Konbyen fwa ou achte yon bagay espontaneman, sikonbe nan yon reklam fre, ak Lè sa a, atik sa a okòmansman vle rasanble pousyè nan yon klozèt, gadmanje oswa garaj jiskaske pwochen netwayaj prentan oswa deplase? Rezilta a se desepsyon akòz atant san jistifikasyon ak gaspiye lajan. Li pi mal lè sa rive yon biznis. Trè souvan, gimmicks maketing yo tèlman bon ke konpayi achte yon solisyon chè san yo pa wè foto an plen nan aplikasyon li yo. Pandan se tan, tès esè nan sistèm nan ede konprann ki jan yo prepare enfrastrikti a pou entegrasyon, ki fonksyonalite ak nan ki nivo yo ta dwe aplike. Nan fason sa a ou ka evite yon gwo kantite pwoblèm akòz chwazi yon pwodwi "avègleman". Anplis de sa, aplikasyon apre yon "pilòt" konpetan pral pote enjenyè anpil mwens detwi selil nève ak cheve gri. Ann kalkile poukisa tès pilòt yo tèlman enpòtan pou yon pwojè siksè, lè l sèvi avèk egzanp lan nan yon zouti popilè pou kontwole aksè nan yon rezo antrepriz - Cisco ISE. Ann konsidere tou de opsyon estanda ak opsyon konplètman ki pa estanda pou itilize solisyon an ke nou te rankontre nan pratik nou an.
Cisco ISE - "Sèvè reyon sou estewoyid"
Cisco Identity Services Engine (ISE) se yon platfòm pou kreye yon sistèm kontwòl aksè pou rezo lokal yon òganizasyon. Nan kominote a ekspè, pwodwi a te surnome "Sèvè Radius sou estewoyid" pou pwopriyete li yo. Poukisa se sa? Esansyèlman, solisyon an se yon sèvè Radius, kote yon gwo kantite sèvis adisyonèl ak "ke trik nouvèl" yo te tache, ki pèmèt ou resevwa yon gwo kantite enfòmasyon kontèks epi aplike seri a ki kapab lakòz nan règleman aksè.
Menm jan ak nenpòt lòt sèvè Radius, Cisco ISE reyaji ak ekipman rezo nivo aksè, kolekte enfòmasyon sou tout tantativ pou konekte ak rezo antrepriz la epi, ki baze sou otantifikasyon ak règleman otorizasyon, pèmèt oswa refize itilizatè yo nan LAN la. Sepandan, posibilite pou pwofil, afiche, ak entegrasyon ak lòt solisyon sekirite enfòmasyon fè li posib siyifikativman konplike lojik la nan politik la otorizasyon epi kidonk rezoud pwoblèm byen difisil ak enteresan.
Aplikasyon pa ka pilote: poukisa ou bezwen tès?
Valè tès pilòt la se pou demontre tout kapasite sistèm nan nan enfrastrikti espesifik yon òganizasyon espesifik. Mwen kwè ke pilòt Cisco ISE anvan aplikasyon an benefisye tout moun ki enplike nan pwojè a, e isit la se poukisa.
Sa a bay entegratè yo yon lide klè sou atant kliyan an epi li ede yo kreye yon espesifikasyon teknik kòrèk ki gen plis detay pase fraz komen "asire w ke tout bagay anfòm." "Pilòt" pèmèt nou santi tout doulè a nan kliyan an, yo konprann ki travay yo se yon priyorite pou li ak ki segondè. Pou nou, sa a se yon opòtinite ekselan pou konnen davans ki ekipman yo itilize nan òganizasyon an, ki jan aplikasyon an pral pran plas, sou ki sit, kote yo ye, ak sou sa.
Pandan tès pilòt, kliyan yo wè sistèm reyèl la an aksyon, fè konesans ak koòdone li yo, yo ka tcheke si li konpatib ak pyès ki nan konpitè ki egziste deja yo, epi jwenn yon konpreyansyon holistic sou fason solisyon an ap travay apre aplikasyon konplè. "Pilòt" se moman sa a menm lè ou ka wè tout enkonvenyans ou pral pwobableman rankontre pandan entegrasyon, epi deside konbyen lisans ou bezwen achte.
Ki sa ki ka "pop up" pandan "pilòt la"
Se konsa, ki jan ou byen prepare pou mete ann aplikasyon Cisco ISE? Apati eksperyans nou an, nou te konte 4 pwen prensipal ki enpòtan pou konsidere pandan tès pilòt sistèm nan.
