Zenbat aldiz erosten duzu zerbait berez, iragarki fresko bati men eginez, eta, ondoren, hasieran nahi den elementu honek hautsa biltzen du armairu batean, despentsa edo garajean hurrengo udaberriko garbiketa edo mugitu arte? Emaitza etsipena da justifikatu gabeko itxaropenengatik eta diru xahutuengatik. Askoz okerragoa da negozio bati hau gertatzen zaionean. Askotan, marketin-trukeak hain dira onak, non enpresek irtenbide garestia erosten dutela aplikazioaren argazki osoa ikusi gabe. Bien bitartean, sistemaren proba probak integraziorako azpiegitura nola prestatu, zer funtzionalitate eta zenbateraino ezarri behar diren ulertzen laguntzen du. Horrela, produktu bat "itsuan" aukeratzearen ondorioz arazo ugari ekidin ditzakezu. Gainera, "pilotu" eskudun baten ondoren ezartzeak ingeniariei askoz gutxiago suntsitutako nerbio-zelulak eta ile grisa ekarriko die. Azter dezagun zergatik den proba pilotua hain garrantzitsua proiektu arrakastatsu baterako, sare korporatiborako sarbidea kontrolatzeko tresna ezagun baten adibidea erabiliz: Cisco ISE. Azter ditzagun gure praktikan aurkitu dugun irtenbidea erabiltzeko aukera estandarrak eta guztiz ez-estandarrak.
Cisco ISE - "Radius zerbitzaria esteroideetan"
Cisco Identity Services Engine (ISE) erakunde baten tokiko sarerako sarbide-kontrol sistema bat sortzeko plataforma bat da. Adituen komunitatean, produktuari "Radius zerbitzaria esteroideetan" ezizena jarri zitzaion bere propietateengatik. Zergatik da hori? Funtsean, irtenbidea Radius zerbitzari bat da, zeinari zerbitzu eta "trikimailu" gehigarri ugari erantsi zaizkiolarik, testuinguruko informazio kopuru handia jasotzeko eta ondoriozko datu-multzoa sarbide-politiketan aplikatzeko.
Radius-eko beste edozein zerbitzari bezala, Cisco ISE-k sarbide-mailako sare-ekipoekin elkarreraginean jarduten du, sare korporatibora konektatzeko saiakera guztiei buruzko informazioa biltzen du eta, autentifikazio- eta baimen-politiketan oinarrituta, erabiltzaileak LAN-era baimendu edo ukatzen ditu. Hala ere, informazioaren segurtasunerako beste irtenbide batzuekin profilak egiteko, bidaltzeko eta integratzeko aukerak baimen-politikaren logika nabarmen zailtzea ahalbidetzen du eta, ondorioz, arazo nahiko zailak eta interesgarriak konpontzen dira.
Inplementazioa ezin da pilotatu: zergatik behar dituzu probak?
Proba pilotuen balioa sistemaren gaitasun guztiak erakunde zehatz baten azpiegitura espezifikoan erakustea da. Uste dut Cisco ISE inplementatu aurretik pilotatzeak proiektuan parte hartzen duten guztiei mesede egiten diela, eta hona hemen zergatik.
Honek integratzaileei bezeroaren itxaropenen ideia argia ematen die eta "ziurtatu dena ondo dagoela" esaldi arrunta baino askoz xehetasun gehiago dituen zehaztapen tekniko zuzena sortzen laguntzen du. βPilotβ-ek bezeroaren min guztia sentitzeko aukera ematen digu, ulertzeko zein zeregin diren berarentzat lehentasunezkoak eta zeintzuk bigarren mailakoak. Guretzat aukera bikaina da aldez aurretik erakundean zer ekipamendu erabiltzen den jakiteko, nola gauzatuko den ezarpena, zein gunetan, non dauden eta abar.
Proba pilotuetan, bezeroek benetako sistema martxan ikusten dute, bere interfazea ezagutzen dute, lehendik dagoen hardwarearekin bateragarria den egiazta dezakete eta irtenbideak erabat inplementatu ondoren nola funtzionatuko duen ulertzen dute. "Pilotoa" integrazioan ziurrenik aurkituko dituzun akats guztiak ikusi eta zenbat lizentzia erosi behar dituzun erabaki dezakezun unea da.
Zer "ager daiteke" "pilotan" zehar
Beraz, nola prestatu behar duzu Cisco ISE ezartzeko? Gure esperientziatik, sistemaren proba pilotuan kontuan hartu beharreko 4 puntu nagusi kontatu ditugu.
