Як часта вы купляеце нешта спантанна, паддаўшыся круты рэкламе, а потым гэта першапачаткова жаданая рэч пыліцца ў шафе, кладоўцы ці гаражы да чарговай генеральнай уборкі ці пераезду? Як вынік - расчараванне з-за неапраўданых чаканняў і марна выдаткаваных грошай. Значна горш, калі падобнае здараецца з бізнэсам. Вельмі часта маркетынгавыя трукі бываюць настолькі добрыя, што кампаніі набываюць дарагое рашэнне, не бачачы поўнай карціны яго прымянення. Між тым, пробнае тэсціраванне сістэмы дапамагае зразумець, як падрыхтаваць інфраструктуру да інтэграцыі, які функцыянал і ў якім аб'ёме варта ўкараняць. Так можна пазбегнуць велізарнай колькасці праблем з-за выбару прадукта «у сляпую». Да таго ж, укараненне пасля пісьменнага "пілота" прынясе інжынерам значна менш разбураных нервовых клетак і сівых валасоў. Разбярэмся, чаму пілотнае тэставанне так важна для паспяховага праекта, на прыкладзе папулярнай прылады для кантролю доступу да карпаратыўнай сеткі – Cisco ISE. Разгледзім як тыпавыя, так і зусім нестандартныя варыянты прымянення рашэння, якія сустракаліся ў нашай практыцы.
Cisco ISE – "Radius-сервер на стэродыях"
Cisco Identity Services Engine (ISE) – гэта платформа для стварэння сістэмы кантролю доступу да лакальна-вылічальнай сеткі арганізацыі. У экспертнай супольнасці прадукт за яго ўласцівасці далі мянушку «Radius-серверам на пазіцыі, метадалагічнай». Чаму так? Па сутнасці рашэнне з'яўляецца Radius-серверам, да якога прыкруцілі велізарную колькасць дадатковых сэрвісаў і "фішачак", якія дазваляюць атрымліваць вялікі аб'ём кантэкснай інфармацыі і прымяняць атрыманую сукупнасць дадзеных у палітыках доступу.
Як і любы іншы Radius-сервер, Cisco ISE узаемадзейнічае з сеткавым абсталяваннем узроўня доступу, збірае інфармацыю аб усіх спробах падлучэння да карпаратыўнай сеткі і на аснове палітык аўтэнтыфікацыі і аўтарызацыі пускае ці не пускае карыстачоў у ЛВС. Аднак магчымасць прафілявання, посчеринга, інтэграцыі з іншымі ИБ-рашэннямі дазваляе істотна ўскладніць логіку палітыкі аўтарызацыі і тым самым вырашаць дастаткова цяжкія і цікавыя задачы.
Укараняць нельга пілатаваць: навошта трэба тэсціраванне?
Каштоўнасць пілотнага тэсціравання — у дэманстрацыі ўсіх магчымасцей сістэмы ў канкрэтнай інфраструктуры канкрэтнай арганізацыі. Я перакананы, што пілатаванне Cisco ISE перад укараненнем карысна ўсім удзельнікам праекту, і вось чаму.
Інтэгратарам гэта дае дакладнае ўяўленне пра чаканні замоўца і дапамагае сфармаваць карэктнае тэхнічнае заданне, якое змяшчае значна больш дэталяў, чым ходкая фраза "зрабіце так, каб усё было добра". "Пілот" дазваляе нам адчуць увесь боль заказчыка, зразумець, якія задачы для яго прыярытэтныя, а якія другарадныя. Для нас гэта выдатная магчымасць разабрацца загадзя, якое абсталяванне выкарыстоўваецца ў арганізацыі, як будзе праходзіць укараненне, на якіх пляцоўках, дзе яны размешчаны і гэтак далей.
