Cik bieži jÅ«s kaut ko iegÄdÄjaties spontÄni, pakļaujoties forÅ”ai reklÄmai, un tad Ŕī sÄkotnÄji vÄlamÄ prece savÄc putekļus skapÄ«, pieliekamajÄ vai garÄÅ¾Ä lÄ«dz nÄkamajai pavasara tÄ«rÄ«Å”anai vai pÄrvÄkÅ”anai? RezultÄts ir vilÅ”anÄs nepamatoto cerÄ«bu un izŔķÄrdÄtas naudas dÄļ. Tas ir daudz sliktÄk, ja tas notiek ar uzÅÄmumu. Ä»oti bieži mÄrketinga triki ir tik labi, ka uzÅÄmumi iegÄdÄjas dÄrgu risinÄjumu, neredzot pilnu tÄ pielietojuma ainu. TikmÄr sistÄmas izmÄÄ£inÄjuma testÄÅ”ana palÄ«dz saprast, kÄ sagatavot infrastruktÅ«ru integrÄcijai, kÄda funkcionalitÄte un apjomÄ jÄievieÅ”. TÄdÄ veidÄ jÅ«s varat izvairÄ«ties no daudzÄm problÄmÄm, kas rodas, izvÄloties produktu āakliā. TurklÄt ievieÅ”ana pÄc kompetenta āpilotaā inženieriem radÄ«s daudz mazÄk iznÄ«cinÄtas nervu Ŕūnas un sirmus matus. Noskaidrosim, kÄpÄc pilottestÄÅ”ana ir tik svarÄ«ga veiksmÄ«gam projektam, izmantojot populÄra rÄ«ka, lai kontrolÄtu piekļuvi korporatÄ«vajam tÄ«klam - Cisco ISE, piemÄru. ApsvÄrsim gan standarta, gan pilnÄ«gi nestandarta iespÄjas, kÄ izmantot risinÄjumu, ar kuru mÄs saskÄrÄmies savÄ praksÄ.
Cisco ISE ā āRadius serveris uz steroÄ«diemā
Cisco Identity Services Engine (ISE) ir platforma piekļuves kontroles sistÄmas izveidei organizÄcijas lokÄlajam tÄ«klam. Ekspertu aprindÄs produkts tika nosaukts par āRadius server on steroidsā tÄ Ä«paŔību dÄļ. KÄpÄc ir tÄ, ka? BÅ«tÄ«bÄ risinÄjums ir Radius serveris, kuram ir pievienots milzÄ«gs skaits papildu servisu un ātrikuā, kas ļauj saÅemt lielu daudzumu kontekstuÄlÄs informÄcijas un iegÅ«to datu kopu izmantot piekļuves politikÄs.
TÄpat kÄ jebkurÅ” cits Radius serveris, Cisco ISE mijiedarbojas ar piekļuves lÄ«meÅa tÄ«kla aprÄ«kojumu, apkopo informÄciju par visiem mÄÄ£inÄjumiem izveidot savienojumu ar korporatÄ«vo tÄ«klu un, pamatojoties uz autentifikÄcijas un autorizÄcijas politikÄm, atļauj vai liedz lietotÄjiem LAN. TaÄu profilÄÅ”anas, ievietoÅ”anas un integrÄcijas iespÄjas ar citiem informÄcijas droŔības risinÄjumiem ļauj bÅ«tiski sarežģīt autorizÄcijas politikas loÄ£iku un tÄdÄjÄdi atrisinÄt diezgan sarežģītas un interesantas problÄmas.
IevieÅ”anu nevar pilotÄt: kÄpÄc jums ir nepiecieÅ”ama pÄrbaude?
PilottestÄÅ”anas vÄrtÄ«ba ir demonstrÄt visas sistÄmas iespÄjas konkrÄtas organizÄcijas konkrÄtajÄ infrastruktÅ«rÄ. Es uzskatu, ka Cisco ISE izmÄÄ£inÄjums pirms ievieÅ”anas sniedz labumu visiem projektÄ iesaistÄ«tajiem, un lÅ«k, kÄpÄc.
