Cé chomh minic a cheannaíonn tú rud éigin go spontáineach, ag géilleadh d'fhógra fionnuar, agus ansin bailíonn an mhír seo atá ag teastáil ar dtús deannaigh i closet, pantry nó gharáiste go dtí an chéad earrach eile a ghlanadh nó a bhogadh? Is é an toradh ná díomá mar gheall ar ionchais gan údar agus airgead amú. Bíonn sé i bhfad níos measa nuair a tharlaíonn sé seo do ghnó. Go minic, bíonn gimicíní margaíochta chomh maith sin go gceannaíonn cuideachtaí réiteach costasach gan pictiúr iomlán a fheidhmiú a fheiceáil. Idir an dá linn, cuidíonn tástáil thrialach ar an gcóras le tuiscint a fháil ar conas an bonneagar a ullmhú le haghaidh comhtháthú, cén fheidhmiúlacht agus cé chomh mór agus is cóir a chur i bhfeidhm. Ar an mbealach seo is féidir leat líon mór fadhbanna a sheachaint mar gheall ar tháirge a roghnú go dall. Ina theannta sin, tar éis "píolótach" inniúil a chur i bhfeidhm beidh innealtóirí i bhfad níos lú scriosta cealla nerve agus gruaig liath. A ligean ar a dhéanamh amach cén fáth go bhfuil tástáil phíolótach chomh tábhachtach do thionscadal rathúil, ag baint úsáide as an sampla d'uirlis tóir chun rochtain ar líonra corparáideach a rialú - Cisco ISE. Déanaimis roghanna caighdeánacha agus go hiomlán neamhchaighdeánach a mheas maidir leis an réiteach a thángamar inár gcleachtas a úsáid.
Cisco ISE - “Freastalaí radius ar stéaróidigh”
Is ardán é Cisco Identity Services Engine (ISE) chun córas rialaithe rochtana a chruthú do líonra ceantair áitiúil eagraíochta. Sa phobal saineolaithe, tugadh “freastalaí radius ar stéaróidigh” ar an táirge mar gheall ar a chuid maoine. Cén fáth é sin? Go bunúsach, is é an réiteach ná freastalaí Radius, a bhfuil líon mór seirbhísí breise agus “cleasanna” ceangailte leis, a ligeann duit cuid mhór faisnéise comhthéacsúla a fháil agus an tacar sonraí a eascraíonn as a chur i bhfeidhm i mbeartais rochtana.
Cosúil le haon fhreastalaí Radius eile, idirghníomhaíonn Cisco ISE le trealamh líonra leibhéal rochtana, bailíonn sé faisnéis faoi gach iarracht chun nascadh leis an líonra corparáideach agus, bunaithe ar bheartais fíordheimhnithe agus údaraithe, ceadaíonn nó diúltaíonn d'úsáideoirí an LAN. Mar sin féin, toisc go bhféadfaí próifíliú, postáil agus comhtháthú le réitigh eile um shlándáil faisnéise a dhéanamh, is féidir loighic an bheartais údaraithe a chasta go mór agus ar an gcaoi sin fadhbanna atá sách deacair agus suimiúil a réiteach.
Ní féidir triail a bhaint as cur chun feidhme: cén fáth a bhfuil tástáil ag teastáil uait?
Is é an luach atá le tástáil phíolótach cumas uile an chórais a léiriú i mbonneagar sonrach eagraíochta ar leith. Creidim go dtéann píolótú Cisco ISE chun tairbhe do gach duine atá páirteach sa tionscadal, agus seo an fáth.
Tugann sé seo smaoineamh soiléir do chomhtháthóirí ar ionchais an chustaiméara agus cabhraíonn sé le sonraíocht theicniúil cheart a chruthú ina bhfuil i bhfad níos mó sonraí ná an frása coitianta “déan cinnte go bhfuil gach rud ceart go leor.” Ligeann “píolótach” dúinn pian an chustaiméara ar fad a mhothú, tuiscint a fháil ar na tascanna atá mar thosaíocht aige agus cé na tascanna tánaisteacha. Maidir linne, is deis iontach é seo a dhéanamh amach roimh ré cén trealamh a úsáidtear san eagraíocht, conas a dhéanfar an cur i bhfeidhm, cad iad na suíomhanna, cén áit a bhfuil siad lonnaithe, agus mar sin de.
