🥇ፈተና ያሳያል፡ ለሲስኮ ISE ትግበራ እንዴት እንደሚዘጋጁ እና ምን አይነት የስርዓት ባህሪያት እንደሚፈልጉ ይረዱ

ምን ያህል ጊዜ በድንገት አንድ ነገር ይገዛሉ ፣ ለ አሪፍ ማስታወቂያ እየተሸነፉ ፣ እና ከዚያ ይህ መጀመሪያ የሚፈለገው ነገር በሚቀጥለው አጠቃላይ ጽዳት ወይም ከመንቀሳቀስ በፊት በጓዳ ፣ ጓዳ ወይም ጋራዥ ውስጥ አቧራ ይሰበስባል? በውጤቱም, ባልተጨባጭ ተስፋዎች እና በከንቱ በሚባክን ገንዘብ ተስፋ መቁረጥ. ይህ ከንግድ ጋር ሲከሰት በጣም የከፋ ነው. በጣም ብዙ ጊዜ የግብይት ዘዴዎች በጣም ጥሩ ከመሆናቸው የተነሳ ኩባንያዎች የመተግበሪያውን ሙሉ ምስል ሳያዩ ውድ የሆነ መፍትሄ ይገዛሉ. ይህ በእንዲህ እንዳለ የስርዓቱ የሙከራ ሙከራ መሰረተ ልማቶችን ለመዋሃድ እንዴት ማዘጋጀት እንደሚቻል, ምን አይነት ተግባራዊነት እና ምን ያህል መተግበር እንዳለበት ለመረዳት ይረዳል. ስለዚህ በምርቱ ምርጫ "በጭፍን" ምክንያት ብዙ ችግሮችን ማስወገድ ይችላሉ. በተጨማሪም ብቃት ካለው “አብራሪ” በኋላ መተግበር መሐንዲሶችን በጣም ያነሰ የተበላሹ የነርቭ ሴሎችን እና ግራጫ ፀጉርን ያመጣል። የኮርፖሬት አውታረመረብ መዳረሻን ለመቆጣጠር ታዋቂ መሣሪያን ምሳሌ በመጠቀም የሙከራ ሙከራ ለተሳካ ፕሮጀክት በጣም አስፈላጊ የሆነው ለምን እንደሆነ እንመልከት - ሲስኮ አይኤስኢ። በተግባራችን ያጋጠመንን መፍትሄ ተግባራዊ ለማድረግ ሁለቱንም የተለመዱ እና ሙሉ ለሙሉ መደበኛ ያልሆኑ አማራጮችን አስቡባቸው።

Cisco ISE - ራዲየስ አገልጋይ በ Stereos

Cisco Identity Services Engine (ISE) የአንድ ድርጅት የአካባቢ አውታረመረብ የመዳረሻ ቁጥጥር ስርዓት ለመፍጠር መድረክ ነው። በባለሙያው ማህበረሰብ ውስጥ ምርቱ በንብረቶቹ ላይ "ራዲየስ አገልጋይ በስቴሮይድ" የሚል ቅጽል ስም ተሰጥቶታል. ለምንድነው? በመሠረቱ፣ መፍትሔው እጅግ በጣም ብዙ ተጨማሪ አገልግሎቶች እና “ቺፕስ” የተያያዙበት ራዲየስ አገልጋይ ነው፣ ይህም ከፍተኛ መጠን ያለው አውድ መረጃ እንዲቀበሉ እና የተገኘውን የውሂብ ስብስብ በመዳረሻ ፖሊሲዎች ውስጥ እንዲተገብሩ ያስችልዎታል።

ልክ እንደሌላው የራዲየስ አገልጋይ፣ Cisco ISE ከመዳረሻ ደረጃ አውታረ መረብ መሳሪያዎች ጋር ይገናኛል፣ ከኮርፖሬት አውታረመረብ ጋር ለመገናኘት ስለሚደረጉ ሙከራዎች ሁሉ መረጃን ይሰበስባል፣ እና በማረጋገጫ እና በፈቃድ ፖሊሲዎች ላይ በመመስረት ተጠቃሚዎች LANን እንዲደርሱ ያስችላቸዋል ወይም አይፈቅድም። ነገር ግን፣ የመገለጫ፣ የመርሐግብር፣ ከሌሎች የመረጃ ደኅንነት መፍትሄዎች ጋር የመዋሃድ ዕድሉ የፈቀዳ ፖሊሲን አመክንዮ በእጅጉ ያወሳስበዋል እና በዚህም አስቸጋሪ እና አስደሳች ስራዎችን መፍታት ይችላል።

ትግበራን በሙከራ መሞከር አይቻልም፡ ለምን ፈተና ያስፈልገናል?

