Kaip dažnai perkate ką nors spontaniškai, pasiduodami šauniai reklamai, o tada šis iš pradžių trokštamas daiktas kaupia dulkes spintoje, sandėliuke ar garaže iki kito pavasario valymo ar kraustymosi? Rezultatas – nusivylimas dėl nepateisintų lūkesčių ir iššvaistytų pinigų. Daug blogiau, kai taip nutinka verslui. Labai dažnai rinkodaros triukai yra tokie geri, kad įmonės perka brangų sprendimą, nematydamos viso jo taikymo vaizdo. Tuo tarpu bandomasis sistemos testavimas padeda suprasti, kaip paruošti infrastruktūrą integracijai, kokį funkcionalumą ir kiek reikėtų diegti. Tokiu būdu galite išvengti daugybės problemų, susijusių su gaminio pasirinkimu „aklai“. Be to, įgyvendinus kompetentingą „pilotą“, inžinieriai sunaikins daug mažiau nervų ląstelių ir žilų plaukų. Išsiaiškinkime, kodėl bandomasis testavimas yra toks svarbus sėkmingam projektui, naudodamiesi populiariu įrankiu, skirtu kontroliuoti prieigą prie įmonės tinklo - Cisco ISE. Panagrinėkime ir standartines, ir visiškai nestandartines sprendimo, su kuriuo susidūrėme savo praktikoje, naudojimo galimybes.
Cisco ISE – „Spindulio serveris ant steroidų“
„Cisco Identity Services Engine“ (ISE) yra platforma, skirta sukurti prieigos kontrolės sistemą organizacijos vietiniam tinklui. Ekspertų bendruomenėje produktas buvo pramintas „Spindulio serveriu steroiduose“ dėl savo savybių. Kodėl taip? Iš esmės sprendimas yra Radius serveris, prie kurio pridėta daugybė papildomų paslaugų ir „gudrybių“, leidžiančių gauti didelį kiekį kontekstinės informacijos ir gautą duomenų rinkinį pritaikyti prieigos politikoje.
Kaip ir bet kuris kitas „Radius“ serveris, „Cisco ISE“ sąveikauja su prieigos lygio tinklo įranga, renka informaciją apie visus bandymus prisijungti prie įmonės tinklo ir, remdamasi autentifikavimo ir autorizacijos politika, leidžia arba neleidžia vartotojams prisijungti prie LAN. Tačiau profiliavimo, paskelbimo ir integravimo su kitais informacijos saugumo sprendimais galimybė leidžia gerokai apsunkinti autorizavimo politikos logiką ir taip išspręsti gana sudėtingas ir įdomias problemas.
Diegimas negali būti bandomasis: kodėl jums reikia bandymų?
Pilotinio testavimo vertė – parodyti visas sistemos galimybes konkrečios organizacijos konkrečioje infrastruktūroje. Manau, kad Cisco ISE išbandymas prieš įdiegimą naudingas visiems, dalyvaujantiems projekte, ir štai kodėl.
Tai suteikia integratoriams aiškų supratimą apie kliento lūkesčius ir padeda sukurti teisingą techninę specifikaciją, kurioje yra daug daugiau informacijos nei įprasta frazė „įsitikinkite, kad viskas gerai“. „Pilotas“ leidžia pajusti visą kliento skausmą, suprasti, kurios užduotys jam yra prioritetinės, o kurios antraeilės. Mums tai puiki galimybė iš anksto išsiaiškinti, kokia įranga naudojama organizacijoje, kaip vyks diegimas, kokiose aikštelėse, kur jos yra ir pan.
Pilotinio testavimo metu klientai mato veikiančią realią sistemą, susipažįsta su jos sąsaja, gali pasitikrinti, ar ji suderinama su esama aparatine įranga ir gauti visapusišką supratimą, kaip sprendimas veiks po visiško įdiegimo. „Pilotas“ yra pats momentas, kai galite pamatyti visas problemas, su kuriomis tikriausiai susidursite integruodami, ir nuspręsti, kiek licencijų jums reikia įsigyti.
Kas gali „iššokti“ „piloto“ metu
Taigi, kaip tinkamai pasiruošti Cisco ISE diegimui? Iš savo patirties suskaičiavome 4 pagrindinius dalykus, į kuriuos svarbu atsižvelgti atliekant bandomąjį sistemos testavimą.