Faktè fòm
Premyèman, ou bezwen deside nan ki fòm faktè sistèm lan pral aplike: fizik oswa vityèl upline. Chak opsyon gen avantaj ak dezavantaj. Pou egzanp, fòs nan yon upline fizik se pèfòmans previzib li yo, men nou pa dwe bliye ke aparèy sa yo vin demode sou tan. Uplines vityèl yo mwens previzib paske... depann sou pyès ki nan konpitè sou ki anviwònman an Virtualization deplwaye, men yo gen yon avantaj grav: si sipò ki disponib, yo ka toujou mete ajou nan vèsyon an dènye.
Èske ekipman rezo ou an konpatib ak Cisco ISE?
Natirèlman, senaryo ideyal la ta dwe konekte tout ekipman nan sistèm nan yon fwa. Sepandan, sa pa toujou posib paske anpil òganizasyon toujou itilize switch ki pa jere oswa switch ki pa sipòte kèk nan teknoloji ki kouri Cisco ISE. By wout la, nou pa jis pale sou switch, li kapab tou kontwolè rezo san fil, konsantratè VPN ak nenpòt lòt ekipman itilizatè yo konekte. Nan pratik mwen an, te gen ka lè, apre yo fin demontre sistèm nan pou aplikasyon konplè, kliyan an modènize prèske tout flòt la nan switch nivo aksè nan ekipman modèn Cisco. Pou evite supriz dezagreyab, li vo chèche konnen davans pwopòsyon ekipman ki pa sipòte.
Èske tout aparèy ou yo estanda?
Nenpòt rezo gen aparèy tipik ki pa ta dwe difisil pou konekte ak: estasyon travay, telefòn IP, pwen aksè Wi-Fi, kamera videyo, ak sou sa. Men, li rive tou ke aparèy ki pa estanda bezwen konekte ak LAN, pou egzanp, konvètisè siyal otobis RS232/Ethernet, koòdone ekipman pou pouvwa san enteripsyon, divès kalite ekipman teknolojik, elatriye. Li enpòtan pou detèmine lis aparèy sa yo davans. , se konsa ke nan etap nan aplikasyon ou deja gen yon konpreyansyon ki jan teknikman yo pral travay ak Cisco ISE.
Dyalòg konstriktif ak espesyalis IT
Kliyan Cisco ISE yo souvan depatman sekirite, pandan y ap depatman IT yo anjeneral responsab pou konfigirasyon switch kouch aksè ak Active Directory. Se poutèt sa, entèraksyon pwodiktif ant espesyalis sekirite ak espesyalis IT se youn nan kondisyon yo enpòtan pou aplikasyon san doulè nan sistèm nan. Si lèt la wè entegrasyon ak ostilite, li vo eksplike yo ki jan solisyon an pral itil nan depatman IT.
Top 5 ka itilize Cisco ISE
Nan eksperyans nou an, yo idantifye fonksyonalite ki nesesè nan sistèm nan tou nan etap tès pilòt la. Anba la a se kèk nan ka itilize ki pi popilè ak mwens komen pou solisyon an.
Sekirize aksè LAN sou yon fil ak EAP-TLS
Kòm rezilta yo nan rechèch pentester nou yo montre, byen souvan yo penetre rezo yon konpayi an, atakè yo itilize priz òdinè kote enprimant, telefòn, kamera IP, pwen Wi-Fi ak lòt aparèy rezo ki pa pèsonèl yo konekte. Se poutèt sa, menm si aksè rezo a baze sou teknoloji dot1x, men pwotokòl altènatif yo itilize san yo pa itilize sètifika otantifikasyon itilizatè, gen yon gwo pwobabilite pou yon atak siksè ak entèsepsyon sesyon ak modpas fòs brital. Nan ka a nan Cisco ISE, li pral pi difisil yo vòlè yon sètifika - pou sa a, entru yo pral bezwen pi plis pouvwa informatique, kidonk ka sa a se trè efikas.
Doub-SSID aksè san fil
Sans senaryo sa a se sèvi ak 2 idantifyan rezo (SSID). Youn nan yo ka kondisyonèl rele "envite". Atravè li, tou de envite ak anplwaye konpayi yo ka jwenn aksè nan rezo a san fil. Lè yo eseye konekte, lèt yo redireksyon sou yon pòtal espesyal kote pwovizyon pran plas. Sa vle di, itilizatè a bay yon sètifika ak aparèy pèsonèl li configuré pou otomatikman rekonekte nan dezyèm SSID la, ki deja itilize EAP-TLS ak tout avantaj ki genyen nan premye ka a.
