Pa mor aml ydych chi'n prynu rhywbeth yn ddigymell, gan ildio i hysbyseb oer, ac yna mae'r eitem hon a ddymunir i ddechrau yn casglu llwch mewn cwpwrdd, pantri neu garej tan y gwanwyn nesaf yn glanhau neu'n symud? Y canlyniad yw siom oherwydd disgwyliadau na ellir eu cyfiawnhau a gwastraff arian. Mae'n waeth o lawer pan fydd hyn yn digwydd i fusnes. Yn aml iawn, mae gimigau marchnata mor dda fel bod cwmnïau'n prynu datrysiad drud heb weld y darlun llawn o'i gymhwysiad. Yn y cyfamser, mae treialu'r system yn helpu i ddeall sut i baratoi'r seilwaith ar gyfer integreiddio, pa swyddogaethau ac i ba raddau y dylid eu gweithredu. Fel hyn gallwch chi osgoi nifer fawr o broblemau oherwydd dewis cynnyrch yn “ddallus”. Yn ogystal, bydd gweithredu ar ôl “peilot” cymwys yn dod â pheirianwyr yn llai dinistriol celloedd nerfol a gwallt llwyd. Gadewch i ni ddarganfod pam mae profion peilot mor bwysig ar gyfer prosiect llwyddiannus, gan ddefnyddio'r enghraifft o offeryn poblogaidd ar gyfer rheoli mynediad i rwydwaith corfforaethol - Cisco ISE. Gadewch i ni ystyried opsiynau safonol a chwbl ansafonol ar gyfer defnyddio'r datrysiad y daethom ar ei draws yn ein harfer.
Cisco ISE - “Gweinydd radiws ar steroidau”
Mae Cisco Identity Services Engine (ISE) yn llwyfan ar gyfer creu system rheoli mynediad ar gyfer rhwydwaith ardal leol sefydliad. Yn y gymuned arbenigol, cafodd y cynnyrch y llysenw “Gweinydd Radius ar steroidau” am ei briodweddau. Pam hynny? Yn y bôn, gweinydd Radius yw'r ateb, y mae nifer fawr o wasanaethau a “thriciau” ychwanegol wedi'u hatodi iddo, sy'n eich galluogi i dderbyn llawer iawn o wybodaeth gyd-destunol a chymhwyso'r set ddata sy'n deillio o hynny mewn polisïau mynediad.
Fel unrhyw weinydd Radius arall, mae Cisco ISE yn rhyngweithio ag offer rhwydwaith lefel mynediad, yn casglu gwybodaeth am bob ymgais i gysylltu â'r rhwydwaith corfforaethol ac, yn seiliedig ar bolisïau dilysu ac awdurdodi, yn caniatáu neu'n gwadu defnyddwyr i'r LAN. Fodd bynnag, mae'r posibilrwydd o broffilio, postio ac integreiddio ag atebion diogelwch gwybodaeth eraill yn ei gwneud hi'n bosibl cymhlethu'n sylweddol rhesymeg y polisi awdurdodi a thrwy hynny ddatrys problemau eithaf anodd a diddorol.
Ni ellir treialu gweithredu: pam mae angen profi arnoch?
Gwerth profion peilot yw dangos holl alluoedd y system yn seilwaith penodol sefydliad penodol. Credaf fod treialu Cisco ISE cyn gweithredu o fudd i bawb sy'n ymwneud â'r prosiect, a dyma pam.
Mae hyn yn rhoi syniad clir i integreiddwyr o ddisgwyliadau'r cwsmer ac yn helpu i lunio manyleb dechnegol gywir sy'n cynnwys llawer mwy o fanylion na'r ymadrodd cyffredin “gwnewch yn siŵr bod popeth yn iawn.” Mae “Peilot” yn ein galluogi i deimlo holl boen y cwsmer, i ddeall pa dasgau sy'n flaenoriaeth iddo a pha rai sy'n eilaidd. I ni, mae hwn yn gyfle gwych i ddarganfod ymlaen llaw pa offer a ddefnyddir yn y sefydliad, sut y bydd y gweithredu'n digwydd, ar ba safleoedd, ble maent wedi'u lleoli, ac ati.
