Cantas veces compras algo espontáneamente, sucumbiendo a un anuncio xenial, e entón este elemento inicialmente desexado acumula po nun armario, despensa ou garaxe ata a próxima limpeza ou mudanza de primavera? O resultado é a decepción debido a expectativas inxustificadas e diñeiro malgastado. É moito peor cando isto lle pasa a un negocio. Moitas veces, os trucos de mercadotecnia son tan bos que as empresas compran unha solución cara sen ver a imaxe completa da súa aplicación. Mentres tanto, as probas de proba do sistema axudan a comprender como preparar a infraestrutura para a integración, que funcionalidades e ata que punto se deben implementar. Deste xeito, pode evitar un gran número de problemas debido a elixir un produto "a cegas". Ademais, a implementación despois dun "piloto" competente traerá aos enxeñeiros moito menos células nerviosas destruídas e canas. Imos descubrir por que as probas piloto son tan importantes para un proxecto exitoso, usando o exemplo dunha ferramenta popular para controlar o acceso a unha rede corporativa: Cisco ISE. Consideremos as opcións estándar e completamente non estándar para usar a solución que atopamos na nosa práctica.
Cisco ISE - "Servidor Radius en esteroides"
Cisco Identity Services Engine (ISE) é unha plataforma para crear un sistema de control de acceso para a rede de área local dunha organización. Na comunidade de expertos, o produto foi alcumado "Servidor Radius en esteroides" polas súas propiedades. Por que é iso? Esencialmente, a solución é un servidor Radius, ao que se engadiron unha gran cantidade de servizos e "trucos" adicionais, o que lle permite recibir unha gran cantidade de información contextual e aplicar o conxunto de datos resultante nas políticas de acceso.
Como calquera outro servidor Radius, Cisco ISE interactúa con equipos de rede de nivel de acceso, recolle información sobre todos os intentos de conectarse á rede corporativa e, en función das políticas de autenticación e autorización, permite ou denega aos usuarios a LAN. Non obstante, a posibilidade de perfilar, publicar e integrar con outras solucións de seguridade da información fai posible complicar significativamente a lóxica da política de autorización e, con iso, resolver problemas bastante difíciles e interesantes.
A implementación non se pode pilotar: por que precisa probar?
O valor das probas piloto é demostrar todas as capacidades do sistema na infraestrutura específica dunha organización específica. Creo que pilotar Cisco ISE antes da implementación beneficia a todos os implicados no proxecto, e aquí tes por que.
Isto dá aos integradores unha idea clara das expectativas do cliente e axuda a crear unha especificación técnica correcta que conteña moito máis detalles que a frase común "asegúrese de que todo estea ben". “Piloto” permítenos sentir toda a dor do cliente, comprender que tarefas son prioritarias para el e cales son secundarias. Para nós, esta é unha excelente oportunidade para descubrir con antelación que equipos se usan na organización, como se levará a cabo a implementación, en que sitios, onde se atopan, etc.
Durante as probas piloto, os clientes ven o sistema real en acción, familiarízanse coa súa interface, poden comprobar se é compatible co seu hardware existente e obteñen unha comprensión holística de como funcionará a solución despois da implementación completa. "Piloto" é o momento no que podes ver todas as trampas que probablemente atoparás durante a integración e decidir cantas licenzas necesitas mercar.
O que pode aparecer durante o "piloto"
Entón, como se prepara adecuadamente para implementar Cisco ISE? A partir da nosa experiencia, contamos 4 puntos principais que son importantes a ter en conta durante a proba piloto do sistema.
Factor de forma
En primeiro lugar, cómpre decidir en que forma se implementará o sistema: liña ascendente física ou virtual. Cada opción ten vantaxes e desvantaxes. Por exemplo, a fortaleza dunha liña ascendente física é o seu rendemento previsible, pero non debemos esquecer que estes dispositivos quedan obsoletos co paso do tempo. As liñas ascendentes virtuais son menos previsibles porque... dependen do hardware no que se despregue o contorno de virtualización, pero teñen unha gran vantaxe: se hai soporte, sempre se poden actualizar á última versión.
O seu equipo de rede é compatible con Cisco ISE?
Por suposto, o escenario ideal sería conectar todos os equipos ao sistema á vez. Non obstante, isto non sempre é posible xa que moitas organizacións aínda usan conmutadores non xestionados ou que non admiten algunhas das tecnoloxías que executan Cisco ISE. Por certo, non só falamos de interruptores, tamén poden ser controladores de rede sen fíos, concentradores VPN e calquera outro equipo ao que se conecten os usuarios. Na miña práctica, houbo casos nos que, despois de demostrar o sistema para a implementación completa, o cliente actualizou case toda a flota de conmutadores de nivel de acceso a equipos modernos de Cisco. Para evitar sorpresas desagradables, paga a pena descubrir con antelación a proporción de equipos non compatibles.
Todos os teus dispositivos son estándar?
