Koliko često kupujete nešto spontano, podlegnuvši kul reklami, a onda ovaj prvobitno željeni predmet skuplja prašinu u ormaru, ostavi ili garaži do sljedećeg proljetnog čišćenja ili selidbe? Rezultat je razočarenje zbog neopravdanih očekivanja i bačenog novca. Mnogo je gore kada se ovo desi preduzeću. Vrlo često su marketinški trikovi toliko dobri da kompanije kupuju skupo rješenje, a da ne vide potpunu sliku njegove primjene. U međuvremenu, probno testiranje sistema pomaže da se shvati kako pripremiti infrastrukturu za integraciju, koje funkcionalnosti i u kojoj mjeri treba implementirati. Na taj način možete izbjeći veliki broj problema zbog odabira proizvoda „na slijepo“. Osim toga, implementacija nakon kompetentnog "pilot-a" donijet će inženjerima mnogo manje uništenih nervnih ćelija i sijede kose. Hajde da shvatimo zašto je pilot testiranje toliko važno za uspešan projekat, koristeći primer popularnog alata za kontrolu pristupa korporativnoj mreži - Cisco ISE. Razmotrimo i standardne i potpuno nestandardne opcije za korištenje rješenja na koje smo naišli u našoj praksi.
Cisco ISE - “Radius server na steroidima”
Cisco Identity Services Engine (ISE) je platforma za kreiranje sistema kontrole pristupa za lokalnu mrežu organizacije. U stručnoj zajednici, proizvod je zbog svojih svojstava dobio nadimak “Radius server na steroidima”. Žašto je to? U suštini, rješenje je Radius server, na koji je priključen ogroman broj dodatnih servisa i „trikova“ koji vam omogućavaju da primite veliku količinu kontekstualnih informacija i primijenite rezultirajući skup podataka u politike pristupa.
Kao i svaki drugi Radius server, Cisco ISE stupa u interakciju sa mrežnom opremom na nivou pristupa, prikuplja informacije o svim pokušajima povezivanja na korporativnu mrežu i, na osnovu politika autentifikacije i autorizacije, dozvoljava ili odbija korisnicima pristup LAN-u. Međutim, mogućnost profiliranja, postavljanja i integracije sa drugim rješenjima za informatičku sigurnost omogućava značajno kompliciranje logike politike autorizacije i time rješavanje prilično teških i zanimljivih problema.
Implementacija se ne može pilotirati: zašto vam je potrebno testiranje?
Vrijednost pilot testiranja je demonstriranje svih mogućnosti sistema u specifičnoj infrastrukturi određene organizacije. Vjerujem da pilotiranje Cisco ISE prije implementacije koristi svima koji su uključeni u projekat, a evo zašto.
To integratorima daje jasnu predstavu o očekivanjima kupaca i pomaže u formuliranju ispravne tehničke specifikacije koja sadrži mnogo više detalja od uobičajene fraze „pobrinite se da je sve u redu“. „Pilot“ nam omogućava da osjetimo svu bol korisnika, da shvatimo koji su zadaci za njega prioritetni, a koji sekundarni. Za nas je ovo odlična prilika da unaprijed shvatimo koja oprema se koristi u organizaciji, kako će se implementacija odvijati, na kojim lokacijama, gdje se nalaze i tako dalje.
Tokom pilot testiranja, korisnici vide pravi sistem u akciji, upoznaju se sa njegovim interfejsom, mogu da provere da li je kompatibilan sa njihovim postojećim hardverom i steknu holističko razumevanje kako će rešenje funkcionisati nakon pune implementacije. “Pilot” je upravo trenutak kada možete vidjeti sve zamke na koje ćete vjerovatno naići tokom integracije i odlučiti koliko licenci trebate kupiti.
Šta može "iskočiti" tokom "pilota"
Dakle, kako se pravilno pripremiti za implementaciju Cisco ISE? Iz našeg iskustva, izbrojali smo 4 glavne tačke koje je važno uzeti u obzir tokom pilot testiranja sistema.
