Jak často si něco koupíte spontánně, podlehnete chladné reklamě a pak na tento původně vytoužený předmět sedá prach ve skříni, spíži nebo garáži až do dalšího jarního úklidu nebo stěhování? Výsledkem je zklamání z neoprávněných očekávání a vyhozené peníze. Mnohem horší je, když se to stane v podnikání. Marketingové triky jsou velmi často tak dobré, že společnosti kupují drahé řešení, aniž by viděli úplný obrázek o jeho aplikaci. Mezitím zkušební testování systému pomáhá pochopit, jak připravit infrastrukturu na integraci, jaké funkce a v jakém rozsahu by měly být implementovány. Tímto způsobem se můžete vyhnout velkému množství problémů kvůli výběru produktu „naslepo“. Implementace po kompetentním „pilotovi“ navíc inženýrům přinese mnohem méně zničených nervových buněk a šedých vlasů. Pojďme zjistit, proč je pilotní testování pro úspěšný projekt tak důležité, na příkladu oblíbeného nástroje pro řízení přístupu do podnikové sítě – Cisco ISE. Zvažme standardní i zcela nestandardní možnosti využití řešení, se kterými jsme se setkali v naší praxi.
Cisco ISE – „Radius server na steroidech“
Cisco Identity Services Engine (ISE) je platforma pro vytvoření systému řízení přístupu pro místní síť organizace. V odborné komunitě byl produkt pro své vlastnosti přezdíván „Radius server on steroids“. proč tomu tak je? Řešením je v podstatě server Radius, ke kterému bylo připojeno obrovské množství doplňkových služeb a „triků“, které vám umožňují přijímat velké množství kontextových informací a výslednou sadu dat aplikovat v politikách přístupu.
Stejně jako jakýkoli jiný server Radius i Cisco ISE spolupracuje se síťovým zařízením na úrovni přístupu, shromažďuje informace o všech pokusech o připojení k podnikové síti a na základě zásad ověřování a autorizace povoluje nebo zakazuje uživatelům přístup do sítě LAN. Možnost profilování, zveřejňování a integrace s jinými řešeními informační bezpečnosti však umožňuje výrazně zkomplikovat logiku autorizační politiky a řešit tak poměrně složité a zajímavé problémy.
Implementaci nelze pilotovat: proč potřebujete testování?
Hodnota pilotního testování spočívá v demonstraci všech schopností systému v konkrétní infrastruktuře konkrétní organizace. Věřím, že pilotování Cisco ISE před implementací přináší užitek všem zapojeným do projektu, a zde je důvod.
To dává integrátorům jasnou představu o očekáváních zákazníka a pomáhá vytvořit správnou technickou specifikaci, která obsahuje mnohem více podrobností než běžná fráze „ujistěte se, že je vše v pořádku“. „Pilot“ nám umožňuje cítit veškerou bolest zákazníka, pochopit, které úkoly jsou pro něj prioritní a které druhotné. Je to pro nás výborná příležitost, jak si předem zjistit, jaké zařízení se v organizaci používá, jak bude probíhat implementace, na jakých místech, kde se nacházejí a podobně.
Během pilotního testování zákazníci vidí skutečný systém v akci, seznámí se s jeho rozhraním, mohou si ověřit, zda je kompatibilní s jejich stávajícím hardwarem, a získat ucelený přehled o tom, jak bude řešení fungovat po plné implementaci. „Pilot“ je právě ten okamžik, kdy můžete vidět všechna úskalí, se kterými se pravděpodobně během integrace setkáte, a rozhodnout se, kolik licencí je třeba zakoupit.
Co se může „objevit“ během „pilotu“
Jak se tedy správně připravit na implementaci Cisco ISE? Z našich zkušeností jsme napočítali 4 hlavní body, které je důležité vzít v úvahu při pilotním testování systému.
