BYOD – „hozd a saját kütyüd” elv Az okostelefonok, táblagépek korát éljük, ezen eszközök jelentősen megkönnyítik mindennapjainkat, munkánkat. Mindenki a saját eszközét kívánja használni a munkahelyén is, ugyanakkor a legtöbb munkáltató már felismerte az ebben rejlő értéket, lehetőséget. Ezt a tendenciát nevezzük BYOD –nak, azaz a „hozd a saját „kütyüd” elvnek. Ezen igényre történő nemleges válasz valószínüleg egyre komolyabb problémákba ütközne. A dolgozók használni fogják saját eszközeiket akár az támogatott akár nem, ezzel a biztonsági kockázat magasra szökik a vállalati hálózaton belül, legyen szó adat vesztésről, a vállalati szabványoknak való nem megfelelőségről, adat szivárgásról. A megelőző BYOD stratégiák megmenthetik a vállalatát! Számos szervezetnél a BYOD még mindig nincs terítéken. Például az Ön munkahelyén a szeverzeti hálózat illetve a biztonsági architektúrák támogatják a nem menedzselt eszközök alkalmazását? Üljön akár az informatikai igazgatói székben vagy a helpdesk frontján Önnek szüksége van egy biztosítékra a kockázatos infrastruktúra elemkkel szemben, illetve az adatveszés elkerülése érdekében, melyek az új magánkézben lévő eszközök okoznak a hálózatra csatlakozva.
A legfontosabb kihívások a BYOD eszközök esetében Mivel a BYOD eszközök nem rendelkeznek LAN porttal, illetve a mobil hálózatok melyeket használnak, nem rendelkeznek vállalati hozzáférési szinttel, az optimális vállalati hozzáférési menet a WiFi hálózat lehet. A WiFi megfelelő telejítményt nyújt, megbízható, de ugyanakkor megvannak a kockázatai is mint: Kulcsfontosságú lehet a nem felügyelt eszközök belépési kontrollja a szervezeti hálózatra. A BYOD eszközökre kialakított biztonsági szabályok meghatározásának folyamatai, az intergráció biztonsága. Mindnezkre hathatós választ ad a Motorola WiNG 5 WLAN architektúra, mely segítségével a BYOD eszközök biztonsággal alkalmazhatóak a vállalaton belül! A dolgozók saját eszközeinek felügyelete A nem mendzselt eszközök hálózatra engedése rengeteg biztonsági kockázatot rejt, mint malware-ok, ezen malware-ok keltette vírusok, trójaik, spyware-k, root kit-ek, és egyéb támadások.
1
Egy megfelelő BYOD stratégia kialakításával a BYOD hozzáférhet a kritikus adatokhoz, biztonságos kapcsolaton keresztül. A rendszergazdáknak mindenképpen képesnek kell lenniük, hogy különbséget tehessenek a szervezeten belüli céges eszközök illetve a dolgozók által birtokolt privát eszközök között, felállítva bizonyos megkülönbözetető privilégiumokat eszközönként. Számba kell venni azon alkalmazásokat amelyekhez a BYOD hozzáférhet, mint email, naptár, ugyanakkor blokkolni kell olyan stratégiai elemeket mint az internet alapú pénzügyi modulok, HR, kereskedelemi alkamazások. A másik fontos kérdés, hogy miként lehet ezeket a privát eszközöket jelentős munkaerő és munkaidő igény nélkül regisztrálni a hálózatra, így automatizálni a hozzáférésüket, biztonságos kereteken belül a szervezeti hálózathoz. Természtesen ebben az esetben a legnagyobb akadály a heterogén hoszt eszközpark, mint különböző gyártók, különböző operációs rendszerek, változó verziók, és egyéb korlátozó tényezők. A harmadik kihívás, továbbra is biztosítani a hálózat teljesítményét, kapacitását. Egyértelmű, hogy egy BYOD szabály foganatosítása esetén a nem regisztrált eszközök száma rögtön ugrásszerűen megnőhet, ezáltal a sávaszélesség igény is megnő. Tehát az IT-nak előrelátóan fel kell készülnie a felmerülő sávszélesség igények kielégítésére.
