ʻEhia mau manawa āu e kūʻai ai i kahi mea me ka manawaleʻa, hāʻule i kahi hoʻolaha ʻoluʻolu, a laila ʻohi kēia mea i makemake mua ʻia i ka lepo i loko o kahi keʻena keʻena, hale lole a hale kaʻa paha a hiki i ka hoʻomaʻemaʻe ʻana a neʻe paha? ʻO ka hopena he hōʻeha ma muli o nā manaʻolana kūpono ʻole a me ke kālā hoʻopau ʻia. ʻOi aku ka ʻino loa ke loaʻa kēia i kahi ʻoihana. ʻO ka pinepine, maikaʻi loa nā gimmicks kūʻai aku e kūʻai aku nā ʻoihana i kahi hopena kumukūʻai me ka ʻike ʻole i ke kiʻi piha o kāna noi. I kēia manawa, kōkua ka hoʻāʻo ʻana o ka ʻōnaehana e hoʻomaopopo pehea e hoʻomākaukau ai i ka ʻōnaehana no ka hoʻohui ʻana, he aha ka hana a me ka nui o ka hoʻokō. Ma kēia ala hiki iā ʻoe ke pale i ka nui o nā pilikia ma muli o ke koho ʻana i kahi huahana "makapō". Eia kekahi, ʻo ka hoʻokō ʻana ma hope o ka "pilot" kūpono e lawe mai i nā ʻenekinia i ʻoi aku ka liʻiliʻi o ka luku ʻia ʻana o nā pūnana nerve a me ka lauoho hina. E noʻonoʻo kākou i ke kumu he mea nui ka hoʻokolohua hoʻokele no ka papahana holomua, me ka hoʻohana ʻana i ka laʻana o kahi hāmeʻa kaulana no ka hoʻokele ʻana i kahi ʻoihana hui - Cisco ISE. E noʻonoʻo kākou i nā koho maʻamau a me nā koho maʻamau ʻole no ka hoʻohana ʻana i ka hopena i loaʻa iā mākou i kā mākou hana.
Cisco ISE - "Server radius ma nā steroids"
ʻO Cisco Identity Services Engine (ISE) kahi kahua no ka hoʻokumu ʻana i kahi ʻōnaehana hoʻokele komo no ka ʻoihana pūnaewele kūloko o kahi hui. I loko o ke kaiāulu akamai, ua kapa ʻia ka huahana "Radius server on steroids" no kāna mau waiwai. No ke aha ia? ʻO ka mea nui, ʻo ka hoʻonā he kikowaena Radius, kahi i hoʻopili ʻia ai ka nui o nā lawelawe hou a me nā "hoʻopunipuni", e ʻae iā ʻoe e loaʻa i ka nui o ka ʻike ʻikepili a hoʻopili i ka hopena o ka ʻikepili i nā kulekele komo.
E like me nā kikowaena Radius ʻē aʻe, hui pū ʻo Cisco ISE me nā lako pūnaewele pae kiʻekiʻe, e hōʻiliʻili i ka ʻike e pili ana i nā hoʻāʻo āpau e hoʻopili i ka pūnaewele hui a, ma muli o nā kulekele hōʻoia a me ka ʻae ʻana, ʻae a hōʻole i nā mea hoʻohana i ka LAN. Eia nō naʻe, ʻo ka hiki ke hoʻopili, hoʻolaha, a me ka hoʻohui ʻana me nā ʻōnaehana palekana ʻike ʻē aʻe e hiki ai ke hoʻopiʻi nui i ka loiloi o ke kulekele ʻae a laila e hoʻoponopono i nā pilikia paʻakikī a hoihoi.
ʻAʻole hiki ke hoʻokō ʻia ka hoʻokō: no ke aha ʻoe e pono ai ka hoʻāʻo?
ʻO ka waiwai o ka hoʻokolohua hoʻokele e hōʻike i nā mea hiki a pau o ka ʻōnaehana i loko o nā ʻōnaehana kikoʻī o kahi hui kikoʻī. Ke manaʻoʻiʻo nei au ʻo ka hoʻokele ʻana iā Cisco ISE ma mua o ka hoʻokō ʻana e pōmaikaʻi nā poʻe a pau e pili ana i ka papahana, a eia ke kumu.
