Hûn çend caran tiştekî xwebexş bikirin, xwe bi reklamek xweş ditewînin, û dûv re ev tiştê ku di destpêkê de tê xwestin tozê li dolabek, pantorxane an garajê kom dike heya ku bihara paşîn were paqijkirin an barkirin? Di encamê de ji ber hêviyên nerast û xerckirina dravê bêhêvî ye. Dema ku ev yek di karsaziyek de çêdibe pir xirabtir e. Pir caran, gimmikên kirrûbirrê ew qas baş in ku pargîdan çareseriyek biha bikirin bêyî ku wêneya tevahî ya serîlêdana wê bibînin. Di vê navberê de, ceribandina ceribandinê ya pergalê dibe alîkar ku meriv fêm bike ka meriv çawa binesaziyê ji bo entegrasyonê amade dike, çi fonksiyon û bi çi astê divê were sepandin. Bi vî rengî hûn dikarin ji ber hilbijartina hilberek "bi kor" gelek pirsgirêkan dûr bixin. Wekî din, pêkanîna piştî "pîlotek" jêhatî dê endezyarên hucreyên nervê û porê gewr wêrankirî pir kêmtir bîne. Ka em fêr bibin ka çima ceribandina pîlot ji bo projeyek serketî ew qas girîng e, bi mînakek amûrek populer ji bo kontrolkirina gihîştina tora pargîdanî - Cisco ISE. Ka em hem vebijarkên standard û hem jî bi tevahî ne-standard ji bo karanîna çareseriya ku di pratîka xwe de pê re rû bi rû maye bifikirin.
Cisco ISE - "Perkêşkera Radius li ser steroîdan"
Cisco Identity Services Engine (ISE) platformek e ji bo afirandina pergalek kontrolkirina gihîştinê ji bo tora herêmî ya rêxistinê. Di civata pispor de, hilber ji ber taybetmendiyên xwe bi navê "Perkêşkara Radius li ser steroîdan" hate nas kirin. Çima wisa ye? Di bingeh de, çareserî serverek Radius e, ku tê de hejmareke mezin ji karûbarên zêde û "xapandin" ve hatine girêdan, ku dihêle hûn hejmareke mezin a agahdariya kontekstê bistînin û berhevoka daneya encam di polîtîkayên gihîştinê de bicîh bikin.
Mîna her serverek Radiusê ya din, Cisco ISE bi alavên torê yên asta gihîştinê re têkildar dibe, agahdarî li ser hemî hewildanên girêdana bi tora pargîdanî re berhev dike û, li ser bingeha polîtîkayên nasandin û destûrnameyê, destûrê dide bikarhêneran an jî LAN-ê red dike. Lêbelê, îhtîmala profîl, şandin, û entegrasyonê bi çareseriyên ewlehiya agahdariya din re dihêle ku meriv mantiqa siyaseta destûrnameyê bi girîngî tevlihev bike û bi vî rengî pirsgirêkên pir dijwar û balkêş çareser bike.
Sepandin nikare bê pîlot kirin: çima hûn hewceyê ceribandinê ne?
Nirxa ceribandina pîlot ev e ku hemî kapasîteyên pergalê di binesaziya taybetî ya rêxistinek taybetî de nîşan bide. Ez bawer dikim ku pîlotkirina Cisco ISE berî bicîhkirinê sûdê dide her kesê ku beşdarî projeyê ye, û li vir çima ye.
Ev yek ji entegratoran ramanek zelal li ser hêviyên xerîdar dide û dibe alîkar ku meriv taybetmendiyek teknîkî ya rast biafirîne ku ji hevoka hevpar pir hûrgulî dihewîne "pê bawer bin ku her tişt baş e." "Pîlot" dihêle ku em hemî êşa xerîdar hîs bikin, fêm bikin ka kîjan peywir ji bo wî pêşîn in û kîjan duyemîn in. Ji bo me, ev fersendek hêja ye ku em berê xwe bidin nasîn ka kîjan amûr di rêxistinê de têne bikar anîn, dê pêkanîn çawa pêk were, li kîjan deveran, li ku derê ne, û hwd.
