À quelle fréquence achetez-vous quelque chose spontanément, en succombant à une publicité sympa, et ensuite cet article initialement désiré prend la poussière dans un placard, un garde-manger ou un garage jusqu'au prochain ménage de printemps ou au prochain déménagement ? Le résultat est une déception due à des attentes injustifiées et à un gaspillage d’argent. C'est bien pire quand cela arrive à une entreprise. Très souvent, les astuces marketing sont si efficaces que les entreprises achètent une solution coûteuse sans avoir une idée complète de son application. Parallèlement, les tests d'essai du système permettent de comprendre comment préparer l'infrastructure pour l'intégration, quelles fonctionnalités et dans quelle mesure doivent être mises en œuvre. De cette façon, vous pouvez éviter un grand nombre de problèmes dus au choix « à l’aveugle » d’un produit. De plus, la mise en œuvre après un « pilote » compétent apportera aux ingénieurs beaucoup moins de cellules nerveuses détruites et de cheveux gris. Voyons pourquoi les tests pilotes sont si importants pour un projet réussi, en utilisant l'exemple d'un outil populaire pour contrôler l'accès à un réseau d'entreprise - Cisco ISE. Considérons les options standard et totalement non standard pour utiliser la solution que nous avons rencontrée dans notre pratique.
Cisco ISE - « Serveur Radius sous stéroïdes »
Cisco Identity Services Engine (ISE) est une plate-forme permettant de créer un système de contrôle d'accès pour le réseau local d'une organisation. Dans la communauté des experts, le produit était surnommé « Serveur Radius sous stéroïdes » pour ses propriétés. Pourquoi donc? Essentiellement, la solution est un serveur Radius, auquel un grand nombre de services et « astuces » supplémentaires ont été attachés, vous permettant de recevoir une grande quantité d'informations contextuelles et d'appliquer l'ensemble de données résultant dans les politiques d'accès.
Comme tout autre serveur Radius, Cisco ISE interagit avec les équipements réseau de niveau d'accès, collecte des informations sur toutes les tentatives de connexion au réseau d'entreprise et, en fonction des politiques d'authentification et d'autorisation, autorise ou refuse l'accès des utilisateurs au réseau local. Cependant, la possibilité de profilage, de publication et d'intégration avec d'autres solutions de sécurité de l'information permet de compliquer considérablement la logique de la politique d'autorisation et ainsi de résoudre des problèmes assez difficiles et intéressants.
La mise en œuvre ne peut pas être pilotée : pourquoi avez-vous besoin de tests ?
L'intérêt des tests pilotes est de démontrer toutes les capacités du système dans l'infrastructure spécifique d'une organisation spécifique. Je pense que tester Cisco ISE avant sa mise en œuvre profite à toutes les personnes impliquées dans le projet, et voici pourquoi.
Cela donne aux intégrateurs une idée claire des attentes du client et aide à formuler une spécification technique correcte qui contient beaucoup plus de détails que l'expression courante « assurez-vous que tout va bien ». « Pilote » nous permet de ressentir toute la douleur du client, de comprendre quelles tâches sont prioritaires pour lui et lesquelles sont secondaires. Pour nous, c'est une excellente occasion de déterminer à l'avance quels équipements sont utilisés dans l'organisation, comment se déroulera la mise en œuvre, sur quels sites, où ils se trouvent, etc.
Lors des tests pilotes, les clients voient le système réel en action, se familiarisent avec son interface, peuvent vérifier s'il est compatible avec leur matériel existant et avoir une compréhension globale du fonctionnement de la solution après sa mise en œuvre complète. « Pilote » est le moment même où vous pouvez voir tous les pièges que vous rencontrerez probablement lors de l'intégration, et décider du nombre de licences que vous devez acheter.
Qu'est-ce qui peut « apparaître » pendant le « pilote »
Alors, comment se préparer correctement à la mise en œuvre de Cisco ISE ? D'après notre expérience, nous avons recensé 4 points principaux qu'il est important de prendre en compte lors du test pilote du système.