Tas sniedz integratoriem skaidru priekÅ”statu par klienta vÄlmÄm un palÄ«dz izveidot pareizu tehnisko specifikÄciju, kas satur daudz vairÄk detaļu nekÄ izplatÄ«tÄ frÄze āpÄrliecinies, ka viss ir kÄrtÄ«bÄā. āPilotsā ļauj izjust visas klienta sÄpes, saprast, kuri uzdevumi viÅam ir prioritÄri un kuri sekundÄri. Mums Ŕī ir lieliska iespÄja jau iepriekÅ” noskaidrot, kÄds aprÄ«kojums tiek izmantots organizÄcijÄ, kÄ notiks ievieÅ”ana, kÄdos objektos, kur tie atrodas utt.
PilottestÄÅ”anas laikÄ klienti redz reÄlo sistÄmu darbÄ«bÄ, iepazÄ«stas ar tÄs saskarni, var pÄrbaudÄ«t, vai tÄ ir saderÄ«ga ar viÅu esoÅ”o aparatÅ«ru, kÄ arÄ« iegÅ«t holistisku izpratni par to, kÄ risinÄjums darbosies pÄc pilnÄ«gas ievieÅ”anas. āPilotsā ir tieÅ”i tas brÄ«dis, kad varat redzÄt visas nepilnÄ«bas, ar kurÄm, iespÄjams, sastapsities integrÄcijas laikÄ, un izlemt, cik licenÄu jums ir jÄiegÄdÄjas.
Kas var āuznirstā āpilotaā laikÄ
TÄtad, kÄ pareizi sagatavoties Cisco ISE ievieÅ”anai? No savas pieredzes esam saskaitÄ«juÅ”i 4 galvenos punktus, kas ir svarÄ«gi Åemt vÄrÄ, veicot sistÄmas pilottestÄÅ”anu.
Formas faktors
PirmkÄrt, jums jÄizlemj, kÄdÄ formas faktorÄ sistÄma tiks ieviesta: fiziska vai virtuÄla augÅ”lÄ«nija. Katrai opcijai ir priekÅ”rocÄ«bas un trÅ«kumi. PiemÄram, fiziskÄs augÅ”lÄ«nijas spÄks ir tÄs paredzamÄ veiktspÄja, taÄu mÄs nedrÄ«kstam aizmirst, ka Å”Ädas ierÄ«ces laika gaitÄ noveco. VirtuÄlÄs lÄ«nijas ir mazÄk paredzamas, jo... ir atkarÄ«gi no aparatÅ«ras, uz kuras tiek izvietota virtualizÄcijas vide, taÄu tiem ir nopietna priekÅ”rocÄ«ba: ja ir pieejams atbalsts, tos vienmÄr var atjauninÄt uz jaunÄko versiju.
Vai jūsu tīkla aprīkojums ir saderīgs ar Cisco ISE?
Protams, ideÄls scenÄrijs bÅ«tu visu iekÄrtu pieslÄgÅ”ana sistÄmai vienlaikus. TomÄr tas ne vienmÄr ir iespÄjams, jo daudzas organizÄcijas joprojÄm izmanto nepÄrvaldÄ«tus slÄdžus vai slÄdžus, kas neatbalsta dažas tehnoloÄ£ijas, kurÄs darbojas Cisco ISE. Starp citu, mÄs nerunÄjam tikai par slÄdžiem, tie var bÅ«t arÄ« bezvadu tÄ«kla kontrolleri, VPN koncentratori un jebkura cita iekÄrta, pie kuras lietotÄji pieslÄdzas. ManÄ praksÄ ir bijuÅ”i gadÄ«jumi, kad pÄc sistÄmas demonstrÄÅ”anas pilnai ievieÅ”anai klients gandrÄ«z visu pieejas lÄ«meÅa slÄdžu parku modernizÄja uz modernÄm Cisco iekÄrtÄm. Lai izvairÄ«tos no nepatÄ«kamiem pÄrsteigumiem, ir vÄrts iepriekÅ” noskaidrot neatbalstÄ«tÄ aprÄ«kojuma Ä«patsvaru.
Vai visas jūsu ierīces ir standarta?
