Sau nawa kuke siyan wani abu ba zato ba tsammani, kuna shiga cikin talla mai sanyi, sannan kuma wannan abin da ake so da farko yana tara ƙura a cikin kabad, kantin kayan abinci ko gareji har sai lokacin bazara na gaba ko ƙaura? Sakamakon shine rashin jin daɗi saboda tsammanin rashin gaskiya da kuma asarar kuɗi. Ya fi muni idan wannan ya faru da kasuwanci. Sau da yawa, gimmicks na tallace-tallace suna da kyau sosai cewa kamfanoni suna siyan bayani mai tsada ba tare da ganin cikakken hoton aikace-aikacen sa ba. A halin yanzu, gwajin gwaji na tsarin yana taimakawa wajen fahimtar yadda za a shirya kayan aiki don haɗin kai, wane aiki da kuma yadda ya kamata a aiwatar da shi. Ta wannan hanyar za ku iya guje wa matsaloli masu yawa saboda zabar samfurin "makãho". Bugu da ƙari, aiwatarwa bayan ƙwararren "matukin jirgi" zai kawo injiniyoyi da yawa da ba su lalata ƙwayoyin jijiya da gashi mai launin toka. Bari mu gano dalilin da ya sa gwajin matukin jirgi ke da mahimmanci don aiki mai nasara, ta amfani da misalin sanannen kayan aiki don sarrafa damar shiga cibiyar sadarwar kamfanoni - Cisco ISE. Bari mu yi la'akari da daidaitattun zaɓuɓɓukan da ba daidai ba gaba ɗaya don amfani da maganin da muka ci karo da su a cikin aikinmu.
Cisco ISE - "Sabar Radius akan steroids"
Cisco Identity Services Engine (ISE) wani dandali ne don ƙirƙirar tsarin kula da shiga don cibiyar sadarwar yanki na ƙungiya. A cikin ƙwararrun al'ummar, ana yiwa samfurin lakabin "Sabar Radius akan steroids" don kaddarorin sa. Me yasa haka? Mahimmanci, mafita shine uwar garken Radius, wanda aka haɗa da adadin ƙarin ayyuka da "dabarun" da aka haɗa, yana ba ku damar karɓar babban adadin bayanan mahallin da kuma amfani da bayanan da aka samu a cikin manufofin samun dama.
Kamar kowane uwar garken Radius, Cisco ISE yana hulɗa tare da kayan aikin cibiyar sadarwa na matakin samun dama, yana tattara bayanai game da duk ƙoƙarin haɗi zuwa cibiyar sadarwar kamfanoni kuma, dangane da ingantattun manufofin izini da izini, ba da izini ko hana masu amfani zuwa LAN. Koyaya, yuwuwar bayanin martaba, aikawa, da haɗin kai tare da wasu hanyoyin tsaro na bayanai yana ba da damar yin wahala sosai kan dabaru na manufofin izini kuma ta haka ne za a warware matsaloli masu wahala da ban sha'awa.
Ba za a iya gwada aiwatarwa ba: me yasa kuke buƙatar gwaji?
Darajar gwajin matukin jirgi shine don nuna duk damar tsarin a cikin takamaiman kayan aikin wata ƙungiya. Na yi imani cewa gwajin Cisco ISE kafin aiwatarwa yana amfanar duk wanda ke cikin aikin, kuma ga dalilin da ya sa.
Wannan yana ba wa masu haɗa haɗin kai cikakkiyar ra'ayi game da tsammanin abokin ciniki kuma yana taimakawa wajen ƙirƙirar ƙayyadaddun ƙayyadaddun fasaha wanda ya ƙunshi ƙarin daki-daki fiye da kalmar gama gari "tabbatar da komai yana da kyau." "Pilot" yana ba mu damar jin duk zafin abokin ciniki, don fahimtar abin da ayyuka ke da fifiko a gare shi da kuma na biyu. A gare mu, wannan wata kyakkyawar dama ce don gano a gaba abin da kayan aiki da ake amfani da su a cikin kungiyar, yadda za a aiwatar da aiwatarwa, a kan wace shafuka, inda suke, da sauransu.
