Amb quina freqüència compreu alguna cosa espontàniament, sucumbir a un anunci genial, i després aquest article inicialment desitjat acumula pols a un armari, rebost o garatge fins a la propera neteja o mudança de primavera? El resultat és una decepció per expectatives injustificades i diners malgastats. És molt pitjor quan això li passa a un negoci. Molt sovint, els trucs de màrqueting són tan bons que les empreses compren una solució cara sense veure la imatge completa de la seva aplicació. Mentrestant, les proves de prova del sistema ajuden a entendre com preparar la infraestructura per a la integració, quina funcionalitat i fins a quin punt s'ha d'implementar. D'aquesta manera, podeu evitar un gran nombre de problemes per triar un producte "a cegues". A més, la implementació després d'un "pilot" competent aportarà als enginyers menys cèl·lules nervioses destruïdes i cabells grisos. Anem a esbrinar per què les proves pilot són tan importants per a un projecte d'èxit, utilitzant l'exemple d'una eina popular per controlar l'accés a una xarxa corporativa: Cisco ISE. Considerem les opcions estàndard i completament no estàndard per utilitzar la solució que hem trobat a la nostra pràctica.
Cisco ISE - "Servidor de radi amb esteroides"
Cisco Identity Services Engine (ISE) és una plataforma per crear un sistema de control d'accés per a la xarxa d'àrea local d'una organització. A la comunitat d'experts, el producte va rebre el sobrenom de "Servidor Radius amb esteroides" per les seves propietats. Per què això? Bàsicament, la solució és un servidor Radius, al qual s'han adjuntat un gran nombre de serveis i "trucs" addicionals, que us permeten rebre una gran quantitat d'informació contextual i aplicar el conjunt de dades resultant a les polítiques d'accés.
Com qualsevol altre servidor Radius, Cisco ISE interactua amb equips de xarxa de nivell d'accés, recopila informació sobre tots els intents de connectar-se a la xarxa corporativa i, en funció de les polítiques d'autenticació i autorització, permet o denega els usuaris a la LAN. Tanmateix, la possibilitat de perfilar, publicar i integrar-se amb altres solucions de seguretat de la informació permet complicar significativament la lògica de la política d'autorització i, per tant, resoldre problemes força difícils i interessants.
La implementació no es pot pilotar: per què necessiteu proves?
El valor de les proves pilot és demostrar totes les capacitats del sistema en la infraestructura específica d'una organització específica. Crec que pilotar Cisco ISE abans de la implementació beneficia a tots els implicats en el projecte, i aquí teniu el perquè.
Això dóna als integradors una idea clara de les expectatives del client i ajuda a crear una especificació tècnica correcta que contingui molts més detalls que la frase comuna "assegura't que tot estigui bé". “Pilot” ens permet sentir tot el dolor del client, entendre quines tasques són una prioritat per a ell i quines són secundàries. Per a nosaltres, aquesta és una excel·lent oportunitat per esbrinar amb antelació quins equips s'utilitzen a l'organització, com es durà a terme la implementació, en quins llocs, on es troben, etc.
Durant les proves pilot, els clients veuen el sistema real en acció, es familiaritzen amb la seva interfície, poden comprovar si és compatible amb el seu maquinari existent i obtenir una comprensió holística de com funcionarà la solució després de la implementació completa. "Pilot" és el mateix moment en què podeu veure tots els inconvenients que probablement us trobareu durant la integració i decidir quantes llicències necessiteu comprar.
Què pot "aparèixer" durant el "pilot"
Aleshores, com us prepareu adequadament per implementar Cisco ISE? A partir de la nostra experiència, hem comptat 4 punts principals que són importants a tenir en compte durant la prova pilot del sistema.