Jebkuram tÄ«klam ir tipiskas ierÄ«ces, ar kurÄm nevajadzÄtu bÅ«t grÅ«ti izveidot savienojumu: darbstacijas, IP tÄlruÅi, Wi-Fi piekļuves punkti, videokameras utt. Bet gadÄs arÄ« nestandarta ierÄ«ces pieslÄgt LAN, piemÄram, RS232/Ethernet kopnes signÄlu pÄrveidotÄjus, nepÄrtrauktÄs baroÅ”anas interfeisus, dažÄdas tehnoloÄ£iskÄs iekÄrtas u.c.. Ir svarÄ«gi iepriekÅ” noteikt Å”Ädu ierÄ«Äu sarakstu. , lai ievieÅ”anas stadijÄ jums jau bÅ«tu izpratne par to, kÄ tehniski tie darbosies ar Cisco ISE.
KonstruktÄ«vs dialogs ar IT speciÄlistiem
Cisco ISE klienti bieži ir droŔības nodaļas, savukÄrt IT nodaļas parasti ir atbildÄ«gas par piekļuves slÄÅa slÄdžu un Active Directory konfigurÄÅ”anu. TÄpÄc produktÄ«va mijiedarbÄ«ba starp droŔības speciÄlistiem un IT speciÄlistiem ir viens no svarÄ«giem nosacÄ«jumiem nesÄpÄ«gai sistÄmas ievieÅ”anai. Ja pÄdÄjie integrÄciju uztver ar naidÄ«gumu, ir vÄrts viÅiem paskaidrot, kÄ risinÄjums bÅ«s noderÄ«gs IT nodaļai.
5 populÄrÄkie Cisco ISE lietoÅ”anas gadÄ«jumi
MÅ«su pieredze liecina, ka nepiecieÅ”amÄ sistÄmas funkcionalitÄte tiek apzinÄta arÄ« pilottestÄÅ”anas posmÄ. TÄlÄk ir norÄdÄ«ti daži no populÄrÄkajiem un retÄk sastopamajiem risinÄjuma lietoÅ”anas gadÄ«jumiem.
DroŔa LAN piekļuve, izmantojot vadu, izmantojot EAP-TLS
KÄ liecina mÅ«su pentestÄtÄju pÄtÄ«jumu rezultÄti, diezgan bieži, lai iekļūtu uzÅÄmuma tÄ«klÄ, uzbrucÄji izmanto parastÄs ligzdas, kurÄm tiek pievienoti printeri, telefoni, IP kameras, Wi-Fi punkti un citas nepersoniskÄs tÄ«kla ierÄ«ces. TÄpÄc, pat ja piekļuve tÄ«klam ir balstÄ«ta uz dot1x tehnoloÄ£iju, bet tiek izmantoti alternatÄ«vi protokoli, neizmantojot lietotÄja autentifikÄcijas sertifikÄtus, pastÄv liela iespÄjamÄ«ba, ka uzbruks veiksmÄ«gi ar sesijas pÄrtverÅ”anu un brutÄlÄ spÄka parolÄm. Cisco ISE gadÄ«jumÄ sertifikÄtu nozagt bÅ«s daudz grÅ«tÄk - Å”im nolÅ«kam hakeriem bÅ«s nepiecieÅ”ama daudz lielÄka skaitļoÅ”anas jauda, āātÄpÄc Ŕī lieta ir ļoti efektÄ«va.
Dual-SSID bezvadu piekļuve
Å Ä« scenÄrija bÅ«tÄ«ba ir izmantot 2 tÄ«kla identifikatorus (SSID). Vienu no tiem var nosacÄ«ti saukt par "viesi". Caur to bezvadu tÄ«klam var piekļūt gan viesi, gan uzÅÄmuma darbinieki. MÄÄ£inot izveidot savienojumu, pÄdÄjie tiek novirzÄ«ti uz Ä«paÅ”u portÄlu, kurÄ notiek nodroÅ”inÄÅ”ana. Tas ir, lietotÄjam tiek izsniegts sertifikÄts un viÅa personÄ«gÄ ierÄ«ce ir konfigurÄta, lai automÄtiski atjaunotu savienojumu ar otro SSID, kas jau izmanto EAP-TLS ar visÄm pirmÄ gadÄ«juma priekÅ”rocÄ«bÄm.
