Quantu spessu cumprà qualcosa spontaneamente, succumbing to a cool advertising, è dopu questu articulu inizialmente desideratu raccoglie u polu in un armariu, despensa o garage finu à a prossima pulizia di primavera o muvimentu? U risultatu hè a delusione per via di l'aspettattivi inghjustificate è di soldi perdi. Hè assai peghju quandu questu succede à un affari. Assai spessu, i trucchi di marketing sò cusì boni chì e cumpagnie compranu una suluzione caru senza vede a stampa completa di a so applicazione. Intantu, a prova di prova di u sistema aiuta à capisce cumu preparà l'infrastruttura per l'integrazione, chì funziunalità è in quale misura deve esse implementata. In questu modu, pudete evità un gran numaru di prublemi per sceglie un pruduttu "ceccu". Inoltre, l'implementazione dopu à un "pilotu" cumpetente purterà ingegneri assai menu distrutte cellule nervose è capelli grisgi. Scupritemu perchè a prova di pilotu hè cusì impurtante per un prughjettu successu, utilizendu l'esempiu di un strumentu populari per cuntrullà l'accessu à una reta corporativa - Cisco ISE. Cunsideremu l'opzioni standard è completamente micca standard per aduprà a suluzione chì avemu scontru in a nostra pratica.
Cisco ISE - "Server Radius nantu à i steroidi"
Cisco Identity Services Engine (ISE) hè una piattaforma per creà un sistema di cuntrollu d'accessu per a reta di l'area di l'urganizazione. In a cumunità esperta, u pruduttu era soprannominatu "Radius server on steroids" per e so proprietà. Perchè hè questu? Essenzialmente, a suluzione hè un servitore Radius, à quale un gran numaru di servizii supplementari è "trucchi" sò stati attaccati, chì vi permettenu di riceve una grande quantità di infurmazione contextuale è applicà u risultatu di dati in e pulitiche d'accessu.
Cum'è qualsiasi altru servitore Radius, Cisco ISE interagisce cù l'equipaggiu di rete à livellu d'accessu, raccoglie infurmazioni nantu à tutti i tentativi di cunnette à a reta corporativa è, basatu nantu à e pulitiche di autentificazione è d'autorizazione, permette o denega l'utilizatori à a LAN. In ogni casu, a pussibilità di prufilu, pubblicazione è integrazione cù altre suluzioni di sicurità di l'infurmazioni permette di cumplicà significativamente a logica di a pulitica d'autorizazione è cusì risolve prublemi abbastanza difficili è interessanti.
L'implementazione ùn pò esse pilotata: perchè avete bisognu di teste?
U valore di a prova pilota hè di dimustrà tutte e capacità di u sistema in l'infrastruttura specifica di una urganizazione specifica. Credu chì u pilotu di Cisco ISE prima di l'implementazione beneficia à tutti quelli chì participanu à u prugettu, è eccu perchè.
Questu dà à l'integratori una idea chjara di l'aspettattivi di u cliente è aiuta à creà una specificazione tecnica curretta chì cuntene assai più dettagliu cà a frasa cumuna "assicuratevi chì tuttu va bè". "Pilotu" ci permette di sentu tuttu u dulore di u cliente, per capiscenu quali travaglii sò una priorità per ellu è chì sò secundari. Per noi, questa hè una excelente opportunità per capisce in anticipu quale equipamentu hè utilizatu in l'urganizazione, cumu l'implementazione serà realizatu, in quali siti, induve si trovanu, etc.
Durante a prova di pilotu, i clienti vedenu u sistema reale in azzione, cunnoscenu a so interfaccia, ponu verificà s'ellu hè cumpatibile cù u so hardware esistente, è uttene una cunniscenza olistica di cumu a suluzione funzionerà dopu l'implementazione completa. "Pilotu" hè u mumentu stessu quandu pudete vede tutte e trappule chì probabilmente incontrerete durante l'integrazione, è decide quante licenze avete bisognu di cumprà.
Ciò chì pò "apparisce" durante u "pilotu"
Allora, cumu si preparanu bè per implementà Cisco ISE? Da a nostra sperienza, avemu cuntatu 4 punti principali chì sò impurtanti à cunsiderà durante a prova pilotu di u sistema.
