Rozwiązania » Cisco MAB - uwierzytelnianie użytkowników w oparciu o adres MAC
MAB – MAC Authentication Bypass to technologia opracowana przez Cisco mająca służyć poprawie bezpieczeństwa sieci lokalnej w obliczu zagrożeń płynących z wnętrza sieci.
Niestety często w firmach zdarza się tak, że nie ma żadnej kontroli nad tym, jakie urządzenia są podpinane do sieci LAN. Gniazda ethernetowe stają się wtedy potencjalnym źródłem zagrożeń – otwartym i dostępnym dla wszystkich, którzy choć raz odwiedzą naszą firmę. Komputery z zewnątrz organizacji powinny takimi pozostać nawet wtedy, gdy zostaną podpięte do naszej sieci firmowej (legalnie czy tez nie).
Aby uświadomić skalę zagrożenia przytoczmy taką sytuację. Wystarczy, że ktoś, kto chciałby się włamać do naszej sieci, weźmie zwykłego AP, którego podepnie do wolnego gniazda Ethernet w naszej firmie. Jeśli gniazdo jest aktywne nasza sieć staje się otwarta dla wszystkich poprzez sieć bezprzewodową. Teraz sprawa dla włamywacza jest prosta – siada z laptotem na ławce przed firmą i ma dostęp do wszystkich danych, z których korzystają normalni użytkownicy sieci firmowej.
Być może dla niektórych ten scenariusz jest mało rzeczywisty, ale np. użytkownicy przynoszący do pracy prywatne laptopy i ściągający muzykę czy filmy poprzez łącze firmy? – to już jest bardziej prawdopodobne.
Cisco MAB pozwala nie tylko na wyeliminowanie tego typu sytuacji, ale także na zróżnicowanie poziomu dostępu do zasobów sieciowych dla poszczególnych użytkowników. Każdy z użytkowników bez względu na to, czy będzie wpięty do gniazda sieciowego przy swoim biurku, czy też do gniazda w sali konferencyjnej, zawsze uzyska taki sam poziom dostępu (zgodny z jego adresem MAC) i zostanie przypisany do odpowiedniego VLAN-u.
MAB jest stosunkowo prosty do wdrożenia, a środowisko zazwyczaj można stworzyć bez ponoszenia specjalnych kosztów. Warunkiem jest posiadanie urządzeń sieciowych LAN i WLAN, które wspierają MAB (lista urządzeń dostępna w ITNS). Nie ma za to ograniczeń (zasadniczo) co do wspieranych urządzeń ubiegających się o dostęp do sieci - niczego nie trzeba zmieniać na tych urządzeniach (brak konieczności szkolenia użytkowników sieci).
Wdrożenie MAB jest punktem wyjściowym do implementacji uwierzytelniania w oparciu o 802.1x czy też wdrożenia bardziej zaawansowanego systemu kontroli dostępu jakim jest np. Cisco NAC.