Tvarový faktor
Nejprve se musíte rozhodnout, v jakém formovém faktoru bude systém implementován: fyzický nebo virtuální upline. Každá možnost má výhody a nevýhody. Například síla fyzického upline je jeho předvídatelný výkon, ale nesmíme zapomínat, že taková zařízení časem zastarají. Virtuální upline jsou méně předvídatelné, protože... závisí na hardwaru, na kterém je virtualizační prostředí nasazeno, ale mají vážnou výhodu: pokud je k dispozici podpora, lze je vždy aktualizovat na nejnovější verzi.
Je vaše síťové zařízení kompatibilní s Cisco ISE?
Ideálním scénářem by samozřejmě bylo připojit všechna zařízení k systému najednou. To však není vždy možné, protože mnoho organizací stále používá nespravované přepínače nebo přepínače, které nepodporují některé technologie využívající Cisco ISE. Mimochodem, nemluvíme jen o přepínačích, mohou to být i bezdrátové síťové řadiče, VPN koncentrátory a jakákoli další zařízení, ke kterým se uživatelé připojují. V mé praxi se vyskytly případy, kdy po předvedení systému pro plnou implementaci zákazník upgradoval téměř celou flotilu přepínačů přístupové úrovně na moderní zařízení Cisco. Abyste předešli nepříjemným překvapením, vyplatí se předem zjistit podíl nepodporovaného zařízení.
Jsou všechna vaše zařízení standardní?
Každá síť má typická zařízení, ke kterým by nemělo být obtížné se připojit: pracovní stanice, IP telefony, přístupové body Wi-Fi, videokamery a tak dále. Stává se ale i to, že do LAN je potřeba připojit nestandardní zařízení, například převodníky signálu sběrnice RS232/Ethernet, rozhraní záložního napájení, různá technologická zařízení atd. Je důležité si předem určit seznam takových zařízení. , takže ve fázi implementace již rozumíte tomu, jak technicky budou pracovat s Cisco ISE.
Konstruktivní dialog s IT specialisty
Zákazníci Cisco ISE jsou často bezpečnostní oddělení, zatímco IT oddělení jsou obvykle zodpovědná za konfiguraci přepínačů přístupové vrstvy a Active Directory. Produktivní interakce mezi bezpečnostními specialisty a IT specialisty je proto jednou z důležitých podmínek bezproblémové implementace systému. Pokud tito vnímají integraci s nepřátelstvím, stojí za to jim vysvětlit, jak bude řešení užitečné pro IT oddělení.
5 nejlepších případů použití Cisco ISE
Podle našich zkušeností je požadovaná funkčnost systému identifikována také ve fázi pilotního testování. Níže jsou uvedeny některé z nejpopulárnějších a méně běžných případů použití řešení.
Zabezpečte přístup k síti LAN po drátě pomocí EAP-TLS
Jak ukazují výsledky výzkumu našich pentesterů, útočníci k pronikání do firemní sítě poměrně často používají běžné zásuvky, ke kterým jsou připojeny tiskárny, telefony, IP kamery, Wi-Fi body a další neosobní síťová zařízení. I když je tedy přístup k síti založen na technologii dot1x, ale jsou používány alternativní protokoly bez použití certifikátů pro autentizaci uživatele, existuje vysoká pravděpodobnost úspěšného útoku pomocí zachycení relace a hesel hrubou silou. V případě Cisco ISE bude mnohem obtížnější ukrást certifikát – k tomu budou hackeři potřebovat mnohem větší výpočetní výkon, takže tento případ je velmi efektivní.
Bezdrátový přístup Dual-SSID
Podstatou tohoto scénáře je použití 2 síťových identifikátorů (SSID). Jeden z nich může být podmíněně nazýván „hostem“. Jeho prostřednictvím se k bezdrátové síti dostanou jak hosté, tak zaměstnanci společnosti. Když se pokusí připojit, jsou přesměrováni na speciální portál, kde probíhá zajišťování. To znamená, že uživateli je vydán certifikát a jeho osobní zařízení je nakonfigurováno tak, aby se automaticky znovu připojilo k druhému SSID, které již využívá EAP-TLS se všemi výhodami prvního případu.
