Сіз қаншалықты керемет жарнамаға көніп, өздігінен бір нәрсені сатып аласыз, содан кейін бұл бастапқыда қалаған зат келесі көктемгі тазалауға немесе көшуге дейін шкафта, қоймада немесе гаражда шаң жинайды? Нәтиже - негізсіз күту мен босқа жұмсалған ақшаның салдарынан көңілі қалу. Бұл бизнесте болған кезде әлдеқайда нашар. Көбінесе маркетингтік трюктердің жақсы болғаны сонша, компаниялар оны қолданудың толық бейнесін көрмей-ақ қымбат шешімді сатып алады. Сонымен қатар, жүйенің сынақ тестілеуі инфрақұрылымды интеграцияға қалай дайындау керектігін, қандай функционалдылықты және қаншалықты іске асыру керектігін түсінуге көмектеседі. Осылайша сіз өнімді «соқыр» таңдауға байланысты көптеген мәселелерден аулақ бола аласыз. Сонымен қатар, құзыретті «ұшқыштан» кейін іске асыру инженерлерге жүйке жасушаларын және сұр шаштарды әлдеқайда аз жойып жібереді. Корпоративтік желіге кіруді басқарудың танымал құралы - Cisco ISE мысалын пайдаланып, пилоттық тестілеудің сәтті жоба үшін неліктен маңызды екенін анықтайық. Біздің тәжірибемізде кездесетін шешімді пайдаланудың стандартты және мүлдем стандартты емес нұсқаларын қарастырайық.
Cisco ISE - «Стероидтердегі радиус сервері»
Cisco Identity Services Engine (ISE) — ұйымның жергілікті желісіне кіруді басқару жүйесін құруға арналған платформа. Сарапшылар қауымдастығында өнім қасиеттері үшін «Стероидтердегі радиус сервері» деген лақап атқа ие болды. Неге бұлай? Негізінде, шешім көптеген контекстік ақпараттарды алуға және алынған деректер жинағын қол жеткізу саясаттарында қолдануға мүмкіндік беретін көптеген қосымша қызметтер мен «трюктар» қосылған Radius сервері болып табылады.
Кез келген басқа Radius сервері сияқты, Cisco ISE қол жеткізу деңгейіндегі желілік жабдықпен өзара әрекеттеседі, корпоративтік желіге қосылудың барлық әрекеттері туралы ақпаратты жинайды және аутентификация мен авторизация саясаттарына негізделген пайдаланушыларға жергілікті желіге рұқсат береді немесе бас тартады. Дегенмен, профильдеу, орналастыру және ақпараттық қауіпсіздіктің басқа шешімдерімен біріктіру мүмкіндігі авторизациялау саясатының логикасын айтарлықтай қиындатуға және сол арқылы өте күрделі және қызықты мәселелерді шешуге мүмкіндік береді.
Іске асыруды пилоттық түрде жүргізу мүмкін емес: тестілеу не үшін қажет?
Пилоттық тестілеудің құндылығы жүйенің барлық мүмкіндіктерін нақты ұйымның нақты инфрақұрылымында көрсету болып табылады. Менің ойымша, Cisco ISE-ті іске асыру алдында пилоттық қолдану жобаға қатысатындардың барлығына пайда әкеледі және осының себебі.
Бұл интеграторларға тұтынушының күтулері туралы нақты түсінік береді және «бәрі жақсы екеніне көз жеткізіңіз» деген жалпы сөзден әлдеқайда егжей-тегжейлі ақпаратты қамтитын дұрыс техникалық сипаттаманы жасауға көмектеседі. «Ұшқыш» бізге тапсырыс берушінің барлық ауыртпалығын сезінуге, ол үшін қандай тапсырмалар бірінші кезектегі және қайсысы екінші дәрежелі екенін түсінуге мүмкіндік береді. Біз үшін бұл ұйымда қандай жабдық қолданылатынын, іске асыру қалай жүзеге асырылатынын, қандай сайттарда, олар қайда орналасқанын және т.б. анықтаудың тамаша мүмкіндігі.
