Identyfikacja użytkownika – wyzwania w sieciach enterprise i ISP

Identyfikacja użytkownika jest podstawą procesów AAA (ang. authentication, authorization, accounting), czyli uwierzytelnienia, autoryzacji oraz rozliczania aktywności w sieci. Zarówno struktury przedsiębiorstw, jak i operatorów telekomunikacyjnych wymagają potwierdzenia tożsamości użytkownika (uwierzytelnianie) w celu nadania mu uprawnień dostępu do zasobów lub usług (autoryzacja) oraz gromadzenia danych o przeprowadzonych działaniach (rozliczanie). Dzisiejsze sieci często nie ograniczają się do zidentyfikowania samego użytkownika, ale także urządzenia, z którego użytkownik korzysta. Największym wyzwaniem jest wdrożenie sprawnych mechanizmów zapewniających bezproblemowe potwierdzenie tożsamości, przydzielenie odpowiednich praw czy przywilejów oraz wykonanie audytu. Połączenie ze sobą poszczególnych repozytoriów danych wymaga technologii charakteryzujących się skalowalnością i wydajnością niezbędną do przeprowadzenia uwierzytelnienia i autoryzacji bez uszczerbku na jakości dostarczanych usług.

Uwierzytelnianie (ang. authentication)

Uwierzytelnianie przeprowadzane jest z wykorzystaniem różnych metod. Począwszy od prostego podania identyfikatora i hasła, poprzez rozszerzenie o PIN z tokena, parametry biometryczne, po indywidualne certyfikaty.

Użycie tokena sprzętowego lub software’owego jest jedną z form 2FA (ang. two factor authentication), w innych przypadkach token może być np. wysłany mailem lub SMSem. W obu sytuacjach potrzebny jest serwer uwierzytelnienia, który będzie gromadził dane użytkowników oraz wymieniał informacje z urządzeniami sieciowymi. Urządzenia sieciowe muszą w tym celu obsługiwać protokoły takie jak LDAP i RADIUS.

System uwierzytelniający często musi obsługiwać też konta tymczasowe w celu nadania dostępu gościnnego oraz możliwości samodzielnej rejestracji.

Obecnie dostęp gościnny kojarzy się przede wszystkim z sieciami bezprzewodowymi. Z drugiej strony sieci bezprzewodowe pełnią pełnoprawną rolę w strukturze IT, dostęp dla pracowników powinien więc być uzależniony od uwierzytelniania za pomocą silnych mechanizmów. Stosowane w tym przypadku protokoły EAP (ang. Extensible Authentication Protocol) wymagają współpracy z rozwiązaniami PKI dostarczającymi certyfikaty oraz funkcje ich weryfikacji. Tunel EAP pomiędzy stacją użytkownika a serwerem RADIUS wymaga sprawdzenia identyfikatora i hasła, certyfikatu serwera, a w niektórych wersjach EAP także certyfikatu klienta. Certyfikaty stosowane są również przy połączeniach zdalnych VPN.

Serwer uwierzytelnienia przechowuje listę użytkowników w swojej bazie danych lub korzysta z zewnętrznych zasobów np. Active Directory. Jeżeli mamy uregulowany proces zarządzania kontami użytkowników, możemy przejść do autoryzacji.

Autoryzacja (ang. authorization)

Autoryzacja jest niezbędna do podjęcia decyzji: czy użytkownik ma prawo dostępu do sieci:

  • infrastruktura przewodowa lub bezprzewodowa przedsiębiorstwa, sieć operatora, np. DSL lub komórkowa, połączenia zdalne VPN;

  • do jakiej podsieci powinien trafić użytkownik: VLAN, VRF;

  • do jakich zasobów powinien mieć dostęp w ramach np. polityki firewall;

  • jakie usługi mają zostać zastosowane dla ruchu generowanego przez użytkownika: kontrola aplikacji, filtrowanie odwiedzanych stron WWW, DLP, ochrona na poziomie AV, IPS. Dotyczy to użytkowników sieci przedsiębiorstwa w ramach kontroli dostępu czy wykorzystania pasma oraz abonentów w sieciach operatorskich w ramach dostarczania usług dodanych np. ochrony AV czy kontroli rodzicielskiej.

Uzyskanie autoryzacji wymaga sprawdzenia identyfikatora użytkownika i przyznania odpowiedniego poziomu uprawnień czy usług. Głównym zadaniem implementowanych rozwiązań jest skuteczne przekazanie tych poświadczeń do punktów kontroli, np.: przełączników, kontrolerów WLAN, routerów, firewalli, aplikacji webowych. Każdorazowe uwierzytelnianie użytkownika przy próbie dostępu jest mało komfortowe (konieczność wielokrotnego podawania tych samych poświadczeń), a także problematyczne z punktu widzenia stosowanych aplikacji i niezbyt przyjazne, szczególnie w przypadku urządzeń mobilnych. Dlatego stosuje się całe spektrum technik SSO (ang. Single Sign On). Jeżeli użytkownik zostanie prawidłowo uwierzytelniony, jego tożsamość będzie uzupełniona o przynależność do odpowiedniej grupy a nadane prawa zostaną przekazane do sieciowych lub aplikacyjnych punktów kontroli.

