هر چند وقت یکبار چیزی را بهطور خودجوش خریداری میکنید، تسلیم یک تبلیغ جالب میشوید، و سپس این کالای مورد نظر اولیه تا تمیز کردن یا جابجایی بهار بعدی گرد و غبار را در کمد، انبار یا گاراژ جمعآوری میکند؟ نتیجه ناامیدی به دلیل انتظارات ناروا و هدر رفت پول است. وقتی این اتفاق برای یک تجارت بیفتد خیلی بدتر است. اغلب، ترفندهای بازاریابی آنقدر خوب هستند که شرکت ها یک راه حل گران قیمت را بدون دیدن تصویر کامل از کاربرد آن خریداری می کنند. در همین حال، آزمایش آزمایشی سیستم به درک چگونگی آماده سازی زیرساخت برای یکپارچه سازی، چه عملکردی و تا چه حد باید پیاده سازی شود، کمک می کند. به این ترتیب می توانید از تعداد زیادی از مشکلات ناشی از انتخاب یک محصول "کوکورانه" جلوگیری کنید. علاوه بر این، پیاده سازی پس از یک "خلبان" ماهر، سلول های عصبی و موهای خاکستری کمتری را برای مهندسان به ارمغان می آورد. بیایید بفهمیم که چرا آزمایش آزمایشی برای یک پروژه موفق بسیار مهم است، با استفاده از مثال یک ابزار محبوب برای کنترل دسترسی به یک شبکه شرکتی - Cisco ISE. بیایید هر دو گزینه استاندارد و کاملا غیر استاندارد را برای استفاده از راه حلی که در عمل با آن مواجه شدیم در نظر بگیریم.
Cisco ISE - "سرور Radius on steroids"
Cisco Identity Services Engine (ISE) بستری برای ایجاد یک سیستم کنترل دسترسی برای شبکه محلی یک سازمان است. در جامعه متخصص، این محصول به دلیل خواص آن به "سرور Radius on steroids" لقب داده شد. چرا اینطور است؟ در اصل، راه حل یک سرور Radius است که تعداد زیادی خدمات اضافی و "ترفندها" به آن متصل شده است که به شما امکان می دهد مقدار زیادی از اطلاعات متنی را دریافت کنید و مجموعه داده های حاصل را در سیاست های دسترسی اعمال کنید.
مانند هر سرور Radius دیگری، Cisco ISE با تجهیزات شبکه سطح دسترسی تعامل دارد، اطلاعات مربوط به تمام تلاشها برای اتصال به شبکه شرکتی را جمعآوری میکند و بر اساس سیاستهای احراز هویت و مجوز، به کاربران اجازه دسترسی یا رد کردن LAN را میدهد. با این حال، امکان پروفایل، ارسال و ادغام با سایر راه حل های امنیت اطلاعات این امکان را فراهم می کند تا منطق خط مشی مجوز را به طور قابل توجهی پیچیده کند و در نتیجه مشکلات بسیار دشوار و جالبی را حل کند.
پیاده سازی را نمی توان آزمایشی کرد: چرا به آزمایش نیاز دارید؟
ارزش آزمایش آزمایشی نشان دادن تمام قابلیت های سیستم در زیرساخت خاص یک سازمان خاص است. من معتقدم که اجرای آزمایشی Cisco ISE قبل از اجرا به نفع همه کسانی است که در پروژه مشارکت دارند، و دلیل آن اینجاست.
این به یکپارچهسازان ایده روشنی از انتظارات مشتری میدهد و به ایجاد یک مشخصات فنی صحیح کمک میکند که حاوی جزئیات بسیار بیشتری نسبت به عبارت رایج "مطمئن شوید همه چیز خوب است" باشد. "Pilot" به ما این امکان را می دهد که تمام دردهای مشتری را احساس کنیم، بفهمیم کدام وظایف برای او اولویت دارند و کدام ثانویه. برای ما، این یک فرصت عالی است تا از قبل بفهمیم از چه تجهیزاتی در سازمان استفاده می شود، چگونه اجرا می شود، در چه سایت هایی، در کجا قرار دارند و غیره.