MAC autentifikÄcijas apieÅ”ana un profilÄÅ”ana
VÄl viens populÄrs lietoÅ”anas gadÄ«jums ir automÄtiski noteikt pievienotÄs ierÄ«ces veidu un piemÄrot tai pareizos ierobežojumus. KÄpÄc viÅÅ” ir interesants? Fakts ir tÄds, ka joprojÄm ir diezgan daudz ierÄ«Äu, kas neatbalsta autentifikÄciju, izmantojot 802.1X protokolu. TÄpÄc Å”ÄdÄm ierÄ«cÄm ir jÄļauj piekļūt tÄ«klam, izmantojot MAC adresi, kuru ir diezgan viegli viltot. Å eit palÄ«gÄ nÄk Cisco ISE: ar sistÄmas palÄ«dzÄ«bu jÅ«s varat redzÄt, kÄ ierÄ«ce uzvedas tÄ«klÄ, izveidot tÄs profilu un pieŔķirt to citu ierÄ«Äu grupai, piemÄram, IP tÄlrunim un darbstacijai. . Ja uzbrucÄjs mÄÄ£ina viltot MAC adresi un izveidot savienojumu ar tÄ«klu, sistÄma redzÄs, ka ierÄ«ces profils ir mainÄ«jies, signalizÄs par aizdomÄ«gu rÄ«cÄ«bu un neļaus aizdomÄ«gajam lietotÄjam iekļūt tÄ«klÄ.
EAP Ä·Äde
EAP Ä·Ädes tehnoloÄ£ija ietver darba datora un lietotÄja konta secÄ«gu autentifikÄciju. Å is gadÄ«jums ir kļuvis plaÅ”i izplatÄ«ts, jo... Daudzi uzÅÄmumi joprojÄm nemudina darbinieku personÄ«gos sÄ«krÄ«kus savienot ar korporatÄ«vo LAN. Izmantojot Å”o autentifikÄcijas pieeju, ir iespÄjams pÄrbaudÄ«t, vai konkrÄtÄ darbstacija ir domÄna dalÄ«bnieks, un, ja rezultÄts bÅ«s negatÄ«vs, lietotÄjs vai nu netiks ielaists tÄ«klÄ, vai arÄ« varÄs pieteikties, bet ar noteikti ierobežojumi.
Posting
Å Ä« lieta ir par darbstacijas programmatÅ«ras atbilstÄ«bas informÄcijas droŔības prasÄ«bÄm novÄrtÄÅ”anu. Izmantojot Å”o tehnoloÄ£iju, varat pÄrbaudÄ«t, vai darbstacijas programmatÅ«ra ir atjauninÄta, vai tajÄ ir instalÄti droŔības pasÄkumi, vai ir konfigurÄts resursdatora ugunsmÅ«ris utt. Interesanti, ka Ŕī tehnoloÄ£ija ļauj atrisinÄt arÄ« citus ar droŔību nesaistÄ«tus uzdevumus, piemÄram, pÄrbaudÄ«t nepiecieÅ”amo failu esamÄ«bu vai instalÄt visas sistÄmas programmatÅ«ru.
RetÄk sastopamie Cisco ISE lietoÅ”anas gadÄ«jumi ietver piekļuves kontroli ar tieÅ”u domÄna autentifikÄciju (pasÄ«vo ID), uz SGT balstÄ«tu mikrosegmentÄciju un filtrÄÅ”anu, kÄ arÄ« integrÄciju ar mobilo ierÄ«Äu pÄrvaldÄ«bas (MDM) sistÄmÄm un ievainojamÄ«bas skeneriem.