Bypass a profilování MAC autentizace
Dalším oblíbeným případem použití je automatická detekce typu připojovaného zařízení a aplikování správných omezení na něj. Proč je zajímavý? Faktem je, že stále existuje poměrně hodně zařízení, která nepodporují autentizaci pomocí protokolu 802.1X. Proto musí být takovým zařízením povolen vstup do sítě pomocí MAC adresy, kterou lze snadno zfalšovat. Zde přichází na pomoc Cisco ISE: pomocí systému můžete vidět, jak se zařízení chová v síti, vytvořit jeho profil a přiřadit jej ke skupině dalších zařízení, například IP telefon a pracovní stanice. . Pokud se útočník pokusí podvrhnout MAC adresu a připojit se k síti, systém uvidí, že se profil zařízení změnil, signalizuje podezřelé chování a nepustí podezřelého uživatele do sítě.
EAP-řetězení
Technologie EAP-Chaining zahrnuje sekvenční ověřování pracovního počítače a uživatelského účtu. Tento případ se rozšířil, protože... Mnoho společností stále nepodporuje připojení osobních gadgetů zaměstnanců k podnikové síti LAN. Pomocí tohoto přístupu k autentizaci je možné zkontrolovat, zda je konkrétní pracovní stanice členem domény, a pokud bude výsledek negativní, uživatel buď nebude vpuštěn do sítě, nebo bude moci vstoupit, ale s určitým omezení.
Pózování
Tento případ se týká posouzení souladu softwaru pracovní stanice s požadavky na bezpečnost informací. Pomocí této technologie můžete zkontrolovat, zda je software na pracovní stanici aktualizován, zda jsou na ní nainstalována bezpečnostní opatření, zda je nakonfigurován hostitelský firewall atd. Zajímavé je, že tato technologie také umožňuje řešit další úkoly, které se netýkají zabezpečení, například kontrolu přítomnosti potřebných souborů nebo instalaci softwaru pro celý systém.
Mezi méně časté případy použití Cisco ISE patří řízení přístupu s end-to-end doménovou autentizací (Passive ID), mikrosegmentace a filtrování na bázi SGT a také integrace se systémy správy mobilních zařízení (MDM) a skenery zranitelnosti.
Nestandardní projekty: proč jinak byste mohli potřebovat Cisco ISE nebo 3 vzácné případy z naší praxe
Řízení přístupu k serverům založeným na Linuxu
Jednou jsme řešili docela netriviální případ pro jednoho ze zákazníků, který již měl implementovaný systém Cisco ISE: potřebovali jsme najít způsob, jak ovládat akce uživatelů (většinou administrátorů) na serverech s nainstalovaným Linuxem. Při hledání odpovědi jsme přišli s myšlenkou použití bezplatného softwaru PAM Radius Module, který vám umožní přihlásit se k serverům se systémem Linux s autentizací na externím radius serveru. Všechno v tomto ohledu by bylo dobré, nebýt jednoho „ale“: radius server, který odešle odpověď na žádost o autentizaci, poskytne pouze název účtu a výsledek - posoudit přijato nebo posoudit zamítnuto. Mezitím je pro autorizaci v Linuxu potřeba přiřadit ještě minimálně jeden parametr – domovský adresář, aby se uživatel alespoň někam dostal. Nenašli jsme způsob, jak to zadat jako atribut radius, takže jsme napsali speciální skript pro vzdálené vytváření účtů na hostitelích v poloautomatickém režimu. Tento úkol byl docela proveditelný, protože jsme měli co do činění s administrátorskými účty, jejichž počet nebyl tak velký. Poté se uživatelé přihlásili na požadované zařízení a poté jim byl přidělen potřebný přístup. Nabízí se rozumná otázka: je nutné v takových případech používat Cisco ISE? Vlastně ne - jakýkoli radius server bude stačit, ale protože zákazník již tento systém měl, jednoduše jsme do něj přidali novou funkci.