A lokacin gwajin matukin jirgi, abokan ciniki suna ganin ainihin tsarin da ke aiki, su saba da ƙirar sa, suna iya bincika ko ya dace da kayan aikin da suke da su, kuma su sami cikakkiyar fahimtar yadda mafita za ta yi aiki bayan cikar aiwatarwa. "Pilot" shine ainihin lokacin da zaku iya ganin duk ramukan da wataƙila za ku iya fuskanta yayin haɗin gwiwa, kuma ku yanke shawarar lasisi nawa kuke buƙatar siyan.
Abin da zai iya "fito" a lokacin "matukin jirgi"
Don haka, ta yaya kuke shirya yadda yakamata don aiwatar da Cisco ISE? Daga kwarewarmu, mun ƙidaya mahimman abubuwan 4 waɗanda ke da mahimmanci a yi la'akari da su yayin gwajin gwaji na tsarin.
Factor Factor
Da farko, kuna buƙatar yanke shawara a cikin wane nau'i nau'i nau'in tsarin za a aiwatar da shi: na zahiri ko na zahiri. Kowane zaɓi yana da fa'ida da rashin amfani. Misali, ƙarfin juzu'i na zahiri shine aikin da ake iya faɗi, amma kada mu manta cewa irin waɗannan na'urori suna tsufa akan lokaci. Abubuwan da ba a iya gani ba ne saboda ... ya dogara da kayan aikin da aka tura yanayin haɓakawa, amma suna da fa'ida mai mahimmanci: idan akwai tallafi, koyaushe ana iya sabunta su zuwa sabon sigar.
Shin kayan sadarwar ku sun dace da Cisco ISE?
Tabbas, yanayin da ya dace shine haɗa duk kayan aiki zuwa tsarin lokaci ɗaya. Duk da haka, wannan ba koyaushe yana yiwuwa ba saboda ƙungiyoyi da yawa har yanzu suna amfani da maɓalli ko maɓalli waɗanda ba sa goyan bayan wasu fasahohin da ke tafiyar da Cisco ISE. Af, ba kawai muna magana ne game da sauyawa ba, har ila yau yana iya zama masu kula da hanyar sadarwa mara waya, VPN concentrators da duk wani kayan aiki wanda masu amfani ke haɗa su. A cikin aikina, an sami lokuta lokacin da, bayan nuna tsarin don cikakken aiwatarwa, abokin ciniki ya inganta kusan dukkanin matakan matakan samun dama ga kayan aikin Cisco na zamani. Don kauce wa abubuwan ban mamaki mara kyau, yana da kyau a gano a gaba yawan adadin kayan aiki marasa tallafi.
Shin duk na'urorinku daidai ne?
Kowace hanyar sadarwa tana da na'urori na yau da kullun waɗanda bai kamata su kasance da wahala a haɗa su ba: wuraren aiki, wayoyin IP, wuraren shiga Wi-Fi, kyamarori na bidiyo, da sauransu. Amma kuma yana faruwa cewa na'urorin da ba daidai ba suna buƙatar haɗa su zuwa LAN, alal misali, masu canza siginar bas na RS232/Ethernet, hanyoyin samar da wutar lantarki marasa katsewa, kayan fasaha daban-daban, da sauransu. Yana da mahimmanci a tantance jerin irin waɗannan na'urori a gaba. , don haka a matakin aiwatarwa kun riga kun fahimci yadda fasaha za su yi aiki tare da Cisco ISE.
Tattaunawa mai inganci tare da kwararrun IT
Abokan ciniki na Cisco ISE galibi sassan tsaro ne, yayin da sassan IT galibi ke da alhakin daidaita madaidaicin maɓalli da kuma Active Directory. Sabili da haka, kyakkyawar hulɗa tsakanin ƙwararrun tsaro da ƙwararrun IT shine ɗayan mahimman yanayi don aiwatar da tsarin mara zafi. Idan na ƙarshe ya fahimci haɗin kai tare da ƙiyayya, yana da kyau a bayyana musu yadda mafita za ta kasance da amfani ga sashen IT.
