Sepira kerepe sampeyan tuku soko spontan, succumbing menyang iklan kelangan, lan banjur item pisanan iki dikarepake ngumpulake bledug ing lemari, pantry utawa garasi nganti spring reresik utawa pamindhahan sabanjurΓ©? Asil kuciwo amarga pangarep-arep ora adil lan dhuwit boroske. Luwih elek yen kedadeyan ing bisnis. Kerep banget, gimmicks marketing apik banget supaya perusahaan tuku solusi sing larang tanpa ndeleng gambar lengkap babagan aplikasi kasebut. Kangge, uji coba sistem mbantu ngerti carane nyiyapake infrastruktur kanggo integrasi, fungsi apa lan nganti tekan apa sing kudu ditindakake. Kanthi cara iki sampeyan bisa nyingkiri akeh masalah amarga milih produk "buta". Kajaba iku, implementasine sawise "pilot" sing kompeten bakal nggawa insinyur sel saraf sing kurang rusak lan rambut abu-abu. Ayo dadi tokoh metu apa testing pilot penting banget kanggo proyek sukses, nggunakake conto alat populer kanggo kontrol akses menyang jaringan perusahaan - Cisco ISE. Ayo nimbang opsi standar lan ora standar kanggo nggunakake solusi sing ditemoni ing praktik kita.
Cisco ISE - "Server radius ing steroid"
Cisco Identity Services Engine (ISE) minangka platform kanggo nggawe sistem kontrol akses kanggo jaringan area lokal organisasi. Ing komunitas pakar, produk iki dijuluki "Server Radius ing steroid" kanggo sawijining sifat. Kok ngono? Ateges, solusi kasebut minangka server Radius, sing akeh layanan tambahan lan "trik" wis dilampirake, ngidini sampeyan nampa akeh informasi kontekstual lan ngetrapake set data sing diasilake ing kabijakan akses.
Kaya server Radius liyane, Cisco ISE sesambungan karo peralatan jaringan akses-tingkat, ngumpulake informasi bab kabeh nyoba kanggo nyambung menyang jaringan perusahaan lan, adhedhasar otentikasi lan kawicaksanan wewenang, ngidini utawa nolak pangguna kanggo LAN. Nanging, kamungkinan kanggo nggawe profil, posting, lan integrasi karo solusi keamanan informasi liyane ndadekake iku bisa kanggo Ngartekno complicate logika kabijakan wewenang lan kanthi mangkono ngatasi masalah cukup angel lan menarik.
Implementasi ora bisa dicoba: kenapa sampeyan butuh tes?
Nilai uji coba pilot yaiku kanggo nduduhake kabeh kemampuan sistem ing infrastruktur tartamtu saka organisasi tartamtu. Aku percaya yen piloting Cisco ISE sadurunge implementasine entuk manfaat kanggo kabeh wong sing melu proyek kasebut, lan mulane.
Iki menehi integrator gagasan sing jelas babagan pangarepan pelanggan lan mbantu nggawe spesifikasi teknis sing bener sing ngemot luwih rinci tinimbang tembung umum "pesthekake yen kabeh apik." "Pilot" ngidini kita ngrasakake kabeh rasa nyeri saka pelanggan, kanggo mangerteni tugas sing dadi prioritas kanggo dheweke lan sing sekunder. Kanggo kita, iki minangka kesempatan sing apik kanggo ngerteni luwih dhisik apa peralatan sing digunakake ing organisasi, carane implementasine bakal ditindakake, ing situs apa, ing ngendi papan kasebut, lan liya-liyane.
Sajrone uji coba pilot, para pelanggan ndeleng sistem nyata sing ditindakake, kenal karo antarmuka, bisa mriksa manawa kompatibel karo piranti keras sing wis ana, lan entuk pangerten sakabehe babagan cara solusi kasebut bakal ditindakake sawise implementasine lengkap. "Pilot" iku wayahe banget nalika sampeyan bisa ndeleng kabeh pitfalls sing mbokmenawa bakal nemokke sak integrasi, lan mutusakΓ© carane akeh lisensi sampeyan kudu tuku.
Apa sing bisa "muncul" sajrone "pilot"
Dadi, kepiye sampeyan nyiapake kanthi bener kanggo ngetrapake Cisco ISE? Saka pengalaman kita, kita wis ngetung 4 poin utama sing penting kanggo ditimbang sajrone uji coba sistem kasebut.
