CLICO Sp. z o.o., ul. Oleandry 2, 30-063 Kraków; Tel: 12 6325166; 12 2927522 ... 24 ; Fax: 12 6323698; Oddział Warszawa, ul. Kijowska 1, 03-738 Warszawa; Tel: 22 5180270 .. 72; Fax: 22 5180273 E-mail: support@CLICO.PL, orders@CLICO.PL.; http://www.clico.pl

Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej

Obserwowany w ostatnich latach znaczący wzrost zastosowań sieci bezprzewodowych i urządzeń mobilnych oraz dywersyfikacja urządzeń dostępowych do infrastruktury sieciowej powodują powstawanie nowych wyzwań w zakresie zapewnienia bezpieczeństwa udostępnianych zasobów. Istotne problemy w zakresie bezpieczeństwa, z którymi muszą na co dzień radzić sobie osoby odpowiedzialne to m.in.:

dostęp pracowników firmy lub osób zewnętrznych do zasobów sieci LAN z poziomu urządzenia mobilnego, z którego złośliwy kod infekuje inne komputery w sieci, w tym serwery,

nielegalne podłączenie komputerów przez osoby zewnętrzne (serwisantów, gości, pracowników kontraktowych, itd.) do sieci firmy (np. poprzez WiFi) i uzyskiwanie nieautoryzowanego dostępu do danych i aplikacji,

infekcja komputerów i serwerów w sieci LAN przez złośliwy kod, którym zarażony został komputer pracownika podczas surfowania po Internecie i korzystania z niebezpiecznych i nie-produkcyjnych aplikacji.

Dobrej jakości infrastruktura zabezpieczeń sieciowych powinna gwarantować możliwości zapewnienia podstawowych wymagań ochrony, takich jak:

komputery pracowników uzyskują dostęp do sieci dopiero po pozytywnym zweryfikowaniu tożsamości ich użytkowników,

komputery gości, serwisantów, pracowników kontraktowych, itp. uzyskują dostęp tylko do wyznaczonych zasobów i obszarów sieci,

działania wszystkich użytkowników w sieci LAN są rejestrowane i nadzorowane.

Nowoczesne systemy kontroli dostępu określane mianem Firewalli Nowej Generacji (NGFW – Next Generation Firewall) dysponują wbudowanymi mechanizmami rozpoznawania tożsamości użytkowników. Pionierem i jednocześnie liderem rynku NGFW jest firma Palo Alto Networks, której rozwiązania posiadają rozbudowane funkcje w zakresie zarządzania dostępem do zasobów sieciowych w zależności od tożsamości użytkownika. Dostępne w urządzeniach Palo Alto Networks funkcje rozpoznawania użytkowników to:

1. Integracja urządzenia Firewall z zewnętrznym serwerem usług katalogowych (Microsoft AD, Open LDAP, Novell eDirectory) poprzez kod agenta zainstalowany w domenie i komunikujący się z serwerem LDAP oraz z firewallem,

2. Odpytanie stacji roboczej metodą NetBios lub WMI o tożsamość zalogowanego użytkownika,

3. Przezroczysty dla użytkownika Captive Portal komunikujący się z przeglądarką z zastosowaniem protokołu NTLM,

4. Captive Portal z przekierowaniem użytkownika na stronę logowania.

Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej

2 © 2012 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE

Ten wszechstronny zestaw metod rozpoznawania użytkowników daje pełne możliwości w zakresie zarządzania dostępem do zasobów sieciowych w odniesieniu do użytkowników będących pracownikami firmy, a tym samym posiadającymi konto w firmowym repozytorium. Wyzwaniem pozostaje jednak spójne i scentralizowane zarządzanie dostępem do zasobów dla użytkowników zewnętrznych korzystających najczęściej z połączeń bezprzewodowych. Uwierzytelnienie użytkowników w ramach infrastruktury WiFi może być zrealizowane z zastosowaniem rozwiązania Aruba Networks.