Standardowe wdrożenie SSO w przedsiębiorstwie polega na integracji z Windows AD i przekazywaniu urządzeniom sieciowym zdarzeń związanych z zalogowaniem i wylogowaniem użytkowników z domeny. Przynależność do grupy AD determinuje uprawnienia i poziom zabezpieczeń / restrykcji np. w urządzeniu firewall czy UTM (ang. Unified Threat Management). Użytkownik sieci trafia na polityki, które wiedzą, jak traktować generowany przez niego ruch. Problem może pojawić się w sytuacji, jeżeli z jakichś powodów (błąd sieci, błąd oprogramowania czy konfiguracyjny) kontekst (adres IP, ID użytkownika, grupa) nie zostanie utworzony na firewallu. Z pomocą przychodzą tu mechanizmy przekierowania ruchu nieznanych użytkowników na portal uwierzytelniający. Jeżeli portal taki znajduje się na serwerze zapewniającym przesyłanie kontekstów związanych ze zdarzeniami logowania w domenie, to serwer jest w stanie wysłać do firewalli kontekst użytkownika także po jego zalogowaniu się na portalu – dzięki sprawdzeniu tożsamości na kontrolerach domeny. Taka koncepcja ma jeszcze jedną zaletę w postaci umożliwienia logowania SSO dla urządzeń niepodłączonych do domeny AD, np. tabletów, smartfonów, laptopów z systemem Linux.

W sieciach operatorskich wdrożenie SSO polega na przydzieleniu usług w zależności od identyfikatora abonenta. Jeżeli abonent uzyska dostęp do sieci, jego adres IP i nazwa mogą zostać przesłane (za pomocą pakietów RADIUS) do serwera polityk. Zadaniem serwera polityk jest przeszukanie bazy danych abonentów i uzupełnienie kontekstu o poziom usług, które powinny zostać zastosowane dla ruchu generowanego przez konkretnego abonenta np. AV, filtrowanie URL.

Mechanizmy SSO są zaimplementowane w rozwiązaniu FortiAuthenticator, które współpracuje z bramami bezpieczeństwa FortiGate. Konteksty użytkowników na FortiGate mogą być budowane za pomocą protokołu RADIUS lub FSSO (Fortinet Single Sign On). Wymuszenie uwierzytelnienia i autoryzacja zidentyfikowanego użytkownika dają kolejną wartość w postaci zapisania zdarzeń związanych z jego aktywnością. Dochodzimy więc do funkcji rozliczania (ang. accounting).

Rozliczenie (ang. accounting)

Rozliczanie bazujące na logach przechowujących informacje o przesyłanym ruchu, użyciu pasma, zdarzeniach związanych z bezpieczeństwem, pogwałceniem polityki (np. poufności danych) ma zastosowanie przy:

  • audycie bezpieczeństwa sieci,

  • billingowaniu usług,

  • statystykach wykorzystania zasobów i usług,

  • poszukiwaniu użytkowników działających niezgodnie z polityką.

W praktyce accounting realizowany jest poprzez gromadzenie logów generowanych przez elementy sieciowe lub aplikacyjne w sposób umożliwiający przeszukiwanie i korelację danych zawartych w tych logach. Dzięki zachowanej identyfikacji użytkownika wszystkie jego akcje są łatwe do sprawdzenia niezależnie od adresu IP, którym w danym momencie się posługiwał.

Na rynku istnieje wiele rozwiązań typu SIEM (ang. Security Information and Event Management), które zbierają dane z urządzeń sieciowych np. poprzez protokół syslog. Fortinet stosuje w tym celu rozwiązanie FortiAnalyzer pracujące z własną lub zewnętrzną bazą danych SQL. Logi z bram FortiGate przechowywane w bazie SQL mogą być przeglądane oraz przeszukiwane, a na ich podstawie generowane są raporty w formie graficznej w czasie rzeczywistym lub wg zaplanowanego harmonogramu. Możliwe jest wyszukiwanie i korelacja danych związanych z konkretnymi użytkownikami, grupami użytkowników oraz filtrowanie zintegrowane z zewnętrzną bazą LDAP. Przy zastosowaniu zewnętrznej bazy SQL administratorzy mogą dodawać własne tabele i budować raporty rozszerzone o dane zewnętrzne.

Podsumowanie

Techniki i mechanizmy identyfikacji, uwierzytelnienia, autoryzacji i rozliczania (AAA) muszą nadążać za rozwojem rozwiązań IT i zmieniającymi się potrzebami organizacji: przedsiębiorstw czy operatorów telekomunikacyjnych. Realizowane przez integratorów projekty dla klientów końcowych często wymagają zastosowania rozbudowanych powiązań pomiędzy dostępnymi repozytoriami użytkowników a sposobem wymuszenia polityki bezpieczeństwa. Fortinet rozwija funkcje swoich produktów: FortiGate, FortiMail, FortiWeb, FortiAnalyzer pod kątem AAA, ale widzi też rosnącą potrzebę doskonalenia serwera FortiAuthenticator. Okazuje się, że firmy integracyjne chętnie korzystają z gotowego produktu, który często wymaga jedynie poprawnej konfiguracji, bez konieczności tworzenia dodatkowych aplikacji. Z drugiej strony FortiAuthenticator daje się sprawnie integrować z zewnętrznymi bazami użytkowników oraz zarządzać przez API (ang. Application Programming Interface). Niezbędną dokumentację z przykładami konfiguracji można znaleźć na stronie: http://docs.fortinet.com/fauth. html.

Autorem tekstu jest Robert Dąbrowski, starszy inżynier systemowy, Fortinet

DLP expert magazyn
DLP expert 4/2013

Tekst pochodzi z magazynu DLP expert 4/2013 (7)- który bezpłatnie można pobrać tutaj: https://www.dlp-expert.pl/magazine

Źródło: Redakcja