При сетевой авторизации устройств, не имеющих инструментов безопасного подключения (клиентских суппликантов протокола 8902.1Х) зачастую требуется организовать дополнительные проверки типа и легитимности устройства. Например, при авторизации IP телефонов, камер, принтеров, СКУД и другого оборудования желательно как минимум определить тип оборудования, и на его основе поместить подключение в заданный VLAN либо как-то иначе ограничить его доступ (ACL, dACL и т.п.). В сети может существовать несколько типов устройств, каждому из которых требуются свои сетевые правила, например: телефоны в телефонный VLAN + назначение признака Voice; принтеры в принтерный, причем допускать только собственные принтеры. Каждое устройство должно быть промаркировано к своему типу.

Подобное определение типа устройства называется профилированием. Это механизм, позволяющий на основе каких-то признаков понять, что подключающийся при МАВ-авторизации сетевой клиент - это например принтер, а не ноутбук.

Профилирование не является мерой обеспечения информационной безопасности. При желании злоумышленник может подделать данные профиля. Скорее, профилирование даёт сетевому администратору удобство в настройке сети так, чтобы не приходилось вручную прописывать настройки на каждом порту коммутатора.

WNAM 2 поддерживает следующие механизмы профилирования:

  • Автоматический. Анализ принадлежности МАС адреса устройства какой-то группе адресов. Сами группы формируются по списку МАС, вендору, типу адреса и так далее. Такое профилирование срабатывает автоматически при любой попытке RADIUS MAB и 802.1Х авторизации (проводной и беспроводной).
  • Динамический. В момент попытки RADIUS MAB авторизации производится запрос встроенного в WNAM 2 профайлера, кэш которого может содержать обработанные данные. Сами данные поступают в него асинхронно, из следующих источников:
    • Атрибуты RADIUS Accounting пакетов, несущие в себе CDP- и LLDP данные по порту коммутатора ЛВС. Этот способ предлагается механизмами Device Sensor коммутаторов Cisco и Huawei.
    • Сведения по CDP- и LLDP соседям на порту коммутатора ЛВС, получаемые асинхронным запросом коммутатора ЛВС по протоколу SNMP (v2c, v3) (все модели, поддерживающие SNMP и CDP/LLDP MIB)
    • Сведения об устройстве пользователя, получаемые через его браузер при веб-редиректе на гостевой портал (с релиза UPD4)
    • Сведения по опциям DHCP запроса клиента, и предложенному ему IP адресу, получаемые анализом DHCP-трафика агентом wnam-dhcp-profiler-agent
    • Данные по открытым TCP портам клиентского устройства, получаемые в результате его отложенного/периодического NMAP-сканирования после авторизации и получения IP адреса (с релиза UPD4)
    • Данные по значению атрибутов hrDeviceDescr и sysDescr, получаемые в результате его отложенного/периодического SNMP v2c/v3-опроса после авторизации и получения IP адреса (с релиза UPD4)

Данные, формируемые профайлером, автоматически дописываются в свойства эндпоинта (подключающегося устройства) при наличии в системе корректно настроенных правил профилирования: МАС группы для автоматического механизма, тройки "Проверка-Правило-Политика" для динамического механизма.

В дальнейшем правила аутентификации могут ссылаться на присвоенные профили устройств в своих критериях совпадения.

  • No labels