Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej



Podobne dokumenty
11. Autoryzacja użytkowników

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

12. Wirtualne sieci prywatne (VPN)

Projektowanie Bezpieczeństwa Sieci Łukasz Jopek Projektowanie Bezpieczeństwa Sieci - Laboratorium. Konfiguracja NAP Network Access Protection

Instalacja Active Directory w Windows Server 2003

1. Zakres modernizacji Active Directory

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Palo Alto firewall nowej generacji

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

Opis przedmiotu zamówienia

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Asix. Konfiguracja serwera MS SQL dla potrzeb systemu Asix. Pomoc techniczna NIEZAWODNE ROZWIĄZANIA SYSTEMÓW AUTOMATYKI

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Linksys/Cisco RT31P2, WRT54GP2. Instrukcja Konfiguracji

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Teoria i praktyka wdrożeniowa zabezpieczeń NAC w oparciu o technologię Juniper UAC. Radosław Wal radosław.wal@clico.pl

Serwery LDAP w środowisku produktów w Oracle

WLAN bezpieczne sieci radiowe 01

Przewodnik technologii ActivCard

Laboratorium Ericsson HIS NAE SR-16

4. Podstawowa konfiguracja

Wykonać Ćwiczenie: Active Directory, konfiguracja Podstawowa

Profesjonalne Zarządzanie Drukiem

Praca w sieci równorzędnej

Digital WorkPlace według Aruba Networks. Robert Miros Network Solution Architect

Zdalne logowanie do serwerów

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

T: Wbudowane i predefiniowane domenowe grupy lokalne i globalne.

Przewodnik technologii ActivCard

Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x?

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik

DESlock+ szybki start

System Kancelaris. Zdalny dostęp do danych

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

Projektowanie bezpieczeństwa sieci i serwerów

Instrukcja konfiguracji funkcji skanowania

MONITOROWANIE WINDOWS Z NETCRUNCHEM 7 P A G E 1

EGZAMIN POTWIERDZAJĄCY KWALIFIKACJE W ZAWODZIE Rok 2018 ZASADY OCENIANIA

EGZAMIN POTWIERDZAJĄCY KWALIFIKACJE W ZAWODZIE Rok 2018 CZĘŚĆ PRAKTYCZNA

SPIS TREŚCI Błąd! Nie zdefiniowano zakładki.

Windows Server Active Directory

WINDOWS Instalacja serwera WWW na systemie Windows XP, 7, 8.

Marek Pyka,PhD. Paulina Januszkiewicz

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Przekierowanie portów w routerze - podstawy

PODŁĄCZENIE I KONFIGURACJA APARATU SIEMENS GIGASET A510IP (v )

SZYBKI START MP01. Wersja: V1.0 PL

Instalacja i konfiguracja konsoli ShadowControl Instrukcja dla użytkownika

Generacja paczki instalacyjnej F-Secure Client Security/Client Security Premium

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

TRX Konsola dyspozytorska - instrukcja obsługi

Instalacja i uruchomienie systemu. Materiał poglądowy dla instalatorów i firm wdrożeniowych

Uwaga!!! Autentykacja LDAP/AD zaimplementowana w Vigor wspiera tylko proste uwierzytelnianie (hasło przesyłane jest jawnym tekstem).

Instrukcja dla instalatora systemu SMDP Enterprise/Professional

Skonfigurowanie usług katalogowych Active Directory (AD)

EGZAMIN POTWIERDZAJĄCY KWALIFIKACJE W ZAWODZIE Rok 2018 ZASADY OCENIANIA

podstawowa obsługa panelu administracyjnego

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

GPON Huawei HG8245/HG8245T/HG8245H

Obsługa poczty elektronicznej w domenie emeritus.ue.poznan.pl

BRINET Sp. z o. o.

DESIGNED FOR ALL-WIRELESS WORLD

pasja-informatyki.pl

Szczegółowy opis przedmiotu zamówienia

Ćw. I. Środowisko sieciowe, połączenie internetowe, opcje internetowe

Formularz Oferty Technicznej

Bezprzewodowy router szerokopasmowy + 4-portowy przełącznik + serwer druku firmy Sweex

Black Box. Gateway. Bridge. Wireless ISP. Tryb Gateway.

Praca w sieci z serwerem

Nazwa kwalifikacji: Projektowanie lokalnych sieci komputerowych i administrowanie sieciami Oznaczenie kwalifikacji: E.13 Numer zadania: 01

Ćwiczenie 7 Sieć bezprzewodowa z wykorzystaniem rutera.