Factor de forma
En primer lloc, heu de decidir en quin factor de forma s'implementarà el sistema: línia ascendent física o virtual. Cada opció té avantatges i desavantatges. Per exemple, la força d'una línia ascendent física és el seu rendiment previsible, però no hem d'oblidar que aquests dispositius queden obsolets amb el temps. Les línies ascendents virtuals són menys predictibles perquè... depenen del maquinari en què es desplega l'entorn de virtualització, però tenen un gran avantatge: si hi ha suport disponible, sempre es poden actualitzar a la darrera versió.
El vostre equip de xarxa és compatible amb Cisco ISE?
Per descomptat, l'escenari ideal seria connectar tots els equips al sistema alhora. Tanmateix, això no sempre és possible, ja que moltes organitzacions encara utilitzen commutadors no gestionats o commutadors que no admeten algunes de les tecnologies que executen Cisco ISE. Per cert, no només parlem d'interruptors, també poden ser controladors de xarxa sense fil, concentradors VPN i qualsevol altre equip al qual es connectin els usuaris. A la meva pràctica, hi ha hagut casos en què, després de demostrar el sistema per a una implementació completa, el client va actualitzar gairebé tota la flota d'interruptors de nivell d'accés a equips Cisco moderns. Per evitar sorpreses desagradables, val la pena esbrinar per endavant la proporció d'equips no compatibles.
Tots els vostres dispositius són estàndard?
Qualsevol xarxa té dispositius típics als quals no hauria de ser difícil connectar-se: estacions de treball, telèfons IP, punts d'accés Wi-Fi, càmeres de vídeo, etc. Però també passa que els dispositius no estàndard s'han de connectar a la LAN, per exemple, convertidors de senyal de bus RS232/Ethernet, interfícies d'alimentació ininterrompuda, diversos equips tecnològics, etc. És important determinar la llista d'aquests dispositius amb antelació. , de manera que en l'etapa d'implementació ja entengueu com treballaran tècnicament amb Cisco ISE.
Diàleg constructiu amb especialistes informàtics
Els clients de Cisco ISE solen ser departaments de seguretat, mentre que els departaments de TI solen ser responsables de configurar commutadors de capa d'accés i Active Directory. Per tant, la interacció productiva entre especialistes en seguretat i especialistes informàtics és una de les condicions importants per a una implementació indolora del sistema. Si aquests darrers perceben la integració amb hostilitat, val la pena explicar-los com serà útil la solució al departament informàtic.
Els 5 millors casos d'ús de Cisco ISE
Segons la nostra experiència, la funcionalitat requerida del sistema també s'identifica en l'etapa de prova pilot. A continuació es mostren alguns dels casos d'ús més populars i menys comuns per a la solució.
Accés segur a la LAN mitjançant un cable amb EAP-TLS
Com mostren els resultats de la investigació dels nostres pentesters, sovint per penetrar a la xarxa d'una empresa, els atacants utilitzen endolls normals als quals es connecten impressores, telèfons, càmeres IP, punts Wi-Fi i altres dispositius de xarxa no personals. Per tant, fins i tot si l'accés a la xarxa es basa en la tecnologia dot1x, però s'utilitzen protocols alternatius sense utilitzar certificats d'autenticació d'usuari, hi ha una gran probabilitat d'un atac reeixit amb intercepció de sessions i contrasenyes de força bruta. En el cas de Cisco ISE, serà molt més difícil robar un certificat; per això, els pirates informàtics necessitaran molta més potència de càlcul, de manera que aquest cas és molt eficaç.
Accés sense fil de doble SSID
L'essència d'aquest escenari és utilitzar 2 identificadors de xarxa (SSID). Un d'ells es pot anomenar condicionalment "convidat". A través d'ella, tant els convidats com els empleats de l'empresa poden accedir a la xarxa sense fil. Quan intenten connectar-se, aquests últims són redirigits a un portal especial on es fa el subministrament. És a dir, a l'usuari se li emet un certificat i el seu dispositiu personal està configurat per tornar-se a connectar automàticament al segon SSID, que ja utilitza EAP-TLS amb tots els avantatges del primer cas.
Anul·lació i perfils d'autenticació MAC
Un altre cas d'ús popular és detectar automàticament el tipus de dispositiu connectat i aplicar-hi les restriccions correctes. Per què és interessant? El fet és que encara hi ha molts dispositius que no admeten l'autenticació mitjançant el protocol 802.1X. Per tant, aquests dispositius s'han de permetre a la xarxa mitjançant una adreça MAC, que és bastant fàcil de falsificar. Aquí és on Cisco ISE ve al rescat: amb l'ajuda del sistema, podeu veure com es comporta un dispositiu a la xarxa, crear el seu perfil i assignar-lo a un grup d'altres dispositius, per exemple, un telèfon IP i una estació de treball. . Si un atacant intenta falsificar una adreça MAC i connectar-se a la xarxa, el sistema veurà que el perfil del dispositiu ha canviat, indicarà un comportament sospitós i no permetrà que l'usuari sospitós entri a la xarxa.
EAP-Encadenament
La tecnologia EAP-Chaining implica l'autenticació seqüencial de l'ordinador en funcionament i del compte d'usuari. Aquest cas s'ha generalitzat perquè... Moltes empreses encara no fomenten la connexió dels aparells personals dels empleats a la LAN corporativa. Mitjançant aquest enfocament d'autenticació, és possible comprovar si una determinada estació de treball és membre del domini i, si el resultat és negatiu, l'usuari no podrà entrar a la xarxa o podrà entrar, però amb certs resultats. restriccions.
Postura
Aquest cas tracta d'avaluar el compliment del programari de l'estació de treball amb els requisits de seguretat de la informació. Amb aquesta tecnologia, podeu comprovar si el programari de l'estació de treball està actualitzat, si hi ha instal·lades mesures de seguretat, si el tallafoc de l'amfitrió està configurat, etc. Curiosament, aquesta tecnologia també permet resoldre altres tasques no relacionades amb la seguretat, per exemple, comprovar la presència dels fitxers necessaris o instal·lar programari per a tot el sistema.
Els casos d'ús menys habituals de Cisco ISE inclouen el control d'accés amb autenticació de domini d'extrem a extrem (ID passiu), microsegmentació i filtratge basats en SGT, així com la integració amb sistemes de gestió de dispositius mòbils (MDM) i escàners de vulnerabilitats.
Projectes no estàndard: per què més podria necessitar Cisco ISE, o 3 casos rars de la nostra pràctica
Control d'accés a servidors basats en Linux
Un cop estàvem solucionant un cas força no trivial per a un dels clients que ja tenia implantat el sistema Cisco ISE: calia trobar una manera de controlar les accions dels usuaris (la majoria administradors) als servidors amb Linux instal·lat. A la recerca d'una resposta, ens va ocórrer la idea d'utilitzar el programari gratuït PAM Radius Module, que us permet iniciar sessió als servidors que executen Linux amb autenticació en un servidor radius extern. Tot en aquest sentit seria bo, si no fos per un "però": el servidor de radi, enviant una resposta a la sol·licitud d'autenticació, només dóna el nom del compte i el resultat: avaluar acceptat o avaluar rebutjat. Mentrestant, per a l'autorització a Linux, heu d'assignar almenys un paràmetre més: el directori d'inici, de manera que l'usuari almenys arribi a algun lloc. No hem trobat la manera de donar-ho com a atribut de radi, així que vam escriure un script especial per crear comptes de forma remota als amfitrions en un mode semiautomàtic. Aquesta tasca era bastant factible, ja que estàvem tractant amb comptes d'administrador, el nombre dels quals no era tan gran. A continuació, els usuaris van iniciar sessió al dispositiu requerit i després se'ls va assignar l'accés necessari. Sorgeix una pregunta raonable: és necessari utilitzar Cisco ISE en aquests casos? De fet, no, qualsevol servidor de radi ho farà, però com que el client ja tenia aquest sistema, simplement li hem afegit una funció nova.
