Колко често купувате нещо спонтанно, поддавайки се на готина реклама, а след това този първоначално желан артикул събира прах в килера, килера или гаража до следващото пролетно почистване или преместване? Резултатът е разочарование поради неоправдани очаквания и пропилени пари. Много по-лошо е, когато това се случи с бизнес. Много често маркетинговите трикове са толкова добри, че компаниите купуват скъпо решение, без да видят пълната картина на приложението му. Междувременно пробното тестване на системата помага да се разбере как да се подготви инфраструктурата за интеграция, каква функционалност и до каква степен трябва да се внедри. По този начин можете да избегнете огромен брой проблеми поради избора на продукт „на сляпо“. В допълнение, внедряването след компетентен „пилот“ ще донесе на инженерите много по-малко разрушени нервни клетки и сива коса. Нека да разберем защо пилотното тестване е толкова важно за успешен проект, използвайки примера на популярен инструмент за контрол на достъпа до корпоративна мрежа - Cisco ISE. Нека разгледаме както стандартни, така и напълно нестандартни опции за използване на решението, което срещнахме в нашата практика.
Cisco ISE - „Radius сървър на стероиди“
Cisco Identity Services Engine (ISE) е платформа за създаване на система за контрол на достъпа за локалната мрежа на организацията. В експертната общност продуктът беше наречен „Radius сървър на стероиди“ заради свойствата си. Защо така? По същество решението е Radius сървър, към който са прикачени огромен брой допълнителни услуги и „трикове“, които ви позволяват да получавате голямо количество контекстуална информация и да прилагате получения набор от данни в политики за достъп.
Подобно на всеки друг Radius сървър, Cisco ISE взаимодейства с мрежово оборудване на ниво достъп, събира информация за всички опити за свързване към корпоративната мрежа и, въз основа на политики за удостоверяване и оторизация, разрешава или отказва на потребителите достъп до LAN. Въпреки това, възможността за профилиране, публикуване и интегриране с други решения за информационна сигурност позволява значително да се усложни логиката на политиката за оторизация и по този начин да се решат доста трудни и интересни проблеми.
Внедряването не може да бъде пилотно: защо имате нужда от тестване?
Стойността на пилотното тестване е да се демонстрират всички възможности на системата в конкретната инфраструктура на конкретна организация. Вярвам, че пилотирането на Cisco ISE преди внедряването е от полза за всички, участващи в проекта, и ето защо.
Това дава на интеграторите ясна представа за очакванията на клиента и помага да се създаде правилна техническа спецификация, която съдържа много повече подробности от общата фраза „уверете се, че всичко е наред“. „Пилот“ ни позволява да усетим цялата болка на клиента, да разберем кои задачи са приоритетни за него и кои са второстепенни. За нас това е отлична възможност да разберем предварително какво оборудване се използва в организацията, как ще се извърши изпълнението, на какви обекти, къде се намират и т.н.
По време на пилотното тестване клиентите виждат реалната система в действие, запознават се с нейния интерфейс, могат да проверят дали е съвместима с техния съществуващ хардуер и получават холистично разбиране за това как решението ще работи след пълно внедряване. „Пилот“ е моментът, в който можете да видите всички клопки, които вероятно ще срещнете по време на интеграцията, и да решите колко лиценза трябва да закупите.
Какво може да „изскочи“ по време на „пилота“
И така, как правилно да се подготвите за внедряването на Cisco ISE? От нашия опит сме преброили 4 основни точки, които е важно да вземете предвид по време на пилотното тестване на системата.
Формов фактор
Първо, трябва да решите в какъв форм-фактор ще бъде внедрена системата: физически или виртуален upline. Всеки вариант има предимства и недостатъци. Например, силата на физическия upline е неговата предвидима производителност, но не трябва да забравяме, че подобни устройства остаряват с времето. Виртуалните възходящи линии са по-малко предвидими, защото... зависят от хардуера, на който е внедрена средата за виртуализация, но имат сериозно предимство: ако има налична поддръжка, те винаги могат да бъдат актуализирани до най-новата версия.
Вашето мрежово оборудване съвместимо ли е с Cisco ISE?
Разбира се, идеалният сценарий би бил да свържете цялото оборудване към системата наведнъж. Това обаче не винаги е възможно, тъй като много организации все още използват неуправляеми комутатори или комутатори, които не поддържат някои от технологиите, които изпълняват Cisco ISE. Между другото, не говорим само за комутатори, това могат да бъдат и безжични мрежови контролери, VPN концентратори и всяко друго оборудване, към което потребителите се свързват. В моята практика е имало случаи, когато след демонстриране на системата за пълно внедряване, клиентът надстрои почти целия парк от комутатори за ниво на достъп до модерно оборудване на Cisco. За да избегнете неприятни изненади, струва си да разберете предварително дела на неподдържаното оборудване.
Всичките ви устройства стандартни ли са?