Hāʻawi kēia i nā mea hoʻohui i ka manaʻo maopopo o ka manaʻo o ka mea kūʻai aku a kōkua i ka hana ʻana i kahi kikoʻī ʻenehana kūpono i loaʻa i nā kikoʻī ʻoi aku ka nui ma mua o ka huaʻōlelo maʻamau "e hōʻoia i ka maikaʻi o nā mea āpau." ʻAe ʻo "Pilot" iā mākou e ʻike i ka ʻeha a pau o ka mea kūʻai aku, e hoʻomaopopo i nā hana i mea nui iā ia a ʻo ia ka lua. No mākou, he manawa kūpono kēia e noʻonoʻo mua ai i nā mea hana i hoʻohana ʻia i ka hui, pehea e hoʻokō ʻia ai, ma nā pūnaewele hea, kahi e kū ai, a pēlā aku.
I ka wā hoʻokolohua hoʻokele, ʻike nā mea kūʻai aku i ka ʻōnaehana maoli i ka hana, e kamaʻāina me kāna interface, hiki ke nānā inā kūpono ia me kā lākou lako lako e loaʻa nei, a loaʻa ka ʻike holoʻokoʻa i ke ʻano o ka hopena ma hope o ka hoʻokō piha ʻana. ʻO "Pilot" ka manawa e ʻike ai ʻoe i nā pitfalls āpau āu e hālāwai ai i ka wā o ka hoʻohui ʻana, a hoʻoholo i ka nui o nā laikini āu e kūʻai ai.
He aha ka mea hiki ke "pop up" i ka wā o ka "pilot"
No laila, pehea ʻoe e hoʻomākaukau pono ai no ka hoʻokō ʻana iā Cisco ISE? Mai kā mākouʻike, ua helu mākou i nā mea nui 4 i mea nui e noʻonoʻo ai i ka wā o ka hoʻokolohua hoʻokele o ka ʻōnaehana.
Nā kumu kumu
ʻO ka mea mua, pono ʻoe e hoʻoholo i ke ʻano kumu e hoʻokō ʻia ai ka ʻōnaehana: upline kino a virtual paha. Loaʻa i kēlā me kēia koho nā pono a me nā hemahema. ʻO kahi laʻana, ʻo ka ikaika o kahi upline kino kāna hana wānana, akā ʻaʻole pono mākou e poina i ka lilo ʻana o ia mau mea hana i ka wā kahiko. ʻAʻole hiki ke wānana ʻia nā upline virtual no ka mea... hilinaʻi i ka ʻenehana kahi i hoʻonohonoho ʻia ai ka virtualization environment, akā loaʻa iā lākou kahi pōmaikaʻi koʻikoʻi: inā loaʻa ke kākoʻo, hiki ke hoʻonui mau ʻia i ka mana hou loa.
Ua kūpono anei kāu lako pūnaewele me Cisco ISE?
ʻOiaʻiʻo, ʻo ke ʻano kūpono e hoʻopili i nā mea hana āpau i ka ʻōnaehana i ka manawa hoʻokahi. Eia naʻe, ʻaʻole hiki i kēia mau manawa ke hoʻohana nei nā hui he nui i nā hoʻololi ʻole a i ʻole nā hoʻololi i kākoʻo ʻole i kekahi o nā ʻenehana e holo nei iā Cisco ISE. Ma ke ala, ʻaʻole mākou e kamaʻilio wale e pili ana i nā hoʻololi, hiki nō hoʻi i nā mea hoʻokele pūnaewele uea, nā concentrators VPN a me nā mea hana ʻē aʻe e pili ai nā mea hoʻohana. I kaʻu hana, aia kekahi mau hihia i ka manawa, ma hope o ka hōʻike ʻana i ka ʻōnaehana no ka hoʻokō piha ʻana, ua hoʻonui ka mea kūʻai aku i nā ʻauwaʻa holoʻokoʻa holoʻokoʻa o nā hoʻololi pae kiʻekiʻe i nā lako Cisco hou. I mea e pale aku ai i nā haʻalulu maikaʻi ʻole, pono e ʻike mua i ka hapa o nā mea i kākoʻo ʻole ʻia.