Fattore di forma
Prima, avete bisognu di decide in quale fattore di forma serà implementatu u sistema: upline fisicu o virtuale. Ogni opzione hà vantaghji è svantaghji. Per esempiu, a forza di un upline fisicu hè a so prestazione prevedibile, ma ùn deve micca scurdate chì tali dispositi diventanu obsoleti cù u tempu. L'upline virtuali sò menu prevedibili perchè ... dipendenu da u hardware nantu à quale l'ambiente di virtualizazione hè implementatu, ma anu un vantaghju seriu: se u supportu hè dispunibule, ponu sempre esse aghjurnati à l'ultima versione.
U vostru equipamentu di rete hè cumpatibile cù Cisco ISE?
Di sicuru, u scenariu ideale seria di cunnette tutti l'equipaggiu à u sistema in una volta. Tuttavia, questu ùn hè micca sempre pussibule, postu chì parechje urganisazioni utilizanu sempre switches o switches senza gestione chì ùn supportanu micca alcune di e tecnulugia chì eseguite Cisco ISE. Per via, ùn parlemu micca solu di switches, pò ancu esse cuntrolli di rete wireless, cuncentratori VPN è qualsiasi altre equipamentu à quale l'utilizatori si cunnettenu. In a mo pratica, ci sò stati casi quandu, dopu avè dimustratu u sistema per l'implementazione completa, u cliente hà aghjurnatu quasi tutta a flotta di switches di livellu d'accessu à l'equipaggiu Cisco mudernu. Per evità sorprese spiacevoli, vale a pena sapè in anticipu a proporzione di l'equipaggiu senza supportu.
Sò tutti i vostri dispositi standard?
Qualchese rete hà dispositi tipichi chì ùn deve esse micca difficiuli di cunnette: stazioni di travagliu, telefoni IP, punti d'accessu Wi-Fi, videocamere, etc. Ma succede ancu chì i dispositi micca standard anu da esse cunnessi à a LAN, per esempiu, cunvertitori di signali di bus RS232 / Ethernet, interfacce di alimentazione ininterrotta, diversi equipaghji tecnologichi, etc. Hè impurtante di determinà a lista di tali dispositi in anticipu. , cusì chì in u stadiu di implementazione avete digià un capiscenu cumu tecnicamente anu da travaglià cù Cisco ISE.
Dialogu custruttivu cù specialisti IT
I clienti di Cisco ISE sò spessu dipartimenti di sicurezza, mentre chì i dipartimenti di l'IT sò generalmente rispunsevuli di cunfigurà l'accessu à i switches di a capa è Active Directory. Dunque, l'interazzione produttiva trà i specialisti di sicurezza è i specialisti in IT hè una di e cundizioni impurtanti per l'implementazione indolore di u sistema. Se l'ultimi percepiscenu l'integrazione cù l'ostilità, vale a pena spiegà à elli cumu a suluzione serà utile à u dipartimentu IT.
Top 5 casi di usu di Cisco ISE
In a nostra sperienza, a funziunalità necessaria di u sistema hè ancu identificata in u stadiu di prova pilotu. Eccu alcuni di i casi di usu più populari è menu cumuni per a suluzione.
Accessu LAN sicuru per un filu cù EAP-TLS
Cum'è i risultati di a ricerca di i nostri pentesters mostranu, abbastanza spessu per penetrà in a reta di l'impresa, l'attaccanti utilizanu sockets ordinali à quale sò cunnessi stampanti, telefoni, camere IP, punti Wi-Fi è altri dispositi di rete non persunali. Dunque, ancu s'è l'accessu à a rete hè basatu annantu à a tecnulugia dot1x, ma i protokolli alternativi sò usati senza l'usu di certificati d'autentificazione di l'utilizatori, ci hè una alta probabilità di un attaccu successu cù intercepzioni di sessione è password di forza bruta. In u casu di Cisco ISE, serà assai più difficiuli di arrubbari un certificatu - per questu, i pirate anu bisognu di più putenza di computing, cusì stu casu hè assai efficace.
Accessu wireless Dual-SSID
L'essenza di stu scenariu hè di utilizà 2 identificatori di rete (SSID). Unu di elli pò esse chjamatu "invitatu". Attraversu, sia l'invitati è l'impiegati di a cumpagnia ponu accede à a rete wireless. Quandu si pruvate di cunnette, l'ultimi sò rediretti à un portale speciale induve a pruvista hè stata. Questu hè, l'utilizatore hè emessu un certificatu è u so dispositu persunale hè cunfiguratu per ricunnisce automaticamente à u sicondu SSID, chì usa digià EAP-TLS cù tutti i vantaghji di u primu casu.
