Πόσο συχνά αγοράζετε κάτι αυθόρμητα, υποκύπτοντας σε μια δροσερή διαφήμιση, και στη συνέχεια αυτό το αρχικά επιθυμητό αντικείμενο μαζεύει σκόνη σε μια ντουλάπα, ντουλάπι ή γκαράζ μέχρι τον επόμενο ανοιξιάτικο καθαρισμό ή μετακόμιση; Το αποτέλεσμα είναι απογοήτευση λόγω αδικαιολόγητων προσδοκιών και πεταμένων χρημάτων. Είναι πολύ χειρότερο όταν συμβαίνει αυτό σε μια επιχείρηση. Πολύ συχνά, τα τεχνάσματα μάρκετινγκ είναι τόσο καλά που οι εταιρείες αγοράζουν μια ακριβή λύση χωρίς να βλέπουν την πλήρη εικόνα της εφαρμογής της. Εν τω μεταξύ, η δοκιμαστική δοκιμή του συστήματος βοηθά στην κατανόηση του τρόπου προετοιμασίας της υποδομής για ενοποίηση, ποια λειτουργικότητα και σε ποιο βαθμό πρέπει να υλοποιηθεί. Με αυτόν τον τρόπο μπορείτε να αποφύγετε έναν τεράστιο αριθμό προβλημάτων λόγω της επιλογής ενός προϊόντος "στα τυφλά". Επιπλέον, η εφαρμογή μετά από έναν ικανό «πιλότο» θα φέρει στους μηχανικούς πολύ λιγότερα κατεστραμμένα νευρικά κύτταρα και γκρίζα μαλλιά. Ας καταλάβουμε γιατί οι πιλοτικές δοκιμές είναι τόσο σημαντικές για ένα επιτυχημένο έργο, χρησιμοποιώντας το παράδειγμα ενός δημοφιλούς εργαλείου για τον έλεγχο της πρόσβασης σε ένα εταιρικό δίκτυο - το Cisco ISE. Ας εξετάσουμε τόσο τις τυπικές όσο και τις εντελώς μη τυπικές επιλογές για τη χρήση της λύσης που συναντήσαμε στην πρακτική μας.
Cisco ISE - "Διακομιστής Radius σε στεροειδή"
Το Cisco Identity Services Engine (ISE) είναι μια πλατφόρμα για τη δημιουργία ενός συστήματος ελέγχου πρόσβασης για το τοπικό δίκτυο ενός οργανισμού. Στην κοινότητα των ειδικών, το προϊόν ονομάστηκε "Διακομιστής Radius σε στεροειδή" για τις ιδιότητές του. Γιατί αυτό? Ουσιαστικά, η λύση είναι ένας διακομιστής Radius, στον οποίο έχει προσαρτηθεί ένας τεράστιος αριθμός πρόσθετων υπηρεσιών και «κόλπα», που σας επιτρέπουν να λαμβάνετε μεγάλο όγκο πληροφοριών με βάση τα συμφραζόμενα και να εφαρμόζετε το σύνολο δεδομένων που προκύπτει στις πολιτικές πρόσβασης.
Όπως κάθε άλλος διακομιστής Radius, ο Cisco ISE αλληλεπιδρά με εξοπλισμό δικτύου σε επίπεδο πρόσβασης, συλλέγει πληροφορίες σχετικά με όλες τις προσπάθειες σύνδεσης στο εταιρικό δίκτυο και, βάσει των πολιτικών ελέγχου ταυτότητας και εξουσιοδότησης, επιτρέπει ή απορρίπτει τους χρήστες στο LAN. Ωστόσο, η δυνατότητα δημιουργίας προφίλ, δημοσίευσης και ενσωμάτωσης με άλλες λύσεις ασφάλειας πληροφοριών καθιστά δυνατό να περιπλέξει σημαντικά τη λογική της πολιτικής εξουσιοδότησης και, ως εκ τούτου, να επιλύσει αρκετά δύσκολα και ενδιαφέροντα προβλήματα.
