Nə qədər tez-tez kortəbii bir şey alırsınız, sərin bir reklama tab gətirirsiniz və sonra bu ilkin arzu olunan əşya növbəti yaz təmizliyinə və ya köçənə qədər şkafda, kilerdə və ya qarajda toz toplayır? Nəticə əsassız gözləntilər və boş yerə xərclənən pullar səbəbindən məyusluqdur. Bu, biznesin başına gələndə daha pisdir. Çox vaxt marketinq hiylələri o qədər yaxşıdır ki, şirkətlər onun tətbiqinin tam mənzərəsini görmədən bahalı bir həll alırlar. Eyni zamanda, sistemin sınaq sınağı infrastrukturun inteqrasiyaya necə hazırlanacağını, hansı funksionallığın və nə dərəcədə həyata keçirilməli olduğunu anlamağa kömək edir. Beləliklə, bir məhsulu "kor-koranə" seçdiyiniz üçün çox sayda problemdən qaça bilərsiniz. Bundan əlavə, səlahiyyətli bir "pilotdan" sonra həyata keçirilməsi mühəndislərə daha az məhv edilmiş sinir hüceyrələrini və boz saçları gətirəcəkdir. Korporativ şəbəkəyə girişi idarə etmək üçün məşhur alət - Cisco ISE nümunəsindən istifadə edərək, uğurlu layihə üçün pilot sınaqların niyə bu qədər vacib olduğunu anlayaq. Təcrübəmizdə qarşılaşdığımız həlldən istifadə üçün həm standart, həm də tamamilə qeyri-standart variantları nəzərdən keçirək.
Cisco ISE - "steroidlərdə radius serveri"
Cisco Identity Services Engine (ISE) təşkilatın yerli şəbəkəsi üçün girişə nəzarət sistemi yaratmaq üçün platformadır. Ekspert icmasında məhsul öz xassələrinə görə “Steroidlərdə Radius server” ləqəbini aldı. Niyə belədir? Əslində, həll çoxlu sayda əlavə xidmətlər və "hiylələr" əlavə olunduğu Radius serveridir ki, bu da böyük miqdarda kontekstual məlumat almağa və əldə edilən məlumat dəstini giriş siyasətlərində tətbiq etməyə imkan verir.
İstənilən digər Radius serveri kimi, Cisco ISE giriş səviyyəli şəbəkə avadanlığı ilə qarşılıqlı əlaqədə olur, korporativ şəbəkəyə qoşulmaq üçün bütün cəhdlər haqqında məlumat toplayır və autentifikasiya və avtorizasiya siyasətlərinə əsasən istifadəçilərə LAN-a icazə verir və ya rədd edir. Bununla belə, profilləşdirmə, yerləşdirmə və digər informasiya təhlükəsizliyi həlləri ilə inteqrasiya imkanı avtorizasiya siyasətinin məntiqini əhəmiyyətli dərəcədə çətinləşdirməyə və bununla da kifayət qədər çətin və maraqlı problemləri həll etməyə imkan verir.
Tətbiq sınaqdan keçirilə bilməz: niyə testə ehtiyacınız var?
Pilot sınaqların dəyəri konkret təşkilatın xüsusi infrastrukturunda sistemin bütün imkanlarını nümayiş etdirməkdir. İnanıram ki, Cisco ISE-nin həyata keçirilməsindən əvvəl sınaqdan keçirilməsi layihədə iştirak edən hər kəsə fayda verir və bunun səbəbi budur.
Bu, inteqratorlara müştərinin gözləntiləri haqqında aydın təsəvvür yaradır və “hər şeyin yaxşı olduğundan əmin olun” ümumi ifadəsindən daha çox təfərrüatları ehtiva edən düzgün texniki spesifikasiya yaratmağa kömək edir. “Pilot” bizə müştərinin bütün ağrılarını hiss etməyə, onun üçün hansı vəzifələrin prioritet, hansının ikinci dərəcəli olduğunu anlamağa imkan verir. Bizim üçün bu, təşkilatda hansı avadanlıqdan istifadə edildiyini, həyata keçirilməsinin necə aparılacağını, hansı saytlarda, harada yerləşdiyini və s.