Yn ystod profion peilot, mae cwsmeriaid yn gweld y system go iawn ar waith, yn dod yn gyfarwydd â'i ryngwyneb, yn gallu gwirio a yw'n gydnaws â'u caledwedd presennol, a chael dealltwriaeth gyfannol o sut y bydd yr ateb yn gweithio ar ôl ei weithredu'n llawn. “Peilot” yw’r union foment pan allwch chi weld yr holl beryglon y mae’n debyg y byddwch chi’n dod ar eu traws wrth integreiddio, a phenderfynu faint o drwyddedau y mae angen i chi eu prynu.
Beth all “pop up” yn ystod y “peilot”
Felly, sut ydych chi'n paratoi'n iawn ar gyfer gweithredu Cisco ISE? O'n profiad ni, rydym wedi cyfrif 4 prif bwynt sy'n bwysig i'w hystyried yn ystod y prawf peilot ar y system.
Ffactor ffurf
Yn gyntaf, mae angen i chi benderfynu ym mha ffactor ffurf y bydd y system yn cael ei gweithredu: uwch-lein corfforol neu rithwir. Mae gan bob opsiwn fanteision ac anfanteision. Er enghraifft, cryfder uwch-linell corfforol yw ei berfformiad rhagweladwy, ond rhaid i ni beidio ag anghofio bod dyfeisiau o'r fath yn dod yn ddarfodedig dros amser. Mae uwch-linellau rhithwir yn llai rhagweladwy oherwydd ... yn dibynnu ar y caledwedd y defnyddir yr amgylchedd rhithwiroli arno, ond mae ganddynt fantais ddifrifol: os oes cymorth ar gael, gellir eu diweddaru bob amser i'r fersiwn ddiweddaraf.
A yw eich offer rhwydwaith yn gydnaws â Cisco ISE?
Wrth gwrs, y senario delfrydol fyddai cysylltu'r holl offer i'r system ar unwaith. Fodd bynnag, nid yw hyn bob amser yn bosibl gan fod llawer o sefydliadau yn dal i ddefnyddio switshis heb eu rheoli neu switshis nad ydynt yn cefnogi rhai o'r technolegau sy'n rhedeg Cisco ISE. Gyda llaw, nid ydym yn sôn am switshis yn unig, gall hefyd fod yn rheolwyr rhwydwaith diwifr, crynodyddion VPN ac unrhyw offer arall y mae defnyddwyr yn cysylltu ag ef. Yn fy arfer, bu achosion pan uwchraddiodd y cwsmer bron y fflyd gyfan o switshis lefel mynediad i offer Cisco modern ar ôl dangos bod y system yn cael ei gweithredu'n llawn. Er mwyn osgoi syrpréis annymunol, mae'n werth darganfod ymlaen llaw gyfran yr offer heb gefnogaeth.
Ydy'ch holl ddyfeisiau'n safonol?
Mae gan unrhyw rwydwaith ddyfeisiau nodweddiadol na ddylai fod yn anodd cysylltu â nhw: gweithfannau, ffonau IP, pwyntiau mynediad Wi-Fi, camerâu fideo, ac ati. Ond mae hefyd yn digwydd bod angen cysylltu dyfeisiau ansafonol â'r LAN, er enghraifft, trawsnewidwyr signal bws RS232/Ethernet, rhyngwynebau cyflenwad pŵer di-dor, offer technolegol amrywiol, ac ati Mae'n bwysig pennu'r rhestr o ddyfeisiau o'r fath ymlaen llaw. , fel eich bod eisoes yn deall pa mor dechnegol y byddant yn gweithio gyda Cisco ISE ar y cam gweithredu.
Deialog adeiladol gydag arbenigwyr TG
Mae cwsmeriaid Cisco ISE yn aml yn adrannau diogelwch, tra bod adrannau TG fel arfer yn gyfrifol am ffurfweddu switshis haenau mynediad a Active Directory. Felly, mae rhyngweithio cynhyrchiol rhwng arbenigwyr diogelwch ac arbenigwyr TG yn un o'r amodau pwysig ar gyfer gweithredu'r system yn ddi-boen. Os yw'r olaf yn gweld integreiddio â gelyniaeth, mae'n werth egluro iddynt sut y bydd yr ateb yn ddefnyddiol i'r adran TG.
5 achos defnydd Cisco ISE gorau
Yn ein profiad ni, mae ymarferoldeb gofynnol y system hefyd yn cael ei nodi yn y cam profi peilot. Isod mae rhai o'r achosion defnydd mwyaf poblogaidd a llai cyffredin ar gyfer yr ateb.