He kūlana maʻamau kāu mau mea hana a pau?
Loaʻa i kēlā me kēia pūnaewele nā mea maʻamau ʻaʻole pono e paʻakikī ke hoʻopili i: nā hale hana, nā kelepona IP, nā wahi komo Wi-Fi, nā pahu kiʻi wikiō, a pēlā aku. Akā, pono e hoʻopili ʻia nā mea maʻamau ʻole i ka LAN, no ka laʻana, RS232/Ethernet bus signal converters, uninterruptible power supply interfaces, nā mea ʻenehana like ʻole, etc. He mea nui e hoʻoholo i ka papa inoa o ia mau mea ma mua. , no laila i ka hoʻokō ʻana ua loaʻa iā ʻoe ka ʻike pehea e hana ai lākou me Cisco ISE.
Kūkākūkā kūkulu me nā loea IT
ʻO nā mea kūʻai aku ʻo Cisco ISE he mau keʻena palekana, ʻoiai ʻo nā keʻena IT ke kuleana maʻamau no ka hoʻonohonoho ʻana i nā hoʻololi papa komo a me Active Directory. No laila, ʻo ka launa pū ʻana ma waena o nā loea palekana a me nā loea IT kekahi o nā kūlana koʻikoʻi no ka hoʻokō ʻole ʻana i ka ʻōnaehana. Inā ʻike ka mea hope i ka hoʻohui ʻana me ka huhū, pono e wehewehe iā lākou pehea e pono ai ka hopena i ka ʻoihana IT.
ʻO 5 mau hihia hoʻohana Cisco ISE kiʻekiʻe
I kā mākou ʻike, ʻike ʻia ka hana pono o ka ʻōnaehana ma ka pae hoʻokolohua hoʻokele. Aia ma lalo kekahi o nā hihia hoʻohana kaulana loa a emi ʻole no ka hoʻonā.
Hoʻopaʻa i ke komo ʻana o LAN ma luna o kahi uwea me EAP-TLS
E like me ka hōʻike ʻana o ka noiʻi ʻana o kā mākou poʻe penikala, e komo pinepine i ka ʻoihana pūnaewele, hoʻohana nā mea hoʻouka i nā kumu maʻamau i hoʻopili ʻia ai nā mea paʻi, kelepona, nā kiʻi IP, nā wahi Wi-Fi a me nā mea ʻoihana pūnaewele ʻole. No laila, ʻoiai inā e hoʻokumu ʻia ka ʻike pūnaewele ma ka ʻenehana dot1x, akā hoʻohana ʻia nā protocols ʻē aʻe me ka ʻole o ka hoʻohana ʻana i nā palapala hōʻoia hōʻoia o ka mea hoʻohana, aia kahi kiʻekiʻe o ka hoʻouka kaua ʻana me ka interception session a me nā ʻōlelo huna. I ka hihia o Cisco ISE, e ʻoi aku ka paʻakikī o ka ʻaihue ʻana i kahi palapala - no kēia, pono nā mea hackers i ka mana ʻoi aku ka nui, no laila ua maikaʻi loa kēia hihia.
Kālua-SSID komo ʻole
ʻO ke kumu o kēia hiʻohiʻona ʻo ka hoʻohana ʻana i 2 mau ʻike pūnaewele (SSID). Hiki ke kapa ʻia kekahi o lākou ʻo "guest". Ma o ia mea, hiki i nā malihini a me nā limahana o ka hui ke komo i ka pūnaewele uea. Ke hoʻāʻo lākou e hoʻopili, hoʻohuli ʻia ka mea hope i kahi puka kūikawā kahi e hoʻolako ai. ʻO ia hoʻi, hāʻawi ʻia ka mea hoʻohana i kahi palapala hōʻoia a ua hoʻonohonoho ʻia kāna hāmeʻa pilikino e hoʻopili hou i ka SSID ʻelua, ka mea i hoʻohana mua iā EAP-TLS me nā pono āpau o ka hihia mua.