Autentificazione MAC Bypass è Profiling
Un altru casu d'usu pupulare hè di detect automaticamente u tipu di dispusitivu chì hè cunnessu è applicà e restrizioni currette. Perchè hè interessante? U fattu hè chì ci sò ancu assai dispusitivi chì ùn supportanu micca l'autentificazione cù u protocolu 802.1X. Per quessa, tali dispusitivi anu da esse permessi nantu à a reta cù un indirizzu MAC, chì hè abbastanza faciule per falsificà. Hè quì chì Cisco ISE vene in salvezza: cù l'aiutu di u sistema, pudete vede cumu si cumporta un dispositivu in a reta, crea u so prufilu è assignà à un gruppu di altri dispositi, per esempiu, un telefunu IP è una stazione di travagliu. . Se un attaccu prova à spoof un indirizzu MAC è cunnette à a reta, u sistema vi vede chì u prufilu di u dispusitivu hà cambiatu, signalà un cumpurtamentu suspettu è ùn permettenu micca l'utilizatore suspettu in a reta.
EAP-Chaining
A tecnulugia EAP-Chaining implica l'autentificazione sequenziale di u PC di travagliu è u contu d'utilizatore. Stu casu hè diventatu generalizatu perchè ... Parechje cumpagnie ùn anu ancu incuraghjenu a cunnessione di i gadgets persunali di l'impiegati à a LAN corporativa. Utilizendu stu approcciu à l'autentificazione, hè pussibule di verificà s'ellu una stazione di travagliu specifica hè un membru di u duminiu, è se u risultatu hè negativu, l'utilizatore ùn serà micca permessu in a reta, o puderà login, ma cù certe restrizioni.
Posturing
Stu casu hè di valutà a cunfurmità di u software di stazione di travagliu cù i requisiti di sicurezza di l'infurmazioni. Aduprendu sta tecnulugia, pudete verificà se u software nantu à a stazione di travagliu hè aghjurnatu, se e misure di sicurezza sò stallate nantu à questu, se u firewall di l'ospite hè cunfiguratu, etc. Curiosamente, sta tecnulugia permette ancu di risolve altre attività chì ùn sò micca ligati à a sicurità, per esempiu, cuntrollà a presenza di schedarii necessarii o installendu software in tuttu u sistema.
I casi d'utilizazione menu cumuni per Cisco ISE includenu u cuntrollu di l'accessu cù l'autenticazione di u duminiu end-to-end (ID passiva), a micro-segmentazione è filtrazione basata in SGT, è ancu l'integrazione cù sistemi di gestione di dispositivi mobili (MDM) è Scanner di Vulnerabilità.
Prughjetti non standard: perchè altrimenti puderebbe bisognu di Cisco ISE, o 3 casi rari da a nostra pratica
Cuntrolla d'accessu à i servitori basati in Linux
Una volta risolvemu un casu piuttostu micca triviale per unu di i clienti chì avianu digià implementatu u sistema Cisco ISE: avemu bisognu di truvà un modu per cuntrullà l'azzioni di l'utilizatori (principalmente amministratori) in i servitori cù Linux installatu. In cerca di una risposta, avemu avutu l'idea d'utilizà u software gratuitu PAM Radius Module, chì vi permette di accede à i servitori chì funzionanu Linux cù autentificazione in un servitore di radiu esternu. Tuttu in questu riguardu saria bonu, se micca per un "ma": u servitore di u radiu, mandendu una risposta à a dumanda di autentificazione, dà solu u nome di u contu è u risultatu - valute accettatu o valute rejected. Intantu, per l'autorizazione in Linux, avete bisognu di assignà almenu un paràmetru più - directory di casa, per chì l'utilizatore almenu ghjunghje in un locu. Ùn avemu micca truvatu un modu per dà questu cum'è un attributu di raghju, cusì avemu scrittu un script speciale per a creazione remota di cunti nantu à l'ospiti in un modu semi-automaticu. Stu compitu era abbastanza fattibile, postu chì avemu trattatu di cunti amministratori, u numeru di quale ùn era micca cusì grande. In seguitu, l'utilizatori anu cunnessu à u dispusitivu necessariu, dopu chì sò stati attribuiti l'accessu necessariu. Ci hè una quistione raghjone: hè necessariu di utilizà Cisco ISE in tali casi? In verità, no - qualsiasi servitore di raghju farà, ma postu chì u cliente avia digià stu sistema, avemu solu aghjustatu una nova funzione.
