Seberapa sering Anda membeli sesuatu secara spontan, menyerah pada iklan keren, dan kemudian barang yang awalnya diinginkan ini mengumpulkan debu di lemari, dapur, atau garasi hingga pembersihan atau pemindahan musim semi berikutnya? Hasilnya adalah kekecewaan karena harapan yang tidak dapat dibenarkan dan pemborosan uang. Lebih buruk lagi bila hal ini terjadi pada bisnis. Seringkali, tipu muslihat pemasaran begitu bagus sehingga perusahaan membeli solusi mahal tanpa melihat gambaran lengkap penerapannya. Sementara itu, uji coba sistem membantu untuk memahami bagaimana mempersiapkan infrastruktur untuk integrasi, fungsi apa dan sejauh mana harus diterapkan. Dengan cara ini Anda dapat menghindari banyak masalah karena memilih produk “secara membabi buta”. Selain itu, penerapan setelah “percontohan” yang kompeten akan mengurangi kerusakan sel saraf dan uban bagi para insinyur. Mari kita cari tahu mengapa pengujian percontohan sangat penting untuk keberhasilan proyek, dengan menggunakan contoh alat populer untuk mengontrol akses ke jaringan perusahaan - Cisco ISE. Mari kita pertimbangkan opsi standar dan non-standar untuk menggunakan solusi yang kita temui dalam praktik kita.
Cisco ISE - “Server radius pada steroid”
Cisco Identity Services Engine (ISE) adalah platform untuk membuat sistem kontrol akses untuk jaringan area lokal organisasi. Di komunitas ahli, produk ini dijuluki “Server Radius pada steroid” karena sifatnya. Mengapa demikian? Pada dasarnya, solusinya adalah server Radius, yang mana sejumlah besar layanan tambahan dan “trik” telah dilampirkan, memungkinkan Anda menerima sejumlah besar informasi kontekstual dan menerapkan kumpulan data yang dihasilkan dalam kebijakan akses.
Seperti server Radius lainnya, Cisco ISE berinteraksi dengan peralatan jaringan tingkat akses, mengumpulkan informasi tentang semua upaya untuk terhubung ke jaringan perusahaan dan, berdasarkan kebijakan otentikasi dan otorisasi, mengizinkan atau menolak pengguna ke LAN. Namun, kemungkinan pembuatan profil, pengeposan, dan integrasi dengan solusi keamanan informasi lainnya dapat memperumit logika kebijakan otorisasi secara signifikan dan dengan demikian memecahkan masalah yang cukup sulit dan menarik.
Implementasi tidak dapat diujicobakan: mengapa Anda memerlukan pengujian?
Nilai dari uji coba adalah untuk menunjukkan semua kemampuan sistem dalam infrastruktur spesifik organisasi tertentu. Saya percaya bahwa uji coba Cisco ISE sebelum implementasi akan bermanfaat bagi semua orang yang terlibat dalam proyek ini, dan inilah alasannya.
Hal ini memberi integrator gambaran yang jelas tentang ekspektasi pelanggan dan membantu menciptakan spesifikasi teknis yang benar yang berisi lebih banyak detail daripada ungkapan umum “pastikan semuanya baik-baik saja”. "Pilot" memungkinkan kita merasakan semua penderitaan pelanggan, memahami tugas mana yang menjadi prioritasnya dan mana yang sekunder. Bagi kami, ini adalah kesempatan bagus untuk mengetahui terlebih dahulu peralatan apa yang digunakan dalam organisasi, bagaimana implementasinya akan dilakukan, di lokasi apa, di mana lokasinya, dan sebagainya.
Selama uji coba, pelanggan melihat sistem sebenarnya bekerja, mengenal antarmukanya, dapat memeriksa apakah sistem tersebut kompatibel dengan perangkat keras yang ada, dan mendapatkan pemahaman menyeluruh tentang cara kerja solusi setelah implementasi penuh. “Percontohan” adalah momen ketika Anda dapat melihat semua kendala yang mungkin Anda temui selama integrasi, dan memutuskan berapa banyak lisensi yang perlu Anda beli.
Apa yang bisa “muncul” selama “percontohan”
Jadi, bagaimana Anda mempersiapkan diri dengan baik untuk mengimplementasikan Cisco ISE? Dari pengalaman kami, kami telah menghitung 4 poin utama yang penting untuk dipertimbangkan selama uji coba sistem.
