Kuinka usein ostat jotain spontaanisti, antautuessasi siistiin mainokseen, ja sitten tämä alunperin haluttu esine kerää pölyä kaapissa, ruokakomerossa tai autotallissa seuraavaan kevätsiivoukseen tai muuttoon asti? Tuloksena on pettymys, joka johtuu perusteettomista odotuksista ja hukkaan heitetystä rahasta. Se on paljon pahempaa, kun tämä tapahtuu yritykselle. Hyvin usein markkinointitemput ovat niin hyviä, että yritykset ostavat kalliin ratkaisun näkemättä kokonaiskuvaa sen sovelluksesta. Samaan aikaan järjestelmän koetestaus auttaa ymmärtämään, kuinka infrastruktuuri valmistetaan integraatioon, mitä toimintoja ja missä määrin tulisi ottaa käyttöön. Näin voit välttää valtavan määrän ongelmia, jotka johtuvat tuotteen valinnasta "sokeasti". Lisäksi toteutus pätevän "pilotin" jälkeen tuo insinööreille paljon vähemmän tuhoutuneita hermosoluja ja harmaita hiuksia. Selvitetään, miksi pilottitestaus on niin tärkeä onnistuneen projektin kannalta, käyttämällä esimerkkiä suositusta työkalusta, jolla valvotaan pääsyä yritysverkkoon - Cisco ISE:tä. Harkitsemme sekä tavallisia että täysin epästandardeja vaihtoehtoja käytännössämme kohtaamamme ratkaisun käyttämiseksi.
Cisco ISE - "Sädepalvelin steroideilla"
Cisco Identity Services Engine (ISE) on alusta, jolla luodaan pääsynhallintajärjestelmä organisaation lähiverkkoon. Asiantuntijayhteisössä tuote sai lempinimen "Radius server on steroids" sen ominaisuuksien vuoksi. Miksi niin? Ratkaisu on pohjimmiltaan Radius-palvelin, johon on liitetty valtava määrä lisäpalveluita ja "temppuja", joiden avulla voit vastaanottaa suuren määrän kontekstuaalista tietoa ja soveltaa tuloksena olevaa tietojoukkoa pääsykäytännöissä.
Kuten mikä tahansa muu Radius-palvelin, Cisco ISE on vuorovaikutuksessa käyttöoikeustason verkkolaitteiden kanssa, kerää tietoja kaikista yritysverkkoon yhdistämisyrityksistä ja sallii tai estää käyttäjiä todennus- ja valtuutuskäytäntöjen perusteella. Mahdollisuus profilointiin, postaukseen ja integrointiin muihin tietoturvaratkaisuihin mahdollistaa kuitenkin huomattavasti monimutkaisen valtuutuspolitiikan logiikkaa ja siten ratkaisevan varsin vaikeita ja mielenkiintoisia ongelmia.
Käyttöönottoa ei voi pilotoida: miksi tarvitset testausta?
Pilottitestauksen arvo on osoittaa järjestelmän kaikki ominaisuudet tietyn organisaation tietyssä infrastruktuurissa. Uskon, että Cisco ISE:n pilotointi ennen käyttöönottoa hyödyttää kaikkia projektissa mukana olevia, ja tästä syystä.
Tämä antaa integraattoreille selkeän käsityksen asiakkaan odotuksista ja auttaa luomaan oikean teknisen spesifikaation, joka sisältää paljon enemmän yksityiskohtia kuin yleinen lause "varmista, että kaikki on hyvin". ”Pilotin” avulla voimme tuntea asiakkaan kaiken tuskan, ymmärtää, mitkä tehtävät ovat hänelle ensisijaisia ja mitkä toissijaisia. Meille tämä on erinomainen tilaisuus selvittää etukäteen, mitä laitteita organisaatiossa käytetään, miten toteutus tapahtuu, millä kohteilla, missä ne sijaitsevat jne.