MAC Otantifikasyon Bypass ak Profiling
Yon lòt ka itilize popilè se otomatikman detekte ki kalite aparèy ke yo te konekte ak aplike restriksyon ki kòrèk yo sou li. Poukisa li enteresan? Reyalite a se ke gen toujou byen anpil nan aparèy ki pa sipòte otantifikasyon lè l sèvi avèk pwotokòl la 802.1X. Se poutèt sa, aparèy sa yo dwe pèmèt yo sou rezo a lè l sèvi avèk yon adrès MAC, ki se byen fasil pou fo. Sa a se kote Cisco ISE vini nan sekou a: avèk èd nan sistèm nan, ou ka wè ki jan yon aparèy konpòte sou rezo a, kreye pwofil li yo epi bay li nan yon gwoup lòt aparèy, pou egzanp, yon telefòn IP ak yon estasyon travay. . Si yon atakè ap eseye twonpe yon adrès MAC epi konekte nan rezo a, sistèm lan pral wè ke pwofil aparèy la chanje, li pral siyal konpòtman sispèk epi li pa pral pèmèt itilizatè a sispèk antre nan rezo a.
EAP-Chaining
Teknoloji EAP-Chaining enplike otantifikasyon sekans nan PC k ap travay la ak kont itilizatè. Ka sa a gaye toupatou paske... Anpil konpayi toujou pa ankouraje konekte gadjèt pèsonèl anplwaye yo nan LAN antrepriz la. Sèvi ak apwòch sa a nan otantifikasyon, li posib tcheke si yon estasyon travay patikilye se yon manm nan domèn nan, epi si rezilta a se negatif, itilizatè a pral swa pa gen dwa antre nan rezo a, oswa yo pral kapab antre, men ak sèten. restriksyon yo.
Pwèstans
Ka sa a se sou evalye konfòmite lojisyèl estasyon travay la ak kondisyon sekirite enfòmasyon yo. Sèvi ak teknoloji sa a, ou ka tcheke si lojisyèl an sou estasyon travay la mete ajou, si mezi sekirite yo enstale sou li, si wi ou non firewall lame a configuré, elatriye. Enteresan, teknoloji sa a tou pèmèt ou rezoud lòt travay ki pa gen rapò ak sekirite, pou egzanp, tcheke prezans nan dosye ki nesesè oswa enstale lojisyèl nan tout sistèm nan.
Ka itilizasyon mwens komen pou Cisco ISE gen ladan kontwòl aksè ak otantifikasyon domèn fen-a-fen (ID pasif), mikwo-segmantasyon ak filtraj ki baze sou SGT, osi byen ke entegrasyon ak sistèm jesyon aparèy mobil (MDM) ak eskanè vilnerabilite.
Pwojè ki pa estanda: poukisa lòt bagay ou ta ka bezwen Cisco ISE, oswa 3 ka ki ra nan pratik nou an
Kontwòl aksè nan serveurs ki baze sou Linux
Yon fwa nou te rezoud yon ka olye ki pa trivial pou youn nan kliyan yo ki te deja te gen sistèm nan Cisco ISE aplike: nou te bezwen jwenn yon fason yo kontwole aksyon itilizatè (sitou administratè) sou serveurs ak Linux enstale. Nan rechèch nan yon repons, nou te vini ak lide nan sèvi ak lojisyèl an gratis PAM Radius Modil, ki pèmèt ou konekte nan serveurs ki kouri Linux ak otantifikasyon sou yon sèvè reyon ekstèn. Tout bagay nan sans sa a ta bon, si se pa pou yon sèl "men": sèvè a reyon, voye yon repons a demann otantifikasyon an, bay sèlman non an kont ak rezilta a - evalye aksepte oswa evalye rejte. Pandan se tan, pou otorizasyon nan Linux, ou bezwen bay omwen yon lòt paramèt - anyè lakay, pou itilizatè a omwen vin yon kote. Nou pa t 'jwenn yon fason yo bay sa a kòm yon atribi reyon, kidonk nou te ekri yon script espesyal pou adistans kreye kont sou lame nan yon mòd semi-otomatik. Travay sa a te byen posib, depi nou te fè fas ak kont administratè, ki kantite yo pa te tèlman gwo. Apre sa, itilizatè yo te konekte sou aparèy ki nesesè yo, apre sa yo te ba yo aksè ki nesesè yo. Yon kesyon rezonab rive: èske li nesesè pou itilize Cisco ISE nan ka sa yo? Aktyèlman, non - nenpòt sèvè reyon pral fè, men depi kliyan an te deja gen sistèm sa a, nou tou senpleman ajoute yon nouvo karakteristik nan li.