Заказчыкі ж падчас пілотнага тэсціравання бачаць рэальную сістэму ў дзеянні, знаёмяцца з яе інтэрфейсам, могуць праверыць, ці сумяшчальная яна з наяўным у іх "жалезам", і атрымаць цэласнае ўяўленне аб тым, як рашэнне будзе працаваць пасля паўнавартаснага ўкаранення. "Пілот" - гэта той самы момант, калі можна ўбачыць усе "падводныя камяні", з якімі напэўна прыйдзецца сутыкнуцца пры інтэграцыі, і вырашыць, колькі ліцэнзій трэба набыць.
Што можа «усплыць» падчас «пілота»
Такім чынам, як жа правільна падрыхтавацца да ўкаранення Cisco ISE? З нашага вопыту мы налічылі 4 асноўныя моманты, якія важна ўлічыць у працэсе пілотнага тэсціравання сістэмы.
Формаў-фактар
Для пачатку трэба вызначыцца, у якім формаў-фактары будзе рэалізаваная сістэма: фізічным ці віртуальным аплайнсе. У кожнага варыянту ёсць перавагі і недахопы. Напрыклад, моцны бок фізічнага аплайнсу - прагназуемая прадукцыйнасць, аднак нельга забываць, што такія прылады з часам састарваюцца. Віртуальныя аплайнсы менш прадказальныя, т.я. залежаць ад абсталявання, на якім разгорнутае асяроддзе віртуалізацыі, але пры гэтым маюць сур'ёзны плюс: пры наяўнасці падтрымкі іх заўсёды можна абнавіць да апошняй версіі.
Ці сумяшчальна ваша сеткавае абсталяванне з Cisco ISE?
Зразумела, ідэальным сцэнарам было б падключыць да сістэмы ўсё абсталяванне адразу. Тым не менш, гэта магчыма не заўсёды, бо шматлікія арганізацыі дагэтуль выкарыстоўваюць некіравальныя камутатары ці камутатары, не якія падтрымліваюць частка тэхналогій, на якіх працуе Cisco ISE. Дарэчы, гаворка ідзе не толькі пра камутатараў, гэта таксама могуць быць кантролеры бесправадной сеткі, VPN-канцэнтратары і любое іншае абсталяванне, да якога падключаюцца карыстачы. У маёй практыцы былі выпадкі, калі пасля дэманстрацыі сістэмы для паўнавартаснага ўкаранення замоўца абнаўляў практычна ўвесь парк камутатараў узроўня доступу на сучаснае абсталяванне Cisco. Каб пазбегнуць непрыемных сюрпрызаў, варта загадзя высветліць долю непадтрымліваемага абсталявання.
Ці ўсе вашыя прылады тыпавыя?
У любой сетцы ёсць тыпавыя прылады, з падключэннем якіх не павінна ўзнікнуць цяжкасцяў: аўтаматызаваныя працоўныя месцы, IP-тэлефоны, кропкі доступу Wi-Fi, відэакамеры і гэтак далей. Але бывае і так, што да ЛВС трэба падлучыць нетыпавыя прылады, напрыклад, канвертары сігналаў шыны RS232/Ethernet, інтэрфейсы крыніц бесперабойнага сілкавання, рознае тэхналагічнае абсталяванне і інш. Спіс такіх прылад важна вызначыць загадзя, каб на этапе ўкаранення ў вас ужо было разуменне, як тэхнічна яны будуць працаваць з Cisco ISE.
Канструктыўны дыялог з айцішнікамі
Часта заказчыкамі Cisco ISE выступаюць дэпартаменты па бяспецы, пры гэтым за наладу камутатараў узроўня доступу і Active Directory звычайна адказваюць ІТ-падраздзяленні. Таму прадуктыўнае ўзаемадзеянне бяспечнікаў і айцішнікаў - адна з важных умоў бязбольнага ўкаранення сістэмы. Калі апошнія ўспрымаюць інтэграцыю "ў штыкі", варта растлумачыць ім, чым рашэнне будзе карысна ІТ-дэпартаменту.