Pilot sınaq zamanı müştərilər real sistemi işlək vəziyyətdə görür, onun interfeysi ilə tanış olur, onun mövcud avadanlıqları ilə uyğun olub-olmadığını yoxlaya və tam tətbiq edildikdən sonra həllin necə işləyəcəyi barədə vahid anlayış əldə edə bilərlər. “Pilot” inteqrasiya zamanı qarşılaşa biləcəyiniz bütün tələləri görə biləcəyiniz və neçə lisenziya almalı olduğunuza qərar verdiyiniz andır.
"Pilot" zamanı nə "açılır"
Beləliklə, Cisco ISE-nin tətbiqinə necə düzgün hazırlaşırsınız? Təcrübəmizə əsasən, sistemin sınaq sınaqları zamanı nəzərə alınması vacib olan 4 əsas məqamı saydıq.
Forma Faktor
Əvvəlcə sistemin hansı forma faktorunda həyata keçiriləcəyinə qərar verməlisiniz: fiziki və ya virtual üst xətt. Hər bir variantın üstünlükləri və mənfi cəhətləri var. Məsələn, fiziki yuxarı xəttin gücü onun proqnozlaşdırıla bilən performansıdır, lakin bu cür cihazların zamanla köhnəldiyini unutmamalıyıq. Virtual yuxarı xətlər daha az proqnozlaşdırıla bilər, çünki... virtuallaşdırma mühitinin yerləşdirildiyi aparatdan asılıdır, lakin onların ciddi üstünlüyü var: əgər dəstək varsa, onlar həmişə ən son versiyaya yenilənə bilər.
Şəbəkə avadanlığınız Cisco ISE ilə uyğundurmu?
Əlbəttə ki, ideal ssenari bütün avadanlıqları bir anda sistemə qoşmaq olardı. Bununla belə, bu həmişə mümkün olmur, çünki bir çox təşkilat hələ də idarə olunmayan açarlardan və ya Cisco ISE-ni idarə edən bəzi texnologiyaları dəstəkləməyən açarlardan istifadə edir. Yeri gəlmişkən, biz təkcə açarlardan danışmırıq, həm də simsiz şəbəkə nəzarətçiləri, VPN konsentratorları və istifadəçilərin qoşulduğu hər hansı digər avadanlıq ola bilər. Təcrübəmdə belə hallar olub ki, sistemi tam tətbiq etmək üçün nümayiş etdirdikdən sonra müştəri demək olar ki, bütün giriş səviyyələri parkını müasir Cisco avadanlığına yeniləyib. Xoşagəlməz sürprizlərin qarşısını almaq üçün dəstəklənməyən avadanlıqların nisbətini əvvəlcədən öyrənməyə dəyər.
Bütün cihazlarınız standartdır?
Hər hansı bir şəbəkəyə qoşulmaq çətin olmayan tipik cihazlar var: iş stansiyaları, IP telefonlar, Wi-Fi giriş nöqtələri, video kameralar və s. Amma elə olur ki, qeyri-standart cihazları LAN şəbəkəsinə qoşmaq lazımdır, məsələn, RS232/Ethernet avtobus siqnal çeviriciləri, fasiləsiz enerji təchizatı interfeysləri, müxtəlif texnoloji avadanlıqlar və s.Belə cihazların siyahısını əvvəlcədən müəyyən etmək vacibdir. , belə ki, həyata keçirmə mərhələsində onların Cisco ISE ilə texniki cəhətdən necə işləyəcəklərini artıq başa düşəcəksiniz.
İT mütəxəssisləri ilə konstruktiv dialoq
Cisco ISE müştəriləri çox vaxt təhlükəsizlik departamentləridir, İT departamentləri isə adətən giriş səviyyəsinin açarlarını və Active Directory-nin konfiqurasiyasına cavabdehdirlər. Buna görə də, təhlükəsizlik mütəxəssisləri və İT mütəxəssisləri arasında məhsuldar qarşılıqlı əlaqə sistemin ağrısız şəkildə həyata keçirilməsi üçün vacib şərtlərdən biridir. Əgər sonuncular inteqrasiyanı düşmənçiliklə qəbul edərlərsə, onlara həllin İT şöbəsi üçün necə faydalı olacağını izah etməyə dəyər.