Forma faktorea
Lehenik eta behin, sistema zein forma-faktoretan ezarriko den erabaki behar duzu: gorako linea fisikoa edo birtuala. Aukera bakoitzak abantailak eta desabantailak ditu. Esate baterako, gorako lerro fisiko baten indarra aurreikus daitekeen errendimendua da, baina ez dugu ahaztu behar horrelako gailuak zaharkituta geratzen direla denborarekin. Upline birtualak ez dira hain aurreikusten, zeren... Birtualizazio ingurunea zabaltzen den hardwarearen araberakoa da, baina abantaila handi bat dute: euskarria eskuragarri badago, beti eguneratu daitezke azken bertsiora.
Zure sare-ekipoa Cisco ISErekin bateragarria al da?
Jakina, eszenatoki ideala ekipo guztiak sistemara aldi berean konektatzea izango litzateke. Hala ere, hori ez da beti posible, erakunde askok oraindik ere kudeatu gabeko etengailuak edo Cisco ISE exekutatzen dituzten teknologia batzuk onartzen ez dituzten etengailuak erabiltzen dituzte. Bide batez, ez gara etengailuez bakarrik ari, haririk gabeko sare kontrolagailuak, VPN kontzentratzaileak eta erabiltzaileak konektatzen dituen beste edozein ekipo ere izan daitezke. Nire praktikan, kasuak egon dira, sistema osoa inplementatzeko frogatu ondoren, bezeroak sarbide-mailako etengailuen flota ia osoa Cisco ekipamendu modernoetara berritu zuen. Ezusteko desatseginak ekiditeko, merezi du aldez aurretik laguntzarik gabeko ekipoen proportzioa jakitea.
Zure gailu guztiak estandarrak al dira?
Edozein sarek konektatzeko zaila izan behar ez duten gailu tipikoak ditu: lan-estazioak, IP telefonoak, Wi-Fi sarbide-puntuak, bideo-kamerak, etab. Baina gailu ez-estandarrak LANera konektatu behar direla ere gertatzen da, adibidez, RS232/Ethernet bus seinale bihurgailuak, etenik gabeko elikatze-interfazeak, hainbat ekipamendu teknologiko, etab. Garrantzitsua da horrelako gailuen zerrenda aldez aurretik zehaztea. , beraz, ezarpen-fasean dagoeneko ulertu duzu nola teknikoki Cisco ISErekin lan egingo duten.
Elkarrizketa eraikitzailea IT espezialistekin
Cisco ISE bezeroak segurtasun-sailak izaten dira sarritan, eta IT-ak normalean sarbide-geruzen etengailuak eta Active Directory konfiguratzeaz arduratzen dira. Hori dela eta, segurtasun espezialisten eta IT espezialisten arteko interakzio produktiboa sistema minik gabeko inplementatzeko baldintza garrantzitsuetako bat da. Azken hauek etsaitasunarekin integrazioa hautematen badute, merezi du azaltzea nola izango den baliagarria irtenbidea informatika sailerako.
Cisco ISEren 5 erabilera kasu nagusiak
Gure esperientziaren arabera, proba pilotuaren fasean sistemaren beharrezko funtzionaltasuna ere identifikatzen da. Jarraian, irtenbidearen erabilera kasu ezagunenak eta ez hain ohikoak daude.
LAN sarbide segurua kable baten bidez EAP-TLS-rekin
Gure pentester-en ikerketen emaitzek erakusten dutenez, sarritan enpresa baten sarean sartzeko, erasotzaileek entxufe arruntak erabiltzen dituzte, zeinetara konektatzen diren inprimagailuak, telefonoak, IP kamerak, Wi-Fi puntuak eta pertsonalak ez diren beste gailu batzuk. Hori dela eta, sarerako sarbidea dot1x teknologian oinarritzen bada ere, baina protokolo alternatiboak erabiltzen diren erabiltzaileen autentifikazio-ziurtagiriak erabili gabe, erasoa arrakastatsua izateko probabilitate handia dago saioaren atzematearekin eta indar gordineko pasahitzekin. Cisco ISE-ren kasuan, askoz zailagoa izango da ziurtagiri bat lapurtzea; horretarako, hacker-ek askoz ere konputazio-potentzia handiagoa beharko dute, beraz, kasu hau oso eraginkorra da.
SSID bikoitzeko haririk gabeko sarbidea
Eszenatoki honen funtsa 2 sare-identifikatzaile (SSID) erabiltzea da. Horietako bat baldintzapean "gonbidatua" dei daiteke. Horren bidez, gonbidatuak zein enpresako langileak haririk gabeko sarera sar daitezke. Konektatzen saiatzen direnean, azken hauek horniketa egiten den atari berezi batera birbideratzen dira. Hau da, erabiltzaileari ziurtagiri bat ematen zaio eta bere gailu pertsonala bigarren SSIDra automatikoki berriro konektatzeko konfiguratuta dago, lehen kasuaren abantaila guztiekin jada EAP-TLS erabiltzen duena.