EGZAMIN POTWIERDZAJĄCY KWALIFIKACJE W ZAWODZIE Rok 2018 CZĘŚĆ PRAKTYCZNA

Połączenie VPN SSL Web Proxy. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Profile SSL Web Proxy 1.3. Konto SSL 1.4. Grupa użytkowników

Instrukcja konfiguracji systemów operacyjnych do korzystania z sieci eduroam

EGZAMIN POTWIERDZAJĄCY KWALIFIKACJE W ZAWODZIE Rok 2018 ZASADY OCENIANIA

Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH.

Seria wielofunkcyjnych serwerów sieciowych USB

Szkolenie autoryzowane. MS Projektowanie i wdrażanie infrastruktury serwerowej

INSTRUKCJA INSTALACJI SYSTEMU

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

Tomasz Greszata - Koszalin

EGZAMIN POTWIERDZAJĄCY KWALIFIKACJE W ZAWODZIE Rok 2018 ZASADY OCENIANIA

AM_Student. Instrukcja konfiguracji połączenia do studenckiej sieci bezprzewodowej Akademii Morskiej w Szczecinie

Bezprzewodowy ruter kieszonkowy/punkt dostępowy DWL-G730AP. Dysk CD z Podręcznikiem użytkownika. Kabel ethernetowy kat. 5 UTP

Kancelaria Prawna.WEB - POMOC

Roger Access Control System. Aplikacja RCP Point. Wersja oprogramowania : 1.0.x Wersja dokumentu: Rev. C

Instalacja i konfiguracja konsoli ShadowControl

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek poniżej:

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek

Windows Server 2008 Standard Str. 1 Ćwiczenia. Opr. JK. I. Instalowanie serwera FTP w Windows Server 2008 (zrzuty ekranowe z maszyny wirtualnej)

Windows Server Serwer RADIUS

SPECYFIKACJA ISTOTNYCH WARUNKÓW ZAMÓWIENIA

EGZAMIN POTWIERDZAJĄCY KWALIFIKACJE W ZAWODZIE Rok 2018 CZĘŚĆ PRAKTYCZNA

Instrukcja integracji systemu RACS 4 z centralami alarmowymi INTEGRA firmy SATEL

Instalacja i konfiguracja Symfonia.Common.Server oraz Symfonia.Common.Forte

Wprowadzenie do Active Directory. Udostępnianie katalogów

Transkrypt:

Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej Obserwowany w ostatnich latach znaczący wzrost zastosowań sieci bezprzewodowych i urządzeń mobilnych oraz dywersyfikacja urządzeń dostępowych do infrastruktury sieciowej powodują powstawanie nowych wyzwań w zakresie zapewnienia bezpieczeństwa udostępnianych zasobów. Istotne problemy w zakresie bezpieczeństwa, z którymi muszą na co dzień radzić sobie osoby odpowiedzialne to m.in.: dostęp pracowników firmy lub osób zewnętrznych do zasobów sieci LAN z poziomu urządzenia mobilnego, z którego złośliwy kod infekuje inne komputery w sieci, w tym serwery, nielegalne podłączenie komputerów przez osoby zewnętrzne (serwisantów, gości, pracowników kontraktowych, itd.) do sieci firmy (np. poprzez WiFi) i uzyskiwanie nieautoryzowanego dostępu do danych i aplikacji, infekcja komputerów i serwerów w sieci LAN przez złośliwy kod, którym zarażony został komputer pracownika podczas surfowania po Internecie i korzystania z niebezpiecznych i nie-produkcyjnych aplikacji. Dobrej jakości infrastruktura zabezpieczeń sieciowych powinna gwarantować możliwości zapewnienia podstawowych wymagań ochrony, takich jak: komputery pracowników uzyskują dostęp do sieci dopiero po pozytywnym zweryfikowaniu tożsamości ich użytkowników, komputery gości, serwisantów, pracowników kontraktowych, itp. uzyskują dostęp tylko do wyznaczonych zasobów i obszarów sieci, działania wszystkich użytkowników w sieci LAN są rejestrowane i nadzorowane. Nowoczesne systemy kontroli dostępu określane mianem Firewalli Nowej Generacji (NGFW Next Generation Firewall) dysponują wbudowanymi mechanizmami rozpoznawania tożsamości użytkowników. Pionierem i jednocześnie liderem rynku NGFW jest firma Palo Alto Networks, której rozwiązania posiadają rozbudowane funkcje w zakresie zarządzania dostępem do zasobów sieciowych w zależności od tożsamości użytkownika. Dostępne w urządzeniach Palo Alto Networks funkcje rozpoznawania użytkowników to: 1. Integracja urządzenia Firewall z zewnętrznym serwerem usług katalogowych (Microsoft AD, Open LDAP, Novell edirectory) poprzez kod agenta zainstalowany w domenie i komunikujący się z serwerem LDAP oraz z firewallem, 2. Odpytanie stacji roboczej metodą NetBios lub WMI o tożsamość zalogowanego użytkownika, 3. Przezroczysty dla użytkownika Captive Portal komunikujący się z przeglądarką z zastosowaniem protokołu NTLM, 4. Captive Portal z przekierowaniem użytkownika na stronę logowania. CLICO Sp. z o.o., ul. Oleandry 2, 30-063 Kraków; Tel: 12 6325166; 12 2927522... 24 ; Fax: 12 6323698; Oddział Warszawa, ul. Kijowska 1, 03-738 Warszawa; Tel: 22 5180270.. 72; Fax: 22 5180273 E-mail: support@clico.pl, orders@clico.pl.; http://www.clico.pl