Facteur de forme
Tout d’abord, vous devez décider sous quel format le système sera implémenté : ascendant physique ou virtuel. Chaque option présente des avantages et des inconvénients. Par exemple, la force d’un upline physique réside dans ses performances prévisibles, mais il ne faut pas oublier que de tels dispositifs deviennent obsolètes avec le temps. Les uplines virtuelles sont moins prévisibles parce que... dépendent du matériel sur lequel l'environnement de virtualisation est déployé, mais ils présentent un sérieux avantage : si un support est disponible, ils peuvent toujours être mis à jour vers la dernière version.
Votre équipement réseau est-il compatible avec Cisco ISE ?
Bien entendu, le scénario idéal serait de connecter tous les équipements au système en même temps. Cependant, cela n'est pas toujours possible car de nombreuses organisations utilisent encore des commutateurs non gérés ou des commutateurs qui ne prennent pas en charge certaines des technologies qui exécutent Cisco ISE. D'ailleurs, nous ne parlons pas seulement de commutateurs, il peut également s'agir de contrôleurs de réseau sans fil, de concentrateurs VPN et de tout autre équipement auquel les utilisateurs se connectent. Dans ma pratique, il y a eu des cas où, après avoir démontré la mise en œuvre complète du système, le client a mis à niveau la quasi-totalité de la flotte de commutateurs de niveau d'accès vers des équipements Cisco modernes. Pour éviter les mauvaises surprises, il convient de se renseigner à l'avance sur la proportion de matériels non pris en charge.
Tous vos appareils sont-ils standards ?
Tout réseau comporte des appareils typiques auxquels il ne devrait pas être difficile de se connecter : postes de travail, téléphones IP, points d'accès Wi-Fi, caméras vidéo, etc. Mais il arrive aussi que des appareils non standards doivent être connectés au LAN, par exemple des convertisseurs de signaux de bus RS232/Ethernet, des interfaces d'alimentation sans interruption, divers équipements technologiques, etc. Il est important de déterminer à l'avance la liste de ces appareils. , de sorte qu'au stade de la mise en œuvre, vous compreniez déjà comment ils fonctionneront techniquement avec Cisco ISE.
Dialogue constructif avec les informaticiens
Les clients de Cisco ISE sont souvent des services de sécurité, tandis que les services informatiques sont généralement responsables de la configuration des commutateurs de couche d'accès et d'Active Directory. Par conséquent, une interaction productive entre les spécialistes de la sécurité et les informaticiens est l’une des conditions importantes pour une mise en œuvre sans problème du système. Si ces derniers perçoivent l'intégration avec hostilité, il convient de leur expliquer en quoi la solution sera utile au service informatique.
Les 5 principaux cas d'utilisation de Cisco ISE
D'après notre expérience, la fonctionnalité requise du système est également identifiée au stade des tests pilotes. Vous trouverez ci-dessous quelques-uns des cas d’utilisation les plus populaires et les moins courants de la solution.
Accès LAN sécurisé via un câble avec EAP-TLS
Comme le montrent les résultats des recherches de nos pentesters, pour pénétrer dans le réseau d’une entreprise, les attaquants utilisent très souvent des prises ordinaires auxquelles sont connectés des imprimantes, des téléphones, des caméras IP, des points Wi-Fi et d’autres appareils réseau non personnels. Par conséquent, même si l'accès au réseau est basé sur la technologie dot1x, mais que des protocoles alternatifs sont utilisés sans utiliser de certificats d'authentification des utilisateurs, il existe une forte probabilité de réussite d'une attaque avec interception de session et mots de passe par force brute. Dans le cas de Cisco ISE, il sera beaucoup plus difficile de voler un certificat - pour cela, les pirates auront besoin de beaucoup plus de puissance de calcul, cette affaire est donc très efficace.
Accès sans fil double SSID
L'essence de ce scénario est d'utiliser 2 identifiants de réseau (SSID). L'un d'eux peut être conditionnellement appelé « invité ». Grâce à lui, les invités et les employés de l'entreprise peuvent accéder au réseau sans fil. Lorsqu'ils tentent de se connecter, ces derniers sont redirigés vers un portail spécial où s'effectue le provisionnement. Autrement dit, l'utilisateur reçoit un certificat et son appareil personnel est configuré pour se reconnecter automatiquement au deuxième SSID, qui utilise déjà EAP-TLS avec tous les avantages du premier cas.