Envantè pyès ki nan konpitè ak lojisyèl sou LAN
Nou te travay yon fwa sou yon pwojè pou bay Cisco ISE pou yon sèl kliyan san yon preliminè "pilòt". Pa te gen okenn kondisyon klè pou solisyon an, plis nou te fè fas ak yon rezo plat, ki pa segmenté, ki konplike travay nou an. Pandan pwojè a, nou configured tout metòd profilage posib ke rezo a sipòte: NetFlow, DHCP, SNMP, AD entegrasyon, elatriye. Kòm yon rezilta, aksè MAR te configuré ak kapasite pou konekte nan rezo a si otantifikasyon echwe. Sa vle di, menm si otantifikasyon pa t reyisi, sistèm nan ta toujou pèmèt itilizatè a antre nan rezo a, kolekte enfòmasyon sou li epi anrejistre li nan baz done ISE a. Siveyans rezo sa a pandan plizyè semèn te ede nou idantifye sistèm ki konekte ak aparèy ki pa pèsonèl epi devlope yon apwòch pou segmante yo. Apre sa, nou anplis konfigirasyon afiche yo enstale ajan an sou estasyon travay yo nan lòd yo kolekte enfòmasyon sou lojisyèl an enstale sou yo. Ki rezilta a? Nou te kapab segman rezo a epi detèmine lis lojisyèl ki te bezwen retire nan estasyon travay yo. Mwen pa pral kache ke plis travay nan distribye itilizatè yo nan gwoup domèn ak delimitasyon dwa aksè te pran nou byen anpil tan, men nan fason sa a nou te resevwa yon foto konplè sou ki pyès ki nan konpitè kliyan an te genyen sou rezo a. By wout la, sa a pa t 'difisil akòz bon travay la nan pwofil soti nan bwat la. Oke, kote profilage pa t 'ede, nou gade tèt nou, mete aksan sou pò a switch nan ki ekipman an te konekte.
Enstalasyon adistans lojisyèl sou estasyon travay yo
Ka sa a se youn nan pi etranj nan pratik mwen an. Yon jou, yon kliyan te vin jwenn nou ak yon rèl pou èd - yon bagay te ale mal lè aplike Cisco ISE, tout bagay te kraze, epi pèsonn pa t 'kapab jwenn aksè nan rezo a. Nou te kòmanse gade nan li epi yo te jwenn sa ki annapre yo. Konpayi an te gen 2000 òdinatè, ki, nan absans yon kontwolè domèn, yo te jere anba yon kont administratè. Pou rezon peering, òganizasyon an aplike Cisco ISE. Li te nesesè pou yon jan kanmenm konprann si wi ou non yon antivirus te enstale sou PC ki deja egziste, si anviwònman lojisyèl an te mete ajou, elatriye. Epi depi administratè IT enstale ekipman rezo nan sistèm nan, li lojik ke yo te gen aksè a li. Apre yo fin wè ki jan li fonksyone epi mete PC yo, administratè yo te vin ak lide enstale lojisyèl an sou estasyon travay anplwaye yo adistans san vizit pèsonèl. Jis imajine konbyen etap ou ka sove pa jou konsa! Administratè yo te fè plizyè chèk nan estasyon travay la pou prezans nan yon fichye espesifik nan anyè C: Program Files, epi si li te absan, yo te lanse ratrapaj otomatik nan swiv yon lyen ki mennen nan depo dosye a nan dosye a enstalasyon .exe. Sa a pèmèt itilizatè òdinè yo ale nan yon pataje dosye ak telechaje lojisyèl ki nesesè yo soti nan la. Malerezman, administratè a pa t 'konnen sistèm nan ISE byen ak domaje mekanis yo afiche - li te ekri politik la mal, ki te mennen nan yon pwoblèm ke nou te patisipe nan rezoud. Pèsonèlman, mwen sensèman sezi pa tankou yon apwòch kreyatif, paske li ta pi bon mache ak mwens travay-entansif yo kreye yon kontwolè domèn. Men, kòm yon prèv konsèp li te travay.
Li plis sou nuans teknik ki parèt lè w ap aplike Cisco ISE nan atik kòlèg mwen an .
Artem Bobrikov, enjenyè konsepsyon Sant Sekirite Enfòmasyon nan Jet Infosystems
Apreword:
Malgre lefèt ke pòs sa a pale sou sistèm nan Cisco ISE, pwoblèm yo dekri yo enpòtan pou tout klas la nan solisyon NAC. Li pa tèlman enpòtan ki solisyon machann ki te planifye pou aplikasyon - pifò nan pi wo a ap rete aplikab.
Sous: www.habr.com