Quante volte compri qualcosa spontaneamente, soccombendo a una pubblicità interessante, e poi l'oggetto inizialmente desiderato raccoglie polvere nell'armadio, nella dispensa o nel garage fino alle prossime pulizie di primavera o traslochi? Il risultato è una delusione dovuta ad aspettative ingiustificate e denaro sprecato. È molto peggio quando ciò accade a un'azienda. Molto spesso gli espedienti di marketing sono così efficaci che le aziende acquistano una soluzione costosa senza vedere il quadro completo della sua applicazione. Nel frattempo, i test di prova del sistema aiutano a capire come preparare l'infrastruttura per l'integrazione, quali funzionalità e in che misura dovrebbero essere implementate. In questo modo puoi evitare un gran numero di problemi dovuti alla scelta di un prodotto “alla cieca”. Inoltre, l'implementazione dopo un "pilota" competente porterà gli ingegneri molto meno distrutti dalle cellule nervose e dai capelli grigi. Scopriamo perché i test pilota sono così importanti per un progetto di successo, utilizzando l'esempio di uno strumento popolare per controllare l'accesso a una rete aziendale: Cisco ISE. Consideriamo sia le opzioni standard che quelle completamente non standard per l'utilizzo della soluzione che abbiamo riscontrato nella nostra pratica.
Cisco ISE - “Server Radius con steroidi”
Cisco Identity Services Engine (ISE) è una piattaforma per la creazione di un sistema di controllo degli accessi per la rete locale di un'organizzazione. Nella comunità degli esperti il prodotto è stato soprannominato “Radius server on steroids” per le sue proprietà. Perché? In sostanza, la soluzione è un server Radius, a cui sono stati allegati un numero enorme di servizi e "trucchi" aggiuntivi, che consentono di ricevere una grande quantità di informazioni contestuali e di applicare l'insieme di dati risultante nelle politiche di accesso.
Come qualsiasi altro server Radius, Cisco ISE interagisce con le apparecchiature di rete a livello di accesso, raccoglie informazioni su tutti i tentativi di connessione alla rete aziendale e, in base a policy di autenticazione e autorizzazione, consente o nega agli utenti l'accesso alla LAN. Tuttavia, la possibilità di profilazione, pubblicazione e integrazione con altre soluzioni di sicurezza delle informazioni consente di complicare notevolmente la logica della politica di autorizzazione e quindi di risolvere problemi piuttosto difficili e interessanti.
L’implementazione non può essere pilotata: perché sono necessari i test?
Il valore dei test pilota è dimostrare tutte le capacità del sistema nell'infrastruttura specifica di una specifica organizzazione. Ritengo che il pilotaggio di Cisco ISE prima dell'implementazione avvantaggi tutti i soggetti coinvolti nel progetto, ed ecco perché.
Questo dà agli integratori un’idea chiara delle aspettative del cliente e aiuta a creare una specifica tecnica corretta che contenga molti più dettagli rispetto alla frase comune “assicurati che tutto vada bene”. “Pilota” ci permette di sentire tutto il dolore del cliente, di capire quali compiti sono per lui prioritari e quali secondari. Per noi questa è un'ottima opportunità per capire in anticipo quali attrezzature vengono utilizzate nell'organizzazione, come avverrà l'implementazione, in quali siti, dove si trovano e così via.
Durante i test pilota, i clienti vedono il sistema reale in azione, acquisiscono familiarità con la sua interfaccia, possono verificare se è compatibile con l'hardware esistente e ottenere una comprensione olistica di come funzionerà la soluzione dopo l'implementazione completa. Il “pilota” è proprio il momento in cui puoi vedere tutte le insidie che probabilmente incontrerai durante l'integrazione e decidere quante licenze devi acquistare.
Cosa può “apparire” durante il “pilota”
Quindi, come prepararsi adeguatamente per l'implementazione di Cisco ISE? Dalla nostra esperienza, abbiamo contato 4 punti principali che è importante considerare durante il test pilota del sistema.