MAC Authentication Bypass and Profiling
ʻO kahi hihia hoʻohana kaulana ʻē aʻe ʻo ia ka ʻike ʻokoʻa i ke ʻano o ka mea i hoʻopili ʻia a hoʻopili i nā palena kūpono iā ia. No ke aha ia i hoihoi ai? ʻO ka ʻoiaʻiʻo, aia nō ka nui o nā mea hana i kākoʻo ʻole i ka hōʻoia me ka hoʻohana ʻana i ka protocol 802.1X. No laila, pono e ʻae ʻia ia mau mea i ka pūnaewele me ka hoʻohana ʻana i kahi helu MAC, maʻalahi loa ka hoʻopunipuni. ʻO kēia kahi e hele mai ai ʻo Cisco ISE i ka hoʻopakele: me ke kōkua o ka ʻōnaehana, hiki iā ʻoe ke ʻike i ke ʻano o kahi mea hana ma ka pūnaewele, hana i kāna ʻaoʻao a hāʻawi iā ia i kahi hui o nā mea hana ʻē aʻe, no ka laʻana, kahi kelepona IP a me kahi hale hana. . Inā hoʻāʻo ka mea hoʻouka e hoʻopunipuni i kahi helu MAC a hoʻopili i ka pūnaewele, e ʻike ka ʻōnaehana ua loli ka ʻaoʻao o ka hāmeʻa, e hōʻailona i ke ʻano kānalua a ʻaʻole e ʻae i ka mea hoʻohana kānalua i ka pūnaewele.
EAP-Hoʻopaʻa
ʻO ka ʻenehana EAP-Chaining e pili ana i ka hōʻoia sequential o ka PC hana a me ka moʻokāki mea hoʻohana. Ua laha keia hihia no ka mea... ʻAʻole paipai nā ʻoihana he nui i ka hoʻopili ʻana i nā hāmeʻa pilikino o nā limahana i ka LAN hui. Ke hoʻohana nei i kēia ala i ka hōʻoia ʻana, hiki iā ʻoe ke nānā inā he lālā o kahi kikowaena hana, a inā maikaʻi ʻole ka hopena, ʻaʻole e ʻae ʻia ka mea hoʻohana i ka pūnaewele, a i ʻole hiki ke komo, akā me kekahi kaohi ana.
ʻO ke kau ʻana
ʻO kēia hihia e pili ana i ka loiloi ʻana i ka hoʻokō ʻana o ka lako polokalamu hana me nā koi palekana ʻike. Ke hoʻohana nei i kēia ʻenehana, hiki iā ʻoe ke nānā inā ua hoʻonui ʻia ka polokalamu ma ka workstation, inā ua hoʻokomo ʻia nā ana palekana ma luna o ia, inā ua hoʻonohonoho ʻia ka pā ahi host, etc. ʻO ka mea mahalo, ʻae kēia ʻenehana iā ʻoe e hoʻoponopono i nā hana ʻē aʻe ʻaʻole pili i ka palekana, no ka laʻana, ke nānā ʻana i ke alo o nā faila pono a i ʻole ka hoʻokomo ʻana i nā polokalamu ākea ākea.
ʻO nā hihia hoʻohana liʻiliʻi maʻamau no Cisco ISE e pili ana i ka mana komo me ka hōʻoia ʻana o ka domain end-to-end (Passive ID), SGT-based micro-segmentation a me kāna kānana, a me ka hoʻohui pū ʻana me nā ʻōnaehana hoʻokele polokalamu kelepona (MDM) a me Vulnerability Scanners.
