Dè cho tric a cheannaicheas tu rudeigin gun spionnadh, a ’gèilleadh ri sanas fionnar, agus an uairsin bidh an rud a tha thu ag iarraidh an toiseach a’ cruinneachadh duslach ann an clòsaid, pantry no garaids gus an ath earrach glanadh no gluasad? Is e an toradh briseadh-dùil mar thoradh air dùilean gun adhbhar agus airgead air a chaitheamh. Tha e tòrr nas miosa nuair a thachras seo do ghnìomhachas. Glè thric, tha gimmicks margaidheachd cho math is gum bi companaidhean a’ ceannach fuasgladh daor gun a bhith a’ faicinn dealbh iomlan an tagraidh aca. Aig an aon àm, bidh deuchainn deuchainn air an t-siostam a’ cuideachadh le bhith a’ tuigsinn mar a dh’ ullaicheas tu am bun-structar airson amalachadh, dè an comas-gnìomh agus dè an ìre a bu chòir a chuir an gnìomh. San dòigh seo faodaidh tu àireamh mhòr de dhuilgheadasan a sheachnadh le bhith a ’taghadh toradh“ dall ”. A bharrachd air an sin, bheir buileachadh às deidh “pìleat” comasach innleadairean mòran nas lugha de sgrios air ceallan neoni agus falt liath. Feuch an obraich sinn a-mach carson a tha deuchainn pìleat cho cudromach airson pròiseact soirbheachail, a’ cleachdadh an eisimpleir de inneal mòr-chòrdte airson smachd a chumail air ruigsinneachd air lìonra corporra - Cisco ISE. Beachdaichidh sinn an dà chuid air roghainnean àbhaisteach agus gu tur neo-àbhaisteach airson am fuasgladh a choinnich sinn nar cleachdadh a chleachdadh.
Cisco ISE - “Frithealaiche radius air steroids”
Tha Cisco Identity Services Engine (ISE) na àrd-ùrlar airson siostam smachd ruigsinneachd a chruthachadh airson lìonra sgìre ionadail buidhne. Anns a’ choimhearsnachd eòlach, chaidh am far-ainm “Radius server on steroids” a thoirt air an toradh airson na feartan aige. Carson a tha sin? Gu bunaiteach, is e frithealaiche Radius am fuasgladh, ris an deach àireamh mhòr de sheirbheisean agus “cleasan” a bharrachd a cheangal, a ’toirt cothrom dhut tòrr fiosrachaidh co-theacsail fhaighinn agus an seata dàta a thig às a chuir an sàs ann am poileasaidhean ruigsinneachd.
Coltach ri frithealaiche Radius sam bith eile, bidh Cisco ISE ag eadar-obrachadh le uidheamachd lìonra ìre ruigsinneachd, a ’tional fiosrachadh mu gach oidhirp ceangal ris an lìonra corporra agus, stèidhichte air poileasaidhean dearbhaidh is ùghdarrais, a’ ceadachadh no a ’diùltadh luchd-cleachdaidh chun LAN. Ach, tha comas pròifil, postadh agus amalachadh le fuasglaidhean tèarainteachd fiosrachaidh eile ga dhèanamh comasach loidsig a’ phoileasaidh ceadachaidh a dhèanamh nas iom-fhillte agus mar sin fuasgladh fhaighinn air duilgheadasan gu math duilich agus inntinneach.
Chan urrainnear buileachadh a phìleatadh: carson a tha feum agad air deuchainn?
Is e luach deuchainn pìleat a bhith a’ sealltainn a h-uile comas san t-siostam ann am bun-structar sònraichte buidheann sònraichte. Tha mi a’ creidsinn gum bi pìleatadh Cisco ISE mus tèid a bhuileachadh na bhuannachd don h-uile duine a tha an sàs sa phròiseact, agus seo carson.
