Hoe gereeld koop jy iets spontaan, swig voor 'n koel advertensie, en dan maak hierdie aanvanklik gewenste item stof in 'n kas, spens of motorhuis op tot die volgende lente skoonmaak of verhuising? Die gevolg is teleurstelling weens ongeregverdigde verwagtinge en vermorste geld. Dit is baie erger as dit met 'n besigheid gebeur. Heel dikwels is bemarkingsfoefies so goed dat maatskappye 'n duur oplossing koop sonder om die volle prentjie van die toepassing daarvan te sien. Intussen help proeftoetsing van die stelsel om te verstaan hoe om die infrastruktuur vir integrasie voor te berei, watter funksionaliteit en in watter mate geïmplementeer moet word. Op hierdie manier kan jy 'n groot aantal probleme vermy as gevolg van die keuse van 'n produk "blind". Daarbenewens sal implementering na 'n bekwame "vlieënier" ingenieurs baie minder vernietigde senuweeselle en grys hare bring. Kom ons vind uit hoekom loodstoetsing so belangrik is vir 'n suksesvolle projek, deur die voorbeeld van 'n gewilde instrument te gebruik om toegang tot 'n korporatiewe netwerk te beheer - Cisco ISE. Kom ons oorweeg beide standaard en heeltemal nie-standaard opsies vir die gebruik van die oplossing wat ons in ons praktyk teëgekom het.
Cisco ISE - "Radius-bediener op steroïede"
Cisco Identity Services Engine (ISE) is 'n platform vir die skep van 'n toegangsbeheerstelsel vir 'n organisasie se plaaslike area netwerk. In die kundige gemeenskap het die produk die bynaam "Radius-bediener op steroïede" gekry vir sy eienskappe. Hoekom is dit? In wese is die oplossing 'n Radius-bediener, waaraan 'n groot aantal bykomende dienste en "truuks" geheg is, wat jou toelaat om 'n groot hoeveelheid kontekstuele inligting te ontvang en die gevolglike stel data in toegangsbeleide toe te pas.
Soos enige ander Radius-bediener, werk Cisco ISE met toegangsvlaknetwerktoerusting, versamel inligting oor alle pogings om aan die korporatiewe netwerk te koppel en, gebaseer op verifikasie- en magtigingsbeleide, laat of weier gebruikers die LAN. Die moontlikheid van profilering, plasing en integrasie met ander inligtingsekuriteitsoplossings maak dit egter moontlik om die logika van die magtigingsbeleid aansienlik te kompliseer en daardeur redelik moeilike en interessante probleme op te los.
Implementering kan nie geloods word nie: hoekom het jy toetsing nodig?
Die waarde van loodstoetsing is om al die vermoëns van die stelsel in die spesifieke infrastruktuur van 'n spesifieke organisasie te demonstreer. Ek glo dat die loodsing van Cisco ISE voor implementering bevoordeel almal wat by die projek betrokke is, en hier is hoekom.
Dit gee integreerders 'n duidelike idee van die kliënt se verwagtinge en help om 'n korrekte tegniese spesifikasie te skep wat baie meer besonderhede bevat as die algemene frase "maak seker alles is reg." "Pilot" laat ons toe om al die pyn van die kliënt te voel, om te verstaan watter take vir hom 'n prioriteit is en watter sekondêr. Vir ons is dit 'n uitstekende geleentheid om vooraf uit te vind watter toerusting in die organisasie gebruik word, hoe die implementering sal plaasvind, op watter terreine, waar dit geleë is, ensovoorts.
Tydens loodstoetse sien kliënte die werklike stelsel in aksie, maak kennis met die koppelvlak, kan kyk of dit versoenbaar is met hul bestaande hardeware, en kry 'n holistiese begrip van hoe die oplossing sal werk na volledige implementering. “Pilot” is die einste oomblik wanneer jy al die slaggate kan sien wat jy waarskynlik tydens integrasie sal teëkom, en besluit hoeveel lisensies jy moet koop.
Wat kan "opduik" tydens die "vlieënier"
So, hoe berei u behoorlik voor vir die implementering van Cisco ISE? Uit ons ondervinding het ons 4 hoofpunte getel wat belangrik is om te oorweeg tydens die loodstoetsing van die stelsel.
