Hversu oft kaupir þú eitthvað af sjálfsdáðum, lætur undan flottri auglýsingu, og svo safnar þessi upphaflega eftirsótta hlutur ryki í skáp, búri eða bílskúr þar til næsta vorhreingerning eða flutningur? Niðurstaðan eru vonbrigði vegna óréttmætra væntinga og sóaðs fjár. Það er miklu verra þegar þetta kemur fyrir fyrirtæki. Mjög oft eru markaðsbrellur svo góðar að fyrirtæki kaupa dýra lausn án þess að sjá heildarmyndina af notkun hennar. Á meðan, prufuprófun á kerfinu hjálpar til við að skilja hvernig á að undirbúa innviði fyrir samþættingu, hvaða virkni og að hvaða marki ætti að innleiða. Þannig geturðu forðast gríðarlegan fjölda vandamála vegna þess að þú velur vöru „í blindni“. Að auki mun framkvæmd eftir hæfum „flugmanni“ færa verkfræðingum mun minna eyðilagðar taugafrumur og grátt hár. Við skulum reikna út hvers vegna tilraunapróf eru svo mikilvæg fyrir árangursríkt verkefni, með því að nota dæmi um vinsælt tæki til að stjórna aðgangi að fyrirtækjaneti - Cisco ISE. Við skulum íhuga bæði staðlaða og algjörlega óstöðluðu valkosti til að nota lausnina sem við hittum í starfi okkar.
Cisco ISE - „Radius þjónn á sterum“
Cisco Identity Services Engine (ISE) er vettvangur til að búa til aðgangsstýringarkerfi fyrir staðarnet fyrirtækis. Í sérfræðingasamfélaginu fékk varan viðurnefnið „Radius netþjónn á sterum“ fyrir eiginleika þess. Afhverju er það? Í meginatriðum er lausnin Radius netþjónn, sem gríðarlegur fjöldi viðbótarþjónustu og „bragða“ hefur verið tengdur við, sem gerir þér kleift að fá mikið magn af samhengisupplýsingum og beita gagnasettinu sem myndast í aðgangsreglum.
Eins og hver annar Radius netþjónn hefur Cisco ISE samskipti við netbúnað á aðgangsstigi, safnar upplýsingum um allar tilraunir til að tengjast fyrirtækisnetinu og, byggt á auðkenningar- og heimildastefnu, leyfir eða neitar notendum um staðarnetið. Hins vegar er möguleikinn á prófílgreiningu, birtingu og samþættingu við aðrar lausnir upplýsingaöryggis kleift að flækja verulega rökfræði heimildastefnunnar og leysa þar með nokkuð erfið og áhugaverð vandamál.
Ekki er hægt að prufa innleiðingu: hvers vegna þarftu að prófa?
Gildi tilraunaprófana er að sýna fram á alla getu kerfisins í tilteknum innviðum tiltekinnar stofnunar. Ég tel að tilraunastarfsemi Cisco ISE fyrir innleiðingu gagnist öllum sem taka þátt í verkefninu og hér er ástæðan.
Þetta gefur samþættingjum skýra hugmynd um væntingar viðskiptavinarins og hjálpar til við að búa til rétta tækniforskrift sem inniheldur mun meiri smáatriði en algeng setning „vertu viss um að allt sé í lagi. „Pilot“ gerir okkur kleift að finna fyrir öllum sársauka viðskiptavinarins, að skilja hvaða verkefni eru í forgangi fyrir hann og hver eru aukaatriði. Fyrir okkur er þetta kjörið tækifæri til að átta sig á því fyrirfram hvaða búnaður er notaður í stofnuninni, hvernig innleiðingin fer fram, á hvaða stöðum, hvar þeir eru staðsettir o.s.frv.
Við tilraunaprófun sjá viðskiptavinir hið raunverulega kerfi í gangi, kynnast viðmóti þess, geta athugað hvort það sé samhæft við núverandi vélbúnað þeirra og fá heildstæðan skilning á því hvernig lausnin mun virka eftir fulla innleiðingu. „Pilot“ er einmitt augnablikið þegar þú getur séð allar gildrurnar sem þú munt líklega lenda í við samþættingu og ákveðið hversu mörg leyfi þú þarft að kaupa.
Hvað getur „poppað upp“ meðan á „flugmanni“ stendur
Svo, hvernig undirbýrðu þig almennilega fyrir innleiðingu Cisco ISE? Af reynslu okkar höfum við talið 4 meginatriði sem mikilvægt er að hafa í huga við tilraunaprófun kerfisins.
