You are viewing an old version of this page. View the current version.

Compare with Current View Page History

Version 1 Next »

При сетевой авторизации устройств, не имеющих расширенных инструментов подключения (клиентских суппликантов) зачастую требуется организовать дополнительные проверки типа и легитимности устройства. например, при авторизации IP телефонов, камер, принтеров, СКУД и другого оборудования требуется как минимум определить тип оборудования, и на его основе поместить подключение в заданный VLAN или как-то ещё ограничить его доступ (ACL, ACL и т.п.). В сети может существовать несколько категорий устройств, каждому из которых требуются свои сетевые правила (телефоны в телефонный VLAN + назначение признака Voice; принтеры в принтерный, причем допускать только собственные принтеры). Каждое устройство требуется промаркировать к своей категории.

Подобная механика определения типа устройства называется профилированием. Это механизм, позволяющий на основе каких-то признаков понять, что подключающийся при МАВ-авторизации сетевой клиент - то точно принтер.

Учтите, что профилирование не является мерой обеспечения информационной безопасности. При желании злоумышленник может подделать профиль. Скорее, это способ обеспечить сетевому администратору удобство в настройке сети так, чтобы не приходилость вручную прописывать сетевые настройки на каждом порту коммутатора.

WNAM 2 поддерживает следующие механизмы профилирования:

  • Автоматический. Анализ принадлежности МАС адресу устройства какой-то группе адресов. Сами группы формируются по списку МАС, вендору, типу адреса и так далее. Данный тип профилирования срабатывает автоматически при любой попытке RADIUS MAB и 802.1Х авторизации (проводной и беспроводной).
  • Динамический. В момент попытки RADIUS MAB авторизации производится запрос встроенного в систему профайлера, кэш которого может содержать обработанные данные. Сами данные поступают в него асинхронно автоматически из следующих источников:
    • Атрибуты RADIUS Accounting пакетов, несущие в себе CDP- и LLDP данные по порту коммутатора ЛВС. Этот способ инициирован механизмами Device Sensor коммутаторов Cisco и Huawei.
    • Сведения по CDP- и LLDP соседям на порту коммутатора ЛВС, получаемые асинхронным запросов коммутатора ЛВС по протоколу SNMP (v2c, v3) (все модели, поддерживающие SNMP и CDP/LLDP)
    • Сведения об устройстве пользователя, получаемые через его браузер при веб-редиректе на гостевой портал
    • Сведения по DHCP-опциям запроса клиента, и предложенному ему IP адресу, получаемые анализом DHCP-трафика агентов wnam-dhcp-agent
    • Данные по открытым TCP портам клиентского устройства, получаемые в результате отложенного/периодического NMAP-сканирования устройства после авторизации и им получения IP адреса
    • Данные по значению атрибутов hrDeviceDescr и sysDescr, получаемые в результате отложенного/периодического SNMP v2c -опроса устройства после авторизации и им получения IP адреса 

Данные, формируемые профайлером, автоматически дописываются в свойства эндпоинта (подключающегося устройства) при наличии в системе корректно настроенных правил профилирования: МАС группы для автоматического механизма, тройки Проверка-Правило-Политика для динамического механизма.

В дальнейшем правила аутентификации могут ссылаться на имеющиеся профили устройств в своих критериях совпадения.

  • No labels