Pierwsza w wymienionych powyżej metod rozpoznawani tożsamości użytkowników dostępna na urządzeniach Palo Alto Networks zakłada komunikację firewalla z kontrolerem domeny AD za pomocą kodu agenta. W domyślnej konfiguracji agent pobiera informacje o zalogowanych w domenie użytkownikach wyłącznie z kontrolera domeny. Istnieje jednak możliwość sprzęgnięcia agenta z zewnętrznym systemem uwierzytelniania poprzez interfejs XML API (np. z systemem uwierzytelniającym dostęp do sieci WiFi). Informacje uzyskane zarówno z serwera LDAP jak i zewnętrznego systemu uwierzytelnienia są następnie przesyłane do firewalla centralnego i służą zapewnieniu spójnej polityki kontroli dostępu do zasobów.

Poniższy rysunek przedstawia schemat komunikacji pomiędzy poszczególnymi komponentami biorącymi udział w procesie rozpoznawania tożsamości użytkowników.

W dalszej części artykułu przedstawiono sposób konfiguracji firewalla i kodu agenta Palo Alto Networks oraz kontrolera wirtualnego Aruba Networks Instant wraz z systemem dostępu gościnnego ClearPass Guest co pozwala na dostarczanie do firewalla w czasie rzeczywistym informacji o tożsamości użytkowników korzystających z sieci bezprzewodowej, a tym samym kontrolowanie ich aktywności sieciowej.

Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej

3 © 2012 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE

Konfiguracja zabezpieczeń Palo Alto Networks

Konfiguracja Agenta do współpracy z zewnętrznym systemem uwierzytelnienia polega na włączeniu opcji „Enable User-ID XML API” i podaniu nr portu usługi (User-ID XML API TCP port):

Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej

4 © 2012 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE

Konfiguracja firewalla PAN do współpracy z agentem:

Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej

5 © 2012 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE

Honorowanie tożsamości użytkowników na firewallu PAN będzie możliwe po włączeniu opcji „Enable User Identification” we własnościach strefy bezpieczeństwa, w której zlokalizowani są użytkownicy i ich urządzenia:

Konfiguracja sieci bezprzewodowej Aruba Networks

Wirtualny kontroler systemu Aruba Networks Instant umożliwia centralne sterowanie grupą punktów dostępowych, które znajdują się w tej samej sieci LAN. Nie jest konieczne posiadanie skomplikowanej infrastruktury z centralnymi kontrolerami sieci bezprzewodowej. Jeden z punktów dostępowych staje się wirtualnym kontrolerem, dzięki któremu punkty współdzielą konfigurację oraz oprogramowanie systemowe. Zarządzanie odbywa się przez przeglądarkę WWW. W kontrolerze wirtualnym Aruba Instant dostępne są funkcje znane z rozwiązania z centralnym kontrolerem WLAN, takie jak adaptacyjne zarządzanie systemem radiowym ARM (Adaptive Radio Managemet), wbudowany serwer RADIUS czy system ochrony sieci WIPS (Wireless Intrusion Protection System).

Jedną z funkcjonalności wirtualnego kontrolera jest możliwość uwierzytelniania użytkowników przez przekierowanie na zewnętrzny portal WWW. Aruba Networks dostarcza rozwiązania do uwierzytelniania o nazwie ClearPass Guest. Jest to rozwiązanie posiadające wbudowany serwer WWW oraz serwer RADIUS. Portal WWW może być w dowolny sposób modyfikowany przez administratora w celu osiągnięcia pożądanego wyglądu. Portal może służyć zarówno do uwierzytelniania jak i do automatycznej rejestracji użytkowników. Dostępne są również opcje związane z usługami HotSpot, takie jak opłacanie usługi kartą kredytową.

Konfigurację systemu dostępowego od strony serwera ClearPass należy rozpocząć od stworzenia wpisu dla klienta serwera RADIUS. W ramach konfiguracji należy określić adres urządzenia występującego jako klient serwisu RADIUS, hasło współdzielone oraz typ urządzenia NAS (klienta RADIUS). W systemie jest zdefiniowane wiele typów standardowych urządzeń RADIUS pochodzących od różnych producentów.

Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej

6 © 2012 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE

Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej

7 © 2012 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE

Kolejnym krokiem jest zdefiniowanie portalu dostępowego. W systemie może być zdefiniowanych wiele portali o różnym wyglądzie i przeznaczeniu.

Nazwa strony portalu – w naszym wypadku guest jest równocześnie wskazaniem, gdzie portal się znajduje – jego adres to http://adres_serwera_clearpass/guest.php - taki też adres zostanie użyty do konfiguracji kontrolera Aruba Instant.

Konfiguracja sieci bezprzewodowej do dostępu gościnnego odbywa się z pomocą narzędzia wbudowanego w kontroler Aruba Instant.

Zdefiniowanie sieci gościnnej odbywa się przez wskazanie nazwy sieci (SSID) oraz typu dostępu (Guest).

Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej

8 © 2012 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE

Kolejnym krokiem jest zdefiniowanie sposobu przypisywania adresu IP dla klientów. Dla dostępu gościnnego z wykorzystaniem zewnętrznego systemu kontroli dostępu Palo Alto najlepszą opcją jest przypisanie adresu przez zewnętrzny serwis DHCP i połączenie sieci WiFi z LAN przez bezpośrednie połączenie w warstwie 2 (bridging).

Należy również skonfigurować parametry dostępu do sieci gościnnej integrujące kontroler Instant z serwerem ClearPass.

Należy wskazać serwer RADIUS, który przechowuje dane o kontach użytkowników oraz URL, gdzie ma być przekierowany użytkownik w celu autoryzacji. Parametry dostępowe (zakładka Access) można zostawić w konfiguracji domyślnej.

Należy jeszcze w serwerze ClearPass skonfigurować połączenie z agentem Palo Alto. ClearPass Guest ma wbudowany moduł programowy do połączenia ze wspomnianym agentem.

Wystarczy wskazać adres IP komputera, na którym zainstalowany jest agent. Istnieje możliwość zdefiniowania przed- i przyrostka, które będą przekazywane wraz z nazwą użytkownika – np. nazwa sponsora. Pozostaje zdefiniowanie kont gościnnych. Użytkownikom przypisuje się role oraz definiuje sponsora. Istnieje możliwość delegowania uprawnień do tworzenia kont gościnnych odpowiednim użytkownikom zdefiniowanym na przykład w grupach Active Directory. Użytkownicy mogą również rejestrować się samodzielnie, a dostęp uzyskiwać dopiero po zaakceptowaniu konta przez sponsora.

Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej

9 © 2012 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE

Użytkownik po podłączeniu do sieci SSID gościnnej WiFi zostaje przekierowywany na portal autoryzacyjny systemu ClearPass.

Po pomyślnym uwierzytelnieniu na portalu Aruba ClearPass informacje o zalogowanym użytkowniku oraz przydzielonym mu adresie IP są widoczne po stronie Agenta PAN:

Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej

10 © 2012 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE

a tym samym dostępne na firewallu:

Administrator firewalla może zrobić użytek z informacji o zalogowanych do sieci WiFi użytkownikach dostrajając stosownie politykę kontroli dostępu, tak aby konkretni użytkownicy mieli dostęp wyłącznie do wybranych obszarów sieci i aplikacji:

Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej

11 © 2012 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE

Kolejny zysk z rozpoznania tożsamości użytkowników to możliwość pełnego wglądu i monitorowania aktywności sieciowej użytkowników. Dzięki współpracy rozwiązań Palo Alto Networks Next Generation Firewall oraz systemu zarządzania dostępem do sieci bezprzewodowych Aruba Networks uzyskujemy gwarancję, że żadne działania sieci nie pozostaną anonimowe. Ma to ogromne znaczenie z uwagi na dyrektywę 2006/24/EC Unii Europejskiej, nakazującej przechowywanie danych związanych z dostępem do zasobów sieciowych umożliwiających jednoznaczną identyfikację użytkowników.