テストでは、Cisco ISE の実装を準備し、必要なシステム機能を理解する方法が示されます。

クールな広告に負けて自発的に何かを購入し、その後、最初に欲しかったそのアイテムが、次の春の大掃除や引っ越しまでクローゼット、パントリー、ガレージの中で埃をかぶっていることがどれくらいありますか? その結果、不当な期待と無駄なお金による失望が生じます。 これがビジネスに起こると、さらに悪いことになります。 マーケティングの仕掛けが非常に優れているため、企業がそのアプリケーションの全体像を理解せずに高価なソリューションを購入してしまうことが非常によくあります。 一方、システムのトライアルテストは、統合のためのインフラストラクチャを準備する方法、どの機能をどの程度実装する必要があるかを理解するのに役立ちます。 こうすることで、製品を「盲目的に」選択することによる膨大な数の問題を回避できます。 さらに、有能な「パイロット」の後に実装すると、エンジニアの神経細胞の破壊や白髪がはるかに少なくなります。 企業ネットワークへのアクセスを制御するための一般的なツールである Cisco ISE の例を使用して、プロジェクトを成功させるためにパイロット テストが非常に重要である理由を理解してみましょう。 私たちが実際に遭遇したソリューションを使用するための標準的なオプションと完全に非標準的なオプションの両方を検討してみましょう。

Cisco ISE - 「強化された Radius サーバ」

Cisco Identity Services Engine（ISE）は、組織のローカル エリア ネットワーク用のアクセス制御システムを作成するためのプラットフォームです。 専門家コミュニティでは、この製品はその特性から「強化された Radius サーバー」というあだ名が付けられました。 何故ですか？ 基本的に、このソリューションは、膨大な数の追加サービスと「トリック」がアタッチされた Radius サーバーであり、これにより、大量のコンテキスト情報を受信し、結果のデータ セットをアクセス ポリシーに適用できるようになります。

他の Radius サーバと同様に、Cisco ISE はアクセス レベルのネットワーク機器と対話し、企業ネットワークへのすべての接続試行に関する情報を収集し、認証および認可ポリシーに基づいてユーザの LAN への接続を許可または拒否します。 ただし、プロファイリング、投稿、および他の情報セキュリティ ソリューションとの統合の可能性により、認可ポリシーのロジックが大幅に複雑になり、それによって非常に困難で興味深い問題を解決できるようになります。

実装を試行することはできません。なぜテストが必要なのでしょうか?

パイロット テストの価値は、特定の組織の特定のインフラストラクチャにおけるシステムのすべての機能を実証することです。 導入前に Cisco ISE を試験運用することは、プロジェクトに関わるすべての人に利益をもたらすと私は信じています。その理由は次のとおりです。

これにより、インテグレーターは顧客の期待を明確に把握でき、「すべてが正常であることを確認する」という一般的な表現よりもはるかに詳細な情報を含む正しい技術仕様を作成するのに役立ちます。 「パイロット」により、顧客のすべての痛みを感じ、どのタスクが顧客にとって優先され、どのタスクが二の次であるかを理解することができます。 私たちにとって、これは、組織内でどのような機器が使用されているか、実装がどのように行われるか、どのサイトで、どこに配置されているかなどを事前に把握する絶好の機会です。

パイロット テスト中、お客様は実際のシステムが動作しているのを見て、そのインターフェイスに慣れ、既存のハードウェアと互換性があるかどうかを確認し、完全な実装後にソリューションがどのように機能するかを総合的に理解できます。 「パイロット」は、統合中に遭遇する可能性のあるすべての落とし穴を確認し、購入する必要があるライセンスの数を決定できる瞬間です。
「パイロット」中に何が「現れる」可能性があるか

では、Cisco ISE の実装を適切に準備するにはどうすればよいでしょうか? 私たちの経験から、システムのパイロット テスト中に考慮すべき重要なポイントが 4 つあると考えられます。

フォームファクタ

まず、システムをどのフォーム ファクタで実装するか (物理アップラインか仮想アップラインか) を決定する必要があります。 各オプションには長所と短所があります。 たとえば、物理アップラインの強みはパフォーマンスが予測可能なことですが、そのようなデバイスは時間の経過とともに時代遅れになることを忘れてはなりません。 仮想アップラインは予測可能ではありません。理由は次のとおりです。 仮想化環境が展開されているハードウェアによって異なりますが、サポートが利用可能な場合には常に最新バージョンに更新できるという重大な利点があります。

ネットワーク機器は Cisco ISE と互換性がありますか?

