ProHoster > Օրագիր > Վարչակազմը > Փորձարկումը ցույց կտա՝ ինչպես պատրաստվել Cisco ISE-ի ներդրմանը և հասկանալ, թե ինչ համակարգի առանձնահատկություններ են ձեզ անհրաժեշտ

Փորձարկումը ցույց կտա՝ ինչպես պատրաստվել Cisco ISE-ի ներդրմանը և հասկանալ, թե ինչ համակարգի առանձնահատկություններ են ձեզ անհրաժեշտ

Փորձարկումը ցույց կտա՝ ինչպես պատրաստվել Cisco ISE-ի ներդրմանը և հասկանալ, թե ինչ համակարգի առանձնահատկություններ են ձեզ անհրաժեշտ

Որքա՞ն հաճախ եք ինքնաբերաբար ինչ-որ բան գնում՝ ենթարկվելով զով գովազդին, և հետո այս ի սկզբանե ցանկալի իրը փոշի է հավաքում պահարանում, մառան կամ ավտոտնակում մինչև հաջորդ գարնանային մաքրումը կամ տեղափոխումը: Արդյունքը հիասթափություն է՝ չարդարացված ակնկալիքների և վատնված գումարների պատճառով։ Շատ ավելի վատ է, երբ դա տեղի է ունենում բիզնեսի հետ: Շատ հաճախ մարքեթինգային հնարքներն այնքան լավն են, որ ընկերությունները գնում են թանկարժեք լուծում՝ չտեսնելով դրա կիրառման ամբողջական պատկերը: Միևնույն ժամանակ, համակարգի փորձնական թեստավորումն օգնում է հասկանալ, թե ինչպես պատրաստել ենթակառուցվածքը ինտեգրման համար, ինչ գործառույթներ և ինչ չափով պետք է իրականացվի: Այս կերպ դուք կարող եք խուսափել մեծ թվով խնդիրներից՝ ապրանքը «կուրորեն» ընտրելու պատճառով: Բացի այդ, իրավասու «օդաչուից» հետո իրականացումը ինժեներներին կբերի շատ ավելի քիչ ոչնչացված նյարդային բջիջներ և մոխրագույն մազեր: Եկեք պարզենք, թե ինչու է փորձնական փորձարկումն այդքան կարևոր հաջող նախագծի համար՝ օգտագործելով կորպորատիվ ցանց մուտքը վերահսկելու հանրաճանաչ գործիքի՝ Cisco ISE-ի օրինակը: Դիտարկենք ինչպես ստանդարտ, այնպես էլ ամբողջովին ոչ ստանդարտ տարբերակները լուծումը օգտագործելու համար, որը մենք հանդիպել ենք մեր պրակտիկայում:

Cisco ISE - «Շառավիղ սերվեր ստերոիդների վրա»

Cisco Identity Services Engine-ը (ISE) հարթակ է կազմակերպության տեղական ցանցի համար մուտքի վերահսկման համակարգ ստեղծելու համար: Փորձագիտական ​​համայնքում արտադրանքը ստացել է «Radius server on steroids» մականունը՝ իր հատկությունների համար: Ինչո՞ւ է այդպես։ Ըստ էության, լուծումը Radius սերվերն է, որին կցվել են հսկայական թվով լրացուցիչ ծառայություններ և «հնարքներ», որոնք թույլ են տալիս ստանալ մեծ քանակությամբ համատեքստային տեղեկատվություն և կիրառել ստացված տվյալների հավաքածուն մուտքի քաղաքականության մեջ:

Ինչպես ցանկացած այլ Radius սերվեր, Cisco ISE-ը փոխազդում է մուտքի մակարդակի ցանցային սարքավորումների հետ, հավաքում է տեղեկատվություն կորպորատիվ ցանցին միանալու բոլոր փորձերի մասին և, հիմնվելով նույնականացման և թույլտվության քաղաքականության վրա, թույլ է տալիս կամ մերժում օգտվողներին մուտք գործել LAN: Այնուամենայնիվ, պրոֆիլավորման, տեղադրման և տեղեկատվական անվտանգության այլ լուծումների հետ ինտեգրվելու հնարավորությունը թույլ է տալիս զգալիորեն բարդացնել թույլտվության քաղաքականության տրամաբանությունը և դրանով իսկ լուծել բավականին բարդ և հետաքրքիր խնդիրներ:

Փորձարկումը ցույց կտա՝ ինչպես պատրաստվել Cisco ISE-ի ներդրմանը և հասկանալ, թե ինչ համակարգի առանձնահատկություններ են ձեզ անհրաժեշտ

Իրականացումը չի կարող փորձնական լինել. ինչո՞ւ է ձեզ անհրաժեշտ թեստավորում:

Փորձնական թեստավորման արժեքը կայանում է նրանում, որ ցուցադրվեն համակարգի բոլոր հնարավորությունները կոնկրետ կազմակերպության կոնկրետ ենթակառուցվածքում: Կարծում եմ, որ Cisco ISE-ի փորձարկումը նախքան իրականացումը օգուտ է բերում նախագծում ներգրավված բոլորին, և ահա թե ինչու:

Սա ինտեգրատորներին տալիս է հստակ պատկերացում հաճախորդի ակնկալիքների մասին և օգնում է ստեղծել ճիշտ տեխնիկական բնութագրում, որը պարունակում է շատ ավելի մանրամասն, քան «համոզվեք, որ ամեն ինչ լավ է» արտահայտությունը: «Pilot»-ը թույլ է տալիս զգալ հաճախորդի ողջ ցավը, հասկանալ, թե որ առաջադրանքն է նրա համար առաջնահերթ, որոնք՝ երկրորդական։ Մեզ համար սա հիանալի հնարավորություն է նախապես պարզելու, թե ինչ սարքավորումներ են օգտագործվում կազմակերպությունում, ինչպես է իրականացվելու, որ տեղամասերում, որտեղ են դրանք գտնվում և այլն։

Փորձնական թեստավորման ընթացքում հաճախորդները տեսնում են իրական համակարգը գործողության մեջ, ծանոթանում են դրա ինտերֆեյսին, կարող են ստուգել, ​​թե արդյոք այն համատեղելի է իրենց առկա սարքավորումների հետ և ստանալ ամբողջական պատկերացում, թե ինչպես է լուծումը աշխատելու ամբողջական ներդրումից հետո: «Pilot»-ը հենց այն պահն է, երբ դուք կարող եք տեսնել բոլոր այն թակարդները, որոնք հավանաբար կհանդիպեք ինտեգրման ընթացքում և որոշել, թե քանի լիցենզիա է անհրաժեշտ գնել:
Ինչը կարող է «բացվել» «օդաչուի» ժամանակ

Այսպիսով, ինչպե՞ս եք ճիշտ պատրաստվում Cisco ISE-ի ներդրմանը: Մեր փորձից մենք հաշվել ենք 4 հիմնական կետ, որոնք կարևոր է հաշվի առնել համակարգի փորձնական փորձարկման ժամանակ:

Ձևի գործոն

Նախ, դուք պետք է որոշեք, թե ինչ ձևի գործոնով կներդրվի համակարգը՝ ֆիզիկական կամ վիրտուալ վերելք: Յուրաքանչյուր տարբերակ ունի առավելություններ և թերություններ: Օրինակ, ֆիզիկական վերելքի ուժը նրա կանխատեսելի կատարումն է, սակայն չպետք է մոռանալ, որ նման սարքերը ժամանակի ընթացքում հնանում են: Վիրտուալ վերելքներն ավելի քիչ կանխատեսելի են, քանի որ... կախված է սարքաշարից, որի վրա տեղադրված է վիրտուալացման միջավայրը, սակայն դրանք ունեն լուրջ առավելություն՝ եթե աջակցությունը հասանելի է, դրանք միշտ կարող են թարմացվել վերջին տարբերակին:

Ձեր ցանցային սարքավորումը համատեղելի է Cisco ISE-ի հետ:

Իհարկե, իդեալական սցենարը կլինի բոլոր սարքավորումները միանգամից միացնել համակարգին: Այնուամենայնիվ, դա միշտ չէ, որ հնարավոր է, քանի որ շատ կազմակերպություններ դեռ օգտագործում են չկառավարվող անջատիչներ կամ անջատիչներ, որոնք չեն աջակցում Cisco ISE-ն գործարկող որոշ տեխնոլոգիաներ: Ի դեպ, խոսքը միայն անջատիչների մասին չէ, դա կարող է լինել նաև անլար ցանցի կարգավորիչներ, VPN կոնցենտրատորներ և ցանկացած այլ սարքավորում, որին միանում են օգտատերերը։ Իմ պրակտիկայում եղել են դեպքեր, երբ համակարգը լիարժեք ներդրման համար ցուցադրելուց հետո հաճախորդը թարմացրել է մուտքի մակարդակի անջատիչների գրեթե ողջ պարկը ժամանակակից Cisco սարքավորումների վրա: Տհաճ անակնկալներից խուսափելու համար արժե նախապես պարզել չաջակցվող սարքավորումների համամասնությունը:

Ձեր բոլոր սարքերը ստանդարտ են:

Ցանկացած ցանց ունի տիպիկ սարքեր, որոնց միանալը չպետք է դժվար լինի՝ աշխատանքային կայաններ, IP հեռախոսներ, Wi-Fi մուտքի կետեր, տեսախցիկներ և այլն: Բայց պատահում է նաև, որ ոչ ստանդարտ սարքերը պետք է միացվեն LAN-ին, օրինակ՝ RS232/Ethernet ավտոբուսի ազդանշանի փոխարկիչները, անխափան սնուցման ինտերֆեյսները, տարբեր տեխնոլոգիական սարքավորումներ և այլն: Կարևոր է նախօրոք որոշել նման սարքերի ցանկը: , որպեսզի իրականացման փուլում դուք արդեն հասկանաք, թե տեխնիկապես ինչպես են նրանք աշխատելու Cisco ISE-ի հետ:

Կառուցողական երկխոսություն ՏՏ մասնագետների հետ

Cisco ISE հաճախորդները հաճախ անվտանգության բաժիններ են, մինչդեռ ՏՏ բաժինները սովորաբար պատասխանատու են մուտքի շերտի անջատիչների և Active Directory-ի կազմաձևման համար: Ուստի անվտանգության մասնագետների և ՏՏ մասնագետների արդյունավետ փոխգործակցությունը համակարգի ցավազուրկ ներդրման կարևոր պայմաններից մեկն է։ Եթե ​​վերջիններս ընկալում են ինտեգրումը թշնամանքի հետ, ապա արժե նրանց բացատրել, թե լուծումն ինչպես օգտակար կլինի ՏՏ բաժնին։

Cisco ISE-ի օգտագործման լավագույն 5 դեպքերը

Ըստ մեր փորձի, համակարգի պահանջվող ֆունկցիոնալությունը բացահայտվում է նաև փորձնական փորձարկման փուլում: Ստորև ներկայացված են լուծման ամենատարածված և քիչ տարածված օգտագործման դեպքերը:

Ապահովեք LAN մուտքը լարով EAP-TLS-ով

Ինչպես ցույց են տալիս մեր գրպանողների հետազոտության արդյունքները, հաճախակի ընկերության ցանց ներթափանցելու համար հարձակվողներն օգտագործում են սովորական վարդակներ, որոնց միացված են տպիչներ, հեռախոսներ, IP տեսախցիկներ, Wi-Fi կետեր և այլ ոչ անձնական ցանցային սարքեր: Հետևաբար, նույնիսկ եթե ցանցի մուտքը հիմնված է dot1x տեխնոլոգիայի վրա, բայց այլընտրանքային արձանագրություններն օգտագործվում են առանց օգտագործողի վավերացման վկայագրերի օգտագործման, կա հաջող հարձակման մեծ հավանականություն նիստերի ընդհատման և կոպիտ ուժի գաղտնաբառերով: Cisco ISE-ի դեպքում վկայական գողանալը շատ ավելի դժվար կլինի. դրա համար հաքերներին շատ ավելի մեծ հաշվողական հզորություն կպահանջվի, ուստի այս դեպքը շատ արդյունավետ է:

Dual-SSID անլար մուտք

Այս սցենարի էությունը 2 ցանցային նույնացուցիչների (SSID) օգտագործումն է: Դրանցից մեկը պայմանականորեն կարելի է անվանել «հյուր»։ Դրա միջոցով ինչպես հյուրերը, այնպես էլ ընկերության աշխատակիցները կարող են մուտք գործել անլար ցանց: Երբ նրանք փորձում են միանալ, վերջիններս վերահղվում են հատուկ պորտալ, որտեղ տեղի է ունենում մատակարարում։ Այսինքն՝ օգտատիրոջը տրվում է վկայական, և նրա անձնական սարքը կարգավորվում է այնպես, որ ավտոմատ կերպով նորից միանա երկրորդ SSID-ին, որն արդեն օգտագործում է EAP-TLS՝ առաջին դեպքի բոլոր առավելություններով։