Bheir seo beachd soilleir dha integradairean mu na tha an neach-ceannach a’ sùileachadh agus cuidichidh e le bhith a’ cruthachadh sònrachadh teignigeach ceart anns a bheil tòrr a bharrachd mion-fhiosrachaidh na an abairt chumanta “dèan cinnteach gu bheil a h-uile dad ceart gu leòr.” Tha "Pìleat" a 'leigeil leinn a bhith a' faireachdainn pian an neach-cleachdaidh gu lèir, a 'tuigsinn dè na gnìomhan a tha na phrìomhachas dha agus a tha àrd-sgoile. Dhuinne, is e cothrom math a tha seo faighinn a-mach ro-làimh dè an uidheamachd a thathas a’ cleachdadh sa bhuidheann, mar a thèid am buileachadh air adhart, dè na làraich, far a bheil iad, agus mar sin air adhart.
Rè deuchainn pìleat, bidh luchd-ceannach a’ faicinn an fhìor shiostam ag obair, a’ faighinn eòlas air an eadar-aghaidh aige, is urrainn dhaibh faighinn a-mach a bheil e co-chòrdail ris a’ bhathar-cruaidh a th’ aca, agus tuigse iomlan fhaighinn air mar a dh’ obraicheas am fuasgladh às deidh làn bhuileachadh. Is e “Pìleat” an dearbh mhionaid nuair a chì thu a h-uile cnap-starra a dh’ fhaodadh a bhith ort aig àm amalachaidh, agus co-dhùnadh cia mheud cead a dh’ fheumas tu a cheannach.
Dè as urrainn “pop up” tron “phìleat”
Mar sin, ciamar a nì thu ullachadh ceart airson Cisco ISE a bhuileachadh? Bhon eòlas a th’ againn, tha sinn air 4 prìomh phuingean a chunntadh a tha cudromach beachdachadh nuair a thathar a’ dèanamh deuchainn air an t-siostam.
Factar cruth
An toiseach, feumaidh tu co-dhùnadh dè am feart cruth a thèid an siostam a chuir an gnìomh: upline corporra no brìgheil. Tha buannachdan agus eas-bhuannachdan aig gach roghainn. Mar eisimpleir, is e neart àrdachadh corporra an coileanadh ris a bheil dùil, ach cha bu chòir dhuinn dìochuimhneachadh gu bheil innealan mar sin air a dhol à bith thar ùine. Chan eil loidhnichean mas-fhìor cho ro-innseach oir ... an urra ris a’ bhathar-chruaidh air a bheil an àrainneachd virtualization air a chleachdadh, ach tha fìor bhuannachd aca: ma tha taic ri fhaighinn, faodar an-còmhnaidh ùrachadh chun dreach as ùire.
A bheil an uidheamachd lìonra agad co-chòrdail ri Cisco ISE?
Gu dearbh, bhiodh an suidheachadh air leth math a bhith a’ ceangal a h-uile uidheamachd ris an t-siostam aig an aon àm. Ach, chan eil seo an-còmhnaidh comasach leis gu bheil mòran bhuidhnean fhathast a’ cleachdadh suidsichean neo suidse nach eil a’ toirt taic do chuid de na teicneòlasan a tha a’ ruith Cisco ISE. Co-dhiù, chan eil sinn dìreach a’ bruidhinn mu dheidhinn suidsichean, faodaidh e cuideachd a bhith nan riaghladairean lìonra gun uèir, luchd-cruinneachaidh VPN agus uidheamachd sam bith eile ris am bi luchd-cleachdaidh a’ ceangal. Anns a’ chleachdadh agam, tha cùisean air a bhith ann nuair, às deidh dhaibh an siostam a thaisbeanadh airson làn bhuileachadh, rinn an neach-ceannach ùrachadh cha mhòr air a’ chabhlach gu lèir de suidsichean ìre ruigsinneachd gu uidheamachd Cisco an latha an-diugh. Gus iongnadh mì-thlachdmhor a sheachnadh, is fhiach faighinn a-mach ro-làimh dè a 'chuibhreann de uidheamachd gun taic.