در طول آزمایش آزمایشی، مشتریان سیستم واقعی را در عمل مشاهده میکنند، با رابط آن آشنا میشوند، میتوانند بررسی کنند که آیا با سختافزار موجود خود سازگار است یا خیر، و درک جامعی از نحوه عملکرد راهحل پس از اجرای کامل به دست آورند. "Pilot" دقیقاً همان لحظه ای است که می توانید تمام مشکلاتی را که احتمالاً در طول ادغام با آنها روبرو خواهید شد را ببینید و تصمیم بگیرید که چند مجوز برای خرید نیاز دارید.
چه چیزی می تواند در حین "خلبان" ظاهر شود
بنابراین، چگونه به درستی برای پیاده سازی Cisco ISE آماده می شوید؟ با توجه به تجربه خود، ما 4 نکته اصلی را برشمردیم که در هنگام آزمایش آزمایشی سیستم باید در نظر گرفته شود.
فاکتور فرم
ابتدا باید تصمیم بگیرید که سیستم در چه فرمی پیاده سازی شود: آپلاین فیزیکی یا مجازی. هر گزینه دارای مزایا و معایبی است. به عنوان مثال، قدرت یک upline فیزیکی عملکرد قابل پیش بینی آن است، اما نباید فراموش کنیم که چنین دستگاه هایی به مرور زمان منسوخ می شوند. آپلاین های مجازی کمتر قابل پیش بینی هستند زیرا... بستگی به سخت افزاری دارد که محیط مجازی سازی روی آن مستقر شده است، اما یک مزیت جدی دارند: اگر پشتیبانی در دسترس باشد، همیشه می توان آنها را به آخرین نسخه به روز کرد.
آیا تجهیزات شبکه شما با Cisco ISE سازگار است؟
البته، سناریوی ایده آل این است که همه تجهیزات را به یکباره به سیستم متصل کنید. با این حال، این همیشه ممکن نیست، زیرا بسیاری از سازمانها هنوز از سوئیچهای مدیریت نشده یا سوئیچهایی استفاده میکنند که برخی از فناوریهایی را که Cisco ISE را اجرا میکنند، پشتیبانی نمیکنند. به هر حال، ما فقط در مورد سوئیچ ها صحبت نمی کنیم، بلکه می تواند کنترل کننده های شبکه بی سیم، متمرکز کننده های VPN و هر تجهیزات دیگری باشد که کاربران به آن متصل می شوند. در عمل من، مواردی وجود داشته است که پس از نمایش سیستم برای پیاده سازی کامل، مشتری تقریباً کل ناوگان سوئیچ های سطح دسترسی را به تجهیزات مدرن سیسکو ارتقا داده است. برای جلوگیری از شگفتی های ناخوشایند، ارزش دارد که از قبل نسبت تجهیزات پشتیبانی نشده را بدانید.
آیا همه دستگاه های شما استاندارد هستند؟
هر شبکه ای دارای دستگاه های معمولی است که اتصال به آن ها نباید مشکل باشد: ایستگاه های کاری، تلفن های IP، نقاط دسترسی Wi-Fi، دوربین های ویدئویی و غیره. اما همچنین اتفاق می افتد که دستگاه های غیر استاندارد باید به شبکه LAN متصل شوند، به عنوان مثال، مبدل های سیگنال گذرگاه RS232/Ethernet، رابط های منبع تغذیه بدون وقفه، تجهیزات مختلف تکنولوژیکی و غیره. تعیین لیست این گونه دستگاه ها از قبل مهم است. ، به طوری که در مرحله پیاده سازی شما از قبل متوجه شده اید که آنها چگونه از نظر فنی با Cisco ISE کار خواهند کرد.
گفتگوی سازنده با متخصصان فناوری اطلاعات
مشتریان ISE سیسکو اغلب بخشهای امنیتی هستند، در حالی که بخشهای فناوری اطلاعات معمولاً مسئول پیکربندی سوئیچهای لایه دسترسی و Active Directory هستند. بنابراین تعامل سازنده بین متخصصان امنیت و متخصصان فناوری اطلاعات یکی از شرایط مهم اجرای بدون دردسر سیستم است. اگر دومی ها ادغام با دشمنی را درک کنند، ارزش دارد که به آنها توضیح دهیم که چگونه راه حل برای بخش فناوری اطلاعات مفید خواهد بود.
