Ugboro ole ka ị na-azụta ihe na mberede, na-adaba na mgbasa ozi dị mma, mgbe ahụ ihe a chọrọ na mbụ na-achịkọta uzuzu n'ime kaboodu, ebe a na-adọba ụgbọala ma ọ bụ ebe a na-adọba ụgbọala ruo mgbe mmiri na-esote ihicha ma ọ bụ kwaga? Ihe si na ya pụta bụ ndakpọ olileanya n'ihi atụmanya na-ezighị ezi na ego efu. Ọ na-aka njọ mgbe nke a mere azụmahịa. Ọtụtụ mgbe, gimmicks ahịa dị mma nke na ụlọ ọrụ na-azụta ihe ngwọta dị oke ọnụ na-enweghị ịhụ nkọwa zuru ezu nke ngwa ya. Ka ọ dị ugbu a, ule nyocha nke usoro ahụ na-enyere aka ịghọta otú e si akwadebe akụrụngwa maka ntinye, ihe ọrụ na ruo ókè kwesịrị itinye ya. N'ụzọ dị otú a, ị nwere ike izere ọtụtụ nsogbu n'ihi ịhọrọ ngwaahịa "ìsì". Na mgbakwunye, mmejuputa iwu mgbe onye “pilot” tozuru etozu ga-eweta ndị injinia obere mkpụrụ ndụ akwara mebiri emebi na ntutu isi awọ. Ka anyị chọpụta ihe kpatara nnwale pilot ji dị mkpa maka ọrụ na-aga nke ọma, na-eji ihe atụ nke ngwá ọrụ ama ama maka ịchịkwa ịnweta netwọkụ ụlọ ọrụ - Cisco ISE. Ka anyị tụlee ma ọkọlọtọ na kpamkpam na-abụghị ọkọlọtọ nhọrọ maka iji ngwọta na anyị zutere na anyị omume.
Cisco ISE - “Ihe nkesa Radius na steroid”
Cisco Identity Services Engine (ISE) bụ ikpo okwu maka ịmepụta usoro njikwa ohere maka netwọk mpaghara mpaghara. N'ime obodo ndị ọkachamara, a na-akpọ ngwaahịa ahụ "Radius server on steroids" maka ihe onwunwe ya. Gịnị kpatara nke ahụ? N'ụzọ bụ isi, ihe ngwọta bụ ihe nkesa Radius, bụ nke agbakwunyere ọnụ ọgụgụ dị ukwuu nke ọrụ ndị ọzọ na "aghụghọ" na-enye gị ohere ịnweta nnukwu ozi gbasara ọnọdụ na itinye ihe data sitere na ịnweta atumatu.
Dị ka ihe nkesa Radius ọ bụla ọzọ, Cisco ISE na-emekọrịta ihe na akụrụngwa netwọk ohere, na-anakọta ozi gbasara mbọ niile iji jikọọ na netwọk ụlọ ọrụ yana, dabere na nkwenye na atumatu ikike, na-enye ohere ma ọ bụ gọnarị ndị ọrụ na LAN. Agbanyeghị, ohere nke ịkọwapụta, ikesa, na ijikọ na azịza nchekwa ozi ndị ọzọ na-eme ka o kwe omume ịgbakọ mgbakasị echiche nke amụma ikike wee si otú a dozie nsogbu ndị siri ike ma dị ụtọ.
Enweghị ike ịnyagharị mmejuputa ya: kedu ihe mere i ji chọọ nnwale?
Uru nke nnwale pilot bụ igosipụta ike niile nke sistemụ na akụrụngwa akụrụngwa nke otu nzukọ. Ekwenyere m na piloting Cisco ISE tupu mmejuputa iwu na-erite uru onye ọ bụla na-etinye aka na ọrụ ahụ, na nke a bụ ihe kpatara ya.
Nke a na-enye ndị mmekọ ọnụ echiche doro anya nke atụmanya ndị ahịa ma na-enyere aka ịmepụta nkọwa teknụzụ ziri ezi nke nwere ọtụtụ nkọwa karịa nkebi ahịrịokwu nkịtị "hụ na ihe niile dị mma." "Pilot" na-enye anyị ohere inwe mmetụta mgbu niile nke onye ahịa, iji ghọta ọrụ ndị bụ isi maka ya na nke abụọ. Maka anyị, nke a bụ ohere magburu onwe ya iji chọpụta n'ọdịnihu ihe ngwá ọrụ a na-eji na nzukọ ahụ, otú mmejuputa a ga-esi mee, na saịtị ndị, ebe ha dị, na ihe ndị ọzọ.