Pilottitestauksen aikana asiakkaat näkevät todellisen järjestelmän toiminnassa, tutustuvat sen käyttöliittymään, voivat tarkistaa sen yhteensopivuuden olemassa olevan laitteistonsa kanssa ja saada kokonaisvaltaisen käsityksen siitä, miten ratkaisu toimii täydellisen käyttöönoton jälkeen. "Pilot" on juuri se hetki, jolloin näet kaikki sudenkuopat, joita todennäköisesti kohtaat integraation aikana, ja voit päättää, kuinka monta lisenssiä sinun on ostettava.
Mikä voi "ponnahtaa esiin" "pilotin" aikana
Joten miten valmistaudut oikein Cisco ISE:n käyttöönottoon? Kokemuksemme perusteella olemme laskeneet 4 pääkohtaa, jotka on tärkeää ottaa huomioon järjestelmän pilottitestauksen aikana.
Muoto tekijä
Ensin sinun on päätettävä, missä muodossa järjestelmä toteutetaan: fyysinen vai virtuaalinen ylälinja. Jokaisella vaihtoehdolla on etuja ja haittoja. Esimerkiksi fyysisen ylälinjan vahvuus on sen ennustettava suorituskyky, mutta emme saa unohtaa, että tällaiset laitteet vanhenevat ajan myötä. Virtuaaliset ylälinjat ovat vähemmän ennustettavissa, koska... riippuvat laitteistosta, jolla virtualisointiympäristö on otettu käyttöön, mutta niillä on vakava etu: jos tukea on saatavilla, ne voidaan aina päivittää uusimpaan versioon.
Onko verkkolaitteesi yhteensopiva Cisco ISE:n kanssa?
Tietenkin ihanteellinen skenaario olisi kytkeä kaikki laitteet järjestelmään kerralla. Tämä ei kuitenkaan ole aina mahdollista, koska monet organisaatiot käyttävät edelleen hallitsemattomia kytkimiä tai kytkimiä, jotka eivät tue joitain Cisco ISE:tä käyttävistä teknologioista. Muuten, emme puhu vain kytkimistä, vaan ne voivat olla myös langattomia verkko-ohjaimia, VPN-keskittimiä ja muita laitteita, joihin käyttäjät muodostavat yhteyden. Käytännössäni on ollut tapauksia, joissa asiakas päivityksen jälkeen lähes koko pääsytason kytkimien kaluston nykyaikaisiin Ciscon laitteisiin. Epämiellyttävien yllätysten välttämiseksi kannattaa etukäteen selvittää tuettujen laitteiden osuus.
Ovatko kaikki laitteesi vakiona?
Kaikissa verkoissa on tyypillisiä laitteita, joihin yhdistämisen ei pitäisi olla vaikeaa: työasemat, IP-puhelimet, Wi-Fi-tukiasemat, videokamerat ja niin edelleen. Mutta tapahtuu myös niin, että LAN-verkkoon on kytkettävä epätyypillisiä laitteita, esimerkiksi RS232/Ethernet-väyläsignaalimuuntimet, keskeytymättömät virransyöttöliitännät, erilaiset tekniset laitteet jne. On tärkeää määrittää tällaisten laitteiden luettelo etukäteen , jotta sinulla on jo toteutusvaiheessa käsitys siitä, kuinka teknisesti ne toimivat Cisco ISE:n kanssa.
Rakentavaa keskustelua IT-asiantuntijoiden kanssa
Cisco ISE -asiakkaat ovat usein tietoturvaosastoja, kun taas IT-osastot vastaavat yleensä pääsykerroksen kytkimien ja Active Directoryn määrittämisestä. Siksi tuottava vuorovaikutus tietoturva- ja IT-asiantuntijoiden välillä on yksi tärkeimmistä edellytyksistä järjestelmän kivuttomalle käyttöönotolle. Jos jälkimmäiset kokevat integraation vihamielisyyteen, kannattaa heille selittää, kuinka ratkaisusta on hyötyä IT-osastolle.