Sicrhau mynediad LAN dros wifren gydag EAP-TLS
Fel y dengys canlyniadau ymchwil ein treiddiaduron, yn aml i dreiddio i rwydwaith cwmni, mae ymosodwyr yn defnyddio socedi cyffredin y mae argraffwyr, ffonau, camerâu IP, pwyntiau Wi-Fi a dyfeisiau rhwydwaith nad ydynt yn bersonol eraill wedi'u cysylltu â nhw. Felly, hyd yn oed os yw mynediad rhwydwaith yn seiliedig ar dechnoleg dot1x, ond bod protocolau amgen yn cael eu defnyddio heb ddefnyddio tystysgrifau dilysu defnyddwyr, mae tebygolrwydd uchel o ymosodiad llwyddiannus gyda chyfrineiriau rhyng-gipio sesiwn a grym 'n ysgrublaidd. Yn achos Cisco ISE, bydd yn llawer anoddach dwyn tystysgrif - ar gyfer hyn, bydd angen llawer mwy o bŵer cyfrifiadurol ar hacwyr, felly mae'r achos hwn yn effeithiol iawn.
Mynediad diwifr deuol-SSID
Hanfod y senario hwn yw defnyddio 2 ddynodwr rhwydwaith (SSIDs). Gellir galw un ohonynt yn amodol yn “westai”. Trwyddo, gall gwesteion a gweithwyr cwmni gael mynediad i'r rhwydwaith diwifr. Pan fyddant yn ceisio cysylltu, mae'r olaf yn cael ei ailgyfeirio i borth arbennig lle mae darpariaeth yn digwydd. Hynny yw, rhoddir tystysgrif i'r defnyddiwr ac mae ei ddyfais bersonol wedi'i ffurfweddu i ailgysylltu'n awtomatig â'r ail SSID, sydd eisoes yn defnyddio EAP-TLS gyda holl fanteision yr achos cyntaf.
Ffordd Osgoi a Phroffilio Dilysu MAC
Achos defnydd poblogaidd arall yw canfod yn awtomatig y math o ddyfais sy'n cael ei gysylltu a chymhwyso'r cyfyngiadau cywir iddo. Pam ei fod yn ddiddorol? Y ffaith yw bod yna lawer iawn o ddyfeisiau o hyd nad ydyn nhw'n cefnogi dilysu gan ddefnyddio'r protocol 802.1X. Felly, mae'n rhaid caniatáu dyfeisiau o'r fath ar y rhwydwaith gan ddefnyddio cyfeiriad MAC, sy'n eithaf hawdd i'w ffugio. Dyma lle daw Cisco ISE i'r adwy: gyda chymorth y system, gallwch weld sut mae dyfais yn ymddwyn ar y rhwydwaith, creu ei broffil a'i aseinio i grŵp o ddyfeisiau eraill, er enghraifft, ffôn IP a gweithfan . Os bydd ymosodwr yn ceisio ffugio cyfeiriad MAC a chysylltu â'r rhwydwaith, bydd y system yn gweld bod proffil y ddyfais wedi newid, yn nodi ymddygiad amheus ac ni fydd yn caniatáu i'r defnyddiwr amheus ddod i mewn i'r rhwydwaith.
EAP-Cadwyno
Mae technoleg EAP-Chaining yn cynnwys dilysu dilyniannol y cyfrifiadur personol a'r cyfrif defnyddiwr. Mae'r achos hwn wedi dod yn eang oherwydd ... Nid yw llawer o gwmnïau'n annog cysylltu teclynnau personol gweithwyr â'r LAN corfforaethol o hyd. Gan ddefnyddio'r dull hwn o ddilysu, mae'n bosibl gwirio a yw gweithfan benodol yn aelod o'r parth, ac os yw'r canlyniad yn negyddol, ni fydd y defnyddiwr naill ai'n cael mynediad i'r rhwydwaith, neu'n gallu mewngofnodi, ond gyda cyfyngiadau penodol.
