Wi-Fi по паспорту? Как реализовать технически

в 22:57, , рубрики: Cisco, guest, Беспроводные технологии, Блог компании Cisco, гостевой доступ, информационная безопасность

31-го июля Правительство Российской Федерации утвердило 758-е Постановление “О внесении изменений в некоторые акты Правительства Российской Федерации в связи с принятием Федерального закона "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей”, которое эксперты и журналисты очень быстро окрестили “законом о wi-fi по паспорту”. Мы сейчас не будем трактовать данный нормативный акт с точки зрения, пытаясь выяснить, распространяется он только на пункты коллективного доступа на “Почте России” или имеет более широкое применение. Этим пусть занимаются юристы. Мне бы хотелось посмотреть на его техническую реализуемость.

Как оказалось, ничто не ново под луной и идея проверки пользователей перед подключением к какому-либо ресурсу возникает в реальной жизни достаточно часто. Например, если вы посетите офис Cisco и захотите выйти в Интернет, то вам будет предоставлен гостевой доступ, для получения которого вам надо будет на специальной Web-страничке указать свой логин и пароль, полученные на reception или от человека, к которому вы пришли на встречу (а они в свою очередь оформляют такой доступ на специальном гостевом портале). С аналогичным сервисом мы сталкиваемся в гостиницах или кафе, желая воспользоваться платным или бесплатным выходом во Всемирную сеть. И вообще примеров гостевого доступа в Интернет, при котором требуется указание каких-либо реквизитов, может быть предложено большое множество. Так что если вдуматься и отбросить эмоции, требования 758-го Постановления Правительства не являются чем-то уникальным с технологической точки зрения.

Любой из указанных сценариев может быть реализовать с помощью Cisco Identity Service Engine (ISE), который является централизованной системой контроля проводного и беспроводного, внешнего и внутреннего доступа. Есть в Cisco ISE и подсистема организации гостевого доступа (Guest Access), которая позволяет упорядочить и автоматизировать процесс гостевого подключения, состоящий из 4-х этапов:

  • предоставление гостевого доступа и проверка привилегий
  • уведомление гостя о создании гостевой учетной записи
  • настройка работы гостевого портала и лиц, имеющих право предоставления гостевого доступа
  • отчетность.

Проиллюстрирую данные этапы некоторыми скриншотами, которые лучше всего расскажут, что такое организация гостевого доступа с помощью Cisco ISE. Первый наш шаг — определить способ гостевого доступа. Гостевая учетная запись может быть создана так называемым спонсором, гостем самостоятельно или доступ может быть организован вовсе без создания учетной записи. В корпоративной среде обычно применяется первый метод, в общественных местах второй или третий. 758-е Постановление Правительства говорит только о втором способе подключения.

Портал управления гостевым доступом

Следующим нашим шагом является указание информации, которую мы хотим получить от пользователя. Помимо имени и фамилии мы можем запросить и дополнительные сведения. Например, e-mail или номер мобильного телефона для отправки логина и пароля к учетной записи. 758-е Постановление требует указания еще и сведений о документе, удостоверяющем личность, что также возможно реализовать с помощью Cisco ISE.

Настраиваемые поля, требуемые для регистрации гостевой учетной записи

По каждой учетной записи можно указать различные временные ограничения (например, число попыток входа, время жизни учетной записи) и принадлежность к группе, которой можно устанавливать дополнительные ограничения по доступу к различным внешним или внутренним (например, принтеру) ресурсам. Все сделанные настройки визуализируются в виде понятной блок-схемы.

Визуализация настроек гостевого доступа

При необходимости всегда можно проконтролировать созданные учетные записи и их статус. Например, статус “AWAITING INITIAL LOGIN” может означать как и только что созданную учетную запись, так пользователя, который направил запрос на гостевой доступ, но так им и не воспользовался.

Список созданных учетных записей

После создания учетной записи пользователь должен получить логин и пароль (если мы включили режим доступа по логину/паролю, а не доступ без регистрации). Сделать это можно по-разному. Можно распечатать на принтере и принести гостю вместе с меню.