Faktor forme
Prvo, morate odlučiti u kom faktoru forme će sistem biti implementiran: fizički ili virtuelni upline. Svaka opcija ima prednosti i nedostatke. Na primjer, snaga fizičkog upline-a je njegova predvidljiva izvedba, ali ne smijemo zaboraviti da takvi uređaji vremenom zastarevaju. Virtuelni usponi su manje predvidljivi jer... ovise o hardveru na kojem je virtualizacijsko okruženje raspoređeno, ali imaju ozbiljnu prednost: ako je podrška dostupna, uvijek se mogu ažurirati na najnoviju verziju.
Da li je vaša mrežna oprema kompatibilna sa Cisco ISE?
Naravno, idealan scenario bi bio da se sva oprema poveže na sistem odjednom. Međutim, to nije uvijek moguće jer mnoge organizacije još uvijek koriste neupravljane prekidače ili prekidače koji ne podržavaju neke od tehnologija koje pokreću Cisco ISE. Inače, ne govorimo samo o prekidačima, to mogu biti i bežični mrežni kontroleri, VPN koncentratori i bilo koja druga oprema na koju se korisnici povezuju. U mojoj praksi bilo je slučajeva kada je, nakon demonstracije sistema za punu implementaciju, korisnik nadogradio skoro čitavu flotu prekidača nivoa pristupa na savremenu Cisco opremu. Da biste izbjegli neugodna iznenađenja, vrijedi unaprijed saznati udio nepodržane opreme.
Jesu li svi vaši uređaji standardni?
Svaka mreža ima tipične uređaje na koje ne bi trebalo biti teško povezati se: radne stanice, IP telefone, Wi-Fi pristupne tačke, video kamere i tako dalje. Ali dešava se i da na LAN treba da se povežu nestandardni uređaji, na primer, RS232/Ethernet bus pretvarači signala, interfejsi za besprekidno napajanje, razna tehnološka oprema itd. Važno je unapred odrediti listu takvih uređaja. , tako da u fazi implementacije već imate razumijevanje kako će tehnički raditi sa Cisco ISE.
Konstruktivan dijalog sa IT stručnjacima
Korisnici Cisco ISE-a su često odeljenja za bezbednost, dok su IT odeljenja obično odgovorna za konfigurisanje prekidača sloja pristupa i Active Directory. Stoga je produktivna interakcija između stručnjaka za sigurnost i IT stručnjaka jedan od važnih uslova za bezbolnu implementaciju sistema. Ako ovi drugi doživljavaju integraciju s neprijateljstvom, vrijedi im objasniti kako će rješenje biti korisno IT odjelu.
5 najboljih slučajeva upotrebe Cisco ISE
Prema našem iskustvu, potrebna funkcionalnost sistema se takođe identifikuje u fazi pilot testiranja. Ispod su neki od najpopularnijih i manje uobičajenih slučajeva korištenja rješenja.
Siguran LAN pristup preko žice sa EAP-TLS
Kako pokazuju rezultati istraživanja naših pentestera, prilično često za prodor u mrežu kompanije, napadači koriste obične utičnice na koje su povezani štampači, telefoni, IP kamere, Wi-Fi tačke i drugi nelični mrežni uređaji. Stoga, čak i ako je pristup mreži zasnovan na dot1x tehnologiji, ali se koriste alternativni protokoli bez korištenja certifikata za autentifikaciju korisnika, postoji velika vjerovatnoća uspješnog napada presretanja sesije i brute-force lozinki. U slučaju Cisco ISE, biće mnogo teže ukrasti sertifikat - za to će hakerima biti potrebno mnogo više računarske snage, tako da je ovaj slučaj veoma efikasan.
Dual-SSID bežični pristup
Suština ovog scenarija je korištenje 2 mrežna identifikatora (SSID). Jedan od njih se uslovno može nazvati "gost". Preko njega i gosti i zaposleni u kompaniji mogu pristupiti bežičnoj mreži. Kada pokušaju da se povežu, potonji se preusmjeravaju na poseban portal gdje se vrši opskrba. Odnosno, korisniku se izdaje sertifikat i njegov lični uređaj je konfigurisan za automatsko ponovno povezivanje na drugi SSID, koji već koristi EAP-TLS sa svim prednostima prvog slučaja.
