Wéi dacks kaaft Dir spontan eppes, ënnergeet op eng cool Reklamm, an da sammelt dësen ufanks gewënschten Artikel Stëbs an engem Kleederschaf, Pantry oder Garage bis déi nächst Fréijoersbotz oder Plënneren? D'Resultat ass Enttäuschung wéinst ongerechtfäerdegt Erwaardungen a verschwendene Suen. Et ass vill méi schlëmm wann dëst mat engem Geschäft geschitt. Ganz oft, Marketing Gimmicks si sou gutt, datt Firmen eng deier Léisung kafen ouni déi voll Bild vun hirer Applikatioun ze gesinn. Mëttlerweil hëlleft Test Testen vum System ze verstoen wéi d'Infrastruktur op d'Integratioun virbereet gëtt, wéi eng Funktionalitéit a wéi eng Ausmooss soll ëmgesat ginn. Op dës Manéier kënnt Dir eng riesech Unzuel vu Probleemer vermeiden wéinst der Auswiel vun engem Produkt "blann". Zousätzlech, Ëmsetzung no engem kompetente "Pilot" wäert Ingenieuren vill manner zerstéiert Nerve Zellen a gro Hoer bréngen. Loosst eis erausfannen firwat Pilot Testen sou wichteg ass fir en erfollegräiche Projet, andeems Dir d'Beispill vun engem populäre Tool benotzt fir den Zougang zu engem Firmennetz ze kontrolléieren - Cisco ISE. Loosst eis souwuel Standard a komplett net-Standard Optiounen betruechten fir d'Léisung ze benotzen déi mir an eiser Praxis begéint hunn.
Cisco ISE - "Radius Server op Steroiden"
Cisco Identity Services Engine (ISE) ass eng Plattform fir en Zougangskontrollsystem fir e lokalen Netzwierk vun enger Organisatioun ze kreéieren. An der Expertgemeinschaft gouf de Produit Spëtznumm "Radius Server op Steroiden" fir seng Eegeschaften. Firwat? Wesentlech ass d'Léisung e Radius-Server, un deem eng riesech Unzuel vun zousätzleche Servicer an "Tricken" befestegt goufen, wat Iech erlaabt eng grouss Quantitéit u kontextueller Informatioun ze kréien an déi resultéierend Satz vun Daten an Zougangspolitik z'applizéieren.
Wéi all aner Radius Server interagéiert Cisco ISE mat Zougang-Niveau Reseau Equipement, sammelen Informatiounen iwwer all Versich op d'Firma Reseau ze konnektéieren an, baséiert op Authentifikatioun an Autorisatioun Politiken, erlaabt oder verweigert Benotzer op d'LAN. Wéi och ëmmer, d'Méiglechkeet vu Profiléieren, Posten an Integratioun mat aneren Informatiounssécherheetsléisungen mécht et méiglech, d'Logik vun der Autorisatiounspolitik wesentlech ze komplizéieren an doduerch zimlech schwiereg an interessant Problemer ze léisen.
Ëmsetzung kann net pilotéiert ginn: Firwat brauch Dir Tester?
De Wäert vum Pilottest ass fir all d'Fäegkeete vum System an der spezifescher Infrastruktur vun enger spezifescher Organisatioun ze demonstréieren. Ech gleewen datt d'Pilotéierung vun Cisco ISE virun der Implementatioun profitéiert fir all déi am Projet involvéiert sinn, an hei ass firwat.
Dëst gëtt Integrateuren eng kloer Iddi vun den Erwaardunge vum Client an hëlleft eng korrekt technesch Spezifizéierung ze kreéieren déi vill méi Detailer enthält wéi de gemeinsame Saz "maach sécher datt alles gutt ass." "Pilot" erlaabt eis all d'Péng vum Client ze fillen, ze verstoen, wéi eng Aufgaben eng Prioritéit fir hien sinn an déi sekundär sinn. Fir eis ass dëst eng exzellent Geleeënheet am Viraus erauszefannen, wéi eng Ausrüstung an der Organisatioun benotzt gëtt, wéi d'Ëmsetzung stattfënnt, op wéi enge Siten, wou se lokaliséiert sinn, asw.