Пилоттық тестілеу кезінде тұтынушылар нақты жүйенің жұмыс істеп тұрғанын көреді, оның интерфейсімен танысады, оның қолданыстағы аппараттық құралдарымен үйлесімділігін тексере алады және толық іске қосылғаннан кейін шешімнің қалай жұмыс істейтіні туралы тұтас түсінік алады. «Ұшқыш» - бұл интеграция кезінде кездесетін барлық қателерді көруге және қанша лицензия сатып алу керектігін шешуге болатын сәт.
«Ұшқыш» кезінде не «пайда болуы» мүмкін
Сонымен, Cisco ISE енгізуге қалай дұрыс дайындаласыз? Біздің тәжірибемізден біз жүйені пилоттық тестілеу кезінде ескеру қажет 4 негізгі тармақты санадық.
Форматтық фактор
Біріншіден, жүйенің қандай форма факторында жүзеге асырылатынын шешу керек: физикалық немесе виртуалды желі. Әрбір опцияның артықшылықтары мен кемшіліктері бар. Мысалы, физикалық жоғары сызықтың күші оның болжамды өнімділігі болып табылады, бірақ мұндай құрылғылар уақыт өте келе ескіретінін ұмытпау керек. Виртуалды сызықтарды болжау мүмкін емес, себебі... виртуалдандыру ортасы орналастырылған аппараттық құралға байланысты, бірақ олардың маңызды артықшылығы бар: қолдау қолжетімді болса, оларды әрқашан соңғы нұсқаға жаңартуға болады.
Сіздің желілік жабдық Cisco ISE-мен үйлесімді ме?
Әрине, тамаша сценарий барлық жабдықты жүйеге бірден қосу болады. Дегенмен, бұл әрқашан мүмкін емес, өйткені көптеген ұйымдар әлі де басқарылмайтын қосқыштарды немесе Cisco ISE іске қосатын кейбір технологияларды қолдамайтын қосқыштарды пайдаланады. Айтпақшы, біз жай ғана қосқыштар туралы айтып отырған жоқпыз, ол сымсыз желі контроллері, VPN концентраторлары және пайдаланушылар қосылатын кез келген басқа жабдық болуы мүмкін. Менің тәжірибемде жүйені толық енгізу үшін көрсеткеннен кейін тұтынушы қол жеткізу деңгейінің коммутаторларының барлық дерлік паркін заманауи Cisco жабдығына жаңартқан жағдайлар болды. Жағымсыз тосынсыйларды болдырмау үшін қолдау көрсетілмейтін жабдықтың үлесін алдын ала білу керек.
Барлық құрылғыларыңыз стандартты ма?
Кез келген желіде қосылу қиын болмауы керек типтік құрылғылар бар: жұмыс станциялары, IP телефондары, Wi-Fi кіру нүктелері, бейне камералар және т.б. Бірақ сонымен қатар стандартты емес құрылғыларды жергілікті желіге қосу қажет болады, мысалы, RS232/Ethernet шинасының сигнал түрлендіргіштері, үздіксіз қоректендіру интерфейстері, әртүрлі технологиялық жабдықтар және т.б. Мұндай құрылғылардың тізімін алдын ала анықтау маңызды. , сондықтан іске асыру сатысында сіз олардың Cisco ISE-мен қалай техникалық жұмыс істейтінін түсінесіз.
IT мамандарымен конструктивті диалог
Cisco ISE тұтынушылары көбінесе қауіпсіздік бөлімдері болып табылады, ал АТ бөлімдері әдетте кіру деңгейінің қосқыштары мен Active Directory конфигурациясына жауап береді. Сондықтан қауіпсіздік мамандары мен IT мамандарының өнімді өзара әрекеттесуі жүйені ауыртпалықсыз енгізудің маңызды шарттарының бірі болып табылады. Егер соңғысы интеграцияны дұшпандықпен қабылдаса, оларға шешімнің IT бөліміне қаншалықты пайдалы болатынын түсіндіріп берген жөн.