Ten wszechstronny zestaw metod rozpoznawania użytkowników daje pełne możliwości w zakresie zarządzania dostępem do zasobów sieciowych w odniesieniu do użytkowników będących pracownikami firmy, a tym samym posiadającymi konto w firmowym repozytorium. Wyzwaniem pozostaje jednak spójne i scentralizowane zarządzanie dostępem do zasobów dla użytkowników zewnętrznych korzystających najczęściej z połączeń bezprzewodowych. Uwierzytelnienie użytkowników w ramach infrastruktury WiFi może być zrealizowane z zastosowaniem rozwiązania Aruba Networks. Pierwsza w wymienionych powyżej metod rozpoznawani tożsamości użytkowników dostępna na urządzeniach Palo Alto Networks zakłada komunikację firewalla z kontrolerem domeny AD za pomocą kodu agenta. W domyślnej konfiguracji agent pobiera informacje o zalogowanych w domenie użytkownikach wyłącznie z kontrolera domeny. Istnieje jednak możliwość sprzęgnięcia agenta z zewnętrznym systemem uwierzytelniania poprzez interfejs XML API (np. z systemem uwierzytelniającym dostęp do sieci WiFi). Informacje uzyskane zarówno z serwera LDAP jak i zewnętrznego systemu uwierzytelnienia są następnie przesyłane do firewalla centralnego i służą zapewnieniu spójnej polityki kontroli dostępu do zasobów. Poniższy rysunek przedstawia schemat komunikacji pomiędzy poszczególnymi komponentami biorącymi udział w procesie rozpoznawania tożsamości użytkowników. W dalszej części artykułu przedstawiono sposób konfiguracji firewalla i kodu agenta Palo Alto Networks oraz kontrolera wirtualnego Aruba Networks Instant wraz z systemem dostępu gościnnego ClearPass Guest co pozwala na dostarczanie do firewalla w czasie rzeczywistym informacji o tożsamości użytkowników korzystających z sieci bezprzewodowej, a tym samym kontrolowanie ich aktywności sieciowej. 2

Konfiguracja zabezpieczeń Palo Alto Networks Konfiguracja Agenta do współpracy z zewnętrznym systemem uwierzytelnienia polega na włączeniu opcji Enable User-ID XML API i podaniu nr portu usługi (User-ID XML API TCP port): 3

Konfiguracja firewalla PAN do współpracy z agentem: 4

Honorowanie tożsamości użytkowników na firewallu PAN będzie możliwe po włączeniu opcji Enable User Identification we własnościach strefy bezpieczeństwa, w której zlokalizowani są użytkownicy i ich urządzenia: Konfiguracja sieci bezprzewodowej Aruba Networks Wirtualny kontroler systemu Aruba Networks Instant umożliwia centralne sterowanie grupą punktów dostępowych, które znajdują się w tej samej sieci LAN. Nie jest konieczne posiadanie skomplikowanej infrastruktury z centralnymi kontrolerami sieci bezprzewodowej. Jeden z punktów dostępowych staje się wirtualnym kontrolerem, dzięki któremu punkty współdzielą konfigurację oraz oprogramowanie systemowe. Zarządzanie odbywa się przez przeglądarkę WWW. W kontrolerze wirtualnym Aruba Instant dostępne są funkcje znane z rozwiązania z centralnym kontrolerem WLAN, takie jak adaptacyjne zarządzanie systemem radiowym ARM (Adaptive Radio Managemet), wbudowany serwer RADIUS czy system ochrony sieci WIPS (Wireless Intrusion Protection System). Jedną z funkcjonalności wirtualnego kontrolera jest możliwość uwierzytelniania użytkowników przez przekierowanie na zewnętrzny portal WWW. Aruba Networks dostarcza rozwiązania do uwierzytelniania o nazwie ClearPass Guest. Jest to rozwiązanie posiadające wbudowany serwer WWW oraz serwer RADIUS. Portal WWW może być w dowolny sposób modyfikowany przez administratora w celu osiągnięcia pożądanego wyglądu. Portal może służyć zarówno do uwierzytelniania jak i do automatycznej rejestracji użytkowników. Dostępne są również opcje związane z usługami HotSpot, takie jak opłacanie usługi kartą kredytową. Konfigurację systemu dostępowego od strony serwera ClearPass należy rozpocząć od stworzenia wpisu dla klienta serwera RADIUS. W ramach konfiguracji należy określić adres urządzenia występującego jako klient serwisu RADIUS, hasło współdzielone oraz typ urządzenia NAS (klienta RADIUS). W systemie jest zdefiniowane wiele typów standardowych urządzeń RADIUS pochodzących od różnych producentów. 5