Wärend Pilottesten gesinn d'Clienten de richtege System an Aktioun, kennen seng Interface kennen, kënne kontrolléieren ob et mat hirer existéierender Hardware kompatibel ass, a kréien e ganzt Verständnis wéi d'Léisung no voller Ëmsetzung funktionnéiert. "Pilot" ass dee Moment wou Dir all d'Feele gesinn, déi Dir wahrscheinlech während der Integratioun begéint, an entscheeden wéivill Lizenzen Dir braucht ze kafen.
Wat kann während dem "Pilot" "opgoen"
Also, wéi preparéiert Dir Iech richteg op d'Ëmsetzung vun Cisco ISE? Aus eiser Erfahrung hu mir 4 Haaptpunkte gezielt, déi wichteg si beim Pilottest vum System ze berücksichtegen.
Form Faktor
Als éischt musst Dir entscheeden a wéi enger Formfaktor de System ëmgesat gëtt: kierperlech oder virtuell Upline. All Optioun huet Virdeeler an Nodeeler. Zum Beispill, d'Kraaft vun enger kierperlecher Upline ass seng prévisibel Leeschtung, awer mir däerfen net vergiessen datt sou Apparater mat der Zäit verouderd ginn. Virtuell Uplines si manner prévisibel well ... hänkt vun der Hardware of, op där d'Virtualiséierungsëmfeld agesat gëtt, awer si hunn e seriöse Virdeel: wann Ënnerstëtzung verfügbar ass, kënnen se ëmmer op déi lescht Versioun aktualiséiert ginn.
Ass Är Netzwierkausrüstung kompatibel mat Cisco ISE?
Natierlech wier den ideale Szenario all Ausrüstung op eemol un de System ze verbannen. Wéi och ëmmer, dëst ass net ëmmer méiglech well vill Organisatiounen nach ëmmer net verwaltete Schalter oder Schalter benotzen déi e puer vun den Technologien net ënnerstëtzen déi Cisco ISE lafen. Iwwregens, mir schwätzen net nëmmen iwwer Schalter, et kann och drahtlose Netzwierkkontroller, VPN Konzentratoren an all aner Ausrüstung sinn, mat deenen d'Benotzer verbannen. A menger Praxis goufen et Fäll wou, nodeems de System fir voll Ëmsetzung demonstréiert gouf, de Client bal d'ganz Flott vun Zougangsniveauschalter op modern Cisco Ausrüstung aktualiséiert huet. Fir onsympathesch Iwwerraschungen ze vermeiden, ass et derwäert am Viraus den Undeel vun net ënnerstëtzten Ausrüstung erauszefannen.
Sinn all Ären Apparater Standard?
All Netzwierk huet typesch Apparater, déi net schwéier solle sinn ze verbannen: Aarbechtsstatiounen, IP Telefonen, Wi-Fi Zougangspunkten, Videokameraen, asw. Mä et geschitt och datt Net-Standard Geräter mat dem LAN verbonne musse sinn, zum Beispill RS232/Ethernet Bus Signal Converter, onënnerbrach Stroumversuergungsinterfaces, verschidden technologesch Ausrüstung, asw.. Et ass wichteg d'Lëscht vun esou Apparater am Viraus ze bestëmmen. , sou datt Dir an der Ëmsetzungsstadium schonn e Verständnis hutt wéi technesch se mat Cisco ISE schaffen.
Konstruktiven Dialog mat IT Spezialisten
Cisco ISE Clienten sinn dacks Sécherheetsdepartementer, während IT Departementer normalerweis verantwortlech sinn fir Zougangsschichtschalter an Active Directory ze konfiguréieren. Dofir ass produktiv Interaktioun tëscht Sécherheetsspezialisten an IT Spezialisten ee vun de wichtege Konditioune fir schmerzlos Ëmsetzung vum System. Wann déi lescht Integratioun mat Feindlechkeet gesinn, ass et derwäert hinnen z'erklären wéi d'Léisung fir den IT Departement nëtzlech ass.