Fattore di forma
Innanzitutto, è necessario decidere in quale formato verrà implementato il sistema: upline fisico o virtuale. Ogni opzione presenta vantaggi e svantaggi. Ad esempio, il punto di forza di una upline fisica è la sua prevedibilità delle prestazioni, ma non dobbiamo dimenticare che tali dispositivi diventano obsoleti nel tempo. Le upline virtuali sono meno prevedibili perché... dipendono dall'hardware su cui è distribuito l'ambiente di virtualizzazione, ma hanno un serio vantaggio: se è disponibile il supporto, possono sempre essere aggiornati all'ultima versione.
La tua apparecchiatura di rete è compatibile con Cisco ISE?
Naturalmente, lo scenario ideale sarebbe collegare tutte le apparecchiature al sistema contemporaneamente. Tuttavia, ciò non è sempre possibile poiché molte organizzazioni utilizzano ancora switch non gestiti o switch che non supportano alcune delle tecnologie che eseguono Cisco ISE. A proposito, non stiamo parlando solo di switch, ma possono essere anche controller di rete wireless, concentratori VPN e qualsiasi altra apparecchiatura a cui gli utenti si connettono. Nella mia pratica, ci sono stati casi in cui, dopo aver dimostrato la completa implementazione del sistema, il cliente ha aggiornato quasi l'intera flotta di switch del livello di accesso alle moderne apparecchiature Cisco. Per evitare spiacevoli sorprese, vale la pena informarsi in anticipo sulla percentuale di apparecchiature non supportate.
Tutti i tuoi dispositivi sono standard?
Qualsiasi rete dispone di dispositivi tipici a cui non dovrebbe essere difficile connettersi: workstation, telefoni IP, punti di accesso Wi-Fi, videocamere e così via. Ma succede anche che sia necessario collegare alla LAN dispositivi non standard, ad esempio convertitori di segnale bus RS232/Ethernet, interfacce di alimentazione di continuità, varie apparecchiature tecnologiche, ecc. È importante determinare in anticipo l'elenco di tali dispositivi , in modo che nella fase di implementazione tu abbia già una comprensione di come funzioneranno tecnicamente con Cisco ISE.
Dialogo costruttivo con gli specialisti IT
I clienti Cisco ISE sono spesso dipartimenti di sicurezza, mentre i dipartimenti IT sono generalmente responsabili della configurazione degli switch del livello di accesso e di Active Directory. Pertanto, l'interazione produttiva tra specialisti della sicurezza e specialisti IT è una delle condizioni importanti per un'implementazione indolore del sistema. Se questi ultimi percepiscono l'integrazione con ostilità, vale la pena spiegare loro come la soluzione sarà utile al reparto IT.
I 5 principali casi d'uso di Cisco ISE
Secondo la nostra esperienza, la funzionalità richiesta del sistema viene identificata anche nella fase di test pilota. Di seguito sono riportati alcuni dei casi d'uso più popolari e meno comuni per la soluzione.
Accesso protetto alla LAN tramite cavo con EAP-TLS
Come mostrano i risultati delle ricerche dei nostri pentester, molto spesso per penetrare nella rete di un’azienda gli aggressori utilizzano normali prese a cui sono collegate stampanti, telefoni, telecamere IP, punti Wi-Fi e altri dispositivi di rete non personali. Pertanto, anche se l'accesso alla rete si basa sulla tecnologia dot1x, ma vengono utilizzati protocolli alternativi senza l'utilizzo di certificati di autenticazione dell'utente, esiste un'alta probabilità di successo di un attacco con intercettazione della sessione e password brute-force. Nel caso di Cisco ISE, sarà molto più difficile rubare un certificato: per questo gli hacker avranno bisogno di molta più potenza di calcolo, quindi questo caso è molto efficace.
Accesso wireless con doppio SSID
L'essenza di questo scenario è utilizzare 2 identificatori di rete (SSID). Uno di questi può essere chiamato condizionatamente "ospite". Attraverso di esso sia gli ospiti che i dipendenti dell'azienda possono accedere alla rete wireless. Quando tentano di connettersi, questi ultimi vengono reindirizzati su un apposito portale dove avviene il provisioning. Cioè all'utente viene rilasciato un certificato e il suo dispositivo personale viene configurato per riconnettersi automaticamente al secondo SSID, che utilizza già EAP-TLS con tutti i vantaggi del primo caso.