Топ-5 юзкейсаў Cisco ISE
Па нашым досведзе, неабходны функцыянал сістэмы таксама выяўляецца на этапе пілотнага тэставання. Ніжэй прадстаўлены некалькі найболей папулярных і меней распаўсюджаных кейсаў выкарыстання рашэння.
Бяспечны доступ у ЛВС па провадзе з EAP-TLS
Як паказваюць вынікі даследаванняў нашых пентэстэраў, даволі часта для пранікнення ў сетку кампаніі зламыснікі выкарыстоўваюць звычайныя разеткі, да якіх падлучаны друкаркі, тэлефоны, IP-камеры, Wi-Fi-кропкі і іншыя неперсанальныя сеткавыя прылады. Таму нават калі доступ у сетку ажыццяўляецца на базе тэхналогіі dot1x, але пры гэтым выкарыстоўваюцца альтэрнатыўныя пратаколы без ужывання сертыфікатаў пацверджання сапраўднасці карыстачоў, вялікая верагоднасць паспяховага нападу з перахопам сесіі і брутфорсам пароляў. У выпадку з Cisco ISE забручыць сертыфікат будзе значна складаней – для гэтага хакерам запатрабуюцца значна вялікія вылічальныя магутнасці, так што дадзены кейс вельмі эфектыўны.
Бесправадны доступ Dual-SSID
Сутнасць гэтага сцэнара заключаецца ў выкарыстанні 2 ідэнтыфікатараў сеткі (SSID). Адзін з іх умоўна можна назваць "гасцявым". Праз яго ў бесправадную сетку могуць заходзіць як госці, так і супрацоўнікі кампаніі. Апошнія пры спробе падключэння перанакіроўваюцца на спецыяльны партал, дзе адбываецца правіжынінг. Гэта значыць карыстачу выпісваецца сертыфікат і вырабляецца налада яго асабістай прылады для аўтаматычнага перападлучэння да другога SSID, у якім ужо выкарыстоўваецца EAP-TLS са ўсімі перавагамі першага кейса.
MAC Authentication Bypass і прафіляванне
Яшчэ адзін папулярны кейс складаецца ў аўтаматычным азначэнні тыпу якая падключаецца прылады і ўжыванні да яго правільных абмежаванняў. Чым ён цікавы? Справа ў тым, што да гэтага існуе даволі шмат прылад, якія не падтрымліваюць аўтэнтыфікацыю па пратаколе 802.1X. Таму пускаць у сетку такія прылады даводзіцца па MAC-адрасу, які даволі лёгка падрабіць. Тут на дапамогу прыходзіць Cisco ISE: з дапамогай сістэмы можна ўбачыць, як прылада паводзіць сябе ў сетцы, скласці яго профіль і паставіць яму ў адпаведнасць групу іншых прылад, напрыклад, IP-тэлефон і працоўную станцыю. Пры спробе зламысніка ажыццявіць спуфінг MAC-адрасы і падлучыцца да сеткі сістэма ўбачыць, што профіль прылады змяніўся, падасць сігнал аб падазроных паводзінах і не пусціць падазронага карыстача ў сетку.
EAP-Chaining
Тэхналогія EAP-Chaining мае на ўвазе паслядоўную аўтэнтыфікацыю працоўнага ПК і ўліковага запісу карыстальніка. Гэты кейс атрымаў шырокі распаўсюд, т.я. у многіх кампаніях да гэтага часу не вітаецца падлучэнне асабістых гаджэтаў работнікаў да карпаратыўнай ЛВС. Выкарыстоўваючы такі падыход да аўтэнтыфікацыі, можна праверыць, ці з'яўляецца канкрэтная працоўная станцыя чальцом дамена, і пры адмоўным выніку карыстач альбо не патрапіць у сетку, альбо зойдзе, але з вызначанымі абмежаваннямі.