Top 5 Cisco ISE benotzen Fäll
An eiser Erfahrung ass déi erfuerderlech Funktionalitéit vum System och an der Pilotteststadium identifizéiert. Drënner sinn e puer vun de populäersten a manner heefegste Benotzungsfäll fir d'Léisung.
Séchert LAN Zougang iwwer engem Drot mat EAP-TLS
Wéi d'Resultater vun der Fuerschung vun eise Pentesters weisen, zimlech dacks fir d'Netzwierk vun enger Firma ze penetréieren, benotzen Ugräifer gewéinlech Sockets mat deenen Dréckeren, Telefonen, IP Kameraen, Wi-Fi Punkten an aner net-perséinlech Netzwierkgeräter verbonne sinn. Dofir, och wann den Netzzougang op der Dot1x Technologie baséiert, awer alternativ Protokoller ginn benotzt ouni d'Benotzer Authentifikatiounszertifikater ze benotzen, ass et eng héich Wahrscheinlechkeet vun engem erfollegräichen Attack mat Sessiounsinterceptioun a brute-force Passwierder. Am Fall vu Cisco ISE wäert et vill méi schwéier sinn en Zertifika ze klauen - dofir brauche Hacker vill méi Rechenkraaft, sou datt dëse Fall ganz effektiv ass.
Dual-SSID Wireless Zougang
D'Essenz vun dësem Szenario ass 2 Netzwierkidentifizéierer (SSIDs) ze benotzen. Ee vun hinnen kann bedingt "Gaascht" genannt ginn. Duerch et kënne béid Gäscht a Firmebeamten Zougang zum drahtlose Netzwierk kréien. Wann se probéieren ze verbannen, ginn déi lescht op e spezielle Portal ëmgeleet, wou d'Bestëmmung stattfënnt. Dat ass, de Benotzer gëtt e Certificat erausginn a säi perséinlechen Apparat ass konfiguréiert fir automatesch op déi zweet SSID ze verbannen, déi schonn EAP-TLS mat all de Virdeeler vum éischte Fall benotzt.
MAC Authentifikatioun Bypass a Profiling
En anere populäre Benotzungsfall ass automatesch d'Zort vum Apparat z'entdecken, deen ugeschloss ass an déi richteg Restriktiounen op et applizéieren. Firwat ass hien interessant? D'Tatsaach ass datt et nach ëmmer zimlech vill Apparater sinn déi d'Authentifikatioun net mam 802.1X Protokoll ënnerstëtzen. Dofir musse sou Geräter mat enger MAC Adress am Netz erlaabt ginn, wat zimmlech einfach ze gefälscht ass. Dëst ass wou d'Cisco ISE zur Rettung kënnt: mat der Hëllef vum System kënnt Dir gesinn wéi en Apparat sech am Netz verhält, säi Profil erstellen an et un eng Grupp vun aneren Apparater zouginn, zum Beispill en IP Telefon an eng Workstation . Wann en Ugräifer probéiert eng MAC Adress ze spoofen a mam Netz ze verbannen, gesäit de System datt den Apparatprofil geännert huet, signaliséiert verdächtegt Verhalen an erlaabt de verdächtege Benotzer net an d'Netz.
EAP-Chaining
EAP-Chaining Technologie implizéiert sequentiell Authentifikatioun vum schaffende PC a Benotzerkont. Dëse Fall ass verbreet ginn well ... Vill Firmen encouragéieren ëmmer nach net d'Verbindung vun de perséinleche Gadgeten vun de Mataarbechter un de Firmen-LAN. Mat dëser Approche fir d'Authentifikatioun ass et méiglech ze kontrolléieren ob eng bestëmmte Workstation Member vum Domain ass, a wann d'Resultat negativ ass, gëtt de Benotzer entweder net an d'Netz erlaabt, oder fäeg eran, awer mat bestëmmte Restriktiounen.