Le linn na tástála píolótach, feiceann custaiméirí an córas fíor i ngníomh, faigheann siad eolas ar a chomhéadan, is féidir leo a sheiceáil cibé an bhfuil sé ag luí leis na crua-earraí atá acu cheana féin, agus tuiscint iomlánaíoch a fháil ar conas a oibreoidh an réiteach tar éis cur i bhfeidhm iomlán. Is é “Píolótach” an t-am nuair a fheiceann tú na gaistí go léir is dócha a bheidh agat le linn an chomhtháthaithe, agus socróidh tú cé mhéad ceadúnas a bheidh uait a cheannach.
Cad is féidir “pop suas” le linn an “phíolótach”
Mar sin, conas a dhéanann tú ullmhú i gceart chun Cisco ISE a chur i bhfeidhm? Ónár dtaithí, rinneamar 4 phríomhphointe a chomhaireamh atá tábhachtach a mheas le linn tástáil phíolótach an chórais.
Fachtóir foirme
Gcéad dul síos, ní mór duit cinneadh a dhéanamh cén fachtóir foirm a bheidh an córas a chur i bhfeidhm: fisiciúil nó fíorúil upline. Tá buntáistí agus míbhuntáistí ag gach rogha. Mar shampla, is é neart upline fisiciúil a fheidhmíocht intuartha, ach ní mór dúinn dearmad a dhéanamh go n-éiríonn feistí den sórt sin as feidhm le himeacht ama. Níl uaslínte fíorúla chomh intuartha mar gheall ar ... ag brath ar na crua-earraí ar a n-imscartar an timpeallacht fhíorúilithe, ach tá buntáiste tromchúiseach acu: má tá tacaíocht ar fáil, is féidir iad a nuashonrú go dtí an leagan is déanaí i gcónaí.
An bhfuil do threalamh líonra comhoiriúnach le Cisco ISE?
Ar ndóigh, is é an cás idéalach ná an trealamh go léir a nascadh leis an gcóras láithreach. Ní féidir é seo a dhéanamh i gcónaí, áfach, toisc go n-úsáideann go leor eagraíochtaí lasca neamhbhainistithe nó lasca nach dtacaíonn le cuid de na teicneolaíochtaí a ritheann Cisco ISE. Dála an scéil, ní hamháin go bhfuilimid ag caint faoi lasca, is féidir é a bheith ina rialtóirí líonra gan sreang, comhchruinnithe VPN agus aon trealamh eile lena nascann úsáideoirí. I mo chleachtas, bhí cásanna ann, tar éis don chustaiméir an córas a chur i bhfeidhm go hiomlán a thaispeáint, nuair a uasghrádaigh an custaiméir beagnach an cabhlach iomlán de lasca leibhéal rochtana chuig trealamh Cisco nua-aimseartha. Chun iontas míthaitneamhach a sheachaint, is fiú a fháil amach roimh ré an cion de threalamh gan tacaíocht.
An bhfuil do ghléasanna go léir caighdeánach?
Tá gléasanna tipiciúla ag aon líonra nár cheart go mbeadh sé deacair ceangal a dhéanamh leo: stáisiúin oibre, fóin IP, pointí rochtana Wi-Fi, ceamaraí físe, agus mar sin de. Ach tarlaíonn sé freisin gur gá feistí neamhchaighdeánacha a nascadh leis an LAN, mar shampla, tiontairí comhartha bus RS232/Ethernet, comhéadain do-bhriste soláthair cumhachta, trealamh teicneolaíochta éagsúla, etc. Tá sé tábhachtach liosta na bhfeistí sin a chinneadh roimh ré. , ionas go mbeidh tuiscint agat cheana féin ag an gcéim fhorfheidhmithe ar cé chomh teicniúil agus a oibreoidh siad le Cisco ISE.
Idirphlé cuiditheach le speisialtóirí TF
Is minic gur ranna slándála iad custaiméirí Cisco ISE, agus is gnách go mbíonn ranna TF freagrach as lasca ciseal rochtana agus Eolaire Gníomhach a chumrú. Mar sin, tá idirghníomhaíocht tháirgiúil idir speisialtóirí slándála agus speisialtóirí TF ar cheann de na coinníollacha tábhachtacha chun an córas a chur i bhfeidhm gan phian. Má bhraitheann an dara ceann acu comhtháthú le naimhdeas, is fiú a mhíniú dóibh conas a bheidh an réiteach úsáideach don roinn TF.
