Ponesi sa sobom svoj HP
Termin BYOD (Bring Your Own Device) opisuje politiku jednog preduzeća da omogući zaposlenima ili poslovnim gostima korišćenje ličnih prenosivih uređaja na radnom mestu, sa ciljem udobnijeg rada i povećanja produktivnosti.
Takva politika nosi sa sobom izazove vezane za bezbednost podataka i procesa, a u ovom kratkom pregledu pokušaćemo da adresiramo tehnologiju bezbedne implementacije.
Iako s korisničke strane pravilno implementirano rešenje izgleda relativno jednostavno, iza toga se nalazi kompleksan sistem. Pogledajmo prvo tipičan proces povezivanja korisnika na mrežu.
Korisnik se povezuje na zaštićenu ili otvorenu WiFi mrežu. DHCP server dodeljuje mu privremenu IP adresu iz namenskog WLAN‑a i paralelno prikuplja podatke vezane za tzv. fingerprinting proces (prikupljanje „otisaka“ ili tragova specifičnih za različite uređaje) koje DHCP Agent prosleđuje srcu BYOD sistema – HP IMC serveru sa UAM modulom. Gostujući korisnik koji se prvi put povezuje na mrežu pomoću DNS redirekcije preusmerava se na portal na kojem mu je omogućeno logovanje.
Fingerprinting je proces prikupljanja podataka i klasifikovanja uređaja i korisnika na osnovu tragova koje ostavljaju i sastoji se minimalno od sledećih elemenata: MAC adresa klijentskog uređaja (prva 24 bita identifikuju proizvođača, tzv. OUI), forme DHCP zahteva (različiti klijentski uređaji imaju specifična polja u okviru DHCP Request poruke), i inicijalnog HTTP zahteva (koji se preusmerava na specijalni portal) iz kojeg se može dobiti informacija o tipu browser‑a i operativnom sistemu korisnika.
Nakon dobijenog privremenog pristupa na autentifikacioni poral (putem statičkog korisničkog imena i šifre ili nekom od metoda dvofaktorske autentifikacije), centralni sistem pored fingerprint‑a uređaja raspolaže i podatkom o korisniku koji pristupa mreži. Za gostujuće korisnike moguće je obezbediti i tzv. sponzorisani pristup gde se unosi e‑mail adresa domaćina, koji mu potom e‑mail‑om šalje link i odobrava privremeni pristup mreži (ili delu mreže).
Po završetku procesa, centralni IMC sistem raspolaže sledećim informacijama pomoću kojih primenjuje neku od definisanih polisa pristupa: kredencijalima korisnika, vrtsom uređaja (laptop, tablet, telefon…), verzijom operativnog sistema i korišćenog browser‑a. U skladu s definisanom polisom, šalje CoA (Change of Authority) poruku, kojom signalizira klijentu da se „otkači“ od otvorene mreže i ponovo poveže s drugom WLAN mrežom, u drugom (produkcionom ili gostujućem WLAN‑u) i bez korisničke intervencije omogućava korisniku pristup mrežim resursima u skladu s definisanom polisom.
Kao što je napomenuto u uvodu, za korisnika je ovaj proces potpuno transparentan i ne zahteva posebne aplikacije niti specifične intervencije. Korisniku ceo proces deluje kao jednostavno povezivanje na WiFi mrežu (uz unošenje kredencijala prilikom otvaranja prve Web stranice). Da bi sistem ispravno funkcionisao, cela infrastrukutra treba da bude kvalitetno isplanirana i implementirana. Na prvom mestu tu je tradicionalna „žičana“ LAN mreža, sa opremom za podršku za RFC 5176 (ranije RFC 3576), centralno kontrolisano Wireless okruženje s podrškom za multiSSID Wireless, kao i međusobno uvezane komponente, kao što su centralizovani DHCP server s pripadajućim agentom, IMC sistem za nadzor i kontrolu mreže, i odgovarajući modul IMC‑a (UAM), zadužen za kontrolu pristupa i sprovođenje politika pristupa.
Milenko Markov
(Objavljeno u Časopisu PC#222)