もちろん、理想的なシナリオは、すべての機器を一度にシステムに接続することです。 ただし、多くの組織が依然として管理対象外のスイッチや、Cisco ISE を実行するテクノロジーの一部をサポートしていないスイッチを使用しているため、これは常に可能であるとは限りません。 ちなみに、ここで話しているのはスイッチだけではなく、ワイヤレス ネットワーク コントローラー、VPN コンセントレーター、ユーザーが接続するその他の機器も含まれます。 私の実務では、システムを完全に実装するためのデモンストレーションを行った後、お客様がアクセス レベル スイッチのほぼ全体を最新の Cisco 機器にアップグレードしたケースがありました。 不愉快な事態を避けるために、サポートされていない機器の割合を事前に調べておく価値があります。

あなたのデバイスはすべて標準ですか?

どのネットワークにも、ワークステーション、IP 電話、Wi-Fi アクセス ポイント、ビデオ カメラなど、接続が難しくない一般的なデバイスが存在します。 ただし、RS232/イーサネット バス信号コンバータ、無停電電源装置インターフェイス、さまざまな技術機器など、標準以外のデバイスを LAN に接続する必要がある場合もあります。そのようなデバイスのリストを事前に決定することが重要です。これにより、実装段階で、Cisco ISE と技術的にどのように連携するかをすでに理解できます。

IT専門家との建設的な対話

Cisco ISE の顧客の多くはセキュリティ部門ですが、通常は IT 部門がアクセス レイヤ スイッチと Active Directory の設定を担当します。 したがって、セキュリティ専門家と IT 専門家間の生産的な対話は、システムをスムーズに導入するための重要な条件の XNUMX つです。 後者が敵対的な統合を認識している場合は、そのソリューションが IT 部門にとってどのように役立つかを説明する価値があります。

Cisco ISE の使用例トップ 5

私たちの経験では、システムに必要な機能もパイロット テストの段階で特定されます。 以下に、このソリューションの最も一般的な使用例とあまり一般的ではない使用例をいくつか示します。

EAP-TLS による有線経由の安全な LAN アクセス

当社の侵入テスターの調査結果が示すように、攻撃者は企業ネットワークに侵入するために、プリンタ、電話、IP カメラ、Wi-Fi ポイント、その他の非個人用ネットワーク デバイスが接続されている通常のソケットを使用することがよくあります。 したがって、ネットワーク アクセスが dot1x テクノロジーに基づいていても、ユーザー認証証明書を使用せずに代替プロトコルが使用されている場合でも、セッション傍受とブルート フォース パスワードによる攻撃が成功する可能性が高くなります。 Cisco ISE の場合、証明書を盗むことははるかに困難になります。そのために、ハッカーはより多くのコンピューティング能力を必要とするため、このケースは非常に効果的です。

デュアルSSIDワイヤレスアクセス

このシナリオの本質は、2 つのネットワーク識別子 (SSID) を使用することです。 そのうちの XNUMX つを条件付きで「ゲスト」と呼ぶことができます。 これを通じて、ゲストと会社従業員の両方がワイヤレス ネットワークにアクセスできます。 接続しようとすると、プロビジョニングが行われる特別なポータルにリダイレクトされます。 つまり、ユーザーには証明書が発行され、ユーザーの個人デバイスは XNUMX 番目の SSID に自動的に再接続するように構成されます。XNUMX 番目の SSID では、最初のケースの利点をすべて備えた EAP-TLS がすでに使用されています。

