Wie oft kauft man aufgrund einer coolen Werbung spontan etwas und verstaubt dann bis zum nächsten Frühjahrsputz oder Umzug im Schrank, in der Speisekammer oder in der Garage? Die Folge ist Enttäuschung aufgrund ungerechtfertigter Erwartungen und Geldverschwendung. Es ist viel schlimmer, wenn dies einem Unternehmen passiert. Sehr oft sind Marketing-Gimmicks so gut, dass Unternehmen eine teure Lösung kaufen, ohne das vollständige Bild ihrer Anwendung zu sehen. In der Zwischenzeit helfen Probetests des Systems zu verstehen, wie die Infrastruktur für die Integration vorbereitet werden muss und welche Funktionalitäten und in welchem Umfang implementiert werden sollten. Auf diese Weise können Sie eine Vielzahl von Problemen vermeiden, die durch eine „blinde“ Produktauswahl entstehen. Darüber hinaus wird die Implementierung nach einem kompetenten „Piloten“ den Ingenieuren viel weniger zerstörte Nervenzellen und graue Haare bescheren. Lassen Sie uns am Beispiel eines beliebten Tools zur Steuerung des Zugriffs auf ein Unternehmensnetzwerk – Cisco ISE – herausfinden, warum Pilottests für ein erfolgreiches Projekt so wichtig sind. Betrachten wir sowohl standardmäßige als auch völlig nicht standardmäßige Optionen für die Verwendung der Lösung, auf die wir in unserer Praxis gestoßen sind.
Cisco ISE – „Radius-Server auf Steroiden“
Cisco Identity Services Engine (ISE) ist eine Plattform zum Erstellen eines Zugangskontrollsystems für das lokale Netzwerk einer Organisation. In der Fachwelt erhielt das Produkt aufgrund seiner Eigenschaften den Spitznamen „Radius-Server auf Steroiden“. Warum so? Im Wesentlichen handelt es sich bei der Lösung um einen Radius-Server, dem eine Vielzahl zusätzlicher Dienste und „Tricks“ hinzugefügt wurden, sodass Sie eine große Menge an Kontextinformationen erhalten und den daraus resultierenden Datensatz in Zugriffsrichtlinien anwenden können.
Wie jeder andere Radius-Server interagiert Cisco ISE mit Netzwerkgeräten auf Zugriffsebene, sammelt Informationen über alle Verbindungsversuche mit dem Unternehmensnetzwerk und erlaubt oder verweigert Benutzern basierend auf Authentifizierungs- und Autorisierungsrichtlinien den Zugriff auf das LAN. Die Möglichkeit der Profilierung, Veröffentlichung und Integration mit anderen Informationssicherheitslösungen ermöglicht es jedoch, die Logik der Autorisierungsrichtlinie erheblich zu komplizieren und dadurch recht schwierige und interessante Probleme zu lösen.
Die Implementierung kann nicht pilotiert werden: Warum sind Tests erforderlich?
Der Wert von Pilottests besteht darin, alle Fähigkeiten des Systems in der spezifischen Infrastruktur einer bestimmten Organisation zu demonstrieren. Ich glaube, dass die Pilotierung von Cisco ISE vor der Implementierung allen Projektbeteiligten zugute kommt, und hier erfahren Sie, warum.
Dies gibt Integratoren eine klare Vorstellung von den Erwartungen des Kunden und hilft bei der Formulierung einer korrekten technischen Spezifikation, die viel mehr Details enthält als die übliche Phrase „Stellen Sie sicher, dass alles in Ordnung ist.“ „Pilot“ ermöglicht es uns, den ganzen Schmerz des Kunden zu spüren und zu verstehen, welche Aufgaben für ihn Priorität haben und welche zweitrangig sind. Für uns ist dies eine hervorragende Gelegenheit, im Voraus herauszufinden, welche Geräte in der Organisation verwendet werden, wie die Implementierung erfolgen wird, an welchen Standorten, wo sie sich befinden usw.
