Порядка 2500 студентов и 500 преподавателей и сотрудников университета Бригама Янга-Гавайи (BYU—Hawaii) живут, учатся и работают в одном из красивейших уголков земли. С чем здесь проблемы, особенно для небольшой университетской группы ИТ-специалистов, так это с проектами развертывания новых технологий в масштабе кампуса.
Наша ИТ-команда постоянно применяет новейшие средства защиты сети кампуса и 3 тыс. пользователей. Поставив перед собой цель непрерывно повышать безопасность сети, мы хотели обеспечить более надежную аутентификацию и авторизацию с использованием управления доступом по протоколу 802.1X. Проблема заключалась в том, чтобы подыскать подходящие решения, наилучшим образом сочетающие простоту развертывания и достаточную надежность обслуживания наших пользователей, чтобы возможные перерывы в таком обслуживании были приемлемыми.
Главным стимулом для этого нововведения стал то, что открытая беспроводная сеть университета позволяла любому, находящему в кампусе или поблизости от него, легко получить в нее доступ. Наш главный технолог Джим Нилсон распорядился подыскать решение, которое работало бы с имеющейся у нас инфраструктурой и было бы экономически оправданным.
Помимо очевидного риска подключения к сети кого угодно и любой машины была серьезная опасность, что этот кто-то получит важную информацию о пользователях беспроводной сети кампуса. Прежде наша команда не располагала средствами, позволяющими видеть, кто находится в сети или как она используется. Например, важно идентифицировать пользователей, которые делают нечто недозволенное с использованием сетевых ресурсов. Все студенты университета обязаны подписать кодекс честного поведения. Если кто-то нарушает требования кодекса, скажем, скачивает не предназначенные для этого материалы, ИТ-команда должна иметь возможность идентифицировать этого студента, как того требует служба, следящая за соблюдением кодекса поведения. Не имея средств для идентификации пользователей, практически невозможно сообщать о нарушителях.
Для решения этих проблем команда хотела прежде всего обезопасить беспроводную сеть, поставив перед собой долгосрочную цель одновременно также производить аутентификацию пользователей. Было решено, что лучшим способом является развертывание аутентификации по протоколу 802.1X — стандарта IEEE для управления сетевым доступом на базе портов. Это обеспечило бы более надежный механизм аутентификации для полномочных пользователей и устройств, пытающихся подключиться к сети.
Поскольку университетская сеть состоит из 240 точек доступа производства Cisco и Xirrus, ключевое требование передового опыта по обеспечению нормальной работы 802.1X заключалось в выборе нового решения в области аутентификации, которое функционировало бы в среде, состоящей из оборудования различных производителей.
Будучи клиентом Cisco, университет попытался воспользоваться решением Cisco Clean Access для защиты своей беспроводной сети, но столкнулся с трудноразрешимыми проблемами, касающимися удобства и надежности. Решение Cisco позволяет кому угодно подключиться к сети в качестве гостя. Кроме того, Cisco Clean Access требовало значительных усилий по конфигурированию и управлению профилями. ИТ-специалисты пришли к выводу, что для успешного развертывания 802.1X необходимо что-то другое.
Ознакомившись с новыми решения в области управления доступом на ежегодной конференции EDUCAUSE, университет организовал конкурс с участием новейшей версии Clean Access производства Cisco, Safe-Connect компании Impulse Point и платформой политики на базе идентификации eTIPS фирмы Avenda. Новое решение должно было успешно работать в среде 802.1X с точками доступа Cisco и Xirrus, коммутаторами Cisco и различными пользовательскими устройствами от ноутбуков и смартфонов до игровых консолей.
Учитывая прежний опыт знакомства с продуктом Cisco, конкурс свелся к выбору между Avenda и Impulse. В конечном итоге выяснилось, что система Avenda имеет богатый функционал, весьма конкурентоспособные технические характеристики и агрессивную цену. Помимо прочего, оказалось, что с этой компанией и легче работать. Это было важно, поскольку наша ИТ-команда состоит всего из трех специалистов, которым приходится обслуживать всю сеть и почти 3 тыс. пользователей.
