Контроль пользовательского доступа на основе технологии 802.1х и цифровых сертификатов

Контроль п/о рабочих станций (OS service pack, HotFixes)

Наличие последних обновлений антивирусных баз данных на рабочих станциях

Контроль техно-парка оборудования (серверы, ноутбуки, рабочие станции, персональные устройства КПК, принтеры, терминалы и т.д)

Контроль пользователей и привилегий доступа

LAN, WAN топология

Задачи и пути решения

Дизайн Active Directory

Пример контроля доступа

Сценарии

Задачи

Сетевой дизайн
Достигаемый результат

Посменная работа операторов, кассиров и т.д. Многопользовательская среда.

Удаленный доступ к ресурсам (из гостиницы, дома). Установление VPN, авторизация на уровне сети и на уровне приложений

Предоставление гостевого входа (доступ в интернет для заказчика, партнера)

Подключение принтеров, терминалов и других устройств, не поддерживающих 802.1x

2 Switch communicates with ACSv4.0 (Radius (EAPOL))
EAP-TLS Start (Client-Server)
RSA signature verification
Check CRL

3 Check in the local database, then check the external Active Directory
Certificate CN Comparison
Certificate SAN Comparison
Certificate Binary Comparison

4 Response from AD. Group mapping. Rules assignment (VLAN, timerange, etc) (Radius (EAPOL))
Radius AV-pairs
[64] Tunnel Type – “VLAN” (13)
[65] Tunnel-Medium-Type – “802” (6)
[81] Tunnel-Private-Group-ID – “vlan number”
Возможно ACL download!
[009/001] cisco-av-pair

5 Switch assign VLAN to the user's port. User start DHCP request. (DHCP, BOOTP)

6 Server assign IP address from a pool of this VLAN

Remote access permission (Dial-up or VPN)

Autoenrollment settings (Enroll certificate automatically)

Smart card removal behavior (Lock Workstation)

Users

Computers

Groups membership (Domain administrators, Domain users, Telecom)

Control local devices (USB, COM, IrDA,Bluetooth, Wi-Fi т.д.)

Сервер AntiVirus

Сервер Обновления

Сервер Аудита

Агентское П/О

Сервер Управления

Сервер AntiVirus

Серверы Доступа

Сервер Обновления

Агентское П/О