Contournement et profilage de l'authentification MAC
Un autre cas d’utilisation populaire consiste à détecter automatiquement le type d’appareil connecté et à lui appliquer les restrictions appropriées. Pourquoi est-il intéressant ? Le fait est qu'il existe encore de nombreux appareils qui ne prennent pas en charge l'authentification via le protocole 802.1X. Par conséquent, ces appareils doivent être autorisés à accéder au réseau à l’aide d’une adresse MAC, qui est assez facile à falsifier. C'est là que Cisco ISE vient à la rescousse : avec l'aide du système, vous pouvez voir comment un appareil se comporte sur le réseau, créer son profil et l'attribuer à un groupe d'autres appareils, par exemple un téléphone IP et un poste de travail. . Si un attaquant tente d'usurper une adresse MAC et de se connecter au réseau, le système verra que le profil de l'appareil a changé, signalera un comportement suspect et n'autorisera pas l'utilisateur suspect à accéder au réseau.
Chaînage EAP
La technologie EAP-Chaining implique une authentification séquentielle du PC en état de marche et du compte utilisateur. Cette affaire s'est répandue parce que... De nombreuses entreprises n’encouragent toujours pas la connexion des gadgets personnels des employés au réseau local de l’entreprise. Grâce à cette approche d'authentification, il est possible de vérifier si un poste de travail particulier est membre du domaine, et si le résultat est négatif, l'utilisateur soit ne sera pas autorisé à accéder au réseau, soit pourra y entrer, mais avec certaines restrictions.
Posture
Ce cas concerne l'évaluation de la conformité du logiciel du poste de travail aux exigences de sécurité de l'information. Grâce à cette technologie, vous pouvez vérifier si le logiciel du poste de travail est mis à jour, si des mesures de sécurité y sont installées, si le pare-feu de l'hôte est configuré, etc. Fait intéressant, cette technologie vous permet également de résoudre d'autres tâches non liées à la sécurité, par exemple vérifier la présence des fichiers nécessaires ou installer des logiciels à l'échelle du système.
Les cas d'utilisation moins courants de Cisco ISE incluent le contrôle d'accès avec authentification de domaine de bout en bout (Passive ID), la micro-segmentation et le filtrage basés sur SGT, ainsi que l'intégration avec les systèmes de gestion des appareils mobiles (MDM) et les scanners de vulnérabilités.
Projets non standard : pourquoi pourriez-vous avoir besoin de Cisco ISE, ou 3 cas rares issus de notre pratique
Contrôle d'accès aux serveurs basés sur Linux
Une fois, nous résolvions un cas plutôt non trivial pour l'un des clients qui avait déjà implémenté le système Cisco ISE : nous devions trouver un moyen de contrôler les actions des utilisateurs (principalement des administrateurs) sur les serveurs sur lesquels Linux était installé. A la recherche d'une réponse, nous avons eu l'idée d'utiliser le logiciel gratuit PAM Radius Module, qui permet de se connecter à des serveurs exécutant Linux avec authentification sur un serveur radius externe. Tout à cet égard serait bon, sans un « mais » : le serveur radius, envoyant une réponse à la demande d'authentification, ne donne que le nom du compte et le résultat - évaluer accepté ou évaluer rejeté. Pendant ce temps, pour l'autorisation sous Linux, vous devez attribuer au moins un paramètre supplémentaire - le répertoire personnel, afin que l'utilisateur arrive au moins quelque part. Nous n'avons pas trouvé de moyen de donner cela comme attribut de rayon, nous avons donc écrit un script spécial pour créer à distance des comptes sur des hôtes en mode semi-automatique. Cette tâche était tout à fait réalisable, puisqu'il s'agissait de comptes d'administrateur dont le nombre n'était pas si important. Ensuite, les utilisateurs se connectaient à l'appareil requis, après quoi l'accès nécessaire leur était attribué. Une question raisonnable se pose : est-il nécessaire d'utiliser Cisco ISE dans de tels cas ? En fait, non, n'importe quel serveur Radius fera l'affaire, mais comme le client possédait déjà ce système, nous y avons simplement ajouté une nouvelle fonctionnalité.