Η εφαρμογή δεν μπορεί να εφαρμοστεί πιλοτικά: γιατί χρειάζεστε δοκιμές;
Η αξία των πιλοτικών δοκιμών είναι να επιδείξει όλες τις δυνατότητες του συστήματος στη συγκεκριμένη υποδομή ενός συγκεκριμένου οργανισμού. Πιστεύω ότι η πιλοτική εφαρμογή του Cisco ISE πριν από την εφαρμογή ωφελεί όλους όσους συμμετέχουν στο έργο και να γιατί.
Αυτό δίνει στους ενοποιητές μια σαφή ιδέα για τις προσδοκίες του πελάτη και βοηθά στη δημιουργία μιας σωστής τεχνικής προδιαγραφής που περιέχει πολύ περισσότερες λεπτομέρειες από την κοινή φράση «βεβαιωθείτε ότι όλα είναι καλά». Το «Pilot» μας επιτρέπει να νιώσουμε όλο τον πόνο του πελάτη, να κατανοήσουμε ποιες εργασίες είναι προτεραιότητα για αυτόν και ποιες δευτερεύουσες. Για εμάς, αυτή είναι μια εξαιρετική ευκαιρία να καταλάβουμε εκ των προτέρων ποιος εξοπλισμός χρησιμοποιείται στον οργανισμό, πώς θα πραγματοποιηθεί η υλοποίηση, σε ποιους χώρους, πού βρίσκονται και ούτω καθεξής.
Κατά τη διάρκεια της πιλοτικής δοκιμής, οι πελάτες βλέπουν το πραγματικό σύστημα σε δράση, εξοικειώνονται με τη διεπαφή του, μπορούν να ελέγξουν αν είναι συμβατό με το υπάρχον υλικό τους και να κατανοήσουν ολιστικά πώς θα λειτουργεί η λύση μετά την πλήρη εφαρμογή. Το "Pilot" είναι η στιγμή που μπορείτε να δείτε όλες τις παγίδες που πιθανότατα θα συναντήσετε κατά την ενσωμάτωση και να αποφασίσετε πόσες άδειες πρέπει να αγοράσετε.
Τι μπορεί να "ανέβει" κατά τη διάρκεια του "πιλότου"
Λοιπόν, πώς προετοιμάζεστε σωστά για την εφαρμογή του Cisco ISE; Από την εμπειρία μας, έχουμε μετρήσει 4 βασικά σημεία που είναι σημαντικό να ληφθούν υπόψη κατά την πιλοτική δοκιμή του συστήματος.
Συντελεστής μορφής
Αρχικά, πρέπει να αποφασίσετε σε ποιον παράγοντα μορφής θα εφαρμοστεί το σύστημα: φυσική ή εικονική ανοδική γραμμή. Κάθε επιλογή έχει πλεονεκτήματα και μειονεκτήματα. Για παράδειγμα, η δύναμη ενός φυσικού upline είναι η προβλέψιμη απόδοσή του, αλλά δεν πρέπει να ξεχνάμε ότι τέτοιες συσκευές γίνονται παρωχημένες με την πάροδο του χρόνου. Τα εικονικά uplines είναι λιγότερο προβλέψιμα επειδή... εξαρτώνται από το υλικό στο οποίο έχει αναπτυχθεί το περιβάλλον εικονικοποίησης, αλλά έχουν ένα σοβαρό πλεονέκτημα: εάν υπάρχει διαθέσιμη υποστήριξη, μπορούν πάντα να ενημερωθούν στην πιο πρόσφατη έκδοση.
Είναι ο εξοπλισμός δικτύου σας συμβατός με το Cisco ISE;
Φυσικά, το ιδανικό σενάριο θα ήταν να συνδέσετε όλο τον εξοπλισμό στο σύστημα ταυτόχρονα. Ωστόσο, αυτό δεν είναι πάντα δυνατό, καθώς πολλοί οργανισμοί εξακολουθούν να χρησιμοποιούν μη διαχειριζόμενους διακόπτες ή διακόπτες που δεν υποστηρίζουν ορισμένες από τις τεχνολογίες που εκτελούν το Cisco ISE. Παρεμπιπτόντως, δεν μιλάμε μόνο για διακόπτες, μπορεί επίσης να είναι ελεγκτές ασύρματου δικτύου, συγκεντρωτές VPN και οποιοσδήποτε άλλος εξοπλισμός στον οποίο συνδέονται οι χρήστες. Στην πρακτική μου, υπήρξαν περιπτώσεις που, μετά την επίδειξη του συστήματος για πλήρη εφαρμογή, ο πελάτης αναβάθμισε σχεδόν ολόκληρο τον στόλο των διακοπτών επιπέδου πρόσβασης σε σύγχρονο εξοπλισμό Cisco. Για να αποφύγετε δυσάρεστες εκπλήξεις, αξίζει να μάθετε εκ των προτέρων το ποσοστό του μη υποστηριζόμενου εξοπλισμού.
Είναι όλες οι συσκευές σας στάνταρ;
Οποιοδήποτε δίκτυο διαθέτει τυπικές συσκευές στις οποίες δεν θα πρέπει να είναι δύσκολο να συνδεθεί κανείς: σταθμούς εργασίας, τηλέφωνα IP, σημεία πρόσβασης Wi-Fi, βιντεοκάμερες κ.λπ. Αλλά συμβαίνει επίσης ότι μη τυπικές συσκευές πρέπει να συνδέονται στο LAN, για παράδειγμα, μετατροπείς σήματος διαύλου RS232/Ethernet, διεπαφές αδιάλειπτης παροχής ρεύματος, διάφορος τεχνολογικός εξοπλισμός κ.λπ. Είναι σημαντικό να προσδιορίσετε εκ των προτέρων τη λίστα τέτοιων συσκευών , έτσι ώστε στο στάδιο της υλοποίησης να έχετε ήδη κατανοήσει πώς τεχνικά θα συνεργαστούν με το Cisco ISE.
Εποικοδομητικός διάλογος με ειδικούς πληροφορικής
Οι πελάτες Cisco ISE είναι συχνά τμήματα ασφαλείας, ενώ τα τμήματα IT είναι συνήθως υπεύθυνα για τη διαμόρφωση των διακοπτών επιπέδου πρόσβασης και της υπηρεσίας καταλόγου Active Directory. Επομένως, η παραγωγική αλληλεπίδραση μεταξύ των ειδικών ασφαλείας και των ειδικών πληροφορικής είναι μία από τις σημαντικές προϋποθέσεις για την ανώδυνη εφαρμογή του συστήματος. Εάν οι τελευταίοι αντιλαμβάνονται την ενσωμάτωση με εχθρότητα, αξίζει να τους εξηγήσετε πώς η λύση θα είναι χρήσιμη στο τμήμα πληροφορικής.
Κορυφαίες 5 θήκες χρήσης Cisco ISE
Σύμφωνα με την εμπειρία μας, η απαιτούμενη λειτουργικότητα του συστήματος προσδιορίζεται επίσης στο στάδιο της πιλοτικής δοκιμής. Παρακάτω είναι μερικές από τις πιο δημοφιλείς και λιγότερο συνηθισμένες περιπτώσεις χρήσης για τη λύση.