Form þáttur
Í fyrsta lagi þarftu að ákveða í hvaða formi kerfið verður innleitt: líkamlegt eða sýndarupplína. Hver valkostur hefur sína kosti og galla. Styrkur líkamlegrar upplínu er til dæmis fyrirsjáanleg frammistaða hennar, en við megum ekki gleyma því að slík tæki verða úrelt með tímanum. Sýndarupplínur eru minna fyrirsjáanlegar vegna þess að... fer eftir vélbúnaðinum sem sýndarvæðingarumhverfið er notað á, en þeir hafa alvarlegan kost: ef stuðningur er til staðar er alltaf hægt að uppfæra þá í nýjustu útgáfuna.
Er netbúnaður þinn samhæfður Cisco ISE?
Auðvitað væri kjörið að tengja allan búnað við kerfið í einu. Hins vegar er þetta ekki alltaf mögulegt þar sem margar stofnanir nota enn óstýrða rofa eða rofa sem styðja ekki suma tækni sem keyrir Cisco ISE. Við the vegur, við erum ekki bara að tala um rofa, það geta líka verið þráðlausir netstýringar, VPN einbeitingartæki og önnur búnaður sem notendur tengjast. Í starfi mínu hafa komið upp tilvik þar sem viðskiptavinurinn uppfærði nánast allan flota aðgangsstigsrofa í nútíma Cisco búnað eftir að hafa sýnt kerfið fyrir fulla útfærslu. Til að koma í veg fyrir óþægilega óvart er það þess virði að komast að því fyrirfram hversu mikið er af óstuddum búnaði.
Eru öll tæki þín staðalbúnaður?
Hvaða netkerfi sem er hefur dæmigerð tæki sem ætti ekki að vera erfitt að tengja við: vinnustöðvar, IP-síma, Wi-Fi aðgangsstaði, myndbandsupptökuvélar og svo framvegis. En það kemur líka fyrir að óstöðluð tæki þurfa að vera tengd við staðarnetið, td RS232/Ethernet strætómerkjabreytir, truflanir aflgjafaviðmót, ýmis tæknibúnaður o.s.frv.. Mikilvægt er að ákvarða listann yfir slík tæki fyrirfram. , þannig að á innleiðingarstigi hefurðu nú þegar skilning á því hvernig tæknilega þeir munu vinna með Cisco ISE.
Uppbyggilegt samtal við sérfræðinga í upplýsingatækni
Cisco ISE viðskiptavinir eru oft öryggisdeildir en upplýsingatæknideildir bera venjulega ábyrgð á að stilla aðgangslagsrofa og Active Directory. Þess vegna er afkastamikið samspil öryggissérfræðinga og upplýsingatæknisérfræðinga eitt af mikilvægu skilyrðunum fyrir sársaukalausri innleiðingu kerfisins. Ef þeir síðarnefndu skynja samþættingu með fjandskap er vert að útskýra fyrir þeim hvernig lausnin nýtist upplýsingatæknideildinni.
Top 5 Cisco ISE notkunartilvik
Í reynslu okkar er nauðsynleg virkni kerfisins einnig auðkennd á tilraunastigi. Hér að neðan eru nokkur af vinsælustu og sjaldgæfustu notkunartilvikunum fyrir lausnina.
Öruggur staðarnetsaðgangur yfir vír með EAP-TLS
Eins og niðurstöður rannsókna pentesters okkar sýna að til að komast inn í net fyrirtækis nota árásarmenn venjulegar innstungur sem prentarar, símar, IP myndavélar, Wi-Fi punktar og önnur ópersónuleg nettæki eru tengd við. Þess vegna, jafnvel þó að netaðgangur sé byggður á dot1x tækni, en aðrar samskiptareglur séu notaðar án þess að nota notendavottorð, eru miklar líkur á árangursríkri árás með hlerun á lotum og leyniorðum. Í tilviki Cisco ISE verður mun erfiðara að stela skírteini - til þess þurfa tölvuþrjótar miklu meiri tölvuafl, svo þetta mál er mjög áhrifaríkt.
Dual-SSID þráðlaus aðgangur
Kjarninn í þessari atburðarás er að nota 2 netauðkenni (SSID). Einn þeirra má með skilyrðum kalla „gestur“. Í gegnum það geta bæði gestir og starfsmenn fyrirtækisins aðgang að þráðlausa netinu. Þegar þeir reyna að tengjast er þeim síðarnefndu vísað á sérstaka gátt þar sem úthlutun fer fram. Það er, notandinn fær útgefið skírteini og persónulegt tæki hans er stillt til að tengjast sjálfkrafa aftur við annað SSID, sem notar nú þegar EAP-TLS með öllum kostum fyrra tilviksins.