Barr 5 chás úsáide Cisco ISE
Inár dtaithí, sainaithnítear feidhmiúlacht riachtanach an chórais freisin ag an gcéim tástála píolótach. Seo thíos cuid de na cásanna úsáide is coitianta agus is lú coitianta don réiteach.
Rochtain LAN slán thar sreang le EAP-TLS
Mar a léiríonn torthaí ár dtaighde pentesters, go minic chun dul isteach i líonra cuideachta, úsáideann ionsaitheoirí gnáth-soicéid a bhfuil printéirí, fóin, ceamaraí IP, pointí Wi-Fi agus gléasanna líonra neamhphearsanta eile nasctha leo. Dá bhrí sin, fiú má tá rochtain líonra bunaithe ar theicneolaíocht dot1x, ach go n-úsáidtear prótacail mhalartacha gan úsáid a bhaint as deimhnithe fíordheimhnithe úsáideora, tá dóchúlacht ard ann go n-éireoidh ionsaí le hidircheapadh seisiún agus pasfhocail brute-force. I gcás Cisco ISE, beidh sé i bhfad níos deacra deimhniú a ghoid - le haghaidh seo, beidh gá le cumhacht ríomhaireachta i bhfad níos mó ag hackers, agus mar sin tá an cás seo an-éifeachtach.
Rochtain gan sreang dé-SSID
Is é croílár an cháis seo ná 2 aitheantóir líonra (SSIDanna) a úsáid. Is féidir “aoi” a thabhairt go coinníollach ar cheann acu. Tríd é, is féidir le haíonna agus fostaithe cuideachta rochtain a fháil ar an líonra gan sreang. Nuair a dhéanann siad iarracht nascadh, atreoraítear an dara ceann chuig tairseach speisialta ina ndéantar soláthar. Is é sin, eisítear deimhniú don úsáideoir agus tá a fheiste pearsanta cumraithe chun athcheangal go huathoibríoch leis an dara SSID, a úsáideann EAP-TLS cheana féin le buntáistí uile an chéad chás.
Seachbhóthar Fíordheimhnithe MAC agus Próifíliú
Cás úsáide coitianta eile is ea an cineál feiste atá á nascadh a bhrath go huathoibríoch agus na srianta cearta a chur i bhfeidhm air. Cén fáth go bhfuil sé suimiúil? Is é an fírinne go bhfuil go leor feistí fós ann nach dtacaíonn le fíordheimhniú ag baint úsáide as an bprótacal 802.1X. Mar sin, ní mór gléasanna den sórt sin a cheadú ar an líonra ag baint úsáide as seoladh MAC, atá éasca go leor le falsa. Seo an áit a dtagann Cisco ISE chun tarrthála: le cabhair ón gcóras, is féidir leat a fheiceáil conas a iompraíonn feiste ar an líonra, a phróifíl a chruthú agus é a shannadh do ghrúpa gléasanna eile, mar shampla, fón IP agus stáisiún oibre . Má dhéanann ionsaitheoir iarracht seoladh MAC a spoof agus ceangal leis an líonra, feicfidh an córas go bhfuil próifíl an fheiste athraithe, cuirfidh sé iompar amhrasach in iúl agus ní ligfidh sé don úsáideoir amhrasach dul isteach sa líonra.
EAP-Slabhraithe
Baineann teicneolaíocht EAP-Chaining le fíordheimhniú seicheamhach ar an ríomhaire oibre agus ar an gcuntas úsáideora. Tá an cás seo tar éis éirí go forleathan mar go bhfuil... Ní spreagann go leor cuideachtaí go fóill giuirléidí pearsanta na bhfostaithe a nascadh leis an LAN corparáideach. Ag baint úsáide as an gcur chuige seo maidir le fíordheimhniú, is féidir a sheiceáil cibé an bhfuil stáisiún oibre ar leith ina bhall den fhearann, agus má tá an toradh diúltach, ní bheidh an t-úsáideoir cead isteach sa líonra, nó beidh sé in ann dul isteach, ach le áirithe srianta.
