
Wie oft haben Sie spontan etwas gekauft, verfĂŒhrt durch glĂ€nzende Werbung, nur um dann festzustellen, dass der einst begehrte Artikel in einem Schrank, Lagerraum oder in der Garage bis zur nĂ€chsten Grundreinigung oder dem Umzug verstaubt? Das Resultat ist oft EnttĂ€uschung ĂŒber unerfĂŒllte Erwartungen und Geldverschwendung. Noch schlimmer ist es, wenn so etwas im GeschĂ€ft passiert. HĂ€ufig sind Marketingtricks so ĂŒberzeugend, dass Unternehmen teure Lösungen erwerben, ohne das vollstĂ€ndige Bild ihrer Anwendung zu erkennen. Ein Probetest der Systeme kann jedoch dabei helfen, die Infrastruktur fĂŒr die Integration vorzubereiten und zu verstehen, welche Funktionen in welchem Umfang implementiert werden sollten. So können zahlreiche Probleme vermieden werden, die durch eine âblindeâ Produktwahl entstehen. AuĂerdem wird die Implementierung nach einem gut durchgefĂŒhrten Pilotprojekt fĂŒr die Ingenieure erheblich weniger nervenaufreibend sein. Lassen Sie uns untersuchen, warum TestlĂ€ufe fĂŒr den Erfolg eines Projekts so entscheidend sind, anhand des Beispiels eines beliebten Tools zur Zugriffskontrolle auf Unternehmensnetzwerke â Cisco ISE. Wir werden sowohl typische als auch sehr unkonventionelle Anwendungsmöglichkeiten betrachten, die wir in unserer Praxis erlebt haben.
Cisco ISE â âRadius-Server auf Steroidenâ
Die Cisco Identity Services Engine (ISE) ist eine Plattform zur Erstellung eines Zugriffssteuerungssystems fĂŒr das lokale Netzwerk eines Unternehmens. In der Expertencommunity wird das Produkt aufgrund seiner Eigenschaften als âRadius-Server auf Steroidenâ bezeichnet. Warum? Im Grunde genommen handelt es sich um einen Radius-Server, dem eine Vielzahl zusĂ€tzlicher Dienste und Funktionen hinzugefĂŒgt wurden, die es ermöglichen, groĂe Mengen kontextueller Informationen zu sammeln und diese Daten in Zugriffsrichtlinien anzuwenden.
Wie jeder andere Radius-Server interagiert Cisco ISE mit NetzwerkgerĂ€ten auf Zugriffsebene, sammelt Informationen ĂŒber alle Verbindungsversuche mit dem Unternehmensnetzwerk und entscheidet anhand von Authentifizierungs- und Autorisierungsrichtlinien, ob Benutzer in das LAN gelangt werden. Die Möglichkeit des Profilings, der User-Gruppierung und der Integration mit anderen Sicherheitslösungen ermöglicht es jedoch, die Logik der Autorisierungsrichtlinien erheblich zu verkomplizieren und dadurch anspruchsvolle und interessante Aufgaben zu lösen.

Implementieren statt nur testen: Warum ist Testing notwendig?
Der Wert von Pilotprojekten liegt darin, alle Funktionen des Systems in der spezifischen Infrastruktur einer Organisation zu demonstrieren. Ich bin ĂŒberzeugt, dass das Pilotieren von Cisco ISE vor der Implementierung fĂŒr alle Projektbeteiligten von Nutzen ist, und hier ist der Grund dafĂŒr.
FĂŒr Integratoren bietet dies ein klares VerstĂ€ndnis der Erwartungen des Kunden und hilft, ein prĂ€zises Pflichtenheft zu erstellen, das weit mehr Details enthĂ€lt als die gĂ€ngige Aussage âSorgen Sie dafĂŒr, dass alles gut funktioniertâ. Ein âPilotâ ermöglicht es uns, die Herausforderungen des Kunden besser zu verstehen, herauszufinden, welche Aufgaben fĂŒr ihn PrioritĂ€t haben und welche weniger wichtig sind. FĂŒr uns ist es eine ausgezeichnete Gelegenheit, im Voraus zu klĂ€ren, welches Equipment in der Organisation verwendet wird, wie die Implementierung ablaufen wird, an welchen Standorten und wo sie sich befinden.
