31 июля Правительство Российской Федерации утвердило постановление 758 «О внесении изменений в некоторые акты Правительства Российской Федерации в связи с принятием Федерального закона «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и информационных технологиях».
Защита» и отдельные законодательные акты РФ по вопросам оптимизации обмена информацией с использованием информационно-телекоммуникационных сетей», которые эксперты и журналисты очень быстро окрестили «законом о Wi-Fi с паспортом».
Мы не будем сейчас трактовать этот нормативный акт с точки зрения попыток выяснить, распространяется ли он только на точки коллективного доступа на «Почте России» или имеет более широкое применение.
Пусть этим займутся юристы, хотелось бы посмотреть на его техническую целесообразность.
Как оказывается, нет ничего нового под солнцем, и идея проверки пользователей перед подключением к какому-либо ресурсу возникает в реальной жизни довольно часто.
Например, если вы посетите офис Cisco и захотите выйти в Интернет, вам будет предоставлен гостевой доступ, для получения которого вам нужно будет указать на специальной веб-странице свой логин и пароль, полученные на ресепшене или от человека, к которому вы пришли.
встретиться (а они, в свою очередь, организуют такой доступ на специальном гостевом портале).
С подобной услугой мы сталкиваемся в отелях или кафе, желая воспользоваться платным или бесплатным доступом во Всемирную паутину.
В общем, можно предложить большое количество примеров гостевого доступа в Интернет, требующих указания каких-либо деталей.
Так что, если задуматься и отбросить эмоции, требования 758-го постановления Правительства не являются чем-то уникальным с технологической точки зрения.
Любой из этих сценариев можно реализовать с помощью Cisco Identity Service Engine (ISE), который представляет собой централизованную систему управления проводным и беспроводным, внешним и внутренним доступом.
Cisco ISE также имеет подсистему организации гостевого доступа (Guest Access), позволяющую упорядочить и автоматизировать процесс гостевого подключения, состоящий из 4 этапов:
- предоставление гостевого доступа и проверка прав
- уведомление гостя о создании гостевой учетной записи
- настройка работы гостевого портала и лиц, уполномоченных на предоставление гостевого доступа
- составление отчетов.
Гостевой аккаунт может быть создан так называемым спонсором, гостем самостоятельно, а может быть организован доступ вообще без создания аккаунта.
В корпоративной среде обычно используется первый способ, в общественных местах – второй или третий.
Постановление Правительства 758 говорит только о втором способе подключения.
Следующий наш шаг — указать информацию, которую мы хотим получить от пользователя.
Помимо вашего имени и фамилии, мы можем запросить дополнительную информацию.
Например, адрес электронной почты или номер мобильного телефона для отправки логина и пароля от учетной записи.
Резолюция 758 также требует информации о документе, удостоверяющем личность, что также можно сделать с помощью Cisco ISE. 
Для каждой учетной записи можно указать различные временные ограничения (например, количество попыток входа, время жизни учетной записи) и членство в группе, которой можно назначить дополнительные ограничения доступа к различным внешним или внутренним (например, принтеру) ресурсам.
.
Все выполненные настройки визуализируются в виде наглядной блок-схемы.
При необходимости вы всегда можете следить за созданными аккаунтами и их статусом.
Например, статус «ОЖИДАНИЕ ПЕРВОНАЧАЛЬНОГО ВХОДА» может означать как вновь созданную учетную запись, так и пользователя, отправившего запрос на гостевой доступ, но ни разу им не воспользовавшегося.
После создания учетной записи пользователь должен получить логин и пароль (если мы включили режим доступа по логину/паролю, а не доступ без регистрации).
Это можно сделать разными способами.
Его можно распечатать и принести гостю вместе с меню.
Вы можете отправить его по электронной почте (однако гость должен иметь к нему доступ): 
Либо можно поступить, как сказали в Минкомсвязи, - отправить данные доступа по SMS. 
