Hoe faak keapje jo spontaan wat, beswykend foar in koele advertinsje, en dan sammelet dit ynearsten winske item stof yn in kast, pantry of garaazje oant de folgjende maitiidsreiniging of ferhuzing? It resultaat is teloarstelling troch ûnrjochtfeardige ferwachtings en fergriemd jild. It is folle slimmer as dit bart mei in bedriuw. Hiel faak binne marketinggimmicks sa goed dat bedriuwen in djoere oplossing keapje sûnder it folsleine byld fan har tapassing te sjen. Underwilens helpt proeftesten fan it systeem om te begripen hoe't jo de ynfrastruktuer tariede kinne op yntegraasje, hokker funksjonaliteit en yn hoefier't moat wurde ymplementearre. Op dizze manier kinne jo in enoarm oantal problemen foarkomme troch it kiezen fan in produkt "blin". Derneist sil de ymplemintaasje nei in foechhawwende "pilot" yngenieurs folle minder ferneatige senuwsellen en griis hier bringe. Litte wy útfine wêrom't pilottesten sa wichtich binne foar in suksesfol projekt, mei it foarbyld fan in populêr ark foar it kontrolearjen fan tagong ta in bedriuwsnetwurk - Cisco ISE. Litte wy sawol standert as folslein net-standert opsjes beskôgje foar it brûken fan de oplossing dy't wy yn ús praktyk tsjinkamen.
Cisco ISE - "Radius-tsjinner op steroïden"
Cisco Identity Services Engine (ISE) is in platfoarm foar it meitsjen fan in tagong kontrôle systeem foar in organisaasje syn lokale gebiet netwurk. Yn 'e saakkundige mienskip krige it produkt de bynamme "Radius-tsjinner op steroïden" foar syn eigenskippen. Wêrom is dat? Yn essinsje is de oplossing in Radius-tsjinner, dêr't in enoarm oantal ekstra tsjinsten en "tricks" oan ferbûn binne, wêrtroch jo in grutte hoemannichte kontekstuele ynformaasje kinne ûntfange en de resultearjende set gegevens tapasse yn tagongsbelied.
Lykas alle oare Radius tsjinner, Cisco ISE ynteraksje mei tagong-nivo netwurk apparatuer, sammelet ynformaasje oer alle besykjen om te ferbinen mei de bedriuwsnetwurk en, basearre op autentikaasje- en autorisaasje belied, tastean of wegeret brûkers oan it LAN. De mooglikheid fan profilearjen, pleatsen en yntegraasje mei oare oplossings foar ynformaasjefeiligens makket it lykwols mooglik om de logika fan it autorisaasjebelied signifikant te komplisearjen en dêrmei frijwat lestige en nijsgjirrige problemen op te lossen.
Implementaasje kin net wurde pilotearre: wêrom hawwe jo testen nedich?
De wearde fan pilottesten is om alle mooglikheden fan it systeem te demonstrearjen yn 'e spesifike ynfrastruktuer fan in spesifike organisaasje. Ik leau dat it pilotearjen fan Cisco ISE foar ymplemintaasje profitearret fan elkenien dy't belutsen is by it projekt, en hjir is wêrom.
Dit jout yntegrators in dúdlik idee fan 'e ferwachtingen fan' e klant en helpt by it formulearjen fan in juste technyske spesifikaasje dy't folle mear detail befettet dan de gewoane útdrukking "soargje dat alles goed is." "Pilot" lit ús alle pine fan 'e klant fiele, om te begripen hokker taken foar him in prioriteit binne en hokker sekundêr binne. Foar ús is dit in poerbêste kâns om fan tefoaren út te finen hokker apparatuer brûkt wurdt yn 'e organisaasje, hoe't de ymplemintaasje plakfine sil, op hokker siden, wêr't se lizze, ensfh.
Tidens pilottesten sjogge klanten it echte systeem yn aksje, meitsje kunde mei syn ynterface, kinne kontrolearje oft it kompatibel is mei har besteande hardware, en krije in holistysk begryp fan hoe't de oplossing sil wurkje nei folsleine ymplemintaasje. "Pilot" is it heule momint dat jo alle falkûlen kinne sjen dy't jo wierskynlik sille tsjinkomme by yntegraasje, en beslute hoefolle lisinsjes jo moatte keapje.
Wat kin "opkomme" tidens de "pilot"
Dat, hoe meitsje jo jo goed tariede op it ymplementearjen fan Cisco ISE? Ut ús ûnderfining hawwe wy 4 haadpunten teld dy't wichtich binne om te beskôgjen tidens de pilottest fan it systeem.