WĂ€hrend der Pilotphase können die Kunden das System in Aktion sehen, sich mit seiner BenutzeroberflĂ€che vertrautmachen, ĂŒberprĂŒfen, ob es mit ihrer vorhandenen Hardware kompatibel ist, und ein umfassendes VerstĂ€ndnis dafĂŒr gewinnen, wie die Lösung nach der vollstĂ€ndigen Implementierung funktionieren wird. Der 'Pilot' ist der Zeitpunkt, an dem alle 'HĂŒrden' sichtbar werden, mit denen man bei der Integration sicherlich konfrontiert sein wird, und man entscheiden kann, wie viele Lizenzen benötigt werden.
Was kann wÀhrend des 'Piloten' 'auftauchen'?
Wie sollten Sie sich also auf die Implementierung von Cisco ISE vorbereiten? Aus unserer Erfahrung haben wir vier wesentliche Punkte identifiziert, die wĂ€hrend der Pilotphase berĂŒcksichtigt werden sollten.
Formfaktor
ZunĂ€chst mĂŒssen Sie entscheiden, in welchem Formfaktor das System realisiert werden soll: als physisches oder als virtuelles Appliance. Jede Variante hat ihre Vor- und Nachteile. Beispielsweise ist die StĂ€rke eines physischen Appliances die vorhersehbare Leistung, aber man darf nicht vergessen, dass solche GerĂ€te mit der Zeit veralten. Virtuelle Appliances sind weniger vorhersehbar, da sie von der Hardware abhĂ€ngen, auf der die Virtualisierungsumgebung betrieben wird, bieten jedoch einen erheblichen Vorteil: Bei Vorhandensein von Support können sie immer auf die neueste Version aktualisiert werden.
Ist Ihre Netzwerkhardware mit Cisco ISE kompatibel?
NatĂŒrlich wĂ€re das ideale Szenario, alle GerĂ€te gleichzeitig an das System anzuschlieĂen. Dennoch ist das nicht immer möglich, da viele Organisationen immer noch unmanaged Switches oder Switches verwenden, die nicht bestimmte Technologien unterstĂŒtzen, auf denen Cisco ISE basiert. Ăbrigens geht es nicht nur um Switches, es können auch Wireless-Controller betroffen sein. VPN-Konzentratoren und andere GerĂ€te, die mit Benutzern verbunden sind. In meiner Erfahrung gab es FĂ€lle, in denen der Kunde nach der Demonstration des Systems praktisch den gesamten Park an Zugangs-Switches auf moderne Cisco-AusrĂŒstung aktualisiert hat, um ein optimales Deployment zu gewĂ€hrleisten. Um unerwartete Ăberraschungen zu vermeiden, sollten Sie im Voraus klĂ€ren, welcher Anteil an nicht unterstĂŒtzter Hardware vorhanden ist.
Sind alle Ihre GerÀte standardisiert?
In jedem Netzwerk gibt es StandardgerĂ€te, deren Anschluss normalerweise unproblematisch ist: automatisierte ArbeitsplĂ€tze, IP-Telefone, WLAN-Zugangspunkte, Kameras usw. Es kommt jedoch vor, dass nicht standardisierte GerĂ€te an das LAN angeschlossen werden mĂŒssen, wie z.B. RS232/Ethernet-Signalwandler, Schnittstellen fĂŒr unterbrechungsfreie Stromversorgungen, verschiedene technische GerĂ€te usw. Es ist wichtig, diese GerĂ€te im Voraus zu identifizieren, damit Sie in der Implementierungsphase bereits ein VerstĂ€ndnis dafĂŒr haben, wie sie technisch mit Cisco ISE arbeiten.
Konstruktiver Dialog mit IT-Spezialisten
HĂ€ufig sind es die Sicherheitsabteilungen, die Cisco ISE anfordern, wĂ€hrend die IT-Abteilungen normalerweise fĂŒr die Konfiguration der Access-Switches und Active Directory verantwortlich sind. Daher ist eine produktive Zusammenarbeit zwischen den Sicherheits- und IT-Teams eine wichtige Voraussetzung fĂŒr die reibungslose Implementierung des Systems. Wenn die IT-Abteilungen die Integration skeptisch betrachten, sollte man ihnen erklĂ€ren, welchen Nutzen die Lösung fĂŒr die IT-Abteilung hat.