5 parasta Cisco ISE -käyttötapausta
Kokemuksemme mukaan järjestelmän tarvittava toimivuus tunnistetaan myös pilottitestausvaiheessa. Alla on joitain ratkaisun suosituimpia ja vähemmän yleisiä käyttötapauksia.
Suojattu LAN-yhteys johdolla EAP-TLS:n avulla
Kuten testaajien tutkimustulokset osoittavat, hyökkääjät käyttävät melko usein yrityksen verkkoon tunkeutumiseen tavallisia pistorasioita, joihin kytketään tulostimia, puhelimia, IP-kameroita, Wi-Fi-pisteitä ja muita ei-henkilökohtaisia verkkolaitteita. Siksi, vaikka verkkoyhteys perustuu dot1x-tekniikkaan, mutta vaihtoehtoisia protokollia käytetään ilman käyttäjän todennusvarmenteita, on suuri todennäköisyys onnistuneelle hyökkäykselle istunnon sieppauksella ja raa'alla voimalla. Cisco ISE:n tapauksessa varmenteen varastaminen on paljon vaikeampaa - tätä varten hakkerit tarvitsevat paljon enemmän laskentatehoa, joten tämä tapaus on erittäin tehokas.
Dual-SSID langaton yhteys
Tämän skenaarion ydin on käyttää kahta verkkotunnistetta (SSID). Yhtä heistä voidaan ehdollisesti kutsua "vieraaksi". Sen kautta sekä vieraat että yrityksen työntekijät pääsevät langattomaan verkkoon. Kun he yrittävät muodostaa yhteyden, viimeksi mainitut ohjataan erityiseen portaaliin, jossa provisiointi tapahtuu. Toisin sanoen käyttäjälle myönnetään varmenne ja hänen henkilökohtainen laite on määritetty muodostamaan automaattisesti uudelleen yhteys toiseen SSID:hen, joka jo käyttää EAP-TLS:ää kaikilla ensimmäisen tapauksen eduilla.
MAC-todennuksen ohitus ja profilointi
Toinen suosittu käyttötapa on automaattisesti tunnistaa yhdistettävän laitteen tyyppi ja soveltaa siihen oikeat rajoitukset. Miksi hän on kiinnostava? Tosiasia on, että edelleen on melko paljon laitteita, jotka eivät tue 802.1X-protokollaa käyttävää todennusta. Siksi tällaiset laitteet on sallittava verkkoon MAC-osoitteella, joka on melko helppo väärentää. Tässä Cisco ISE tulee apuun: järjestelmän avulla voit nähdä, miten laite käyttäytyy verkossa, luoda sen profiilin ja liittää sen joukkoon muita laitteita, esimerkiksi IP-puhelimeen ja työasemaan. . Jos hyökkääjä yrittää huijata MAC-osoitetta ja muodostaa yhteyden verkkoon, järjestelmä näkee laitteen profiilin muuttuneen, ilmoittaa epäilyttävästä toiminnasta eikä päästä epäilyttävää käyttäjää verkkoon.
EAP-ketjutus
EAP-ketjutustekniikka sisältää toimivan tietokoneen ja käyttäjätilin peräkkäisen todennuksen. Tämä tapaus on yleistynyt, koska... Monet yritykset eivät edelleenkään kannusta työntekijöiden henkilökohtaisten laitteiden yhdistämistä yrityksen lähiverkkoon. Tällä autentikointimenetelmällä voidaan tarkistaa, onko tietty työasema toimialueen jäsen, ja jos tulos on negatiivinen, käyttäjää joko ei päästetä verkkoon tai hän pääsee sisään, mutta tietyin edellytyksin rajoituksia.
teeskentelyn
Tässä tapauksessa on kyse työasemaohjelmiston tietoturvavaatimustenmukaisuuden arvioinnista. Tämän tekniikan avulla voit tarkistaa, onko työaseman ohjelmisto päivitetty, onko siihen asennettu turvatoimia, onko isäntäpalomuuri määritetty jne. Mielenkiintoista on, että tämän tekniikan avulla voit myös ratkaista muita tehtäviä, jotka eivät liity turvallisuuteen, esimerkiksi tarkistamalla tarvittavien tiedostojen olemassaolon tai asentamalla järjestelmän laajuisia ohjelmistoja.