Nestandarta projekti: kÄpÄc vÄl jums varÄtu bÅ«t nepiecieÅ”ama Cisco ISE vai 3 reti gadÄ«jumi no mÅ«su prakses
Piekļuves kontrole uz Linux balstītiem serveriem
Reiz mÄs risinÄjÄm diezgan nenozÄ«mÄ«gu gadÄ«jumu vienam no klientiem, kuram jau bija ieviesta Cisco ISE sistÄma: mums bija jÄatrod veids, kÄ kontrolÄt lietotÄju (galvenokÄrt administratoru) darbÄ«bas serveros ar instalÄtu Linux. MeklÄjot atbildi, mums radÄs ideja izmantot bezmaksas programmatÅ«ru PAM Radius Module, kas ļauj pieteikties serveros, kuros darbojas Linux, ar autentifikÄciju ÄrÄjÄ rÄdiusa serverÄ«. Viss Å”ajÄ ziÅÄ bÅ«tu labi, ja ne uz vienu ābetā: rÄdiusa serveris, nosÅ«tot atbildi uz autentifikÄcijas pieprasÄ«jumu, dod tikai konta nosaukumu un rezultÄtu - novÄrtÄt pieÅemts vai novÄrtÄt noraidÄ«ts. TikmÄr autorizÄcijai Linux ir jÄpieŔķir vÄl vismaz viens parametrs - mÄjas direktorijs, lai lietotÄjs vismaz kaut kur tiktu. MÄs neatradÄm veidu, kÄ to pieŔķirt kÄ rÄdiusa atribÅ«tu, tÄpÄc mÄs uzrakstÄ«jÄm Ä«paÅ”u skriptu, lai attÄlinÄti izveidotu kontus resursdatoros pusautomÄtiskÄ režīmÄ. Å is uzdevums bija diezgan paveicams, jo mums bija darÄ«Å”ana ar administratoru kontiem, kuru skaits nebija tik liels. PÄc tam lietotÄji pieteicÄs vajadzÄ«gajÄ ierÄ«cÄ, pÄc tam viÅiem tika pieŔķirta nepiecieÅ”amÄ piekļuve. Rodas pamatots jautÄjums: vai Å”Ädos gadÄ«jumos ir nepiecieÅ”ams izmantot Cisco ISE? PatiesÄ«bÄ nÄ ā derÄs jebkurÅ” rÄdiusa serveris, taÄu, tÄ kÄ klientam Ŕī sistÄma jau bija, mÄs tai vienkÄrÅ”i pievienojÄm jaunu funkciju.
Aparatūras un programmatūras uzskaite LAN
MÄs savulaik strÄdÄjÄm pie projekta, lai piegÄdÄtu Cisco ISE vienam klientam bez iepriekÅ”Äja āpilotaā. RisinÄjumam nebija skaidru prasÄ«bu, turklÄt mums bija darÄ«Å”ana ar plakanu, nesegmentÄtu tÄ«klu, kas sarežģīja mÅ«su uzdevumu. Projekta laikÄ mÄs konfigurÄjÄm visas iespÄjamÄs profilÄÅ”anas metodes, kuras tÄ«kls atbalstÄ«ja: NetFlow, DHCP, SNMP, AD integrÄcija utt. RezultÄtÄ MAR piekļuve tika konfigurÄta ar iespÄju pieteikties tÄ«klÄ, ja autentifikÄcija neizdevÄs. Tas ir, pat ja autentifikÄcija nebÅ«tu veiksmÄ«ga, sistÄma tik un tÄ ielaistu lietotÄju tÄ«klÄ, ievÄktu informÄciju par viÅu un ierakstÄ«tu to ISE datubÄzÄ. Å Ä« tÄ«kla uzraudzÄ«ba vairÄku nedÄļu garumÄ palÄ«dzÄja mums identificÄt savienotÄs sistÄmas un nepersoniskÄs ierÄ«ces un izstrÄdÄt pieeju to segmentÄÅ”anai. PÄc tam mÄs papildus konfigurÄjÄm publicÄÅ”anu, lai darbstacijÄs instalÄtu aÄ£entu, lai apkopotu informÄciju par tajÄs instalÄto programmatÅ«ru. KÄds ir rezultÄts? MÄs varÄjÄm segmentÄt tÄ«klu un noteikt programmatÅ«ras sarakstu, kas bija jÄnoÅem no darbstacijÄm. NeslÄpÅ”u, ka turpmÄkie uzdevumi, sadalot lietotÄjus domÄnu grupÄs un nodalot piekļuves tiesÄ«bas, aizÅÄma diezgan daudz laika, taÄu tÄdÄ veidÄ mÄs guvÄm pilnÄ«gu priekÅ”statu par to, kÄda aparatÅ«ra klientam bija tÄ«klÄ. Starp citu, tas nebija grÅ«ti, pateicoties labajam profilÄÅ”anas darbam no kastes. Nu, kur profilÄÅ”ana nepalÄ«dzÄja, paskatÄ«jÄmies paÅ”i, izceļot slÄdža portu, kuram pieslÄgta iekÄrta.