Manyan lokuta 5 Cisco ISE amfani
A cikin kwarewarmu, ana kuma gano aikin da ake buƙata na tsarin a matakin gwajin matukin jirgi. A ƙasa akwai wasu shahararrun sharuɗɗan amfani da marasa amfani don maganin.
Amintaccen damar LAN akan waya tare da EAP-TLS
Kamar yadda sakamakon binciken ƙwararrun mu ya nuna, sau da yawa don kutsa kai cikin hanyar sadarwar kamfani, maharan suna amfani da kwasfa na yau da kullun waɗanda firintocin, wayoyi, kyamarar IP, maki Wi-Fi da sauran na'urorin cibiyar sadarwar da ba na sirri ke haɗa su ba. Don haka, ko da damar hanyar sadarwa ta dogara ne akan fasahar dot1x, amma ana amfani da madadin ƙa'idodi ba tare da amfani da takaddun shaida na mai amfani ba, akwai yuwuwar samun nasara a kai hari tare da shiga tsakani da kalmomin shiga masu ƙarfi. A cikin yanayin Cisco ISE, zai zama da wahala a sata takardar shaidar - don wannan, hackers za su buƙaci ƙarin ƙarfin kwamfuta, don haka wannan shari'ar tana da tasiri sosai.
Dual-SSID damar mara waya
Ma'anar wannan yanayin shine a yi amfani da masu gano hanyar sadarwa guda biyu (SSIDs). Daya daga cikinsu ana iya kiran shi da yanayin "bako". Ta hanyarsa, duka baƙi da ma'aikatan kamfani za su iya shiga hanyar sadarwar mara waya. Lokacin da suke ƙoƙarin haɗawa, ana tura na ƙarshe zuwa tashar tashar ta musamman inda ake yin tanadi. Wato ana ba mai amfani takardar shaida kuma an saita na'urarsa ta sirri don sake haɗawa ta atomatik zuwa SSID na biyu, wanda tuni yana amfani da EAP-TLS tare da duk fa'idodin shari'ar farko.
Tabbacin MAC Ketare da Bayani
Wani sanannen yanayin amfani shine gano nau'in na'urar da ake haɗa kai tsaye kuma a yi amfani da takamaiman hani akanta. Me yasa yake da ban sha'awa? Gaskiyar ita ce, har yanzu akwai na'urori da yawa waɗanda ba sa goyan bayan tantancewa ta amfani da ka'idar 802.1X. Don haka, irin waɗannan na'urori dole ne a ba su izinin shiga hanyar sadarwar ta amfani da adireshin MAC, wanda ke da sauƙin karya. Wannan shi ne inda Cisco ISE ya zo don ceto: tare da taimakon tsarin, za ku iya ganin yadda na'urar ke aiki akan hanyar sadarwa, ƙirƙirar bayanin martaba kuma sanya shi zuwa rukuni na wasu na'urori, misali, wayar IP da wurin aiki. . Idan maharin yayi ƙoƙari ya zubar da adireshin MAC kuma ya haɗa zuwa hanyar sadarwar, tsarin zai ga cewa bayanin martabar na'urar ya canza, zai nuna halayen da ake tuhuma kuma ba zai ƙyale mai amfani da ake zargi ya shiga cikin hanyar sadarwar ba.
EAP-Chaining
Fasahar EAP-Chaining tana ƙunshe da tantancewar PC mai aiki da asusun mai amfani. Wannan lamarin ya zama ruwan dare gama gari saboda... Yawancin kamfanoni har yanzu ba sa ƙarfafa haɗa kayan aikin ma'aikata zuwa LAN na kamfani. Yin amfani da wannan hanyar don tabbatarwa, yana yiwuwa a bincika ko takamaiman wurin aiki memba ne na yankin, kuma idan sakamakon ya kasance mara kyau, ko dai ba za a ba mai amfani damar shiga cikin hanyar sadarwar ba, ko kuma zai iya shiga, amma tare da wasu takamaiman. ƙuntatawa.