MAC Authentication Bypass og Profiling
Annað vinsælt notkunartilvik er að greina sjálfkrafa gerð tækisins sem verið er að tengja og setja réttar takmarkanir á það. Af hverju er hann áhugaverður? Staðreyndin er sú að það eru enn töluvert mörg tæki sem styðja ekki auðkenningu með 802.1X samskiptareglum. Þess vegna verður að hleypa slíkum tækjum inn á netið með því að nota MAC vistfang, sem auðvelt er að falsa. Þetta er þar sem Cisco ISE kemur til bjargar: með hjálp kerfisins geturðu séð hvernig tæki hegðar sér á netinu, búið til prófíl þess og tengt það við hóp annarra tækja, til dæmis IP síma og vinnustöð . Ef árásarmaður reynir að spilla MAC vistfangi og tengjast netinu mun kerfið sjá að snið tækisins hefur breyst, mun gefa til kynna grunsamlega hegðun og mun ekki hleypa grunsamlegum notanda inn á netið.
EAP-keðja
EAP-Chaining tækni felur í sér raðauðkenningu á vinnutölvu og notandareikningi. Þetta mál er orðið útbreitt vegna þess að... Mörg fyrirtæki hvetja enn ekki til að tengja persónulegar græjur starfsmanna við fyrirtækis staðarnetið. Með þessari auðkenningaraðferð er hægt að athuga hvort tiltekin vinnustöð sé aðili að léninu og ef niðurstaðan er neikvæð mun notandanum annaðhvort ekki hleypt inn á netið, eða geta skráð sig inn, en með ákveðnar takmarkanir.
Stilling
Mál þetta snýst um að meta hvort vinnustöðvarhugbúnaðurinn uppfylli kröfur um upplýsingaöryggi. Með þessari tækni er hægt að athuga hvort hugbúnaðurinn á vinnustöðinni sé uppfærður, hvort öryggisráðstafanir séu settar upp á henni, hvort hýsileldveggurinn sé stilltur o.s.frv. Athyglisvert er að þessi tækni gerir þér einnig kleift að leysa önnur verkefni sem ekki tengjast öryggi, til dæmis að athuga hvort nauðsynlegar skrár séu til staðar eða setja upp hugbúnað fyrir allan kerfið.
Sjaldgæfari notkunartilvik fyrir Cisco ISE fela í sér aðgangsstýringu með end-to-end lénsvottun (Passive ID), SGT-undirstaða örskiptingu og síun, auk samþættingar við farsímastjórnunarkerfi (MDM) og varnarleysisskanna.
Óstöðluð verkefni: hvers vegna annars gætirðu þurft Cisco ISE, eða 3 sjaldgæf tilvik frá æfingunni okkar
Aðgangsstýring að Linux-undirstaða netþjónum
Einu sinni vorum við að leysa frekar lítið mál fyrir einn af viðskiptavinunum sem þegar voru með Cisco ISE kerfið innleitt: við þurftum að finna leið til að stjórna aðgerðum notenda (aðallega stjórnendur) á netþjónum með Linux uppsett. Í leit að svari komum við upp með þá hugmynd að nota ókeypis PAM Radius Module hugbúnaðinn, sem gerir þér kleift að skrá þig inn á netþjóna sem keyra Linux með auðkenningu á ytri radíusþjóni. Allt í þessu sambandi væri gott, ef ekki væri fyrir eitt „en“: radíusþjónninn, sem sendir svar við auðkenningarbeiðninni, gefur aðeins upp reikningsnafnið og niðurstöðuna - metið samþykkt eða mat hafnað. Á meðan, til að fá leyfi í Linux, þarftu að úthluta að minnsta kosti einni færibreytu í viðbót - heimaskrá, svo að notandinn komist að minnsta kosti einhvers staðar. Við fundum ekki leið til að gefa þetta sem radíuseigind, svo við skrifuðum sérstakt handrit til að búa til reikninga á fjarstýringu á vélum í hálfsjálfvirkri stillingu. Þetta verkefni var alveg framkvæmanlegt, þar sem við vorum að fást við stjórnandareikninga, en fjöldi þeirra var ekki svo mikill. Næst skráðu notendur sig inn á tilskilið tæki, eftir það var þeim úthlutað nauðsynlegum aðgangi. Eðlileg spurning vaknar: er nauðsynlegt að nota Cisco ISE í slíkum tilvikum? Reyndar, nei - hvaða radíusþjónn sem er mun gera það, en þar sem viðskiptavinurinn var þegar með þetta kerfi, bættum við einfaldlega nýjum eiginleika við það.