6

Kolejnym krokiem jest zdefiniowanie portalu dostępowego. W systemie może być zdefiniowanych wiele portali o różnym wyglądzie i przeznaczeniu. Nazwa strony portalu w naszym wypadku guest jest równocześnie wskazaniem, gdzie portal się znajduje jego adres to http://adres_serwera_clearpass/guest.php - taki też adres zostanie użyty do konfiguracji kontrolera Aruba Instant. Konfiguracja sieci bezprzewodowej do dostępu gościnnego odbywa się z pomocą narzędzia wbudowanego w kontroler Aruba Instant. Zdefiniowanie sieci gościnnej odbywa się przez wskazanie nazwy sieci (SSID) oraz typu dostępu (Guest). 7

Kolejnym krokiem jest zdefiniowanie sposobu przypisywania adresu IP dla klientów. Dla dostępu gościnnego z wykorzystaniem zewnętrznego systemu kontroli dostępu Palo Alto najlepszą opcją jest przypisanie adresu przez zewnętrzny serwis DHCP i połączenie sieci WiFi z LAN przez bezpośrednie połączenie w warstwie 2 (bridging). Należy również skonfigurować parametry dostępu do sieci gościnnej integrujące kontroler Instant z serwerem ClearPass. Należy wskazać serwer RADIUS, który przechowuje dane o kontach użytkowników oraz URL, gdzie ma być przekierowany użytkownik w celu autoryzacji. Parametry dostępowe (zakładka Access) można zostawić w konfiguracji domyślnej. Należy jeszcze w serwerze ClearPass skonfigurować połączenie z agentem Palo Alto. ClearPass Guest ma wbudowany moduł programowy do połączenia ze wspomnianym agentem. Wystarczy wskazać adres IP komputera, na którym zainstalowany jest agent. Istnieje możliwość zdefiniowania przed- i przyrostka, które będą przekazywane wraz z nazwą użytkownika np. nazwa sponsora. Pozostaje zdefiniowanie kont gościnnych. Użytkownikom przypisuje się role oraz definiuje sponsora. Istnieje możliwość delegowania uprawnień do tworzenia kont gościnnych odpowiednim użytkownikom zdefiniowanym na przykład w grupach Active Directory. Użytkownicy mogą również rejestrować się samodzielnie, a dostęp uzyskiwać dopiero po zaakceptowaniu konta przez sponsora. 8

Użytkownik po podłączeniu do sieci SSID gościnnej WiFi zostaje przekierowywany na portal autoryzacyjny systemu ClearPass. Po pomyślnym uwierzytelnieniu na portalu Aruba ClearPass informacje o zalogowanym użytkowniku oraz przydzielonym mu adresie IP są widoczne po stronie Agenta PAN: 9

a tym samym dostępne na firewallu: Administrator firewalla może zrobić użytek z informacji o zalogowanych do sieci WiFi użytkownikach dostrajając stosownie politykę kontroli dostępu, tak aby konkretni użytkownicy mieli dostęp wyłącznie do wybranych obszarów sieci i aplikacji: 10

Kolejny zysk z rozpoznania tożsamości użytkowników to możliwość pełnego wglądu i monitorowania aktywności sieciowej użytkowników. Dzięki współpracy rozwiązań Palo Alto Networks Next Generation Firewall oraz systemu zarządzania dostępem do sieci bezprzewodowych Aruba Networks uzyskujemy gwarancję, że żadne działania sieci nie pozostaną anonimowe. Ma to ogromne znaczenie z uwagi na dyrektywę 2006/24/EC Unii Europejskiej, nakazującej przechowywanie danych związanych z dostępem do zasobów sieciowych umożliwiających jednoznaczną identyfikację użytkowników. 11

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres