Unsa ka sagad nga ikaw mopalit sa usa ka butang nga spontaneously, nga nagpadaog sa usa ka cool nga ad, ug unya kini nga una nga gitinguha nga butang nagtigum og abug sa usa ka aparador, pantry o garahe hangtod sa sunod nga paglimpyo o paglihok sa tingpamulak? Ang resulta mao ang kasagmuyo tungod sa dili makatarunganon nga mga gilauman ug nausik nga salapi. Mas grabe kung kini mahitabo sa usa ka negosyo. Kasagaran, ang mga gimik sa pagpamaligya maayo kaayo nga ang mga kompanya nagpalit usa ka mahal nga solusyon nga wala makita ang tibuuk nga litrato sa aplikasyon niini. Samtang, ang pagsulay sa pagsulay sa sistema makatabang aron masabtan kung giunsa ang pag-andam sa imprastraktura alang sa paghiusa, kung unsa ang pagpaandar ug kung unsa ang kinahanglan ipatuman. Niining paagiha malikayan nimo ang daghang mga problema tungod sa pagpili sa usa ka produkto nga "buta". Dugang pa, ang pagpatuman human sa usa ka takos nga "pilot" magdala sa mga inhenyero nga dili kaayo maguba nga mga selula sa nerbiyos ug ubanon nga buhok. Atong mahibal-an kung ngano nga ang pagsulay sa pilot hinungdanon kaayo alang sa usa ka malampuson nga proyekto, gamit ang panig-ingnan sa usa ka sikat nga himan alang sa pagkontrol sa pag-access sa usa ka corporate network - Cisco ISE. Atong tagdon ang standard ug hingpit nga dili standard nga mga kapilian sa paggamit sa solusyon nga atong nasugatan sa atong praktis.
Cisco ISE - "Radius server sa mga steroid"
Ang Cisco Identity Services Engine (ISE) usa ka plataporma alang sa paghimo og access control system para sa local area network sa usa ka organisasyon. Sa eksperto nga komunidad, ang produkto gianggaan nga "Radius server sa mga steroid" alang sa mga kabtangan niini. Ngano man? Sa tinuud, ang solusyon usa ka server sa Radius, diin daghang mga dugang nga serbisyo ug "mga limbong" ang gilakip, nga gitugotan ka nga makadawat daghang kasayuran sa konteksto ug magamit ang sangputanan nga set sa datos sa mga palisiya sa pag-access.
Sama sa bisan unsang lain nga server sa Radius, ang Cisco ISE nakig-uban sa mga kagamitan sa network nga lebel sa pag-access, nagkolekta sa kasayuran bahin sa tanan nga pagsulay sa pagkonektar sa network sa korporasyon ug, pinasukad sa mga palisiya sa pag-authenticate ug pagtugot, gitugotan o gibalibaran ang mga tiggamit sa LAN. Bisan pa, ang posibilidad sa pag-profile, pag-post, ug pag-integrate sa uban pang mga solusyon sa seguridad sa kasayuran nagpaposible nga labi ka komplikado ang lohika sa palisiya sa pagtugot ug sa ingon masulbad ang lisud ug makapaikag nga mga problema.
Ang pagpatuman dili mahimong piloto: nganong kinahanglan nimo ang pagsulay?
Ang bili sa pagsulay sa piloto mao ang pagpakita sa tanan nga mga kapabilidad sa sistema sa piho nga imprastraktura sa usa ka piho nga organisasyon. Nagtuo ko nga ang pag-pilot sa Cisco ISE sa wala pa ang pagpatuman makabenepisyo sa tanan nga nalambigit sa proyekto, ug mao kini kung ngano.
Naghatag kini sa mga integrator og tin-aw nga ideya sa mga gipaabut sa kustomer ug makatabang sa paghimo sa usa ka husto nga teknikal nga detalye nga adunay daghang detalye kaysa sa sagad nga hugpong sa mga pulong nga "siguruha nga maayo ang tanan." Ang "Pilot" nagtugot kanamo nga mabati ang tanan nga kasakit sa kustomer, aron masabtan kung unsang mga buluhaton ang usa ka prayoridad alang kaniya ug kung unsa ang ikaduha. Alang kanamo, kini usa ka maayo kaayo nga higayon aron mahibal-an daan kung unsang kagamitan ang gigamit sa organisasyon, kung giunsa ang pagpatuman, kung unsang mga site, kung diin sila nahimutang, ug uban pa.
Atol sa pagsulay sa piloto, makita sa mga kustomer ang tinuod nga sistema nga naglihok, masinati ang interface niini, masusi kung nahiuyon ba kini sa ilang naa na nga hardware, ug makakuha usa ka holistic nga pagsabut kung giunsa ang solusyon molihok pagkahuman sa hingpit nga pagpatuman. Ang "Pilot" mao ang higayon nga makita nimo ang tanan nga mga lit-ag nga mahimo nimong masugatan sa panahon sa panagsama, ug pagdesisyon kung pila ang mga lisensya nga kinahanglan nimo paliton.
Unsa ang mahimong "pop up" sa panahon sa "pilot"
Busa, giunsa nimo pag-andam ang husto alang sa pagpatuman sa Cisco ISE? Gikan sa among kasinatian, nag-ihap kami sa 4 nga panguna nga mga punto nga hinungdanon nga tagdon sa panahon sa pagsulay sa piloto sa sistema.
Pamaagi nga hinungdan
Una, kinahanglan nimo nga magdesisyon kung unsang porma nga hinungdan ang sistema ipatuman: pisikal o virtual nga upline. Ang matag kapilian adunay mga bentaha ug mga disbentaha. Pananglitan, ang kalig-on sa usa ka pisikal nga upline mao ang matag-an nga pasundayag niini, apan kinahanglan nga dili naton kalimtan nga ang ingon nga mga aparato mahimong dili na magamit sa paglabay sa panahon. Dili kaayo matag-an ang mga virtual upline tungod kay... nag-agad sa hardware diin ang virtualization nga palibot gipakatap, apan sila adunay usa ka seryoso nga bentaha: kon ang suporta anaa, sila kanunay nga updated sa pinakabag-o nga bersyon.
Nahiuyon ba ang imong kagamitan sa network sa Cisco ISE?
Siyempre, ang sulundon nga senaryo mao ang pagkonektar sa tanan nga kagamitan sa sistema sa usa ka higayon. Bisan pa, dili kini kanunay nga posible tungod kay daghang mga organisasyon ang naggamit gihapon nga wala madumala nga mga switch o switch nga wala nagsuporta sa pipila nga mga teknolohiya nga nagpadagan sa Cisco ISE. Pinaagi sa dalan, dili lang kami naghisgot bahin sa mga switch, mahimo usab kini nga mga wireless network controller, mga concentrator sa VPN ug bisan unsang uban pang kagamitan nga gikonektar sa mga tiggamit. Sa akong praktis, adunay mga kaso sa diha nga, human sa pagpakita sa sistema alang sa bug-os nga pagpatuman, ang customer upgrade hapit sa tibuok panon sa mga access level switch ngadto sa modernong Cisco ekipo. Aron malikayan ang dili maayo nga mga sorpresa, angay nga mahibal-an daan ang proporsyon sa dili suportado nga kagamitan.
Ang tanan ba nimo nga mga aparato standard?
Ang bisan unsang network adunay kasagaran nga mga himan nga dili kinahanglan nga lisud nga makonektar: mga workstation, IP phone, Wi-Fi access point, video camera, ug uban pa. Apan mahitabo usab nga ang dili standard nga mga himan kinahanglan nga konektado sa LAN, pananglitan, RS232/Ethernet bus signal converters, uninterruptible power supply interfaces, lain-laing mga teknolohikal nga ekipo, ug uban pa Importante nga mahibal-an daan ang listahan sa maong mga himan. , aron nga sa yugto sa pagpatuman aduna na ka'y ββββpagsabot kung unsa ang teknikal nga pagtrabaho nila sa Cisco ISE.
Makatabang nga dayalogo sa mga espesyalista sa IT
Ang mga kostumer sa Cisco ISE sagad nga mga departamento sa seguridad, samtang ang mga departamento sa IT sagad nga responsable sa pag-configure sa mga switch sa layer sa pag-access ug Active Directory. Busa, ang produktibo nga interaksyon tali sa mga espesyalista sa seguridad ug mga espesyalista sa IT mao ang usa sa importante nga mga kondisyon alang sa walay sakit nga pagpatuman sa sistema. Kung ang ulahi nakasabut sa panagsama sa pagkasuko, angay nga ipasabut kanila kung giunsa ang solusyon mahimong mapuslanon sa departamento sa IT.
Top 5 Cisco ISE nga mga kaso sa paggamit
Sa among kasinatian, ang gikinahanglan nga pagpaandar sa sistema giila usab sa yugto sa pagsulay sa piloto. Sa ubos mao ang pipila sa labing inila ug dili kaayo kasagaran nga mga kaso sa paggamit alang sa solusyon.
Secure LAN access sa usa ka wire nga adunay EAP-TLS
Ingon sa gipakita sa mga resulta sa panukiduki sa among mga pentesters, kasagaran aron makasulod sa network sa usa ka kompanya, ang mga tig-atake naggamit ug ordinaryo nga mga socket diin konektado ang mga printer, telepono, IP camera, Wi-Fi point ug uban pang dili personal nga network device. Busa, bisan kung ang pag-access sa network gibase sa teknolohiya sa dot1x, apan gigamit ang mga alternatibong protocol nga wala gigamit ang mga sertipiko sa pag-authenticate sa gumagamit, adunay taas nga posibilidad sa usa ka malampuson nga pag-atake nga adunay interception sa sesyon ug mga brute-force nga mga password. Sa kaso sa Cisco ISE, mas lisud ang pagkawat sa usa ka sertipiko - alang niini, ang mga hacker magkinahanglan labi pa nga gahum sa pag-compute, busa kini nga kaso epektibo kaayo.
Dual-SSID wireless access
Ang esensya sa kini nga senaryo mao ang paggamit sa 2 network identifiers (SSIDs). Ang usa kanila mahimong gitawag nga kondisyon nga "bisita". Pinaagi niini, ang mga bisita ug empleyado sa kompanya maka-access sa wireless network. Kung gisulayan nila ang pagkonektar, ang naulahi gi-redirect sa usa ka espesyal nga portal kung diin nahitabo ang probisyon. Kana mao, ang tiggamit gihatagan usa ka sertipiko ug ang iyang personal nga aparato gi-configure aron awtomatiko nga makonektar sa ikaduha nga SSID, nga gigamit na ang EAP-TLS sa tanan nga mga bentaha sa una nga kaso.
MAC Authentication Bypass ug Profiling
Ang laing popular nga kaso sa paggamit mao ang awtomatik nga pag-ila sa matang sa device nga konektado ug paggamit sa hustong mga pagdili niini. Nganong makaiikag siya? Ang tinuod mao nga aduna pa'y daghang mga himan nga wala nagsuporta sa pag-authenticate gamit ang 802.1X protocol. Busa, ang ingon nga mga aparato kinahanglan nga tugutan sa network gamit ang usa ka MAC address, nga dali ra nga peke. Dinhi diin ang Cisco ISE moabut sa pagluwas: sa tabang sa sistema, imong makita kung giunsa ang paglihok sa usa ka aparato sa network, paghimo sa profile niini ug i-assign kini sa usa ka grupo sa ubang mga aparato, pananglitan, usa ka IP phone ug usa ka workstation . Kung ang usa ka tig-atake mosulay sa pagpanglimbong sa usa ka MAC address ug magkonektar sa network, makita sa sistema nga ang profile sa aparato nausab, magpahibalo sa kadudahang pamatasan ug dili tugutan ang kadudahang tiggamit sa network.
EAP-Pagkadena
Ang teknolohiya sa EAP-Chaining naglakip sa sequential authentication sa nagtrabaho nga PC ug user account. Nikatap na kining kaso kay... Daghang mga kompanya ang wala gihapon nag-awhag sa pagkonektar sa mga personal nga gadyet sa mga empleyado sa corporate LAN. Gamit kini nga pamaagi sa pag-authenticate, posible nga susihon kung ang usa ka partikular nga workstation usa ka miyembro sa domain, ug kung negatibo ang resulta, ang tiggamit dili tugutan sa network, o makasulod, apan adunay piho mga pagdili.