Formfaktor
Earst moatte jo beslute yn hokker foarm faktor it systeem sil wurde ymplementearre: fysike of firtuele upline. Elke opsje hat foardielen en neidielen. Bygelyks, de krêft fan in fysike upline is har foarsisbere prestaasjes, mar wy moatte net ferjitte dat sokke apparaten oer de tiid ferâldere wurde. Firtuele uplines binne minder foarsisber omdat ... ôfhinklik fan de hardware dêr't de virtualization omjouwing wurdt ynset, mar se hawwe in serieuze foardiel: as stipe is beskikber, se kinne altyd wurde fernijd nei de lêste ferzje.
Is jo netwurk apparatuer kompatibel mei Cisco ISE?
Fansels soe it ideale senario wêze om alle apparatuer tagelyk oan it systeem te ferbinen. Dit is lykwols net altyd mooglik, om't in protte organisaasjes noch net beheare skeakels of skeakels brûke dy't guon fan 'e technologyen net stypje dy't Cisco ISE útfiere. Trouwens, wy prate net allinich oer skeakels, it kinne ek draadloze netwurkkontrôles, VPN-konsintrators en elke oare apparatuer wêze wêrmei brûkers ferbine. Yn myn praktyk binne d'r gefallen west doe't, nei it demonstrearjen fan it systeem foar folsleine ymplemintaasje, de klant hast de heule float fan tagongsnivo-skeakels opwurdearre nei moderne Cisco-apparatuer. Om foar te kommen onaangename ferrassingen, is it wurdich út te finen foarôf it oanpart fan net-stipe apparatuer.
Binne al jo apparaten standert?
Elk netwurk hat typyske apparaten dy't net dreech moatte wêze om te ferbinen mei: wurkstasjons, IP-tillefoans, Wi-Fi-tagongspunten, fideokamera's, ensfh. Mar it bart ek dat net-standert apparaten moatte wurde ferbûn oan it LAN, bygelyks, RS232/Ethernet bus sinjaal converters, uninterruptible Netzteil ynterfaces, ferskate technologyske apparatuer, ensfh It is wichtich om te bepalen de list fan sokke apparaten foarôf. , sadat jo op it útfieringsstadium al in begryp hawwe hoe't se technysk wurkje mei Cisco ISE.
Konstruktive dialooch mei IT-spesjalisten
Cisco ISE klanten binne faak feiligens ôfdielings, wylst IT ôfdielings binne meastal ferantwurdlik foar it konfigurearjen tagong laach Switches en Active Directory. Dêrom is produktive ynteraksje tusken feiligensspesjalisten en IT-spesjalisten ien fan 'e wichtige betingsten foar pynleaze ymplemintaasje fan it systeem. As de lêste yntegraasje mei fijânskip waarnimme, is it de muoite wurdich om har út te lizzen hoe't de oplossing nuttich wêze sil foar de IT-ôfdieling.
Top 5 Cisco ISE gebrûk gefallen
Yn ús ûnderfining wurdt de fereaske funksjonaliteit fan it systeem ek identifisearre yn 'e pilotteststadium. Hjirûnder binne guon fan 'e populêrste en minder foarkommende gebrûksgefallen foar de oplossing.
Feilige LAN-tagong oer in draad mei EAP-TLS
As de resultaten fan ús pentesters ûndersyk sjen litte, faaks om it netwurk fan in bedriuw te penetrearjen, brûke oanfallers gewoane sockets wêrmei printers, tillefoans, IP-kamera's, Wi-Fi-punten en oare net-persoanlike netwurkapparaten binne ferbûn. Dêrom, sels as netwurk tagong is basearre op dot1x technology, mar alternative protokollen wurde brûkt sûnder gebrûk fan brûker autentikaasje sertifikaten, der is in hege kâns op in súksesfolle oanfal mei sesje ûnderskepping en brute-force wachtwurden. Yn it gefal fan Cisco ISE sil it folle dreger wêze om in sertifikaat te stellen - hjirfoar sille hackers folle mear rekkenkrêft nedich wêze, dus dizze saak is heul effektyf.
Dual-SSID draadloze tagong
De essinsje fan dit senario is it brûken fan 2 netwurkidentifikatoren (SSID's). Ien fan harren kin betingst neamd "gast". Dêrtroch kinne sawol gasten as bedriuwsmeiwurkers tagong krije ta it draadloze netwurk. As se besykje te ferbinen, wurde de lêste omlaat nei in spesjale portal wêr't foarsjenning plakfynt. Dat is, de brûker wurdt in sertifikaat útjûn en syn persoanlik apparaat is konfigureare om automatysk opnij te ferbinen mei de twadde SSID, dy't al EAP-TLS brûkt mei alle foardielen fan it earste gefal.
