iPhone в корпоративном Wi-Fi: RADIUS не ждал гостей
Apple выпустила iPhone - первый массовый смартфон с Wi-Fi. На следующей неделе он уже был в корпоративной сети клиента. RADIUS его не знал. Решили отдельным SSID с VLAN.
Apple анонсирует выпуск iPhone 29 июня 2007 года - первый массовый смартфон с полноценным Wi-Fi без поддержки корпоративного MDM-управления
29 июня Apple выпустит iPhone. Слухи ходят с января, и уже сейчас понятно одно: устройство с нормальным браузером, Wi-Fi и синхронизацией почты окажется в руках сотрудников раньше, чем любой ИТ-отдел успеет придумать политику для него.
Мы убедились в этом на прошлой неделе - раньше самого релиза.
Откуда взялась проблема до выхода устройства
Один из сотрудников клиента привёз из США ранний образец - не то демо-устройство, не то что-то купленное по знакомству. Подробностей не выясняли: важно было то, что оно тут же подключилось к корпоративной Wi-Fi сети.
Точнее - попыталось. И вот тут началось интересное.
Корпоративный Wi-Fi клиента работает на WPA2-Enterprise с аутентификацией через RADIUS. Схема стандартная: ноутбук подключается, предъявляет доменный сертификат, RADIUS проверяет его через Active Directory, выдаёт доступ в нужный VLAN. Работает надёжно, настраивается через групповые политики. Всё хорошо, пока в уравнении есть только ноутбуки, которые в домене.
iPhone доменного сертификата не имеет. Без MDM-управления для iOS нет в принципе - по крайней мере ничего, что умело бы централизованно раскатывать профили на такие устройства. Заставить iPhone пройти аутентификацию через тот же RADIUS, что и корпоративные ноутбуки, без плясок с бубном не получится.
Сотрудник не растерялся и сделал то, что делают все сотрудники в таких ситуациях: попросил временный пароль от открытой точки доступа, которую кто-то когда-то поднял «для гостей» в конференц-зале. Та точка висела в основном VLAN. Без изоляции.
Что мы нашли при аудите
Когда нам рассказали эту историю и попросили «что-нибудь сделать», мы начали с осмотра того, что уже есть.
Картина оказалась типичной:
- Гостевая точка. Поднята два года назад для приезжих партнёров. Пароль знают человек двадцать, последний раз он менялся, когда ещё был другой ИТ-директор. Трафик идёт в общий VLAN без каких-либо ограничений - тот же сегмент, что файловые серверы и 1С.
- RADIUS закрыт под корпоративные машины. Гибкости нет: либо ты в домене с сертификатом, либо ты никто.
- Политики для личных устройств нет. Никакой. Ни запрещающей, ни разрешающей.
Добавим к этому то, что iPhone - не последнее такое устройство. Уже есть Nokia N95 с Wi-Fi, уже есть разные смартфоны на Windows Mobile, которые умеют подключаться к Wi-Fi, но с корпоративным RADIUS работают через раз. Запрашивать гостевой пароль стало устойчивой привычкой у нескольких человек.
Что сделали
Решение несложное, но требовало аккуратности в деталях.
Подняли отдельный SSID для гостей и личных устройств (BYOD, хотя этот термин у нас пока не прижился - говорим просто «личные устройства»). SSID с WPA2-PSK, пароль меняется раз в месяц и рассылается через внутреннюю почту по запросу. Скрывать SSID не стали - это псевдобезопасность, которая только раздражает пользователей.
Под этот SSID выделили отдельный VLAN. Изоляция жёсткая:
- Доступ наружу. Только TCP 80 и 443 - HTTP и HTTPS. Всё остальное режется на периметровом файрволе. Без исключений - ни FTP, ни SSH, ни корпоративной почты напрямую (пусть ходят через веб-интерфейс, если очень нужно).
- Внутрь корпоративной сети. Полностью закрыто. Никаких маршрутов в корпоративные VLAN. Гостевой трафик выходит напрямую в интернет через отдельный NAT.
- Изоляция клиентов внутри SSID. Включили client isolation на точках доступа - устройства в гостевом SSID не видят друг друга.
RADIUS при этом не трогали. Корпоративный Wi-Fi для доменных машин работает ровно так же, как работал.
Гостевую точку в конференц-зале - ту самую, открытую, в общем VLAN - отключили. Без компромиссов.
Что осталось нерешённым
Есть категория сотрудников, которым нужна корпоративная почта на личном устройстве по рабочей необходимости. Через HTTPS к OWA - работает, всё в порядке. Но это не то же самое, что полноценный почтовый клиент с push-уведомлениями.
Как централизованно управлять настройками на телефонах без MDM - вопрос открытый. Раздавать настройки вручную каждому желающему не масштабируется. Пока что держимся на инструкции и здравом смысле.
Если таких устройств станет больше - вопрос политики BYOD придётся поднимать формально, с документом и подписями. В рамках сопровождения инфраструктуры мы уже начали набрасывать черновик такой политики для клиента - но это отдельная история.
Пока же в корпоративном Wi-Fi больше нет дыры в виде открытой точки в общем VLAN. iPhone может выходить в интернет через гостевой SSID, файловые серверы его не видят, он не видит их. Для начала достаточно.
- Wi-Fi Draft-N в новом офисе: 40 МГц не прошли, MIMO спасло · 3 апреля 2007
- 152-ФЗ вступил в силу: разбираем с юристом технические меры для ИСПДн класса К2 · 15 февраля 2007