Während der Pilottests sehen Kunden das reale System in Aktion, machen sich mit seiner Schnittstelle vertraut, können prüfen, ob es mit ihrer vorhandenen Hardware kompatibel ist, und erhalten ein ganzheitliches Verständnis davon, wie die Lösung nach der vollständigen Implementierung funktionieren wird. „Pilot“ ist genau der Moment, in dem Sie alle Fallstricke erkennen können, auf die Sie bei der Integration wahrscheinlich stoßen werden, und entscheiden können, wie viele Lizenzen Sie erwerben müssen.
Was kann während des „Piloten“ „auftauchen“
Wie bereiten Sie sich also richtig auf die Implementierung von Cisco ISE vor? Aus unserer Erfahrung haben wir vier Hauptpunkte gezählt, die bei der Piloterprobung des Systems unbedingt zu berücksichtigen sind.
Formfaktor
Zunächst müssen Sie entscheiden, in welchem Formfaktor das System implementiert werden soll: physische oder virtuelle Upline. Jede Option hat Vor- und Nachteile. Die Stärke einer physischen Upline liegt beispielsweise in ihrer vorhersehbaren Leistung, wir dürfen jedoch nicht vergessen, dass solche Geräte mit der Zeit veraltet sind. Virtuelle Uplines sind weniger vorhersehbar, weil... hängen von der Hardware ab, auf der die Virtualisierungsumgebung bereitgestellt wird, haben aber einen gravierenden Vorteil: Wenn Support verfügbar ist, können sie immer auf die neueste Version aktualisiert werden.
Ist Ihre Netzwerkausrüstung mit Cisco ISE kompatibel?
Das Ideal wäre natürlich, alle Geräte auf einmal an das System anzuschließen. Dies ist jedoch nicht immer möglich, da viele Unternehmen immer noch nicht verwaltete Switches oder Switches verwenden, die einige der Technologien, auf denen Cisco ISE läuft, nicht unterstützen. Dabei handelt es sich übrigens nicht nur um Switches, es kann sich auch um Controller für drahtlose Netzwerke, VPN-Konzentratoren und alle anderen Geräte handeln, mit denen sich Benutzer verbinden. In meiner Praxis gab es Fälle, in denen der Kunde nach der Demonstration des Systems für die vollständige Implementierung fast die gesamte Flotte von Access-Level-Switches auf moderne Cisco-Geräte umrüstete. Um böse Überraschungen zu vermeiden, lohnt es sich, sich vorab über den Anteil der nicht unterstützten Geräte zu informieren.
Sind alle Ihre Geräte Standard?
In jedem Netzwerk gibt es typische Geräte, mit denen es nicht schwierig sein sollte, eine Verbindung herzustellen: Workstations, IP-Telefone, Wi-Fi-Zugangspunkte, Videokameras und so weiter. Es kommt jedoch auch vor, dass nicht standardmäßige Geräte an das LAN angeschlossen werden müssen, beispielsweise RS232/Ethernet-Bus-Signalwandler, unterbrechungsfreie Stromversorgungsschnittstellen, verschiedene technologische Geräte usw. Es ist wichtig, die Liste solcher Geräte im Voraus festzulegen , sodass Sie bereits in der Implementierungsphase ein Verständnis dafür haben, wie sie technisch mit Cisco ISE funktionieren werden.
Konstruktiver Dialog mit IT-Spezialisten
Kunden von Cisco ISE sind häufig Sicherheitsabteilungen, während IT-Abteilungen in der Regel für die Konfiguration von Access-Layer-Switches und Active Directory verantwortlich sind. Daher ist die produktive Interaktion zwischen Sicherheitsspezialisten und IT-Spezialisten eine der wichtigen Voraussetzungen für eine reibungslose Implementierung des Systems. Wenn letztere die Integration mit Feindseligkeit empfinden, lohnt es sich, ihnen zu erklären, welchen Nutzen die Lösung für die IT-Abteilung haben wird.