Formos veiksnys
Pirmiausia turite nuspręsti, kokiu formos veiksniu sistema bus įdiegta: fizine ar virtualia viršutine linija. Kiekvienas variantas turi privalumų ir trūkumų. Pavyzdžiui, fizinės viršutinės linijos stiprybė yra jos nuspėjamas veikimas, tačiau nereikia pamiršti, kad tokie įrenginiai laikui bėgant pasensta. Virtualios viršutinės linijos yra mažiau nuspėjamos, nes... priklauso nuo aparatinės įrangos, kurioje įdiegta virtualizacijos aplinka, tačiau jie turi rimtą pranašumą: jei yra palaikymas, visada galima atnaujinti į naujausią versiją.
Ar jūsų tinklo įranga suderinama su Cisco ISE?
Žinoma, idealus scenarijus būtų vienu metu prijungti visą įrangą prie sistemos. Tačiau tai ne visada įmanoma, nes daugelis organizacijų vis dar naudoja nevaldomus jungiklius arba jungiklius, kurie nepalaiko kai kurių technologijų, kuriose veikia Cisco ISE. Beje, kalbame ne tik apie jungiklius, tai gali būti ir belaidžio tinklo valdikliai, VPN koncentratoriai ir bet kokia kita įranga, prie kurios prisijungia vartotojai. Mano praktikoje yra buvę atvejų, kai pademonstravęs sistemą pilnam diegimui, klientas beveik visą prieigos lygio jungiklių parką atnaujino į modernią Cisco įrangą. Norint išvengti nemalonių netikėtumų, verta iš anksto išsiaiškinti nepalaikomos įrangos proporciją.
Ar visi jūsų įrenginiai yra standartiniai?
Bet kuris tinklas turi tipinius įrenginius, prie kurių prisijungti neturėtų būti sunku: darbo vietos, IP telefonai, Wi-Fi prieigos taškai, vaizdo kameros ir pan. Bet pasitaiko ir taip, kad prie LAN reikia jungti nestandartinius įrenginius, pavyzdžiui, RS232/Ethernet magistralės signalų keitiklius, nepertraukiamo maitinimo sąsajas, įvairią technologinę įrangą ir t.t.. Svarbu iš anksto nustatyti tokių įrenginių sąrašą. , kad diegimo etape jau suprastumėte, kaip techniškai jie veiks su Cisco ISE.
Konstruktyvus dialogas su IT specialistais
„Cisco ISE“ klientai dažnai yra saugos skyriai, o IT skyriai paprastai yra atsakingi už prieigos lygmens jungiklių ir „Active Directory“ konfigūravimą. Todėl produktyvi saugumo specialistų ir IT specialistų sąveika yra viena iš svarbių neskausmingo sistemos diegimo sąlygų. Jei pastarieji integraciją suvokia su priešiškumu, verta jiems paaiškinti, kuo sprendimas bus naudingas IT skyriui.
5 populiariausi Cisco ISE naudojimo atvejai
Mūsų patirtis rodo, kad reikiamas sistemos funkcionalumas taip pat nustatomas bandomojo testavimo etape. Žemiau pateikiami keli populiariausi ir rečiau naudojami sprendimo atvejai.
Saugi LAN prieiga per laidą su EAP-TLS
Kaip rodo mūsų pentesterių tyrimo rezultatai, gana dažnai, norėdami prasiskverbti į įmonės tinklą, užpuolikai naudoja įprastus lizdus, prie kurių jungiami spausdintuvai, telefonai, IP kameros, Wi-Fi taškai ir kiti neasmeniniai tinklo įrenginiai. Todėl net jei prieiga prie tinklo yra pagrįsta dot1x technologija, bet naudojami alternatyvūs protokolai nenaudojant vartotojo autentifikavimo sertifikatų, didelė sėkmingos atakos tikimybė su seanso perėmimu ir brutalios jėgos slaptažodžiais. Cisco ISE atveju pavogti sertifikatą bus daug sunkiau – tam įsilaužėliams reikės daug daugiau skaičiavimo galios, todėl šis atvejis yra labai efektyvus.
Dviejų SSID belaidė prieiga
Šio scenarijaus esmė – naudoti 2 tinklo identifikatorius (SSID). Vieną iš jų sąlygiškai galima pavadinti „svečiu“. Per jį tiek svečiai, tiek įmonės darbuotojai gali prisijungti prie belaidžio tinklo. Kai jie bando prisijungti, pastarieji nukreipiami į specialų portalą, kuriame vyksta aprūpinimas. Tai reiškia, kad vartotojui išduodamas sertifikatas, o jo asmeninis įrenginys sukonfigūruotas taip, kad automatiškai vėl prisijungtų prie antrojo SSID, kuris jau naudoja EAP-TLS su visais pirmojo atvejo privalumais.