Postio
Mae'r achos hwn yn ymwneud ag asesu cydymffurfiad meddalwedd gweithfan â gofynion diogelwch gwybodaeth. Gan ddefnyddio'r dechnoleg hon, gallwch wirio a yw'r feddalwedd ar y weithfan wedi'i diweddaru, a yw mesurau diogelwch wedi'u gosod arno, a yw wal dân y gwesteiwr wedi'i ffurfweddu, ac ati. Yn ddiddorol, mae'r dechnoleg hon hefyd yn caniatáu ichi ddatrys tasgau eraill nad ydynt yn ymwneud â diogelwch, er enghraifft, gwirio presenoldeb ffeiliau angenrheidiol neu osod meddalwedd system gyfan.
Mae achosion defnydd llai cyffredin ar gyfer Cisco ISE yn cynnwys rheoli mynediad gyda dilysu parth o'r dechrau i'r diwedd (ID Goddefol), micro-segmentu a hidlo yn seiliedig ar SGT, yn ogystal ag integreiddio â systemau rheoli dyfeisiau symudol (MDM) a Sganwyr Agored i Niwed.
Prosiectau ansafonol: pam arall y gallai fod angen Cisco ISE arnoch, neu 3 achos prin o'n practis
Rheolaeth mynediad i weinyddion sy'n seiliedig ar Linux
Unwaith yr oeddem yn datrys achos braidd yn ddibwys ar gyfer un o'r cwsmeriaid a oedd eisoes wedi gweithredu system Cisco ISE: roedd angen i ni ddod o hyd i ffordd i reoli gweithredoedd defnyddwyr (gweinyddwyr yn bennaf) ar weinyddion gyda Linux wedi'u gosod. Wrth chwilio am ateb, fe wnaethon ni feddwl am y syniad o ddefnyddio'r meddalwedd Modiwl Radius PAM am ddim, sy'n eich galluogi i fewngofnodi i weinyddion sy'n rhedeg Linux gyda dilysiad ar weinydd radiws allanol. Byddai popeth yn hyn o beth yn dda, os nad am un “ond”: mae'r gweinydd radiws, sy'n anfon ymateb i'r cais dilysu, yn rhoi enw'r cyfrif a'r canlyniad yn unig - asesu a dderbyniwyd neu asesu a wrthodwyd. Yn y cyfamser, ar gyfer awdurdodi yn Linux, mae angen i chi neilltuo o leiaf un paramedr arall - cyfeiriadur cartref, fel bod y defnyddiwr o leiaf yn cyrraedd rhywle. Ni wnaethom ddod o hyd i ffordd i roi hyn fel priodoledd radiws, felly fe wnaethom ysgrifennu sgript arbennig ar gyfer creu cyfrifon o bell ar westeion mewn modd lled-awtomatig. Roedd y dasg hon yn eithaf dichonadwy, gan ein bod yn delio â chyfrifon gweinyddwyr, nad oedd eu nifer mor fawr. Nesaf, mewngofnodi defnyddwyr i'r ddyfais ofynnol, ac ar ôl hynny rhoddwyd y mynediad angenrheidiol iddynt. Mae cwestiwn rhesymol yn codi: a oes angen defnyddio Cisco ISE mewn achosion o'r fath? Mewn gwirionedd, na - bydd unrhyw weinydd radiws yn ei wneud, ond gan fod gan y cwsmer y system hon eisoes, rydym yn syml wedi ychwanegu nodwedd newydd ato.
