Есть ли смысл внедрять 802.1x в офисной сетке?

Приветствую, уважаемые!

Исходные условия


Есть несколько тысяч пользователей. Пользователи разбиты на «команды». У каждой команды свои специфически доступы как к ресурсам других команд, так и доступы наружу или в DMZ.

Реализовано это выделением VLAN-а на команду и помещением членов конкретной команды в свой VLAN. Последний терминируется на L3 устройстве распределения-ядра (в смысле функции объединены в одном). На каждом из этих SVI соответственно ACL, который и регламентирует куда могут-не могут ходить пользователи.

Проблема


Если пользователь переезжает, а такое бывает часто (причём порой целыми командами), то обычно попадает в «чужой» VLAN, ибо IT-служба не предупреждается о переезде. Попадая не туда, соответственно, теряются все доступы, работа тормозиться, сыпятся заявки и прочее.

Задача


Превентивно решать эту проблему. Понятно что можно (да и скорее всего нужно) решать административно, но обстоятельства вынуждают решать технически.

Возможное решение


Использовать 802.1x с доменной авторизацией. Сначала (до авторизации) станция пользвателя попадает в VLAN-песочницу, откуда доступен RADIUS, например. Далее пользователь авторизовывается, его порту назначается необходимый VLAN, все доступы и счастье. Не авторизовался — попадает в гостевую сеть.

Вопросы хабрасообществу


Это вообще реализуемо как я себе это представил? Кто-нибудь так делал? Какие минусы и плюсы?


Спасибо.
  • Вопрос задан
  • 5311 просмотров
Решения вопроса 1
@JDima
Реализуемо именно в таком виде и ИМХО вполне целесообразно в вашем случае. Более того, есть продвинутые решения на эту тему: ISE. Там можно сделать и так, что если на компьютере не обновлен антивирус или не стоят последние патчи — доступа не будет кроме как до серверов обновлений. И вообще, одним из факторов аутентификации будет компьютер: не получится принести личный ноутбук, воткнуть его в сеть и вбить в .1x свои учетные данные или сертификат. Ну и ACLы можно ставить не на SVI, а сразу на порт пользователя. Автоматически. Загружаемые или заранее вбитые в глобальную конфигурацию.
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
@bondbig
Реализовано давным давно, имеет различные названия — network access control, network admission control, network access protection и так далее. Есть у многих производителей, у циски раньше называлось Cisco NAC, теперь более продвинутая версия называется ISE, как подсказали выше. Есть у симантека, у чекпоинта, даже у MS встроено начиная с Server 2008 и Win7 (MS NAP).
Ответ написан
foxmuldercp
@foxmuldercp
Системный администратор, программист, фотограф
MS NAP, с Cisco ACS можно сделать, работает в Xp, Win7/8, скорее всего в линуксах. Даже на некоторых сетевых принтерах может работать. Если вменяемые Вифи — то и там тоже
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы