Kiom ofte vi aĉetas ion spontanee, cedante al malvarmeta reklamo, kaj tiam ĉi tiu komence dezirata aĵo kolektas polvon en ŝranko, provizejo aŭ garaĝo ĝis la sekva printempa purigado aŭ translokiĝo? La rezulto estas seniluziiĝo pro nepravigeblaj atendoj kaj malŝparita mono. Estas multe pli malbona kiam ĉi tio okazas al komerco. Tre ofte, merkataj trukoj estas tiel bonaj, ke kompanioj aĉetas multekostan solvon sen vidi la plenan bildon de ĝia apliko. Dume, prova testado de la sistemo helpas kompreni kiel prepari la infrastrukturon por integriĝo, kian funkciecon kaj ĝis kia grado devus esti efektivigita. Tiel vi povas eviti grandan nombron da problemoj pro elekto de produkto "blinde". Krome, efektivigo post kompetenta "piloto" alportos inĝenierojn multe malpli detruitajn nervajn ĉelojn kaj grizajn harojn. Ni eltrovu kial pilottestado estas tiel grava por sukcesa projekto, uzante la ekzemplon de populara ilo por kontroli aliron al kompania reto - Cisco ISE. Ni konsideru kaj normajn kaj tute ne-normajn eblojn por uzi la solvon, kiun ni renkontis en nia praktiko.
Cisco ISE - "Radius-servilo sur steroidoj"
Cisco Identity Services Engine (ISE) estas platformo por krei alirkontrolsistemon por la loka reto de organizo. En la fakkomunumo, la produkto estis moknomita "Radius-servilo sur steroidoj" pro siaj propraĵoj. Kial estas tio? Esence, la solvo estas Radius-servilo, al kiu grandega nombro da aldonaj servoj kaj "trukoj" estis ligitaj, permesante al vi ricevi grandan kvanton da kontekstaj informoj kaj apliki la rezultan aron da datumoj en alirpolitikoj.
Kiel iu ajn alia Radius-servilo, Cisco ISE interagas kun alirnivela reto-ekipaĵo, kolektas informojn pri ĉiuj provoj konekti al la kompania reto kaj, surbaze de aŭtentikaj kaj rajtigaj politikoj, permesas aŭ malkonfesas uzantojn al la LAN. Tamen, la ebleco de profilado, afiŝado kaj integriĝo kun aliaj informsekurecaj solvoj ebligas signife malfaciligi la logikon de la rajtiga politiko kaj per tio solvi sufiĉe malfacilajn kaj interesajn problemojn.
Efektivigo ne povas esti pilotata: kial vi bezonas testadon?
La valoro de pilottestado estas montri ĉiujn kapablojn de la sistemo en la specifa infrastrukturo de specifa organizo. Mi kredas, ke pilotado de Cisco ISE antaŭ efektivigo profitigas ĉiujn implikitajn en la projekto, kaj jen kial.
Ĉi tio donas al integristoj klaran ideon pri la atendoj de la kliento kaj helpas formuli ĝustan teknikan specifon, kiu enhavas multe pli da detaloj ol la komuna frazo "certiĝu, ke ĉio estas bona." "Piloto" permesas al ni senti la tutan doloron de la kliento, kompreni kiuj taskoj estas prioritataj por li kaj kiuj estas malĉefaj. Por ni, ĉi tio estas bonega okazo por anticipe ekscii, kian ekipaĵon oni uzas en la organizo, kiel okazos la efektivigo, sur kiaj retejoj, kie ili troviĝas, ktp.
Dum pilota testado, klientoj vidas la realan sistemon en ago, konatiĝas kun ĝia interfaco, povas kontroli ĉu ĝi estas kongrua kun sia ekzistanta aparataro kaj akiri tutecan komprenon pri kiel la solvo funkcios post plena efektivigo. "Piloto" estas la momento mem, kiam vi povas vidi ĉiujn malfacilaĵojn, kiujn vi verŝajne renkontos dum integriĝo, kaj decidi kiom da permesiloj vi devas aĉeti.
Kio povas "aperi" dum la "piloto"
Do, kiel vi konvene prepariĝas por efektivigi Cisco ISE? Laŭ nia sperto, ni nombris 4 ĉefajn punktojn, kiujn gravas konsideri dum la pilota testado de la sistemo.
Forma faktoro
Unue, vi devas decidi en kia formo la sistemo estos efektivigita: fizika aŭ virtuala supra linio. Ĉiu opcio havas avantaĝojn kaj malavantaĝojn. Ekzemple, la forto de fizika supra linio estas ĝia antaŭvidebla agado, sed ni ne devas forgesi, ke tiaj aparatoj malnoviĝas kun la tempo. Virtualaj suprenlinioj estas malpli antaŭvideblaj ĉar... dependas de la aparataro sur kiu la virtualiga medio estas deplojita, sed ili havas gravan avantaĝon: se subteno estas disponebla, ili ĉiam povas esti ĝisdatigitaj al la plej nova versio.
Ĉu via reta ekipaĵo estas kongrua kun Cisco ISE?
Kompreneble, la ideala scenaro estus konekti ĉiujn ekipaĵojn al la sistemo samtempe. Tamen, ĉi tio ne ĉiam eblas, ĉar multaj organizoj ankoraŭ uzas neadministritajn ŝaltilojn aŭ ŝaltilojn, kiuj ne subtenas kelkajn el la teknologioj, kiuj kuras Cisco ISE. Cetere, ni ne nur parolas pri ŝaltiloj, ĝi ankaŭ povas esti sendrataj retaj regiloj, VPN-koncentriloj kaj ajna alia ekipaĵo al kiu uzantoj konektas. En mia praktiko, estis kazoj kiam, post pruvo de la sistemo por plena efektivigo, la kliento ĝisdatigis preskaŭ la tutan aron de alirnivelaj ŝaltiloj al moderna Cisco-ekipaĵo. Por eviti malagrablajn surprizojn, indas ekscii anticipe la proporcion de nesubtenataj ekipaĵoj.
Ĉu ĉiuj viaj aparatoj estas normaj?
Ajna reto havas tipajn aparatojn al kiuj ne devus esti malfacile konektitaj: laborstacioj, IP-telefonoj, Wi-Fi-alirpunktoj, vidbendaj kameraoj ktp. Sed ankaŭ okazas, ke ne-normaj aparatoj devas esti konektitaj al la LAN, ekzemple, RS232/Ethernet-busaj signal-transformiloj, seninterrompaj elektraj interfacoj, diversaj teknologiaj ekipaĵoj, ktp. Gravas anticipe determini la liston de tiaj aparatoj. , por ke en la efektiviga stadio vi jam komprenu kiom teknike ili funkcios kun Cisco ISE.
Konstrua dialogo kun IT-specialistoj
Cisco ISE-klientoj ofte estas sekurecaj fakoj, dum IT-sekcioj kutime respondecas pri agordo de alirtavolaj ŝaltiloj kaj Active Directory. Sekve, produktiva interago inter sekurecaj specialistoj kaj IT-specialistoj estas unu el la gravaj kondiĉoj por sendolora efektivigo de la sistemo. Se la lastaj perceptas integriĝon kun malamikeco, indas klarigi al ili, kiel la solvo estos utila al la IT-fako.
Supraj 5 uzkazoj de Cisco ISE
Laŭ nia sperto, la bezonata funkcieco de la sistemo ankaŭ estas identigita ĉe la pilota testa stadio. Malsupre estas kelkaj el la plej popularaj kaj malpli oftaj uzkazoj por la solvo.
Sekurigu LAN-aliron per drato kun EAP-TLS
Kiel la rezultoj de la esploro de niaj pentesteroj montras, sufiĉe ofte por penetri la reton de kompanio, atakantoj uzas ordinarajn ingojn, al kiuj estas konektitaj presiloj, telefonoj, IP-fotiloj, Wi-Fi-punktoj kaj aliaj nepersonaj retaj aparatoj. Tial, eĉ se retaliro baziĝas sur dot1x-teknologio, sed alternativaj protokoloj estas uzataj sen uzado de uzantaj aŭtentikigatestiloj, ekzistas alta probablo de sukcesa atako kun sesio-interkapto kaj krudfortaj pasvortoj. En la kazo de Cisco ISE, estos multe pli malfacile ŝteli atestilon - por tio, piratoj bezonos multe pli da komputika potenco, do ĉi tiu kazo estas tre efika.
Dual-SSID sendrata aliro
La esenco de ĉi tiu scenaro estas uzi 2 retajn identigilojn (SSIDs). Unu el ili povas esti kondiĉe nomita "gasto". Per ĝi, kaj gastoj kaj dungitoj de la kompanio povas aliri la sendratan reton. Kiam ili provas konektiĝi, ĉi-lastaj estas redirektitaj al speciala portalo, kie okazas provizado. Tio estas, la uzanto ricevas atestilon kaj lia persona aparato estas agordita por aŭtomate rekonekti al la dua SSID, kiu jam uzas EAP-TLS kun ĉiuj avantaĝoj de la unua kazo.
MAC Aŭtentiga Preterpaso kaj Profilado
Alia populara uzkazo estas aŭtomate detekti la tipon de aparato konektita kaj apliki la ĝustajn limigojn al ĝi. Kial li estas interesa? La fakto estas, ke estas ankoraŭ sufiĉe multaj aparatoj, kiuj ne subtenas aŭtentikigon per la 802.1X-protokolo. Tial tiaj aparatoj devas esti permesitaj en la reto per MAC-adreso, kiu estas sufiĉe facile falsebla. Jen kie Cisco ISE venas al la savo: helpe de la sistemo, vi povas vidi kiel aparato kondutas en la reto, krei ĝian profilon kaj asigni ĝin al grupo de aliaj aparatoj, ekzemple, IP-telefono kaj laborstacio. . Se atakanto provas falsigi MAC-adreson kaj konekti al la reto, la sistemo vidos, ke la aparato-profilo ŝanĝiĝis, signalos suspektindan konduton kaj ne permesos al la suspektinda uzanto eniri la reton.
EAP-Ĉenado
EAP-Chaining-teknologio implikas sinsekvan aŭtentikigon de la funkcianta komputilo kaj uzantkonto. Ĉi tiu kazo disvastiĝis ĉar... Multaj kompanioj ankoraŭ ne instigas konekti personajn aparatojn de dungitoj al la kompania LAN. Uzante ĉi tiun aliron al aŭtentikigo, estas eble kontroli ĉu specifa laborstacio estas membro de la domajno, kaj se la rezulto estas negativa, la uzanto aŭ ne estos permesita en la reton, aŭ povos ensaluti, sed kun certaj limigoj.
Posturigo
Ĉi tiu kazo temas pri taksado de la konformeco de la laborstacia programaro kun informsekurecaj postuloj. Uzante ĉi tiun teknologion, vi povas kontroli ĉu la programaro sur la laborstacio estas ĝisdatigita, ĉu sekurecaj mezuroj estas instalitaj sur ĝi, ĉu la gastiga fajroŝirmilo estas agordita, ktp. Kurioze, ĉi tiu teknologio ankaŭ permesas solvi aliajn taskojn ne rilatajn al sekureco, ekzemple, kontroli la ĉeeston de necesaj dosieroj aŭ instali tutsisteman programaron.
Malpli oftaj uzkazoj por Cisco ISE inkluzivas alirkontrolon kun fin-al-fina domajna konfirmo (Pasiva ID), SGT-bazita mikro-segmentado kaj filtrado, same kiel integriĝon kun moveblaj aparatoj-administrado (MDM) sistemoj kaj Vulnerability Scanners.
Ne-normaj projektoj: kial alie vi bezonas Cisco ISE, aŭ 3 maloftajn kazojn de nia praktiko
Alirkontrolo al Linukso-bazitaj serviloj
Iam ni solvis iom ne-trivialan kazon por unu el la klientoj, kiuj jam havis la Cisco ISE-sistemon efektivigita: ni devis trovi manieron kontroli uzantajn agojn (plejparte administrantoj) sur serviloj kun Linukso instalita. Serĉante respondon, ni elpensis la ideon uzi la senpagan programaron PAM Radius Module, kiu ebligas vin ensaluti en serviloj kurantaj Linukso kun aŭtentigo sur ekstera radiusa servilo. Ĉio ĉi-rilate estus bona, se ne por unu "sed": la radiusa servilo, sendante respondon al la aŭtentikigpeto, donas nur la kontnomon kaj la rezulton - taksi akceptitan aŭ taksi malakceptitan. Dume, por rajtigo en Linukso, vi devas asigni almenaŭ unu plian parametron - hejman dosierujon, por ke la uzanto almenaŭ iru ien. Ni ne trovis manieron doni ĉi tion kiel radiusan atributon, do ni skribis specialan skripton por malproksime krei kontojn ĉe gastigantoj en duonaŭtomata reĝimo. Ĉi tiu tasko estis sufiĉe realigebla, ĉar ni traktis administrantajn kontojn, kies nombro ne estis tiom granda. Poste, uzantoj ensalutis al la bezonata aparato, post kio ili ricevis la necesan aliron. Racia demando ŝprucas: ĉu necesas uzi Cisco ISE en tiaj kazoj? Efektive, ne - ajna radiusa servilo utilos, sed ĉar la kliento jam havis ĉi tiun sistemon, ni simple aldonis novan funkcion al ĝi.
