ЭТС ТЕХНОЛОГИИ
NOMADIX.RU GROUP
Решения услуги гостевого доступа в Интернет
Истина — это то, что выдерживает проверку опытом. Эйнштейн А.
ДЛЯ ОПЕРАТОРОВ И ВЛАДЕЛЬЦЕВ ЗОН ОБЩЕСТВЕННОГО ДОСТУПА В ИНТЕРНЕТ

Безопасный гостевой доступ в Интернет на предприятиях

Гости, желающие отправлять и получать электронную почту, загружают свежую информацию со своих файл-серверов или ищут её в своих базах данных для выполнения заказов и поставок, проводя, таким образом, своё время в ваших офисах более продуктивно. Это накладывает на локальную сеть предприятия требования по предоставлению нового класса доступа, называемого «Гостевой доступ на предприятиях», и шлюзы Nomadix превосходно решают эти проблемы, делая гостевой доступ простым и безопасным.

В последние годы всё больше предприятий нуждаются в предоставлении лёгкого, простого в эксплуатации высокоскоростного доступа в Интернет людям, посещающим офисы, не увеличивая при этом риска для безопасности собственной сети. Такими посетителями являются, например, поставщики, консультанты, торговые менеджеры или служащие из других офисов.

Сеть для гостевого доступа на предприятии похожа на обычную сеть общественного доступа в хот спотах, однако она требует несравненно более высокой защищённости.

Сеть предприятия, обеспечивающая гостевой доступ, может быть подвергнута нежелательному воздействию со стороны часто меняющейся группы пользователей, которые совершенно неизвестны сетевому администратору. Без шлюзов Nomadix, предоставляющих доступ, будет всегда требоваться реконфигурация настроек компьютеров для подключения к местной локальной сети (IP-настройки, установки Proxy в браузерах). А это, в свою очередь, будет увеличивать риск для сетевой безопасности, которому будут подвергаться все компьютеры сети.
 

В зависимости от ожидаемого количества одновременно работающих в Интернете гостей Nomadix предлагает достаточно много конфигураций своих шлюзов для удовлетворения любых потребностей:

Для больших и средних сетей – это шлюз AG 5800, обрабатывающий от 300 до 4000 одновременно работающих гостей.

Для малых сетей – шлюз AG 2400, рассчитанный на  100 - 300 пользователей.

Для пользователя подключение к сети, управляемой Nomadix’ом, выглядит следующим образом. Пользователь запускает браузер и попадает на портальную страницу, путь к которой прописан в шлюзе. На ней пользователь вводит имя/пароль, предоставленные предприятием или роуминговым партнёром.

Благодаря запатентованной технологии DAT™  и функции Transparent Proxy шлюз Nomadix обеспечивает реальный plug&play доступ к сети. Любой компьютер с любой конфигурацией может подключаться к сети без необходимости реконфигурации IP, DNS, Gateway и Proxy установок. Даже имея статические настройки IP-адреса, компьютер всё равно сможет подключиться к сети предприятия, управляемой Nomadix’ом.

Шлюзы Nomadix поддерживают различные методы аутентификации пользователей в автоматическом режиме – UAM, 802.1x, Smart Client. Эти методы работают одновременно и прозрачно для пользователя.
 

UAM –Universal Access Method (аутентификация на WEB-браузере):

  • Имя/пароль(локальные или на RADIUS-сервере)
  • Кредитныекарты
  • XML

802.1x - используются различные EAP-стандарты (на RADIUS’е)

           - EAP (Extensible AuthenticationProtocol) методы:

  •  EAP - MD5 – аутентификация по имени/паролю
  •  EAP - SIM – аутентификация по SIM-карте (как в GSM-сетях)
  •  EAP - TLS – аутентификация на основе сертификата (как при SSL)

            - EAP - TTLS – туннельный TLS поддерживает аутентификацию по умолчанию и передачу имени/пароля по туннелю TLS

            - PEAP – защищённый EAP, обеспечивает аутентификацию по умолчанию и предохраняет от Man-In-The-Middle атак, используя TLS

Smart clients – встроенная поддержка пользователей систем GRIC, Boingo, IPass

 

После аутентификации работу пользователя в сети контролируют и поддерживают такие элементы Nomadix, как управление полосой пропускания (Bandwidth management),  iNAT (интеллектуальная трансляция адресов) и ограничение количества сессий (Session Rate Limiting).

Управление полосой пропускания (Bandwidth control Up/Down)

Данная функция позволяет администратору лимитировать полосу пропускания для каждого устройства (по МАС-адресу или имени пользователя). Полоса пропускания для каждого устройства может быть ассиметричной для приёма/передачи. Nomadix также способен управлять WAN-трафиком, обеспечивая полную управляемость полосой пропускания на границе сети. Эта функция формирует трафик таким образом, что предотвращает переполнение WAN-интерфейса входящими/исходящими пакетами, вследствие чего корпоративная сеть не будет испытывать возможного недостатка в пропускной способности, как в случае, если бы гостевой сервис на предприятии предоставлялся без применения этого механизма Nomadix.
 

Лимитирование количества одновременных сессий (Session Rate Limiting) .