Bugawa
Wannan shari'ar game da kimanta yarda da software na wurin aiki tare da buƙatun tsaro na bayanai. Ta amfani da wannan fasaha, zaku iya bincika ko an sabunta software ɗin da ke wurin aiki, ko an shigar da matakan tsaro a kanta, ko an daidaita ma'aunin wutar lantarki, da dai sauransu. Abin sha'awa shine, wannan fasaha kuma tana ba ku damar warware wasu ayyukan da ba su da alaƙa da tsaro, misali, bincika kasancewar fayiloli masu mahimmanci ko shigar da software mai faɗi.
Abubuwan da ba a saba amfani da su ba don Cisco ISE sun haɗa da ikon samun dama tare da ingantaccen yanki na ƙarshen-zuwa-ƙarshen (Passive ID), ƙaramin yanki na tushen SGT da tacewa, gami da haɗin kai tare da tsarin sarrafa na'urar hannu (MDM) da Scanners Vulnerability.
Ayyukan da ba daidai ba: me yasa kuke buƙatar Cisco ISE, ko lokuta 3 da ba kasafai ba daga aikinmu
Ikon isa ga sabar tushen Linux
Da zarar muna warware wani ƙaramin ƙarami ga ɗaya daga cikin abokan cinikin da suka riga sun aiwatar da tsarin Cisco ISE: muna buƙatar nemo hanyar sarrafa ayyukan mai amfani (mafi yawa masu gudanarwa) akan sabar tare da shigar Linux. Don neman amsa, mun zo da ra'ayin yin amfani da software na PAM Radius Module kyauta, wanda ke ba ku damar shiga cikin sabobin da ke aiki da Linux tare da tabbaci akan sabar radius na waje. Duk abin da ke cikin wannan zai zama mai kyau, idan ba don ɗaya "amma" ba: uwar garken radius, aika da amsa ga buƙatar tabbatarwa, yana ba da sunan asusun kawai da sakamakon - tantance yarda ko kimanta ƙi. A halin yanzu, don izini a cikin Linux, kuna buƙatar sanya aƙalla ƙarin siga guda ɗaya - kundin adireshin gida, ta yadda mai amfani aƙalla ya sami wani wuri. Ba mu sami hanyar ba da wannan a matsayin sifa na radius ba, don haka mun rubuta rubutu na musamman don ƙirƙirar asusun nesa a kan runduna a cikin yanayin atomatik na atomatik. Wannan aikin yana da yuwuwa sosai, tunda muna ma'amala da asusun mai gudanarwa, waɗanda adadinsu bai yi yawa ba. Bayan haka, masu amfani sun shiga cikin na'urar da ake buƙata, bayan haka an ba su damar samun dama. Tambaya mai ma'ana ta taso: shin wajibi ne a yi amfani da Cisco ISE a irin waɗannan lokuta? A gaskiya, a'a - kowane uwar garken radius zai yi, amma tun da abokin ciniki ya riga ya sami wannan tsarin, kawai mun ƙara sabon fasali zuwa gare shi.
Inventory na hardware da software akan LAN
Mun taɓa yin aiki akan wani aiki don samar da Cisco ISE ga abokin ciniki ɗaya ba tare da “matukin jirgi” na farko ba. Babu takamaiman buƙatu don maganin, ƙari kuma muna ma'amala da cibiyar sadarwa mai lebur, wacce ba ta rabu ba, wanda ya rikitar da aikinmu. A yayin aikin, mun tsara duk hanyoyin da za a iya bijiro da su waɗanda hanyar sadarwar ke tallafawa: NetFlow, DHCP, SNMP, AD haɗin gwiwa, da sauransu. Sakamakon haka, an saita damar MAR tare da ikon shiga cikin hanyar sadarwar idan an gaza tantancewa. Wato, ko da tantancewa bai yi nasara ba, tsarin zai ba da damar mai amfani ya shiga cikin hanyar sadarwar, tattara bayanai game da shi kuma ya rubuta su a cikin ma'ajin ISE. Wannan sa ido na cibiyar sadarwa a cikin makonni da yawa ya taimaka mana gano tsarin haɗin gwiwa da na'urorin da ba na sirri ba da haɓaka hanyar raba su. Bayan haka, mun kuma tsara aikawa don shigar da wakili a wuraren aiki don tattara bayanai game da software da aka sanya a kansu. Menene sakamakon? Mun sami damar raba hanyar sadarwar kuma mu tantance jerin software waɗanda ke buƙatar cirewa daga wuraren aiki. Ba zan ɓoye cewa ƙarin ayyuka na rarraba masu amfani a cikin ƙungiyoyin yanki da ƙetare haƙƙin samun damar shiga ya ɗauki lokaci mai yawa ba, amma ta wannan hanyar mun sami cikakken hoto na abin da kayan aikin abokin ciniki ke da shi akan hanyar sadarwa. Af, wannan bai kasance mai wahala ba saboda kyakkyawan aiki na yin bayanin martaba daga cikin akwatin. To, inda bayanin martaba bai taimaka ba, mun kalli kanmu, muna nuna alamar tashar tashar wutar lantarki wanda aka haɗa kayan aiki.