Ən yaxşı 5 Cisco ISE istifadə halları
Təcrübəmizdə sistemin tələb olunan funksionallığı da pilot sınaq mərhələsində müəyyən edilir. Aşağıda həll üçün ən populyar və daha az yayılmış istifadə hallarından bəziləri verilmişdir.
EAP-TLS ilə tel üzərindən təhlükəsiz LAN girişi
Pentesterlərimizin tədqiqatlarının nəticələri göstərir ki, bir şirkətin şəbəkəsinə nüfuz etmək üçün çox vaxt təcavüzkarlar printerlərin, telefonların, IP kameraların, Wi-Fi nöqtələrinin və digər qeyri-şəxsi şəbəkə cihazlarının qoşulduğu adi rozetkalardan istifadə edirlər. Buna görə də, şəbəkəyə giriş dot1x texnologiyasına əsaslansa da, lakin istifadəçi autentifikasiyası sertifikatlarından istifadə etmədən alternativ protokollardan istifadə edilsə belə, sessiyanın ələ keçirilməsi və kobud güc parolları ilə uğurlu hücum ehtimalı yüksəkdir. Cisco ISE vəziyyətində sertifikat oğurlamaq daha çətin olacaq - bunun üçün hakerlərə daha çox hesablama gücü lazım olacaq, ona görə də bu iş çox effektivdir.
Dual-SSID simsiz giriş
Bu ssenarinin mahiyyəti 2 şəbəkə identifikatorundan (SSID) istifadə etməkdir. Onlardan birini şərti olaraq “qonaq” adlandırmaq olar. Onun vasitəsilə həm qonaqlar, həm də şirkət əməkdaşları simsiz şəbəkəyə daxil ola bilərlər. Qoşulmağa cəhd etdikdə, sonuncular hazırlığın baş verdiyi xüsusi portala yönləndirilir. Yəni istifadəçiyə sertifikat verilir və onun şəxsi cihazı artıq birinci işin bütün üstünlükləri ilə EAP-TLS-dən istifadə edən ikinci SSID-ə avtomatik olaraq yenidən qoşulmaq üçün konfiqurasiya edilir.
MAC Authentication Bypass və Profiling
Digər məşhur istifadə halı, qoşulan cihazın növünü avtomatik aşkar etmək və ona düzgün məhdudiyyətlər tətbiq etməkdir. O niyə maraqlıdır? Fakt budur ki, 802.1X protokolundan istifadə edərək autentifikasiyanı dəstəkləməyən hələ də kifayət qədər çox cihaz var. Buna görə də, bu cür cihazların saxtalaşdırılması olduqca asan olan MAC ünvanından istifadə edərək şəbəkəyə icazə verilməlidir. Burada Cisco ISE köməyə gəlir: sistemin köməyi ilə siz cihazın şəbəkədə necə davrandığını görə bilərsiniz, onun profilini yarada və onu digər cihazlar qrupuna, məsələn, İP telefona və iş stansiyasına təyin edə bilərsiniz. . Təcavüzkar MAC ünvanını saxtalaşdırmağa və şəbəkəyə qoşulmağa cəhd edərsə, sistem cihaz profilinin dəyişdiyini görəcək, şübhəli davranış barədə siqnal verəcək və şübhəli istifadəçini şəbəkəyə buraxmayacaq.
EAP-Zəncirvari
EAP-Chaining texnologiyası işləyən PC və istifadəçi hesabının ardıcıl autentifikasiyasını əhatə edir. Bu hal geniş yayılıb, çünki... Bir çox şirkət hələ də işçilərin şəxsi gadgetlarını korporativ LAN-a qoşmağı təşviq etmir. Bu autentifikasiya yanaşmasından istifadə etməklə konkret iş stansiyasının domenin üzvü olub-olmadığını yoxlamaq mümkündür və nəticə mənfi olarsa, istifadəçi ya şəbəkəyə buraxılmayacaq, ya da daxil ola biləcək, lakin müəyyən məhdudiyyətlər.