Bypass e profilazione dell'autenticazione MAC
Un altro caso d'uso popolare è quello di rilevare automaticamente il tipo di dispositivo connesso e applicarvi le restrizioni corrette. Perché è interessante? Il fatto è che sono ancora molti i dispositivi che non supportano l'autenticazione tramite il protocollo 802.1X. Pertanto tali dispositivi devono essere ammessi nella rete tramite un indirizzo MAC, che è abbastanza facile da falsificare. È qui che Cisco ISE viene in soccorso: con l'aiuto del sistema puoi vedere come si comporta un dispositivo sulla rete, creare il suo profilo e assegnarlo a un gruppo di altri dispositivi, ad esempio un telefono IP e una workstation . Se un utente malintenzionato tenta di falsificare un indirizzo MAC e di connettersi alla rete, il sistema vedrà che il profilo del dispositivo è cambiato, segnalerà un comportamento sospetto e non consentirà all'utente sospetto di accedere alla rete.
Concatenamento EAP
La tecnologia EAP-Chaining prevede l'autenticazione sequenziale del PC funzionante e dell'account utente. Questo caso è diventato molto diffuso perché... Molte aziende ancora non incoraggiano il collegamento dei gadget personali dei dipendenti alla LAN aziendale. Utilizzando questo approccio all'autenticazione è possibile verificare se una determinata postazione di lavoro è membro del dominio e, se l'esito è negativo, l'utente o non sarà ammesso nella rete oppure potrà entrare, ma con determinate restrizioni.
posturing
Questo caso riguarda la valutazione della conformità del software della workstation ai requisiti di sicurezza delle informazioni. Utilizzando questa tecnologia è possibile verificare se il software della workstation è aggiornato, se sono installate misure di sicurezza, se è configurato il firewall dell'host, ecc. È interessante notare che questa tecnologia consente anche di risolvere altre attività non legate alla sicurezza, ad esempio verificare la presenza dei file necessari o installare software a livello di sistema.
Casi d'uso meno comuni per Cisco ISE includono il controllo degli accessi con autenticazione del dominio end-to-end (ID passivo), microsegmentazione e filtraggio basati su SGT, nonché l'integrazione con sistemi di gestione dei dispositivi mobili (MDM) e scanner di vulnerabilità.
Progetti non standard: perché altrimenti potresti aver bisogno di Cisco ISE, o 3 rari casi della nostra pratica
Controllo dell'accesso ai server basati su Linux
Una volta stavamo risolvendo un caso piuttosto non banale per uno dei clienti che aveva già implementato il sistema Cisco ISE: dovevamo trovare un modo per controllare le azioni degli utenti (principalmente amministratori) sui server con Linux installato. Alla ricerca di una risposta, ci è venuta l'idea di utilizzare il software gratuito PAM Radius Module, che consente di accedere ai server che eseguono Linux con autenticazione su un server Radius esterno. Tutto a questo proposito andrebbe bene, se non fosse per un "ma": il server Radius, inviando una risposta alla richiesta di autenticazione, fornisce solo il nome dell'account e il risultato: valutazione accettata o valutazione rifiutata. Nel frattempo, per l'autorizzazione in Linux, è necessario assegnare almeno un altro parametro: la directory home, in modo che l'utente arrivi almeno da qualche parte. Non abbiamo trovato un modo per assegnarlo come attributo raggio, quindi abbiamo scritto uno script speciale per creare account in remoto sugli host in modalità semiautomatica. Questo compito era abbastanza fattibile, poiché avevamo a che fare con account amministratore, il cui numero non era così elevato. Successivamente, gli utenti hanno effettuato l'accesso al dispositivo richiesto, dopodiché è stato loro assegnato l'accesso necessario. Sorge una domanda ragionevole: è necessario utilizzare Cisco ISE in questi casi? In realtà no: va bene qualsiasi server Radius, ma poiché il cliente disponeva già di questo sistema, gli abbiamo semplicemente aggiunto una nuova funzionalità.