Di dema ceribandina pîlotê de, xerîdar pergala rastîn di çalakiyê de dibînin, bi navbeynkariya wê re nas dikin, dikarin kontrol bikin ka ew bi hardwareya wan a heyî re hevaheng e, û têgihîştinek tevdevaniyê bistînin ka dê çawa çareserî piştî pêkanîna tam bixebite. "Pîlot" ew gav e ku hûn dikarin hemî xefikên ku hûn ê di dema entegrasyonê de pê re rû bi rû bibin bibînin, û biryar bidin ka hûn hewce ne ku çend lîsans bikirin.
Di dema "pîlotê" de çi dikare "derxe"
Ji ber vê yekê, hûn çawa ji bo pêkanîna Cisco ISE bi rêkûpêk amade dikin? Ji ezmûna xwe, me 4 xalên sereke jimartin ku girîng in ku di dema ceribandina pîlotê ya pergalê de bifikirin.
Faktora formê
Pêşîn, hûn hewce ne ku biryar bidin ku pergal dê bi kîjan faktorê formê ve were bicîh kirin: upline fîzîkî an virtual. Her vebijark xwedî avantaj û dezawantajên. Mînakî, hêza jorînek laşî performansa wê ya pêşbînîkirî ye, lê divê em ji bîr nekin ku cîhazên weha bi demê re qedîm dibin. Pêşniyarên virtual kêm pêşbîn in ji ber ku ... bi hardware ve girêdayî ye ku hawîrdora virtualbûnê li ser hatî bicîh kirin, lê wan xwedan avantajek ciddî ye: heke piştgirî hebe, ew her gav dikarin li guhertoya herî dawî werin nûve kirin.
Ma alavên tora we bi Cisco ISE re hevaheng e?
Bê guman, senaryoya îdeal dê ev be ku hemî amûr bi yekcarî bi pergalê ve were girêdan. Lêbelê, ev her gav ne mumkin e ji ber ku gelek rêxistin hîn jî guheztinên nebirêvebir an guheztinên ku hin teknolojiyên ku Cisco ISE-ê dimeşînin piştgirî nakin bikar tînin. Bi awayê, em ne tenê li ser guhêrbaran diaxivin, ew di heman demê de dikare kontrolkerên torê yên bêtêl, koncentratorên VPN û her alavên din ên ku bikarhêner pê ve girêdayî ne jî bin. Di pratîka min de, rewş hene ku, piştî ku pergalê ji bo pêkanîna tam nîşan dan, xerîdar hema hema tevahiya fîloya guheztina asta gihîştinê li alavên nûjen ên Cisco nûve kir. Ji bo ku hûn ji surprîzên dilşewat dûr nekevin, hêja ye ku di pêş de rêjeya alavên bêdestek were zanîn.
Ma hemî amûrên we standard in?
Di her torê de amûrên tîpîk hene ku girêdana wan ne dijwar be: stasyonên xebatê, têlefonên IP, xalên gihîştina Wi-Fi, kamerayên vîdyoyê, û hwd. Lê di heman demê de diqewime ku pêdivî ye ku amûrên ne-standard bi LAN-ê ve werin girêdan, mînakî, veguherînerên sînyala otobusê RS232/Ethernet, navbeynkariya dabînkirina hêzê ya bênavber, amûrên cûrbecûr teknolojîk, hwd. Girîng e ku navnîşa cîhazên weha di pêş de were destnîşankirin. , da ku di qonaxa bicîhkirinê de hûn jixwe têgihîştinek heye ku ew ê çawa teknîkî bi Cisco ISE re bixebitin.
Bi pisporên IT-ê re diyalogek çêker
Xerîdarên Cisco ISE bi gelemperî beşên ewlehiyê ne, di heman demê de beşên IT-ê bi gelemperî ji mîhengkirina guheztinên qata gihîştinê û Pelrêça Active berpirsiyar in. Ji ber vê yekê, danûstendina hilberîner di navbera pisporên ewlehiyê û pisporên IT-ê de yek ji şertên girîng e ji bo pêkanîna bê êş a pergalê. Ger yên paşîn entegrasyonê bi dijminatiyê re fêm bikin, hêja ye ku ji wan re rave bikin ka çareserî dê çawa ji beşa IT re kêrhatî be.