የሙከራ ሙከራ ዋጋ በአንድ የተወሰነ ድርጅት ውስጥ በተወሰነ መሠረተ ልማት ውስጥ ያሉትን ሁሉንም የስርዓቱን ችሎታዎች ማሳየት ነው. ከመተግበሩ በፊት Cisco ISE ን መሞከር ለሁሉም የፕሮጀክት ተሳታፊዎች ጠቃሚ እንደሆነ እርግጠኛ ነኝ፣ እና ለምን እንደሆነ እነሆ።

ለአካካዮች ይህ የደንበኞቹን የሚጠብቁት ነገር ግልጽ የሆነ ሀሳብ ይሰጣል እና "ሁሉም ነገር በጥሩ ሁኔታ እንዲሄድ ያድርጉ" ከሚለው የተለመደ ሐረግ የበለጠ ብዙ ዝርዝሮችን በመያዝ ትክክለኛውን የማጣቀሻ ውሎችን ለማዘጋጀት ይረዳል ። "አብራሪ" የደንበኛውን ህመም ሁሉ እንድንሰማ ያስችለናል, የትኞቹ ተግባራት ለእሱ ቅድሚያ እንደሚሰጡ እና የትኞቹ ደግሞ ሁለተኛ ደረጃ እንደሆኑ ለመረዳት. ለእኛ, ይህ በድርጅቱ ውስጥ ምን ዓይነት መሳሪያዎች ጥቅም ላይ እንደሚውሉ, አተገባበሩ እንዴት እንደሚካሄድ, በየትኞቹ ጣቢያዎች, የት እንደሚገኙ, ወዘተ የመሳሰሉትን አስቀድመው ለማወቅ ጥሩ አጋጣሚ ነው.

ደንበኞች በአብራሪ ሙከራ ወቅት እውነተኛውን ስርዓት በተግባር ይመለከቷቸዋል ፣ በይነገጹን ይተዋወቁ ፣ አሁን ካለው ሃርድዌር ጋር ተኳሃኝ መሆኑን ያረጋግጡ እና ከሙሉ ትግበራ በኋላ መፍትሄው እንዴት እንደሚሰራ አጠቃላይ እይታን ያግኙ። "አብራሪው" በውህደት ወቅት የሚያጋጥሙህን ሁሉንም "ወጥመዶች" ማየት የምትችልበት እና ምን ያህል ፍቃዶችን መግዛት እንዳለብህ የሚወስኑበት ወቅት ነው።
በ "አብራሪው" ጊዜ "ላይ" ምን ሊሆን ይችላል

ስለዚህ ለ Cisco ISE ትግበራ እንዴት በትክክል ይዘጋጃሉ? ከልምዳችን በመነሳት ስርዓቱን በመፈተሽ ሂደት ውስጥ ግምት ውስጥ ማስገባት አስፈላጊ የሆኑትን 4 ዋና ዋና ነጥቦችን ቆጥረናል.

የቅጽ ሁኔታ

በመጀመሪያ ስርዓቱ በየትኛው ቅጽ ላይ እንደሚተገበር መወሰን ያስፈልግዎታል-አካላዊ ወይም ምናባዊ አፕላይን. እያንዳንዱ አማራጭ ጥቅምና ጉዳት አለው. ለምሳሌ, የአካላዊ አፕላይን ጥንካሬ ሊተነበይ የሚችል አፈፃፀም ነው, ነገር ግን እንደነዚህ ያሉ መሳሪያዎች በጊዜ ሂደት ጊዜ ያለፈባቸው መሆናቸውን መዘንጋት የለብንም. ምናባዊ uplines ያነሰ መተንበይ ናቸው ምክንያቱም ቨርቹዋልላይዜሽን አካባቢ በተሰማራበት ሃርድዌር ላይ ይመሰረታል፣ነገር ግን በተመሳሳይ ጊዜ ከባድ ፕላስ አላቸው፡ ድጋፍ ካለ ሁል ጊዜ ወደ የቅርብ ጊዜው ስሪት መዘመን ይችላሉ።

የአውታረ መረብ መሳሪያዎ ከሲስኮ አይኤስኢ ጋር ተኳሃኝ ነው?