Posturéieren
Dëse Fall ass d'Bewäertung vun der Konformitéit vun der Workstation Software mat Informatiounssécherheetsufuerderunge. Mat dëser Technologie kënnt Dir kontrolléieren ob d'Software op der Workstation aktualiséiert gëtt, ob Sécherheetsmoossnamen drop installéiert sinn, ob d'Host Firewall konfiguréiert ass, etc. Interessanterweis erlaabt dës Technologie Iech och aner Aufgaben ze léisen, déi net mat der Sécherheet verbonne sinn, zum Beispill d'Präsenz vun néidege Dateien z'iwwerpréiwen oder System-breet Software z'installéieren.
Manner üblech Benotzungsfäll fir Cisco ISE enthalen Zougangskontrolle mat Enn-zu-Enn Domain Authentifikatioun (Passiv ID), SGT-baséiert Mikro-Segmentatioun a Filteren, souwéi Integratioun mat mobilen Apparatmanagement (MDM) Systemer a Vulnerabilitéit Scanner.
Net-Standard Projeten: firwat soss kéint Dir Cisco ISE brauchen, oder 3 rare Fäll aus eiser Praxis
Zougang Kontroll op Linux-baséiert Serveren
Eemol hu mir en zimlech net-triviale Fall geléist fir ee vun de Clienten, déi de Cisco ISE-System scho implementéiert haten: mir hu misse e Wee fannen fir d'Benotzeraktiounen (meeschtens Administrateuren) op Serveren mat Linux installéiert ze kontrolléieren. Op der Sich no enger Äntwert si mir op d'Iddi komm fir déi gratis PAM Radius Module Software ze benotzen, déi Iech erlaabt Iech op Serveren ze loggen déi Linux lafen mat Authentifikatioun op engem externen Radiusserver. Alles an dëser Hisiicht wier gutt, wann net fir een "awer": de Radiusserver, schéckt eng Äntwert op d'Authentifikatiounsufro, gëtt nëmmen de Kontonumm an d'Resultat - bewäert akzeptéiert oder bewäert refuséiert. Mëttlerweil, fir Autorisatioun am Linux, musst Dir op d'mannst ee méi Parameter zouginn - Heemverzeechnes, sou datt de Benotzer op d'mannst iergendwou kënnt. Mir hunn kee Wee fonnt fir dëst als Radiusattribut ze ginn, also hu mir e spezielle Skript geschriwwen fir Konten op Hosten an engem semi-automatesche Modus op afstand ze kreéieren. Dës Aufgab war ganz machbar, well mir mat Administrateur Konten ze dinn hunn, der Zuel vun deenen war net sou grouss. Als nächst hunn d'Benotzer sech op den erfuerderlechen Apparat ageloggt, duerno kruten se den néidegen Zougang zougewisen. Eng raisonnabel Fro stellt sech: Ass et néideg Cisco ISE an esou Fäll ze benotzen? Eigentlech, nee - all Radiusserver wäert et maachen, awer well de Client dëse System schonn hat, hu mir einfach eng nei Feature dobäigesat.
Inventar vun Hardware a Software op der LAN
Mir hunn eemol un engem Projet geschafft fir Cisco ISE un engem Client ouni virleefeg "Pilot" ze liwweren. Et waren keng kloer Ufuerderunge fir d'Léisung, plus mir hu mat engem flaach, net-segmentéierten Netzwierk ze dinn, wat eis Aufgab komplizéiert huet. Wärend dem Projet hu mir all méiglech Profiléierungsmethoden konfiguréiert déi d'Netzwierk ënnerstëtzt huet: NetFlow, DHCP, SNMP, AD Integratioun, etc. Als Resultat gouf den MAR-Zougang mat der Fäegkeet konfiguréiert fir an d'Netz ze loggen wann d'Authentifikatioun gescheitert ass. Dat ass, och wann d'Authentifikatioun net erfollegräich war, géif de System nach ëmmer de Benotzer an d'Netz erlaben, Informatiounen iwwer hien sammelen an se an der ISE Datebank ophuelen. Dës Netzwierk Iwwerwaachung iwwer e puer Wochen huet eis gehollef verbonne Systemer an net-perséinlech Apparater z'identifizéieren an eng Approche z'entwéckelen fir se ze segmentéieren. Duerno hu mir zousätzlech Post konfiguréiert fir den Agent op Aarbechtsstatiounen z'installéieren fir Informatiounen iwwer d'Software ze sammelen déi op hinnen installéiert ass. Wat ass d'Resultat? Mir konnten d'Netzwierk segmentéieren an d'Lëscht vu Software bestëmmen, déi vun Aarbechtsstatiounen geläscht musse ginn. Ech wäert net verstoppen datt weider Aufgaben fir d'Benotzer an d'Domaingruppen ze verdeelen an d'Zougangsrechter ze definéieren eis zimlech vill Zäit gedauert hunn, awer op dës Manéier krute mir e komplett Bild vu wéi eng Hardware de Client am Netz hat. Dat war iwwregens net schwéier wéinst der gutt Aarbecht aus der Këscht ze profiléieren. Gutt, wou d'Profiling net gehollef huet, hu mir eis selwer gekuckt, de Schalterhafen ervirhiewt, mat deem d'Ausrüstung verbonne war.