Cisco ISE пайдаланудың үздік 5 жағдайы
Біздің тәжірибемізде жүйенің қажетті функционалдығы пилоттық тестілеу кезеңінде де анықталады. Төменде шешім үшін ең танымал және сирек кездесетін жағдайлардың кейбірі берілген.
EAP-TLS арқылы сым арқылы жергілікті желіге қауіпсіз кіру
Біздің пентестерлердің зерттеу нәтижелері көрсеткендей, компанияның желісіне ену үшін шабуылдаушылар принтерлер, телефондар, IP камералар, Wi-Fi нүктелері және басқа жеке емес желі құрылғылары қосылған қарапайым ұяларды пайдаланады. Сондықтан желіге қол жеткізу dot1x технологиясына негізделген болса да, бірақ балама хаттамалар пайдаланушының аутентификация сертификаттарын қолданбай пайдаланылса, сеансты тоқтату және қатал күшпен құпиясөздер арқылы сәтті шабуыл жасау ықтималдығы жоғары. Cisco ISE жағдайында сертификатты ұрлау әлдеқайда қиын болады - бұл үшін хакерлерге әлдеқайда көп есептеу қуаты қажет, сондықтан бұл жағдай өте тиімді.
Қос SSID сымсыз қол жеткізу
Бұл сценарийдің мәні 2 желі идентификаторын (SSID) пайдалану болып табылады. Олардың бірін шартты түрде «қонақ» деп атауға болады. Ол арқылы қонақтар да, компания қызметкерлері де сымсыз желіге қол жеткізе алады. Олар қосылуға әрекеттенген кезде, соңғылар дайындау орын алатын арнайы порталға қайта бағытталады. Яғни, пайдаланушыға сертификат беріледі және оның жеке құрылғысы бірінші жағдайдың барлық артықшылықтары бар EAP-TLS қолданатын екінші SSID-ге автоматты түрде қайта қосылу үшін конфигурацияланады.
MAC аутентификациясын айналып өту және профильдеу
Тағы бір танымал қолдану жағдайы қосылып жатқан құрылғы түрін автоматты түрде анықтау және оған дұрыс шектеулерді қолдану болып табылады. Ол неге қызықты? 802.1X хаттамасы арқылы аутентификацияны қолдамайтын құрылғылар әлі де көп. Сондықтан мұндай құрылғыларды MAC мекенжайы арқылы желіге қосу керек, оны жалған жасау өте оңай. Бұл жерде Cisco ISE көмекке келеді: жүйенің көмегімен құрылғының желіде қалай әрекет ететінін көруге, оның профилін жасауға және оны басқа құрылғылар тобына, мысалы, IP телефонына және жұмыс станциясына тағайындауға болады. . Егер шабуылдаушы MAC мекенжайын қолданып, желіге қосылуға әрекеттенсе, жүйе құрылғы профилінің өзгергенін көреді, күдікті әрекет туралы сигнал береді және күдікті пайдаланушыны желіге кіргізбейді.
EAP-тізбек
EAP-Chaining технологиясы жұмыс істейтін ДК мен пайдаланушы тіркелгісінің дәйекті аутентификациясын қамтиды. Бұл жағдай кең етек алды, себебі... Көптеген компаниялар қызметкерлердің жеке гаджеттерін корпоративтік жергілікті желіге қосуды әлі де қолдамайды. Аутентификацияның осы тәсілін пайдалана отырып, белгілі бір жұмыс станциясының домен мүшесі екенін тексеруге болады, егер нәтиже теріс болса, пайдаланушы желіге кіруге рұқсат етілмейді немесе кіре алады, бірақ белгілі бір шектеулер.