N'oge ule pilot, ndị ahịa na-ahụ ezigbo usoro na-arụ ọrụ, mara ya na interface ya, nwere ike ịlele ma ọ dabara na ngwaike ha dị ugbu a, ma nweta nghọta zuru oke banyere otú ngwọta ahụ ga-esi arụ ọrụ mgbe mmejuputa ya zuru oke. "Pilot" bụ oge ị ga-ahụ ọnyà niile ị ga-enweta n'oge njikọta, wee kpebie ole ikikere ị ga-azụta.
Kedu ihe nwere ike "gbapụta" n'oge "pilot"
Yabụ, kedu ka ị si akwado nke ọma maka mmejuputa Cisco ISE? Site na ahụmahụ anyị, anyị agụtala isi ihe 4 dị mkpa iji tụlee n'oge ule pilot nke usoro.
Mpempe usoro
Nke mbụ, ị ga-ekpebi n'ụdị ụdị usoro a ga-emejuputa atumatu: elu anụ ahụ ma ọ bụ mebere. Nhọrọ ọ bụla nwere uru na ọghọm. Dịka ọmụmaatụ, ike nke elu elu anụ ahụ bụ arụmọrụ a na-atụ anya ya, mana anyị agaghị echefu na ngwaọrụ ndị dị otú ahụ na-aghọ ihe mgbe ochie ka oge na-aga. A na-enwechaghị amụma elu n'ihi na... dabere na ngwaike nke etinyere gburugburu virtualization, mana ha nwere nnukwu uru: ọ bụrụ na nkwado dị, enwere ike imelite ha mgbe niile na ụdị kachasị ọhụrụ.
Ngwa netwọk gị ọ dakọtara na Cisco ISE?
N'ezie, ihe dị mma ga-abụ ijikọ akụrụngwa niile na usoro otu oge. Agbanyeghị, nke a anaghị ekwe omume mgbe niile n'ihi na ọtụtụ ụlọ ọrụ ka na-eji mgba ọkụ na-achịkwaghị achịkwa ma ọ bụ mgba ọkụ na-akwadoghị ụfọdụ teknụzụ na-arụ ọrụ Cisco ISE. Site n'ụzọ, ọ bụghị naanị na anyị na-ekwu maka mgba ọkụ, ọ nwekwara ike ịbụ ndị na-ahụ maka netwọk ikuku, ndị na-ahụ maka VPN na ngwa ọ bụla ọzọ nke ndị ọrụ jikọọ. N'ime omume m, enweela ikpe mgbe, mgbe egosipụtachara usoro maka mmejuputa iwu zuru oke, onye ahịa kwalitere ihe fọrọ nke nta ka ọ bụrụ ụgbọ mmiri niile nke ohere ịbanye na ngwa Cisco ọgbara ọhụrụ. Iji zere ihe ịtụnanya na-adịghị mma, ọ bara uru ịchọpụta tupu oge eruo nke akụrụngwa na-akwadoghị.
Ngwaọrụ gị niile bụ ọkọlọtọ?
Netwọk ọ bụla nwere ngwaọrụ ndị na-ahụkarị nke na-ekwesịghị ịbụ ihe siri ike ijikọ: ebe ọrụ, ekwentị IP, ebe ịnweta Wi-Fi, igwefoto vidiyo, na ihe ndị ọzọ. Ma ọ na-emekwa na ngwaọrụ ndị na-abụghị ọkọlọtọ kwesịrị ijikọ na LAN, dịka ọmụmaatụ, RS232 / Ethernet ụgbọ ala ndị na-atụgharị ụgbọ ala, oghere ọkụ na-adịghị akwụsị akwụsị, ngwá ọrụ nkà na ụzụ dị iche iche, wdg. Ọ dị mkpa iji chọpụta ndepụta nke ngwaọrụ ndị dị otú ahụ tupu oge eruo. , nke mere na n'oge mmejuputa iwu ị nwere nghọta ka teknụzụ ha ga-esi rụọ ọrụ na Cisco ISE.
Mkparịta ụka bara uru na ndị ọkachamara IT
Ndị ahịa Cisco ISE na-abụkarị ngalaba nchekwa, ebe ngalaba IT na-ahụ maka ịhazi oghere oyi akwa na akwụkwọ ndekọ aha. Ya mere, mmekọrịta na-arụpụta ihe n'etiti ndị ọkachamara nchekwa na ndị ọkachamara IT bụ otu n'ime ọnọdụ dị mkpa maka mmejuputa ihe mgbu nke usoro ahụ. Ọ bụrụ na ndị nke ikpeazụ na-aghọta mwekota na iro, ọ bara uru ịkọwara ha otú ngwọta ga-esi baara ngalaba IT uru.