Далее пользователь осуществляет процедуру доступа, указав полученные логин и пароль на веб-странице в браузере.
Эта страница может отображаться по-разному.
Например, по умолчанию страница гостевого доступа выглядит так: 
Но этот вариант банален и мало кого он интересует. С помощью Cisco ISE Template Builder вы можете создавать собственные гостевые порталы (на разных языках, включая русский, с использованием собственного стилевого решения, собственного логотипа, оптимизации под мобильные устройства и т. д.).
Очень интересна возможность обязательного согласия с правилами предоставления гостевого доступа (так называемая политика допустимого использования, AUP).
Несогласие с ним (например, может включать согласие на передачу и иные формы обработки персональных данных владельцем точки беспроводного доступа и некоторыми третьими лицами) может повлечь за собой отказ в доступе к бесплатному Wi-Fi. 
Требование Постановления Правительства №758 о хранении информации о доступе гостей в Интернет также может быть реализовано.
Cisco ISE может визуализировать как статистику гостевого доступа высокого уровня: 
и подробную информацию о посещенных ресурсах.
Также возможно зарегистрировать и сохранить идентификаторы устройств, используемых для гостевого доступа.
На этом история о путях реализации постановления правительства от 31 июля 2014 года №758 могла бы закончиться, если бы не одно «но».
Без ответа остался вопрос: «Как проверить достоверность сведений о документе, удостоверяющем личностьЭ» Скажу сразу, в самом Постановлении такого вопроса нет. Требуется лишь указание такой информации, но не ее проверка.
Однако допускаю, что такой вопрос все же может возникнуть.
Можно ли это реализовать с помощью Cisco ISE? Да, ты можешь.
Подобную задачу мы реализовали в Турции для одного из крупнейших турецких банков, перед которым стояла задача обеспечить безопасный доступ клиентов к определенным банковским ресурсам с обязательным предоставлением и проверкой паспортных данных.
Кстати, в России также существует требование Банка России проверять достоверность паспортных данных клиентов банка по базе данных Федеральной миграционной службы (ФМС).
Может ли Cisco ISE решить эту проблему? Самостоятельно, нет. К сожалению, разработчики Cisco не знают, как устроена работа ФМС или ГИБДД, по базам данных которых отдельные чиновники и депутаты предлагают проверить подлинность документа, удостоверяющего личность гостя, желающего выйти в Интернет. через бесплатный или платный Wi-Fi. Однако Cisco ISE имеет специальный API REST ISE для взаимодействия с внешними системами.
Именно с помощью этого API один из наших партнеров разработал промежуточное программное обеспечение, которое получало данные доступа (полное имя, номер паспорта, дату рождения, номер мобильного телефона) и отправляло их на проверку в государственную базу данных Турции.
Если ответ был положительным, то же самое промежуточное программное обеспечение создавало гостевую учетную запись на ISE, а затем отправляло клиенту банка SMS с данными доступа.
По истечении установленного таймаута та же программа удалила временную учетную запись.
Учитывая существование в России автоматизированных сервисов проверки действительности паспортов, я не вижу больших сложностей в их «привязке» к Cisco ISE. Резюмируя, хотелось бы отметить, что необходимость в гостевом доступе возникает в последнее время достаточно регулярно, и с помощью системы контроля доступа Cisco ISE можно реализовать даже самые нестандартные сценарии такого подключения.
Теги: #гостевой Wi-Fi #ISE #cisco #cisco #гость #гостевой доступ #информационная безопасность
-
Краткая Концепция Энциклопедии
19 Oct, 24 -
Ssd-Диски На Серверах Баз Данных?
19 Oct, 24 -
Выпущена Django 1.2 Альфа 1!
19 Oct, 24 -
Новая Сборка Оперы 10 (1285)
19 Oct, 24 -
Непонимание Прошлого
19 Oct, 24 -
Подробнее О Нашем Любимом Кризисе
19 Oct, 24 -
Откровение Из «Раскрутки»
19 Oct, 24