Posturing
Baineann an cás seo le measúnú a dhéanamh ar chomhlíonadh bogearraí an stáisiúin oibre le ceanglais slándála faisnéise. Ag baint úsáide as an teicneolaíocht seo, is féidir leat a sheiceáil an bhfuil na bogearraí ar an stáisiún oibre nuashonraithe, cibé an bhfuil bearta slándála suiteáilte air, cibé an bhfuil an balla dóiteáin óstach cumraithe, etc. Suimiúil go leor, ligeann an teicneolaíocht seo duit freisin chun tascanna eile nach mbaineann le slándáil a réiteach, mar shampla, seiceáil an láithreacht na comhaid riachtanacha nó a shuiteáil bogearraí ar fud an chórais.
I measc na gcásanna úsáide nach bhfuil chomh coitianta do Cisco ISE tá rialú rochtana le fíordheimhniú fearainn ceann go ceann (ID Éighníomhach), micrea-dheighilt agus scagadh bunaithe ar SGT, chomh maith le comhtháthú le córais bainistíochta gléas soghluaiste (MDM) agus Scanóirí Leochaileachta.
Tionscadail neamhchaighdeánacha: cén fáth eile a mbeadh Cisco ISE ag teastáil uait, nó 3 chás neamhchoitianta ónár gcleachtas
Rialú rochtana ar fhreastalaithe atá bunaithe ar Linux
Nuair a bhí cás sách neamhfhánach á réiteach againn do cheann de na custaiméirí a raibh an córas Cisco ISE curtha i bhfeidhm acu cheana féin: ní mór dúinn bealach a aimsiú chun gníomhartha úsáideoirí a rialú (riarthóirí den chuid is mó) ar fhreastalaithe le Linux suiteáilte. Agus freagra á lorg againn, tháinig muid suas leis an smaoineamh na bogearraí Modúl Radius PAM saor in aisce a úsáid, a ligeann duit logáil isteach ar fhreastalaithe ag rith Linux le fíordheimhniú ar fhreastalaí ga seachtrach. Bheadh gach rud go maith maidir leis seo, murab é “ach” amháin: ní thugann an freastalaí ga, a sheolann freagra ar an iarratas fíordheimhnithe, ach ainm an chuntais agus an toradh - measúnú a ghlactar nó measúnú a diúltaíodh. Idir an dá linn, le haghaidh údarú i Linux, ní mór duit paraiméadar amháin eile ar a laghad a shannadh - eolaire baile, ionas go bhfaighidh an t-úsáideoir áit éigin ar a laghad. Níor aimsigh muid bealach chun é seo a thabhairt mar tréith ga, agus mar sin scríobhamar script speisialta chun cuntais a chruthú go cianda ar óstaigh i mód leath-uathoibríoch. Bhí an tasc seo indéanta go leor, ós rud é go raibh muid ag déileáil le cuntais riarthóra, nach raibh a líon chomh mór. Ansin, logáil úsáideoirí isteach ar an ngléas riachtanach, agus ina dhiaidh sin sannadh an rochtain riachtanach dóibh. Éiríonn ceist réasúnta: an gá Cisco ISE a úsáid i gcásanna den sórt sin? I ndáiríre, ní hea - déanfaidh aon fhreastalaí ga, ach ós rud é go raibh an córas seo ag an gcustaiméir cheana féin, níl ach gné nua curtha leis againn.
Fardal crua-earraí agus bogearraí ar an LAN
D’oibríomar uair amháin ar thionscadal chun Cisco ISE a sholáthar do chustaiméir amháin gan “píolótach” tosaigh. Ní raibh aon cheanglais shoiléire ann don réiteach, agus bhíomar ag déileáil le líonra comhréidh neamhdheighilte, rud a chuir casta ar ár dtasc. Le linn an tionscadail, chumamar gach modh próifílithe féideartha a thacaigh an líonra leis: NetFlow, DHCP, SNMP, comhtháthú AD, etc. Mar thoradh air sin, rinneadh rochtain MAR a chumrú leis an gcumas logáil isteach sa líonra má theip ar an bhfíordheimhniú. Is é sin, fiú mura n-éireodh leis an bhfíordheimhniú, ligfeadh an córas don úsáideoir dul isteach sa líonra fós, faisnéis a bhailiú mar gheall air agus é a thaifeadadh i mbunachar sonraí ISE. Chuidigh an mhonatóireacht líonra seo thar roinnt seachtainí linn córais nasctha agus gléasanna neamhphearsanta a aithint agus cur chuige a fhorbairt chun iad a dheighilt. Ina dhiaidh sin, rinneamar postáil a chumrú freisin chun an gníomhaire a shuiteáil ar stáisiúin oibre chun faisnéis a bhailiú faoi na bogearraí atá suiteáilte orthu. Cad é an toradh? Bhíomar in ann an líonra a dheighilt agus liosta na mbogearraí ba ghá a bhaint as stáisiúin oibre a chinneadh. Ní bheidh mé i bhfolach gur thóg cúraimí breise úsáideoirí a dháileadh i ngrúpaí fearainn agus cearta rochtana a shainmhíniú go leor ama orainn, ach ar an mbealach seo fuair muid pictiúr iomlán de na crua-earraí a bhí ag an gcustaiméir ar an líonra. Dála an scéil, ní raibh sé seo deacair mar gheall ar an dea-obair a bhaineann le próifíliú as an mbosca. Bhuel, i gcás nár chabhraigh próifíliú, d'fhéachamar orainn féin, ag cur béime ar an gcalafort lasc a raibh an trealamh ceangailte leis.