Top 5 AnwendungsfÀlle von Cisco ISE
Unserer Erfahrung nach wird der erforderliche Funktionsumfang des Systems auch in der Pilotphase ermittelt. Nachfolgend sind einige der beliebtesten und weniger verbreiteten AnwendungsfĂ€lle der Lösung aufgefĂŒhrt.
Sicherer kabelgebundener Zugang zum LAN mit EAP-TLS
Wie die Ergebnisse unserer Penetrationstests zeigen, nutzen Angreifer hĂ€ufig regulĂ€re Steckdosen, an die Drucker, Telefone, IP-Kameras, WLAN-Zugangspunkte und andere nicht-personalisierte NetzwerkgerĂ€te angeschlossen sind, um in das Netzwerk eines Unternehmens einzudringen. Daher kann selbst bei der Nutzung von dot1x-Technologie fĂŒr den Netzwerkzugang, jedoch mit alternativen Protokollen ohne Verwendung von Authentifizierungszertifikaten, die Wahrscheinlichkeit eines erfolgreichen Angriffs durch SitzungsĂŒbernahme und Brute-Force-Angriffe auf Passwörter hoch sein. Im Fall von Cisco ISE wird es deutlich schwieriger sein, ein Zertifikat zu knacken â hierfĂŒr benötigen Hacker weitaus mehr Rechenleistung, was diesen Fall sehr effektiv macht.
Drahtloser Zugang Dual-SSID
Das Wesentliche dieses Szenarios besteht darin, zwei Netzwerk-IDs (SSIDs) zu verwenden. Die eine kann als "GĂ€ste-SSID" bezeichnet werden. Ăber diese können sowohl GĂ€ste als auch Mitarbeiter des Unternehmens auf das drahtlose Netzwerk zugreifen. Letztere werden beim Verbindungsversuch an ein spezielles Portal weitergeleitet, wo das Provisioning stattfindet. Das bedeutet, dass dem Nutzer ein Zertifikat ausgestellt und sein persönliches GerĂ€t so konfiguriert wird, dass es automatisch mit der zweiten SSID, die bereits EAP-TLS nutzt und alle Vorteile des ersten Falls bietet, erneut verbindet.
MAC-Authentifizierungsumgehung und Profilierung
Ein weiteres populĂ€res Anwendungsbeispiel ist die automatische Erkennung des Typs des angeschlossenen GerĂ€ts und die Anwendung der entsprechenden EinschrĂ€nkungen. Was macht es so interessant? Es gibt nach wie vor eine Vielzahl von GerĂ€ten, die die Authentifizierung ĂŒber das Protokoll 802.1X nicht unterstĂŒtzen. Daher mĂŒssen solche GerĂ€te oft ĂŒber die MAC-Adresse in das Netzwerk zugelassen werden, die relativ leicht gefĂ€lscht werden kann. Hier kommt Cisco ISE ins Spiel: Mit Hilfe des Systems kann man beobachten, wie sich das GerĂ€t im Netzwerk verhĂ€lt, ein Profil erstellen und es einer Gruppe anderer GerĂ€te zuordnen, wie zum Beispiel einem IP-Telefon und einem Arbeitsplatzrechner. Wenn ein Angreifer versucht, die MAC-Adresse zu fĂ€lschen und sich mit dem Netzwerk zu verbinden, erkennt das System, dass sich das Profil des GerĂ€ts geĂ€ndert hat, gibt ein Signal fĂŒr verdĂ€chtiges Verhalten und verweigert dem verdĂ€chtigen Benutzer den Zugang zum Netzwerk.
EAP-Chaining
Die EAP-Chaining-Technologie ermöglicht eine sequenzielle Authentifizierung von Arbeits-PCs und Benutzerkonten. Dieses Verfahren hat sich weit verbreitet, da in vielen Unternehmen die Verbindung persönlicher GerĂ€te der Mitarbeiter zum Unternehmensnetzwerk nach wie vor nicht erwĂŒnscht ist. Mit diesem Authentifizierungsansatz kann ĂŒberprĂŒft werden, ob ein bestimmter Arbeitsplatz Mitglied der DomĂ€ne ist; im Falle eines negativen Ergebnisses hat der Benutzer entweder keinen Zugang zum Netzwerk oder kann zwar hineingehen, jedoch mit bestimmten EinschrĂ€nkungen.
