СОИБ. Проектирование. Усиленная аутентификация на уровне сети

В своем блоге я уже делал несколько заметок по теме усиленной аутентификации ( например, эта ), и теме защищенного доступа к сети . Сегодня ещё одна заметка в продолжение.

Большинство организаций уже осознает проблемы с классическими паролями – с их большим количеством, запоминанием, подбором, потерей и т.п. и пытаются разработать дополнительное решение.

Но на пути внедрения усиленной аутентификации могут встать технические ограничения:

·  большинство бизнес-приложений организации может не поддерживать усиленную аутентификацию (об этом я писал в заметке )
·  в организации могут быть программно или аппаратно отключены USBпорты на АРМ пользователей, либо они могут быть опечатаны. А большинство средств усиленной аутентификации (токены, смарт-карты, биометрические сканеры) подключаются по USB
·  в организации может использоваться нестандартная служба каталогов (Linuxи LDAPили NovelleDirectory) а большинство средств усиленной аутентификации основаны на MicrosoftActiveDirectory
·  рабочие места пользователей могут работать под управлением ОС отличных от семейства Windows. Может оказаться сборная солянка Windows, Linux, MacOS, Android, iOSи т.п.  

В таких случаях нам на помощь приходит аутентификация и контроль доступа на уровне сети, которая не зависит от приложений и почти не зависит от устройств пользователей. Дальше привожу несколько вариантов решений на базе продуктаCiscoISE.

Вариант 1. Аутентификация на уровне сети интегрированная с аутентификацией в eDirectiry (нет усиления аутентификации, но есть дополнительный контроль доступа)




Вариант 2. Аутентификация на уровне сети по сертификатам (при этом сертификат и закрытые ключи могут хранится как на съемном носителе, так и на виртуальном токене, так и в сетевых каталогах)


Вариант 3. Аутентификация на уровне сети по SMS на мобильный телефон сотрудника