Ασφαλής πρόσβαση LAN μέσω καλωδίου με EAP-TLS
Όπως δείχνουν τα αποτελέσματα της έρευνας των διεισδυτών μας, πολύ συχνά για να διεισδύσουν στο δίκτυο μιας εταιρείας, οι εισβολείς χρησιμοποιούν συνηθισμένες πρίζες στις οποίες συνδέονται εκτυπωτές, τηλέφωνα, κάμερες IP, σημεία Wi-Fi και άλλες μη προσωπικές συσκευές δικτύου. Επομένως, ακόμη κι αν η πρόσβαση στο δίκτυο βασίζεται στην τεχνολογία dot1x, αλλά χρησιμοποιούνται εναλλακτικά πρωτόκολλα χωρίς τη χρήση πιστοποιητικών ελέγχου ταυτότητας χρήστη, υπάρχει μεγάλη πιθανότητα επιτυχούς επίθεσης με υποκλοπή συνεδρίας και κωδικούς πρόσβασης brute-force. Στην περίπτωση του Cisco ISE, θα είναι πολύ πιο δύσκολο να κλέψετε ένα πιστοποιητικό - για αυτό, οι χάκερ θα χρειαστούν πολύ περισσότερη υπολογιστική ισχύ, επομένως αυτή η υπόθεση είναι πολύ αποτελεσματική.
Ασύρματη πρόσβαση διπλού SSID
Η ουσία αυτού του σεναρίου είναι η χρήση 2 αναγνωριστικών δικτύου (SSID). Ένα από αυτά μπορεί να ονομαστεί υπό όρους "επισκέπτης". Μέσω αυτού, τόσο οι επισκέπτες όσο και οι υπάλληλοι της εταιρείας μπορούν να έχουν πρόσβαση στο ασύρματο δίκτυο. Όταν προσπαθούν να συνδεθούν, οι τελευταίοι ανακατευθύνονται σε μια ειδική πύλη όπου πραγματοποιείται η παροχή. Δηλαδή, στον χρήστη εκδίδεται πιστοποιητικό και η προσωπική του συσκευή διαμορφώνεται ώστε να επανασυνδέεται αυτόματα στο δεύτερο SSID, το οποίο ήδη χρησιμοποιεί EAP-TLS με όλα τα πλεονεκτήματα της πρώτης περίπτωσης.
Παράκαμψη και προφίλ ελέγχου ταυτότητας MAC
Μια άλλη δημοφιλής περίπτωση χρήσης είναι η αυτόματη ανίχνευση του τύπου της συσκευής που συνδέεται και η εφαρμογή των σωστών περιορισμών σε αυτήν. Γιατί είναι ενδιαφέρον; Το γεγονός είναι ότι εξακολουθούν να υπάρχουν πολλές συσκευές που δεν υποστηρίζουν έλεγχο ταυτότητας χρησιμοποιώντας το πρωτόκολλο 802.1X. Επομένως, τέτοιες συσκευές πρέπει να επιτρέπονται στο δίκτυο χρησιμοποιώντας μια διεύθυνση MAC, η οποία είναι πολύ εύκολο να πλαστογραφηθεί. Εδώ έρχεται να σώσει το Cisco ISE: με τη βοήθεια του συστήματος, μπορείτε να δείτε πώς συμπεριφέρεται μια συσκευή στο δίκτυο, να δημιουργήσετε το προφίλ της και να το αντιστοιχίσετε σε μια ομάδα άλλων συσκευών, για παράδειγμα, ένα τηλέφωνο IP και έναν σταθμό εργασίας . Εάν ένας εισβολέας προσπαθήσει να πλαστογραφήσει μια διεύθυνση MAC και να συνδεθεί στο δίκτυο, το σύστημα θα δει ότι το προφίλ της συσκευής έχει αλλάξει, θα σηματοδοτήσει ύποπτη συμπεριφορά και δεν θα επιτρέψει στον ύποπτο χρήστη να εισέλθει στο δίκτυο.