Inventář hardwaru a softwaru v síti LAN
Jednou jsme pracovali na projektu dodávky Cisco ISE jednomu zákazníkovi bez předběžného „pilota“. Na řešení nebyly jasné požadavky, navíc jsme měli co do činění s plochou, nesegmentovanou sítí, což nám komplikovalo úkol. Během projektu jsme nakonfigurovali všechny možné metody profilování, které síť podporovala: NetFlow, DHCP, SNMP, integrace AD atd. V důsledku toho byl přístup MAR nakonfigurován s možností přihlásit se do sítě, pokud se ověření nezdařilo. To znamená, že i kdyby autentizace nebyla úspěšná, systém by stále pustil uživatele do sítě, sbíral o něm informace a zaznamenával je do databáze ISE. Tento monitoring sítě v průběhu několika týdnů nám pomohl identifikovat připojené systémy a neosobní zařízení a vyvinout přístup k jejich segmentaci. Poté jsme dodatečně nakonfigurovali odesílání pro instalaci agenta na pracovních stanicích, abychom shromáždili informace o softwaru, který je na nich nainstalovaný. jaký je výsledek? Podařilo se nám segmentovat síť a určit seznam softwaru, který bylo potřeba z pracovních stanic odstranit. Nebudu zastírat, že další rozdělování uživatelů do doménových skupin a vymezování přístupových práv nám zabralo poměrně dost času, ale získali jsme tak kompletní obrázek o tom, jaký hardware měl zákazník v síti. To mimochodem nebylo těžké vzhledem k dobré práci profilování z krabice. Kde profilování nepomohlo, podívali jsme se sami a zvýraznili jsme port přepínače, ke kterému bylo zařízení připojeno.
Vzdálená instalace softwaru na pracovní stanice
Tento případ je jedním z nejpodivnějších v mé praxi. Jednoho dne k nám přišel zákazník s voláním o pomoc – při implementaci Cisco ISE se něco pokazilo, vše se porouchalo a nikdo jiný neměl přístup k síti. Začali jsme to zkoumat a zjistili jsme následující. Společnost měla 2000 počítačů, které byly bez řadiče domény spravovány pod účtem správce. Pro účely peeringu organizace implementovala Cisco ISE. Bylo nutné nějak pochopit, zda byl na stávajících počítačích nainstalován antivirus, zda bylo aktualizováno softwarové prostředí atd. A protože IT administrátoři do systému instalovali síťové vybavení, je logické, že k němu měli přístup. Poté, co administrátoři viděli, jak to funguje, a vylepšovali své počítače, přišli s nápadem nainstalovat software na pracovní stanice zaměstnanců na dálku bez osobních návštěv. Jen si představte, kolik kroků můžete tímto způsobem denně ušetřit! Administrátoři provedli několik kontrol pracovní stanice na přítomnost konkrétního souboru v adresáři C:Program Files, a pokud chyběl, byla spuštěna automatická náprava pomocí odkazu vedoucího do úložiště souboru na instalační .exe soubor. To umožnilo běžným uživatelům přejít do sdíleného souboru a stáhnout si odtud potřebný software. Bohužel admin neznal dobře systém ISE a poškodil mechanismy účtování – špatně napsal politiku, což vedlo k problému, na jehož řešení jsme se podíleli. Osobně jsem upřímně překvapen takovým kreativním přístupem, protože vytvořit doménový řadič by bylo mnohem levnější a méně pracné. Ale jako důkaz konceptu to fungovalo.
Přečtěte si více o technických nuancích, které vznikají při implementaci Cisco ISE v článku mého kolegy .
Artem Bobrikov, konstruktér Centra informační bezpečnosti ve společnosti Jet Infosystems
Doslov:
Navzdory skutečnosti, že tento příspěvek hovoří o systému Cisco ISE, popsané problémy jsou relevantní pro celou třídu řešení NAC. Není tak důležité, které řešení dodavatele je plánováno k implementaci – většina z výše uvedeného zůstane použitelná.
Zdroj: www.habr.com