MAC 認証バイパスとプロファイリング

もう 802.1 つの一般的な使用例は、接続されているデバイスの種類を自動的に検出し、それに適切な制限を適用することです。 なぜ彼は面白いのでしょうか？ 実際には、XNUMXX プロトコルを使用した認証をサポートしていないデバイスが依然としてかなり多く存在します。 したがって、そのようなデバイスは MAC アドレスを使用してネットワークへの接続を許可する必要がありますが、これは簡単に偽装できます。 ここで Cisco ISE が役に立ちます。システムの助けを借りて、デバイスがネットワーク上でどのように動作するかを確認し、プロファイルを作成して、他のデバイスのグループ（IP 電話やワークステーションなど）に割り当てることができます。 。 攻撃者が MAC アドレスを偽装してネットワークに接続しようとすると、システムはデバイス プロファイルが変更されたことを認識し、不審な動作を通知し、不審なユーザーのネットワークへの接続を許可しません。

EAP チェーン

EAP チェーン テクノロジには、作業中の PC とユーザー アカウントの順次認証が含まれます。 この事件が広まった理由は… 多くの企業は依然として、従業員の個人用ガジェットを社内 LAN に接続することを推奨していません。 この認証アプローチを使用すると、特定のワークステーションがドメインのメンバーであるかどうかを確認することができ、結果が否定的である場合、ユーザーはネットワークへのアクセスを許可されないか、ネットワークへのアクセスが許可されますが、確実な制限が課せられます。制限。

姿勢

このケースは、ワークステーション ソフトウェアが情報セキュリティ要件に準拠しているかどうかの評価に関するものです。 このテクノロジーを使用すると、ワークステーション上のソフトウェアが更新されているかどうか、セキュリティ対策がインストールされているかどうか、ホストのファイアウォールが構成されているかどうかなどを確認できます。 興味深いことに、このテクノロジーを使用すると、必要なファイルの存在の確認やシステム全体のソフトウェアのインストールなど、セキュリティに関係しない他のタスクも解決できます。

Cisco ISE のあまり一般的ではないユースケースには、エンドツーエンドのドメイン認証（パッシブ ID）によるアクセス制御、SGT ベースのマイクロセグメンテーションとフィルタリング、モバイル デバイス管理（MDM）システムや脆弱性スキャナとの統合などがあります。

非標準プロジェクト：他に Cisco ISE が必要な理由、または当社の実践から得た 3 つのまれなケース

Linux ベースのサーバーへのアクセス制御

すでに Cisco ISE システムを実装している顧客の XNUMX 人に関する、かなり重要なケースを解決していたとき、Linux がインストールされているサーバ上でのユーザ アクション（主に管理者）を制御する方法を見つける必要がありました。 答えを求めて、私たちは無料の PAM Radius Module ソフトウェアを使用するというアイデアを思いつきました。このソフトウェアを使用すると、外部 Radius サーバーでの認証を使用して Linux を実行しているサーバーにログインできるようになります。 この点に関しては、XNUMX つの「しかし」がなければすべて良いでしょう。RADIUS サーバーは認証リクエストに応答を送信し、アカウント名とその結果 (承認済みの評価または拒否済みの評価) のみを返します。 一方、Linux での認証の場合は、ユーザーが少なくともどこかに移動できるように、少なくとも XNUMX つの追加パラメーター (ホーム ディレクトリ) を割り当てる必要があります。 これを radius 属性として指定する方法が見つからなかったので、半自動モードでホスト上にアカウントをリモート作成するための特別なスクリプトを作成しました。 管理者アカウントの数はそれほど多くなかったので、このタスクはかなり実行可能でした。 次に、ユーザーは必要なデバイスにログオンし、必要なアクセス権が割り当てられました。 このような場合に Cisco ISE を使用する必要があるのでしょうか?という当然の疑問が生じます。 実際には、いいえ、どの RADIUS サーバーでも使用できますが、顧客はすでにこのシステムを所有していたので、それに新しい機能を追加しただけです。

