Koliko često kupite nešto spontano, podliježući cool reklami, a onda taj prvotno željeni predmet skuplja prašinu u ormaru, smočnici ili garaži do sljedećeg proljetnog čišćenja ili selidbe? Rezultat je razočaranje zbog neopravdanih očekivanja i bačenog novca. Puno je gore kad se to dogodi tvrtki. Vrlo često su marketinški trikovi toliko dobri da tvrtke kupuju skupo rješenje bez da vide potpunu sliku njegove primjene. U međuvremenu, probno testiranje sustava pomaže razumjeti kako pripremiti infrastrukturu za integraciju, koje funkcionalnosti iu kojoj mjeri treba implementirati. Na taj način možete izbjeći veliki broj problema zbog odabira proizvoda "na slijepo". Osim toga, implementacija nakon kompetentnog "pilota" će inženjerima donijeti mnogo manje uništenih živčanih stanica i sijede kose. Razmotrimo zašto je pilot testiranje toliko važno za uspješan projekt, na primjeru popularnog alata za kontrolu pristupa korporativnoj mreži - Cisco ISE. Razmotrimo i standardne i potpuno nestandardne mogućnosti korištenja rješenja s kojim smo se susreli u našoj praksi.
Cisco ISE - “Radius poslužitelj na steroidima”
Cisco Identity Services Engine (ISE) je platforma za stvaranje sustava kontrole pristupa za lokalnu mrežu organizacije. U stručnoj javnosti proizvod je zbog svojih svojstava dobio nadimak “Radius server na steroidima”. Zašto je to? U biti, rješenje je Radius poslužitelj, na koji je priključen veliki broj dodatnih usluga i "trikova", koji vam omogućuju primanje velike količine kontekstualnih informacija i primjenu rezultirajućeg skupa podataka u politikama pristupa.
Kao i bilo koji drugi Radius poslužitelj, Cisco ISE komunicira s mrežnom opremom na razini pristupa, prikuplja informacije o svim pokušajima povezivanja na korporativnu mrežu i, na temelju autentifikacije i autorizacijskih pravila, dopušta ili zabranjuje pristup korisnicima LAN-u. Međutim, mogućnost profiliranja, objavljivanja i integracije s drugim informacijsko-sigurnosnim rješenjima omogućuje značajno kompliciranje logike autorizacijske politike i time rješavanje dosta teških i zanimljivih problema.
Implementacija se ne može pilotirati: zašto vam je potrebno testiranje?
Vrijednost pilot testiranja je pokazati sve mogućnosti sustava u specifičnoj infrastrukturi određene organizacije. Vjerujem da pilotiranje Cisco ISE prije implementacije koristi svima koji su uključeni u projekt, a evo i zašto.
To integratorima daje jasnu predodžbu o očekivanjima korisnika i pomaže u stvaranju ispravne tehničke specifikacije koja sadrži mnogo više detalja od uobičajene fraze "provjeri je li sve u redu". „Pilot“ nam omogućuje da osjetimo svu bol kupca, da shvatimo koji su zadaci za njega prioritetni, a koji sekundarni. Za nas je ovo izvrsna prilika da unaprijed shvatimo koja se oprema koristi u organizaciji, kako će se odvijati implementacija, na kojim lokacijama, gdje se nalaze i slično.
Tijekom pilot testiranja korisnici vide stvarni sustav na djelu, upoznaju se s njegovim sučeljem, mogu provjeriti je li kompatibilan s njihovim postojećim hardverom i dobiti holističko razumijevanje kako će rješenje funkcionirati nakon pune implementacije. “Pilot” je upravo trenutak kada možete vidjeti sve zamke na koje ćete vjerojatno naići tijekom integracije, te odlučiti koliko licenci trebate kupiti.
Što može "iskočiti" tijekom "pilota"
Dakle, kako se ispravno pripremiti za implementaciju Cisco ISE? Iz našeg iskustva izbrojali smo 4 glavne točke koje je važno uzeti u obzir tijekom pilot testiranja sustava.