MAC վավերացման շրջանցում և պրոֆիլավորում

Մեկ այլ հայտնի օգտագործման դեպք է ավտոմատ կերպով հայտնաբերել միացված սարքի տեսակը և կիրառել դրա վրա ճիշտ սահմանափակումներ: Ինչու է նա հետաքրքիր: Փաստն այն է, որ դեռևս բավականին շատ սարքեր կան, որոնք չեն աջակցում նույնականացմանը, օգտագործելով 802.1X արձանագրությունը: Հետևաբար, նման սարքերը պետք է թույլատրվեն ցանց՝ օգտագործելով MAC հասցե, որը բավականին հեշտ է կեղծել: Այստեղ է, որ օգնության է հասնում Cisco ISE-ն. համակարգի օգնությամբ դուք կարող եք տեսնել, թե ինչպես է սարքն իրեն պահում ցանցում, ստեղծել իր պրոֆիլը և վերագրել այն մի խումբ այլ սարքերի, օրինակ՝ IP հեռախոսին և աշխատանքային կայանին: . Եթե ​​հարձակվողը փորձի կեղծել MAC հասցեն և միանալ ցանցին, համակարգը կտեսնի, որ սարքի պրոֆիլը փոխվել է, ազդարարում է կասկածելի վարքագիծը և թույլ չի տա կասկածելի օգտատիրոջը մտնել ցանց:

EAP-Chaining

EAP-Chaining տեխնոլոգիան ներառում է աշխատանքային ԱՀ-ի և օգտատիրոջ հաշվի հաջորդական նույնականացում: Այս դեպքը լայն տարածում է գտել, քանի որ... Շատ ընկերություններ դեռ չեն խրախուսում աշխատակիցների անձնական գաջեթները միացնել կորպորատիվ LAN-ին: Օգտագործելով նույնականացման այս մոտեցումը, հնարավոր է ստուգել, ​​թե արդյոք որոշակի աշխատանքային կայանը տիրույթի անդամ է, և եթե արդյունքը բացասական է, օգտվողին կամ թույլ չեն տա մտնել ցանց, կամ կկարողանա մուտք գործել, բայց որոշակի սահմանափակումներ.

Կեցվածքը

Այս գործը վերաբերում է աշխատանքային կայանի ծրագրային ապահովման տեղեկատվական անվտանգության պահանջներին համապատասխանության գնահատմանը: Օգտագործելով այս տեխնոլոգիան՝ դուք կարող եք ստուգել՝ արդյոք աշխատանքային կայանի ծրագրակազմը թարմացված է, արդյոք դրա վրա տեղադրված են անվտանգության միջոցներ, կարգավորվա՞ծ է հյուրընկալող firewall-ը և այլն։ Հետաքրքիր է, որ այս տեխնոլոգիան նաև թույլ է տալիս լուծել այլ խնդիրներ, որոնք կապված չեն անվտանգության հետ, օրինակ՝ ստուգել անհրաժեշտ ֆայլերի առկայությունը կամ տեղադրել համակարգային ծրագրեր:

Cisco ISE-ի ավելի քիչ տարածված կիրառման դեպքերը ներառում են մուտքի հսկողություն՝ վերջնական տիրույթի նույնականացման միջոցով (Passive ID), SGT-ի վրա հիմնված միկրո հատվածավորումը և զտումը, ինչպես նաև ինտեգրումը շարժական սարքերի կառավարման (MDM) համակարգերին և խոցելիության սկաներներին:

Ոչ ստանդարտ նախագծեր. ուրիշ ինչո՞ւ կարող է ձեզ անհրաժեշտ լինել Cisco ISE կամ 3 հազվագյուտ դեպքեր մեր պրակտիկայից