Қалыптастыру
Бұл іс жұмыс станциясының бағдарламалық жасақтамасының ақпараттық қауіпсіздік талаптарына сәйкестігін бағалауға қатысты. Бұл технологияны пайдалана отырып, жұмыс станциясындағы бағдарламалық құралдың жаңартылғанын, оған қауіпсіздік шараларының орнатылғанын, хост брандмауэрінің конфигурацияланған-конфигурацияланғанын және т.б. тексеруге болады. Бір қызығы, бұл технология қауіпсіздікке қатысы жоқ басқа тапсырмаларды да шешуге мүмкіндік береді, мысалы, қажетті файлдардың бар-жоғын тексеру немесе жалпы жүйелік бағдарламалық құралды орнату.
Cisco ISE үшін сирек қолданылатын жағдайларға домен аутентификациясы (пассивті идентификатор), SGT негізіндегі микро-сегментация және сүзу, сондай-ақ мобильді құрылғыларды басқару (MDM) жүйелерімен және осалдық сканерлерімен біріктіру кіреді.
Стандартты емес жобалар: Cisco ISE не үшін қажет болуы мүмкін немесе біздің тәжірибемізден 3 сирек жағдай
Linux негізіндегі серверлерге кіруді басқару
Бірде біз Cisco ISE жүйесі енгізілген тұтынушылардың бірі үшін өте маңызды емес істі шешіп жатқанда: Linux орнатылған серверлерде пайдаланушы әрекеттерін (негізінен әкімшілер) басқарудың жолын табу керек болды. Жауап іздеуде біз сыртқы радиус серверінде аутентификация арқылы Linux жұмыс істейтін серверлерге кіруге мүмкіндік беретін ақысыз PAM Radius Module бағдарламалық жасақтамасын пайдалану идеясына келдік. Осыған байланысты бәрі жақсы болар еді, егер бір «бірақ» болмаса: радиус сервері аутентификация сұрауына жауап жібере отырып, тек тіркелгі атауын береді және нәтиже - қабылданғанды бағалайды немесе қабылданбағанды бағалайды. Сонымен қатар, Linux жүйесінде авторизациялау үшін пайдаланушы кем дегенде бір жерге жету үшін кем дегенде тағы бір параметрді тағайындау керек - үй каталогы. Біз мұны радиус атрибуты ретінде берудің жолын таппадық, сондықтан жартылай автоматты режимде хосттарда қашықтан тіркелгі жасау үшін арнайы сценарий жаздық. Бұл тапсырма өте мүмкін болды, өйткені біз әкімші тіркелгілерімен айналыстық, олардың саны соншалықты көп емес. Содан кейін пайдаланушылар қажетті құрылғыға кірді, содан кейін оларға қажетті рұқсат берілді. Ақылға қонымды сұрақ туындайды: мұндай жағдайларда Cisco ISE пайдалану қажет пе? Шындығында, жоқ - кез келген радиус сервері жасайды, бірақ тұтынушыда бұл жүйе бұрыннан болғандықтан, біз оған жаңа мүмкіндік қостық.