A bheil na h-innealan agad uile àbhaisteach?
Tha innealan àbhaisteach aig lìonra sam bith nach bu chòir a bhith duilich ceangal a dhèanamh riutha: ionadan-obrach, fònaichean IP, puingean inntrigidh Wi-Fi, camarathan bhidio, agus mar sin air adhart. Ach tha e cuideachd a 'tachairt gum feum innealan neo-àbhaisteach a bhith ceangailte ris an LAN, mar eisimpleir, inneal-tionndaidh comharran bus RS232 / Ethernet, eadar-aghaidh solarachaidh cumhachd nach gabh a bhriseadh, diofar uidheamachd teicneòlais, msaa. , gus am bi tuigse agad mu thràth aig an ìre buileachaidh dè cho teicnigeach sa bhios iad ag obair le Cisco ISE.
Conaltradh cuideachail le eòlaichean IT
Gu tric bidh luchd-ceannach Cisco ISE nan roinnean tèarainteachd, agus mar as trice tha uallach air roinnean IT airson suidsichean còmhdach ruigsinneachd agus Active Directory a rèiteachadh. Mar sin, tha eadar-obrachadh buannachdail eadar eòlaichean tèarainteachd agus eòlaichean IT mar aon de na suidheachaidhean cudromach airson an siostam a chuir an gnìomh gun phian. Ma tha an fheadhainn mu dheireadh a 'faicinn amalachadh le nàimhdeas, is fhiach mìneachadh dhaibh mar a bhios am fuasgladh feumail don roinn IT.
Na 5 cùisean cleachdaidh Cisco ISE as fheàrr
Anns an eòlas againn, tha comas-gnìomh riatanach an t-siostaim cuideachd air a chomharrachadh aig ìre deuchainn pìleat. Gu h-ìosal tha cuid de na cùisean cleachdaidh as mòr-chòrdte agus nach eil cho cumanta airson an fhuasglaidh.
Faigh ruigsinneachd LAN thairis air uèir le EAP-TLS
Mar a tha toraidhean rannsachadh ar luchd-brathaidh a’ sealltainn, gu math tric airson a dhol a-steach do lìonra companaidh, bidh luchd-ionnsaigh a’ cleachdadh socaidean àbhaisteach ris a bheil clò-bhualadairean, fònaichean, camarathan IP, puingean Wi-Fi agus innealan lìonra neo-phearsanta eile ceangailte. Mar sin, eadhon ged a tha ruigsinneachd lìonra stèidhichte air teicneòlas dot1x, ach gu bheil protocolaidhean eile air an cleachdadh gun a bhith a’ cleachdadh teisteanasan dearbhaidh luchd-cleachdaidh, tha coltas ann gum bi ionnsaigh shoirbheachail ann le eadar-bheachd seisean agus faclan-faire brùideil. Ann an cùis Cisco ISE, bidh e tòrr nas duilghe teisteanas a ghoid - airson seo, bidh feum aig hackers air mòran a bharrachd cumhachd coimpiutaireachd, agus mar sin tha a ’chùis seo gu math èifeachdach.
Ruigsinneachd gun uèir dà-SSID
Is e brìgh an t-suidheachaidh seo 2 aithnichear lìonra (SSIDs) a chleachdadh. Faodaidh aon dhiubh a bhith air ainmeachadh mar “aoigh”. Tron e, faodaidh an dà chuid aoighean agus luchd-obrach companaidh faighinn chun lìonra gun uèir. Nuair a dh’ fheuchas iad ri ceangal a dhèanamh, thèid an fheadhainn mu dheireadh ath-stiùireadh gu portal sònraichte far am bi ullachadh a’ gabhail àite. Is e sin, thèid teisteanas a thoirt don neach-cleachdaidh agus tha an inneal pearsanta aige air a rèiteachadh gus ath-cheangal gu fèin-ghluasadach ris an dàrna SSID, a tha mar-thà a’ cleachdadh EAP-TLS leis na buannachdan uile bhon chiad chùis.