Մուտքի վերահսկում Linux-ի վրա հիմնված սերվերներին

Մի անգամ մենք բավականին աննշան դեպք էինք լուծում հաճախորդներից մեկի համար, ով արդեն ուներ Cisco ISE համակարգը. մենք պետք է գտնեինք օգտատերերի (հիմնականում ադմինիստրատորների) գործողությունները վերահսկելու եղանակներ՝ տեղադրված Linux-ով սերվերների վրա: Պատասխան փնտրելով՝ մենք գաղափար ունեցանք օգտագործելու անվճար PAM Radius Module ծրագրակազմը, որը թույլ է տալիս մուտք գործել Linux աշխատող սերվերներ արտաքին շառավղով սերվերի վրա նույնականացման միջոցով: Այս առումով ամեն ինչ լավ կլիներ, եթե ոչ մեկ «բայց»՝ շառավիղ սերվերը, ուղարկելով նույնականացման հարցման պատասխանը, տալիս է միայն հաշվի անունը և արդյունքը՝ գնահատել ընդունված կամ գնահատել մերժված: Մինչդեռ Linux-ում թույլտվության համար պետք է նշանակել ևս մեկ պարամետր՝ home directory, որպեսզի օգտագործողը գոնե ինչ-որ տեղ հասնի։ Մենք չգտանք սա որպես շառավիղ հատկանիշ տալու միջոց, ուստի գրեցինք հատուկ սկրիպտ՝ կիսաավտոմատ ռեժիմով հոսթինգների վրա հեռակա հաշիվներ ստեղծելու համար։ Այս խնդիրը միանգամայն իրագործելի էր, քանի որ գործ ունեինք ադմինիստրատորների հետ, որոնց թիվն այնքան էլ մեծ չէր։ Այնուհետև օգտվողները մուտք են գործել անհրաժեշտ սարք, որից հետո նրանց նշանակվել է անհրաժեշտ մուտք: Խելամիտ հարց է առաջանում՝ նման դեպքերում պե՞տք է օգտագործել Cisco ISE-ը։ Իրականում, ոչ. ցանկացած շառավղային սերվեր դա կանի, բայց քանի որ հաճախորդն արդեն ուներ այս համակարգը, մենք պարզապես նոր գործառույթ ավելացրեցինք դրան:

Սարքավորումների և ծրագրերի գույքագրում LAN-ում

Մենք մի անգամ աշխատել ենք Cisco ISE-ի մեկ հաճախորդի մատակարարման նախագծի վրա՝ առանց նախնական «պիլոտային»: Լուծման համար հստակ պահանջներ չկային, գումարած՝ գործ ունեինք հարթ, ոչ հատվածավորված ցանցի հետ, ինչը բարդացրեց մեր խնդիրը: Ծրագրի ընթացքում մենք կազմաձևեցինք բոլոր հնարավոր պրոֆիլավորման մեթոդները, որոնք աջակցում էր ցանցը. NetFlow, DHCP, SNMP, AD ինտեգրում և այլն: Արդյունքում, MAR մուտքը կազմաձևվեց ցանց մուտք գործելու հնարավորությամբ, եթե նույնականացումը ձախողվեր: Այսինքն, եթե նույնիսկ նույնականացումը հաջող չլինի, համակարգը դեռ թույլ կտա օգտվողին մտնել ցանց, հավաքել տեղեկություններ նրա մասին և գրանցել այն ISE տվյալների բազայում: Ցանցի այս մոնիտորինգը մի քանի շաբաթվա ընթացքում օգնեց մեզ բացահայտել միացված համակարգերը և ոչ անհատական ​​սարքերը և մշակել մոտեցում՝ դրանց սեգմենտավորման համար: Դրանից հետո մենք լրացուցիչ կազմաձևեցինք տեղադրումը, որպեսզի գործակալը աշխատատեղերի վրա տեղադրի, որպեսզի տեղեկություններ հավաքենք դրանց վրա տեղադրված ծրագրաշարի մասին: Ի՞նչ է ստացվում: Մենք կարողացանք սեգմենտավորել ցանցը և որոշել ծրագրային ապահովման ցանկը, որը պետք է հեռացվեր աշխատակայաններից: Չեմ թաքցնի, որ օգտատերերին դոմեյն խմբերի մեջ բաշխելու և մուտքի իրավունքները սահմանելու հետագա առաջադրանքները մեզ շատ ժամանակ խլեցին, բայց այս կերպ մենք ամբողջական պատկերացում ստացանք այն մասին, թե ինչ սարքավորում ունի հաճախորդը ցանցում: Ի դեպ, դա դժվար չէր արկղից դուրս պրոֆիլավորման լավ աշխատանքի շնորհիվ։ Դե, որտեղ պրոֆիլավորումը չօգնեց, մենք նայեցինք ինքներս մեզ՝ ընդգծելով անջատիչ պորտը, որին միացված էր սարքավորումը:

Ծրագրային ապահովման հեռահար տեղադրում աշխատատեղերում

Այս դեպքն իմ պրակտիկայում ամենատարօրինակներից է: Մի օր հաճախորդը եկավ մեզ մոտ՝ օգնության կանչով. Cisco ISE-ն իրականացնելիս ինչ-որ սխալ տեղի ունեցավ, ամեն ինչ խափանվեց, և ոչ ոք չկարողացավ մուտք գործել ցանց: Մենք սկսեցինք ուսումնասիրել այն և պարզեցինք հետևյալը. Ընկերությունն ուներ 2000 համակարգիչ, որոնք դոմեյն վերահսկիչի բացակայության դեպքում կառավարվում էին ադմինիստրատորի հաշվի ներքո։ Պիրինգի նպատակով կազմակերպությունն իրականացրել է Cisco ISE-ն: Պետք էր ինչ-որ կերպ հասկանալ, թե արդյոք առկա համակարգիչների վրա հակավիրուս է տեղադրված, արդյոք ծրագրային միջավայրը թարմացվել է և այլն: Եվ քանի որ ՏՏ ադմինիստրատորները ցանցային սարքավորումներ են տեղադրել համակարգում, տրամաբանական է, որ նրանք մուտք են ունեցել այն։ Այն բանից հետո, երբ տեսան, թե ինչպես է այն աշխատում և ցուցադրելով իրենց ԱՀ-ները, ադմինիստրատորները մտահղացրին ծրագրաշարը տեղադրել աշխատողների աշխատատեղերում հեռակա կարգով՝ առանց անձնական այցելությունների: Պարզապես պատկերացրեք, թե այս կերպ օրական քանի քայլ կարող եք խնայել: Ադմինիստրատորները մի քանի ստուգումներ են իրականացրել աշխատակայանի՝ C:Program Files գրացուցակում որոշակի ֆայլի առկայության համար, և եթե այն բացակայում էր, ապա ավտոմատ վերականգնումը գործարկվում էր՝ հետևելով ֆայլերի պահպանմանը տանող հղմանը դեպի տեղադրման .exe ֆայլը: Սա սովորական օգտատերերին թույլ տվեց գնալ ֆայլի համօգտագործում և այնտեղից ներբեռնել անհրաժեշտ ծրագրակազմը: Ցավոք, ադմինը լավ չգիտեր ISE համակարգը և վնասեց տեղադրման մեխանիզմները, նա սխալ էր գրել քաղաքականությունը, ինչը հանգեցրեց խնդրի, որի լուծմանը մենք ներգրավված էինք։ Անձամբ ես անկեղծորեն զարմացած եմ նման կրեատիվ մոտեցմամբ, քանի որ տիրույթի վերահսկիչ ստեղծելը շատ ավելի էժան և քիչ աշխատատար կլինի։ Բայց որպես հայեցակարգի ապացույց այն աշխատեց:

Կարդացեք ավելին տեխնիկական նրբությունների մասին, որոնք առաջանում են Cisco ISE-ն իրականացնելիս իմ գործընկերոջ հոդվածում «Cisco ISE ներդրման պրակտիկա. Ինժեների տեսակետը».

Արտեմ Բոբրիկով, Jet Infosystems-ի տեղեկատվական անվտանգության կենտրոնի նախագծող ինժեներ

Հետո:
Չնայած այն հանգամանքին, որ այս գրառումը խոսում է Cisco ISE համակարգի մասին, նկարագրված խնդիրները համապատասխանում են NAC լուծումների ամբողջ դասին: Այնքան էլ կարևոր չէ, թե որ վաճառողի լուծումն է նախատեսվում իրականացնել. վերը նշվածներից շատերը կմնան կիրառելի:

Source: www.habr.com

Добавить комментарий