Faktor wujud
Pisanan, sampeyan kudu mutusake apa faktor wangun sistem bakal dileksanakake: upline fisik utawa virtual. Saben opsi duwe kaluwihan lan kekurangan. Contone, kekuwatan upline fisik yaiku kinerja sing bisa ditebak, nanging kita ora kudu lali manawa piranti kasebut dadi lungse. Upline virtual kurang bisa diprediksi amarga ... gumantung ing hardware kang lingkungan virtualization disebarake, nanging padha duwe kauntungan serius: yen support kasedhiya, padha bisa tansah dianyari kanggo versi paling anyar.
Apa peralatan jaringan sampeyan kompatibel karo Cisco ISE?
Mesthi, skenario becik bakal nyambung kabeh peralatan kanggo sistem bebarengan. Nanging, iki ora tansah bisa amarga akeh organisasi isih nggunakake ngalih unmanaged utawa ngalih sing ora ndhukung sawetara saka teknologi sing mbukak Cisco ISE. Miturut cara, kita ora mung ngomong babagan switch, bisa uga dadi pengontrol jaringan nirkabel, konsentrator VPN lan peralatan liyane sing disambungake pangguna. Ing laku, ana kasus nalika, sawise nduduhake sistem kanggo implementasine lengkap, customer nganyari meh kabeh armada ngalih tingkat akses kanggo peralatan Cisco modern. Kanggo ngindhari kejutan sing ora nyenengake, luwih dhisik kudu ngerteni proporsi peralatan sing ora didhukung.
Apa kabeh piranti sampeyan standar?
Jaringan apa wae duwe piranti khas sing ora angel disambungake: stasiun kerja, telpon IP, titik akses Wi-Fi, kamera video, lan liya-liyane. Nanging uga kedadeyan yen piranti non-standar kudu disambungake menyang LAN, contone, konverter sinyal bus RS232 / Ethernet, antarmuka sumber daya sing ora bisa diganggu, macem-macem peralatan teknologi, lsp. Penting kanggo nemtokake dhaptar piranti kasebut sadurunge. , supaya ing tataran implementasine sampeyan wis duwe pangerten carane teknis bakal bisa karo Cisco ISE.
Dialog konstruktif karo spesialis IT
pelanggan Cisco ISE asring departemen keamanan, nalika departemen IT biasane tanggung jawab kanggo konfigurasi ngalih lapisan akses lan Active Directory. Mula, interaksi produktif antarane spesialis keamanan lan spesialis IT minangka salah sawijining syarat penting kanggo implementasine sistem sing ora krasa lara. Yen sing terakhir ngerteni integrasi karo permusuhan, mula kudu diterangake kepiye solusi kasebut migunani kanggo departemen IT.
Top 5 kasus panggunaan Cisco ISE
Ing pengalaman kita, fungsi sistem sing dibutuhake uga diidentifikasi ing tahap uji coba pilot. Ing ngisor iki sawetara kasus panggunaan sing paling populer lan kurang umum kanggo solusi kasebut.
Akses LAN sing aman liwat kabel nganggo EAP-TLS
Minangka asil riset pantesters kita nuduhake, cukup asring kanggo nembus jaringan perusahaan, panyerang nggunakake soket biasa kanggo printer, telpon, kamera IP, titik Wi-Fi lan piranti jaringan non-pribadi liyane disambungake. Mulane, sanajan akses jaringan adhedhasar teknologi dot1x, nanging protokol alternatif digunakake tanpa nggunakake sertifikat otentikasi pangguna, ana kemungkinan serangan sukses kanthi interception sesi lan sandhi brute-force. Ing kasus Cisco ISE, bakal luwih angel nyolong sertifikat - kanggo iki, peretas butuh daya komputasi sing luwih akeh, mula kasus iki efektif banget.
Akses nirkabel dual-SSID
Inti saka skenario iki yaiku nggunakake 2 pengenal jaringan (SSID). Salah sijine bisa diarani "tamu". Liwat iku, tamu lan karyawan perusahaan bisa ngakses jaringan nirkabel. Nalika nyoba nyambung, sing terakhir dialihake menyang portal khusus ing ngendi provisioning ditindakake. Yaiku, pangguna ditanggepi sertifikat lan piranti pribadhi dikonfigurasi kanthi otomatis nyambungake maneh menyang SSID kaloro, sing wis nggunakake EAP-TLS kanthi kabeh kaluwihan saka kasus pertama.