Faktor bentuk
Pertama, Anda perlu memutuskan dalam faktor bentuk apa sistem akan diimplementasikan: upline fisik atau virtual. Setiap opsi memiliki kelebihan dan kekurangan. Misalnya, kekuatan upline fisik adalah kinerjanya yang dapat diprediksi, namun kita tidak boleh lupa bahwa perangkat tersebut menjadi usang seiring berjalannya waktu. Upline virtual kurang dapat diprediksi karena... bergantung pada perangkat keras tempat lingkungan virtualisasi diterapkan, namun mereka memiliki keuntungan serius: jika dukungan tersedia, mereka selalu dapat diperbarui ke versi terbaru.
Apakah peralatan jaringan Anda kompatibel dengan Cisco ISE?
Tentu saja, skenario idealnya adalah menghubungkan semua peralatan ke sistem sekaligus. Namun, hal ini tidak selalu memungkinkan karena banyak organisasi masih menggunakan switch yang tidak dikelola atau switch yang tidak mendukung beberapa teknologi yang menjalankan Cisco ISE. Omong-omong, kita tidak hanya berbicara tentang sakelar, ini juga bisa berupa pengontrol jaringan nirkabel, konsentrator VPN, dan peralatan lain yang terhubung dengan pengguna. Dalam praktik saya, ada kasus ketika, setelah mendemonstrasikan sistem untuk implementasi penuh, pelanggan meningkatkan hampir seluruh armada sakelar tingkat akses ke peralatan Cisco modern. Untuk menghindari kejutan yang tidak menyenangkan, ada baiknya mengetahui terlebih dahulu proporsi peralatan yang tidak didukung.
Apakah semua perangkat Anda standar?
Jaringan apa pun memiliki perangkat khas yang tidak sulit untuk disambungkan: stasiun kerja, telepon IP, titik akses Wi-Fi, kamera video, dan sebagainya. Tetapi juga terjadi bahwa perangkat non-standar perlu dihubungkan ke LAN, misalnya, konverter sinyal bus RS232/Ethernet, antarmuka catu daya yang tidak pernah terputus, berbagai peralatan teknologi, dll. Penting untuk menentukan daftar perangkat tersebut terlebih dahulu. , sehingga pada tahap implementasi Anda sudah memiliki pemahaman bagaimana secara teknis mereka akan bekerja dengan Cisco ISE.
Dialog konstruktif dengan pakar TI
Pelanggan Cisco ISE seringkali merupakan departemen keamanan, sedangkan departemen TI biasanya bertanggung jawab untuk mengonfigurasi sakelar lapisan akses dan Direktori Aktif. Oleh karena itu, interaksi produktif antara spesialis keamanan dan spesialis TI merupakan salah satu syarat penting untuk implementasi sistem yang mudah. Jika pihak yang terakhir memandang integrasi dengan sikap bermusuhan, ada baiknya menjelaskan kepada mereka bagaimana solusi tersebut akan berguna bagi departemen TI.
5 kasus penggunaan Cisco ISE teratas
Berdasarkan pengalaman kami, fungsionalitas sistem yang diperlukan juga diidentifikasi pada tahap uji coba. Di bawah ini adalah beberapa kasus penggunaan solusi yang paling populer dan kurang umum.
Amankan akses LAN melalui kabel dengan EAP-TLS
Berdasarkan hasil penelitian pentester kami, seringkali untuk menembus jaringan perusahaan, penyerang menggunakan soket biasa yang terhubung dengan printer, telepon, kamera IP, titik Wi-Fi, dan perangkat jaringan non-pribadi lainnya. Oleh karena itu, meskipun akses jaringan didasarkan pada teknologi dot1x, tetapi protokol alternatif digunakan tanpa menggunakan sertifikat otentikasi pengguna, ada kemungkinan besar serangan berhasil dengan intersepsi sesi dan kata sandi brute force. Dalam kasus Cisco ISE, mencuri sertifikat akan jauh lebih sulit - untuk ini, peretas memerlukan lebih banyak daya komputasi, jadi kasus ini sangat efektif.
Akses nirkabel SSID ganda
Inti dari skenario ini adalah menggunakan 2 pengidentifikasi jaringan (SSID). Salah satunya bisa disebut “tamu”. Melalui itu, baik tamu maupun karyawan perusahaan dapat mengakses jaringan nirkabel. Ketika mereka mencoba untuk terhubung, yang terakhir diarahkan ke portal khusus tempat penyediaan dilakukan. Artinya, pengguna diberikan sertifikat dan perangkat pribadinya dikonfigurasi untuk terhubung kembali secara otomatis ke SSID kedua, yang sudah menggunakan EAP-TLS dengan semua keunggulan kasus pertama.