Inventaire du matériel et des logiciels sur le LAN
Nous avons déjà travaillé sur un projet visant à fournir Cisco ISE à un client sans « pilote » préalable. Il n'y avait pas d'exigences claires pour la solution et nous avions affaire à un réseau plat et non segmenté, ce qui compliquait notre tâche. Au cours du projet, nous avons configuré toutes les méthodes de profilage possibles prises en charge par le réseau : NetFlow, DHCP, SNMP, intégration AD, etc. En conséquence, l'accès MAR a été configuré avec la possibilité de se connecter au réseau en cas d'échec de l'authentification. Autrement dit, même si l'authentification échouait, le système autoriserait toujours l'utilisateur à accéder au réseau, collecterait des informations le concernant et les enregistrerait dans la base de données ISE. Cette surveillance du réseau sur plusieurs semaines nous a permis d'identifier les systèmes connectés et les appareils non personnels et de développer une approche pour les segmenter. Après cela, nous avons également configuré la publication pour installer l'agent sur les postes de travail afin de collecter des informations sur les logiciels installés sur ceux-ci. Quel est le résultat ? Nous avons pu segmenter le réseau et déterminer la liste des logiciels à supprimer des postes de travail. Je ne cacherai pas que d'autres tâches de répartition des utilisateurs en groupes de domaines et de définition des droits d'accès nous ont pris beaucoup de temps, mais de cette façon, nous avons obtenu une image complète du matériel dont disposait le client sur le réseau. À propos, cela n'a pas été difficile grâce au bon travail de profilage prêt à l'emploi. Eh bien, là où le profilage n'a pas aidé, nous avons regardé nous-mêmes, en soulignant le port du commutateur auquel l'équipement était connecté.
Installation à distance de logiciels sur les postes de travail
Ce cas est l’un des plus étranges de ma pratique. Un jour, un client est venu nous demander de l'aide : quelque chose s'est mal passé lors de la mise en œuvre de Cisco ISE, tout s'est cassé et personne d'autre n'a pu accéder au réseau. Nous avons commencé à l'examiner et avons découvert ce qui suit. L'entreprise disposait de 2000 XNUMX ordinateurs qui, en l'absence de contrôleur de domaine, étaient gérés sous un compte administrateur. À des fins de peering, l'organisation a mis en œuvre Cisco ISE. Il fallait en quelque sorte comprendre si un antivirus était installé sur les PC existants, si l'environnement logiciel était mis à jour, etc. Et puisque les administrateurs informatiques ont installé des équipements réseau dans le système, il est logique qu'ils y aient accès. Après avoir vu son fonctionnement et posher leurs PC, les administrateurs ont eu l'idée d'installer le logiciel sur les postes de travail des employés à distance et sans visites personnelles. Imaginez combien de pas vous pouvez économiser par jour de cette façon ! Les administrateurs ont effectué plusieurs contrôles du poste de travail pour la présence d'un fichier spécifique dans le répertoire C:Program Files, et s'il était absent, une remédiation automatique était lancée en suivant un lien menant du stockage du fichier au fichier .exe d'installation. Cela permettait aux utilisateurs ordinaires d'accéder à un partage de fichiers et de télécharger le logiciel nécessaire à partir de là. Malheureusement, l'administrateur ne connaissait pas bien le système ISE et a endommagé les mécanismes de publication - il a mal écrit la politique, ce qui a conduit à un problème que nous avons contribué à résoudre. Personnellement, je suis sincèrement surpris par une approche aussi créative, car il serait beaucoup moins cher et moins laborieux de créer un contrôleur de domaine. Mais en tant que preuve de concept, cela a fonctionné.
En savoir plus sur les nuances techniques qui surviennent lors de la mise en œuvre de Cisco ISE dans l'article de mon collègue .
Artem Bobrikov, ingénieur de conception du centre de sécurité de l'information chez Jet Infosystems
Postface:
Malgré le fait que cet article parle du système Cisco ISE, les problèmes décrits sont pertinents pour l'ensemble de la classe de solutions NAC. Peu importe la solution du fournisseur dont la mise en œuvre est prévue : la plupart des éléments ci-dessus resteront applicables.
Source: habr.com