እርግጥ ነው, ጥሩው ሁኔታ ሁሉንም መሳሪያዎች በአንድ ጊዜ ከስርዓቱ ጋር ማገናኘት ነው. ሆኖም ፣ ይህ ሁልጊዜ የሚቻል አይደለም ፣ ምክንያቱም ብዙ ድርጅቶች አሁንም Cisco ISE የሚሠራቸውን አንዳንድ ቴክኖሎጂዎች የማይደግፉ የማይተዳደሩ ማብሪያና ማጥፊያዎችን ይጠቀማሉ። በነገራችን ላይ ይህ ስለ ማብሪያ / ማጥፊያዎች ብቻ ሳይሆን የገመድ አልባ አውታር መቆጣጠሪያዎች, የቪፒኤን ማጎሪያዎች እና ሌሎች ተጠቃሚዎች የሚገናኙባቸው መሳሪያዎች ሊሆኑ ይችላሉ. በእኔ ልምምድ፣ ስርዓቱን ሙሉ ለሙሉ ተግባራዊ ለማድረግ ደንበኛው ከሞላ ጎደል አጠቃላይ የመዳረሻ ደረጃ ማብሪያዎችን ወደ ዘመናዊ የሲስኮ መሳሪያዎች ያሻሻሉባቸው አጋጣሚዎች ነበሩ። ደስ የማይል ድንቆችን ለማስወገድ, የማይደገፉ መሳሪያዎችን መጠን አስቀድመው ማወቅ ጠቃሚ ነው.

ሁሉም የእርስዎ መሣሪያዎች አጠቃላይ ናቸው?

በማንኛውም አውታረ መረብ ውስጥ, ለመገናኘት አስቸጋሪ መሆን የሌለባቸው የተለመዱ መሳሪያዎች አሉ-የስራ ቦታዎች, አይፒ ስልኮች, የ Wi-Fi መዳረሻ ነጥቦች, የቪዲዮ ካሜራዎች, ወዘተ. ነገር ግን መደበኛ ያልሆኑ መሳሪያዎች ከ LAN ጋር መገናኘት እንደሚያስፈልጋቸው ይከሰታል, ለምሳሌ, RS232 / የኤተርኔት አውቶቡስ ሲግናል መቀየሪያዎች, የማይቋረጥ የኃይል አቅርቦት መገናኛዎች, የተለያዩ የቴክኖሎጂ መሳሪያዎች, ወዘተ የመሳሰሉትን መሳሪያዎች አስቀድመው መወሰን አስፈላጊ ነው. ስለዚህ በትግበራው ደረጃ ከሲስኮ ISE ጋር እንዴት በቴክኒክ እንደሚሰሩ አስቀድመው ይረዱዎታል።

ከአይቲ ስፔሻሊስቶች ጋር ገንቢ ውይይት

የደህንነት ክፍሎች ብዙውን ጊዜ እንደ Cisco ISE ደንበኛ ሆነው ያገለግላሉ፣ የአይቲ ዲፓርትመንቶች አብዛኛውን ጊዜ የመዳረሻ ንብርብር መቀየሪያዎችን እና ንቁ ማውጫን የማዋቀር ሃላፊነት አለባቸው። ስለዚህ የደህንነት እና የአይቲ ስፔሻሊስቶች ምርታማ መስተጋብር ለስርዓቱ ህመም አልባ ትግበራ አስፈላጊ ከሆኑ ሁኔታዎች ውስጥ አንዱ ነው. የኋለኛው ውህደቱን "በጠላትነት" ከተገነዘበ, መፍትሄው ለ IT ክፍል እንዴት ጠቃሚ እንደሚሆን ለእነሱ ማስረዳት ጠቃሚ ነው.