Zaobilazak i profiliranje MAC autentifikacije
Još jedan popularan slučaj upotrebe je automatsko otkrivanje tipa uređaja koji se povezuje i primjena ispravnih ograničenja na njega. Zašto je zanimljiv? Činjenica je da još uvijek postoji dosta uređaja koji ne podržavaju autentifikaciju pomoću 802.1X protokola. Stoga se takvi uređaji moraju pustiti na mrežu koristeći MAC adresu, što je prilično lako lažirati. Tu u pomoć priskače Cisco ISE: uz pomoć sistema možete vidjeti kako se uređaj ponaša na mreži, kreirati njegov profil i dodijeliti ga grupi drugih uređaja, na primjer, IP telefonu i radnoj stanici . Ako napadač pokuša lažirati MAC adresu i povezati se na mrežu, sistem će vidjeti da se profil uređaja promijenio, signalizirat će sumnjivo ponašanje i neće dozvoliti sumnjivom korisniku u mrežu.
EAP-Chaining
EAP-Chaining tehnologija uključuje sekvencijalnu autentifikaciju radnog računara i korisničkog naloga. Ovaj slučaj je postao raširen jer... Mnoge kompanije još uvijek ne ohrabruju povezivanje ličnih gadžeta zaposlenih na korporativni LAN. Ovim pristupom autentifikaciji moguće je provjeriti da li je određena radna stanica član domene, a ako je rezultat negativan, korisnik ili neće biti pušten u mrežu, ili će se moći prijaviti, ali sa određena ograničenja.
Držanje
Ovaj slučaj se odnosi na procjenu usklađenosti softvera radne stanice sa zahtjevima sigurnosti informacija. Koristeći ovu tehnologiju, možete provjeriti da li je softver na radnoj stanici ažuriran, da li su na njemu instalirane sigurnosne mjere, da li je host firewall konfigurisan itd. Zanimljivo je da ova tehnologija omogućava i rješavanje drugih zadataka koji se ne odnose na sigurnost, na primjer, provjeru prisutnosti potrebnih datoteka ili instaliranje softvera za cijeli sistem.
Manje uobičajeni slučajevi upotrebe za Cisco ISE uključuju kontrolu pristupa sa end-to-end autentifikacijom domena (pasivni ID), mikro-segmentaciju i filtriranje zasnovano na SGT-u, kao i integraciju sa sistemima za upravljanje mobilnim uređajima (MDM) i skenerima ranjivosti.
Nestandardni projekti: zašto bi vam inače trebao Cisco ISE, ili 3 rijetka slučaja iz naše prakse
Kontrola pristupa serverima baziranim na Linuxu
Jednom smo rešavali prilično netrivijalan slučaj za jednog od kupaca koji je već imao implementiran Cisco ISE sistem: morali smo da pronađemo način da kontrolišemo radnje korisnika (uglavnom administratora) na serverima sa instaliranim Linuxom. U potrazi za odgovorom, došli smo na ideju da koristimo besplatni softver PAM Radius Module, koji vam omogućava da se prijavite na servere koji rade pod Linuxom uz autentifikaciju na eksternom radius serveru. Sve bi u tom pogledu bilo dobro, da ne postoji jedno „ali“: radius server, koji šalje odgovor na zahtjev za autentifikaciju, daje samo naziv računa i rezultat - procijenite prihvaćeno ili ocijenite odbijeno. U međuvremenu, za autorizaciju u Linuxu morate dodijeliti još barem jedan parametar - home directory, kako bi korisnik barem negdje stigao. Nismo pronašli način da to damo kao atribut radijusa, pa smo napisali posebnu skriptu za daljinsko kreiranje naloga na hostovima u poluautomatskom režimu. Ovaj zadatak je bio sasvim izvodljiv, budući da smo imali posla sa administratorskim nalozima, čiji broj nije bio tako velik. Zatim su se korisnici prijavili na traženi uređaj, nakon čega im je dodijeljen potreban pristup. Postavlja se razumno pitanje: da li je u takvim slučajevima neophodno koristiti Cisco ISE? Zapravo, ne - bilo koji radius server će poslužiti, ali pošto je korisnik već imao ovaj sistem, jednostavno smo mu dodali novu funkciju.