Жергілікті желідегі аппараттық және бағдарламалық құралдарды түгендеу
Біз бір рет алдын ала «ұшқышсыз» бір тұтынушыға Cisco ISE жеткізу жобасымен жұмыс істедік. Шешімге нақты талаптар болған жоқ, сонымен қатар біз тегіс, сегменттелмеген желімен айналыстық, бұл біздің міндетімізді қиындатады. Жоба барысында біз желі қолдайтын барлық мүмкін болатын профильдеу әдістерін конфигурацияладық: NetFlow, DHCP, SNMP, AD интеграциясы және т.б. Нәтижесінде MAR қатынасы аутентификация сәтсіз болған жағдайда желіге кіру мүмкіндігімен конфигурацияланды. Яғни, аутентификация сәтті болмаса да, жүйе пайдаланушыға желіге кіруге рұқсат беріп, ол туралы ақпаратты жинап, оны ISE дерекқорына жазады. Бұл желі мониторингі бірнеше апта бойы жалғанған жүйелерді және жеке емес құрылғыларды анықтауға және оларды сегменттеу тәсілін әзірлеуге көмектесті. Осыдан кейін оларда орнатылған бағдарламалық құрал туралы ақпаратты жинау үшін агентті жұмыс станцияларына орнату үшін жариялауды қосымша конфигурацияладық. Нәтиже қандай? Біз желіні сегменттей алдық және жұмыс станцияларынан жойылуы қажет бағдарламалық құралдардың тізімін анықтадық. Пайдаланушыларды домендік топтарға бөлу және қол жеткізу құқықтарын бөлу бойынша одан әрі тапсырмалар бізге көп уақытты қажет ететінін жасырмаймын, бірақ осылайша біз тұтынушының желіде қандай аппараттық құрал бар екендігі туралы толық сурет алдық. Айтпақшы, бұл қораптан тыс профильдеудің жақсы жұмысына байланысты қиын болмады. Профильдеу көмектеспеген жерде біз жабдық қосылған коммутатор портын бөлектеп, өзімізді қарадық.
Жұмыс станцияларында бағдарламалық қамтамасыз етуді қашықтан орнату
Бұл жағдай менің тәжірибемдегі ең оғаш оқиғалардың бірі. Бір күні клиент бізге көмек сұрап айқайлап келді - Cisco ISE енгізу кезінде бірдеңе дұрыс болмады, бәрі бұзылды және желіге басқа ешкім кіре алмады. Біз оны зерттеп, келесіні анықтадық. Компанияда 2000 компьютер болды, олар домен контроллері болмаған кезде әкімші тіркелгісімен басқарылды. Пиринг мақсатында ұйым Cisco ISE енгізді. Қолданыстағы компьютерлерде антивирус орнатылғанын, бағдарламалық жасақтаманың ортасы жаңартылғанын және т.б. орнатылғанын түсіну қажет болды. Ал АТ әкімшілері жүйеге желілік жабдықты орнатқандықтан, олардың оған қол жеткізуі қисынды. Оның қалай жұмыс істейтінін көргеннен кейін және өз ДК-лерін өңдегеннен кейін әкімшілер бағдарламалық жасақтаманы қызметкерлердің жұмыс станцияларына жеке барусыз қашықтан орнату идеясына келді. Осылайша күніне қанша қадам үнемдеуге болатынын елестетіп көріңіз! Әкімшілер жұмыс станциясын C:Program Files каталогында белгілі бір файлдың бар-жоғын бірнеше рет тексерді және ол жоқ болса, .exe орнату файлын сақтауға апаратын сілтеме бойынша автоматты түзету іске қосылды. Бұл қарапайым пайдаланушыларға файлдарды бөлісуге және сол жерден қажетті бағдарламалық жасақтаманы жүктеп алуға мүмкіндік берді. Өкінішке орай, әкімші ISE жүйесін жақсы білмеді және орналастыру механизмдерін зақымдады - ол саясатты қате жазды, бұл біз шешуге қатысқан мәселеге әкелді. Өз басым мұндай креативті көзқарас мені шын жүректен таң қалдырады, өйткені домен контроллерін жасау әлдеқайда арзан әрі еңбекті қажет етпейтін еді. Бірақ тұжырымдаманың дәлелі ретінде ол жұмыс істеді.
Cisco ISE енгізу кезінде туындайтын техникалық нюанстар туралы менің әріптесімнің мақаласынан оқыңыз. .
Артем Бобриков, Jet Infosystems ақпараттық қауіпсіздік орталығының инженер-конструкторы
Кейінгі сөз:
Бұл постта Cisco ISE жүйесі туралы айтылғанына қарамастан, сипатталған мәселелер NAC шешімдерінің бүкіл класына қатысты. Қандай жеткізушінің шешімін іске асыру жоспарланғаны соншалықты маңызды емес - жоғарыда айтылғандардың көпшілігі жарамды болып қала береді.
Ақпарат көзі: www.habr.com