5 مورد برتر استفاده سیسکو ISE
در تجربه ما، عملکرد مورد نیاز سیستم نیز در مرحله آزمایش آزمایشی شناسایی شده است. در زیر برخی از محبوب ترین و کمتر رایج ترین موارد استفاده برای راه حل آورده شده است.
دسترسی ایمن به LAN از طریق سیم با EAP-TLS
همانطور که نتایج تحقیقات نفوذگران ما نشان می دهد، اغلب برای نفوذ به شبکه یک شرکت، مهاجمان از سوکت های معمولی استفاده می کنند که چاپگرها، تلفن ها، دوربین های IP، نقاط Wi-Fi و سایر دستگاه های شبکه غیر شخصی به آنها متصل هستند. بنابراین، حتی اگر دسترسی به شبکه مبتنی بر فناوری dot1x باشد، اما پروتکلهای جایگزین بدون استفاده از گواهیهای احراز هویت کاربر استفاده شوند، احتمال حمله موفقیتآمیز با رهگیری جلسه و گذرواژههای brute-force زیاد است. در مورد Cisco ISE، سرقت گواهی بسیار دشوارتر خواهد بود - برای این کار، هکرها به قدرت محاسباتی بسیار بیشتری نیاز دارند، بنابراین این مورد بسیار موثر است.
دسترسی بی سیم دوگانه SSID
ماهیت این سناریو استفاده از 2 شناسه شبکه (SSID) است. یکی از آنها را می توان به طور مشروط "مهمان" نامید. از طریق آن، هم مهمانان و هم کارکنان شرکت می توانند به شبکه بی سیم دسترسی داشته باشند. هنگامی که آنها سعی می کنند وصل شوند، دومی ها به یک پورتال ویژه هدایت می شوند که در آن تامین انجام می شود. یعنی برای کاربر گواهی صادر می شود و دستگاه شخصی او پیکربندی می شود تا به طور خودکار به SSID دوم متصل شود، که قبلاً از EAP-TLS با تمام مزایای مورد اول استفاده می کند.
دور زدن احراز هویت MAC و پروفایل
یکی دیگر از موارد استفاده محبوب تشخیص خودکار نوع دستگاه در حال اتصال و اعمال محدودیت های صحیح برای آن است. چرا او جالب است؟ واقعیت این است که هنوز دستگاه های زیادی وجود دارند که از احراز هویت با استفاده از پروتکل 802.1X پشتیبانی نمی کنند. بنابراین، چنین دستگاه هایی باید با استفاده از یک آدرس MAC وارد شبکه شوند، که جعل کردن آن بسیار آسان است. اینجاست که Cisco ISE به کمک می آید: با کمک سیستم، می توانید نحوه رفتار یک دستگاه را در شبکه مشاهده کنید، مشخصات آن را ایجاد کنید و آن را به گروهی از دستگاه های دیگر، به عنوان مثال، یک تلفن IP و یک ایستگاه کاری اختصاص دهید. . اگر یک مهاجم سعی کند یک آدرس MAC را جعل کند و به شبکه متصل شود، سیستم مشاهده می کند که نمایه دستگاه تغییر کرده است، رفتار مشکوکی را نشان می دهد و به کاربر مشکوک اجازه ورود به شبکه را نمی دهد.
EAP-Chaining
فناوری EAP-Chaining شامل احراز هویت متوالی رایانه شخصی و حساب کاربری است. این پرونده به دلیل ... بسیاری از شرکتها هنوز اتصال ابزارهای شخصی کارمندان را به شبکه LAN شرکت تشویق نمیکنند. با استفاده از این رویکرد برای احراز هویت، می توان بررسی کرد که آیا یک ایستگاه کاری خاص عضو دامنه است یا خیر و در صورت منفی بودن نتیجه، کاربر یا اجازه ورود به شبکه را نخواهد داشت، یا می تواند وارد شود، اما با قطعیت محدودیت های.
