Вы здесь

Cisco Secure Access Solutions 02 Управление идентификацией

Identity или идентификация - это процесс определения личности. Например человек может просто назвать своё имя, подписаться или показать документ с фотографией.

Конечно, любой человек может к вам подойти и сказать "меня зовут Алексей". Но для того, чтобы повысить степень правильности идентификации, нужно какое-то средство - например водительские права с фотографией и именем, т.е. когда у человека есть то, чего нет у других.
Другим способом идентификации может служить имя и пароль, т.е. когда человек что-то знает, что другие не знают.

Таким образом для выполнения Authentication используются метод(ы) Identity. Т.е. ввод username/password - это один из методов Identity.
Понятно, что для большей надежности нужно использовать наиболее изощренные методы Identity или их совокупность.

Identity Stores

Identity Store - это БД где хранятся credentials, необходимые для выполнения authenticate пользователя или устройства.
Identity Store может быть internal или external, а мы можем комбинировать их использование через identity source sequence.
Cisco Identity Services Engine и Cisco Secure Access Control Server могут использовать internal identity database, а также external identity databases.

В качестве external identity sources может использоваться:
- Microsoft Active Directory (AD)
- Lightweight Directory Access Protocol (LDAP)
- one-time password (OTP) servers
- smart cards
- certificate authorities (CAs)

Internal Identity Stores

Cisco ISE имеет на борту Identity Stores.
Identity Stores бывают двух типов:
- internal user database для хранения internal username и password.
- internal endpoint database для хранения endpoint devices.

Одно из применений internal user database это аутентификация и авторизация guest accounts.
Там же можно хранить и административные учетки.
Каждую учётку можно ассоциировать с одной или более User Identity Group.
Группы позволяют группировать юзеров с одинаковыми правами.

Для успешной аутентификации Internal Identity Store должна входить identity source sequence. Далее identity source sequence может быть использована в политиках ISE authentication и authorization.

External Identity Stores

External Identity Stores используются для интеграции Cisco ISE с существующей authentication infrastructure.
Понятно, что лучше использовать одну БД, чем плодить несколько.

Active Directory

Самая популярная External Identity Store.
Позволяет использовать учетки AD, а также их членство в группах AD и другие атрибуты этих учеток.
Для использования AD ISE должна присоединиться к домену AD.
Также есть поддержка нескольких доменов.

ISE 1.2 поддерживает версии AD: 2003, 2008, 2008 R2, 2012.

LDAP

Lightweight Directory Access Protocol (LDAP) использует TCP в соответствии с RFC 2251.
LDAP используется для интеграции с сервисами:
- Active Directory
- Sun Directory Server
- Novell eDirectory
- Oracle Identity Manager
- IBM Tivoli Identity Manager (TIM)

Two-Factor Authentication

Обычно в корпоративных сетях user identities базируются на Username и статическом пароле. В зависимости от политик, пароль должен периодически меняться.
Здесь основным недостатком является возможность перехвата имени/пароля.

Мы можем сделать доступ в сеть более безопасным через использование two forms of identity или two-factor authentication.
Типичный пример two-factor authentication это банковская карта: для того, чтобы снять деньги с банкомата мы должны иметь при себе банковскую карту, т.е. "то, что есть только у нас". Плюс мы должны ввести PIN, т.е. "то, что знаем только мы".

One-Time Password Services

One-time password (OTP) services это еще один вид two-factor authentication, где нам также нужно что-то иметь на руках, и что-то знать.
На руках нужно иметь hard or soft token card.
Hard token card это может быть к примеру credit card, USB token key.
Soft token - это специальное приложение, установленное на компе.

Например, запустив приложение Soft token, мы должны ввести в него наш PIN. В ответ приложение сгенерирует одноразовый пароль.
Этот полученный OTP мы и будем использовать собственно для логина в сеть VPN.

OTP systems используют два типа алгоритмов работы:

  • Time synchronization method - гарантирует уникальность one-time password. На Hard token device настроены часы, которые синхронизированы с OTP authentication server. Сихронизация критична для отслеживания последовательности одноразовых паролей и обычно система принимает last generated password, the current password, and the next password in sequence.
  • Mathematical algorithm - использует предыдущий OTP для генерации следующего OTP.

Сгенерированный OTP подходит лишь для одной сессии, поэтому системы OTP не подвержены уязвимости через перехват этого пароля.

Smart Cards

Смаркарты или пластиковые карты с интегрированным чипом - могут быть использованы как средство для идентификации.
Данная идентификация может быть использована как метод для аутентификации для безопасного доступа к сети.

Common access card (CAC) - это тоже Smart Card с чипом внутри. Позволяет использовать two-factor authentication, т.е. пользователь должен вставить карту в Card reader и затем ввести PIN.

Smart Cards используют X.509 certificates, которые используют public key infrastructure (PKI).
Самый известный пример Smart Card - это банковская карта.

Certificate Authorities

Вообще Certificate - это электронный документ, созданный для идентификации пользователя, устройства или web-сайта.

Чаще всего Сертификаты используют стандарт X.509, который является стандартом PKI.

Что же такое сертификат.
Очень близко к этому понятию подходят водительские права:
После сдачи экзамена по вождению, мы получаем водительское удостоверение в ГИБДД.
ГИБДД это контора, которой доверяют все инспектора, которые могут нас остановить и потребовать права для проверки.
Для того, права нельзя было подделать, этот документ имеет защитную ленту, печать, голограмма и другие средства защиты от подделки.

Сертификат X.509 очень похож на водительские права, - он используется для идентификации пользователя, устройства, приложения. Сertificate authority (CA) является гарантом подлинности сертификата, и подлинность обеспечивается с помощью электронной подписи.

Что делает инспектор при остановке машины:

  • Проверяет, что водительские права не являются подделкой
  • Удостоверяется что, права принадлежат конкретно этому водителю
  • Удостоверяется, что водительские права валидны и не просрочены
  • Инспектор пробивает права по базе, чтобы удостовериться что они не отозваны

В среде X.509 Cisco ISE будет выступать в виде Инспектора и выполнит следующие проверки:

  • Был ли данный сертификат выдан и подписан доверенной CA.
  • Проверка принадлежности сертификата клиенту
  • Проверка срока действия сертификата
  • Проверка сертификата через Certificate Revocation List

Has the Digital Certificate Been Signed by a Trusted CA?

Мы рассматриваем случай, когда client пытается подключиться к access device и предъявляет свой identity certificate.
В этом случае обе стороны должны доверять CA, которая выпустила этот сертификат.

Подпись (signing) сертификата проверяется в два этапа:
- Сертификат должен быть представлен в правильном формате x.509
- CA Public key должен храниться в БД Trusted Certificates. Также нужно разрешить client certificate trust для аутентификации.

Has the Certificate Been Revoked?

Каждый CA имеет сервис публикации списка отозванных сертификатов. Это делается двумя путями:

  • Certificate Revocation List (CRL) - это website, откуда можно скачать файлик с отозванными сертификатами.
  • Online Certificate Status Protocol - это запрос в реальном времени на БД CA. Запрос также идёт в формате HTTP

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Допустимые HTML-теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и абзацы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и абзацы переносятся автоматически.
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
Target Image