Inventario dell'hardware e del software sulla LAN
Una volta abbiamo lavorato a un progetto per fornire Cisco ISE a un cliente senza un "pilota" preliminare. Non esistevano requisiti chiari per la soluzione e inoltre avevamo a che fare con una rete piatta e non segmentata, il che complicava il nostro compito. Durante il progetto, abbiamo configurato tutti i possibili metodi di profilazione supportati dalla rete: NetFlow, DHCP, SNMP, integrazione AD, ecc. Di conseguenza, l'accesso MAR è stato configurato con la possibilità di accedere alla rete in caso di autenticazione fallita. Cioè, anche se l'autenticazione non avesse avuto successo, il sistema avrebbe comunque consentito all'utente di accedere alla rete, raccogliere informazioni su di lui e registrarle nel database ISE. Questo monitoraggio della rete per diverse settimane ci ha aiutato a identificare i sistemi connessi e i dispositivi non personali e a sviluppare un approccio per segmentarli. Successivamente, abbiamo inoltre configurato la registrazione per installare l'agente sulle workstation al fine di raccogliere informazioni sul software installato su di esse. Qual è il risultato? Siamo riusciti a segmentare la rete e determinare l'elenco dei software che dovevano essere rimossi dalle workstation. Non nascondo che le ulteriori attività di distribuzione degli utenti in gruppi di dominio e di definizione dei diritti di accesso ci hanno richiesto parecchio tempo, ma in questo modo abbiamo ottenuto un quadro completo dell'hardware che il cliente aveva sulla rete. A proposito, questo non è stato difficile grazie al buon lavoro di profilazione fuori dagli schemi. Ebbene, dove la profilazione non ha aiutato, abbiamo guardato noi stessi, evidenziando la porta dello switch a cui era collegata l'apparecchiatura.
Installazione remota di software su postazioni di lavoro
Questo caso è uno dei più strani nella mia pratica. Un giorno, un cliente si è rivolto a noi con una richiesta di aiuto: qualcosa è andato storto durante l'implementazione di Cisco ISE, tutto si è rotto e nessun altro poteva accedere alla rete. Abbiamo iniziato a esaminarlo e abbiamo scoperto quanto segue. L'azienda disponeva di 2000 computer che, in assenza di un controller di dominio, erano gestiti con un account amministratore. Ai fini del peering, l'organizzazione ha implementato Cisco ISE. Era necessario capire in qualche modo se sui PC esistenti era installato un antivirus, se l'ambiente software era aggiornato, ecc. E poiché gli amministratori IT hanno installato apparecchiature di rete nel sistema, è logico che vi abbiano accesso. Dopo aver visto come funziona e aver potenziato i propri PC, gli amministratori hanno avuto l'idea di installare il software sulle postazioni di lavoro dei dipendenti da remoto senza visite personali. Immagina quanti passi puoi risparmiare al giorno in questo modo! Gli amministratori hanno effettuato diversi controlli sulla workstation per verificare la presenza di un file specifico nella directory C:Program Files e, in caso di assenza, è stata avviata una riparazione automatica seguendo un collegamento che portava all'archiviazione del file nel file .exe di installazione. Ciò consentiva agli utenti ordinari di accedere a una condivisione di file e scaricare da lì il software necessario. Sfortunatamente, l'amministratore non conosceva bene il sistema ISE e ha danneggiato i meccanismi di pubblicazione: ha scritto la politica in modo errato, il che ha portato a un problema che abbiamo dovuto risolvere. Personalmente sono sinceramente sorpreso da un approccio così creativo, perché sarebbe molto più economico e meno dispendioso in termini di manodopera creare un controller di dominio. Ma come prova di concetto ha funzionato.
Scopri di più sulle sfumature tecniche che emergono durante l'implementazione di Cisco ISE nell'articolo del mio collega .
Artem Bobrikov, ingegnere progettista del Centro di sicurezza informatica di Jet Infosystems
postfazione:
Nonostante questo post parli del sistema Cisco ISE, i problemi descritti sono rilevanti per l'intera classe di soluzioni NAC. Non è così importante quale soluzione del fornitore si prevede di implementare: la maggior parte di quanto sopra rimarrà applicabile.
Fonte: habr.com