Pagpostura
Kini nga kaso mahitungod sa pagtimbang-timbang sa pagsunod sa software sa workstation sa mga kinahanglanon sa seguridad sa impormasyon. Gamit kini nga teknolohiya, mahimo nimong susihon kung ang software sa workstation na-update, kung ang mga lakang sa seguridad na-install niini, kung ang host firewall na-configure, ug uban pa. Makapainteres, kini nga teknolohiya nagtugot usab kanimo sa pagsulbad sa ubang mga buluhaton nga wala'y kalabutan sa seguridad, pananglitan, pagsusi sa presensya sa gikinahanglan nga mga file o pag-instalar sa software sa tibuok sistema.
Ang dili kaayo komon nga mga kaso sa paggamit alang sa Cisco ISE naglakip sa access control nga adunay end-to-end domain authentication (Passive ID), SGT-based micro-segmentation ug pagsala, ingon man ang integrasyon sa mga sistema sa pagdumala sa mobile device (MDM) ug Vulnerability Scanners.
Non-standard nga mga proyekto: nganong kinahanglan pa nimo ang Cisco ISE, o 3 ka talagsaon nga mga kaso gikan sa among praktis
Pagkontrol sa pag-access sa mga server nga nakabase sa Linux
Sa higayon nga among gisulbad ang usa ka dili gamay nga kaso alang sa usa sa mga kostumer nga na-implementar na sa Cisco ISE nga sistema: kinahanglan namon nga mangita usa ka paagi aron makontrol ang mga aksyon sa gumagamit (kadaghanan sa mga administrador) sa mga server nga na-install ang Linux. Sa pagpangita sa tubag, nakahunahuna kami sa paggamit sa libre nga PAM Radius Module software, nga nagtugot kanimo sa pag-log in sa mga server nga nagpadagan sa Linux nga adunay panghimatuud sa usa ka eksternal nga radius server. Ang tanan bahin niini mahimong maayo, kung dili alang sa usa ka "apan": ang radius server, nga nagpadala usa ka tubag sa hangyo sa pag-authentication, naghatag lamang sa ngalan sa account ug ang resulta - pag-assess nga gidawat o gi-assess nga gisalikway. Samtang, alang sa pagtugot sa Linux, kinahanglan nimo nga mag-assign ug labing menos usa pa nga parameter - direktoryo sa balay, aron ang tiggamit labing menos makaadto sa usa ka lugar. Wala kami makit-an nga paagi aron mahatagan kini ingon usa ka kinaiya sa radius, mao nga nagsulat kami usa ka espesyal nga script alang sa layo nga paghimo og mga account sa mga host sa semi-awtomatikong mode. Kini nga buluhaton mahimoβg mahimo, tungod kay nag-atubang kami sa mga account sa tagdumala, ang gidaghanon niini dili kaayo daghan. Sunod, ang mga tiggamit nag-log in sa gikinahanglan nga aparato, pagkahuman gihatagan sila sa kinahanglan nga pag-access. Usa ka makatarunganon nga pangutana ang mitungha: kinahanglan ba nga gamiton ang Cisco ISE sa ingon nga mga kaso? Sa tinuud, dili - bisan unsang radius server ang mahimo, apan tungod kay ang kostumer aduna na niini nga sistema, nagdugang lang kami og bag-ong feature niini.
Imbentaryo sa hardware ug software sa LAN
Kami kaniadto nagtrabaho sa usa ka proyekto aron mahatag ang Cisco ISE sa usa ka kustomer nga walaβy pasiuna nga "pilot". Wala'y klaro nga mga kinahanglanon alang sa solusyon, dugang nga nag-atubang kami sa usa ka patag, dili-segmented nga network, nga nagpakomplikado sa among buluhaton. Atol sa proyekto, among gi-configure ang tanan nga posible nga mga pamaagi sa profiling nga gisuportahan sa network: NetFlow, DHCP, SNMP, AD integration, ug uban pa. Ingon usa ka sangputanan, ang pag-access sa MAR na-configure nga adunay katakus sa pag-log in sa network kung napakyas ang pag-authenticate. Kana mao, bisan kung dili malampuson ang pag-authenticate, ang sistema magtugot gihapon sa tiggamit sa network, mangolekta og kasayuran bahin kaniya ug irekord kini sa database sa ISE. Kini nga pagmonitor sa network sulod sa pipila ka semana nakatabang kanamo sa pag-ila sa mga konektadong sistema ug dili personal nga mga himan ug paghimo og pamaagi sa pagbahin niini. Pagkahuman niini, gi-configure usab namon ang pag-post aron i-install ang ahente sa mga workstation aron makolekta ang kasayuran bahin sa software nga na-install sa kanila. Unsa ang resulta? Nahimo namon nga gibahin ang network ug gitino ang lista sa software nga kinahanglan tangtangon sa mga workstation. Dili nako itago nga ang dugang nga mga buluhaton sa pag-apod-apod sa mga tiggamit ngadto sa mga grupo sa domain ug pag-deline sa mga katungod sa pag-access nagkuha kanamo daghang oras, apan niining paagiha nakakuha kami usa ka kompleto nga litrato kung unsang hardware ang naa sa kustomer sa network. Pinaagi sa dalan, dili kini lisud tungod sa maayong buhat sa pag-profile sa gawas sa kahon. Aw, kung diin ang profiling wala makatabang, among gitan-aw ang among kaugalingon, gipasiugda ang switch port diin konektado ang kagamitan.