Oke 5 Cisco ISE ojiji
Na ahụmịhe anyị, a na-achọpụtakwa ọrụ achọrọ nke sistemu na ọkwa nnwale pilot. N'okpuru bụ ụfọdụ n'ime ihe ndị kacha ewu ewu na ndị na-adịkarịghị eji eme ihe maka ngwọta.
Chekwaa ịnweta LAN n'elu waya na EAP-TLS
Dị ka nsonaazụ nyocha ndị pentesters anyị gosipụtara, ọtụtụ mgbe ịbanye na netwọkụ ụlọ ọrụ, ndị na-awakpo na-eji sọks nkịtị nke ejikọrọ ndị nbipute, ekwentị, igwefoto IP, isi Wi-Fi na ngwaọrụ netwọkụ ndị ọzọ na-abụghị nke onwe. Ya mere, ọ bụrụgodị na ịnweta netwọkụ dabere na teknụzụ dot1x, mana a na-eji protocol ndị ọzọ na-ejighi asambodo njirimara onye ọrụ, enwere ike inwe nnukwu mwakpo nke ịga nke ọma na ntinye oge na okwuntughe ike. N'ihe banyere Cisco ISE, ọ ga-esikwu ike izu ohi akwụkwọ - maka nke a, ndị na-agba ọsọ ga-achọ ike ịgbakọ karịa, ya mere ikpe a dị irè.
Nnweta ikuku dual-SSID
Isi ihe dị na ọnọdụ a bụ iji ihe nchọpụta netwọkụ abụọ (SSIDs). Otu n'ime ha nwere ike ịkpọ "ọbịa". Site na ya, ma ndị ọbịa na ndị ọrụ ụlọ ọrụ nwere ike ịnweta netwọk ikuku. Mgbe ha na-agbalị ijikọ, a na-ebugharị nke ikpeazụ gaa na ọdụ ụgbọ mmiri pụrụ iche ebe ndokwa na-ewere ọnọdụ. Ya bụ, enyere onye ọrụ asambodo na ahaziri ngwaọrụ nke ya ka ọ jikọọ na SSID nke abụọ na-akpaghị aka, nke na-eji EAP-TLS na uru niile nke ikpe mbụ.
ngafe na profaịlụ MAC nyocha
Usoro ọzọ a na-ewu ewu bụ ịchọpụta ụdị ngwaọrụ ejikọrọ na akpaghị aka ma tinye ihe mgbochi ziri ezi na ya. Gịnị mere o ji amasị ya? Nke bụ eziokwu bụ na a ka nwere ọtụtụ ngwaọrụ na-akwadoghị nyocha site na iji protocol 802.1X. Ya mere, a ga-ahapụrịrị ngwaọrụ ndị dị otú ahụ na netwọk site na iji adreesị MAC, nke dị mfe ịme adịgboroja. Nke a bụ ebe Cisco ISE na-abịa napụta: site n'enyemaka nke usoro ahụ, ị nwere ike ịhụ otú ngwaọrụ si eme na netwọk, mepụta profaịlụ ya ma kenye ya na otu ngwaọrụ ndị ọzọ, dịka ọmụmaatụ, ekwentị IP na ebe ọrụ. . Ọ bụrụ na onye na-awakpo na-anwa imebi adreesị MAC wee jikọọ na netwọkụ ahụ, sistemụ ahụ ga-ahụ na profaịlụ ngwaọrụ agbanweela, ga-egosipụta omume enyo na ọ gaghị ekwe ka onye ọrụ na-enyo enyo banye na netwọkụ ahụ.
EAP-Chaining
Teknụzụ EAP-Chaining gụnyere nyocha usoro nke PC na-arụ ọrụ na akaụntụ onye ọrụ. Ikpe a agbasala ebe niile n'ihi na... Ọtụtụ ụlọ ọrụ ka anaghị akwado ijikọ ngwa nke ndị ọrụ na ụlọ ọrụ LAN. N'iji usoro a iji nyochaa nyocha, ọ ga-ekwe omume ịlele ma otu ọrụ ọrụ bụ onye so na ngalaba ahụ, ma ọ bụrụ na nsonaazụ ya adịghị mma, a gaghị ekwe ka onye ọrụ banye na netwọk ahụ, ma ọ bụ nwee ike ịbanye, ma na ụfọdụ mgbochi.