Inventari de maquinari i programari a la LAN
Una vegada vam treballar en un projecte per subministrar Cisco ISE a un client sense un "pilot" preliminar. No hi havia requisits clars per a la solució, a més estàvem davant d'una xarxa plana i no segmentada, cosa que ens complicava la tasca. Durant el projecte, hem configurat tots els mètodes de perfilació possibles que suporta la xarxa: NetFlow, DHCP, SNMP, integració AD, etc. Com a resultat, l'accés MAR es va configurar amb la possibilitat d'iniciar sessió a la xarxa si fallava l'autenticació. És a dir, fins i tot si l'autenticació no tingués èxit, el sistema encara permetria que l'usuari entrés a la xarxa, recopilaria informació sobre ell i la registraria a la base de dades ISE. Aquest seguiment de la xarxa durant diverses setmanes ens va ajudar a identificar sistemes connectats i dispositius no personals i desenvolupar un enfocament per segmentar-los. Després d'això, també vam configurar la publicació per instal·lar l'agent a les estacions de treball per tal de recollir informació sobre el programari instal·lat en elles. Quin és el resultat? Hem pogut segmentar la xarxa i determinar la llista de programari que calia eliminar de les estacions de treball. No amagaré que les tasques posteriors de distribució d'usuaris en grups de dominis i delimitació de drets d'accés ens van portar força temps, però d'aquesta manera vam tenir una imatge completa del maquinari que tenia el client a la xarxa. Per cert, això no va ser difícil a causa del bon treball de perfilar fora de la caixa. Bé, allà on el perfil no va ajudar, ens vam mirar nosaltres mateixos, destacant el port de commutació al qual estava connectat l'equip.
Instal·lació remota de programari en estacions de treball
Aquest cas és un dels més estranys de la meva pràctica. Un dia, un client ens va demanar ajuda: alguna cosa va sortir malament en implementar Cisco ISE, tot es va trencar i ningú més va poder accedir a la xarxa. Vam començar a mirar-ho i vam descobrir el següent. L'empresa tenia 2000 ordinadors que, a falta d'un controlador de domini, es gestionaven amb un compte d'administrador. Amb el propòsit del peering, l'organització va implementar Cisco ISE. Calia entendre d'alguna manera si s'havia instal·lat un antivirus als ordinadors existents, si s'havia actualitzat l'entorn del programari, etc. I com que els administradors de TI van instal·lar equips de xarxa al sistema, és lògic que hi tinguessin accés. Després de veure com funciona i endreçar els seus ordinadors, els administradors van tenir la idea d'instal·lar el programari a les estacions de treball dels empleats de forma remota sense visites personals. Imagineu quants passos podeu estalviar al dia d'aquesta manera! Els administradors van realitzar diverses comprovacions de l'estació de treball per detectar la presència d'un fitxer específic al directori C:Fitxers de programa i, si no hi havia, s'iniciava la correcció automàtica seguint un enllaç que conduïa a l'emmagatzematge de fitxers al fitxer .exe d'instal·lació. Això va permetre als usuaris habituals anar a un fitxer compartit i descarregar-hi el programari necessari. Malauradament, l'administrador no coneixia bé el sistema ISE i va danyar els mecanismes de publicació; va escriure la política de manera incorrecta, cosa que va provocar un problema que vam estar involucrats en la resolució. Personalment, em sorprèn sincerament un enfocament tan creatiu, perquè seria molt més barat i menys intensiu de mà d'obra crear un controlador de domini. Però com a prova de concepte va funcionar.
Llegiu més sobre els matisos tècnics que sorgeixen en implementar Cisco ISE a l'article del meu company .
Artem Bobrikov, enginyer de disseny del Centre de seguretat de la informació de Jet Infosystems
Paraula posterior:
Tot i que aquesta publicació parla del sistema Cisco ISE, els problemes descrits són rellevants per a tota la classe de solucions NAC. No és tan important quina solució del venedor està prevista per a la implementació; la majoria de les anteriors seguiran sent aplicables.
Font: www.habr.com