Top 5 rewşên bikaranîna Cisco ISE
Di ezmûna me de, fonksiyona pêdivî ya pergalê di qonaxa ceribandina pîlot de jî tête nas kirin. Li jêr hin ji dozên karanîna herî populer û kêmtir ji bo çareseriyê hene.
Bi EAP-TLS re gihîştina LAN-ê li ser têlekê ewle bikin
Wekî ku encamên lêkolîna pentesterên me destnîşan dikin, pir caran ji bo ku bikevin nav tora pargîdaniyek, êrîşkar soketên asayî bikar tînin ku çaper, têlefon, kamerayên IP-yê, xalên Wi-Fi û amûrên din ên torê yên ne-şexsî bi wan ve girêdayî ne. Ji ber vê yekê, her çend gihandina torê li ser bingeha teknolojiya dot1x be, lê protokolên alternatîf bêyî karanîna sertîfîkayên pejirandina bikarhêner têne bikar anîn, îhtîmalek mezin a êrîşek serketî bi navbeynkariya danişînê û şîfreyên brute-force heye. Di doza Cisco ISE de, dizîna sertîfîkayê dê pir dijwartir be - ji bo vê yekê, hackers dê hewceyê hêza hesabkerê pir zêde hewce bike, ji ber vê yekê ev doz pir bi bandor e.
Gihîştina wireless ya Dual-SSID
Esasê vê senaryoyê bikaranîna 2 nasnameyên torê (SSID) e. Yek ji wan dikare bi şertê "mêvan" were gotin. Bi wê re, hem mêvan û hem jî xebatkarên pargîdaniyê dikarin xwe bigihînin tora wireless. Dema ku ew hewl didin ku bi hev ve girêbidin, yên paşîn berbi portalek taybetî ya ku tê de peyda kirin têne veguheztin. Ango, ji bikarhêner re sertîfîkayek tê derxistin û cîhaza wî ya kesane tê mîheng kirin ku bixweber bi SSID-ya duyemîn ve were girêdan, ku berê bi hemî avantajên doza yekem EAP-TLS bikar tîne.
MAC Authentication Bypass and Profilering
Bûyerek din a karanîna populer ev e ku bixweber celebê cîhaza ku tê girêdan tespît bike û li ser wê sînorkirinên rast bicîh bîne. Çima ew balkêş e? Rastî ev e ku hîn jî gelek amûrên ku bi karanîna protokola 802.1X ve piştrastkirinê piştgirî nakin hene. Ji ber vê yekê, pêdivî ye ku cîhazên weha li ser torê bi karanîna navnîşek MAC-ê ve werin destûr kirin, ku derewîn pir hêsan e. Li vir Cisco ISE tê rizgariyê: bi alîkariya pergalê, hûn dikarin bibînin ka amûrek çawa li ser torê tevdigere, profîla xwe biafirîne û wê ji komek amûrên din re veqetîne, mînakî, têlefonek IP-yê û qereqolek kar. . Ger êrîşkarek hewl bide navnîşek MAC-ê bixapîne û bi torê ve girêbide, pergal dê bibîne ku profîla cîhazê guherî ye, dê tevgerek gumanbar nîşan bide û dê nehêle bikarhênerê gumanbar bikeve torê.
EAP-Zincîrekirin
Teknolojiya EAP-Chaining verastkirina birêkûpêk a PC-ya xebatê û hesabê bikarhêner vedihewîne. Ev doz berbelav bûye ji ber ku ... Gelek pargîdan hîn jî teşwîq nakin ku amûrên kesane yên karmendan bi LAN-ya pargîdanî ve girêbidin. Bi karanîna vê nêzîkatiya pejirandinê, gengaz e ku meriv kontrol bike ka stasyonek xebatê ya taybetî endamê domainê ye, û heke encam neyînî be, dê bikarhêner an destûr nede nav torê, an dê bikaribe têkeve, lê bi hin sînorkirinên.