Nā papahana maʻamau ʻole: no ke aha ʻoe e pono ai iā Cisco ISE, a i ʻole 3 mau hihia koʻikoʻi mai kā mākou hana
Loaʻa ka mana i nā kikowaena Linux
I ka manawa a mākou e hoʻoponopono ai i kahi hihia koʻikoʻi ʻole no kekahi o nā mea kūʻai aku i hoʻokō ʻia ka ʻōnaehana Cisco ISE: pono mākou e ʻimi i kahi ala e kāohi ai i nā hana mea hoʻohana (ka hapa nui o nā luna hoʻomalu) ma nā kikowaena me Linux i hoʻokomo ʻia. I ka ʻimi ʻana i kahi pane, ua loaʻa iā mākou ka manaʻo o ka hoʻohana ʻana i ka polokalamu PAM Radius Module manuahi, e hiki ai iā ʻoe ke komo i loko o nā kikowaena e holo ana i Linux me ka hōʻoia ʻana ma kahi kikowaena radius waho. E maikaʻi nā mea a pau e pili ana i kēia, inā ʻaʻole no hoʻokahi "akā": ʻo ke kikowaena radius, e hoʻouna ana i kahi pane i ka noi hōʻoia, hāʻawi wale i ka inoa moʻokāki a me ka hopena - loiloi ʻia a hōʻole ʻia. I kēia manawa, no ka ʻae ʻana ma Linux, pono ʻoe e hāʻawi i hoʻokahi mea hoʻohālikelike hou aʻe - ka papa kuhikuhi home, i hiki ai i ka mea hoʻohana ke loaʻa i kahi. ʻAʻole i loaʻa iā mākou kahi ala e hāʻawi ai i kēia ma ke ʻano he radius attribute, no laila ua kākau mākou i kahi palapala kūikawā no ka hana mamao ʻana i nā moʻokāki ma nā pūʻali ma ke ʻano semi-aunoa. He mea hiki loa keia hana, no ka mea, e pili ana makou i na mooolelo luna, aole i nui ka helu o ia hana. Ma hope aʻe, ua komo nā mea hoʻohana i ka hāmeʻa i koi ʻia, a ma hope ua hāʻawi ʻia lākou i ke komo pono. Ua kū mai kahi nīnau kūpono: pono anei e hoʻohana iā Cisco ISE i ia mau hihia? ʻOiaʻiʻo, ʻaʻole - e hana kekahi kikowaena radius, akā no ka mea ua loaʻa i ka mea kūʻai kēia ʻōnaehana, ua hoʻohui mākou i kahi hiʻohiʻona hou iā ia.
Ka papa helu o nā lako a me nā lako polokalamu ma ka LAN
Ua hana mākou ma kahi papahana e hoʻolako iā Cisco ISE i hoʻokahi mea kūʻai aku me ka ʻole o ka "pilot" mua. ʻAʻohe koi maopopo no ka hoʻonā ʻana, a ke hana nei mākou me kahi pūnaewele paʻa, ʻaʻohe māhele ʻāpana, kahi i paʻakikī i kā mākou hana. I ka wā o ka papahana, ua hoʻonohonoho mākou i nā ʻano hana profiling āpau i kākoʻo ʻia e ka pūnaewele: NetFlow, DHCP, SNMP, AD integration, etc. ʻO ka hopena, ua hoʻonohonoho ʻia ke komo ʻana o MAR me ka hiki ke komo i loko o ka pūnaewele inā hāʻule ka hōʻoia. ʻO ia hoʻi, inā ʻaʻole i kūleʻa ka hōʻoia ʻana, e ʻae ka ʻōnaehana i ka mea hoʻohana i ka pūnaewele, e hōʻiliʻili i ka ʻike e pili ana iā ia a hoʻopaʻa iā ia i ka waihona ISE. Ua kōkua kēia mākaʻikaʻi pūnaewele i nā pule he nui iā mākou e ʻike i nā ʻōnaehana pili a me nā mea pono ʻole a hoʻomohala i kahi ala e hoʻokaʻawale iā lākou. Ma hope o kēia, ua hoʻonohonoho pū mākou i ka hoʻouna ʻana e hoʻokomo i ka ʻelele ma nā hale hana i mea e hōʻiliʻili ai i ka ʻike e pili ana i ka polokalamu i kau ʻia ma luna o lākou. He aha ka hopena? Ua hiki iā mākou ke hoʻokaʻawale i ka pūnaewele a hoʻoholo i ka papa inoa o nā polokalamu pono e wehe ʻia mai nā hale hana. ʻAʻole au e hūnā i nā hana hou aʻe o ka puʻunaue ʻana i nā mea hoʻohana i nā pūʻulu kikowaena a me ka wehewehe ʻana i nā kuleana komo i lawe iā mākou i kahi manawa nui, akā ma kēia ala ua loaʻa iā mākou ke kiʻi piha o ka lako mea a ka mea kūʻai aku ma ka pūnaewele. Ma ke ala, ʻaʻole paʻakikī kēia ma muli o ka hana maikaʻi o ka profiling ma waho o ka pahu. ʻAe, kahi i kōkua ʻole ai ka profiling, nānā mākou iā mākou iho, e hōʻike ana i ke awa hoʻololi i pili ai nā mea hana.