Die fünf wichtigsten Cisco ISE-Anwendungsfälle
Unserer Erfahrung nach wird die erforderliche Funktionalität des Systems bereits im Pilotversuch ermittelt. Nachfolgend sind einige der beliebtesten und weniger häufigen Anwendungsfälle für die Lösung aufgeführt.
Sicherer LAN-Zugriff über Kabel mit EAP-TLS
Wie die Forschungsergebnisse unserer Pentester zeigen, nutzen Angreifer häufig normale Steckdosen, an die Drucker, Telefone, IP-Kameras, WLAN-Punkte und andere nicht persönliche Netzwerkgeräte angeschlossen sind, um in das Netzwerk eines Unternehmens einzudringen. Selbst wenn der Netzwerkzugriff auf der Dot1x-Technologie basiert, aber alternative Protokolle ohne Verwendung von Benutzerauthentifizierungszertifikaten verwendet werden, besteht daher eine hohe Wahrscheinlichkeit eines erfolgreichen Angriffs mit Sitzungsabfang und Brute-Force-Passwörtern. Im Fall von Cisco ISE wird es viel schwieriger sein, ein Zertifikat zu stehlen – dafür benötigen Hacker viel mehr Rechenleistung, daher ist dieser Fall sehr effektiv.
Drahtloser Dual-SSID-Zugriff
Der Kern dieses Szenarios besteht darin, zwei Netzwerkkennungen (SSIDs) zu verwenden. Einer von ihnen kann bedingt als „Gast“ bezeichnet werden. Dadurch können sowohl Gäste als auch Firmenmitarbeiter auf das drahtlose Netzwerk zugreifen. Bei Verbindungsversuchen werden diese auf ein spezielles Portal weitergeleitet, wo die Bereitstellung erfolgt. Das heißt, dem Benutzer wird ein Zertifikat ausgestellt und sein persönliches Gerät wird so konfiguriert, dass es sich automatisch wieder mit der zweiten SSID verbindet, die bereits EAP-TLS mit allen Vorteilen des ersten Falls verwendet.
Umgehung und Profilierung der MAC-Authentifizierung
Ein weiterer beliebter Anwendungsfall besteht darin, den Typ des angeschlossenen Geräts automatisch zu erkennen und die richtigen Einschränkungen darauf anzuwenden. Warum ist er interessant? Tatsache ist, dass es immer noch eine ganze Reihe von Geräten gibt, die die Authentifizierung über das 802.1X-Protokoll nicht unterstützen. Daher müssen solche Geräte über eine MAC-Adresse in das Netzwerk zugelassen werden, was recht leicht zu fälschen ist. Hier kommt Cisco ISE zum Einsatz: Mit Hilfe des Systems können Sie sehen, wie sich ein Gerät im Netzwerk verhält, sein Profil erstellen und es einer Gruppe anderer Geräte zuweisen, beispielsweise einem IP-Telefon und einer Workstation . Wenn ein Angreifer versucht, eine MAC-Adresse zu fälschen und eine Verbindung zum Netzwerk herzustellen, erkennt das System, dass sich das Geräteprofil geändert hat, signalisiert verdächtiges Verhalten und lässt den verdächtigen Benutzer nicht in das Netzwerk.
EAP-Verkettung
Die EAP-Chaining-Technologie beinhaltet die sequentielle Authentifizierung des Arbeits-PCs und des Benutzerkontos. Dieser Fall ist weit verbreitet, weil... Viele Unternehmen raten immer noch davon ab, die persönlichen Geräte ihrer Mitarbeiter an das Unternehmens-LAN anzuschließen. Mit diesem Authentifizierungsansatz ist es möglich zu prüfen, ob ein bestimmter Arbeitsplatzrechner Mitglied der Domäne ist, und bei negativem Ergebnis wird dem Benutzer der Zutritt zum Netzwerk entweder verwehrt oder er kann ihn mit Sicherheit betreten Einschränkungen.