MAC autentifikavimo apėjimas ir profiliavimas
Kitas populiarus naudojimo atvejis yra automatiškai aptikti prijungto įrenginio tipą ir taikyti jam tinkamus apribojimus. Kodėl jis įdomus? Faktas yra tas, kad vis dar yra gana daug įrenginių, kurie nepalaiko autentifikavimo naudojant 802.1X protokolą. Todėl tokius įrenginius reikia leisti į tinklą naudojant MAC adresą, kurį gana lengva suklastoti. Čia į pagalbą ateina Cisco ISE: sistemos pagalba galite pamatyti, kaip įrenginys elgiasi tinkle, susikurti jo profilį ir priskirti jį grupei kitų įrenginių, pavyzdžiui, IP telefonui ir darbo vietai. . Jei užpuolikas bandys suklastoti MAC adresą ir prisijungti prie tinklo, sistema matys, kad įrenginio profilis pasikeitė, praneš apie įtartiną elgesį ir neįsileis įtartino vartotojo į tinklą.
EAP grandinė
EAP grandinės technologija apima nuoseklų veikiančio kompiuterio ir vartotojo abonemento autentifikavimą. Šis atvejis išplito, nes... Daugelis įmonių vis dar neskatina asmeninių darbuotojų įtaisų prijungti prie įmonės LAN. Naudojant šį autentifikavimo metodą, galima patikrinti, ar konkreti darbo vieta yra domeno narė, o jei rezultatas bus neigiamas, vartotojas arba nebus įleistas į tinklą, arba galės įeiti, tačiau su tam tikrais apribojimai.
Puikavimas
Ši byla susijusi su darbo vietos programinės įrangos atitikties informacijos saugos reikalavimams įvertinimu. Naudodami šią technologiją galite patikrinti, ar darbo stotyje atnaujinta programinė įranga, ar joje įdiegtos saugos priemonės, ar sukonfigūruota pagrindinio kompiuterio ugniasienė ir pan. Įdomu tai, kad ši technologija leidžia spręsti ir kitas su saugumu nesusijusias užduotis, pavyzdžiui, patikrinti reikalingų failų buvimą arba įdiegti visos sistemos programinę įrangą.
Retesni „Cisco ISE“ naudojimo atvejai apima prieigos valdymą su galutiniu domeno autentifikavimu (Passive ID), SGT pagrindu pagrįstą mikrosegmentavimą ir filtravimą, taip pat integraciją su mobiliųjų įrenginių valdymo (MDM) sistemomis ir pažeidžiamumo skaitytuvais.
Nestandartiniai projektai: kam dar gali prireikti Cisco ISE, arba 3 reti atvejai iš mūsų praktikos
Prieigos prie Linux pagrindu veikiančių serverių kontrolė
Kartą sprendėme gana nebanalų atvejį vienam iš klientų, kuriems jau buvo įdiegta Cisco ISE sistema: reikėjo rasti būdą, kaip valdyti vartotojų (dažniausiai administratorių) veiksmus serveriuose, kuriuose įdiegta Linux. Ieškodami atsakymo, sugalvojome naudoti nemokamą PAM Radius Module programinę įrangą, kuri leidžia prisijungti prie serverių, kuriuose veikia Linux su autentifikavimu išoriniame spindulio serveryje. Viskas šiuo atžvilgiu būtų gerai, jei ne vienam „bet“: radiuso serveris, siųsdamas atsakymą į autentifikavimo užklausą, pateikia tik paskyros pavadinimą ir rezultatą – vertinti priimtą arba vertinti atmestą. Tuo tarpu autorizacijai Linux sistemoje reikia priskirti dar bent vieną parametrą – namų katalogą, kad vartotojas bent kur patektų. Neradome būdo suteikti tai kaip spindulio atributą, todėl parašėme specialų scenarijų, skirtą nuotoliniu būdu pusautomatiniu režimu sukurti paskyras pagrindiniuose kompiuteriuose. Ši užduotis buvo gana įgyvendinama, nes turėjome reikalų su administratoriaus paskyromis, kurių skaičius nebuvo toks didelis. Tada vartotojai prisijungė prie reikiamo įrenginio, po kurio jiems buvo suteikta reikiama prieiga. Kyla pagrįstas klausimas: ar tokiais atvejais būtina naudoti Cisco ISE? Tiesą sakant, ne – tiks bet kokio spindulio serveris, bet kadangi klientas jau turėjo šią sistemą, tiesiog pridėjome ją nauja funkcija.