Stokregistro de aparataro kaj programaro sur la LAN
Ni iam laboris pri projekto por provizi Cisco ISE al unu kliento sen prepara "piloto". Ne estis klaraj postuloj por la solvo, krome ni traktis platan, nesegmentan reton, kio malfaciligis nian taskon. Dum la projekto, ni agordis ĉiujn eblajn profilajn metodojn, kiujn la reto subtenis: NetFlow, DHCP, SNMP, AD-integriĝo, ktp. Kiel rezulto, MAR-aliro estis agordita kun la kapablo ensaluti en la reton se aŭtentigo malsukcesis. Tio estas, eĉ se aŭtentigo ne sukcesus, la sistemo ankoraŭ permesus la uzanton en la reton, kolektus informojn pri li kaj registris ĝin en la ISE-datumbazo. Ĉi tiu retmonitorado dum pluraj semajnoj helpis nin identigi konektitajn sistemojn kaj nepersonajn aparatojn kaj evoluigi aliron por segmenti ilin. Post ĉi tio, ni aldone agordis afiŝon por instali la agenton sur laborstacioj por kolekti informojn pri la programaro instalita sur ili. Kio estas la rezulto? Ni povis segmenti la reton kaj determini la liston de programaroj, kiuj devis esti forigitaj de laborstacioj. Mi ne kaŝos, ke pliaj taskoj de distribuado de uzantoj en domajngrupojn kaj delineado de alirrajtoj prenis al ni sufiĉe da tempo, sed tiamaniere ni akiris kompletan bildon pri kia aparataro la kliento havis en la reto. Cetere, ĉi tio ne estis malfacila pro la bona laboro de profilado el la skatolo. Nu, kie profilado ne helpis, ni mem rigardis, reliefigante la ŝaltilhavenon al kiu la ekipaĵo estis konektita.
Fora instalado de programaro sur laborstacioj
Ĉi tiu kazo estas unu el la plej strangaj en mia praktiko. Iun tagon, kliento venis al ni kun krio por helpo - io misfunkciis dum la efektivigo de Cisco ISE, ĉio rompiĝis, kaj neniu alia povis aliri la reton. Ni komencis esplori ĝin kaj eksciis la jenon. La firmao havis 2000 komputilojn, kiuj, en foresto de domajna regilo, estis administritaj sub administranta konto. Por la celo de peering, la organizo efektivigis Cisco ISE. Necesis iel kompreni ĉu antiviruso estis instalita sur ekzistantaj komputiloj, ĉu la programaro-medio estis ĝisdatigita, ktp. Kaj ĉar IT-administrantoj instalis retajn ekipaĵojn en la sistemon, estas logike, ke ili havis aliron al ĝi. Post vidi kiel ĝi funkcias kaj ornamante siajn komputilojn, la administrantoj elpensis la ideon instali la programon sur laborstacioj de dungitoj malproksime sen personaj vizitoj. Imagu kiom da paŝoj vi povas ŝpari tage tiel! La administrantoj efektivigis plurajn kontrolojn de la laborstacio por la ĉeesto de specifa dosiero en la dosierujo C:Program Files, kaj se ĝi forestis, aŭtomata riparo estis lanĉita sekvante ligilon kondukantan al la dosierstokado al la instala dosiero .exe. Ĉi tio permesis al ordinaraj uzantoj iri al dosierparto kaj elŝuti la necesan programaron de tie. Bedaŭrinde, la administranto ne bone konis la ISE-sistemon kaj difektis la afiŝmekanismojn - li skribis la politikon malĝuste, kio kondukis al problemo, kiun ni okupiĝis pri solvado. Persone, mi estas sincere surprizita de tia krea aliro, ĉar estus multe pli malmultekosta kaj malpli laborintensa krei domajnan regilon. Sed kiel Pruvo de koncepto ĝi funkciis.
Legu pli pri la teknikaj nuancoj, kiuj aperas dum efektivigo de Cisco ISE en la artikolo de mia kolego .
Artem Bobrikov, dezajninĝeniero de la Informo-Sekureco-Centro ĉe Jet Infosystems
Antaŭparolo:
Malgraŭ la fakto, ke ĉi tiu afiŝo parolas pri la Cisco ISE-sistemo, la priskribitaj problemoj rilatas al la tuta klaso de NAC-solvoj. Ne tiom gravas, kiu solvo de vendisto estas planita por efektivigo - plejparto de ĉi-supraj restos aplikebla.
fonto: www.habr.com