EAP-Chaining
Η τεχνολογία EAP-Chaining περιλαμβάνει διαδοχικό έλεγχο ταυτότητας του λειτουργικού υπολογιστή και του λογαριασμού χρήστη. Αυτή η υπόθεση έχει πάρει μεγάλες διαστάσεις γιατί... Πολλές εταιρείες εξακολουθούν να μην ενθαρρύνουν τη σύνδεση των προσωπικών gadget των εργαζομένων στο εταιρικό LAN. Χρησιμοποιώντας αυτήν την προσέγγιση στον έλεγχο ταυτότητας, είναι δυνατό να ελεγχθεί εάν ένας συγκεκριμένος σταθμός εργασίας είναι μέλος του τομέα και εάν το αποτέλεσμα είναι αρνητικό, ο χρήστης είτε δεν θα επιτρέπεται στο δίκτυο είτε θα μπορεί να εισέλθει, αλλά με ορισμένες περιορισμούς.
Τοποθέτηση
Αυτή η περίπτωση αφορά την αξιολόγηση της συμμόρφωσης του λογισμικού του σταθμού εργασίας με τις απαιτήσεις ασφάλειας πληροφοριών. Χρησιμοποιώντας αυτήν την τεχνολογία, μπορείτε να ελέγξετε εάν το λογισμικό στο σταθμό εργασίας είναι ενημερωμένο, εάν έχουν εγκατασταθεί μέτρα ασφαλείας σε αυτό, εάν το τείχος προστασίας του κεντρικού υπολογιστή έχει διαμορφωθεί κ.λπ. Είναι ενδιαφέρον ότι αυτή η τεχνολογία σάς επιτρέπει επίσης να επιλύετε άλλες εργασίες που δεν σχετίζονται με την ασφάλεια, για παράδειγμα, τον έλεγχο της παρουσίας των απαραίτητων αρχείων ή την εγκατάσταση λογισμικού σε όλο το σύστημα.
Οι λιγότερο συνηθισμένες περιπτώσεις χρήσης για το Cisco ISE περιλαμβάνουν έλεγχο πρόσβασης με έλεγχο ταυτότητας τομέα από άκρο σε άκρο (Passive ID), μικροτμηματοποίηση και φιλτράρισμα που βασίζεται σε SGT, καθώς και ενοποίηση με συστήματα διαχείρισης φορητών συσκευών (MDM) και σαρωτές ευπάθειας.
Μη τυπικά έργα: γιατί αλλιώς μπορεί να χρειαστείτε Cisco ISE ή 3 σπάνιες περιπτώσεις από το ιατρείο μας
Έλεγχος πρόσβασης σε διακομιστές που βασίζονται σε Linux
Μόλις λύναμε μια μάλλον μη τετριμμένη περίπτωση για έναν από τους πελάτες που είχε ήδη εφαρμόσει το σύστημα Cisco ISE: έπρεπε να βρούμε έναν τρόπο ελέγχου των ενεργειών των χρηστών (κυρίως διαχειριστών) σε διακομιστές με εγκατεστημένο Linux. Αναζητώντας μια απάντηση, καταλήξαμε στην ιδέα να χρησιμοποιήσουμε το δωρεάν λογισμικό PAM Radius Module, το οποίο σας επιτρέπει να συνδεθείτε σε διακομιστές που εκτελούν Linux με έλεγχο ταυτότητας σε διακομιστή εξωτερικής ακτίνας. Όλα από αυτή την άποψη θα ήταν καλά, αν όχι για ένα "αλλά": ο διακομιστής radius, στέλνοντας μια απάντηση στο αίτημα ελέγχου ταυτότητας, δίνει μόνο το όνομα του λογαριασμού και το αποτέλεσμα - αξιολόγηση έγινε αποδεκτή ή αξιολόγηση απορρίφθηκε. Εν τω μεταξύ, για εξουσιοδότηση στο Linux, πρέπει να εκχωρήσετε τουλάχιστον μια ακόμη παράμετρο - home directory, ώστε ο χρήστης τουλάχιστον να φτάσει κάπου. Δεν βρήκαμε τρόπο να το δώσουμε ως χαρακτηριστικό ακτίνας, οπότε γράψαμε ένα ειδικό σενάριο για απομακρυσμένη δημιουργία λογαριασμών σε κεντρικούς υπολογιστές σε ημιαυτόματη λειτουργία. Αυτή η εργασία ήταν αρκετά εφικτή, αφού είχαμε να κάνουμε με λογαριασμούς διαχειριστή, ο αριθμός των οποίων δεν ήταν τόσο μεγάλος. Στη συνέχεια, οι χρήστες συνδέθηκαν στην απαιτούμενη συσκευή, μετά την οποία τους εκχωρήθηκε η απαραίτητη πρόσβαση. Τίθεται ένα εύλογο ερώτημα: είναι απαραίτητη η χρήση Cisco ISE σε τέτοιες περιπτώσεις; Στην πραγματικότητα, όχι - οποιοσδήποτε διακομιστής ακτίνας θα κάνει, αλλά επειδή ο πελάτης είχε ήδη αυτό το σύστημα, απλώς προσθέσαμε μια νέα δυνατότητα σε αυτό.