Faktor oblika
Prvo morate odlučiti u kojem će se faktoru oblika sustav implementirati: fizički ili virtualni upline. Svaka opcija ima prednosti i nedostatke. Na primjer, snaga fizičkog nadređenog uređaja je njegova predvidljiva izvedba, ali ne smijemo zaboraviti da takvi uređaji s vremenom zastarijevaju. Virtualne upline manje su predvidljive jer... ovise o hardveru na kojem je postavljeno virtualizacijsko okruženje, ali imaju ozbiljnu prednost: ako je dostupna podrška, uvijek se mogu ažurirati na najnoviju verziju.
Je li vaša mrežna oprema kompatibilna s Cisco ISE?
Naravno, idealan scenarij bio bi spojiti svu opremu na sustav odjednom. Međutim, to nije uvijek moguće jer mnoge organizacije još uvijek koriste neupravljane preklopnike ili preklopnike koji ne podržavaju neke od tehnologija koje pokreću Cisco ISE. Inače, ne govorimo samo o preklopnicima, to mogu biti i bežični mrežni kontroleri, VPN koncentratori i bilo koja druga oprema na koju se korisnici spajaju. U mojoj praksi bilo je slučajeva kada je, nakon demonstracije sustava za potpunu implementaciju, kupac nadogradio gotovo cijelu flotu preklopnika razine pristupa na modernu Cisco opremu. Kako biste izbjegli neugodna iznenađenja, vrijedi unaprijed saznati udio nepodržane opreme.
Jesu li svi vaši uređaji standardni?
Svaka mreža ima tipične uređaje s kojima ne bi trebalo biti teško povezati se: radne stanice, IP telefoni, Wi-Fi pristupne točke, video kamere i tako dalje. No, također se događa da se nestandardni uređaji moraju spojiti na LAN, na primjer, pretvarači signala RS232/Ethernet sabirnice, sučelja za neprekidno napajanje, različita tehnološka oprema itd. Važno je unaprijed odrediti popis takvih uređaja , tako da već u fazi implementacije imate razumijevanje kako će tehnički raditi s Cisco ISE.
Konstruktivan dijalog s IT stručnjacima
Korisnici Cisco ISE često su sigurnosni odjeli, dok su IT odjeli obično odgovorni za konfiguraciju sklopki pristupnog sloja i Active Directory. Stoga je produktivna interakcija između stručnjaka za sigurnost i IT stručnjaka jedan od važnih uvjeta za bezbolnu implementaciju sustava. Ako potonji doživljavaju integraciju neprijateljski, vrijedi im objasniti kako će rješenje biti korisno IT odjelu.
Top 5 slučajeva korištenja Cisco ISE
Prema našem iskustvu, potrebna funkcionalnost sustava također se utvrđuje u fazi pilot testiranja. Ispod su neki od najpopularnijih i manje uobičajenih slučajeva upotrebe rješenja.
Osigurajte LAN pristup putem žice uz EAP-TLS
Kao što pokazuju rezultati istraživanja naših pentestera, prilično često za prodor u mrežu tvrtke napadači koriste obične utičnice na koje su povezani pisači, telefoni, IP kamere, Wi-Fi točke i drugi neosobni mrežni uređaji. Stoga, čak i ako se mrežni pristup temelji na dot1x tehnologiji, ali se koriste alternativni protokoli bez korištenja certifikata za autentifikaciju korisnika, postoji velika vjerojatnost uspješnog napada s presretanjem sesije i brutalnim lozinkama. U slučaju Cisco ISE, bit će mnogo teže ukrasti certifikat - za to će hakerima trebati mnogo više računalne snage, tako da je ovaj slučaj vrlo učinkovit.
Dual-SSID bežični pristup
Bit ovog scenarija je korištenje 2 identifikatora mreže (SSID). Jedan od njih može se uvjetno nazvati "gost". Preko njega bežičnoj mreži mogu pristupiti i gosti i zaposlenici tvrtke. Kada se pokušaju spojiti, potonji se preusmjeravaju na poseban portal gdje se odvija provizija. Odnosno, korisniku se izdaje certifikat i njegov osobni uređaj se konfigurira za automatsko ponovno spajanje na drugi SSID, koji već koristi EAP-TLS sa svim prednostima prvog slučaja.