Skrá yfir vélbúnað og hugbúnað á staðarnetinu
Við unnum einu sinni að verkefni til að útvega Cisco ISE til eins viðskiptavinar án bráðabirgða "flugmanns". Það voru engar skýrar kröfur um lausnina, auk þess sem við áttum við flatt, óhlutbundið net, sem flækti verkefni okkar. Á meðan á verkefninu stóð, stilltum við allar mögulegar aðferðir við prófílgreiningu sem netið studdi: NetFlow, DHCP, SNMP, AD samþættingu osfrv. Fyrir vikið var MAR aðgangur stilltur með möguleika á að skrá sig inn á netið ef auðkenning mistókst. Það er, jafnvel þótt auðkenning næðist ekki, myndi kerfið samt hleypa notandanum inn á netið, safna upplýsingum um hann og skrá í ISE gagnagrunninn. Þetta netvöktun í nokkrar vikur hjálpaði okkur að bera kennsl á tengd kerfi og ópersónuleg tæki og þróa nálgun til að skipta þeim. Eftir þetta stilltum við færslu til að setja upp umboðsmanninn á vinnustöðvum til að safna upplýsingum um hugbúnaðinn sem settur er upp á þeim. Hver er niðurstaðan? Við gátum skipt upp netkerfinu og ákvarðað lista yfir hugbúnað sem þurfti að fjarlægja af vinnustöðvum. Ég ætla ekki að leyna því að frekari verkefni við að dreifa notendum í lénahópa og afmarka aðgangsrétt tóku okkur töluverðan tíma, en þannig fengum við heildarmynd af því hvaða vélbúnað viðskiptavinurinn var með á netinu. Við the vegur, þetta var ekki erfitt vegna góðrar vinnu við að sniða út úr kassanum. Jæja, þar sem prófílgreining hjálpaði ekki, skoðuðum við sjálf og bentum á rofatengi sem búnaðurinn var tengdur við.
Fjaruppsetning hugbúnaðar á vinnustöðvum
Þetta mál er eitt það undarlegasta í starfi mínu. Dag einn kom viðskiptavinur til okkar með hróp á hjálp - eitthvað fór úrskeiðis við innleiðingu Cisco ISE, allt bilaði og enginn annar gat fengið aðgang að netinu. Við byrjuðum að skoða það og komumst að eftirfarandi. Fyrirtækið átti 2000 tölvur sem, þar sem lénsstýring var ekki til staðar, var stjórnað undir stjórnandareikningi. Í þeim tilgangi að skyggnast, innleiddu samtökin Cisco ISE. Það var nauðsynlegt að skilja einhvern veginn hvort vírusvörn væri sett upp á núverandi tölvum, hvort hugbúnaðarumhverfið væri uppfært o.s.frv. Og þar sem upplýsingatæknistjórnendur settu netbúnað inn í kerfið er rökrétt að þeir hafi haft aðgang að því. Eftir að hafa séð hvernig það virkar og búið til tölvur sínar, komu stjórnendur upp með þá hugmynd að setja upp hugbúnaðinn á vinnustöðvum starfsmanna í fjarska án persónulegra heimsókna. Ímyndaðu þér hversu mörg skref þú getur sparað á dag með þessum hætti! Stjórnendur framkvæmdu nokkrar athuganir á vinnustöðinni fyrir tilvist ákveðinnar skráar í C:Program Files möppunni og ef hún var fjarverandi var sjálfvirk lagfæring ræst með því að fylgja hlekk sem leiddi til skráageymslunnar í uppsetningarskrána .exe. Þetta gerði venjulegum notendum kleift að fara í skráadeilingu og hlaða niður nauðsynlegum hugbúnaði þaðan. Því miður þekkti stjórnandinn ISE kerfið ekki vel og skemmdi póstkerfin - hann skrifaði stefnuna vitlaust, sem leiddi til vandamáls sem við áttum þátt í að leysa. Persónulega er ég einlæglega hissa á svona skapandi nálgun, því það væri miklu ódýrara og minna vinnufrekt að búa til lénsstýringu. En sem Proof of concept virkaði það.
Lestu meira um tæknileg blæbrigði sem koma upp þegar Cisco ISE er innleitt í grein kollega míns .
Artem Bobrikov, hönnunarverkfræðingur upplýsingaöryggismiðstöðvar Jet Infosystems
Eftirsögn:
Þrátt fyrir þá staðreynd að þessi færsla fjallar um Cisco ISE kerfið, eru vandamálin sem lýst er viðeigandi fyrir allan flokk NAC lausna. Það er ekki svo mikilvægt hvaða lausn söluaðilans er fyrirhuguð til innleiðingar - flest af ofangreindu mun gilda áfram.
Heimild: www.habr.com