Calquera rede ten dispositivos típicos aos que non debería ser difícil conectarse: estacións de traballo, teléfonos IP, puntos de acceso Wi-Fi, cámaras de vídeo, etc. Pero tamén ocorre que os dispositivos non estándar deben estar conectados á LAN, por exemplo, conversores de sinal de bus RS232/Ethernet, interfaces de alimentación ininterrompida, varios equipos tecnolóxicos, etc. É importante determinar a lista de tales dispositivos con antelación. , para que na fase de implementación xa teña unha comprensión de como funcionarán tecnicamente con Cisco ISE.
Diálogo construtivo con especialistas en TI
Os clientes de Cisco ISE adoitan ser departamentos de seguridade, mentres que os departamentos de TI adoitan ser responsables da configuración de conmutadores de capa de acceso e Active Directory. Polo tanto, a interacción produtiva entre especialistas en seguridade e especialistas en TI é unha das condicións importantes para unha implementación sen dor do sistema. Se estes últimos perciben a integración con hostilidade, convén explicarlles como lle será útil a solución ao departamento de TI.
Os 5 principais casos de uso de Cisco ISE
Na nosa experiencia, a funcionalidade necesaria do sistema tamén se identifica na fase de proba piloto. A continuación móstranse algúns dos casos de uso máis populares e menos comúns para a solución.
Acceso seguro á LAN a través dun cable con EAP-TLS
Como mostran os resultados da investigación dos nosos pentesters, moitas veces para penetrar na rede dunha empresa, os atacantes usan sockets comúns aos que se conectan impresoras, teléfonos, cámaras IP, puntos Wi-Fi e outros dispositivos de rede non persoais. Polo tanto, aínda que o acceso á rede se basee na tecnoloxía dot1x, pero utilízanse protocolos alternativos sen utilizar certificados de autenticación de usuarios, hai unha alta probabilidade de que un ataque exitoso con interceptación de sesións e contrasinais de forza bruta. No caso de Cisco ISE, será moito máis difícil roubar un certificado; para iso, os hackers necesitarán moita máis potencia informática, polo que este caso é moi efectivo.
Acceso sen fíos SSID dual
A esencia deste escenario é usar 2 identificadores de rede (SSID). Un deles pódese chamar condicionalmente "invitado". A través del, tanto os hóspedes como os empregados da empresa poden acceder á rede sen fíos. Cando tentan conectarse, estes últimos son redirixidos a un portal especial onde se realiza o aprovisionamento. É dicir, expídese ao usuario un certificado e o seu dispositivo persoal está configurado para volver conectarse automaticamente ao segundo SSID, que xa utiliza EAP-TLS con todas as vantaxes do primeiro caso.
Omisión e perfilado de autenticación MAC
Outro caso de uso popular é detectar automaticamente o tipo de dispositivo que se está conectado e aplicarlle as restricións correctas. Por que é interesante? O caso é que aínda hai bastantes dispositivos que non admiten a autenticación mediante o protocolo 802.1X. Polo tanto, estes dispositivos teñen que ser permitidos na rede usando un enderezo MAC, que é bastante fácil de falsificar. Aquí é onde Cisco ISE vén ao rescate: coa axuda do sistema, podes ver como se comporta un dispositivo na rede, crear o seu perfil e asignalo a un grupo de outros dispositivos, por exemplo, un teléfono IP e unha estación de traballo. . Se un atacante tenta falsificar un enderezo MAC e conectarse á rede, o sistema verá que o perfil do dispositivo cambiou, sinalará un comportamento sospeitoso e non permitirá que o usuario sospeitoso entre á rede.
EAP-Encadeamento
A tecnoloxía EAP-Chaining implica a autenticación secuencial do PC en funcionamento e da conta de usuario. Este caso xeneralizouse porque... Moitas empresas aínda non animan a conectar os gadgets persoais dos empregados á LAN corporativa. Usando este enfoque de autenticación, é posible comprobar se unha determinada estación de traballo é membro do dominio e, se o resultado é negativo, o usuario non poderá entrar na rede ou poderá entrar, pero con certos requisitos. restricións.
Posturación
Este caso trata de avaliar o cumprimento do software da estación de traballo cos requisitos de seguridade da información. Usando esta tecnoloxía, pode comprobar se o software da estación de traballo está actualizado, se están instaladas medidas de seguridade nela, se está configurado o firewall do host, etc. Curiosamente, esta tecnoloxía tamén permite resolver outras tarefas non relacionadas coa seguridade, por exemplo, comprobar a presenza dos ficheiros necesarios ou instalar software para todo o sistema.
Os casos de uso menos comúns de Cisco ISE inclúen o control de acceso con autenticación de dominio de extremo a extremo (ID pasivo), microsegmentación e filtrado baseados en SGT, así como a integración con sistemas de xestión de dispositivos móbiles (MDM) e escáneres de vulnerabilidades.
Proxectos non estándar: por que outra cousa pode necesitar Cisco ISE, ou 3 casos raros da nosa práctica
Control de acceso a servidores baseados en Linux
Unha vez resolvemos un caso pouco banal para un dos clientes que xa tiña implantado o sistema Cisco ISE: necesitabamos buscar un xeito de controlar as accións dos usuarios (principalmente administradores) nos servidores con Linux instalado. Na procura dunha resposta, ocorreu a idea de usar o software gratuíto PAM Radius Module, que permite iniciar sesión en servidores que executan Linux con autenticación nun servidor radius externo. Todo a este respecto sería bo, se non fose por un "pero": o servidor de radio, ao enviar unha resposta á solicitude de autenticación, dá só o nome da conta e o resultado: avaliar aceptado ou avaliar rexeitado. Mentres tanto, para a autorización en Linux, cómpre asignar polo menos un parámetro máis: o directorio de inicio, para que o usuario polo menos chegue a algún lugar. Non atopamos unha forma de dar isto como un atributo de radio, polo que escribimos un script especial para crear contas de forma remota en hosts nun modo semiautomático. Esta tarefa era bastante factible, xa que estabamos tratando con contas de administrador, cuxo número non era tan grande. A continuación, os usuarios iniciaron sesión no dispositivo necesario, despois de que se lles asignou o acceso necesario. Xorde unha pregunta razoable: é necesario usar Cisco ISE en tales casos? En realidade, non, calquera servidor de radio servirá, pero como o cliente xa tiña este sistema, simplemente lle engadimos unha nova función.
Inventario de hardware e software na LAN
Unha vez traballamos nun proxecto para fornecer Cisco ISE a un cliente sen un "piloto" preliminar. Non había requisitos claros para a solución, ademais estabamos ante unha rede plana e non segmentada, o que complicaba a nosa tarefa. Durante o proxecto, configuramos todos os posibles métodos de perfilado que admitía a rede: NetFlow, DHCP, SNMP, integración AD, etc. Como resultado, o acceso MAR foi configurado coa posibilidade de iniciar sesión na rede se fallaba a autenticación. É dicir, aínda que a autenticación non fose exitosa, o sistema aínda permitiría ao usuario entrar na rede, recoller información sobre el e rexistrala na base de datos ISE. Este seguimento da rede durante varias semanas axudounos a identificar sistemas conectados e dispositivos non persoais e desenvolver un enfoque para segmentalos. Despois diso, configuramos ademais a publicación para instalar o axente nas estacións de traballo co fin de recoller información sobre o software instalado nelas. Cal é o resultado? Puidemos segmentar a rede e determinar a lista de software que debía eliminarse das estacións de traballo. Non vou ocultar que as tarefas posteriores de distribución de usuarios en grupos de dominio e delimitación de dereitos de acceso levounos bastante tempo, pero deste xeito obtivemos unha imaxe completa do hardware que tiña o cliente na rede. Por certo, isto non foi difícil debido ao bo traballo de perfilar fóra da caixa. Ben, onde o perfilado non axudou, miramos nós mesmos, destacando o porto de conmutación ao que estaba conectado o equipo.
Instalación remota de software en estacións de traballo
Este caso é un dos máis estraños da miña práctica. Un día, un cliente veunos pedindo axuda: algo saíu mal ao implementar Cisco ISE, todo rompeu e ninguén máis puido acceder á rede. Comezamos a investigalo e descubrimos o seguinte. A empresa tiña 2000 ordenadores que, a falta dun controlador de dominio, eran xestionados baixo unha conta de administrador. Para os efectos do peering, a organización implementou Cisco ISE. Era necesario entender dalgún xeito se se instalou un antivirus nos ordenadores existentes, se se actualizou o entorno do software, etc. E dado que os administradores de TI instalaron equipos de rede no sistema, é lóxico que tivesen acceso a el. Despois de ver como funciona e decorar os seus ordenadores, aos administradores ocorreu a idea de instalar o software nas estacións de traballo dos empregados de forma remota sen visitas persoais. Imaxina cantos pasos podes aforrar ao día deste xeito! Os administradores realizaron varias comprobacións da estación de traballo para detectar a presenza dun ficheiro específico no directorio C:Arquivos de programa e, se non estaba, lanzábase a corrección automática seguindo unha ligazón que conducía ao almacenamento de ficheiros ao ficheiro .exe de instalación. Isto permitiu aos usuarios comúns ir a un ficheiro compartido e descargar o software necesario desde alí. Desafortunadamente, o administrador non coñecía ben o sistema ISE e danou os mecanismos de publicación: escribiu a política incorrectamente, o que provocou un problema que estivemos implicados na resolución. Persoalmente, estou sinceramente sorprendido por un enfoque tan creativo, porque sería moito máis barato e menos laborioso crear un controlador de dominio. Pero como proba de concepto funcionou.
Lea máis sobre os matices técnicos que xorden ao implementar Cisco ISE no artigo do meu compañeiro .
Artem Bobrikov, enxeñeiro de deseño do Centro de Seguridade da Información de Jet Infosystems
Posterior:
A pesar de que esta publicación fala sobre o sistema Cisco ISE, os problemas descritos son relevantes para toda a clase de solucións NAC. Non é tan importante a solución do provedor que se planea para a súa implementación; a maior parte do anterior seguirá sendo aplicable.
Fonte: www.habr.com