وضعیت قرار گرفتن
این مورد در مورد ارزیابی انطباق نرم افزار ایستگاه کاری با الزامات امنیت اطلاعات است. با استفاده از این فناوری می توانید بررسی کنید که آیا نرم افزار روی ایستگاه کاری به روز شده است، آیا اقدامات امنیتی روی آن نصب شده است، آیا فایروال میزبان پیکربندی شده است یا خیر. جالب اینجاست که این فناوری همچنین به شما امکان می دهد تا سایر وظایف غیر مرتبط با امنیت را نیز حل کنید، به عنوان مثال، بررسی وجود فایل های لازم یا نصب نرم افزار در سطح سیستم.
موارد استفاده کمتر رایج برای Cisco ISE شامل کنترل دسترسی با احراز هویت دامنه پایان به انتها (شناسه غیرفعال)، تقسیم بندی و فیلترینگ میکرو مبتنی بر SGT، و همچنین ادغام با سیستم های مدیریت دستگاه تلفن همراه (MDM) و اسکنرهای آسیب پذیری است.
پروژه های غیر استاندارد: دیگر چرا ممکن است به Cisco ISE یا 3 مورد نادر از محل کار ما نیاز داشته باشید
کنترل دسترسی به سرورهای مبتنی بر لینوکس
هنگامی که ما در حال حل یک مورد غیر پیش پا افتاده برای یکی از مشتریانی بودیم که قبلاً سیستم Cisco ISE را پیاده سازی کرده بود: باید راهی برای کنترل اقدامات کاربر (عمدتاً مدیران) در سرورهایی با لینوکس نصب شده پیدا کنیم. در جستجوی پاسخ، به ایده استفاده از نرم افزار رایگان PAM Radius Module رسیدیم که به شما امکان می دهد با احراز هویت روی سرور شعاع خارجی وارد سرورهایی شوید که لینوکس را اجرا می کنند. همه چیز در این زمینه خوب خواهد بود، اگر نه برای یک "اما": سرور شعاع، با ارسال پاسخ به درخواست احراز هویت، فقط نام حساب و نتیجه را می دهد - ارزیابی پذیرفته شده یا ارزیابی رد شده است. در همین حال، برای مجوز در لینوکس، شما باید حداقل یک پارامتر دیگر را اختصاص دهید - فهرست خانه، تا کاربر حداقل به جایی برسد. ما راهی برای دادن این ویژگی به عنوان یک ویژگی شعاع پیدا نکردیم، بنابراین یک اسکریپت ویژه برای ایجاد اکانت از راه دور در هاست در حالت نیمه خودکار نوشتیم. این کار کاملاً امکان پذیر بود، زیرا ما با حساب های administrator سروکار داشتیم که تعداد آنها چندان زیاد نبود. در مرحله بعد، کاربران به دستگاه مورد نیاز وارد شدند و پس از آن دسترسی لازم به آنها اختصاص داده شد. یک سوال منطقی مطرح می شود: آیا استفاده از Cisco ISE در چنین مواردی ضروری است؟ در واقع، نه - هر سرور شعاع کاری انجام می دهد، اما از آنجایی که مشتری قبلاً این سیستم را داشت، ما به سادگی یک ویژگی جدید به آن اضافه کردیم.