Posturing
In diesem Fall geht es um die Bewertung der Ăbereinstimmung der Softwarezusammensetzung des Arbeitsstationssystems mit den Anforderungen an die Informationssicherheit. Mit dieser Technologie kann ĂŒberprĂŒft werden, ob die Software auf der Arbeitsstation aktualisiert ist, ob Schutzmittel installiert sind, ob die Firewall korrekt konfiguriert ist usw. Interessanterweise ermöglicht diese Technologie auch die Lösung anderer Aufgaben, die nicht mit Sicherheit zusammenhĂ€ngen, beispielsweise die ĂberprĂŒfung auf das Vorhandensein erforderlicher Dateien oder die Installation von Systemsoftware.
Seltener kommen auch Nutzungsszenarien wie Zugriffskontrolle mit durchgÀngiger Domain-Authentifizierung (Passive ID), SGT-basierte Mikrosemmantierung und Filterung sowie Integration mit Mobile Device Management (MDM) und Schwachstellenscannern (Vulnerability Scanner) bei Cisco ISE vor.
MaĂgeschneiderte Projekte: WofĂŒr kann Cisco ISE noch benötigt werden, oder drei seltene AnwendungsfĂ€lle aus unserer Praxis
Zugriffskontrolle auf Linux-Server
Eines Tages standen wir vor einem eher komplexen Fall eines Kunden, der bereits ein Cisco ISE-System implementiert hatte: Wir mussten einen Weg finden, um die BenutzeraktivitĂ€ten (hauptsĂ€chlich von Administratoren) auf Servern mit einem installierten Linux-Betriebssystem zu kontrollieren. Bei der Suche nach einer Lösung kam uns die Idee, das Open-Source-Tool PAM Radius Module zu nutzen, das eine Anmeldung auf Linux-Servern mit Authentifizierung ĂŒber einen externen RADIUS-Server ermöglicht. Das wĂ€re alles gut gewesen, wenn da nicht ein "aber" wĂ€re: Der RADIUS-Server gibt bei der Antwort auf die Authentifizierungsanfrage nur den Benutzernamen und das Ergebnis â assess accepted oder assess rejected â zurĂŒck. FĂŒr die Authentifizierung in Linux muss jedoch mindestens ein weiterer Parameter zugewiesen werden â das Home-Verzeichnis, damit der Benutzer ĂŒberhaupt Zugriff hat. Wir fanden keinen Weg, dies als RADIUS-Attribut zurĂŒckzugeben, also schrieben wir ein spezielles Skript fĂŒr die halbautomatische Erstellung von Benutzerkonten auf den Hosts. Diese Aufgabe war durchaus durchfĂŒhrbar, da es sich um Administratorenhandelte, deren Anzahl nicht zu groĂ war. AnschlieĂend loggten sich die Benutzer auf das erforderliche GerĂ€t ein, und dann wurde ihnen der notwendige Zugriff zugewiesen. Es stellt sich die berechtigte Frage: Ist es notwendig, in solchen FĂ€llen unbedingt Cisco ISE zu verwenden? TatsĂ€chlich nicht â jeder RADIUS-Server wĂ€re geeignet, aber da der Kunde bereits dieses System hatte, fĂŒgten wir einfach eine neue Funktion hinzu.