Na-ekesa
Ikpe a bụ maka ịtụle nrube isi nke ngwa ngwa na-arụ ọrụ yana ihe nchekwa ozi chọrọ. Iji teknụzụ a, ị nwere ike ịlele ma emelitere ngwanro dị na ebe a na-arụ ọrụ, ma etinyere usoro nchekwa na ya, ma ahaziri firewall nnabata, wdg. N'ụzọ na-akpali mmasị, nkà na ụzụ a na-enyekwara gị ohere idozi ọrụ ndị ọzọ na-emetụtaghị nchekwa, dịka ọmụmaatụ, ịlele ọnụnọ nke faịlụ ndị dị mkpa ma ọ bụ ịwụnye ngwanrọ na-obosara.
Okwu ndị a na-ejikarị eme ihe maka Cisco ISE gụnyere njikwa ohere yana nyocha ngalaba njedebe na njedebe (NJ Passive), micro-segmentation na nzacha dabere na SGT, yana njikọta na sistemu njikwa ngwaọrụ mkpanaka (MDM) yana nyocha ngwa ngwa.
Ọrụ ndị na-abụghị ọkọlọtọ: gịnị kpatara na ị ga-achọ Cisco ISE, ma ọ bụ ikpe 3 na-adịghị ahụkebe site na omume anyị
Nweta njikwa na sava dabere na Linux
Ozugbo anyị na-edozi okwu na-adịghị adị mkpa maka otu n'ime ndị ahịa nwegoro usoro Cisco ISE: anyị kwesịrị ịchọta ụzọ iji chịkwaa omume onye ọrụ (ọtụtụ ndị nchịkwa) na sava nwere Linux arụnyere. N'ịchọ azịza, anyị bịara na echiche nke iji software PAM Radius Module n'efu, nke na-enye gị ohere ịbanye na sava Linux na-agba ọsọ na nkwenye na ihe nkesa radius mpụga. Ihe niile dị na nke a ga-adị mma, ma ọ bụrụ na ọ bụghị maka otu "ma": ihe nkesa radius, na-eziga nzaghachi na arịrịọ nyocha, na-enye naanị aha akaụntụ na nsonaazụ - nyochaa ma ọ bụ nyochaa jụrụ. Ka ọ dị ugbu a, maka ikike na Linux, ịkwesịrị ịnye opekata mpe otu parameter ọzọ - ndekọ ụlọ, ka onye ọrụ wee nweta ebe ọ dịkarịa ala. Anyị ahụghị ụzọ anyị ga-esi nye nke a dị ka àgwà radius, yabụ anyị dere edemede pụrụ iche maka ịmepụta akaụntụ na ndị ọbịa na obere akpaka. Ọrụ a dị nnọọ mfe, ebe ọ bụ na anyị na-arụkọ ọrụ na akaụntụ onye nchịkwa, nke ọnụ ọgụgụ ya adịghị ibu. Na-esote, ndị ọrụ abanye na ngwaọrụ achọrọ, mgbe nke ahụ gasịrị, ekenye ha ohere dị mkpa. Ajụjụ ezi uche dị na ya na-ebilite: ọ dị mkpa iji Cisco ISE n'ọnọdụ ndị dị otú ahụ? N'ezie, mba - ihe nkesa redio ọ bụla ga-eme, mana ebe ọ bụ na onye ahịa enweelarị usoro a, anyị gbakwunyere ya ihe ọhụrụ.