Vorm faktor
Eerstens moet jy besluit in watter vormfaktor die stelsel geïmplementeer sal word: fisies of virtuele upline. Elke opsie het voordele en nadele. Die sterkte van 'n fisieke oplyn is byvoorbeeld die voorspelbare prestasie daarvan, maar ons moet nie vergeet dat sulke toestelle mettertyd verouderd raak nie. Virtuele uplines is minder voorspelbaar omdat... hang af van die hardeware waarop die virtualiseringsomgewing ontplooi word, maar hulle het 'n ernstige voordeel: as ondersteuning beskikbaar is, kan hulle altyd na die nuutste weergawe opgedateer word.
Is jou netwerktoerusting versoenbaar met Cisco ISE?
Natuurlik sou die ideale scenario wees om alle toerusting gelyktydig aan die stelsel te koppel. Dit is egter nie altyd moontlik nie, aangesien baie organisasies steeds onbestuurde skakelaars of skakelaars gebruik wat sommige van die tegnologieë wat Cisco ISE bestuur nie ondersteun nie. Terloops, ons praat nie net van skakelaars nie, dit kan ook draadlose netwerkbeheerders, VPN-konsentrators en enige ander toerusting wees waaraan gebruikers koppel. In my praktyk was daar gevalle waar die kliënt, nadat die stelsel vir volle implementering gedemonstreer is, byna die hele vloot toegangsvlakskakelaars na moderne Cisco-toerusting opgegradeer het. Om onaangename verrassings te vermy, is dit die moeite werd om vooraf uit te vind hoeveel toerusting nie ondersteun word nie.
Is al jou toestelle standaard?
Enige netwerk het tipiese toestelle wat nie moeilik behoort te wees om aan te koppel nie: werkstasies, IP-fone, Wi-Fi-toegangspunte, videokameras, ensovoorts. Maar dit gebeur ook dat nie-standaard toestelle aan die LAN gekoppel moet word, byvoorbeeld RS232/Ethernet bus seinomsetters, ononderbroke kragtoevoer koppelvlakke, verskeie tegnologiese toerusting, ens. Dit is belangrik om die lys van sulke toestelle vooraf te bepaal. , sodat jy in die implementeringstadium reeds 'n begrip het hoe tegnies hulle met Cisco ISE sal werk.
Konstruktiewe dialoog met IT-spesialiste
Cisco ISE-kliënte is dikwels sekuriteitsdepartemente, terwyl IT-afdelings gewoonlik verantwoordelik is vir die opstel van toegangslaagskakelaars en Active Directory. Daarom is produktiewe interaksie tussen sekuriteitspesialiste en IT-spesialiste een van die belangrike voorwaardes vir pynlose implementering van die stelsel. As laasgenoemde integrasie met vyandigheid sien, is dit die moeite werd om aan hulle te verduidelik hoe die oplossing nuttig vir die IT-afdeling sal wees.
Top 5 Cisco ISE gebruik gevalle
In ons ervaring word die vereiste funksionaliteit van die stelsel ook tydens die loodstoetsstadium geïdentifiseer. Hieronder is 'n paar van die gewildste en minder algemene gebruiksgevalle vir die oplossing.
Beveilig LAN-toegang oor 'n draad met EAP-TLS
Soos die resultate van ons pentesters se navorsing toon, gebruik aanvallers gereeld om 'n maatskappy se netwerk binne te dring, gewone voetstukke waaraan drukkers, fone, IP-kameras, Wi-Fi-punte en ander nie-persoonlike netwerktoestelle gekoppel is. Dus, selfs al is netwerktoegang gebaseer op dot1x-tegnologie, maar alternatiewe protokolle word gebruik sonder om gebruikersverifikasiesertifikate te gebruik, is daar 'n hoë waarskynlikheid van 'n suksesvolle aanval met sessie-onderskepping en brute-force-wagwoorde. In die geval van Cisco ISE sal dit baie moeiliker wees om 'n sertifikaat te steel - hiervoor sal kuberkrakers baie meer rekenaarkrag benodig, so hierdie saak is baie effektief.
Dubbel-SSID draadlose toegang
Die essensie van hierdie scenario is om 2 netwerkidentifiseerders (SSID's) te gebruik. Een van hulle kan voorwaardelik "gas" genoem word. Daardeur kan beide gaste en maatskappywerknemers toegang tot die draadlose netwerk kry. Wanneer hulle probeer koppel, word laasgenoemde herlei na 'n spesiale portaal waar voorsiening plaasvind. Dit wil sê, die gebruiker word 'n sertifikaat uitgereik en sy persoonlike toestel is gekonfigureer om outomaties weer aan die tweede SSID te koppel, wat reeds EAP-TLS gebruik met al die voordele van die eerste geval.