MAC Authentication Bypass i profiliranje
Još jedan popularan slučaj upotrebe je automatsko otkrivanje vrste uređaja koji se povezuje i primjena ispravnih ograničenja na njega. Zašto je on zanimljiv? Činjenica je da još uvijek postoji dosta uređaja koji ne podržavaju autentifikaciju pomoću 802.1X protokola. Stoga se takvi uređaji moraju pustiti na mrežu pomoću MAC adrese, koju je vrlo lako lažirati. Tu u pomoć stiže Cisco ISE: uz pomoć sustava možete vidjeti kako se uređaj ponaša na mreži, izraditi njegov profil i dodijeliti ga grupi drugih uređaja, primjerice IP telefonu i radnoj stanici. . Ako napadač pokuša lažirati MAC adresu i spojiti se na mrežu, sustav će vidjeti da je profil uređaja promijenjen, signalizirat će sumnjivo ponašanje i neće dopustiti sumnjivom korisniku pristup mreži.
EAP-ulančavanje
EAP-Chaining tehnologija uključuje sekvencijalnu provjeru autentičnosti radnog računala i korisničkog računa. Ovaj slučaj je postao raširen jer... Mnoge tvrtke još uvijek ne potiču povezivanje osobnih gadgeta zaposlenika s korporativnim LAN-om. Ovakvim pristupom autentifikacije moguće je provjeriti je li određena radna stanica član domene, a ako je rezultat negativan, korisniku ili neće biti dopušten pristup mreži ili će se moći prijaviti, ali s određena ograničenja.
Poziranje
U ovom se slučaju radi o procjeni usklađenosti softvera radne stanice sa zahtjevima informacijske sigurnosti. Pomoću ove tehnologije možete provjeriti je li softver na radnoj stanici ažuriran, jesu li na njoj instalirane sigurnosne mjere, je li vatrozid hosta konfiguriran itd. Zanimljivo je da ova tehnologija također omogućuje rješavanje drugih zadataka koji nisu povezani sa sigurnošću, na primjer, provjeru prisutnosti potrebnih datoteka ili instaliranje softvera za cijeli sustav.
Manje uobičajeni slučajevi korištenja za Cisco ISE uključuju kontrolu pristupa s end-to-end autentifikacijom domene (pasivni ID), mikrosegmentaciju i filtriranje temeljeno na SGT-u, kao i integraciju sa sustavima za upravljanje mobilnim uređajima (MDM) i skenerima ranjivosti.
Nestandardni projekti: zašto bi vam inače trebao Cisco ISE ili 3 rijetka slučaja iz naše prakse
Kontrola pristupa poslužiteljima baziranim na Linuxu
Jednom smo rješavali prilično netrivijalan slučaj za jednog od kupaca koji je već imao implementiran Cisco ISE sustav: morali smo pronaći način za kontrolu radnji korisnika (uglavnom administratora) na poslužiteljima s instaliranim Linuxom. U potrazi za odgovorom, došli smo na ideju korištenja besplatnog softvera PAM Radius Module, koji vam omogućuje prijavu na poslužitelje koji pokreću Linux s autentifikacijom na vanjskom radijus poslužitelju. Sve bi u tom pogledu bilo dobro, ako ne za jedno „ali”: radius poslužitelj, šaljući odgovor na zahtjev za autentifikaciju, daje samo naziv računa i rezultat - procjena prihvaćena ili procjena odbijena. U međuvremenu, za autorizaciju u Linuxu treba dodijeliti barem još jedan parametar - home directory, kako bi korisnik barem negdje stigao. Nismo pronašli način da ovo damo kao atribut radijusa, pa smo napisali posebnu skriptu za daljinsko kreiranje računa na hostovima u poluautomatskom načinu rada. Ovaj zadatak je bio sasvim izvediv, jer smo radili o administratorskim računima, čiji broj nije bio tako velik. Zatim su se korisnici prijavili na traženi uređaj, nakon čega im je dodijeljen potreban pristup. Postavlja se razumno pitanje: je li u takvim slučajevima potrebno koristiti Cisco ISE? Zapravo, ne - poslužit će bilo koji radius poslužitelj, ali budući da je kupac već imao ovaj sustav, jednostavno smo mu dodali novu značajku.