Haltung
In diesem Fall geht es um die Beurteilung der Konformität der Arbeitsplatzsoftware mit den Anforderungen der Informationssicherheit. Mithilfe dieser Technologie können Sie überprüfen, ob die Software auf dem Arbeitsplatzrechner aktualisiert ist, ob dort Sicherheitsmaßnahmen installiert sind, ob die Host-Firewall konfiguriert ist usw. Interessanterweise können Sie mit dieser Technologie auch andere Aufgaben lösen, die nichts mit der Sicherheit zu tun haben, beispielsweise die Überprüfung des Vorhandenseins erforderlicher Dateien oder die Installation systemweiter Software.
Weniger häufige Anwendungsfälle für Cisco ISE umfassen Zugriffskontrolle mit End-to-End-Domänenauthentifizierung (Passive ID), SGT-basierte Mikrosegmentierung und Filterung sowie die Integration mit MDM-Systemen (Mobile Device Management) und Schwachstellenscannern.
Nicht-Standard-Projekte: Warum sonst könnten Sie Cisco ISE benötigen, oder 3 seltene Fälle aus unserer Praxis
Zugriffskontrolle auf Linux-basierte Server
Einmal lösten wir einen eher nicht trivialen Fall für einen Kunden, der das Cisco ISE-System bereits implementiert hatte: Wir mussten eine Möglichkeit finden, Benutzeraktionen (hauptsächlich Administratoren) auf Servern mit installiertem Linux zu steuern. Auf der Suche nach einer Antwort kamen wir auf die Idee, die kostenlose Software PAM Radius Module zu verwenden, mit der Sie sich bei Servern unter Linux mit Authentifizierung auf einem externen Radius-Server anmelden können. Alles in dieser Hinsicht wäre gut, wenn es nicht ein „aber“ gäbe: Der Radius-Server sendet eine Antwort auf die Authentifizierungsanfrage und gibt nur den Kontonamen und das Ergebnis aus – Bewertung akzeptiert oder Bewertung abgelehnt. In der Zwischenzeit müssen Sie für die Autorisierung unter Linux mindestens einen weiteren Parameter zuweisen – das Home-Verzeichnis, damit der Benutzer zumindest irgendwo hinkommt. Wir haben keine Möglichkeit gefunden, dies als Radius-Attribut anzugeben, daher haben wir ein spezielles Skript geschrieben, um Konten auf Hosts in einem halbautomatischen Modus aus der Ferne zu erstellen. Diese Aufgabe war durchaus machbar, da es sich um Administratorkonten handelte, deren Anzahl nicht so groß war. Anschließend meldeten sich die Benutzer am erforderlichen Gerät an und erhielten anschließend den erforderlichen Zugriff. Es stellt sich die berechtigte Frage: Ist es in solchen Fällen notwendig, Cisco ISE zu verwenden? Eigentlich nein – jeder Radius-Server reicht aus, aber da der Kunde dieses System bereits hatte, haben wir einfach eine neue Funktion hinzugefügt.