MAC Authentication Bypass lan Profiling
Kasus panggunaan populer liyane yaiku kanthi otomatis ndeteksi jinis piranti sing disambungake lan ngetrapake watesan sing bener. Napa dheweke menarik? Kasunyatane isih ana akeh piranti sing ora ndhukung otentikasi nggunakake protokol 802.1X. Mulane, piranti kasebut kudu diidini menyang jaringan nggunakake alamat MAC, sing gampang dipalsu. Iki ngendi Cisco ISE teka kanggo ngluwari: kanthi bantuan sistem, sampeyan bisa ndeleng carane piranti tumindak ing jaringan, nggawe profil lan nemtokake menyang klompok piranti liyane, contone, telpon IP lan workstation. . Yen panyerang nyoba kanggo spoof alamat MAC lan nyambung menyang jaringan, sistem bakal weruh sing profil piranti wis diganti, bakal sinyal prilaku curiga lan ora ngidini pangguna curiga menyang jaringan.
EAP-Chaining
Teknologi EAP-Chaining nyakup otentikasi sekuensial saka PC lan akun pangguna sing digunakake. Kasus iki wis nyebar amarga ... Akeh perusahaan isih ora nyengkuyung nyambungake gadget pribadi karyawan menyang LAN perusahaan. Nggunakake pendekatan iki kanggo otentikasi, sampeyan bisa mriksa manawa workstation tartamtu minangka anggota domain, lan yen asil negatif, pangguna ora bakal diidini menyang jaringan, utawa bakal bisa mlebu, nanging kanthi tartamtu. watesan.
Posturing
Kasus iki babagan netepake kepatuhan piranti lunak workstation karo syarat keamanan informasi. Nggunakake teknologi iki, sampeyan bisa mriksa manawa piranti lunak ing workstation dianyari, apa langkah-langkah keamanan wis diinstal, apa firewall inang wis diatur, etc. Apike, teknologi iki uga ngidini sampeyan ngatasi tugas liyane sing ora ana gandhengane karo keamanan, umpamane, mriksa file sing dibutuhake utawa nginstal piranti lunak ing saindenging sistem.
Kasus panggunaan sing kurang umum kanggo Cisco ISE kalebu kontrol akses karo otentikasi domain mburi-kanggo-mburi (ID pasif), segmen mikro lan nyaring basis SGT, uga integrasi karo sistem manajemen piranti seluler (MDM) lan Scanner Kerentanan.
Proyèk non-standar: kok liya sampeyan bisa uga kudu Cisco ISE, utawa 3 kasus langka saka laku kita
Kontrol akses menyang server basis Linux
Sawise kita ngrampungake kasus sing ora pati penting kanggo salah sawijining pelanggan sing wis ngetrapake sistem Cisco ISE: kita kudu golek cara kanggo ngontrol tumindak pangguna (biasane administrator) ing server sing diinstal Linux. Kanggo nggoleki jawaban, kita entuk ide nggunakake piranti lunak Modul Radius PAM gratis, sing ngidini sampeyan mlebu menyang server sing nganggo Linux kanthi otentikasi ing server radius eksternal. Kabeh babagan iki bakal apik, yen ora kanggo siji "nanging": server radius, ngirim respon kanggo panjalukan otentikasi, mung menehi jeneng akun lan asil - taksiran ditampa utawa ditaksir ditolak. Sauntara kuwi, kanggo wewenang ing Linux, sampeyan kudu nemtokake paling ora siji parameter liyane - direktori ngarep, supaya pangguna paling ora entuk nang endi wae. Kita ora nemokake cara kanggo menehi iki minangka atribut radius, mula nulis skrip khusus kanggo nggawe akun kanthi jarak jauh ing host ing mode semi-otomatis. Tugas iki cukup layak, amarga kita ngurusi akun administrator, sing jumlahe ora akeh. Sabanjure, pangguna mlebu menyang piranti sing dibutuhake, banjur diwenehi akses sing dibutuhake. A pitakonan cukup mengkene: iku perlu kanggo nggunakake Cisco ISE ing kasus kaya mengkono? Bener, ora - server radius apa wae sing bakal ditindakake, nanging amarga pelanggan wis duwe sistem iki, kita mung nambahake fitur anyar.