Duruş
Bu iş iş stansiyasının proqram təminatının informasiya təhlükəsizliyi tələblərinə uyğunluğunun qiymətləndirilməsinə aiddir. Bu texnologiyadan istifadə etməklə siz iş stansiyasındakı proqram təminatının yenilənib-yenilənmədiyini, orada təhlükəsizlik tədbirlərinin quraşdırılıb-qurulmadığını, host firewall-un konfiqurasiya edilib-edilmədiyini və s. Maraqlıdır ki, bu texnologiya həm də təhlükəsizliklə əlaqəli olmayan digər vəzifələri həll etməyə imkan verir, məsələn, lazımi faylların mövcudluğunu yoxlamaq və ya bütün sistem proqramlarını quraşdırmaq.
Cisco ISE üçün daha az yayılmış istifadə hallarına domen identifikasiyası (Passiv ID), SGT əsaslı mikro-seqmentasiya və filtrləmə, həmçinin mobil cihaz idarəetmə (MDM) sistemləri və Zəiflik Skanerləri ilə inteqrasiya daxildir.
Qeyri-standart layihələr: başqa nə üçün sizə Cisco ISE və ya təcrübəmizdən 3 nadir hal lazım ola bilər
Linux əsaslı serverlərə giriş nəzarəti
Bir dəfə biz artıq Cisco ISE sistemini tətbiq etmiş müştərilərdən biri üçün olduqca qeyri-ciddi işi həll edirdik: Linux quraşdırılmış serverlərdə istifadəçi hərəkətlərinə (əsasən administratorlar) nəzarət etmək üçün bir yol tapmaq lazım idi. Cavab axtarışında biz xarici radius serverində autentifikasiya ilə Linux ilə işləyən serverlərə daxil olmağa imkan verən pulsuz PAM Radius Modulu proqram təminatından istifadə etmək ideyası ilə qarşılaşdıq. Bu mövzuda hər şey yaxşı olardı, əgər bir "amma" olmasaydı: identifikasiya sorğusuna cavab göndərən radius serveri yalnız hesabın adını və nəticəsini verir - qəbul edilənləri qiymətləndirin və ya rədd edilənləri qiymətləndirin. Bu vaxt, Linux-da avtorizasiya üçün ən azı daha bir parametr təyin etməlisiniz - ev kataloqu ki, istifadəçi heç olmasa bir yerə getsin. Biz bunu radius atributu kimi vermək üçün bir yol tapmadıq, ona görə də yarı avtomatik rejimdə hostlarda uzaqdan hesab yaratmaq üçün xüsusi skript yazdıq. Bu tapşırıq olduqca mümkün idi, çünki biz administrator hesabları ilə məşğul idik, onların sayı o qədər də böyük deyildi. Sonra, istifadəçilər tələb olunan cihaza daxil oldular, bundan sonra onlara lazımi giriş verildi. Ağlabatan sual yaranır: belə hallarda Cisco ISE-dən istifadə etmək lazımdırmı? Əslində, yox - hər hansı bir radius server edəcək, lakin müştəri artıq bu sistemə sahib olduğundan, biz sadəcə ona yeni bir xüsusiyyət əlavə etdik.
LAN-da aparat və proqram təminatının inventarlaşdırılması
Biz bir dəfə ilkin “pilot” olmadan bir müştəriyə Cisco ISE-ni təmin etmək layihəsi üzərində işləmişik. Həll üçün dəqiq tələblər yox idi, üstəlik biz düz, seqmentləşdirilməmiş şəbəkə ilə məşğul idik, bu da işimizi çətinləşdirirdi. Layihə zamanı biz şəbəkənin dəstəklədiyi bütün mümkün profilləşdirmə üsullarını konfiqurasiya etdik: NetFlow, DHCP, SNMP, AD inteqrasiyası və s. Nəticədə, MAR girişi autentifikasiya uğursuz olarsa, şəbəkəyə daxil olmaq imkanı ilə konfiqurasiya edilmişdir. Yəni autentifikasiya uğurlu olmasa belə, sistem yenə də istifadəçini şəbəkəyə buraxacaq, onun haqqında məlumat toplayıb İSE məlumat bazasında qeyd edəcəkdi. Bir neçə həftə ərzində bu şəbəkə monitorinqi bizə qoşulmuş sistemləri və qeyri-şəxsi cihazları müəyyən etməyə və onları seqmentləşdirməyə yanaşma hazırlamağa kömək etdi. Bundan sonra biz əlavə olaraq onların üzərində quraşdırılmış proqram təminatı haqqında məlumat toplamaq üçün agenti iş stansiyalarında quraşdırmaq üçün yerləşdirməni konfiqurasiya etdik. Nəticə nədir? Biz şəbəkəni seqmentləşdirə və iş stansiyalarından silinməli olan proqram təminatının siyahısını müəyyən edə bildik. Gizlətməyəcəyəm ki, istifadəçiləri domen qruplarına paylamaq və giriş hüquqlarını müəyyən etmək üçün əlavə tapşırıqlar bizə çox vaxt apardı, lakin bu yolla müştərinin şəbəkədə hansı aparatlara malik olduğu barədə tam təsəvvür əldə etdik. Yeri gəlmişkən, bu, qutudan kənarda profilləşdirmənin yaxşı işinə görə çətin deyildi. Yaxşı, profilləşdirmə kömək etmədiyi yerdə, avadanlıqların qoşulduğu keçid portunu vurğulayaraq özümüzə baxdıq.