Inventarisierung von Hardware und Software im LAN
Wir haben einmal an einem Projekt gearbeitet, bei dem es darum ging, einem Kunden Cisco ISE ohne vorläufigen „Pilot“ bereitzustellen. Es gab keine klaren Anforderungen an die Lösung und außerdem hatten wir es mit einem flachen, nicht segmentierten Netzwerk zu tun, was unsere Aufgabe erschwerte. Während des Projekts haben wir alle möglichen Profilierungsmethoden konfiguriert, die das Netzwerk unterstützt: NetFlow, DHCP, SNMP, AD-Integration usw. Daher wurde der MAR-Zugriff mit der Möglichkeit konfiguriert, sich im Netzwerk anzumelden, wenn die Authentifizierung fehlschlägt. Das heißt, selbst wenn die Authentifizierung nicht erfolgreich wäre, würde das System dem Benutzer dennoch Zugang zum Netzwerk gewähren, Informationen über ihn sammeln und diese in der ISE-Datenbank aufzeichnen. Diese mehrwöchige Netzwerküberwachung hat uns geholfen, verbundene Systeme und nicht persönliche Geräte zu identifizieren und einen Ansatz zu deren Segmentierung zu entwickeln. Anschließend haben wir das Posting zusätzlich so konfiguriert, dass der Agent auf Workstations installiert wird, um Informationen über die darauf installierte Software zu sammeln. Was ist das Ergebnis? Wir konnten das Netzwerk segmentieren und die Liste der Software ermitteln, die von den Workstations entfernt werden musste. Ich möchte nicht verhehlen, dass die weiteren Aufgaben, Benutzer in Domänengruppen zu verteilen und Zugriffsrechte festzulegen, ziemlich viel Zeit in Anspruch nahmen, aber auf diese Weise bekamen wir ein vollständiges Bild davon, welche Hardware der Kunde im Netzwerk hatte. Dies war übrigens aufgrund der guten Out-of-the-Box-Profilerstellung nicht schwierig. Nun, wo die Profilerstellung nicht half, haben wir selbst nachgeschaut und den Switch-Port hervorgehoben, an den das Gerät angeschlossen war.
Remote-Installation von Software auf Workstations
Dieser Fall ist einer der seltsamsten in meiner Praxis. Eines Tages kam ein Kunde mit einem Hilferuf zu uns – bei der Implementierung von Cisco ISE ging etwas schief, alles ging kaputt und niemand sonst konnte auf das Netzwerk zugreifen. Wir begannen, uns damit zu befassen und fanden Folgendes heraus. Das Unternehmen verfügte über 2000 Computer, die mangels Domänencontroller unter einem Administratorkonto verwaltet wurden. Für Peering-Zwecke implementierte die Organisation Cisco ISE. Es war notwendig, irgendwie zu verstehen, ob auf vorhandenen PCs ein Antivirenprogramm installiert war, ob die Softwareumgebung aktualisiert wurde usw. Und da IT-Administratoren Netzwerkgeräte in das System eingebaut haben, ist es logisch, dass sie Zugriff darauf hatten. Nachdem sie sich die Funktionsweise angeschaut und ihre PCs aufpoliert hatten, kamen die Administratoren auf die Idee, die Software aus der Ferne ohne persönliche Besuche auf den Arbeitsplätzen der Mitarbeiter zu installieren. Stellen Sie sich vor, wie viele Schritte Sie auf diese Weise pro Tag einsparen können! Die Administratoren führten mehrere Überprüfungen der Arbeitsstation auf das Vorhandensein einer bestimmten Datei im Verzeichnis C:Programme durch. Wenn diese nicht vorhanden war, wurde eine automatische Behebung gestartet, indem sie einem Link folgten, der zum Dateispeicher zur .exe-Installationsdatei führte. Dies ermöglichte es normalen Benutzern, zu einer Dateifreigabe zu gehen und die erforderliche Software von dort herunterzuladen. Leider kannte der Administrator das ISE-System nicht gut und beschädigte die Veröffentlichungsmechanismen – er schrieb die Richtlinie falsch, was zu einem Problem führte, an dessen Lösung wir beteiligt waren. Persönlich bin ich von solch einem kreativen Ansatz aufrichtig überrascht, da die Erstellung eines Domänencontrollers viel billiger und weniger arbeitsintensiv wäre. Aber als Proof of Concept hat es funktioniert.
Lesen Sie mehr über die technischen Feinheiten, die bei der Implementierung von Cisco ISE auftreten, im Artikel meines Kollegen .
Artem Bobrikov, Designingenieur des Information Security Center bei Jet Infosystems
Nachwort:
Auch wenn es in diesem Beitrag um das Cisco ISE-System geht, sind die beschriebenen Probleme für die gesamte Klasse der NAC-Lösungen relevant. Es ist nicht so wichtig, welche Lösung des Anbieters implementiert werden soll – die meisten der oben genannten Punkte bleiben anwendbar.
Source: habr.com