ጫፍ 5 Cisco ISE አጠቃቀም ጉዳዮች

በእኛ ልምድ, የስርዓቱ አስፈላጊ ተግባራት በአብራሪ ሙከራ ደረጃም ይገለጣሉ. ከዚህ በታች አንዳንድ በጣም ታዋቂ እና ብዙም ያልተለመዱ የመፍትሄ አጠቃቀሞች ናቸው።

በሽቦው ላይ ደህንነቱ የተጠበቀ የ LAN መዳረሻ በEAP-TLS

በአጥቂዎቻችን የምርምር ውጤቶች መሰረት አጥቂዎች ብዙውን ጊዜ የኩባንያውን አውታረመረብ ለመግባት አታሚዎች ፣ ስልኮች ፣ አይፒ ካሜራዎች ፣ ዋይ ፋይ ነጥቦች እና ሌሎች የግል ያልሆኑ የአውታረ መረብ መሳሪያዎች የተገናኙባቸው ተራ ሶኬቶችን ይጠቀማሉ። ስለዚህ የኔትወርክ ተደራሽነት በdot1x ቴክኖሎጂ ላይ የተመሰረተ ቢሆንም፣ ነገር ግን አማራጭ ፕሮቶኮሎች የተጠቃሚ ማረጋገጫ ሰርተፊኬቶችን ሳይጠቀሙ ጥቅም ላይ የሚውሉ ቢሆኑም፣ በክፍለ-ጊዜ መጥለፍ እና በይለፍ ቃል ብልት ኃይል የተሳካ ጥቃት የመፍጠር እድሉ ከፍተኛ ነው። በሲስኮ አይኤስኢ ጉዳይ ላይ የምስክር ወረቀት ማጉደል በጣም ከባድ ይሆናል - ለዚህም ጠላፊዎች ብዙ ተጨማሪ የኮምፒዩተር ኃይል ያስፈልጋቸዋል ፣ ስለዚህ ይህ ጉዳይ በጣም ውጤታማ ነው።

ገመድ አልባ ባለሁለት-SSID

የዚህ ትዕይንት ይዘት 2 የአውታረ መረብ መለያዎችን (SSID) መጠቀም ነው። ከመካከላቸው አንዱ በሁኔታዊ ሁኔታ "እንግዳ" ተብሎ ሊጠራ ይችላል. በእሱ በኩል ሁለቱም እንግዶች እና የኩባንያው ሰራተኞች ወደ ሽቦ አልባ አውታር መግባት ይችላሉ. የኋለኛው፣ ለመገናኘት በሚሞከርበት ጊዜ፣ አቅርቦት ወደ ሚካሄድበት ልዩ ፖርታል ይመራል። ያም ማለት የምስክር ወረቀት ለተጠቃሚው ተሰጥቷል እና የእሱ የግል መሳሪያ ከሁለተኛው SSID ጋር በራስ-ሰር እንደገና እንዲገናኝ ተዋቅሯል ፣ እሱም ቀድሞውኑ EAP-TLSን ከመጀመሪያው ጉዳይ ጥቅሞች ጋር ይጠቀማል።

የማክ ማረጋገጫ ማለፊያ እና መገለጫ

ሌላው ታዋቂ ጉዳይ የተገናኘውን መሳሪያ አይነት በራስ-ሰር መፈለግ እና በእሱ ላይ ትክክለኛ ገደቦችን መተግበር ነው። እሱ የሚስበው ለምንድን ነው? እውነታው ግን 802.1X ማረጋገጥን የማይደግፉ በጣም ጥቂት መሳሪያዎች አሁንም አሉ. ስለዚህ ፣ እንደዚህ ያሉ መሳሪያዎችን በ MAC አድራሻ ወደ አውታረ መረቡ መፍቀድ አለብዎት ፣ ይህም ለመጭበርበር በጣም ቀላል ነው። Cisco ISE ለማዳን የሚመጣው እዚህ ላይ ነው፡ በስርዓቱ እገዛ አንድ መሳሪያ በኔትወርኩ ላይ እንዴት እንደሚሰራ ማየት፣ ለእሱ መገለጫ መፍጠር እና የሌሎች መሳሪያዎችን ቡድን ከእሱ ጋር ማገናኘት ይችላሉ ለምሳሌ የአይፒ ስልክ። እና የስራ ቦታ. አንድ አጥቂ የማክ አድራሻውን ለመንጠቅ እና ከአውታረ መረቡ ጋር ለመገናኘት ከሞከረ ስርዓቱ የመሳሪያው መገለጫ መቀየሩን ያያል፣ አጠራጣሪ ባህሪን ይጠቁማል እና አጠራጣሪውን ተጠቃሚ ወደ አውታረ መረቡ እንዳይገባ ይከለክላል።