ProgrammatÅ«ras attÄlinÄta instalÄÅ”ana darbstacijÄs
Å is gadÄ«jums ir viens no dÄ«vainÄkajiem manÄ praksÄ. KÄdu dienu pie mums nÄca klients ar saucienu pÄc palÄ«dzÄ«bas ā ievieÅ”ot Cisco ISE, kaut kas nogÄja greizi, viss salÅ«za, un neviens cits nevarÄja piekļūt tÄ«klam. MÄs sÄkÄm to izpÄtÄ«t un noskaidrojÄm sekojoÅ”o. UzÅÄmumam bija 2000 datoru, kuri, ja nebija domÄna kontrollera, tika pÄrvaldÄ«ti ar administratora kontu. Peering nolÅ«kos organizÄcija ieviesa Cisco ISE. VajadzÄja kaut kÄ saprast, vai esoÅ”ajos datoros ir instalÄts antivÄ«russ, vai ir atjauninÄta programmatÅ«ras vide utt. Un, tÄ kÄ IT administratori sistÄmÄ uzstÄdÄ«ja tÄ«kla aprÄ«kojumu, loÄ£iski, ka viÅiem bija piekļuve. PÄc tam, kad bija apskatÄ«juÅ”i, kÄ tas darbojas, un nokÄrtojuÅ”i savus datorus, administratori nÄca klajÄ ar ideju instalÄt programmatÅ«ru darbinieku darbstacijÄs attÄlinÄti, bez personÄ«giem apmeklÄjumiem. IedomÄjieties, cik soļu jÅ«s varat ietaupÄ«t dienÄ Å”ÄdÄ veidÄ! Administratori veica vairÄkas darbstacijas pÄrbaudes, lai noteiktu konkrÄta faila klÄtbÅ«tni direktorijÄ C:Program Files, un, ja tÄ nebija, tika palaists automÄtiskais labojums, sekojot saitei, kas ved uz faila krÄtuvi uz instalÄcijas .exe failu. Tas ļÄva parastajiem lietotÄjiem doties uz failu koplietoÅ”anas vietu un no turienes lejupielÄdÄt nepiecieÅ”amo programmatÅ«ru. DiemžÄl admins slikti pÄrzinÄja ISE sistÄmu un sabojÄja izvietoÅ”anas mehÄnismus - nepareizi uzrakstÄ«ja politiku, kÄ rezultÄtÄ radÄs problÄma, kuras risinÄÅ”anÄ bijÄm iesaistÄ«ti. Es personÄ«gi esmu patiesi pÄrsteigts par tik radoÅ”u pieeju, jo izveidot domÄna kontrolleri bÅ«tu daudz lÄtÄk un mazÄk darbietilpÄ«gi. Bet kÄ koncepcijas pierÄdÄ«jums tas darbojÄs.
VairÄk par tehniskajÄm niansÄm, kas rodas, ievieÅ”ot Cisco ISE, lasiet mana kolÄÄ£a rakstÄ
Artjoms Bobrikovs, Jet Infosystems InformÄcijas droŔības centra projektÄÅ”anas inženieris
PÄcvÄrds:
Neskatoties uz to, ka Å”ajÄ rakstÄ ir runÄts par Cisco ISE sistÄmu, aprakstÄ«tÄs problÄmas attiecas uz visu NAC risinÄjumu klasi. Nav tik svarÄ«gi, kura pÄrdevÄja risinÄjumu plÄnots ieviest ā lielÄkÄ daļa no iepriekÅ” minÄtÄ paliks piemÄrojama.
Avots: www.habr.com