Suiteáil cianda bogearraí ar stáisiúin oibre
Tá an cás seo ar cheann de na cinn is aisteach i mo chleachtas. Lá amháin, tháinig custaiméir chugainn le caoin chun cabhair a fháil - chuaigh rud éigin mícheart nuair a chuir Cisco ISE i bhfeidhm, bhris gach rud, agus ní raibh aon duine eile in ann rochtain a fháil ar an líonra. Thosaigh muid ag breathnú isteach air agus fuair muid amach na rudaí seo a leanas. Bhí 2000 ríomhaire ag an gcuideachta, a bhí á mbainistiú faoi chuntas riarthóra in éagmais rialaitheoir fearainn. Chun críche piaraí, chuir an eagraíocht Cisco ISE i bhfeidhm. Bhí sé riachtanach a thuiscint ar bhealach an raibh frithvíreas suiteáilte ar ríomhairí pearsanta atá ann cheana féin, cibé an ndearnadh an timpeallacht bogearraí a nuashonrú, etc. Agus ó chuir riarthóirí TF trealamh líonra isteach sa chóras, tá sé loighciúil go raibh rochtain acu air. Tar éis dóibh a fheiceáil conas a oibríonn sé agus a gcuid ríomhairí pearsanta a phósadh, tháinig na riarthóirí suas leis an smaoineamh na bogearraí a shuiteáil ar stáisiúin oibre fostaithe go cianda gan cuairteanna pearsanta. Just a shamhlú cé mhéad céimeanna is féidir leat a shábháil in aghaidh an lae ar an mbealach seo! Rinne na riarthóirí roinnt seiceálacha ar an stáisiún oibre maidir le láithreacht comhad sonrach san eolaire C:Program Files, agus má bhí sé as láthair, seoladh feabhsúchán uathoibríoch trí nasc a leanúint a lean go dtí an stóráil comhad chuig an gcomhad .exe a shuiteáil. Chuir sé seo ar chumas gnáthúsáideoirí dul chuig comhad a roinnt agus na bogearraí riachtanacha a íoslódáil as sin. Ar an drochuair, ní raibh a fhios ag an riarthóir córas ISE go maith agus rinne sé damáiste do na meicníochtaí postála - scríobh sé an polasaí go mícheart, rud a d'eascair fadhb a raibh baint againn le réiteach. Go pearsanta, cuireann cur chuige cruthaitheach den sórt sin ionadh orm ó chroí, toisc go mbeadh sé i bhfad níos saoire agus níos lú saothair rialtóir fearainn a chruthú. Ach mar Chruthúnas ar choincheap d'oibrigh sé.
Léigh tuilleadh faoi na nuances teicniúla a thagann chun cinn agus Cisco ISE á chur i bhfeidhm in alt mo chomhghleacaí .
Artem Bobikov, innealtóir deartha an Ionaid Slándála Faisnéise ag Jet Infosystems
Afterword:
In ainneoin go bhfuil an post seo ag caint faoi chóras Cisco ISE, tá na fadhbanna a thuairiscítear ábhartha don rang iomlán de réitigh NAC. Níl sé chomh tábhachtach cén réiteach díoltóra atá beartaithe le cur i bhfeidhm - fanfaidh an chuid is mó díobh thuas infheidhme.
Foinse: will.com