MAC Authentication Bypass en profilearring
In oare populêre gebrûksgefal is om it type apparaat dat ferbûn is automatysk te ûntdekken en de juste beheiningen dêrop oan te passen. Wêrom is hy nijsgjirrich? It feit is dat d'r noch in protte apparaten binne dy't gjin autentikaasje stypje mei it 802.1X-protokol. Dêrom moatte sokke apparaten wurde tastien op it netwurk mei in MAC-adres, dat is frij maklik te fake. Dit is wêr Cisco ISE komt ta de rêding: mei help fan it systeem, kinne jo sjen hoe't in apparaat gedraacht op it netwurk, meitsje syn profyl en tawize it oan in groep fan oare apparaten, bygelyks, in IP telefoan en in wurkstasjonStencils . As in oanfaller besiket in MAC-adres te spoofjen en te ferbinen mei it netwurk, sil it systeem sjen dat it apparaatprofyl is feroare, sil fertocht gedrach sinjalearje en sil de fertochte brûker net tastean yn it netwurk.
EAP-Chaining
EAP-Chaining technology omfettet sekwinsjele autentikaasje fan 'e wurkjende PC en brûkersaccount. Dizze saak is wiidferspraat wurden omdat... In protte bedriuwen moedigje noch altyd net oan om persoanlike gadgets fan meiwurkers te ferbinen mei it bedriuws-LAN. Mei dizze oanpak foar autentikaasje is it mooglik om te kontrolearjen oft in spesifyk wurkstasjon lid is fan it domein, en as it resultaat negatyf is, sil de brûker of net talitten wurde yn it netwurk, of sil ynlogge kinne, mar mei bepaalde beheinings.
Posturing
Dizze saak giet oer it beoardieljen fan it neilibjen fan 'e wurkstasjonsoftware mei easken foar ynformaasjefeiligens. Mei dizze technology kinne jo kontrolearje oft de software op it wurkstasjon bywurke is, oft der befeiligingsmaatregels binne ynstalleare, oft de host-firewall is konfigureare, ensfh. Opfallend is dat dizze technology jo ek kinne oplosse oare taken dy't net relatearre binne oan feiligens, bygelyks kontrolearjen fan de oanwêzigens fan needsaaklike bestannen of ynstallearjen fan software foar it hiele systeem.
Minder gewoane gebrûk gefallen foar Cisco ISE befetsje tagong kontrôle mei ein-to-ein domein autentikaasje (Passive ID), SGT-basearre mikro-segmentaasje en filterjen, likegoed as yntegraasje mei mobile apparaat behear (MDM) systemen en kwetsberens Scanners.
Non-standert projekten: wêrom oars kinne jo nedich Cisco ISE, of 3 seldsume gefallen út ús praktyk
Tagongskontrôle nei Linux-basearre servers
Ienris hawwe wy in nochal net-triviale saak oplost foar ien fan 'e klanten dy't it Cisco ISE-systeem al ymplementearre hiene: wy moasten in manier fine om brûkersaksjes (meast behearders) te kontrolearjen op servers mei Linux ynstalleare. Op syk nei in antwurd kamen wy op it idee om de fergese PAM Radius Module-software te brûken, wêrmei jo jo kinne oanmelde by servers dy't Linux draaie mei autentikaasje op in eksterne radiusserver. Alles yn dit ferbân soe goed wêze, as net foar ien "mar": de radiustsjinner, it ferstjoeren fan in antwurd op it ferifikaasjefersyk, jout allinich de akkountnamme en it resultaat - beoardielje akseptearre of beoardielje ôfwiisd. Underwilens, foar autorisaasje yn Linux, moatte jo op syn minst ien parameter mear tawize - thúsmap, sadat de brûker op syn minst earne komt. Wy hawwe gjin manier fûn om dit as radius-attribút te jaan, dus wy skreaunen in spesjaal skript foar it meitsjen fan akkounts op ôfstân op hosts yn in semi-automatyske modus. Dizze taak wie frij mooglik, om't wy te meitsjen hiene mei administrator akkounts, wêrfan it oantal net sa grut wie. Dêrnei hawwe brûkers har oanmeld op it fereaske apparaat, wêrnei't se de nedige tagong krigen hawwe. In ridlike fraach ûntstiet: is it nedich om te brûken Cisco ISE yn sokke gefallen? Eins, nee - elke radiusserver sil dwaan, mar om't de klant dit systeem al hie, hawwe wy der gewoan in nije funksje oan tafoege.