İş stansiyalarında proqram təminatının uzaqdan quraşdırılması
Bu hadisə mənim təcrübəmdə ən qəribə hadisələrdən biridir. Bir gün müştəri bizə kömək üçün fəryadla gəldi - Cisco ISE tətbiq edərkən nəsə səhv oldu, hər şey pozuldu və başqa heç kim şəbəkəyə daxil ola bilmədi. Biz onu araşdırmağa başladıq və aşağıdakıları öyrəndik. Şirkətin 2000 kompüteri var idi, domen nəzarətçisi olmadığı halda onlar administrator hesabı ilə idarə olunurdu. Təşkilat nəzərdən keçirmək məqsədi ilə Cisco ISE tətbiq etdi. Mövcud kompüterlərdə antivirusun quraşdırılıb-qurulmadığını, proqram mühitinin yeniləndiyini və s. Və İT administratorları sistemə şəbəkə avadanlığı quraşdırdıqlarına görə, onların buna çıxışı olması məntiqlidir. Bunun necə işlədiyini gördükdən və fərdi kompüterlərini gəzdirdikdən sonra idarəçilər proqram təminatını işçilərin iş stansiyalarına şəxsi ziyarətlər olmadan uzaqdan quraşdırmaq ideyası ilə gəldilər. Təsəvvür edin ki, bu yolla gündə neçə addıma qənaət edə bilərsiniz! İnzibatçılar C:Program Files qovluğunda müəyyən bir faylın olub-olmaması üçün iş stansiyasının bir neçə yoxlamasını həyata keçirdilər və əgər bu yoxdursa, faylın saxlanmasına .exe faylının quraşdırılmasına aparan keçidi izləyərək avtomatik düzəliş başladıldı. Bu, adi istifadəçilərə fayl paylaşımına getmək və oradan lazımi proqramı yükləmək imkanı verdi. Təəssüf ki, admin ISE sistemini yaxşı bilmirdi və yerləşdirmə mexanizmlərini zədələdi - o, siyasəti səhv yazdı, bu da həllində iştirak etdiyimiz problemə səbəb oldu. Şəxsən mən belə bir yaradıcı yanaşmadan səmimi təəccüblənirəm, çünki domen nəzarətçisi yaratmaq çox daha ucuz və daha az əmək sərf edərdi. Ancaq konsepsiyanın sübutu olaraq işlədi.
Cisco ISE-nin tətbiqi zamanı yaranan texniki nüanslar haqqında həmkarımın məqaləsində oxuyun .
Artem Bobrikov, Jet Infosystems İnformasiya Təhlükəsizliyi Mərkəzinin dizayn mühəndisi
Sözündən sonra:
Bu yazının Cisco ISE sistemindən bəhs etməsinə baxmayaraq, təsvir olunan problemlər bütün NAC həllər sinfi üçün aktualdır. Hansı təchizatçının həllinin həyata keçirilməsinin planlaşdırıldığı o qədər də vacib deyil - yuxarıda göstərilənlərin əksəriyyəti qüvvədə qalacaq.
Mənbə: www.habr.com