Cisco ISE:n harvinaisempia käyttötapauksia ovat pääsynhallinta päästä päähän verkkotunnuksen todennus (Passive ID), SGT-pohjainen mikrosegmentointi ja suodatus sekä integrointi mobiililaitteiden hallintajärjestelmiin (MDM) ja haavoittuvuusskannereihin.
Epätyypilliset projektit: miksi muuten saatat tarvita Cisco ISE:tä tai 3 harvinaista tapausta käytännöstämme
Pääsyn valvonta Linux-pohjaisiin palvelimiin
Kerran olimme ratkaisemassa melko ei-triviaalia tapausta yhdelle asiakkaalle, jolla oli jo Cisco ISE -järjestelmä käytössä: meidän piti löytää tapa hallita käyttäjien toimintoja (enimmäkseen järjestelmänvalvojia) palvelimilla, joihin on asennettu Linux. Etsiessämme vastausta saimme idean käyttää ilmaista PAM Radius Module -ohjelmistoa, jonka avulla voit kirjautua Linuxia käyttäville palvelimille todennuksella ulkoisella sädepalvelimella. Kaikki tässä suhteessa olisi hyvä, jos ei yhdelle "mutta": sädepalvelin, joka lähettää vastauksen todennuspyyntöön, antaa vain tilin nimen ja tuloksen - arvioi hyväksytty tai arvioi hylätty. Sillä välin Linuxin valtuutusta varten sinun on määritettävä ainakin yksi lisäparametri - kotihakemisto, jotta käyttäjä ainakin pääsee jonnekin. Emme löytäneet tapaa antaa tätä sädeattribuutiksi, joten kirjoitimme erityisen komentosarjan tilien luomiseksi etäkäyttöön isännissä puoliautomaattisessa tilassa. Tämä tehtävä oli varsin toteutettavissa, koska olimme tekemisissä ylläpitäjän tileillä, joiden määrä ei ollut niin suuri. Seuraavaksi käyttäjät kirjautuivat vaaditulle laitteelle, minkä jälkeen heille annettiin tarvittavat käyttöoikeudet. Herää järkevä kysymys: onko Cisco ISE:n käyttö tarpeellista tällaisissa tapauksissa? Itse asiassa ei - mikä tahansa sädepalvelin käy, mutta koska asiakkaalla oli jo tämä järjestelmä, lisäsimme siihen uuden ominaisuuden.