Hoʻokomo mamao i nā lako polokalamu ma nā kahua hana
ʻO kēia hihia kekahi o nā mea ʻē i kaʻu hana. I kekahi lā, hele mai kahi mea kūʻai mai iā mākou me ka uē no ke kōkua - ua hewa kekahi mea i ka hoʻokō ʻana iā Cisco ISE, ua haki nā mea āpau, ʻaʻohe mea ʻē aʻe i hiki ke komo i ka pūnaewele. Ua hoʻomaka mākou e ʻimi a ʻike i kēia. He 2000 mau kamepiula ka hui, i mālama ʻia ma lalo o kahi moʻokāki luna. No ke kumu o ka peering, ua hoʻokō ka hui iā Cisco ISE. Pono ia e hoʻomaopopo inā ua hoʻokomo ʻia kahi antivirus ma nā PC i loaʻa, inā paha i hoʻonui ʻia ka ʻenehana polokalamu, etc. A ma muli o ka hoʻokomo ʻana o nā mea hoʻokele IT i nā lako pūnaewele i loko o ka ʻōnaehana, kūpono ke komo ʻana iā lākou. Ma hope o ka ʻike ʻana i ka hana a me ka poshering i kā lākou PC, ua hele mai nā luna me ka manaʻo o ka hoʻokomo ʻana i ka polokalamu ma nā hale hana limahana me ka ʻole o nā kipa pilikino. E noʻonoʻo i ka nui o nā ʻanuʻu āu e mālama ai i kēlā me kēia lā ma kēia ala! Ua hana nā luna hoʻomalu i kekahi mau loiloi o ka workstation no ka loaʻa ʻana o kahi faila ma ka C: Program Files directory, a inā ʻaʻole ia, ua hoʻomaka ʻia ka hoʻoponopono ʻana ma o ka hahai ʻana i kahi loulou e alakaʻi ana i ka waihona waihona i ka faila .exe hoʻonohonoho. Ua ʻae kēia i nā mea hoʻohana maʻamau e hele i kahi faila a hoʻoiho i ka polokalamu pono mai laila. ʻO ka mea pōʻino, ʻaʻole ʻike maikaʻi ka luna i ka ʻōnaehana ISE a ua hōʻino i nā mīkini hoʻouna - ua kākau hewa ʻo ia i ke kulekele, i alakaʻi i kahi pilikia a mākou i komo ai i ka hoʻoponopono ʻana. ʻO wau iho, kahaha maoli wau i kēlā ʻano hana hoʻomohala, no ka mea, ʻoi aku ka liʻiliʻi a ʻoi aku ka liʻiliʻi o ka hana e hana i kahi mea hoʻokele domain. Akā ma ke ʻano he hōʻoia o ka manaʻo ua hana.
E heluhelu hou aʻe e pili ana i nā nuances ʻenehana e kū mai ana i ka hoʻokō ʻana iā Cisco ISE ma ka ʻatikala a kaʻu hoa hana .
ʻO Artem Bobrikov, ka ʻenekini hoʻolālā o ka Information Security Center ma Jet Infosystems
Ma hope o ka'ōlelo:
ʻOiai ke kamaʻilio nei kēia pou e pili ana i ka ʻōnaehana Cisco ISE, pili nā pilikia i wehewehe ʻia no ka papa holoʻokoʻa o nā hopena NAC. ʻAʻole ia he mea koʻikoʻi ka hopena o ka mea kūʻai aku i hoʻolālā ʻia no ka hoʻokō - ʻo ka hapa nui o nā mea i luna e hoʻomau ʻia.
Source: www.habr.com