موجودی سخت افزار و نرم افزار در شبکه LAN
ما یک بار روی پروژه ای کار کردیم تا Cisco ISE را به یک مشتری بدون "پایلوت" اولیه عرضه کنیم. هیچ الزامات روشنی برای راه حل وجود نداشت، به علاوه ما با یک شبکه مسطح و غیرقطعی روبرو بودیم که کار ما را پیچیده می کرد. در طول پروژه، ما تمام روشهای نمایهسازی ممکن را که شبکه پشتیبانی میکند، پیکربندی کردیم: NetFlow، DHCP، SNMP، ادغام AD و غیره. در نتیجه، دسترسی MAR با قابلیت ورود به شبکه در صورت عدم موفقیت احراز هویت پیکربندی شد. یعنی حتی اگر احراز هویت موفقیت آمیز نبود، سیستم همچنان به کاربر اجازه ورود به شبکه را می دهد، اطلاعات مربوط به او را جمع آوری می کند و در پایگاه داده ISE ثبت می کند. این نظارت شبکه طی چند هفته به ما کمک کرد تا سیستمهای متصل و دستگاههای غیرشخصی را شناسایی کنیم و رویکردی برای تقسیمبندی آنها ایجاد کنیم. پس از این، ما همچنین پست را برای نصب عامل در ایستگاه های کاری به منظور جمع آوری اطلاعات در مورد نرم افزار نصب شده روی آنها پیکربندی کردیم. نتیجه چیست؟ ما توانستیم شبکه را بخش بندی کنیم و لیست نرم افزارهایی را که باید از ایستگاه های کاری حذف شوند، تعیین کنیم. پنهان نمیکنم که کارهای بعدی توزیع کاربران در گروههای دامنه و مشخص کردن حقوق دسترسی زمان زیادی را برای ما گرفت، اما به این ترتیب ما تصویر کاملی از سختافزاری که مشتری در شبکه دارد به دست آوردیم. به هر حال، به دلیل کار خوب نمایه سازی خارج از جعبه، این کار دشواری نبود. خوب، جایی که پروفایل کمکی نکرد، ما به خود نگاه کردیم و پورت سوئیچ را که تجهیزات به آن متصل شده بود برجسته کردیم.
نصب از راه دور نرم افزار بر روی ایستگاه های کاری
این مورد یکی از عجیب ترین موارد در تمرین من است. یک روز، یک مشتری با فریاد کمک نزد ما آمد - هنگام اجرای Cisco ISE مشکلی پیش آمد، همه چیز خراب شد و هیچ کس دیگری نمی توانست به شبکه دسترسی پیدا کند. ما شروع به بررسی آن کردیم و متوجه موارد زیر شدیم. این شرکت دارای 2000 کامپیوتر بود که در صورت عدم وجود کنترلر دامنه، تحت یک حساب کاربری مدیریت می شدند. به منظور همتاسازی، سازمان سیسکو ISE را پیاده سازی کرد. لازم بود به نحوی بفهمیم که آیا آنتی ویروس بر روی رایانه های شخصی موجود نصب شده است یا خیر، آیا محیط نرم افزار به روز شده است و غیره. و از آنجایی که مدیران IT تجهیزات شبکه را در سیستم نصب کرده اند، منطقی است که به آن دسترسی داشته باشند. پس از مشاهده نحوه کارکرد و نمایش رایانه های شخصی خود، مدیران به این فکر افتادند که نرم افزار را از راه دور و بدون بازدید شخصی روی ایستگاه های کاری کارمندان نصب کنند. فقط تصور کنید چند قدم در روز می توانید از این طریق صرفه جویی کنید! مدیران چندین بررسی ایستگاه کاری را برای وجود یک فایل خاص در دایرکتوری C:Program Files انجام دادند و در صورت عدم وجود آن، با دنبال کردن پیوندی که منجر به ذخیره سازی فایل به فایل exe نصب می شد، اصلاح خودکار راه اندازی شد. این به کاربران عادی این امکان را می داد تا به یک اشتراک فایل بروند و نرم افزار لازم را از آنجا دانلود کنند. متأسفانه ادمین سیستم ISE را به خوبی نمی شناخت و به مکانیسم های ارسال آسیب زد - او خط مشی را اشتباه نوشت که منجر به مشکلی شد که ما درگیر حل آن بودیم. من شخصاً از چنین رویکرد خلاقانه ای شگفت زده شده ام، زیرا ایجاد یک کنترل کننده دامنه بسیار ارزان تر و کم هزینه تر خواهد بود. اما به عنوان یک اثبات مفهوم کار کرد.
در مقاله همکارم درباره تفاوتهای فنی که هنگام پیادهسازی Cisco ISE ایجاد میشود، بیشتر بخوانید .
آرتم بوبریکوف، مهندس طراحی مرکز امنیت اطلاعات در جت اینفوسیستمز
پس از کلمه:
با وجود این واقعیت که این پست در مورد سیستم Cisco ISE صحبت می کند، مشکلات شرح داده شده برای کل کلاس راه حل های NAC مرتبط هستند. خیلی مهم نیست که کدام راه حل فروشنده برای پیاده سازی برنامه ریزی شده است - بیشتر موارد فوق قابل اجرا خواهند بود.
منبع: www.habr.com