Popis hardvera i softvera na LAN-u
Jednom smo radili na projektu opskrbe Cisco ISE jednom kupcu bez preliminarnog "pilota". Nije bilo jasnih zahtjeva za rješenje, a imali smo posla s ravnom, nesegmentiranom mrežom, što nam je kompliciralo zadatak. Tijekom projekta konfigurirali smo sve moguće metode profiliranja koje mreža podržava: NetFlow, DHCP, SNMP, AD integracija itd. Kao rezultat toga, MAR pristup konfiguriran je s mogućnošću prijave na mrežu ako provjera autentičnosti ne uspije. Odnosno, čak i ako autentifikacija nije bila uspješna, sustav bi ipak pustio korisnika u mrežu, prikupio podatke o njemu i zabilježio ih u ISE bazu podataka. Ovo praćenje mreže tijekom nekoliko tjedana pomoglo nam je identificirati povezane sustave i neosobne uređaje te razviti pristup za njihovo segmentiranje. Nakon toga dodatno smo konfigurirali objavu za instaliranje agenta na radne stanice kako bismo prikupili informacije o softveru koji je na njima instaliran. Kakav je rezultat? Uspjeli smo segmentirati mrežu i odrediti popis softvera koji je potrebno ukloniti s radnih stanica. Neću skrivati da su nam daljnji poslovi raspodjele korisnika u domenske grupe i razgraničenja prava pristupa oduzeli dosta vremena, ali smo na taj način dobili potpunu sliku kakav hardver korisnik ima na mreži. Usput, ovo nije bilo teško zbog dobrog rada profiliranja izvan kutije. Pa, tamo gdje profiliranje nije pomoglo, pogledali smo sami, istaknuvši port preklopnika na koji je oprema bila spojena.
Daljinska instalacija softvera na radnim stanicama
Ovaj slučaj je jedan od najčudnijih u mojoj praksi. Jednog dana nam se obratio korisnik s vapom za pomoć - nešto je pošlo po zlu prilikom implementacije Cisco ISE, sve se pokvarilo i nitko drugi nije mogao pristupiti mreži. Počeli smo istraživati i saznali sljedeće. Tvrtka je imala 2000 računala, kojima se, u nedostatku kontrolera domene, upravljalo pod administratorskim računom. Za potrebe peeringa organizacija je implementirala Cisco ISE. Bilo je potrebno nekako razumjeti je li antivirus instaliran na postojeća računala, je li softversko okruženje ažurirano itd. A kako su IT administratori instalirali mrežnu opremu u sustav, logično je da su joj imali pristup. Nakon što su vidjeli kako radi i pregledali svoja računala, administratori su došli na ideju da softver instaliraju na radne stanice zaposlenika na daljinu bez osobnih posjeta. Zamislite samo koliko koraka dnevno možete uštedjeti na ovaj način! Administratori su nekoliko puta provjeravali radnu stanicu na prisutnost određene datoteke u direktoriju C:Program Files, a ako je nije bilo, pokretala se automatska sanacija praćenjem poveznice koja vodi do pohrane datoteka na instalacijsku .exe datoteku. To je običnim korisnicima omogućilo da odu na dijeljenje datoteka i tamo preuzmu potreban softver. Nažalost, admin nije dobro poznavao ISE sustav i oštetio je mehanizme objavljivanja - krivo je napisao politiku, što je dovelo do problema u čijem smo rješavanju sudjelovali. Osobno sam iskreno iznenađen takvim kreativnim pristupom, jer bi bilo puno jeftinije i manje radno intenzivno napraviti kontroler domene. Ali kao dokaz koncepta uspjelo je.
Pročitajte više o tehničkim nijansama koje nastaju pri implementaciji Cisco ISE u članku mog kolege .
Artem Bobrikov, inženjer dizajna Centra za informacijsku sigurnost u Jet Infosystemsu
pogovor:
Unatoč činjenici da ovaj post govori o Cisco ISE sustavu, opisani problemi su relevantni za cijelu klasu NAC rješenja. Nije toliko važno koje se rješenje dobavljača planira implementirati - većina navedenog ostat će primjenjiva.
Izvor: www.habr.com