Inventarisasi hardware lan software ing LAN
Kita tau makarya ing project kanggo sumber Cisco ISE siji customer tanpa "pilot" pambuka. Ora ana syarat sing jelas kanggo solusi kasebut, ditambah karo jaringan sing ora rata lan ora dibagi, sing rumit tugas kita. Sajrone proyek kasebut, kita ngatur kabeh cara profil sing bisa didhukung jaringan: NetFlow, DHCP, SNMP, integrasi AD, lsp. AkibatΓ©, akses MAR dikonfigurasi kanthi kemampuan kanggo mlebu menyang jaringan yen otentikasi gagal. Yaiku, sanajan otentikasi ora sukses, sistem kasebut bakal ngidini pangguna menyang jaringan, ngumpulake informasi babagan dheweke lan ngrekam ing database ISE. Pemantauan jaringan iki sajrone pirang-pirang minggu mbantu kita ngenali sistem sing disambungake lan piranti non-pribadi lan ngembangake pendekatan kanggo nggawe segmen kasebut. Sawise iki, kita uga ngonfigurasi postingan kanggo nginstal agen ing stasiun kerja supaya bisa ngumpulake informasi babagan piranti lunak sing diinstal. Apa asile? Kita bisa nggawe segmen jaringan lan nemtokake dhaptar piranti lunak sing kudu dicopot saka stasiun kerja. Aku ora bakal ndhelikake yen tugas luwih nyebarake pangguna menyang grup domain lan nemtokake hak akses njupuk wektu sing cukup akeh, nanging kanthi cara iki kita entuk gambaran lengkap babagan hardware apa sing ana ing jaringan. Miturut cara, iki ora angel amarga karya apik saka profil metu saka kothak. Inggih, ing endi profiling ora mbantu, kita nyawang awake dhewe, nyorot port switch sing peralatan disambungake.
Instalasi remot piranti lunak ing workstation
Kasus iki minangka salah sawijining sing paling aneh ing praktikku. Sawijining dina, ana pelanggan sing njaluk tulung - ana sing salah nalika ngetrapake Cisco ISE, kabeh rusak, lan ora ana wong liya sing bisa ngakses jaringan kasebut. Kita miwiti nggoleki lan nemokake ing ngisor iki. Perusahaan kasebut duwe 2000 komputer, sing, yen ora ana pengontrol domain, dikelola ing akun administrator. Kanggo tujuan peering, organisasi dileksanakake Cisco ISE. Sampeyan kudu ngerti apa antivirus wis diinstal ing PC sing wis ana, apa lingkungan piranti lunak dianyari, lsp. Lan wiwit administrator IT diinstal peralatan jaringan menyang sistem, iku logis sing padha duwe akses menyang. Sawise ndeleng cara kerjane lan poshering PC, para pangurus duwe ide kanggo nginstal piranti lunak ing stasiun kerja karyawan saka jarak jauh tanpa kunjungan pribadi. Bayangake carane akeh langkah sing bisa disimpen saben dina kanthi cara iki! Administrator nindakake sawetara mriksa ing stasiun kerja kanggo ananΓ© file tartamtu ing direktori C: Program Files, lan yen ora ana, remediasi otomatis diluncurake kanthi ngetutake link sing ngarah menyang panyimpenan file menyang file .exe instalasi. Iki ngidini pangguna biasa pindhah menyang bagean file lan ngundhuh piranti lunak sing dibutuhake saka kono. Sayange, admin ora ngerti sistem ISE kanthi apik lan ngrusak mekanisme posting - dheweke nulis kebijakan kasebut kanthi salah, sing nyebabake masalah sing kita lakoni. Secara pribadi, aku kaget banget karo pendekatan kreatif kasebut, amarga bakal luwih murah lan kurang tenaga kerja kanggo nggawe kontroler domain. Nanging minangka Bukti konsep kerjane.
Waca liyane babagan nuansa teknis sing muncul nalika ngetrapake Cisco ISE ing artikel kancaku .
Artem Bobrikov, insinyur desain Pusat Keamanan Informasi ing Jet Infosystems
Afterword:
Senadyan kasunyatan sing kirim iki ngomong bab sistem Cisco ISE, masalah diterangake cocog kanggo kabeh kelas solusi NAC. Ora penting manawa solusi vendor sing direncanakake kanggo implementasine - umume ing ndhuwur bakal tetep ditrapake.
Source: www.habr.com