MAC-verifikasie omseil en profilering
Nog 'n gewilde gebruiksgeval is om die tipe toestel wat gekoppel word outomaties op te spoor en die korrekte beperkings daarop toe te pas. Hoekom is hy interessant? Die feit is dat daar nog heelwat toestelle is wat nie verifikasie met die 802.1X-protokol ondersteun nie. Daarom moet sulke toestelle op die netwerk toegelaat word met 'n MAC-adres, wat redelik maklik is om te vervals. Dit is waar Cisco ISE tot die redding kom: met behulp van die stelsel kan jy sien hoe 'n toestel op die netwerk optree, sy profiel skep en dit aan 'n groep ander toestelle toewys, byvoorbeeld 'n IP-foon en 'n werkstasie . As 'n aanvaller probeer om 'n MAC-adres te bedrieg en aan die netwerk te koppel, sal die stelsel sien dat die toestelprofiel verander het, sal verdagte gedrag aandui en sal nie die verdagte gebruiker in die netwerk toelaat nie.
EAP-ketting
EAP-Chaining-tegnologie behels opeenvolgende verifikasie van die werkende rekenaar en gebruikersrekening. Hierdie saak het wydverspreid geraak omdat... Baie maatskappye moedig steeds nie aan om werknemers se persoonlike toestelle aan die korporatiewe LAN te koppel nie. Deur hierdie benadering tot stawing te gebruik, is dit moontlik om te kontroleer of 'n spesifieke werkstasie 'n lid van die domein is, en as die resultaat negatief is, sal die gebruiker óf nie in die netwerk toegelaat word nie, óf sal kan ingaan, maar met sekere beperkings.
Postuur
Hierdie saak gaan oor die beoordeling van die voldoening van die werkstasiesagteware met inligtingsekuriteitvereistes. Deur hierdie tegnologie te gebruik, kan jy kyk of die sagteware op die werkstasie opgedateer is, of sekuriteitsmaatreëls daarop geïnstalleer is, of die gasheer-firewall opgestel is, ens. Interessant genoeg laat hierdie tegnologie jou ook toe om ander take op te los wat nie met sekuriteit verband hou nie, byvoorbeeld om die teenwoordigheid van nodige lêers na te gaan of stelselwye sagteware te installeer.
Minder algemene gebruiksgevalle vir Cisco ISE sluit in toegangsbeheer met end-tot-end-domeinverifikasie (passiewe ID), SGT-gebaseerde mikrosegmentering en filtering, sowel as integrasie met mobiele toestelbestuurstelsels (MDM) en kwesbaarheidskandeerders.
Nie-standaardprojekte: waarom anders het jy Cisco ISE nodig, of 3 seldsame gevalle van ons praktyk
Toegangsbeheer tot Linux-gebaseerde bedieners
Sodra ons 'n taamlik nie-triviale saak opgelos het vir een van die kliënte wat reeds die Cisco ISE-stelsel geïmplementeer het: ons moes 'n manier vind om gebruikersaksies (meestal administrateurs) op bedieners met Linux geïnstalleer te beheer. Op soek na 'n antwoord, het ons die idee gekry om die gratis PAM Radius Module-sagteware te gebruik, waarmee u kan aanmeld by bedieners wat Linux gebruik met verifikasie op 'n eksterne radiusbediener. Alles in hierdie verband sou goed wees, as nie vir een "maar" nie: die radiusbediener, wat 'n antwoord op die stawingversoek stuur, gee slegs die rekeningnaam en die resultaat - assesseer aanvaar of assesseer verwerp. Intussen, vir magtiging in Linux, moet jy ten minste nog een parameter toewys - tuisgids, sodat die gebruiker ten minste iewers kom. Ons het nie 'n manier gevind om dit as 'n radius-kenmerk te gee nie, so ons het 'n spesiale skrif geskryf om rekeninge op afstand op gashere in 'n semi-outomatiese modus te skep. Hierdie taak was redelik uitvoerbaar, aangesien ons met administrateurrekeninge te doen gehad het, waarvan die aantal nie so groot was nie. Gebruikers het vervolgens op die vereiste toestel aangemeld, waarna die nodige toegang aan hulle toegeken is. 'n Redelike vraag ontstaan: is dit nodig om Cisco ISE in sulke gevalle te gebruik? Eintlik, nee - enige radiusbediener sal doen, maar aangesien die kliënt reeds hierdie stelsel gehad het, het ons eenvoudig 'n nuwe kenmerk daarby gevoeg.