Session Rate Limiting (SRL) позволяет устанавливать порог числа сессий в установленную единицу времени для пользователей гостевого сегмента с целью предотвращения переполнения сети. Если какой-то компьютер превышает лимит, то трафик от него будет прекращён до тех пор, пока не будут достигнуты установленные пределы. Чаще всего этим изолируются инфицированные компьютеры, генерирующие бесполезный или вредоносный трафик, о котором пользователь может и не подозревать. Более того, такие компьютеры могут быть автоматически занесены в «чёрный» список МАС-адресов нарушителей, истощающих дорогостоящие сетевые ресурсы.

Перенаправление исходящей почты (SMTP Redirection).

Большинство мобильных пользователей в первую очередь нуждаются в отправке/получении электронной почты, свободный доступ к которой возможен только при получении. При отправке же возникает проблема вследствие несовпадения адреса SMTP-сервера, указанного в mail-клиенте, с адресом SMTP-сервера в местной сети.

Функция SMTP Redirection призвана разрешить данную проблему и предоставить мобильным пользователям возможность пользоваться местным сервером для отправки писем. Nomadix распознаёт исходящие почтовые пакеты и перенаправляет их на указанный в настройках SMTP-сервер. Но получатель письма не видит в заголовке ничего особенного, как если бы письмо было отправлено обычным способом.
 

Интеллектуальный NAT (iNAT) – VPN plug&play.

Данная функция предоставляет такие преимущества, как:

- Существенно повышает степень использования дорогостоящихпубличных IP-адресовпри формировании одновременных VPN-соединений.

- Делает возможность VPN-соединений для неправильно (применительно к местной сети) сконфигурированных пользователей, значительно снижая эксплуатационные расходы на их техническую поддержку и повышая их степень удовлетворения от работы в данной сети.

- Сохраняет сетевую безопасность на том же уровне, как и при традиционной трансляции адресов, и в то же время обеспечивает безопасное VPN-подключение для мобильных пользователей к их корпоративной сети из зоны общественного доступа в Интернет.

- Динамически регулирует режим трансляции адресов во время пользовательской сессии в зависимости от типа пакетов.

- Поддерживает пользователей с частными статическими (типа192.168.х.х) или публичными (из разных подсетей) IP-адресами без необходимости изменения IP-настроек.
 

Пакетный фильтр Packet Filter.

Блокирует весь трафик от определённых WEB-адресов (по DNS-имени или IP-адресу) либо определённый трафик, зависящий от номера TCP-порта.

Шлюз Nomadix – это идеальное решение для любых сценариев и создаёт идеальную рабочую обстановку для всех гостей, которые хотели бы получить лёгкий в использовании и безопасный, защищённый доступ в Интернет без обременительной загрузки вашего IT-персонала.
 

Примеры сетевой архитектуры.

Задача №1. Гостевой доступ в Интернет в холлах/конференц-залах предприятия, используя имеющийся Интернет-канал.

Шлюз Nomadix подключается к свободному Ethernet-порту Интернет-роутера для разделения гостевого трафика и трафика от закрытой зоны предприятия.

Разделение осуществляется по VLAN’ам, Access List’ам или установкам firewall’а. Большинство роутеров Cisco содержат указанную функциональность.

Решение 1.

Самое простое  - шлюз подключается к роутеру. Попытки проникновения в сеть предприятия из гостевой зоны предотвращаются с помощью Access Control Lists роутера.

Решение 2.

Шлюз Nomadix использует определённый VLAN для прямого подключения к существующему роутеру. Благодаря VLAN разделение трафика выполняется на 2-м уровне, что является наиболее надёжным методом защиты сети предприятия. Гостевой и сетевой трафики находятся в разных VLAN’ах и широковещательных доменах.

Решение 3.

Ещё одна возможность заключается в подключении роутера к неиспользуемому trunk-порту VLAN-коммутатора. Затем к коммутатору подключается шлюз Nomadix, который оказывается в отдельном VLAN’е. В этой схеме трафики также разделены на 2-м уровне.

 

Задача №2. Гостевой доступ в холлах/конференц-залах с использованием отдельного Интернет-канала.

 
В этом сценарии шлюз Nomadix  подключается к Интернет, используя отдельное WAN-соединение. VLAN’ы могут использоваться на абонентской стороне сети для разделения трафика. Сеть предприятия в этом решении также отделена на 2-м уровне.

Задача №3. Гостевой доступ на предприятии из нескольких зон.

 
Третий сценарий является комбинацией шлюза Nomadix и точек доступа, поддерживающих VLAN в сочетании с множеством SSID. Комбинация общественных и частных (public  и private) беспроводных VLAN поддерживается в одной сети.

Гости предприятия, использующие беспроводной доступ, могут аутентифицироваться с помощью 802.1х в дополнение к универсальному методу UAM.

Как выглядит процесс подключения для гостя:

Шаг 1. Гость выбирает SSID гостевой сети.

Шаг 2. Гость открывает браузер и перенаправляется на портальную страницу.
 
 

Шаг 3. Гость вводит имя/пароль, предоставленные предприятием или роуминговым партнёром.

Шаг 4. Происходит подключение к Интернет.


 
 
 
 
 
 
ЭТС ТЕХНОЛОГИИ                                  NOMADIX.RU GROUP, 2013 г.