ኢኤፒ ሰንሰለት

EAP-Chaining ቴክኖሎጂ የስራውን ፒሲ እና የተጠቃሚ መለያ በቅደም ተከተል ማረጋገጥን ያካትታል። ይህ ጉዳይ በጣም ተስፋፍቷል, ምክንያቱም. ብዙ ኩባንያዎች አሁንም የሰራተኞችን የግል መግብሮች ከድርጅት LAN ጋር ማገናኘት አይቀበሉም። ይህንን የማረጋገጫ አካሄድ በመጠቀም አንድ የተወሰነ የስራ ቦታ የጎራ አባል መሆኑን ማረጋገጥ ይችላሉ፣ እና ውጤቱ አሉታዊ ከሆነ ተጠቃሚው ወይ ወደ አውታረ መረቡ ውስጥ አይገባም ፣ ወይም ይመጣል ፣ ግን በተወሰኑ ገደቦች።

በመለጠፍ ላይ

በዚህ ሁኔታ ውስጥ, እኛ የመረጃ ደህንነት መስፈርቶች ጋር ያለውን የሥራ ጣቢያ ሶፍትዌር ስብጥር ተገዢነት ለመገምገም እያወራን ነው. ይህንን ቴክኖሎጂ በመጠቀም ሶፍትዌሩ በስራ ቦታው ላይ ወቅታዊ መሆኑን ፣የመከላከያ መሳሪያዎች በላዩ ላይ ከተጫኑ ፣የአስተናጋጁ ፋየርዎል ከተዋቀረ ወዘተ ማረጋገጥ ይችላሉ። የሚገርመው ነገር ይህ ቴክኖሎጂ ሌሎች ደህንነታዊ ያልሆኑ ተግባራትን እንድትፈጽም ይፈቅድልሃል፣ ለምሳሌ አስፈላጊ የሆኑ ፋይሎች መኖራቸውን መፈተሽ ወይም ስርዓት-ሰፊ ሶፍትዌር መጫን።

ብዙም ያልተለመዱ የሲስኮ አይኤስኢ አጠቃቀሞች እንደ የመዳረሻ መቆጣጠሪያ ከጫፍ እስከ ጫፍ የጎራ ማረጋገጫ (ፓስሲቭ መታወቂያ)፣ በኤስጂቲ ላይ የተመሰረተ ጥቃቅን ክፍፍል እና ማጣሪያ፣ እንዲሁም ከሞባይል መሳሪያ አስተዳደር (ኤምዲኤም) ስርዓቶች እና የተጋላጭነት ስካነሮች ጋር መቀላቀል ያሉ ናቸው። የተጋላጭነት ስካነር)።

መደበኛ ያልሆኑ ፕሮጄክቶች፡ ለምን ሌላ ለምን Cisco ISE ሊፈልጉ ይችላሉ፣ ወይም 3 ከስንት አንዴ ከኛ ልምምድ

በሊኑክስ ላይ የተመሰረቱ አገልጋዮች መዳረሻን ይቆጣጠሩ

አንዴ የ Cisco ISE ስርዓትን ለተተገበሩ ደንበኞች ለአንዱ ቀላል ያልሆነ ጉዳይ ከፈታን በኋላ፡ ሊኑክስ በተጫኑ አገልጋዮች ላይ የተጠቃሚ እርምጃዎችን (በአብዛኛው አስተዳዳሪዎችን) ለመቆጣጠር የሚያስችል መንገድ መፈለግ ነበረብን። መልሱን ፍለጋ ነፃውን ሶፍትዌር ፒኤም ራዲየስ ሞዱል ለመጠቀም ሃሳቡን አመጣን ይህም በውጫዊ ራዲየስ አገልጋይ ላይ በማረጋገጥ ሊኑክስን ወደሚያሄዱ አገልጋዮች ለመግባት ያስችላል። በዚህ ረገድ ሁሉም ነገር ለአንድ "ነገር ግን" ካልሆነ ጥሩ ይሆናል: ለማረጋገጫ ጥያቄ ምላሽ ሲላክ, ራዲየስ አገልጋዩ የመለያውን ስም እና ውጤቱን ብቻ ይመልሳል - ተቀባይነት አግኝቷል ወይም ገምግሟል. ይህ በእንዲህ እንዳለ፣ በሊኑክስ ውስጥ ፍቃድ ለማግኘት፣ ተጠቃሚው ቢያንስ የሆነ ቦታ እንዲደርስ ቢያንስ አንድ ተጨማሪ መለኪያ መመደብ ያስፈልግዎታል። ይህንን እንደ ራዲየስ ባህሪ የምናስተላልፍበት መንገድ አላገኘንም፣ ስለዚህ በአስተናጋጆች ላይ የርቀት መለያዎችን በከፊል አውቶማቲክ ሁነታ ለመፍጠር ልዩ ስክሪፕት ጻፍን። ከአስተዳዳሪ መለያዎች ጋር እየተገናኘን ስለነበር ቁጥራቸው ያን ያህል ትልቅ ያልነበረው ይህ ተግባር በጣም የሚቻል ነበር። በመቀጠል ተጠቃሚዎች ወደ አስፈላጊው መሣሪያ ሄዱ, ከዚያ በኋላ አስፈላጊውን መዳረሻ ተሰጥቷቸዋል. ምክንያታዊ ጥያቄ ይነሳል: እንደዚህ ባሉ ጉዳዮች ላይ Cisco ISE ን መጠቀም አስፈላጊ ነው? በእውነቱ ፣ አይሆንም - ማንኛውም ራዲየስ አገልጋይ ይሠራል ፣ ግን ደንበኛው ቀድሞውኑ ይህንን ስርዓት ስለነበረው ፣ በቀላሉ አዲስ ባህሪ ጨምረናል።