Rhestr o galedwedd a meddalwedd ar y LAN
Buom yn gweithio unwaith ar brosiect i gyflenwi Cisco ISE i un cwsmer heb “beilot” rhagarweiniol. Nid oedd unrhyw ofynion clir ar gyfer yr ateb, ac roeddem hefyd yn delio â rhwydwaith gwastad, heb ei segmentu, a oedd yn cymhlethu ein tasg. Yn ystod y prosiect, fe wnaethom ffurfweddu'r holl ddulliau proffilio posibl yr oedd y rhwydwaith yn eu cefnogi: NetFlow, DHCP, SNMP, integreiddio AD, ac ati. O ganlyniad, cafodd mynediad MAR ei ffurfweddu gyda'r gallu i fewngofnodi i'r rhwydwaith pe bai'r dilysu'n methu. Hynny yw, hyd yn oed pe na bai'r dilysu'n llwyddiannus, byddai'r system yn dal i ganiatáu i'r defnyddiwr ddod i mewn i'r rhwydwaith, casglu gwybodaeth amdano a'i gofnodi yn y gronfa ddata ISE. Fe wnaeth y monitro rhwydwaith hwn dros sawl wythnos ein helpu i nodi systemau cysylltiedig a dyfeisiau nad ydynt yn bersonol a datblygu dull o'u segmentu. Ar ôl hyn, fe wnaethom hefyd ffurfweddu postio i osod yr asiant ar weithfannau er mwyn casglu gwybodaeth am y meddalwedd a osodwyd arnynt. Beth yw'r canlyniad? Roeddem yn gallu segmentu'r rhwydwaith a phennu'r rhestr o feddalwedd yr oedd angen ei thynnu o weithfannau. Ni fyddaf yn cuddio bod tasgau pellach o ddosbarthu defnyddwyr i grwpiau parth a diffinio hawliau mynediad wedi cymryd cryn dipyn o amser i ni, ond yn y modd hwn cawsom ddarlun cyflawn o ba galedwedd oedd gan y cwsmer ar y rhwydwaith. Gyda llaw, nid oedd hyn yn anodd oherwydd y gwaith da o broffilio allan o'r bocs. Wel, lle nad oedd proffilio yn helpu, fe wnaethom edrych ein hunain, gan amlygu'r porthladd switsh yr oedd yr offer yn gysylltiedig ag ef.
Gosod meddalwedd o bell ar weithfannau
Mae'r achos hwn yn un o'r rhai rhyfeddaf yn fy arfer. Un diwrnod, daeth cwsmer atom gyda gwaedd am help - aeth rhywbeth o'i le wrth weithredu Cisco ISE, torrodd popeth, ac ni allai neb arall gael mynediad i'r rhwydwaith. Dechreuon ni edrych i mewn iddo a darganfod y canlynol. Roedd gan y cwmni 2000 o gyfrifiaduron, a oedd, yn absenoldeb rheolwr parth, yn cael eu rheoli o dan gyfrif gweinyddwr. Er mwyn sbecian, gweithredodd y sefydliad Cisco ISE. Roedd angen deall rhywsut a oedd gwrthfeirws wedi'i osod ar gyfrifiaduron personol presennol, a oedd yr amgylchedd meddalwedd wedi'i ddiweddaru, ac ati. Ac ers i weinyddwyr TG osod offer rhwydwaith yn y system, mae'n rhesymegol eu bod wedi cael mynediad iddo. Ar ôl gweld sut mae'n gweithio a phoshering eu cyfrifiaduron personol, daeth y gweinyddwyr i'r syniad o osod y feddalwedd ar weithfannau gweithwyr o bell heb ymweliadau personol. Dychmygwch faint o gamau y gallwch chi eu harbed bob dydd fel hyn! Cynhaliodd y gweinyddwyr sawl gwiriad o'r weithfan am bresenoldeb ffeil benodol yn y cyfeiriadur C:Program Files, ac os oedd yn absennol, lansiwyd adferiad awtomatig trwy ddilyn dolen sy'n arwain at storio'r ffeil i'r ffeil gosod .exe. Roedd hyn yn caniatáu i ddefnyddwyr cyffredin fynd i rannu ffeiliau a lawrlwytho'r feddalwedd angenrheidiol oddi yno. Yn anffodus, nid oedd y gweinyddwr yn adnabod y system ISE yn dda ac wedi niweidio'r mecanweithiau postio - ysgrifennodd y polisi yn anghywir, a arweiniodd at broblem yr oeddem yn ymwneud â'i datrys. Yn bersonol, mae ymagwedd mor greadigol yn fy synnu'n fawr, oherwydd byddai'n llawer rhatach ac yn llai llafurddwys i greu rheolydd parth. Ond fel Prawf o gysyniad fe weithiodd.
Darllenwch fwy am y naws technegol sy'n codi wrth weithredu Cisco ISE yn erthygl fy nghydweithiwr .
Artem Bobikov, peiriannydd dylunio'r Ganolfan Diogelwch Gwybodaeth yn Jet Infosystems
Afterword:
Er gwaethaf y ffaith bod y swydd hon yn sôn am system Cisco ISE, mae'r problemau a ddisgrifir yn berthnasol i'r dosbarth cyfan o atebion NAC. Nid yw mor bwysig pa ddatrysiad gwerthwr y bwriedir ei weithredu - bydd y rhan fwyaf o'r uchod yn parhau i fod yn berthnasol.
Ffynhonnell: hab.com