MAC autentifikazioaren saihespena eta profila
Beste erabilera-kasu ezagun bat konektatzen ari den gailu mota automatikoki detektatzea eta hari murrizketa zuzenak aplikatzea da. Zergatik da interesgarria? Kontua da oraindik 802.1X protokoloa erabiliz autentifikazioa onartzen ez duten gailu asko daudela. Hori dela eta, horrelako gailuak sarean sartu behar dira MAC helbide bat erabiliz, eta hori nahiko erraza da faltsutzea. Hortik dator Cisco ISE: sistemaren laguntzaz, gailu batek sarean nola jokatzen duen ikus dezakezu, bere profila sortu eta beste gailu talde bati esleitu, adibidez, IP telefono bati eta lan-estazio bati. . Erasotzaile batek MAC helbide bat faltsutzen eta sarera konektatzen saiatzen bada, sistemak gailuaren profila aldatu dela ikusiko du, portaera susmagarriak adieraziko ditu eta ez dio erabiltzaile susmagarria sarera sartzen utziko.
EAP-kateatzea
EAP-Chaining teknologiak laneko ordenagailuaren eta erabiltzailearen kontuaren autentifikazio sekuentziala dakar. Kasu hau hedatu egin da, zeren... Enpresa askok oraindik ez dute bultzatzen langileen tramankulu pertsonalak LAN korporatibora konektatzea. Autentifikazioaren ikuspegi hau erabiliz, lan-estazio jakin bat domeinuko kide den egiaztatzeko aukera dago, eta emaitza negatiboa bada, erabiltzailea ez da sarean sartuko, edo sartu ahal izango du, baina murrizketak.
Posturatzea
Kasu hau lan-estazioko softwareak informazioaren segurtasun-baldintzak betetzen dituen ebaluatzea da. Teknologia hau erabiliz, lan-estazioko softwarea eguneratuta dagoen, segurtasun-neurriak instalatuta dauden, ostalariaren suebakia konfiguratuta dagoen, etab. Interesgarria da teknologia honek segurtasunarekin zerikusirik ez duten beste zeregin batzuk ere konpontzeko aukera ematen du, adibidez, beharrezko fitxategiak dauden egiaztatzea edo sistema osorako softwarea instalatzea.
Cisco ISEren erabilera-kasu ez hain ohikoak dira, besteak beste, sarbide-kontrola amaierako domeinuaren autentifikazioarekin (ID pasiboa), SGTn oinarritutako mikrosegmentazioa eta iragazkia, baita gailu mugikorren kudeaketarako (MDM) sistemekin eta Vulnerability Scannerekin integratzea ere.
Proiektu ez-estandarrak: zergatik beharko zenuke bestela Cisco ISE, edo gure praktikaren 3 kasu arraro
Linuxen oinarritutako zerbitzarietarako sarbide-kontrola
Behin Cisco ISE sistema ezarrita zeukaten bezeroetako baten kasu nahiko ez-trivial bat konpontzen ari ginen: erabiltzaileen ekintzak (gehienetan administratzaileak) kontrolatzeko modua bilatu behar genuen Linux instalatuta zuten zerbitzarietan. Erantzun baten bila, doako PAM Radius Module softwarea erabiltzea bururatu zitzaigun, Linux exekutatzen duten zerbitzarietan saioa hasteko aukera ematen duena kanpoko erradioko zerbitzari batean autentifikazioarekin. Zentzu honetan dena ona izango litzateke, "baina" bat ez bada: erradio zerbitzariak, autentifikazio eskaerari erantzuna bidaliz, kontuaren izena eta emaitza soilik ematen ditu - onartutako baloratu edo baztertu baloratu. Bitartean, Linux-en baimentzeko, gutxienez parametro bat gehiago esleitu behar duzu - hasierako direktorioa, erabiltzailea gutxienez nonbaitera irits dadin. Ez dugu aurkitu erradio-atributu gisa emateko modurik, beraz, ostalarietan kontuak modu erdi-automatikoan urrunetik sortzeko script berezi bat idatzi dugu. Zeregin hau nahiko bideragarria zen, administratzaile-kontuekin ari ginelako, kopurua ez zen hain handia. Ondoren, erabiltzaileek beharrezko gailuan hasi zuten saioa, eta ondoren beharrezko sarbidea esleitu zitzaien. Zentzuzko galdera bat sortzen da: beharrezkoa al da Cisco ISE erabiltzea horrelako kasuetan? Egia esan, ez - edozein erradio zerbitzariak balioko du, baina bezeroak sistema hau zuenez, funtzio berri bat gehitu diogu.