በ LAN ላይ የሃርድዌር እና የሶፍትዌር ክምችት

አንድ ጊዜ የሲስኮ አይኤስኢኢን ያለቅድመ-"ፓይለት" ለአንድ ደንበኛ ለማድረስ ፕሮጀክት ላይ ከሰራን በኋላ። ለመፍትሄው ምንም ግልጽ መስፈርቶች አልነበሩም፣ በተጨማሪም ሁሉም ነገር ከጠፍጣፋ እና ያልተከፋፈለ አውታረ መረብ ጋር እየተገናኘን ነበር፣ ይህም ስራችንን አወሳሰበ። በፕሮጀክቱ ጊዜ አውታረ መረቡ የሚደግፋቸውን ሁሉንም ሊሆኑ የሚችሉ የመገለጫ ዘዴዎችን አዋቀርተናል፡ NetFlow፣ DHCP፣ SNMP፣ AD ውህደት፣ ወዘተ። በዚህ ምክንያት የ MAR መዳረሻ ማረጋገጫው ካልተሳካ ወደ አውታረ መረቡ የመግባት ችሎታ ተዋቅሯል። ያም ማለት ማረጋገጫው ስኬታማ ባይሆንም ስርዓቱ አሁንም ተጠቃሚው ወደ አውታረ መረቡ እንዲገባ ፈቀደለት ፣ ስለ እሱ መረጃ ሰብስቦ በ ISE ዳታቤዝ ውስጥ መዝግቦታል። ይህ የአውታረ መረቡ ክትትል በበርካታ ሳምንታት ውስጥ የተገናኙ ስርዓቶችን እና ግላዊ ያልሆኑ መሳሪያዎችን ለመለየት እና እነሱን የመከፋፈል ዘዴን እንድናዳብር ረድቶናል። ከዚያ በኋላ፣ በላያቸው ላይ ስለተጫነው ሶፍትዌር መረጃ ለመሰብሰብ ወኪሉን በስራ ቦታዎች ላይ ለመጫን ድህረ-ሼሪንግ አዘጋጅተናል። ውጤቱስ ምንድን ነው? ኔትወርኩን ከፋፍለን ከስራ ጣቢያዎቹ መወገድ ያለባቸውን የሶፍትዌር ዝርዝር ለመወሰን ችለናል። ተጠቃሚዎችን በጎራ ቡድኖች የማከፋፈል እና የመዳረሻ መብቶችን የመገደብ ተጨማሪ ተግባራትን አልደብቅም ፣ ግን በዚህ መንገድ ደንበኛው በአውታረ መረቡ ላይ ምን ሃርድዌር እንደነበረው ሙሉ መረጃ አግኝተናል። በነገራችን ላይ ከሳጥኑ ውስጥ የመገለጫ ስራ ጥሩ ስራ በመኖሩ ምክንያት አስቸጋሪ አልነበረም. ደህና ፣ እና መገለጫው ካልረዳን ፣ እራሳችንን ተመለከትን ፣ መሣሪያው የተገናኘበትን የመቀየሪያ ወደብ አጉልተናል።