Seach-rathad Dearbhaidh MAC agus Pròifil
Is e cùis cleachdaidh mòr-chòrdte eile a bhith a’ lorg gu fèin-ghluasadach an seòrsa inneal a tha ceangailte agus a ’cur na cuingeadan ceart air. Carson a tha e inntinneach? Is e an fhìrinn gu bheil tòrr innealan ann fhathast nach eil a ’toirt taic do dhearbhadh a’ cleachdadh protocol 802.1X. Mar sin, feumar leigeil le innealan mar sin a dhol air an lìonra le seòladh MAC, a tha gu math furasta a bhith meallta. Seo far a bheil Cisco ISE a 'tighinn gu teasairginn: le cuideachadh bhon t-siostam, chì thu mar a bhios inneal a' giùlan air an lìonra, a 'cruthachadh a phròifil agus ga shònrachadh do bhuidheann de dh' innealan eile, mar eisimpleir, fòn IP agus ionad-obrach . Ma dh'fheuchas neach-ionnsaigh ri seòladh MAC a mhilleadh agus ceangal ris an lìonra, chì an siostam gu bheil ìomhaigh an uidheim air atharrachadh, comharraichidh e giùlan amharasach agus cha leig e leis an neach-cleachdaidh amharasach a dhol a-steach don lìonra.
EAP-slabhraidh
Tha teicneòlas EAP-Chaining a’ toirt a-steach dearbhadh sreathach den PC obrach agus cunntas cleachdaiche. Tha a’ chùis seo air fàs farsaing air sgàth... Tha mòran chompanaidhean fhathast nach eil a’ brosnachadh a bhith a’ ceangal innealan pearsanta luchd-obrach ris an LAN corporra. A’ cleachdadh an dòigh dearbhaidh seo, tha e comasach dearbhadh a bheil stèisean-obrach sònraichte na bhall den àrainn, agus ma tha an toradh àicheil, cha bhith cead aig an neach-cleachdaidh a dhol a-steach don lìonra, no bidh e comasach dhaibh a dhol a-steach, ach le cinnt. cuingeachaidhean.
A' postadh
Tha a’ chùis seo mu dheidhinn a bhith a’ measadh gèilleadh bathar-bog an ionad-obrach ri riatanasan tèarainteachd fiosrachaidh. A’ cleachdadh an teicneòlais seo, faodaidh tu dèanamh cinnteach a bheil am bathar-bog air an ionad-obrach air ùrachadh, a bheil ceumannan tèarainteachd air an cur a-steach air, a bheil am balla-teine aoigheachd air a rèiteachadh, msaa. Gu inntinneach, tha an teicneòlas seo cuideachd a 'toirt cothrom dhut gnìomhan eile nach eil co-cheangailte ri tèarainteachd fhuasgladh, mar eisimpleir, a' sgrùdadh làthaireachd nam faidhlichean riatanach no a 'stàladh bathar-bog air feadh an t-siostaim.
Tha cùisean cleachdaidh nach eil cho cumanta airson Cisco ISE a’ toirt a-steach smachd ruigsinneachd le dearbhadh àrainn deireadh-gu-deireadh (ID fulangach), meanbh-sgaradh agus sìoladh stèidhichte air SGT, a bharrachd air amalachadh le siostaman riaghlaidh innealan gluasadach (MDM) agus Scanairean So-leòntachd.
