Как оказалось, ничто не ново под луной и идея проверки пользователей перед подключением к какому-либо ресурсу возникает в реальной жизни достаточно часто. Например, если вы посетите офис Cisco и захотите выйти в Интернет, то вам будет предоставлен гостевой доступ, для получения которого вам надо будет на специальной Web-страничке указать свой логин и пароль, полученные на reception или от человека, к которому вы пришли на встречу (а они в свою очередь оформляют такой доступ на специальном гостевом портале). С аналогичным сервисом мы сталкиваемся в гостиницах или кафе, желая воспользоваться платным или бесплатным выходом во Всемирную сеть. И вообще примеров гостевого доступа в Интернет, при котором требуется указание каких-либо реквизитов, может быть предложено большое множество. Так что если вдуматься и отбросить эмоции, требования 758-го Постановления Правительства не являются чем-то уникальным с технологической точки зрения.
Любой из указанных сценариев может быть реализовать с помощью Cisco Identity Service Engine (ISE), который является централизованной системой контроля проводного и беспроводного, внешнего и внутреннего доступа. Есть в Cisco ISE и подсистема организации гостевого доступа (Guest Access), которая позволяет упорядочить и автоматизировать процесс гостевого подключения, состоящий из 4-х этапов:
- предоставление гостевого доступа и проверка привилегий
- уведомление гостя о создании гостевой учетной записи
- настройка работы гостевого портала и лиц, имеющих право предоставления гостевого доступа
- отчетность.
Проиллюстрирую данные этапы некоторыми скриншотами, которые лучше всего расскажут, что такое организация гостевого доступа с помощью Cisco ISE. Первый наш шаг — определить способ гостевого доступа. Гостевая учетная запись может быть создана так называемым спонсором, гостем самостоятельно или доступ может быть организован вовсе без создания учетной записи. В корпоративной среде обычно применяется первый метод, в общественных местах второй или третий. 758-е Постановление Правительства говорит только о втором способе подключения.
Следующим нашим шагом является указание информации, которую мы хотим получить от пользователя. Помимо имени и фамилии мы можем запросить и дополнительные сведения. Например, e-mail или номер мобильного телефона для отправки логина и пароля к учетной записи. 758-е Постановление требует указания еще и сведений о документе, удостоверяющем личность, что также возможно реализовать с помощью Cisco ISE.
По каждой учетной записи можно указать различные временные ограничения (например, число попыток входа, время жизни учетной записи) и принадлежность к группе, которой можно устанавливать дополнительные ограничения по доступу к различным внешним или внутренним (например, принтеру) ресурсам. Все сделанные настройки визуализируются в виде понятной блок-схемы.
При необходимости всегда можно проконтролировать созданные учетные записи и их статус. Например, статус “AWAITING INITIAL LOGIN” может означать как и только что созданную учетную запись, так пользователя, который направил запрос на гостевой доступ, но так им и не воспользовался.
После создания учетной записи пользователь должен получить логин и пароль (если мы включили режим доступа по логину/паролю, а не доступ без регистрации). Сделать это можно по-разному. Можно распечатать на принтере и принести гостю вместе с меню.
Можно отправить на e-mail (правда, у гостя должен быть к ней доступ):
А можно поступить и так, как упоминали в Минкомсвязи, — отправить реквизиты доступа по SMS.
Дальше пользователь осуществляет процедуру доступа, указывая на Web-странице в браузере полученные логин и пароль. Отображаться такая страница может по-разному. Например, по умолчанию страница гостевого доступа выглядит так:
Но такой вариант банален и мало кому интересен. С помощью Cisco ISE Template Builder можно создать собственные гостевые порталы (на разных языках, включая и русский, с использованием собственного стилевого решения, своим логотипом, оптимизацией под мобильные устройства и т.п.).
Очень интересным представляется возможность обязательного согласия с правилами предоставления гостевого доступа (так называемые политика допустимого использования, AUP). Несогласие с ней (например, в нее можно включить согласие на передачу и иные формы обработки персональных данных владельцем точки беспроводного доступа и определенных третьих лиц), может повлечь за собой отказ в доступе к бесплатному Wi-Fi.
Требование 758-го Постановления Правительства о хранении информации о доступе гостей в Интернет также может быть реализовано. Cisco ISE может визуализировать как высокоуровневую статистику гостевого доступа:
так и детальные сведения о посещаемых ресурсах. Также возможна регистрация и хранения идентификаторов устройств, используемых для гостевого доступа.
На этом можно было бы и завершить рассказ про способы реализации Постановления Правительства от 31.07.2014 №758, если бы не одно “но”. Остался неотвеченным вопрос “Как проверить достоверность сведений о документе, удостоверяющем личность?” Сразу скажу, что в самом Постановлении такого вопроса нет. В нем требуется всего лишь указание таких сведений, но не их проверка. Однако я допускаю, что такой вопрос может все равно встать. Можно ли его реализовать с помощью Cisco ISE? Да, можно.
Аналогичная задача нами реализовывалась в Турции для одного из крупнейших турецких банков, перед которым встала задача — обеспечить защищенный доступ клиентов к некоторым банковским ресурсам с обязательным предоставлением и проверкой паспортных данных. Кстати, в России также есть требование Банка России по проверке действительности паспортных данных для клиентов банков по базе Федеральной миграционной службы (ФМС). Может ли Cisco ISE решить такую задачу? Самостоятельно нет. К сожалению, разработчики Cisco не знают, как устроена работа ФМС или ГИБДД, через базы которых отдельные чиновники и депутаты предлагают проверять подлинность документа, удостоверяющего личность гостя, пожелавшего выйти в Интернет через бесплатный или платный Wi-Fi. Однако в Cisco ISE существует специальный ISE REST API для взаимодействия с внешними системами. Именно с помощью этого API и было разработано одним нашим партнером промежуточное ПО, которое получало реквизиты доступа (ФИО, номер паспорта, дата рождения, номер мобильного телефона) и отправляло их на проверку в государственную базу данных Турции. В случае положительного ответа то же промежуточное ПО создавало гостевую учетную запись на ISE и затем посылало SMS клиенту банка с реквизитами доступа. После установленного таймаута это же ПО удаляло временную учетную запись. Учитывая существование в России автоматизированных сервисов проверки действительности паспортов я не вижу больших сложностей “прикрутить” их к Cisco ISE.
Резюмируя, хочу отметить, что необходимость в гостевом доступе возникает в последнее время достаточно регулярно и с помощью системы контроля доступа Cisco ISE можно реализовать даже самые нетрадиционные сценарии такого подключения.
This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.
Комментариев нет:
Отправить комментарий