Posturing
Ev doz li ser nirxandina lihevhatina nermalava stasyona xebatê bi daxwazên ewlehiya agahdariyê re ye. Bi karanîna vê teknolojiyê, hûn dikarin kontrol bikin ka nermalava li ser stasyona xebatê nûvekirî ye, gelo tedbîrên ewlehiyê li ser hatine saz kirin, gelo dîwarê dîwarê mêvandar hatî mîheng kirin, hwd. Balkêş e, ev teknolojî di heman demê de dihêle hûn karên din ên ku bi ewlehiyê re ne girêdayî ne çareser bikin, mînakî, kontrolkirina hebûna pelên pêwîst an sazkirina nermalava berfireh a pergalê.
Bûyerên karanîna hindiktirîn ên ji bo Cisco ISE di nav de kontrola gihîştina bi rastkirina domainê ya dawî-bi-dawî (Nasnameya Pasîf), mîkro-segmentasyon û fîlterkirin-based SGT, û her weha entegrasyona bi pergalên rêveberiya cîhaza desta (MDM) û Skanerên Xirabiyê re hene.
Projeyên ne-standard: çima wekî din dibe ku hûn hewceyê Cisco ISE, an 3 bûyerên kêm ji pratîka me bin
Kontrola gihîştina serverên Linux-based
Carekê me ji bo yek ji xerîdarên ku berê pergala Cisco ISE bicîh kiribû, dozek ne-pîvan çareser dikir: me hewce kir ku rêyek ji bo kontrolkirina kiryarên bikarhêner (bi piranî rêvebir) li ser serverên bi Linux-ê hatine saz kirin bibînin. Di lêgerîna bersivekê de, me ramana karanîna nermalava belaş a PAM Radius Module, ku dihêle hûn têkevin serverên ku Linux-ê bi erêkirinê li ser serverek radiusa derveyî dixebitin têkevin. Di vî warî de her tişt dê baş be, heke ne ji bo yek "lê" be: servera radiusê, ku bersivek ji daxwaznameya verastkirinê re dişîne, tenê navê hesabê û encamê dide - qebûlkirî binirxîne an red kir. Di vê navberê de, ji bo destûrnameyê li Linux-ê, hûn hewce ne ku bi kêmî ve yek pîvanek din - pelrêça malê destnîşan bikin, da ku bikarhêner bi kêmî ve bigihîje cîhek. Me rêyek nedît ku vê yekê wekî taybetmendiyek radiusê bidin, ji ber vê yekê me ji bo afirandina hesaban ji dûr ve di moda nîv-otomatîk de li ser mêvandaran nivîsek taybetî nivîsand. Ji ber ku em bi hesabên rêvebiran re mijûl dibûn, ku hejmara wan ne ewqas zêde bû, ev kar pir pêkan bû. Dûv re, bikarhêner ketin ser cîhaza pêwîst, piştî ku ji wan re gihîştina pêwîst hate destnîşankirin. Pirsek maqûl derdikeve holê: Ma di rewşên weha de pêdivî ye ku meriv Cisco ISE bikar bîne? Bi rastî, na - her serverek radius dê bike, lê ji ber ku xerîdar berê xwedan vê pergalê bû, me tenê taybetmendiyek nû li wê zêde kir.