LAN aparatinės ir programinės įrangos inventorius
Kažkada dirbome prie projekto, skirto tiekti Cisco ISE vienam klientui be išankstinio „piloto“. Nebuvo jokių aiškių reikalavimų sprendimui, be to, susidūrėme su plokščiu, nesegmentuotu tinklu, o tai apsunkino mūsų užduotį. Projekto metu sukonfigūravome visus įmanomus profiliavimo būdus, kuriuos palaiko tinklas: NetFlow, DHCP, SNMP, AD integraciją ir kt. Dėl to MAR prieiga buvo sukonfigūruota taip, kad būtų galima prisijungti prie tinklo, jei autentifikavimas nepavyktų. Tai yra, net jei autentifikavimas nebuvo sėkmingas, sistema vis tiek leis vartotoją į tinklą, rinks informaciją apie jį ir įrašys ją į ISE duomenų bazę. Šis kelias savaites trukęs tinklo stebėjimas padėjo mums identifikuoti prijungtas sistemas ir neasmeninius įrenginius bei sukurti metodą, kaip juos segmentuoti. Po to papildomai sukonfigūravome paskelbimą, kad darbo stotyse įdiegtų agentą, kad būtų galima rinkti informaciją apie jose įdiegtą programinę įrangą. Koks rezultatas? Pavyko segmentuoti tinklą ir nustatyti programinės įrangos, kurią reikėjo pašalinti iš darbo vietų, sąrašą. Neslėpsiu, kad tolesnės užduotys paskirstyti vartotojus į domenų grupes ir nubrėžti prieigos teises užtruko gana daug laiko, tačiau tokiu būdu gavome pilną vaizdą apie tai, kokią aparatinę įrangą tinkle turi klientas. Beje, tai nebuvo sunku dėl gero profiliavimo iš dėžutės. Na, o kur profiliavimas nepadėjo, žiūrėjome patys, išryškindami jungiklio prievadą, prie kurio buvo prijungta įranga.
Nuotolinis programinės įrangos diegimas darbo vietose
Šis atvejis vienas keisčiausių mano praktikoje. Vieną dieną pas mus atėjo klientas su pagalbos šauksmu – kažkas nutiko diegiant Cisco ISE, viskas sugedo ir niekas kitas negalėjo prisijungti prie tinklo. Pradėjome tai tyrinėti ir sužinojome štai ką. Įmonė turėjo 2000 kompiuterių, kurie, nesant domeno valdiklio, buvo valdomi administratoriaus paskyra. Bendradarbiavimo tikslais organizacija įdiegė Cisco ISE. Reikėjo kažkaip suprasti, ar esamuose kompiuteriuose įdiegta antivirusinė programa, ar atnaujinta programinės įrangos aplinka ir pan. O kadangi IT administratoriai įdiegė tinklo įrangą į sistemą, logiška, kad jie turėjo prieigą prie jos. Pamatę, kaip tai veikia, ir patobulinę savo kompiuterius, administratoriai sugalvojo programinę įrangą darbuotojų darbo vietose įdiegti nuotoliniu būdu, be asmeninių apsilankymų. Įsivaizduokite, kiek žingsnių galite sutaupyti per dieną tokiu būdu! Administratoriai kelis kartus patikrino darbo vietą, ar C:Program Files kataloge nėra konkretaus failo, o jei jo nebuvo, buvo paleistas automatinis taisymas, nurodant nuorodą, vedančią į failų saugyklą, į diegimo .exe failą. Tai leido paprastiems vartotojams eiti į bendrinamą failą ir iš ten atsisiųsti reikiamą programinę įrangą. Deja, administratorius gerai nežinojo ISE sistemos ir sugadino siuntimo mechanizmus – neteisingai surašė politiką, dėl ko kilo problema, kurią sprendžiant buvome įtraukti. Asmeniškai mane nuoširdžiai stebina toks kūrybiškas požiūris, nes sukurti domeno valdiklį būtų daug pigiau ir mažiau darbo jėgos. Tačiau kaip koncepcijos įrodymas jis veikė.
Daugiau apie techninius niuansus, atsirandančius diegiant Cisco ISE, skaitykite mano kolegos straipsnyje .
Artemas Bobrikovas, Jet Infosystems Informacijos saugumo centro projektavimo inžinierius
Afterword:
Nepaisant to, kad šiame įraše kalbama apie Cisco ISE sistemą, aprašytos problemos yra aktualios visai NAC sprendimų klasei. Ne taip svarbu, kurio tiekėjo sprendimą planuojama įgyvendinti – dauguma aukščiau išvardintų liks taikomi.
Šaltinis: www.habr.com