Пазіраванне
У гэтым кейсе гаворка ідзе аб адзнацы адпаведнасці складу праграмнага забеспячэння працоўнай станцыі патрабаванням ИБ. З дапамогай дадзенай тэхналогіі можна праверыць, ці абноўлена ПЗ на працоўнай станцыі, ці ўсталяваныя на ёй сродкі абароны, ці наладжаны хаставы брандмаўэр і г.д. Цікава, што гэтая тэхналогія таксама дазваляе вырашаць і іншыя задачы, не злучаныя з бяспекай, напрыклад, правяраць наяўнасць неабходных файлаў ці ўсталёўкі агульнасістэмнага ПА.
Радзей сустракаюцца таксама такія сцэнары выкарыстання Cisco ISE, як кантроль доступу са скразной даменнай аўтэнтыфікацыяй (Passive ID), SGT-based мікрасегментацыя і фільтраванне, а таксама інтэграцыя з сістэмамі кіравання мабільнымі прыладамі (MDM) і сканерамі ўразлівасцяў (Vulnerability Scanner).
Нестандартныя праекты: навошта яшчэ можа спатрэбіцца Cisco ISE, ці 3 рэдкія кейсы з нашай практыкі
Кантроль доступу да сервераў на базе Linux
Аднойчы мы вырашалі даволі нетрывіяльны кейс для аднаго з замоўцаў, у якога ўжо была ўкаранёная сістэма Cisco ISE: нам трэба было знайсці спосаб кантролю карыстацкіх дзеянняў (у асноўным гэта былі адміны) на серверах з усталяванай АС Linux. У пошуках адказу нам прыйшла ідэя задзейнічаць вольнае ПЗ PAM Radius Module, якое дазваляе ажыццяўляць уваход на серверы пад кіраваннем Linux з аўтэнтыфікацыяй на вонкавым радыус-серверы. Усё ў гэтым плане было б добра, калі б не адно "але": радыус-сервер, адпраўляючы адказ на запыт аўтэнтыфікацыі, аддае толькі імя ўліковага запісу і вынік - assess accepted або assess rejected. Між тым, для аўтарызацыі ў Linux трэба прызначыць прынамсі яшчэ адзін параметр – home directory, каб карыстач хоць бы кудысьці патрапіў. Мы не знайшлі спосаб аддаваць гэта як радыус-атрыбут, таму напісалі спецыяльны скрыпт для выдаленага стварэння ўліковых запісаў на хастах у паўаўтаматычным рэжыме. Гэтая задача была цалкам здзяйсняльная, бо мы мелі справу з уліковымі запісамі адміністратараў, колькасць якіх была не гэтак вялікая. Далей карыстачы заходзілі на неабходную прыладу, пасля чаго ім прызначаўся неабходны доступ. Узнікае слушнае пытанне: ці абавязкова выкарыстоўваць у падобных кейсах менавіта Cisco ISE? Насамрэч не – падыдзе любы радыус-сервер, але бо ў замоўца ўжо была дадзеная сістэма, то мы проста дадалі да яе новую фішачку.