Pròiseactan neo-àbhaisteach: carson eile a dh’ fhaodadh gum biodh feum agad air Cisco ISE, no 3 cùisean tearc bhon chleachdadh againn
Smachd ruigsinneachd gu frithealaichean stèidhichte air Linux
Aon uair ‘s gu robh sinn a’ fuasgladh cùis caran nach robh cho beag airson aon de na teachdaichean aig an robh siostam Cisco ISE air a chuir an gnìomh mar-thà: dh’ fheumadh sinn dòigh a lorg gus smachd a chumail air gnìomhan luchd-cleachdaidh (luchd-rianachd sa mhòr-chuid) air frithealaichean le Linux air a chuir a-steach. A’ lorg freagairt, thàinig sinn suas leis a’ bheachd a bhith a’ cleachdadh bathar-bog Modal PAM Radius an-asgaidh, a leigeas leat logadh a-steach do na frithealaichean a’ ruith Linux le dearbhadh air frithealaiche radius a-muigh. Bhiodh a h-uile dad a thaobh seo math, mura h-eil airson aon “ach”: chan eil am frithealaiche radius, a ’cur freagairt don iarrtas dearbhaidh, a’ toirt seachad ach ainm a ’chunntais agus an toradh - measadh ris an deach gabhail no measadh a chaidh a dhiùltadh. Aig an aon àm, airson cead ann an Linux, feumaidh tu co-dhiù aon paramadair a bharrachd a shònrachadh - eòlaire dachaigh, gus am faigh an neach-cleachdaidh co-dhiù àiteigin. Cha do lorg sinn dòigh air seo a thoirt seachad mar fheart radius, agus mar sin sgrìobh sinn sgriobt sònraichte airson cunntasan a chruthachadh air astar air luchd-aoigheachd ann am modh leth-fèin-ghluasadach. Bha an obair seo gu math so-dhèanta, leis gu robh sinn a’ dèiligeadh ri cunntasan rianadair, agus cha robh an àireamh dhiubh cho mòr. An uairsin, chuir luchd-cleachdaidh logadh a-steach don inneal a bha a dhìth, agus às deidh sin fhuair iad an ruigsinneachd riatanach. Tha ceist reusanta ag èirigh: a bheil e riatanach Cisco ISE a chleachdadh ann an leithid de chùisean? Gu fìrinneach, chan eil - nì frithealaiche radius sam bith, ach leis gu robh an siostam seo aig an neach-ceannach mu thràth, chuir sinn dìreach feart ùr ris.
Clàr de bhathar-cruaidh is bathar-bog air an LAN
Bha sinn uair ag obair air pròiseact gus Cisco ISE a thoirt do aon neach-ceannach às aonais “pìleat” tòiseachaidh. Cha robh riatanasan soilleir sam bith ann airson an fhuasglaidh, agus bha sinn a’ dèiligeadh ri lìonra rèidh, neo-sgaraichte, a thug iom-fhillteachd air ar n-obair. Rè a’ phròiseict, shuidhich sinn a h-uile modh pròifil a dh’ fhaodadh taic a thoirt don lìonra: NetFlow, DHCP, SNMP, amalachadh AD, msaa. Mar thoradh air an sin, chaidh ruigsinneachd MAR a rèiteachadh leis a’ chomas logadh a-steach don lìonra ma dh’ fhàillig an dearbhadh. Is e sin, eadhon ged nach robh an dearbhadh soirbheachail, leigeadh an siostam leis an neach-cleachdaidh a-steach don lìonra, cruinnich fiosrachadh mu dheidhinn agus clàraich e ann an stòr-dàta ISE. Chuidich an sgrùdadh lìonra seo thar grunn sheachdainean sinn gus siostaman ceangailte agus innealan neo-phearsanta a chomharrachadh agus dòigh-obrach a leasachadh airson an sgaradh. Às deidh seo, chuir sinn air dòigh postadh cuideachd gus an neach-ionaid a chuir a-steach air ionadan-obrach gus fiosrachadh a chruinneachadh mun bhathar-bog a chaidh a chuir a-steach orra. Dè an toradh? B' urrainn dhuinn an lìonra a sgaradh agus liosta nam bathar-bog a dh'fheumadh a thoirt air falbh bho ionadan-obrach a dhearbhadh. Cha chuir mi am falach gun tug gnìomhan eile a thaobh a bhith a’ cuairteachadh luchd-cleachdaidh gu buidhnean fearainn agus a’ mìneachadh chòraichean-slighe tòrr ùine dhuinn, ach san dòigh seo fhuair sinn dealbh iomlan de na bathar-cruaidh a bh’ aig an neach-ceannach air an lìonra. Co-dhiù, cha robh seo duilich air sgàth deagh obair pròifil a-mach às a ’bhogsa. Uill, far nach do chuidich pròifil, choimhead sinn sinn fhìn, a’ soilleireachadh am port suidse ris an robh an uidheamachd ceangailte.