Ndepụta ngwaike na ngwanrọ na LAN
Anyị na-arụ ọrụ n'otu oge na ọrụ ịnye Cisco ISE otu onye ahịa na-enweghị "pilot" mbụ. Enweghị ihe doro anya chọrọ maka ngwọta ya, gbakwunyere na anyị na-emeso netwọk dị larịị, nke na-abụghị nkewa, nke gbagwojuru anya ọrụ anyị. N'oge oru ngo a, anyị haziri ụzọ profaịlụ niile nke netwọk kwadoro: NetFlow, DHCP, SNMP, AD integration, wdg. N'ihi nke a, ahaziri ohere MAR ka ọ nwee ike ịbanye na netwọkụ ahụ ma ọ bụrụ na nyocha dara. Nke ahụ bụ, ọbụlagodi na nyocha emeghị nke ọma, usoro ahụ ka ga-ekwe ka onye ọrụ banye na netwọkụ ahụ, na-anakọta ozi gbasara ya wee dekọọ ya na nchekwa data ISE. Nleba anya netwọkụ a n'ime ọtụtụ izu nyeere anyị aka ịchọpụta sistemu ejikọrọ na ngwaọrụ ndị na-abụghị nke onwe wee mepụta ụzọ iji kesaa ha. Mgbe nke a gasịrị, anyị hazikwara ikenye ka ọ wụnye onye ọrụ na ọdụ ọrụ iji nakọta ozi gbasara ngwanro etinyere na ha. Gịnị si na ya pụta? Anyị nwere ike ikewa netwọkụ ahụ wee chọpụta ndepụta sọftụwia achọrọ ka ewepụ ya na ọdụ ọrụ. Agaghị m ezobe na ọrụ ndị ọzọ nke ikesa ndị ọrụ n'ime ngalaba ngalaba na ịkọwapụta ikike ohere were anyị ogologo oge, mana n'ụzọ dị otú a, anyị nwetara nkọwa zuru ezu nke ngwa ngwa onye ahịa nwere na netwọkụ. Site n'ụzọ, nke a esighị ike n'ihi ọrụ ọma nke ịkọwapụta na igbe ahụ. Ọfọn, ebe profaịlụ adịghị enyere anyị aka, anyị lere onwe anyị anya, na-akọwapụta ọdụ ụgbọ mmiri nke ejikọrọ ngwá ọrụ ahụ.
Ngwa ngwa nrụnye tere aka na ọdụ ọrụ
Ikpe a bụ otu n'ime ihe kachasị njọ na omume m. Otu ụbọchị, onye ahịa bịakwutere anyị na-eti mkpu maka enyemaka - ihe na-ezighị ezi mgbe emejuputa Cisco ISE, ihe niile mebiri, ọ dịghịkwa onye ọzọ nwere ike ịnweta netwọk. Anyị malitere ileba anya na ya wee chọpụta ihe ndị a. Ụlọ ọrụ ahụ nwere kọmputa 2000, nke, na-enweghị onye na-ahụ maka ngalaba, na-achịkwa n'okpuru akaụntụ nchịkwa. Maka ebumnuche nke peering, nzukọ ahụ mebere Cisco ISE. Ọ dị mkpa ịghọta n'ụzọ ụfọdụ ma etinyere antivirus na PC dị ugbu a, ma emelitere gburugburu ngwanrọ, wdg. Ebe ọ bụ na ndị nchịkwa IT tinyere akụrụngwa netwọkụ n'ime sistemụ, ọ bụ ihe ezi uche dị na ya na ha nwere ohere ịnweta ya. Mgbe ha hụchara ka o si arụ ọrụ na ịgbanye PC ha, ndị nchịkwa weputara echiche nke ịwụnye sọftụwia na ebe ọrụ ndị ọrụ na-enweghị nleta onwe onye. Cheedị echiche ole usoro ị ga-echekwa kwa ụbọchị otu a! Ndị nchịkwa ahụ mere ọtụtụ ndenye ego nke ebe a na-arụ ọrụ maka ọnụnọ nke otu faịlụ dị na ndekọ faịlụ mmemme C: ma ọ bụrụ na ọ na-anọghị, a na-ewepụta mmezi akpaka site na isoro njikọ na-eduga na nchekwa faịlụ na faịlụ .exe nwụnye. Nke a mere ka ndị ọrụ nkịtị gaa na nkesa faịlụ wee budata ngwanrọ dị mkpa n'ebe ahụ. N'ụzọ dị mwute, onye nchịkwa ahụ amaghị usoro ISE nke ọma wee mebie usoro ntinye akwụkwọ - o dere amụma ahụ ezighi ezi, nke butere nsogbu anyị tinyere aka na idozi. Onwe m, ụzọ okike dị otú ahụ na-eju m anya n'ezie, n'ihi na ọ ga-adị ọnụ ala karịa na obere ọrụ iji mepụta onye na-ahụ maka ngalaba. Ma dị ka ihe akaebe nke echiche ọ rụrụ ọrụ.
Gụkwuo maka nuances teknụzụ na-ebilite mgbe ị na-emejuputa Cisco ISE n'ime edemede onye ọrụ ibe m .
Artem Bobrikov, onye injinia imewe nke Center Security Center na Jet Infosystems
Afterword:
N'agbanyeghị eziokwu na post a na-ekwu maka usoro Cisco ISE, nsogbu ndị a kọwara dị mkpa maka klas dum nke ngwọta NAC. Ọ bụghị ihe dị mkpa na ngwọta nke onye na-ere ahịa akwadoro maka mmejuputa ya - ọtụtụ n'ime ihe ndị dị n'elu ga-anọgide na-adaba.
isi: www.habr.com