Inventariu di hardware è software nantu à a LAN
Una volta avemu travagliatu nantu à un prughjettu per furnisce Cisco ISE à un cliente senza un "pilotu" preliminare. Ùn ci era micca esigenza chjara per a suluzione, in più avemu trattatu cù una reta piatta, micca segmentata, chì hà cumplicatu u nostru compitu. Duranti u prugettu, avemu cunfiguratu tutti i metudi di prufilu pussibuli chì a rete supporta: NetFlow, DHCP, SNMP, integrazione AD, etc. In u risultatu, l'accessu MAR hè stata cunfigurata cù a capacità di log in a reta se l'autentificazione falliu. Hè vale à dì, ancu s'è l'autentificazione ùn hè micca successu, u sistema permette ancu à l'utilizatore in a reta, recullà infurmazioni nantu à ellu è arregistrà in a basa di dati ISE. Stu monitoraghju di a rete durante parechje settimane ci hà aiutatu à identificà i sistemi cunnessi è i dispositi micca persunali è à sviluppà un approcciu per segmentà. Dopu questu, avemu ancu cunfiguratu a pubblicazione per installà l'agente in stazioni di travagliu per cullà infurmazioni nantu à u software installatu nantu à elli. Chì ghjè u risultatu ? Pudemu segmentà a reta è determinà a lista di software chì deve esse eliminata da e stazioni di travagliu. Ùn aghju micca ammuccià chì e più attività di distribuzione di l'utilizatori in gruppi di domini è di delineazione di i diritti d'accessu ci pigliò assai tempu, ma in questu modu avemu avutu una stampa cumpleta di ciò chì hardware chì u cliente avia in a reta. Per via, questu ùn era micca difficiule per via di u bonu travagliu di prufilu fora di a scatula. Ebbè, induve u prufilu ùn hà micca aiutu, avemu guardatu noi stessi, mettendu in risaltu u portu di switch à quale l'equipaggiu era cunnessu.
Installazione remota di software in stazioni di travagliu
Stu casu hè unu di i più strani in a mo pratica. Un ghjornu, un cliente hè ghjuntu à noi cù un gridu d'aiutu - qualcosa hè andatu sbagliatu quandu implementava Cisco ISE, tuttu s'hè rottu, è nimu altru puderia accede à a reta. Avemu cuminciatu à circà in questu è hà scupertu i seguenti. A cumpagnia avia 2000 computers, chì, in l'absenza di un controller di duminiu, sò stati amministrati sottu un contu amministratore. Per u scopu di peering, l'urganizazione hà implementatu Cisco ISE. Era necessariu di capisce in qualchì manera se un antivirus era installatu nantu à i PC esistenti, se l'ambiente di u software era aghjurnatu, etc. E postu chì l'amministratori di l'IT installatu l'equipaggiu di rete in u sistema, hè logicu chì avianu accessu à questu. Dopu avè vistu cumu funziona è pushering i so PC, l'amministratori anu avutu l'idea di installà u software in stazioni di travagliu di l'impiegati remotamente senza visite persunali. Immaginate quanti passi pudete salvà per ghjornu in questu modu! L'amministratori anu realizatu parechji cuntrolli di a stazione di travagliu per a presenza di un schedariu specificu in u cartulare C: Program Files, è s'ellu era assente, a rimediazione automatica hè stata lanciata seguendu un ligame chì porta à l'almacenamiento di u schedariu à u schedariu di installazione .exe. Questu hà permessu à l'utilizatori ordinali di andà in una spartera di file è scaricate u software necessariu da quì. Sfurtunatamente, l'amministratore ùn cunnosci micca bè u sistema ISE è hà dannatu i miccanismi di pubblicazione - hà scrittu a pulitica in modu incorrectu, chì hà purtatu à un prublema chì avemu participatu à risolve. In modu persunale, sò sinceramente sorpresu da un tali approcciu creativo, perchè saria assai più prezzu è menu di travagliu per creà un controller di duminiu. Ma cum'è una prova di cuncettu hà travagliatu.
Leghjite più nantu à e sfumature tecniche chì si sviluppanu quandu implementate Cisco ISE in l'articulu di u mo cullegu .
Artem Bobrikov, ingegnere di designu di u Centru di Sicurezza di l'Informazione in Jet Infosystems
Afterword:
Malgradu u fattu chì questu post parla di u sistema Cisco ISE, i prublemi descritti sò pertinenti per tutta a classa di suluzione NAC. Ùn hè micca cusì impurtante chì a suluzione di u venditore hè prevista per l'implementazione - a maiò parte di ciò chì sopra resterà applicabile.
Source: www.habr.com