በስራ ጣቢያዎች ላይ የሶፍትዌር የርቀት ጭነት

ይህ ጉዳይ በእኔ ተሞክሮ ውስጥ በጣም እንግዳ ከሆኑት ውስጥ አንዱ ነው። አንድ ደንበኛ ለእርዳታ ጩኸት ካገኘን በኋላ - በ Cisco ISE ትግበራ ወቅት የሆነ ችግር ተፈጥሯል, ሁሉም ነገር ተበላሽቷል, እና ሌላ ማንም ሰው አውታረ መረቡን ማግኘት አልቻለም. መረዳት ጀመርን እና የሚከተለውን አወቅን። ኩባንያው 2000 ኮምፒውተሮች ነበሩት, የጎራ ተቆጣጣሪ በሌለበት, ከአስተዳዳሪ መለያ የሚተዳደር ነበር. ለማቀድ ዓላማ ድርጅቱ Cisco ISE ን ተግባራዊ አድርጓል። በነባር ፒሲዎች ላይ ጸረ-ቫይረስ መጫኑን፣ የሶፍትዌር አካባቢው መዘመን፣ ወዘተ. እና የአይቲ አስተዳዳሪዎች የኔትወርክ መሳሪያዎችን ወደ ስርዓቱ ስላመጡ፣ እሱን ማግኘት መቻላቸው ምክንያታዊ ነው። እንዴት እንደሚሰራ ከተመለከቱ በኋላ እና ፒሲዎቻቸውን ካዘጋጁ በኋላ አስተዳዳሪዎቹ ያለግል ጉብኝት በሠራተኛ የሥራ ቦታዎች ላይ ሶፍትዌርን በርቀት የመጫን ሀሳብ አመጡ ። በአንድ ቀን ውስጥ ምን ያህል እርምጃዎችን መቆጠብ እንደሚችሉ ያስቡ! አስተዳዳሪዎቹ በC: Program Files ማውጫ ውስጥ የተወሰነ ፋይል ስለመኖሩ የስራ ጣቢያውን በርካታ ቼኮች አከናውነዋል እና ከሌለ አውቶማቲክ ማሻሻያ ወደ የፋይል ማከማቻው ወደ .exe መጫኛ ፋይል በሚወስደው አገናኝ ተጀመረ። ይህም ተራ ተጠቃሚዎች ወደ ፋይሉ ኳስ ሄደው አስፈላጊውን ሶፍትዌር ከዚያ እንዲያወርዱ አስችሏቸዋል። እንደ አለመታደል ሆኖ አስተዳዳሪው የ ISE ስርዓቱን በደንብ አላወቀም እና የድህረ-የማቀድ ዘዴዎችን አበላሽቷል - ፖሊሲውን በተሳሳተ መንገድ ጽፏል, ይህም እኛ ለመፍታት የተሳተፍንበትን ችግር አስከትሏል. በግሌ እንደዚህ አይነት የፈጠራ አቀራረብ ከልብ አስገርሞኛል, ምክንያቱም የጎራ መቆጣጠሪያን ለመፍጠር በጣም ርካሽ እና ብዙ ጉልበት የሚጠይቅ ስለሆነ. ግን እንደ ፅንሰ-ሀሳብ ማረጋገጫ ሰርቷል ።

በባልደረባዬ ጽሑፍ ውስጥ Cisco ISE ን በሚተገበርበት ጊዜ ስለሚነሱ ቴክኒካዊ ልዩነቶች የበለጠ ያንብቡ "የ Cisco ISE ትግበራ ልምምድ. የኢንጂነር እይታ".

አርቴም ቦብሪኮቭ, የንድፍ መሐንዲስ, የመረጃ ደህንነት ማእከል, ጄት መረጃ ስርዓቶች

ከቃል በኋላ:
ምንም እንኳን ይህ ልጥፍ ስለ Cisco ISE ስርዓት ቢናገርም ፣ የተገለጹት ችግሮች ለጠቅላላው የ NAC መፍትሄዎች ክፍል ጠቃሚ ናቸው። የትኛው የሻጭ መፍትሄ ለትግበራ መታቀዱ በጣም አስፈላጊ አይደለም - አብዛኛዎቹ ከላይ ተፈጻሚነት ይኖራቸዋል።

ምንጭ: hab.com

ሙከራው ያሳያል፡ ለ Cisco ISE ትግበራ እንዴት እንደሚዘጋጁ እና ምን አይነት የስርዓት ባህሪያት እንደሚፈልጉ ይረዱ