2
WiFi hálózat tervezése
Manapság a legtöbb szervezet két párhuzamos WLAN hálózatot alkalmaz, egy biztonságos WiFi-t a céges eszközöknek illetve egy nyitott WiFi-t a vendég felhasználóknak. Az első fontos döntés, hogy a BYOD kapcsolatok a nyílt vendéghálózaton keresztül történjenek, vagy a biztosítot céges hálózaton keresztül, illetve ki lehet alakítani egy külön BYOD-nak fenntartott biztonságos hálózatot is. Az utóbbi megoldás igen rugalmas modell lehet, mivel a felhasznláók biznoságos hálózaton dolgozhatnak análkül, hogy a kötve lennének a vállalati szabályokhoz. Autentikáció A megfelelő autentikácós szabály kiválasztása kritikus lehet, mivel a BYOD eszközök csak meghatározott válallati alkalamazásokhoz férhetnek hozzá, ez természetesen a szevezettől függ. A szabálynak egyszerűenek kell lennie, illetve könnydén alkalmazhatónak kell lennie a teljes hálózaton keresztül. A legnépszerűbb autentikációs eljárások: Captive portal: Úgy is ismert mint „guest access” vagy „hotspot”, az eljárás lehetővé teszi a szegmentálást a VLAN/hálózat forgalma között. Egyszerűen beállítható, integrálható a meglévő szervezeti adatbázisba és együttműködik bármely eszközzel amely rendelkezik egy egyszerű böngészővel. A legnagyobb visszatartó erő ,hogy az eszközök egy nem biztonságos hálózaton dolgoznak, amely nem ajánlott vállalati felhasználásra. Ugyanakkor ez hasznos lehet olyan vendégeknek akiknek csupán internet hozzáférésre van szükségük.
3
WPA/WPA-2 PSK (Pre Shared Keys): Biztonságos vezetéknélküli kommunikációt tesz lehetővé, de a megosztott kulcs terjesztése szükséges a felhasználók között. Mivel ezen kulcsok az adott eszközökön vannak tárolva ezért az elveszett, ellopott eszközök, megnyitják a hálózatot a nem kívánt felhasználók előtt. 802.1x – Felhasználónév / jelszó vagy certfikáció alapon: A legnépszerűbb autentikációs eljárás a szervezeti hálózaton belül a céges eszközök számára WiFi-n. A 802.11x eljárás alapulhat felhaszánlónév, jelszó alapokon illetve cetrifikációkon egyaránt. A 802.1x nagyon biztonságos, illetve integrálható a meglévő vállalati Actvie Directory-ba illetve a domain kontroll is megerősítést nyer ezáltal. Sok esetben a vállalatok nem használnak 802.1 x alapú autentikációt, és inkább a PSK –t alkalmazzák, a Motorola WiNG 5 architektúra kettős szintű biztonságot nyújt, amely kombinálja az ún.: captive portal-t illetve a PSK-t. Ezáltal a privát eszközök belépése esetén a kulcs megadás illetve az autentikáció a captive portal-on keresztül egyaránt kötelező lesz minden egyes belépéskor. Ez a módszer kissé időigényesebb lehet, de a legoptimálisabb a használhatóság illetve a biztonság arányát illetően. Bejelentkezés A megfelelő eszköz beléptetés esetén az eszköz vezeték nélkül kapcsolódik a hálózatra minimális IT erőforásokat igényelve. Amint egy dolgozó próbál kapcsolódni saját eszközével a hálózatra a hálózat regisztrálja a felhasználó adatait és regisztrálja az eszközt a hálózatra. Amint regisztrált, az eszközt konfigurálni kell a kapcsolatnak megfelelően, a megfelelő alkalmazásokkal feltöltve. Hozzáférés szabályozás: A legfontosabb feladat a BYOD implementáció során a vállalati eszközök megkülönbözetése a privát eszközökkel szemben, illetve kijelölni a megfelelő hozzáférést minden egyes típusnak. A Motorola WiNG 5 rendelkezik egy felhasználói szerep alapú tűzfallal, mely különbséget tesz az egyes hozzáférési szintekben a felhaszálók „szerepe” szerint. Többszörösen paraméterezhetőek az egyes szerepek. Néhány kiemelt eljárás amely az eszközök csoportosítását célozza: Motorola WiNG 5 ún.: „Role-based” tűzfal amely egy integrált komponense annak a megoldásnak amely biztosítja a különböző felhasználói „szerep” köröeit az egyes eszközöknek, illetve