Hilit nga pag-instalar sa software sa mga workstation
Kini nga kaso mao ang usa sa labing katingad-an sa akong praktis. Usa ka adlaw, usa ka kustomer ang mianhi kanamo nga nagsinggit alang sa tabang - adunay nahitabo nga sayup sa pagpatuman sa Cisco ISE, naguba ang tanan, ug walaβy lain nga maka-access sa network. Nagsugod kami sa pagsusi niini ug nahibal-an ang mosunod. Ang kompanya adunay 2000 nga mga kompyuter, nga, kung wala ang usa ka tigkontrol sa domain, gidumala sa ilawom sa usa ka account sa tagdumala. Alang sa katuyoan sa pagtan-aw, gipatuman sa organisasyon ang Cisco ISE. Kinahanglan nga masabtan kung ang usa ka antivirus na-install sa naa na nga mga PC, kung gi-update ba ang software environment, ug uban pa. Ug tungod kay ang mga tigdumala sa IT nag-instalar sa mga kagamitan sa network sa sistema, makatarunganon nga sila adunay access niini. Human makita kung giunsa kini pagtrabaho ug pag-posher sa ilang mga PC, ang mga administrador nakahunahuna nga i-install ang software sa mga workstation sa empleyado sa layo nga walaβy personal nga pagbisita. Hunahunaa lang kung pila ka mga lakang ang imong matipigan kada adlaw niining paagiha! Naghimo ang mga tagdumala sa daghang mga pagsusi sa workstation alang sa presensya sa usa ka piho nga file sa direktoryo sa C: Program Files, ug kung wala kini, ang awtomatikong pag-ayo gilunsad pinaagi sa pagsunod sa usa ka link nga padulong sa pagtipig sa file sa .exe file sa pag-install. Gitugotan niini ang ordinaryong mga tiggamit sa pag-adto sa usa ka bahin sa file ug pag-download sa gikinahanglan nga software gikan didto. Ikasubo, ang admin wala makaila pag-ayo sa sistema sa ISE ug nakadaot sa mga mekanismo sa pag-post - sayop ang iyang pagsulat sa polisiya, nga misangpot sa usa ka problema nga among giapil sa pagsulbad. Sa personal, ako sinsero nga nahingangha sa ingon nga usa ka mamugnaon nga pamaagi, tungod kay kini mas barato ug dili kaayo kusog sa pagtrabaho sa paghimo sa usa ka domain controller. Apan ingon usa ka Pamatuod sa konsepto kini nagtrabaho.
Basaha ang dugang bahin sa teknikal nga mga nuances nga mitumaw sa pagpatuman sa Cisco ISE sa artikulo sa akong kauban .
Artem Bobrikov, design engineer sa Information Security Center sa Jet Infosystems
Pagkahuman:
Bisan pa sa kamatuoran nga kini nga post naghisgot bahin sa Cisco ISE nga sistema, ang mga problema nga gihulagway adunay kalabutan sa tibuok klase sa mga solusyon sa NAC. Dili kaayo hinungdanon kung unsang solusyon sa vendor ang giplano alang sa pagpatuman - kadaghanan sa naa sa taas magpabilin nga magamit.
Source: www.habr.com