Stàladh iomallach bathar-bog air workstations
Tha a’ chùis seo mar aon den fheadhainn as neònach nam chleachdadh. Aon latha, thàinig neach-ceannach thugainn le glaodh airson cuideachadh - chaidh rudeigin ceàrr nuair a chuir Cisco ISE an gnìomh, bhris a h-uile càil, agus cha b ’urrainn do dhuine sam bith eile faighinn chun lìonra. Thòisich sinn a 'coimhead a-steach dha agus fhuair sinn a-mach na leanas. Bha 2000 coimpiutair aig a’ chompanaidh, a bha, às aonais rianadair fearainn, air an riaghladh fo chunntas rianadair. Airson adhbhar amharc, chuir a’ bhuidheann Cisco ISE an gnìomh. Bha e riatanach dòigh air choireigin a thuigsinn an deach antivirus a chuir a-steach air PCan a bha ann mu thràth, an deach an àrainneachd bathar-bog ùrachadh, msaa. Agus leis gu bheil luchd-rianachd IT air uidheamachd lìonra a chuir a-steach don t-siostam, tha e loidsigeach gun robh cothrom aca air. Às deidh dhaibh faicinn mar a tha e ag obair agus na PCan aca a ghluasad, thàinig an luchd-rianachd suas leis a’ bheachd a bhith a ’stàladh am bathar-bog air ionadan-obrach luchd-obrach air astar gun tadhal pearsanta. Dìreach smaoinich cia mheud ceum as urrainn dhut a shàbhaladh gach latha san dòigh seo! Rinn an luchd-rianachd grunn sgrùdaidhean air an ionad-obrach airson làthaireachd faidhle sònraichte anns an eòlaire C: Program Files, agus ma bha e neo-làthaireach, chaidh leigheas fèin-ghluasadach a chuir air bhog le bhith a’ leantainn ceangal a ’leantainn gu stòradh faidhle chun fhaidhle .exe a stàladh. Leig seo le luchd-cleachdaidh àbhaisteach a dhol gu roinn fhaidhlichean agus am bathar-bog riatanach a luchdachadh sìos às an sin. Gu mì-fhortanach, cha robh eòlas math aig an rianaire air an t-siostam ISE agus rinn e milleadh air na dòighean postaidh - sgrìobh e am poileasaidh gu ceàrr, a dh’ adhbhraich duilgheadas a bha sinn an sàs ann am fuasgladh. Gu pearsanta, tha e na iongnadh mòr dhomh le dòigh-obrach cho cruthachail, oir bhiodh e tòrr na bu shaoire agus nas lugha de shaothair rianadair fearainn a chruthachadh. Ach mar dhearbhadh air bun-bheachd dh’ obraich e.
Leugh tuilleadh mu na nuances teicnigeach a thig am bàrr nuair a chuireas Cisco ISE an gnìomh ann an artaigil mo cho-obraiche .
Artem Bobikov, innleadair dealbhaidh an Ionad Tèarainteachd Fiosrachaidh aig Jet Infosystems
Post-d gu caraid:
A dh ’aindeoin gu bheil an dreuchd seo a’ bruidhinn air siostam Cisco ISE, tha na duilgheadasan a chaidh a mhìneachadh buntainneach don chlas iomlan de fhuasglaidhean NAC. Chan eil e cho cudromach dè am fuasgladh reiceadair a tha san amharc airson a bhuileachadh - bidh a’ mhòr-chuid de na tha gu h-àrd fhathast iomchaidh.
Source: www.habr.com