Bypass dan Profil Otentikasi MAC
Kasus penggunaan populer lainnya adalah secara otomatis mendeteksi jenis perangkat yang terhubung dan menerapkan batasan yang benar pada perangkat tersebut. Kenapa dia menarik? Faktanya masih cukup banyak perangkat yang tidak mendukung otentikasi menggunakan protokol 802.1X. Oleh karena itu, perangkat tersebut harus diizinkan masuk ke jaringan menggunakan alamat MAC, yang cukup mudah dipalsukan. Di sinilah Cisco ISE membantu: dengan bantuan sistem, Anda dapat melihat bagaimana suatu perangkat berperilaku di jaringan, membuat profilnya dan menetapkannya ke sekelompok perangkat lain, misalnya, telepon IP dan stasiun kerja . Jika penyerang mencoba memalsukan alamat MAC dan menyambung ke jaringan, sistem akan melihat bahwa profil perangkat telah berubah, akan menandakan perilaku mencurigakan dan tidak akan mengizinkan pengguna yang mencurigakan masuk ke jaringan.
Rantai EAP
Teknologi EAP-Chaining melibatkan otentikasi berurutan dari PC yang berfungsi dan akun pengguna. Kasus ini meluas karena... Banyak perusahaan masih tidak menganjurkan menghubungkan gadget pribadi karyawan ke LAN perusahaan. Dengan menggunakan pendekatan otentikasi ini, dimungkinkan untuk memeriksa apakah stasiun kerja tertentu adalah anggota domain, dan jika hasilnya negatif, pengguna tidak akan diizinkan masuk ke jaringan, atau akan dapat masuk, tetapi dengan syarat tertentu. pembatasan.
Postur
Kasus ini adalah tentang menilai kepatuhan perangkat lunak stasiun kerja dengan persyaratan keamanan informasi. Dengan menggunakan teknologi ini, Anda dapat memeriksa apakah perangkat lunak pada workstation telah diperbarui, apakah langkah-langkah keamanan telah diinstal di dalamnya, apakah firewall host telah dikonfigurasi, dll. Menariknya, teknologi ini juga memungkinkan Anda menyelesaikan tugas-tugas lain yang tidak terkait dengan keamanan, misalnya memeriksa keberadaan file yang diperlukan atau menginstal perangkat lunak seluruh sistem.
Kasus penggunaan yang kurang umum untuk Cisco ISE mencakup kontrol akses dengan otentikasi domain ujung ke ujung (ID Pasif), segmentasi dan pemfilteran mikro berbasis SGT, serta integrasi dengan sistem manajemen perangkat seluler (MDM) dan Pemindai Kerentanan.
Proyek non-standar: mengapa lagi Anda memerlukan Cisco ISE, atau 3 kasus langka dari praktik kami
Kontrol akses ke server berbasis Linux
Saat kami menyelesaikan kasus yang tidak sepele untuk salah satu pelanggan yang telah menerapkan sistem Cisco ISE: kami perlu menemukan cara untuk mengontrol tindakan pengguna (kebanyakan administrator) di server yang menginstal Linux. Untuk mencari jawabannya, kami mendapat ide untuk menggunakan perangkat lunak Modul Radius PAM gratis, yang memungkinkan Anda masuk ke server yang menjalankan Linux dengan otentikasi pada server radius eksternal. Segala sesuatu dalam hal ini akan baik, jika bukan karena satu "tetapi": server radius, mengirimkan respons terhadap permintaan otentikasi, hanya memberikan nama akun dan hasilnya - penilaian diterima atau penilaian ditolak. Sementara itu, untuk otorisasi di Linux, Anda perlu menetapkan setidaknya satu parameter lagi - direktori home, sehingga pengguna setidaknya dapat mencapai suatu tempat. Kami tidak menemukan cara untuk memberikan ini sebagai atribut radius, jadi kami menulis skrip khusus untuk membuat akun di host dari jarak jauh dalam mode semi-otomatis. Tugas ini cukup layak, karena kami berurusan dengan akun administrator, yang jumlahnya tidak terlalu banyak. Selanjutnya, pengguna masuk ke perangkat yang diperlukan, setelah itu mereka diberi akses yang diperlukan. Sebuah pertanyaan yang masuk akal muncul: apakah perlu menggunakan Cisco ISE dalam kasus seperti itu? Sebenarnya, tidak - server radius mana pun bisa digunakan, namun karena pelanggan sudah memiliki sistem ini, kami cukup menambahkan fitur baru ke dalamnya.