Απογραφή υλικού και λογισμικού στο LAN
Κάποτε δουλέψαμε σε ένα έργο για την παροχή Cisco ISE σε έναν πελάτη χωρίς προκαταρκτικό «πιλότο». Δεν υπήρχαν σαφείς απαιτήσεις για τη λύση, συν ότι είχαμε να κάνουμε με ένα επίπεδο, μη τμηματοποιημένο δίκτυο, το οποίο περιέπλεξε το έργο μας. Κατά τη διάρκεια του έργου, διαμορφώσαμε όλες τις πιθανές μεθόδους δημιουργίας προφίλ που υποστήριζε το δίκτυο: NetFlow, DHCP, SNMP, ενσωμάτωση AD κ.λπ. Ως αποτέλεσμα, η πρόσβαση MAR διαμορφώθηκε με τη δυνατότητα σύνδεσης στο δίκτυο εάν αποτύχει ο έλεγχος ταυτότητας. Δηλαδή, ακόμα κι αν ο έλεγχος ταυτότητας δεν ήταν επιτυχής, το σύστημα θα επέτρεπε στον χρήστη να εισέλθει στο δίκτυο, να συλλέξει πληροφορίες για αυτόν και να τις καταγράψει στη βάση δεδομένων ISE. Αυτή η παρακολούθηση δικτύου για αρκετές εβδομάδες μας βοήθησε να αναγνωρίσουμε συνδεδεμένα συστήματα και μη προσωπικές συσκευές και να αναπτύξουμε μια προσέγγιση για την τμηματοποίησή τους. Μετά από αυτό, διαμορφώσαμε επιπλέον την ανάρτηση για εγκατάσταση του πράκτορα σε σταθμούς εργασίας, προκειμένου να συλλέξουμε πληροφορίες σχετικά με το λογισμικό που είναι εγκατεστημένο σε αυτούς. Ποιο είναι το αποτέλεσμα; Καταφέραμε να τμηματοποιήσουμε το δίκτυο και να καθορίσουμε τη λίστα του λογισμικού που έπρεπε να αφαιρεθεί από τους σταθμούς εργασίας. Δεν θα κρύψω ότι οι περαιτέρω εργασίες διανομής των χρηστών σε ομάδες τομέα και οριοθέτησης των δικαιωμάτων πρόσβασης μας πήραν πολύ χρόνο, αλλά με αυτόν τον τρόπο αποκτήσαμε μια πλήρη εικόνα του υλικού που είχε ο πελάτης στο δίκτυο. Παρεμπιπτόντως, αυτό δεν ήταν δύσκολο λόγω της καλής δουλειάς του προφίλ out of the box. Λοιπόν, όπου το προφίλ δεν βοήθησε, κοιτάξαμε τους εαυτούς μας, επισημαίνοντας τη θύρα μεταγωγέα στην οποία ήταν συνδεδεμένος ο εξοπλισμός.