Inventarisierung von Hardware und Software im LAN
Einmal arbeiteten wir an einem Projekt zur Bereitstellung von Cisco ISE fĂŒr einen Kunden, ohne vorherige Pilotphase. Die Anforderungen an die Lösung waren unklar, und zudem hatten wir es mit einem flachen, nicht segmentierten Netzwerk zu tun, was unsere Aufgabe erschwerte. Im Laufe des Projekts richteten wir alle möglichen Profilierungsmethoden ein, die das Netzwerk unterstĂŒtzte: NetFlow, DHCP, SNMP, Integration mit AD usw. SchlieĂlich wurde der Zugang mittels MAR eingerichtet, sodass Nutzer auch bei fehlgeschlagener Authentifizierung ins Netzwerk gelangen konnten. Das bedeutet, selbst wenn die Authentifizierung nicht erfolgreich war, lieĂ das System den Benutzer ins Netzwerk, sammelte Informationen ĂŒber ihn und speicherte diese in der ISE-Datenbank. Diese NetzwerkĂŒberwachung ĂŒber mehrere Wochen half uns, die angeschlossenen Systeme und nicht-personalisierten GerĂ€te zu identifizieren und einen Ansatz zur Segmentierung zu entwickeln. Danach richteten wir zusĂ€tzlich das Sharing ein, um Agenten auf den Arbeitsstationen zu installieren, um Informationen ĂŒber die darauf installierte Software zu sammeln. Und was ist das Ergebnis? Wir konnten das Netzwerk segmentieren und eine Liste der Software erstellen, die von den Arbeitsstationen entfernt werden musste. Ich will nicht verschweigen, dass die nachfolgenden Aufgaben zur Verteilung der Benutzer in DomĂ€nengruppen und zur Begrenzung der Zugriffsrechte viel Zeit in Anspruch nahmen, aber so erhielten wir ein vollstĂ€ndiges Bild davon, welche 'Hardware' im Netzwerk des Kunden vorhanden war. Ăbrigens war das dank der guten Profilierungsarbeit 'out of the box' nicht schwierig. Wo die Profilierung nicht half, schauten wir selbst nach und isolierten den Port des Switches, an den die GerĂ€te angeschlossen waren.
Remote-Software-Installation auf Arbeitsstationen
Dieser Fall gehört zu den ungewöhnlichsten in meiner Karriere. Eines Tages wandte sich ein Kunde mit einem Hilferuf an uns â bei der Implementierung von Cisco ISE ist etwas schiefgegangen, alles war kaputt und niemand konnte mehr auf das Netzwerk zugreifen. Wir begannen zu recherchieren und fanden Folgendes heraus. Im Unternehmen gab es 2000 Computer, deren Verwaltung aufgrund des Fehlens eines Domaincontrollers ĂŒber das Administratorkonto erfolgte. Um eine Inventarisierung durchzufĂŒhren, wurde Cisco ISE implementiert. Es musste zumindest herausgefunden werden, ob auf den vorhandenen PCs ein Antivirus installiert war, die Softwareumgebung aktualisiert war usw. Da die IT-Administratoren das NetzwerkgerĂ€t in das System einpflegten, war es logisch, dass sie Zugriff darauf hatten. Nachdem sie gesehen hatten, wie es funktioniert, und eine Inventarisierung ihrer PCs durchgefĂŒhrt hatten, kamen die Administratoren auf die Idee, Software aus der Ferne auf die Arbeitsstationen der Mitarbeiter zu installieren, ohne persönlich vorstellig zu werden. Stellen Sie sich nur vor, wie viele Schritte man so an einem Tag einsparen kann! Die Administratoren fĂŒhrten mehrere ĂberprĂŒfungen auf den ArbeitsplĂ€tzen durch, um das Vorhandensein einer bestimmten Datei im Verzeichnis C:Program Files zu ĂŒberprĂŒfen. Bei NichterfĂŒllung wurde eine automatische Remediation ausgelöst, die zu einem Link fĂŒhrte, der auf den Installationsdatei .exe im Dateispeicher verweist. Das ermöglichte es den normalen Benutzern, auf den Dateiserver zuzugreifen und die benötigte Software herunterzuladen. Leider kannte der Administrator das System ISE nicht gut genug und beschĂ€digte die Inventarisierungsmechanismen â er formulierte die Richtlinie falsch, was zur Problematik fĂŒhrte, wegen der wir hinzugezogen wurden. Ich persönlich bin von diesem kreativen Ansatz ehrlich ĂŒberrascht, denn es wĂ€re viel gĂŒnstiger und weniger aufwĂ€ndig gewesen, einen Domaincontroller zu erstellen. Aber als Proof of Concept hat es funktioniert.
Erfahren Sie mehr ĂŒber die technischen Herausforderungen bei der Implementierung von Cisco ISE in dem Artikel meines Kollegen. .
Artem Bobrikov, Projektingenieur im Zentrum fĂŒr Informationssicherheit bei âInfosysteme Jetâ
Nachwort:
Obwohl dieser Beitrag sich mit dem Cisco ISE-System beschĂ€ftigt, sind die angesprochenen Probleme fĂŒr die gesamte Klasse von NAC-Lösungen relevant. UnabhĂ€ngig vom Anbieter bleibt der GroĂteil der oben genannten Punkte anwendbar.
Quelle: habr.com