lehetővé teszi a különböző típusú hozzáférési jogosultságok betartatását. Számos paraméter alkalmazható az egyes szerepkörök meghatározásához. Néhány általánosan használt módszer, amelyek segítségével osztályozhatóak az eszközök: Gépi autentikáció: Tegyük fel, hogy az Ön vállalatánál céges kibocsátású Windows alapú eszközök működnek, ezek csatlakoznak a vállalati domainhez illetve csatlakoznak a szervezeti hálózathoz. A nem céges kiadású Windowsos illetve a nem Windows alapú eszközök nem csatlalkozhatnak a céges domaihez. Fontos egy meglévő szabályzat amely meghatározza, hogy a szervezeti RADIUS szerver mely eszközöket hová csoportosítja, aszerint hogy azok rendelkeznek-e vagy sem a megfelelő autentikációval. Bármely eszköz amely átmegy mind a gépi illetve a felhasználói autentikáción, beilleszthető a céges eszközök csoportjába a RADIUS szerveren, ezáltal teljes hozzáférést biztosítva az eszköznek. Azon eszközök amelyek csak a felhasználói autentikáción mennek keresztül (vezetéknélküli autentikáció) és nem felelnek meg a gépi autentikációs eljáráson, automatikusan az ún..: dolgozói eszközök csoportjába kerülnek és csak korlátozott jogokkal rendelkeznek majd, így nem férhetnek hozzá pl.: a vállalati hálózathoz. A RADIUS szerver által kijelölt csoportokkal kapcsolatos információkat a Motorola vezetéknélküli kontroller, Motorola access point közvetlenül értelmezi, a standard RADIUS protokoll használatával,
4
és ezen információk felhasználásával a „Role Based” tűzfal megkezdi a hálózati hozzáférés szabályozását. A gépi autentikáció akkor lehet megfelelő választás ha a BYOD eszközök a vállalati WiFi-re csatlakoznak. Ujjlenyomat azonosítás: Az eszköz alapú ujjlenyomat azonosÍtási metódus jól alkalmazható a vállalati illetve dolgozói eszközök megkülönböztetésére, de az ujjlenyomat azonosítás nem lehet az alapvető megkülönbözetés eszköze. Az ujjlenyomat azonosítás nem működik amennyiben a céges eszköz illetve a magán eszköz ugyanolyan típusú. Az egyik legnépszerűbb eljárás az eszközök megkülönböztetésére az ún.: HTTP user agnet vizsgálat, MAC OUI illetve a DHCP csomagok, azonban ezek az információk sem minden esetben azonosítják egyértelműen az eszközt. SSID alapú osztályozás: Általános eljárás az eszközök osztályozására, lényege, hogy a különböző biztonságos SSID-ket hoznak létre a felhasználói eszközök számra. Az eljárás, egyszerű, rugalmas illetve hatékony is egyben, ugyanakkor számos eszköz típusnál kiválóan működik is. Ráadásul a megoldás független az operációs rendszerektől illetve ezek verziójátol, illetve a gyártótól is. Teljesítmény illetve kapacitás szabályozás WiNG5 segítségével. A Motorola WiNG5 megoldás beépített RF telejsítmény illetve kapacitás menedzsment képességekkel rendelkezik amely biztosítja, hogy a WiFi hálózata képes legyen dolgozó eszközökkel is együttműködni. Az olyan megoldások mint pl.: az okos sávszélesség kontroll illetve az okos „ load blalancing” biztosítják, hogy a felhasználók optimális hálózati hozzáférését szerete az elérhető spektrum sávban. Az ún fokozott „multicast” a video jelek hatékonyabb továbbítását biztosítja. Az olyan továbbfejlesztett QoS megoldások mint a sávszélesség kontroll illetve a „air time fairness” megoldás bizotsítja az vállalati alkalmazások teljes integrációját. IT stratégia Mielőtt megvalósítanánk a BYOD szabályzatot illetve eljárásokat, meg kell határozni az előzetes stratégiát: Mely céges alkalmazásokhoz férhetnek hozzá a dolgozói eszközökről? Milyen módon kezeljük az elveszett, ellopott eszközök problematikáját? Milyen módon töröljük távolról a dolgozók eszközeit? Összeállítani egy olyan listát melyen azon dolgozói eszközök szereplenek amelyek hozzáférhetnek kritikus adatokhoz