Інвентарызацыя "жалеза" і ПЗ у ЛВС
Неяк раз мы працавалі над праектам па пастаўцы Cisco ISE аднаму заказчыку без папярэдняга "пілота". Дакладных патрабаванняў да рашэння не было, плюс да ўсяго мы мелі справу з плоскай, несегментаванай сеткай, што ўскладняла нам задачу. Падчас праекту мы наладзілі ўсе магчымыя метады прафілявання, якія падтрымлівала сетку: NetFlow, DHCP, SNMP, інтэграцыя з AD і г.д. У выніку быў наладжаны доступ па MAR з магчымасцю зайсці ў сетку пры няўдалай аўтэнтыфікацыі. Гэта значыць, нават калі аўтэнтыфікацыя не была паспяховай, сістэма ўсё роўна пускала карыстальніка ў сетку, збірала інфармацыю аб ім і запісвала яе ў базу дадзеных ISE. Такі маніторынг сеткі на працягу некалькіх тыдняў дапамог нам вылучыць падключаюцца сістэмы і неперсанальныя прылады і выпрацаваць падыход да іх сегментацыі. Пасля гэтага мы дадаткова наладзілі посчеринг для ўсталёўкі агента на працоўныя станцыі з мэтай збору інфармацыі аб усталяваным на іх ПЗ. Што ў выніку? Нам удалося сегментаваць сетку і вызначыць спіс ПЗ, якое трэба было выдаліць з працоўных станцый. Не постаці хаваць, далейшыя задачы па размеркаванні карыстачоў па даменных групах і размежаванню правоў доступу аднялі ў нас даволі шмат часу, але такім чынам мы атрымалі поўную карціну таго, якое «жалеза» было ў сетцы ў замоўца. Дарэчы, гэта было нескладана за рахунак добрай працы прафілявання «са скрынкі». Ну, а тамака, дзе прафіляванне не дапамагло, мы глядзелі самі, вылучыўшы порт камутатара, да якога было падлучанае абсталяванне.
Выдаленая ўстаноўка ПЗ на працоўныя станцыі
Гэты кейс адзін з самых дзіўных у маёй практыцы. Аднойчы да нас звярнуўся заказчык з крыкам аб дапамозе – пры ўкараненні Cisco ISE нешта пайшло не так, усё зламалася, і ніхто больш не мог атрымаць доступ у сетку. Мы сталі разбірацца і высветлілі наступнае. У кампаніі было 2000 кампутараў, кіраванне якімі за адсутнасцю кантролера дамена ажыццяўлялася з-пад уліковага запісу адміністратара. У мэтах пасчарынгу ў арганізацыі ўкаранілі Cisco ISE. Трэба было хоць неяк зразумець, ці ўсталяваны на наяўных ПК антывірус, ці абноўленае праграмнае асяроддзе і г.д. А так як сеткавае абсталяванне ў сістэму заводзілі ІТ-адміністратары, лагічна, што ў іх быў да яе доступ. Паглядзеўшы, як яна працуе, і правёўшы посчеринг сваіх ПК, адміны прыдумалі ўсталёўваць ПЗ на працоўныя станцыі супрацоўнікаў выдалена без асабістых візітаў. Толькі ўявіце, колькі крокаў так можна зэканоміць за дзень! Адміны правялі некалькі праверак АРМ на наяўнасць вызначанага файла ў дырэкторыі C:Program Files, і пры ім адсутнасці запускалася аўтаматычная рэмедыяцыя з пераходам па спасылцы, вядучай у файлавае сховішча на ўсталявальны файл .exe. Гэта дазволіла шараговым карыстальнікам зайсці ў файлавую шары і спампаваць адтуль патрэбнае ПЗ. Нажаль, адмін дрэнна ведаў сістэму ISE і пашкодзіў механізмы посчеринга - няправільна напісаў палітыку, што і прывяло да праблемы, да рашэння якой падлучылі нас. Асабіста я шчыра здзіўлены гэтак крэатыўнаму падыходу, бо значна танней і менш працаёмка было б стварыць кантролер дамена. Але як Proof of concept гэта спрацавала.
Больш пра тэхнічныя нюансы, якія ўзнікаюць пры ўкараненні Cisco ISE, чытайце ў артыкуле майго калегі .
Арцём Бобрыкаў, інжынер-праекціроўшчык Цэнтра інфармацыйнай бяспекі кампаніі «Інфасістэмы Джэт»
пасляслоўе:
Нягледзячы на тое, што дадзеная пасада распавядае аб сістэме Сisco ISE, апісаная праблематыка актуальная для ўсяго класа рашэнняў NAC. Не гэтак важна, рашэнне якога вендара плануецца да ўкаранення, - вялікая частка вышэйсказанага застанецца прыдатнай.
Крыніца: habr.com