обеспечения информационной безопасности. При желании злоумышленник может подделать профильданные профиля. Скорее, это способ обеспечить профилирование даёт сетевому администратору удобство в настройке сети так, чтобы не приходилость приходилось вручную прописывать сетевые настройки на каждом порту коммутатора. |
...
- Автоматический. Анализ принадлежности МАС адресу адреса устройства какой-то группе адресов. Сами группы формируются по списку МАС, вендору, типу адреса и так далее. Данный тип профилирования Такое профилирование срабатывает автоматически при любой попытке RADIUS MAB и 802.1Х авторизации (проводной и беспроводной).
- Динамический. В момент попытки RADIUS MAB авторизации производится запрос встроенного в систему WNAM 2 профайлера, кэш которого может содержать обработанные данные. Сами данные поступают в него асинхронно автоматически , из следующих источников:
- Атрибуты RADIUS Accounting пакетов, несущие в себе CDP- и LLDP данные по порту коммутатора ЛВС. Этот способ инициирован предлагается механизмами Device Sensor коммутаторов Cisco и Huawei.
- Сведения по CDP- и LLDP соседям на порту коммутатора ЛВС, получаемые асинхронным запросов запросом коммутатора ЛВС по протоколу SNMP (v2c, v3) (все модели, поддерживающие SNMP и CDP/LLDP MIB)
- Сведения об устройстве пользователя, получаемые через его браузер при веб-редиректе на гостевой портал
- Сведения по опциям DHCP -опциям запроса клиента, и предложенному ему IP адресу, получаемые анализом DHCP-трафика агентов агентом wnam-dhcp-profiler-agent
- Данные по открытым TCP портам клиентского устройства, получаемые в результате его отложенного/периодического NMAP-сканирования устройства после авторизации и им получения IP адреса
- Данные по значению атрибутов hrDeviceDescr и sysDescr, получаемые в результате его отложенного/периодического SNMP v2c -опроса устройства после авторизации и им получения IP адреса
Данные, формируемые профайлером, автоматически дописываются в свойства эндпоинта (подключающегося устройства) при наличии в системе корректно настроенных правил профилирования: МАС группы для автоматического механизма, тройки "Проверка-Правило-Политика" для динамического механизма.
В дальнейшем правила аутентификации могут ссылаться на имеющиеся присвоенные профили устройств в своих критериях совпадения.