LANeko hardware eta softwarearen inbentarioa
Behin Cisco ISE bezero bati aurretiazko "pilotu"rik gabe hornitzeko proiektu batean lan egin genuen. Ez zegoen konponbiderako baldintza argirik, gainera sare lau eta ez-segmentatu batekin ari ginen, eta horrek zaildu egiten zuen gure zeregina. Proiektuan zehar, sareak onartzen dituen profil metodo posible guztiak konfiguratu ditugu: NetFlow, DHCP, SNMP, AD integrazioa, etab. Ondorioz, MAR sarbidea sarean saioa hasteko gaitasunarekin konfiguratu zen autentifikazioak huts egiten bazuen. Hau da, autentifikazioak arrakastarik izan ez badu ere, sistemak erabiltzailea sarean sartzen utziko luke, hari buruzko informazioa bildu eta ISE datu-basean erregistratuko luke. Hainbat astetan zehar sareko monitorizazio honek konektatutako sistemak eta pertsonalak ez diren gailuak identifikatzen lagundu zigun eta haiek segmentatzeko ikuspegia garatzen. Honen ostean, agentea lan-estazioetan instalatzeko argitalpena ere konfiguratu dugu, haietan instalatutako softwareari buruzko informazioa biltzeko. Zein da emaitza? Sarea segmentatu eta lan-estazioetatik kendu behar zen software-zerrenda zehaztu ahal izan genuen. Ez dut ezkutatuko erabiltzaileak domeinu taldeetan banatzeko eta sarbide-eskubideak zedarritzeko zeregin gehiagok denbora dezente behar izan zigula, baina modu honetan bezeroak sarean zuen hardwarearen irudi osoa lortu genuen. Bide batez, hau ez zen zaila izan profilak kutxatik kanpo egindako lan onagatik. Beno, profilak laguntzen ez zuen lekuetan, geure buruari begiratu genion, ekipoa konektatuta zegoen switch-ataka nabarmenduz.
Softwarea urrutiko instalazioa lan-estazioetan
Kasu hau nire praktikan bitxienetakoa da. Egun batean, bezero bat laguntza eske etorri zitzaigun: zerbait gaizki joan zen Cisco ISE ezartzean, dena hautsi zen eta beste inork ezin izan zuen sarera sartu. Begiratzen hasi ginen eta honako hau aurkitu genuen. Konpainiak 2000 ordenagailu zituen, eta, domeinu-kontrolatzailerik ezean, administratzaile kontu baten pean kudeatzen ziren. Peering helburuetarako, erakundeak Cisco ISE ezarri zuen. Beharrezkoa zen nolabait ulertzea lehendik zeuden ordenagailuetan antibirus bat instalatuta zegoen, software-ingurunea eguneratuta zegoen, etab. Eta informatika-administratzaileek sareko ekipoak sisteman instalatu zituztenez, logikoa da bertara sartzeko. Nola funtzionatzen duen ikusi eta ordenagailuak itxuratu ondoren, administratzaileei softwarea langileen lan-estazioetan urrunetik instalatzea bururatu zitzaien, bisita pertsonalik gabe. Imajinatu zenbat urrats aurrez dezakezun egunean horrela! Administratzaileek hainbat egiaztapen egin zituzten lan-estazioan fitxategi zehatz bat zegoela C:Program Files direktorioan, eta hori ez bazegoen, konponketa automatikoa abiarazi zen, fitxategiak biltegiratzeko esteka jarraituz, instalazioko .exe fitxategira. Horri esker, erabiltzaile arruntek fitxategi partekatze batera joan eta hortik beharrezko softwarea deskargatu zuten. Zoritxarrez, administratzaileak ez zuen ondo ezagutzen ISE sistema eta bidalketa-mekanismoak kaltetu zituen - politika gaizki idatzi zuen, eta horrek konpontzen parte hartu genuen arazo bat ekarri zuen. Pertsonalki, zinez harritzen nau sormenezko ikuspegi horrek, domeinu-kontrolatzaile bat sortzea askoz merkeagoa eta lan-eskaintza txikiagoa izango litzatekeelako. Baina kontzeptu froga gisa funtzionatu zuen.
Irakurri gehiago Cisco ISE ezartzerakoan sortzen diren Γ±abardura teknikoei buruz nire lankidearen artikuluan .
Artem Bobrikov, Jet Infosystems-eko Informazioaren Segurtasun Zentroko diseinu ingeniaria
afterword:
Argitalpen honek Cisco ISE sistemari buruz hitz egiten duen arren, deskribatutako arazoak NAC soluzioen klase osorako garrantzitsuak dira. Ez da hain garrantzitsua saltzaileen irtenbidea inplementatzeko aurreikusita dagoen - goiko gehienek aplikagarriak izaten jarraituko dute.
Iturria: www.habr.com