Решение компании Avenda было единственным из найденных нами, которое без вспомогательных средств поддерживало аутентификацию и авторизацию по протоколу 802.1X в беспроводных, проводных и виртуальных частных сетях. Мы выбрали продукт Quick1X, который должен был помочь нам упростить настройку параметров 802.1X на устройствах пользователей. Мы считали, что автоматизация этого процесса сделает 802.1X прозрачным для конечных пользователей и уменьшит количество обращений в службу поддержки. Передовой опыт подсказывал, что важно выбрать такие компоненты, которые упростят создание политик, ускорят развертывание решения и обеспечат подготовку важнейших отчетов, наглядность данных и быстрое устранение неисправностей.
Необходимо отметить, что многие производители говорили нам, что для работы их продуктов нам следует изменить порядок эксплуатации наших систем. Многие вендоры ожидали, что мы вручную воспроизведем значительную часть информации о наших пользователях, и не позволили бы нам использовать атрибуты групп и пользователей, уже заданные в базах данных каталога Active Directory. Способность выбранных нами решений интегрироваться с мириадами источников данных, таких как Active Directory, позволила нам обеспечить безопасность тем способом, который больше всего подходил для нашей среды, вместо того, чтобы менять порядок нашей работы.
В результате этой модернизации ИТ-команда быстро начала контролировать и дифференцировать доступ к сети и определять, что делают в сети пользователи. Наша главная цель была достигнута, и теперь доступ в сеть стал нагляден, чего прежде не было. Сбор информации о пользователях, об использовании сети, о производительности беспроводной сети кампуса занимает считанные минуты.
Повышенная наглядность, достигнутая с помощью платформы аутентификации, позволила нам заняться конфигурацией устройств беспроводного доступа. Дополнительным плюсом стала положительная реакция пользователей на новое решение в связи с уменьшением количества проблем при подключении к сети. Ведь в ИТ отсутствие новостей — хорошая новость. Например, пользователям не приходится повторно проходить аутентификацию при перемещении из одной части кампуса в другую, как это было прежде. Это экономит время и силы студентов и преподавателей.
Поскольку система так хорошо работала в беспроводной сети, ИТ-команда стала подумывать об обеспечении безопасности других способов доступа в сеть. В будущем университет планирует использовать аутентификацию 802.1X также в проводной сети кампуса. Другая цель на будущее заключается в полной проверке подключаемых к сети устройств. Например, ИТ-команда сможет разрешать доступ в сеть только с тех из них, на которых установлены новейшие версии ПО для борьбы с вирусами и шпионящими программами, а также брандмауэра.
Резюмируя, можно сказать, что передовой опыт развертывания 802.1X требует начинать с составления хорошо продуманного плана, базирующегося на следующих положениях:
- проводные и беспроводные сетевые устройства должны поддерживать стандарт 802.1X;
- должна быть возможность использовать имеющиеся базы данных идентификационной информации;
- платформа авторизации, аутентификации, ведения учетных записей и управления сетевым доступом должна поддерживать среды, в которых используются продукты различных производителей;
- решение должно предусматривать простую настройку 802.1X на различных пользовательских устройствах с Windows, Mac OS и Linux;
- создание и тестирование политик должно быть простым и понятным;
- платформа авторизации, аутентификации, ведения учетных записей и управления сетевым доступом должна поддерживать различные способы аутентификации устройств и пользователей;
- решение должно включать инструменты, обеспечивающие наглядное представление сети и устранение неисправностей;
- платформа авторизации, аутентификации, ведения учетных записей и управления сетевым доступом должна предоставлять возможности для управления гостевым доступом и множеством организаторов (спонсоров);
- производитель должен разделять ваши цели.