Inventarisasi perangkat keras dan perangkat lunak pada LAN
Kami pernah mengerjakan proyek untuk memasok Cisco ISE ke satu pelanggan tanpa “percontohan” awal. Tidak ada persyaratan yang jelas untuk solusinya, ditambah lagi kami berurusan dengan jaringan yang datar dan tidak tersegmentasi, sehingga mempersulit tugas kami. Selama proyek berlangsung, kami mengonfigurasi semua kemungkinan metode pembuatan profil yang didukung jaringan: NetFlow, DHCP, SNMP, integrasi AD, dll. Hasilnya, akses MAR dikonfigurasikan dengan kemampuan untuk masuk ke jaringan jika otentikasi gagal. Artinya, bahkan jika otentikasi tidak berhasil, sistem akan tetap mengizinkan pengguna masuk ke jaringan, mengumpulkan informasi tentang dia dan mencatatnya dalam database ISE. Pemantauan jaringan selama beberapa minggu ini membantu kami mengidentifikasi sistem yang terhubung dan perangkat non-pribadi serta mengembangkan pendekatan untuk mengelompokkannya. Setelah ini, kami juga mengonfigurasi pengeposan untuk menginstal agen pada stasiun kerja guna mengumpulkan informasi tentang perangkat lunak yang diinstal pada stasiun kerja tersebut. Apa hasilnya? Kami dapat melakukan segmentasi jaringan dan menentukan daftar perangkat lunak yang perlu dihapus dari stasiun kerja. Saya tidak akan menyembunyikan bahwa tugas lebih lanjut untuk mendistribusikan pengguna ke dalam grup domain dan menggambarkan hak akses membutuhkan banyak waktu, tetapi dengan cara ini kami mendapatkan gambaran lengkap tentang perangkat keras apa yang dimiliki pelanggan di jaringan. Omong-omong, ini tidak sulit karena kerja keras dalam membuat profil. Nah, jika pembuatan profil tidak membantu, kami melihat sendiri dengan menyorot port sakelar tempat peralatan terhubung.
Instalasi perangkat lunak jarak jauh di workstation
Kasus ini adalah salah satu yang paling aneh dalam praktik saya. Suatu hari, seorang pelanggan datang kepada kami dan meminta bantuan - ada yang tidak beres saat mengimplementasikan Cisco ISE, semuanya rusak, dan tidak ada orang lain yang dapat mengakses jaringan. Kami mulai mencarinya dan menemukan hal berikut. Perusahaan ini memiliki 2000 komputer, yang, jika tidak ada pengontrol domain, dikelola di bawah akun administrator. Untuk tujuan peering, organisasi menerapkan Cisco ISE. Penting untuk memahami apakah antivirus telah diinstal pada PC yang ada, apakah lingkungan perangkat lunak telah diperbarui, dll. Dan karena administrator TI memasang peralatan jaringan ke dalam sistem, masuk akal jika mereka memiliki akses ke sana. Setelah melihat cara kerjanya dan memposkan PC mereka, para administrator mendapat ide untuk menginstal perangkat lunak di stasiun kerja karyawan dari jarak jauh tanpa kunjungan pribadi. Bayangkan saja berapa banyak langkah yang bisa Anda hemat per hari dengan cara ini! Administrator melakukan beberapa pemeriksaan stasiun kerja untuk mengetahui keberadaan file tertentu di direktori C:Program Files, dan jika tidak ada, perbaikan otomatis diluncurkan dengan mengikuti tautan yang mengarah ke penyimpanan file ke file instalasi .exe. Hal ini memungkinkan pengguna biasa untuk membuka berbagi file dan mengunduh perangkat lunak yang diperlukan dari sana. Sayangnya, admin tidak mengetahui sistem ISE dengan baik dan merusak mekanisme posting - dia salah menulis kebijakan, yang menyebabkan masalah yang harus kami selesaikan. Secara pribadi, saya sangat terkejut dengan pendekatan kreatif seperti itu, karena akan jauh lebih murah dan tidak memakan banyak tenaga untuk membuat pengontrol domain. Tapi sebagai Bukti konsep itu berhasil.
Baca lebih lanjut mengenai nuansa teknis yang muncul saat mengimplementasikan Cisco ISE di artikel rekan saya .
Artem Bobrikov, insinyur desain Pusat Keamanan Informasi di Jet Infosystems
penutup:
Meskipun postingan ini membahas tentang sistem Cisco ISE, masalah yang dijelaskan relevan untuk seluruh kelas solusi NAC. Solusi vendor mana yang direncanakan untuk diterapkan tidaklah terlalu penting - sebagian besar solusi di atas akan tetap berlaku.
Sumber: www.habr.com