Ynventarisaasje fan hardware en software op it LAN
Wy hawwe ienris wurke oan in projekt om Cisco ISE oan ien klant te leverjen sûnder in foarriedige "pilot". D'r wiene gjin dúdlike easken foar de oplossing, plus wy hiene te meitsjen mei in plat, net-segmentearre netwurk, wat ús taak komplisearre. Tidens it projekt hawwe wy alle mooglike profilearringmetoaden konfigureare dy't it netwurk stipe: NetFlow, DHCP, SNMP, AD-yntegraasje, ensfh. As resultaat waard MAR-tagong konfigureare mei de mooglikheid om oan te melden by it netwurk as de ferifikaasje mislearre. Dat is, sels as autentikaasje net suksesfol wie, soe it systeem de brûker noch yn it netwurk tastean, ynformaasje oer him sammelje en it opnimme yn 'e ISE-database. Dizze netwurkmonitoring oer ferskate wiken holp ús ferbûne systemen en net-persoanlike apparaten te identifisearjen en in oanpak te ûntwikkeljen om se te segmentearjen. Hjirnei hawwe wy ek post konfigureare om de agint op wurkstasjons te ynstallearjen om ynformaasje te sammeljen oer de software dy't op har is ynstalleare. Wat is it resultaat? Wy koene it netwurk segmentearje en de list fan software bepale dy't fan wurkstasjons fuorthelle wurde moast. Ik sil net ferbergje dat fierdere taken fan it fersprieden fan brûkers yn domeingroepen en it ôfstimmen fan tagongsrjochten ús nochal in protte tiid diene, mar op dizze manier krigen wy in folslein byld fan hokker hardware de klant op it netwurk hie. Trouwens, dit wie net dreech troch it goede wurk fan profilearjen út 'e doaze. No, wêr't profilearring net holp, seagen wy ússels, markearje de skeakelpoarte wêrop de apparatuer ferbûn wie.
Ynstallaasje op ôfstân fan software op wurkstasjons
Dizze saak is ien fan 'e frjemdste yn myn praktyk. Op in dei kaam in klant nei ús mei in gjalp om help - der gie wat mis by it ymplementearjen fan Cisco ISE, alles bruts, en gjinien oars koe tagong krije ta it netwurk. Wy begûnen nei te sjen en fûnen it folgjende. It bedriuw hie 2000 kompjûters, dy't, by it ûntbrekken fan in domeincontroller, waarden beheard ûnder in administratoraccount. Foar it doel fan peering ymplementearre de organisaasje Cisco ISE. It wie nedich om op ien of oare manier te begripen oft in antyvirus is ynstalleare op besteande PC's, oft de softwareomjouwing is bywurke, ensfh. En om't IT-behearders netwurkapparatuer yn it systeem ynstalleare, is it logysk dat se der tagong ta hiene. Nei't se sjoen hawwe hoe't it wurket en har PC's posheren, kamen de behearders op it idee om de software op ôfstân te ynstallearjen op wurkstasjons fan meiwurkers sûnder persoanlike besites. Stel jo gewoan foar hoefolle stappen jo op dizze manier per dei kinne besparje! De behearders hawwe ferskate kontrôles fan it wurkstasjon útfierd foar de oanwêzigens fan in spesifyk bestân yn 'e map C: Program Files, en as it ôfwêzich wie, waard automatyske sanearring lansearre troch in keppeling te folgjen dy't liedt nei de triem opslach nei it ynstallaasje .exe-bestân. Dit koe gewoane brûkers nei in bestândiel gean en dêr de nedige software downloade. Spitigernôch koe de admin it ISE-systeem net goed en skeat de postmeganismen - hy skreau it belied ferkeard, wat late ta in probleem dat wy belutsen wiene by it oplossen. Persoanlik bin ik oprjocht ferrast troch sa'n kreative oanpak, om't it folle goedkeaper en minder arbeidsintensyf wêze soe om in domeincontroller te meitsjen. Mar as in Proof of concept wurke it.
Lês mear oer de technyske nuânses dy't ûntsteane by it útfieren fan Cisco ISE yn it artikel fan myn kollega .
Artem Bobrikov, ûntwerpingenieur fan it Information Security Center by Jet Infosystems
Nei wurd:
Nettsjinsteande it feit dat dizze post praat oer it Cisco ISE-systeem, binne de beskreaune problemen relevant foar de hiele klasse fan NAC-oplossingen. It is net sa wichtich hokker oplossing fan ferkeaper is pland foar ymplemintaasje - it measte fan it boppesteande sil fan tapassing bliuwe.
Boarne: www.habr.com