Dynamická segmentace Aruba: Nekompromisní bezpečnost i pro drátové sítě

6. 9. 2022

Sdílet

 Autor: TechData
Většina dnešních bezdrátových sítí má vysokou úroveň zabezpečení, kterou zajišťuje autentizace uživatelů, šifrování komunikace a služby centralizovaného firewallu. Ve světě drátových sítí však většinou tak vysoké úrovně bezpečnosti nedosahujeme. Porty jsou dokonce často zcela nezabezpečené, což představuje riziko. Prvním krokem k zabezpečení je implementace autentizace, ale můžeme udělat ještě daleko více. Pomocí dynamické segmentace lze nastavit stejnou úroveň zabezpečení jako u bezdrátových sítí.

V hlavní roli kontrolér

Hlavní výhodu v bezdrátových sítích představuje možnost tunelování veškerého provozu z access pointů do kontroléru, který následně aplikuje pravidla pro přístup do sítě (firewall), umožňuje filtrovat provoz na základě použité aplikace (Application visibility and deep packet inspection – AppRF), obsahu navštěvovaných webových stránek (Web Content Classification – WebCC) a aplikace kvality služeb (Unified Communication and Collaboration – UCC, což je obdoba QoS pro bezdrátové sítě). Tento stejný způsob zabezpečení je možné nasadit i v drátové síti, kde místo access pointů provoz do kontroléru tunelují switche. Kontroléry se tedy stávají ústředními prvky celé sítě a umožňují nasazení zcela konzistentních síťových pravidel pro drátovou i bezdrátovou síť.

Konzistence pravidel spočívá v tom, že nezáleží na tom, z jaké lokality a jakým typem připojení se uživatel do sítě přihlašuje. Vždy obdrží stejnou uživatelskou roli s patřičnými oprávněními. Ať se připojuje z notebooku k Wi-Fi v zasedací místnosti, nebo kabelem do zásuvky ve své kanceláři.

Dva režimy tunelování provozu

Pro tunelování provozu ze switche na kontrolér lze využít dva režimy:

  • Port-Based tunneling – v tomto režimu switch jednoduše odesílá veškerá data z vybraných portů na kontrolér, kde následně nastává autentizace uživatele a volba uživatelské role.
  • User-Based tunneling – v druhém režimu si switch volí, který provoz odešle do tunelu a který odešle lokálně. Toto rozhodnutí se děje na základě autentizace a lokálně přidělené role. Tunelovaný provoz je odeslán na kontrolér, kde je přidělena uživatelská role s pravidly pro přístup do sítě.

Obecně využívanějším režimem je User-Based tunneling, který v kombinaci s Aruba ClearPass Radius serverem dokáže zajistit větší automatizaci celého procesu, a to díky možnosti nastavení stahovatelných rolí z ClearPass serveru (downloadable roles). Switch v tomto případě odešle autentizační žádost na Radius server, který ověří uživatele nebo zařízení. Součástí odpovědi je i kompletní definice lokální role na switchi a atribut pro tunelování provozu spolu s uživatelskou rolí přidělenou na kontroléru. Pokud není v odpovědi obsažen atribut pro tunelování, provoz je odeslán lokálně ze switche.

bitcoin_skoleni

Jestliže se dnes rozhodujete, jakým způsobem lépe zabezpečit svou síť při zachování jednoduché implementace a správy, dynamická segmentace může být jednou z cest, kudy se vydat. Díky granulárním přístupovým oprávněním, která jsou založena na rolích vynucovaných dynamickou segmentací, lze efektivně zabezpečit síť a chránit ji před nechtěnými vnějšími vlivy. Další užitečné informace je možné získat na internetových stránkách Aruba Airheads Community (https://community.arubanet­works.com/home), případně na YouTube kanálu Airheads Broadcasting Channel (https://www.youtube.com/c/AB­CNetworking/featured).

Autorem článku je Václav Hauser, HPE Aruba technical specialist, Tech Data – A TD SYNNEX Company.

Autor článku