Всяка мрежа има типични устройства, към които не би трябвало да е трудно да се свържете: работни станции, IP телефони, Wi-Fi точки за достъп, видеокамери и т.н. Но също така се случва, че нестандартни устройства трябва да бъдат свързани към LAN, например преобразуватели на сигнали RS232/Ethernet, интерфейси за непрекъсваемо захранване, различно технологично оборудване и т.н. Важно е предварително да се определи списъкът с такива устройства , така че на етапа на внедряване вече имате разбиране как технически ще работят с Cisco ISE.
Градивен диалог с ИТ специалисти
Клиентите на Cisco ISE често са отдели по сигурността, докато ИТ отделите обикновено отговарят за конфигурирането на превключватели на ниво достъп и Active Directory. Следователно продуктивното взаимодействие между специалистите по сигурността и ИТ специалистите е едно от важните условия за безболезнено внедряване на системата. Ако последните възприемат интеграцията с враждебност, струва си да им обясните как решението ще бъде полезно за ИТ отдела.
Топ 5 случая на използване на Cisco ISE
Според нашия опит необходимата функционалност на системата също се идентифицира на етапа на пилотно тестване. По-долу са някои от най-популярните и по-рядко срещаните случаи на употреба на решението.
Сигурен LAN достъп по кабел с EAP-TLS
Както показват резултатите от изследванията на нашите пентестери, доста често, за да проникнат в мрежата на компанията, нападателите използват обикновени гнезда, към които са свързани принтери, телефони, IP камери, Wi-Fi точки и други нелични мрежови устройства. Следователно, дори ако достъпът до мрежата е базиран на технологията dot1x, но се използват алтернативни протоколи без използване на сертификати за удостоверяване на потребителя, има голяма вероятност за успешна атака с прихващане на сесия и груба сила на пароли. В случая на Cisco ISE ще бъде много по-трудно да се открадне сертификат - за това хакерите ще се нуждаят от много повече изчислителна мощност, така че този случай е много ефективен.
Безжичен достъп с двоен SSID
Същността на този сценарий е да се използват 2 мрежови идентификатора (SSID). Един от тях условно може да се нарече „гост“. Чрез него както гости, така и служители на компанията имат достъп до безжичната мрежа. Когато се опитат да се свържат, последните се пренасочват към специален портал, където се извършва предоставянето. Тоест, на потребителя се издава сертификат и неговото лично устройство се конфигурира автоматично да се свързва повторно към втория SSID, който вече използва EAP-TLS с всички предимства на първия случай.
Байпас и профилиране на MAC удостоверяване
Друг популярен случай на използване е автоматично откриване на типа свързано устройство и прилагане на правилните ограничения към него. Защо е интересен? Факт е, че все още има доста устройства, които не поддържат удостоверяване с помощта на протокола 802.1X. Следователно такива устройства трябва да бъдат допускани до мрежата с помощта на MAC адрес, който е доста лесен за фалшифициране. Тук Cisco ISE идва на помощ: с помощта на системата можете да видите как дадено устройство се държи в мрежата, да създадете неговия профил и да го присвоите на група други устройства, например IP телефон и работна станция . Ако нападател се опита да подмени MAC адрес и да се свърже с мрежата, системата ще види, че профилът на устройството е променен, ще сигнализира за подозрително поведение и няма да допусне подозрителния потребител в мрежата.
EAP-верига
Технологията EAP-Chaining включва последователно удостоверяване на работния компютър и потребителския акаунт. Този случай нашумя, защото... Много компании все още не насърчават свързването на личните джаджи на служителите към корпоративната локална мрежа. Използвайки този подход за удостоверяване, е възможно да се провери дали определена работна станция е член на домейна и ако резултатът е отрицателен, потребителят или няма да бъде допуснат до мрежата, или ще може да влезе, но с определени ограничения.
позиране
В случая става въпрос за оценка на съответствието на софтуера на работната станция с изискванията за информационна сигурност. С помощта на тази технология можете да проверите дали софтуерът на работната станция е актуализиран, дали са инсталирани мерки за сигурност, дали защитната стена на хоста е конфигурирана и т.н. Интересното е, че тази технология ви позволява да решавате и други задачи, които не са свързани със сигурността, например проверка на наличието на необходимите файлове или инсталиране на системен софтуер.
По-рядко срещаните случаи на използване на Cisco ISE включват контрол на достъпа с удостоверяване на домейн от край до край (Пасивно ID), базирано на SGT микро-сегментиране и филтриране, както и интегриране със системи за управление на мобилни устройства (MDM) и скенери за уязвимости.