Inventaris van hardeware en sagteware op die LAN
Ons het eenkeer aan 'n projek gewerk om Cisco ISE aan een klant te verskaf sonder 'n voorlopige "vlieënier". Daar was geen duidelike vereistes vir die oplossing nie, en ons het te doen gehad met 'n plat, nie-gesegmenteerde netwerk, wat ons taak bemoeilik het. Tydens die projek het ons alle moontlike profileringsmetodes gekonfigureer wat die netwerk ondersteun het: NetFlow, DHCP, SNMP, AD-integrasie, ens. Gevolglik is MAR-toegang opgestel met die vermoë om by die netwerk aan te meld as stawing misluk het. Dit wil sê, selfs al was verifikasie nie suksesvol nie, sal die stelsel steeds die gebruiker in die netwerk toelaat, inligting oor hom insamel en dit in die ISE-databasis aanteken. Hierdie netwerkmonitering oor etlike weke het ons gehelp om gekoppelde stelsels en nie-persoonlike toestelle te identifiseer en 'n benadering te ontwikkel om dit te segmenteer. Hierna het ons ook plasing gekonfigureer om die agent op werkstasies te installeer om inligting in te samel oor die sagteware wat daarop geïnstalleer is. Wat is die resultaat? Ons kon die netwerk segmenteer en die lys sagteware bepaal wat van werkstasies verwyder moes word. Ek sal nie wegsteek dat verdere take om gebruikers in domeingroepe te versprei en toegangsregte te bepaal ons nogal baie tyd geneem het nie, maar op hierdie manier het ons 'n volledige prentjie gekry van watter hardeware die kliënt op die netwerk gehad het. Terloops, dit was nie moeilik nie as gevolg van die goeie werk van profilering uit die boks. Wel, waar profilering nie gehelp het nie, het ons self gekyk en die skakelpoort waaraan die toerusting gekoppel was, uitgelig.
Afstandinstallasie van sagteware op werkstasies
Hierdie geval is een van die vreemdste in my praktyk. Op 'n dag het 'n kliënt na ons toe gekom met 'n hulpkreet - iets het verkeerd geloop met die implementering van Cisco ISE, alles het gebreek en niemand anders kon toegang tot die netwerk kry nie. Ons het daarna begin kyk en die volgende uitgevind. Die maatskappy het 2000 XNUMX rekenaars gehad wat, in die afwesigheid van 'n domeinbeheerder, onder 'n administrateurrekening bestuur is. Vir die doel van peering het die organisasie Cisco ISE geïmplementeer. Dit was nodig om op een of ander manier te verstaan of 'n antivirus op bestaande rekenaars geïnstalleer is, of die sagteware-omgewing opgedateer is, ens. En aangesien IT-administrateurs netwerktoerusting in die stelsel geïnstalleer het, is dit logies dat hulle toegang daartoe gehad het. Nadat hulle gesien het hoe dit werk en hul rekenaars aangebring het, het die administrateurs met die idee gekom om die sagteware op werknemers se werkstasies op afstand te installeer sonder persoonlike besoeke. Stel jou net voor hoeveel stappe jy op hierdie manier per dag kan bespaar! Die administrateurs het verskeie kontroles van die werkstasie uitgevoer vir die teenwoordigheid van 'n spesifieke lêer in die C:Program Files-gids, en as dit afwesig was, is outomatiese remediëring van stapel gestuur deur 'n skakel te volg wat lei na die lêerberging na die installasie .exe-lêer. Dit het gewone gebruikers in staat gestel om na 'n lêerdeling te gaan en die nodige sagteware daarvandaan af te laai. Ongelukkig het die admin nie die ISE-stelsel goed geken nie en het die plasingsmeganismes beskadig – hy het die polis verkeerd geskryf, wat gelei het tot 'n probleem wat ons betrokke was om op te los. Persoonlik is ek opreg verras deur so 'n kreatiewe benadering, want dit sal baie goedkoper en minder arbeidsintensief wees om 'n domeinbeheerder te skep. Maar as 'n bewys van konsep het dit gewerk.
Lees meer oor die tegniese nuanses wat ontstaan wanneer Cisco ISE implementeer in my kollega se artikel .
Artem Bobrikov, ontwerpingenieur van die inligtingsekuriteitsentrum by Jet Infosystems
nawoord:
Ten spyte van die feit dat hierdie pos oor die Cisco ISE-stelsel praat, is die probleme wat beskryf word, relevant vir die hele klas NAC-oplossings. Dit is nie so belangrik watter verskaffer se oplossing vir implementering beplan word nie - meeste van bogenoemde sal van toepassing bly.
Bron: will.com