Shigar da software mai nisa akan wuraren aiki
Wannan shari'ar tana ɗaya daga cikin mafi ban mamaki a cikin aikina. Wata rana, abokin ciniki ya zo mana da kuka don neman taimako - wani abu ya faru ba daidai ba lokacin aiwatar da Cisco ISE, komai ya karye, kuma babu wanda zai iya shiga hanyar sadarwar. Muka fara dubawa sai muka gano wadannan abubuwa. Kamfanin yana da kwamfutoci 2000, waɗanda, idan babu mai sarrafa yanki, ana sarrafa su a ƙarƙashin asusun gudanarwa. Don manufar peering, ƙungiyar ta aiwatar da Cisco ISE. Ya zama dole a ko ta yaya fahimtar ko an shigar da riga-kafi akan kwamfutocin da ke akwai, ko an sabunta yanayin software, da sauransu. Kuma tunda masu gudanar da IT sun shigar da kayan aikin cibiyar sadarwa a cikin tsarin, yana da ma'ana cewa sun sami damar yin amfani da shi. Bayan ganin yadda yake aiki da kuma fitar da kwamfutocin su, masu gudanarwa sun zo da ra'ayin shigar da software a wuraren aiki na ma'aikata daga nesa ba tare da ziyartar sirri ba. Ka yi tunanin matakai nawa zaka iya ajiyewa kowace rana ta wannan hanyar! Masu gudanarwa sun gudanar da bincike da yawa na wurin aiki don kasancewar takamaiman fayil a cikin C: Fayilolin Shirye-shiryen, kuma idan ba ya nan, an ƙaddamar da gyara ta atomatik ta hanyar hanyar haɗin yanar gizon da ke kaiwa ga adana fayil ɗin zuwa fayil ɗin shigarwa .exe. Wannan yana bawa masu amfani damar zuwa wurin raba fayil kuma zazzage software da ake buƙata daga can. Abin takaici, admin din bai san tsarin ISE da kyau ba kuma ya lalata hanyoyin aikawa - ya rubuta manufofin ba daidai ba, wanda ya haifar da matsala da muka shiga cikin warwarewa. Da kaina, Ina mamakin gaske da irin wannan tsarin ƙirƙira, saboda zai zama mai rahusa da ƙarancin aiki don ƙirƙirar mai sarrafa yanki. Amma a matsayin Hujja na ra'ayi ya yi aiki.
Kara karantawa game da nuances na fasaha waɗanda ke tasowa yayin aiwatar da Cisco ISE a cikin labarin abokin aiki na .
Artem Bobrikov, injiniyan ƙira na Cibiyar Tsaro ta Bayani a Jet Infosystems
Bayanword:
Duk da cewa wannan sakon yayi magana game da tsarin Cisco ISE, matsalolin da aka bayyana sun dace da dukan nau'in maganin NAC. Ba shi da mahimmancin abin da mafita mai siyarwa aka tsara don aiwatarwa - yawancin abubuwan da ke sama za su kasance masu amfani.
source: www.habr.com