Lähiverkon laitteistojen ja ohjelmistojen luettelo
Työskentelimme kerran projektin parissa toimittaaksemme Cisco ISE:n yhdelle asiakkaalle ilman alustavaa "pilottia". Ratkaisulle ei ollut selkeitä vaatimuksia, ja kyseessä oli tasainen, segmentoimaton verkko, mikä vaikeutti tehtäväämme. Projektin aikana konfiguroimme kaikki mahdolliset verkon tukemat profilointitavat: NetFlow, DHCP, SNMP, AD-integraatio jne. Tämän seurauksena MAR-käyttö konfiguroitiin siten, että se pystyy kirjautumaan verkkoon, jos todennus epäonnistuu. Eli vaikka autentikointi ei onnistuisi, järjestelmä päästäisi silti käyttäjän verkkoon, kerääisi hänestä tietoja ja tallentaisi ne ISE-tietokantaan. Tämä usean viikon ajan jatkunut verkon seuranta auttoi meitä tunnistamaan yhdistetyt järjestelmät ja ei-henkilökohtaiset laitteet ja kehittämään lähestymistapaa niiden segmentointiin. Tämän jälkeen konfiguroimme lisäksi postauksen asentamaan agentti työasemille kerätäksemme tietoja niille asennetuista ohjelmistoista. Mikä on tulos? Pystyimme segmentoimaan verkon ja määrittämään luettelon ohjelmistoista, jotka piti poistaa työasemilta. En salaile, että käyttäjien jakaminen verkkotunnusryhmiin ja käyttöoikeuksien rajaaminen vei meiltä melko paljon aikaa, mutta näin saimme kokonaiskuvan siitä, mitä laitteita asiakkaalla oli verkossa. Muuten, tämä ei ollut vaikeaa johtuen hyvän profiloinnin laatikosta. No, missä profilointi ei auttanut, katsoimme itse ja korostimme kytkinporttia, johon laite oli kytketty.
Ohjelmistojen etäasennus työasemille
Tämä tapaus on yksi oudoimmista käytännössäni. Eräänä päivänä asiakas tuli luoksemme ja huusi apua - jotain meni pieleen Cisco ISE:n käyttöönotossa, kaikki meni rikki, eikä kukaan muu päässyt verkkoon. Aloimme tutkia asiaa ja saimme selville seuraavaa. Yrityksellä oli 2000 XNUMX tietokonetta, joita toimialueen ohjaimen puuttuessa hallittiin järjestelmänvalvojan tilillä. Peering-toimintaa varten organisaatio otti käyttöön Cisco ISE:n. Piti jotenkin ymmärtää, onko olemassa oleviin tietokoneisiin asennettu virustorjunta, onko ohjelmistoympäristö päivitetty jne. Ja koska IT-järjestelmänvalvojat asensivat verkkolaitteita järjestelmään, on loogista, että heillä oli pääsy siihen. Nähtyään, miten se toimii ja viimeisteltyään tietokoneitaan, järjestelmänvalvojat päättivät asentaa ohjelmiston työntekijöiden työasemille etänä ilman henkilökohtaisia vierailuja. Kuvittele kuinka monta askelta voit säästää päivässä tällä tavalla! Ylläpitäjät tekivät useita tarkistuksia työasemalle tietyn tiedoston olemassaolon varalta C:Program Files -hakemistossa, ja jos sitä ei ollut, käynnistettiin automaattinen korjaus seuraamalla tiedostojen tallennustilaan johtavaa linkkiä asennuksen .exe-tiedostoon. Tämä antoi tavalliselle käyttäjälle mahdollisuuden siirtyä jaettuun tiedostoon ja ladata sieltä tarvittavat ohjelmistot. Valitettavasti järjestelmänvalvoja ei tuntenut ISE-järjestelmää hyvin ja vahingoitti kirjausmekanismeja - hän kirjoitti politiikan väärin, mikä johti ongelmaan, jonka ratkaisemisessa olimme mukana. Henkilökohtaisesti olen vilpittömästi yllättynyt tällaisesta luovasta lähestymistavasta, koska verkkotunnuksen ohjaimen luominen olisi paljon halvempaa ja vähemmän työvoimavaltaista. Mutta konseptin todisteena se toimi.
Lue lisää Cisco ISE:n käyttöönoton teknisistä vivahteista kollegani artikkelista .
Artem Bobrikov, Jet Infosystemsin tietoturvakeskuksen suunnitteluinsinööri
loppusanat:
Huolimatta siitä, että tämä viesti puhuu Cisco ISE -järjestelmästä, kuvatut ongelmat koskevat koko NAC-ratkaisujen luokkaa. Sillä ei ole niin tärkeää, minkä toimittajan ratkaisua suunnitellaan käyttöön otettavaksi - suurin osa yllä olevista pysyy voimassa.
Lähde: will.com