Envantera hardware û nermalava li ser LAN
Me carekê li ser projeyek xebitî ku Cisco ISE ji yek xerîdar re bêyî "pîlotek" pêşîn peyda bike. Ji bo çareseriyê hewcedariyên zelal tunebûn, ji bilî vê yekê em bi torgilokek darûz, ne-segmentî re mijûl dibûn, ku karê me tevlihev kir. Di dema projeyê de, me hemî rêbazên profîlek mimkun ên ku torê piştgirî kir mîheng kirin: NetFlow, DHCP, SNMP, entegrasyona AD, hwd. Wekî encamek, gihîştina MAR-ê bi şiyana têketina torê hate mîheng kirin heke pejirandin bi ser neket. Ango, her çend piştrastkirin ne serketî bûya jî, pergal dê dîsa bihêle bikarhêner bikeve torê, agahdariya li ser wî berhev bike û di databasa ISE de tomar bike. Vê çavdêriya torê di çend hefteyan de alîkariya me kir ku pergalên girêdayî û amûrên ne-şexsî nas bikin û nêzîkatiyek ji bo dabeşkirina wan pêşve bibin. Piştî vê yekê, me ji bo berhevkirina agahdariya li ser nermalava ku li ser wan hatî saz kirin berhevokê jî mîheng kir ku ajan li ser qereqolan saz bike. Encam çi ye? Me karîbû torê parçe bikin û navnîşa nermalava ku divê ji stasyonên xebatê were rakirin diyar bikin. Ez venaşêrim ku peywirên din ên belavkirina bikarhêneran li komên domainê û xêzkirina mafên gihîştinê ji me re pir wext girt, lê bi vî rengî me wêneyek bêkêmasî ya ku xerîdar li ser torê çi hardware heye girt. Bi awayê, ev ne dijwar bû ji ber xebata baş a profîlek ji qutiyê. Welê, li cîhê ku profîlek alîkarî nekir, me li xwe nêrî, porta guheztinê ya ku amûr pê ve girêdayî bû ronî kir.
Sazkirina dûr a nermalavê li ser qereqolên xebatê
Ev doz di pratîka min de yek ji xerîbtirîn e. Rojekê, xerîdarek bi hawara alîkariyê hat ba me - dema ku Cisco ISE bicîh kir tiştek xelet bû, her tişt şikest, û kesek din nikarîbû xwe bigihîne torê. Me dest bi lêgerînê kir û me ev tişt dît. Pargîdanî 2000 komputer hebûn, ku di nebûna kontrolkerek domainê de, di bin hesabek rêveberê de têne rêve kirin. Ji bo armanca peering, rêxistinê Cisco ISE pêk anî. Pêdivî bû ku meriv bi rengek fêm bike ka antîvîrusek li ser PC-yên heyî hatî saz kirin, gelo hawîrdora nermalavê hatî nûve kirin, hwd. Û ji ber ku rêvebirên IT-ê amûrên torê di pergalê de saz kirin, mentiqî ye ku ew gihîştina wê hebûn. Piştî ku dît ku ew çawa dixebite û PC-yên xwe dişoxilînin, rêvebiran bi ramana sazkirina nermalavê li ser qereqolên karmendan ji dûr ve bêyî serdanên kesane hatin. Tenê bifikirin ka hûn dikarin rojê çend gavan bi vî rengî xilas bikin! Rêvebiran ji bo hebûna pelek taybetî di pelrêça C: Program Files de gelek kontrolên stasyona xebatê pêk anîn, û heke ew tunebûya, bi şopandina girêdanek ku ber bi hilanîna pelê ve diçe pelê sazkirinê .exe, sererastkirina otomatîkî hate destpêkirin. Vê yekê hişt ku bikarhênerên asayî biçin parvekirina pelê û nermalava pêwîst ji wir dakêşin. Mixabin, admin pergala ISE baş nizanibû û zirarê da mekanîzmayên şandinê - wî siyaset bi xeletî nivîsand, ku bû sedema pirsgirêkek ku em tê de çareser kirin. Bi kesane, ez ji dil ji nêzîkatiyek wusa afirîner matmayî me, ji ber ku çêkirina kontrolkerek domainê dê pir erzantir û kêmtir kedkar be. Lê wekî Proofek têgînê xebitî.
Di gotara hevkarê min de li ser nuwazeyên teknîkî yên ku dema pêkanîna Cisco ISE çêdibin bêtir bixwînin .
Artem Bobrikov, endezyar sêwiranê ya Navenda Ewlekariya Agahdariyê li Jet Infosystems
Paşê:
Tevî rastiya ku ev post di derbarê pergala Cisco ISE de diaxive, pirsgirêkên ku têne diyar kirin ji bo tevahiya çîna çareseriyên NAC-ê têkildar in. Ew qas ne girîng e ka kîjan çareseriya firoşker ji bo bicîhkirinê hatî plansaz kirin - piraniya jorîn dê bicîh bimînin.
Source: www.habr.com