Inventar hardvera i softvera na LAN-u
Jednom smo radili na projektu isporuke Cisco ISE jednog kupca bez preliminarnog “pilot-a”. Nije bilo jasnih zahtjeva za rješenje, plus radili smo sa ravnom, nesegmentiranom mrežom, što je komplikovalo naš zadatak. Tokom projekta smo konfigurisali sve moguće metode profilisanja koje mreža podržava: NetFlow, DHCP, SNMP, AD integracija, itd. Kao rezultat toga, MAR pristup je konfiguriran s mogućnošću prijave na mrežu ako autentifikacija nije uspjela. Odnosno, čak i da autentifikacija ne bi bila uspješna, sistem bi i dalje dozvolio korisniku u mrežu, prikupio informacije o njemu i zabilježio ih u ISE bazu podataka. Ovo praćenje mreže tokom nekoliko sedmica pomoglo nam je da identifikujemo povezane sisteme i nelične uređaje i razvijemo pristup za njihovo segmentiranje. Nakon toga, dodatno smo konfigurisali knjiženje da instaliramo agenta na radne stanice kako bismo prikupili informacije o softveru koji je na njima instaliran. šta je rezultat? Uspjeli smo segmentirati mrežu i odrediti listu softvera koji je trebalo ukloniti sa radnih stanica. Neću kriti da su nam daljnji zadaci raspodjele korisnika u grupe domena i razgraničenja prava pristupa oduzimali dosta vremena, ali smo na taj način dobili potpunu sliku o tome koji hardver korisnik ima na mreži. Inače, to nije bilo teško zbog dobrog rada profiliranja iz kutije. Pa, tamo gdje profiliranje nije pomoglo, pogledali smo sami, ističući svič port na koji je oprema spojena.
Daljinska instalacija softvera na radnim stanicama
Ovaj slučaj je jedan od najčudnijih u mojoj praksi. Jednog dana, korisnik nam je došao sa vapajem za pomoć - nešto je pošlo po zlu pri implementaciji Cisco ISE, sve je pokvareno i niko drugi nije mogao da pristupi mreži. Počeli smo istraživati i otkrili sljedeće. Kompanija je imala 2000 računara, kojima se, u nedostatku kontrolera domena, upravljalo pod administratorskim nalogom. U svrhu peeringa, organizacija je implementirala Cisco ISE. Trebalo je nekako shvatiti da li je na postojećim računarima instaliran antivirus, da li je softversko okruženje ažurirano itd. A pošto su IT administratori instalirali mrežnu opremu u sistem, logično je da su joj imali pristup. Nakon što su vidjeli kako funkcionira i dotjerali svoje računare, administratori su došli na ideju da instaliraju softver na radne stanice zaposlenika na daljinu, bez ličnih posjeta. Zamislite samo koliko koraka dnevno možete uštedjeti na ovaj način! Administratori su izvršili nekoliko provjera radne stanice na prisustvo određene datoteke u direktoriju C:Program Files, a ako je nije bilo, pokrenuta je automatska sanacija praćenjem linka koji vodi do skladišta datoteka do instalacione .exe datoteke. Ovo je omogućilo običnim korisnicima da odu na dijeljenje datoteka i odatle preuzmu potreban softver. Nažalost, administrator nije dobro poznavao ISE sistem i oštetio mehanizme objavljivanja - pogrešno je napisao politiku, što je dovelo do problema u čijem rješavanju smo bili uključeni. Osobno sam iskreno iznenađen ovakvim kreativnim pristupom, jer bi bilo mnogo jeftinije i manje radno intenzivno napraviti domenski kontroler. Ali kao dokaz koncepta to je upalilo.
Pročitajte više o tehničkim nijansama koje nastaju prilikom implementacije Cisco ISE u članku mog kolege .
Artem Bobrikov, projektant Centra za bezbednost informacija u Jet Infosystems
Posle reči:
Uprkos činjenici da ovaj post govori o Cisco ISE sistemu, opisani problemi su relevantni za čitavu klasu NAC rešenja. Nije toliko važno koje se rješenje dobavljača planira implementirati - većina gore navedenog će ostati primjenjiva.
izvor: www.habr.com