is. A Motorola WiNG5 megoldása: BYOD hozzáférés biztonásogs hálózattal! A Motorola WLAN megoldásai rendelkeznek minden olyan komponenssel amely a biztonségos BYOD működtetéshez elengedhetetlen. A BYOD a teljes eszközpark heterogenitását jelenti, és míg a pl.: az iOS eszközök teljesítik az Apple MDM API-kkal szemben támasztott biztonsági követelményeket illetve az Android eszközök is hasonlóképpen az androidos API-kkal, ettől függetlenül bizonyos kliens lakalmazások telepítése szükséges lesz. A Motorola alapvetően két megoldást kínál az eszközökön alkalmazva őket: az egyik a Mobility Service Platform (MSP), és a másik a Cloudpath amely együttesen teljeskörű megoldást kínálnak a BYOD -ra.
5
Alapvető WiNG5 tulajdonaságok: Captive portal: A WiNG5 telejeskörű captive portal szolgáltatás nyújt így nem szükséges külön szerver eszközök beszerzése, miközben a felhasználó saját infrastruktúrát állíthat fel. Tulajdonságok:
Captive Portal a kontrolleren illetve az AP-n SSID- ként külön egyedi Captive Portalok Külső Captive Poartok integrálása HTTPS átirányítás Külső AAA szerverek integrálása a felhaszánló autentikálására Felhasználói adatok tárolása a kontrolleren illetve az AP-n Idő alapú hozzáférési szabályok „Time of the day” illetve „Day of the week” hozzáférési szabályok támogatása, ezáltal a felhaszálók saját eszközei csak munkaidőben férnek hozzá a rendszerhez.
Role Based tűzfal: A „Role based” tűzfal kulcsfontosságú a különbőző felhasználói jogosultások kiosztásában, meghatározásában, illetve a korlátozások szempontjából is. A WiNG 5 „Role-based” tűzfal egy rendkívül rugalmas megoldás a különböző szerepek kiosztása szempontjából, kifinomultan képes azonosítani a felhasználók eszközeit, azok tartózkodási helyét, az eggyüttműködő SSID-t, az alkalmazott titkosítást, autentikációs sémákat. A gépi autentikáció esetén, a szerepek kiosztása a RADIUS szerver által tárolt csoport paraméterek alapján történik amely a szervezeti AAA szervert használja. Ez esetben az eszköz osztályozás a gépi autentikáción alapul. Ajánlatos egy különálló biztonságos SSID-t alkalmazni a dolgozók eszközeire, ahol az egyes szerepek az SSID-re való csatlakozás alapján lesznek kiosztva. Pl.: Bármyle szervezeti SSID-n dolgozó eszköz szervezeti szerepkörrel lesz felruházva, ha aznoban az eszköz BYOD SSID-t kap akkor „csak” a BYOD-s szerep körökkel rendelkezhet majd. Mobility Service Platform (MSP): Az MSP egy teljeskörű mobil eszköz menedzsment megoldás, amely több tízezer eszköz kezelésére alkalmas, tekintet nélkül az eszköz típusára, gyártójára, operációs rendszerére. Az MSP automatikusan felveszi az eszközöket illetve ezáltal automatikusan felügyelet alá is vonja őket. Az MSP „provisioning” egyszerű előkészületi lépései: A rendszergazda konfigurálja a WiFi hálózati szabályokat az igényeknek megfelelően, SSID-vel, PSK autentikációval, illetve letölti azon voonalkódokat amelyek tartalmazzák a szabályzat adatait. A felhasználó letöltoi az MSP agent-et az Android Marketről illetve az App Store-ból, függően az eszköz típusától A felhasználó beszkenneli a megfelelő vonalkódokat az MSP kliensen keresztül (amelyek korábban emailen illetve akár a captive portal-on lettek továbbítva, illetve ki lettek nyomtatva) Az MSP agent konfigurálja az eszközöket amelyek így automatikusan csatlakoznak a biztonságos BYOD WiFi hez. Eszközök felvétele Cloudpath –on keresztül: A BYOD megoldások esetében ahol széleskörben, nagyszámú eszközt kell adoptálni a rendszerhez, a nem felühgyelt magán eszközök felvételének gyorsasága illetve egyszerűsége elengedhetetlen feltétel. CloudPath XpressConnect megoldása biztosítja, hogy a BYOD eszközök provítziója gyors és biztonságos ketretek között történjen.