Нестандартни проекти: защо иначе може да имате нужда от Cisco ISE или 3 редки случая от нашата практика
Контрол на достъпа до Linux базирани сървъри
Веднъж решавахме доста нетривиален казус за един от клиентите, който вече имаше внедрена система Cisco ISE: трябваше да намерим начин да контролираме действията на потребителите (предимно администратори) на сървъри с инсталиран Linux. В търсене на отговор стигнахме до идеята да използваме безплатния софтуер PAM Radius Module, който ви позволява да влизате в сървъри, работещи под Linux с удостоверяване на външен радиус сървър. Всичко в това отношение би било добре, ако не беше едно „но“: радиус сървърът, изпращащ отговор на заявката за удостоверяване, дава само името на акаунта и резултата - оценката е приета или оценката е отхвърлена. Междувременно за оторизация в Linux трябва да зададете поне още един параметър - домашна директория, така че потребителят поне да стигне някъде. Не намерихме начин да дадем това като атрибут на радиус, затова написахме специален скрипт за отдалечено създаване на акаунти на хостове в полуавтоматичен режим. Тази задача беше напълно осъществима, тъй като имахме работа с администраторски акаунти, чийто брой не беше толкова голям. След това потребителите влизат в необходимото устройство, след което им се присвоява необходимият достъп. Възниква разумен въпрос: необходимо ли е да се използва Cisco ISE в такива случаи? Всъщност не - всеки радиус сървър ще свърши работа, но тъй като клиентът вече имаше тази система, ние просто добавихме нова функция към нея.
Опис на хардуер и софтуер в LAN
Веднъж работихме по проект за доставка на Cisco ISE на един клиент без предварителен „пилот“. Нямаше ясни изисквания за решението, освен това имахме работа с плоска, несегментирана мрежа, което усложняваше задачата ни. По време на проекта конфигурирахме всички възможни методи за профилиране, поддържани от мрежата: NetFlow, DHCP, SNMP, AD интеграция и др. В резултат на това MAR достъпът беше конфигуриран с възможност за влизане в мрежата, ако удостоверяването е неуспешно. Тоест, дори ако автентификацията не беше успешна, системата пак ще позволи на потребителя в мрежата, ще събере информация за него и ще я запише в базата данни на ISE. Това наблюдение на мрежата в продължение на няколко седмици ни помогна да идентифицираме свързани системи и нелични устройства и да разработим подход за тяхното сегментиране. След това допълнително конфигурирахме публикуване за инсталиране на агента на работни станции, за да събираме информация за инсталирания на тях софтуер. какъв е резултатът Успяхме да сегментираме мрежата и да определим списъка със софтуер, който трябва да бъде премахнат от работните станции. Няма да крия, че по-нататъшните задачи по разпределяне на потребители в домейн групи и очертаване на правата за достъп ни отнеха доста време, но по този начин получихме пълна картина на това какъв хардуер е имал клиентът в мрежата. Между другото, това не беше трудно поради добрата работа на профилирането извън кутията. Е, там, където профилирането не помогна, погледнахме сами, подчертавайки порта на комутатора, към който е свързано оборудването.
Дистанционно инсталиране на софтуер на работни станции
Този случай е един от най-странните в моята практика. Един ден клиент дойде при нас с вик за помощ - нещо се обърка при внедряването на Cisco ISE, всичко се счупи и никой друг не можеше да получи достъп до мрежата. Започнахме да го проучваме и разбрахме следното. Компанията имаше 2000 компютъра, които при липса на домейн контролер се управляваха от администраторски акаунт. За целите на peering организацията внедри Cisco ISE. Беше необходимо по някакъв начин да се разбере дали е инсталирана антивирусна програма на съществуващи компютри, дали софтуерната среда е актуализирана и т.н. И тъй като ИТ администраторите са инсталирали мрежово оборудване в системата, логично е да са имали достъп до него. След като видяха как работи и почистиха компютрите си, администраторите стигнаха до идеята да инсталират софтуера на работните станции на служителите от разстояние без лични посещения. Само си представете колко стъпки можете да спестите на ден по този начин! Администраторите извършиха неколкократни проверки на работната станция за наличие на конкретен файл в директорията C:Program Files и при липса на такъв се стартира автоматично коригиране чрез преминаване на линк, водещ към файловото хранилище към инсталационния .exe файл. Това позволи на обикновените потребители да отидат до споделяне на файлове и да изтеглят необходимия софтуер от там. За съжаление, администраторът не познаваше добре ISE системата и повреди механизмите за публикуване - той написа неправилно политиката, което доведе до проблем, в чието разрешаване участвахме. Лично аз съм искрено изненадан от такъв креативен подход, защото би било много по-евтино и по-малко трудоемко да се създаде домейн контролер. Но като доказателство за концепцията проработи.
Прочетете повече за техническите нюанси, които възникват при внедряването на Cisco ISE в статията на моя колега .
Артем Бобриков, инженер-конструктор на Центъра за информационна сигурност в Jet Infosystems
послеслов:
Въпреки факта, че тази публикация говори за системата Cisco ISE, описаните проблеми са от значение за целия клас NAC решения. Не е толкова важно решението на кой доставчик е планирано за внедряване - повечето от горните ще останат приложими.
Източник: www.habr.com