Пример распечатанных реквизитов доступа

Можно отправить на e-mail (правда, у гостя должен быть к ней доступ):

Пример реквизитов, полученных на e-mail

А можно поступить и так, как упоминали в Минкомсвязи, — отправить реквизиты доступа по SMS.

Пример присланных по SMS реквизитов доступа

Дальше пользователь осуществляет процедуру доступа, указывая на Web-странице в браузере полученные логин и пароль. Отображаться такая страница может по-разному. Например, по умолчанию страница гостевого доступа выглядит так:

Страница указания реквизитов для гостевого доступа

Но такой вариант банален и мало кому интересен. С помощью Cisco ISE Template Builder можно создать собственные гостевые порталы (на разных языках, включая и русский, с использованием собственного стилевого решения, своим логотипом, оптимизацией под мобильные устройства и т.п.).

Кастомизированный гостевой портал, оптимизированный под мобильные устройства

Очень интересным представляется возможность обязательного согласия с правилами предоставления гостевого доступа (так называемые политика допустимого использования, AUP). Несогласие с ней (например, в нее можно включить согласие на передачу и иные формы обработки персональных данных владельцем точки беспроводного доступа и определенных третьих лиц), может повлечь за собой отказ в доступе к бесплатному Wi-Fi.

Политика допустимого использования при гостевом доступе

Требование 758-го Постановления Правительства о хранении информации о доступе гостей в Интернет также может быть реализовано. Cisco ISE может визуализировать как высокоуровневую статистику гостевого доступа:

Высокоуровневая статистика гостевого доступа

так и детальные сведения о посещаемых ресурсах. Также возможна регистрация и хранения идентификаторов устройств, используемых для гостевого доступа.

Детальная статистика гостевого доступа

На этом можно было бы и завершить рассказ про способы реализации Постановления Правительства от 31.07.2014 №758, если бы не одно “но”. Остался неотвеченным вопрос “Как проверить достоверность сведений о документе, удостоверяющем личность?” Сразу скажу, что в самом Постановлении такого вопроса нет. В нем требуется всего лишь указание таких сведений, но не их проверка. Однако я допускаю, что такой вопрос может все равно встать. Можно ли его реализовать с помощью Cisco ISE? Да, можно.

Аналогичная задача нами реализовывалась в Турции для одного из крупнейших турецких банков, перед которым встала задача — обеспечить защищенный доступ клиентов к некоторым банковским ресурсам с обязательным предоставлением и проверкой паспортных данных. Кстати, в России также есть требование Банка России по проверке действительности паспортных данных для клиентов банков по базе Федеральной миграционной службы (ФМС). Может ли Cisco ISE решить такую задачу? Самостоятельно нет. К сожалению, разработчики Cisco не знают, как устроена работа ФМС или ГИБДД, через базы которых отдельные чиновники и депутаты предлагают проверять подлинность документа, удостоверяющего личность гостя, пожелавшего выйти в Интернет через бесплатный или платный Wi-Fi. Однако в Cisco ISE существует специальный ISE REST API для взаимодействия с внешними системами. Именно с помощью этого API и было разработано одним нашим партнером промежуточное ПО, которое получало реквизиты доступа (ФИО, номер паспорта, дата рождения, номер мобильного телефона) и отправляло их на проверку в государственную базу данных Турции. В случае положительного ответа то же промежуточное ПО создавало гостевую учетную запись на ISE и затем посылало SMS клиенту банка с реквизитами доступа. После установленного таймаута это же ПО удаляло временную учетную запись. Учитывая существование в России автоматизированных сервисов проверки действительности паспортов я не вижу больших сложностей “прикрутить” их к Cisco ISE.

Резюмируя, хочу отметить, что необходимость в гостевом доступе возникает в последнее время достаточно регулярно и с помощью системы контроля доступа Cisco ISE можно реализовать даже самые нетрадиционные сценарии такого подключения.

Автор: alukatsky

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js