6
A CloudPath XpressConnect nyújotta előnyök: Az XpressConnect széleskörűen támogatja a mobil eszközöket, így Windows, MAC, Ubuntu, iOS illetve Android korlátalnul adoptálható. Az XpressConnect automatikusan konfigurálja az SSID-ket a WPA-2 Enterprise-hoz illetve WPA2PSK-hoz. Az XpressConnect automatikus konfigurálja a CA tanusítványokat illetva a 802.1 x profilokat Az XpressConnect automatikusan generálja a CSR-t kliens gépen, amely kapcsolatba lép a CA-val a tanusítvány felvétele érdekében illetve automatikusan installálja a tanusítványt a kliens gépen.
1. Motorola WiNG 5 AP-k háromféle SSID-t szolgáltatnak: a. Az első SSID a céges eszközök számára, 802.1 x alapú autentikációval b. A második nyílt SSID az ún.: „Guest Access” opció mely lehetővé teszi a privát eszközök csatlakozását. Az SSID csak az első fázisban kerül használatra, amíg az eszközök letöltik a vezetéknélküli konfigurációt a BYOD SSID használatához. c. A harmadik SSID a biztonságos BYOD SSID teszi lehetővé a biztonságos BYOD hozzáférést a céges hálózathoz. 2. Az adminisztrátor az XpressConnect Administrative Console-t használja a hálózati beállítások definiálására, az eszközökkel kapcsolatos szabályzatokhoz, illetve letölti az XpressConnect varázsló alkalmazást 3. Az XpressConnect varázslója tárolódik a helyi web szerveren 4. Amikor a felhasználó csatlakozik a Guest SSID –re és megnyit egy böngészőt, automatikus továbbítódik a captive portal oldalra amely a WiNG5 AP-n vagy a WiNG 5 kontrolleren van tárolva. 5. A felhasználó begépeli a felhasználó nevet illetve jelszót amely autentikálja a vállalati Active Directory illetve az AAA szerint, ez biztosítja, hogy kizálólag csak az érvényes céges felhasználók eszközei regisztrálhassanak. 6. Amint a felhasználó autentikáció megtörtént, az XpressConnect varázslója konfigurálja a privát eszközt, BYOD SSID-hez való csatlakozás érdekében akár username illetve password akár tanusítvány alapon.
7
7. Ha tanusítvány alapon történik a regisztrálás, az XpressConnect varázsló automatikusan kapcsolatba lép a vállalati Certificate Authority-val és genrálódik egy kliens tanúsítvány illetve ez a tanúsítvány automatikusan installálódik a kliens eszközén. 8. A Motorola „Role-Based” tűzfal dinamikus elven kiosztja a tűzfal szabályokat illetve a különböző hálózati hozzáférési jogokat ezen eszközökre.
Összefoglaló: A Motorola WiNG5 WLAN megoldásai rendelkeznek minden olyan tulajdonséggal amely lehetővé teszi a WLAN hálózatok számára a biztonságos BYOD környezet alkalmazását. A Cloudpath-hoz hasonló megoldások lehetővé teszik a teljesen heterogén mobil eszközparkok használatát is. Motorola WiNG5 WLAN a Cloudpath-el együtt:
Biztonságos autentikáció, captive portallal illetve 802.1 x –el Minden típusú mobil eszköz osztályozható A privát eszközök teljes hozzáférés kontrollja A céges hálózat védettsége az elveszett, ellopot eszközök jelentette kockázattal szemben BYOD eszközök telepítése minimális IT erőforrás felhasználás mellett.
8