Ferninstallatioun vu Software op Aarbechtsstatiounen
Dëse Fall ass ee vun de komëschsten a menger Praxis. Enges Daags ass e Client bei eis komm mat engem Gejäiz fir Hëllef - eppes ass falsch gaang beim Ëmsetzen vun Cisco ISE, alles ass gebrach, a keen aneren konnt op d'Netz kommen. Mir hunn ugefaang driwwer nozekucken an hunn déi folgend erausfonnt. D'Firma hat 2000 Computeren, déi, an der Verontreiung vun engem Domain Controller, ënner engem Administratorkonto geréiert goufen. Fir den Zweck vum Peering huet d'Organisatioun Cisco ISE implementéiert. Et war néideg iergendwéi ze verstoen ob en Antivirus op existente PCs installéiert ass, ob d'Software-Ëmfeld aktualiséiert gouf, etc. A well IT Administrateuren Netzwierkausrüstung an de System installéiert hunn, ass et logesch datt se Zougang dozou haten. Nodeems se gesinn hunn wéi et funktionnéiert an hir PCs posheréiert hunn, sinn d'Administrateuren op d'Iddi komm fir d'Software op Employéen Aarbechtsstatiounen op afstand ouni perséinleche Besuch ze installéieren. Stellt Iech vir wéivill Schrëtt Dir op dës Manéier pro Dag spuere kënnt! D'Administrateuren hunn e puer Kontrollen vun der Aarbechtsstatioun fir d'Präsenz vun enger spezifescher Datei am C:Program Files Verzeichnis duerchgefouert, a wann et fehlt, gouf automatesch Sanéierung lancéiert andeems Dir e Link op d'Dateilagerung an d'.exe-Installatiounsdatei féiert. Dëst erlaabt gewéinlech Benotzer op e Fichier Share ze goen an déi néideg Software vun do erofzelueden. Leider huet den Admin den ISE System net gutt kennt an d'Postmechanismus beschiedegt - hien huet d'Politik falsch geschriwwen, wat zu engem Problem gefouert huet, dee mir an der Léisung involvéiert waren. Perséinlech sinn ech ganz iwwerrascht iwwer sou eng kreativ Approche, well et wier vill méi bëlleg a manner Aarbechtsintensiv fir en Domain Controller ze kreéieren. Awer als Proof of Concept huet et geschafft.
Liest méi iwwer d'technesch Nuancen déi entstinn wann Dir Cisco ISE implementéiert an den Artikel vun mengem Kolleg .
Artem Bobrikov, Designingenieur vum Information Security Center bei Jet Infosystems
Afterword:
Trotz der Tatsaach, datt dëse Post iwwer de Cisco ISE System schwätzt, sinn d'Problemer déi beschriwwe sinn relevant fir déi ganz Klass vun NAC-Léisungen. Et ass net sou wichteg wéi eng Léisung vum Verkeefer fir d'Ëmsetzung geplangt ass - déi meescht vun den uewe bleiwen applicabel.
Source: will.com