Απομακρυσμένη εγκατάσταση λογισμικού σε σταθμούς εργασίας
Αυτή η περίπτωση είναι από τις πιο περίεργες στην πρακτική μου. Μια μέρα, ένας πελάτης ήρθε σε εμάς με μια κραυγή για βοήθεια - κάτι πήγε στραβά κατά την εφαρμογή του Cisco ISE, όλα έσπασαν και κανείς άλλος δεν μπορούσε να έχει πρόσβαση στο δίκτυο. Αρχίσαμε να το ψάχνουμε και μάθαμε τα εξής. Η εταιρεία διέθετε 2000 υπολογιστές, των οποίων η διαχείριση, ελλείψει ελεγκτή τομέα, γινόταν με λογαριασμό διαχειριστή. Για τους σκοπούς του peering, ο οργανισμός εφάρμοσε το Cisco ISE. Ήταν απαραίτητο να καταλάβουμε με κάποιο τρόπο εάν είχε εγκατασταθεί ένα πρόγραμμα προστασίας από ιούς σε υπάρχοντες υπολογιστές, εάν το περιβάλλον λογισμικού ήταν ενημερωμένο κ.λπ. Και δεδομένου ότι οι διαχειριστές πληροφορικής εγκατέστησαν εξοπλισμό δικτύου στο σύστημα, είναι λογικό να είχαν πρόσβαση σε αυτόν. Αφού είδαν πώς λειτουργεί και εξέλιξαν τους υπολογιστές τους, οι διαχειριστές σκέφτηκαν να εγκαταστήσουν το λογισμικό σε σταθμούς εργασίας εργαζομένων από απόσταση χωρίς προσωπικές επισκέψεις. Φανταστείτε πόσα βήματα μπορείτε να εξοικονομήσετε την ημέρα με αυτόν τον τρόπο! Οι διαχειριστές πραγματοποίησαν αρκετούς ελέγχους του σταθμού εργασίας για την παρουσία ενός συγκεκριμένου αρχείου στον κατάλογο C:Program Files και, εάν απουσίαζε, ξεκινούσε η αυτόματη αποκατάσταση ακολουθώντας έναν σύνδεσμο που οδηγεί στην αποθήκευση αρχείων στο αρχείο εγκατάστασης .exe. Αυτό επέτρεψε στους απλούς χρήστες να μεταβούν σε ένα κοινόχρηστο αρχείο και να κατεβάσουν το απαραίτητο λογισμικό από εκεί. Δυστυχώς, ο διαχειριστής δεν γνώριζε καλά το σύστημα ISE και κατέστρεψε τους μηχανισμούς ανάρτησης - έγραψε λανθασμένα την πολιτική, γεγονός που οδήγησε σε ένα πρόβλημα που εμπλακήκαμε στην επίλυση. Προσωπικά, με εκπλήσσει ειλικρινά μια τέτοια δημιουργική προσέγγιση, γιατί θα ήταν πολύ φθηνότερο και λιγότερο εντατικό να δημιουργηθεί ένας ελεγκτής τομέα. Αλλά ως Proof of concept λειτούργησε.
Διαβάστε περισσότερα σχετικά με τις τεχνικές αποχρώσεις που προκύπτουν κατά την εφαρμογή του Cisco ISE στο άρθρο του συναδέλφου μου .
Artem Bobrikov, μηχανικός σχεδιασμού του Κέντρου Ασφάλειας Πληροφοριών της Jet Infosystems
Επίλογος:
Παρά το γεγονός ότι αυτή η ανάρτηση μιλάει για το σύστημα Cisco ISE, τα προβλήματα που περιγράφονται είναι σχετικά για ολόκληρη την κατηγορία λύσεων NAC. Δεν είναι τόσο σημαντικό ποια λύση προμηθευτή έχει προγραμματιστεί για εφαρμογή - τα περισσότερα από τα παραπάνω θα παραμείνουν εφαρμόσιμα.
Πηγή: www.habr.com