LAN上のハードウェアとソフトウェアのインベントリ

私たちはかつて、予備的な「パイロット」を行わずに、ある顧客に Cisco ISE を提供するプロジェクトに取り組みました。 このソリューションには明確な要件がなく、さらにフラットでセグメント化されていないネットワークを扱っていたため、タスクが複雑でした。 プロジェクト中に、ネットワークがサポートするすべての可能なプロファイリング方法 (NetFlow、DHCP、SNMP、AD 統合など) を構成しました。 その結果、認証が失敗した場合にネットワークにログインできるように MAR アクセスが構成されました。 つまり、認証が成功しなかった場合でも、システムはユーザーのネットワークへのアクセスを許可し、ユーザーに関する情報を収集して ISE データベースに記録します。 数週間にわたるこのネットワーク監視により、接続されたシステムと非個人用デバイスを特定し、それらをセグメント化するアプローチを開発することができました。 この後、ワークステーションにインストールされているソフトウェアに関する情報を収集するために、ワークステーションにエージェントをインストールするようにポストを追加構成しました。 結果はどうなりましたか? 私たちはネットワークをセグメント化し、ワークステーションから削除する必要があるソフトウェアのリストを特定することができました。 ユーザーをドメイン グループに分散し、アクセス権を明確にするというさらなる作業にかなりの時間がかかったのは隠しませんが、この方法で、顧客がネットワーク上にどのようなハードウェアを持っているかを完全に把握することができました。 ちなみに、すぐに使えるプロファイリングのおかげで、これは難しくありませんでした。 プロファイリングが役に立たなかった場合は、自分たちで調べて、機器が接続されているスイッチ ポートを強調表示しました。

ワークステーションへのソフトウェアのリモート インストール

このケースは私の実務の中でも最も奇妙なケースの一つです。 ある日、お客様が助けを求めて私たちに来られました。Cisco ISE の実装中に問題が発生し、すべてが壊れ、他の誰もネットワークにアクセスできなくなりました。 調査を開始したところ、次のことがわかりました。 同社には 2000 台のコンピュータがあり、ドメイン コントローラがない場合は、管理者アカウントで管理されていました。 ピアリングの目的で、組織は Cisco ISE を実装しました。 既存のPCにウイルス対策ソフトがインストールされているか、ソフトウェア環境が更新されているかなどをなんとか把握する必要がありました。 また、IT 管理者がネットワーク機器をシステムに設置したため、IT 管理者がそれにアクセスできたのは当然です。 管理者は、それがどのように機能するかを確認し、PC を操作した後、個人的な訪問をせずにリモートから従業員のワークステーションにソフトウェアをインストールするというアイデアを思いつきました。 この方法で XNUMX 日にどれだけの歩数を節約できるか想像してみてください。 管理者は、C:Program Files ディレクトリに特定のファイルが存在するかどうかワークステーションをいくつかチェックし、存在しない場合は、ファイル ストレージへのリンクをたどってインストール .exe ファイルにアクセスすることで自動修復が開始されました。 これにより、一般ユーザーがファイル共有にアクセスし、そこから必要なソフトウェアをダウンロードできるようになりました。 残念ながら、管理者は ISE システムをよく知らなかったため、投稿メカニズムに損傷を与えました。ポリシーを間違って作成したため、問題が発生し、私たちはその解決に取り組みました。 個人的には、ドメイン コントローラーを作成する方がはるかに安価で労力もかからないため、このような創造的なアプローチには心から驚きました。 しかし、概念実証としてはうまくいきました。

Cisco ISE の実装時に生じる技術的な微妙な違いについて詳しくは、同僚の記事をご覧ください。 「Cisco ISE の実装実践。 エンジニアの視点」.

Artem Bobrikov 氏、Jet Infosystems 情報セキュリティ センターの設計エンジニア

後書き:
この投稿では Cisco ISE システムについて説明していますが、説明されている問題は NAC ソリューションのクラス全体に関連しています。 どのベンダーのソリューションの実装が計画されているかはそれほど重要ではありません。上記のほとんどは引き続き適用可能です。

出所： habr.com