HPE Aruba ClearPass Profiler

Stále ještě existují koncová zařízení, jejichž vlastností je, že nedisponují rozhraním pro vložení přístupových údajů nebo certifikátů a nedokáží tak dostatečně spolupracovat právě se systémem řízení přístupu.

Bez systému HPE Aruba ClearPass nezbývá než taková zařízení (docházkové terminály, projektory, tiskárny či jiný účelový nebo servisní hw) ověřovat na bázi jejich fyzické adresy (MAB – MAC Auth. Bypass). MAC adresa je generována a přiřazována výrobcem zařízení a na zařízení je často dokonce přímo uvedena. Přestože jde o jedinečný identifikátor, lze jej opravdu velice snadno podvrhnout a na místo tiskárny tak připojit např. notebook, což potenciálnímu útočníkovi nebude na překážku. Jak to tedy dělat jinak? Dělat to za pomoci HPE Aruba ClearPass a jeho modulu Profiler.

Ten ke každému zařízení vytváří tzv. finger-print – otisk způsobu vedené síťové komunikace. Každé zařízení komunikuje podle svého účelu, jinak si žádá o IP adresaci a přitom předává síti o sobě určitou sadu informací, přičemž samo zároveň poskytuje různou sadu služeb zpět do sítě. Každý takový otisk je zcela individuální a jen velice obtížně podvrhnutelný. Je dokonce tak individuální, že díky těmto otiskům Profiler dokáže velice přesně kategorizovat zařízení a vytvářet jejich seznamy. Když pak tento otisk vezmeme a přiřadíme ho k fyzické MAC adrese, získáme velice přesnou a jen těžko zpochybnitelnou identitu konkrétního zařízení, bez toho, abychom do něj museli složitě vkládat certifikát nebo jiné údaje. S HPE Aruba ClearPass a modulem Profiler lze MAB opět udělat bezpečný! Jde o velice snadný a přitom bezpečný způsob.