Impiry ianao no mividy zavatra ho azy, manaiky ny dokam-barotra mangatsiatsiaka, ary avy eo ity zavatra tadiavina voalohany ity dia manangona vovoka ao anaty efi-trano, trano fisakafoanana na garazy mandra-pahatongan'ny fanadiovana na hetsika amin'ny lohataona manaraka? Fahadisoam-panantenana noho ny fanantenana tsy ara-drariny sy ny vola very maina no vokany. Ratsy kokoa rehefa mitranga amin'ny orinasa izany. Matetika, ny gimmicks momba ny varotra dia tena tsara ka mividy vahaolana lafo vidy ny orinasa nefa tsy mahita ny sary feno amin'ny fampiharana azy. Mandritra izany fotoana izany, ny fitsapana andrana amin'ny rafitra dia manampy amin'ny fahatakarana ny fomba hanomanana ny fotodrafitrasa ho an'ny fampidirana, inona ny fiasa ary hatraiza no tokony hampiharina. Amin'izany fomba izany dia afaka misoroka olana marobe ianao noho ny fisafidianana ny vokatra "jamba". Ankoatr'izay, ny fampiharana aorian'ny "pilot" mahay dia hitondra ny injeniera tsy dia simba loatra ny sela nerveo sy ny volo fotsy. Andeha hojerentsika ny antony maha-zava-dehibe ny fitsapana mpanamory ho an'ny tetikasa mahomby, amin'ny fampiasana ny ohatra amin'ny fitaovana malaza amin'ny fanaraha-maso ny fidirana amin'ny tambajotra orinasa - Cisco ISE. Andeha hodinihintsika ny safidy manara-penitra sy tsy manara-penitra tanteraka amin'ny fampiasana ny vahaolana izay sendra anay tamin'ny fanaonay.
Cisco ISE - "Server radius amin'ny steroids"
Cisco Identity Services Engine (ISE) dia sehatra iray hamoronana rafitra fanaraha-maso ny fidirana ho an'ny tamba-jotra eo an-toerana an'ny fikambanana. Ao amin'ny vondrom-piarahamonina manam-pahaizana, ny vokatra dia nomena anarana hoe "Radius server on steroids" noho ny fananany. Fa nahoana izany? Amin'ny ankapobeny, ny vahaolana dia ny mpizara Radius, izay misy serivisy fanampiny sy "fitaka" fanampiny napetaka, ahafahanao mahazo fampahalalana be dia be momba ny teny manodidina ary mampihatra ny angon-drakitra vokatr'izany amin'ny politika fidirana.
Tahaka ny mpizara Radius hafa rehetra, ny Cisco ISE dia mifandray amin'ny fitaovana tambajotra amin'ny fidirana, manangona vaovao momba ny fanandramana rehetra mifandray amin'ny tambajotran'ny orinasa ary, mifototra amin'ny politikan'ny fanamarinana sy ny fanomezan-dΓ lana, dia mamela na mandΓ ny mpampiasa amin'ny LAN. Na izany aza, ny mety hisian'ny profiling, fandefasana ary fampidirana amin'ny vahaolana hafa momba ny fiarovana ny vaovao dia ahafahana manasarotra be ny lojikan'ny politikam-panomezana ary mamaha olana sarotra sy mahaliana.
Tsy azo amboarina ny fampiharana: nahoana ianao no mila fitiliana?
Ny sandan'ny fitsapana mpanamory dia mampiseho ny fahaiza-manaon'ny rafitra rehetra amin'ny fotodrafitrasa manokana amin'ny fikambanana manokana. Mino aho fa ny fanaovana pilote ny Cisco ISE alohan'ny fampiharana dia mahasoa ny rehetra mandray anjara amin'ny tetikasa, ary izao no antony.
Izany dia manome hevitra mazava momba ny andrasan'ny mpanjifa sy manampy amin'ny famoronana fepetra ara-teknika marina izay misy antsipiriany bebe kokoa noho ny fehezanteny mahazatra hoe "ataovy ho tsara ny zava-drehetra." Ny "Pilot" dia mamela antsika hahatsapa ny alahelon'ny mpanjifa rehetra, hahatakatra izay asa no laharam-pahamehana ho azy ary iza no faharoa. Ho antsika, izany dia fotoana tsara hamantarana mialoha ny fitaovana ampiasaina ao amin'ny fikambanana, ny fomba hanaovana ny fampiharana, inona no toerana, ny toerana misy azy, sy ny sisa.
Mandritra ny fitsapana mpanamory, ny mpanjifa dia mahita ny tena rafitra miasa, mifankazatra amin'ny interface misy azy, afaka manamarina raha mifanaraka amin'ny fitaovana misy azy izy ireo, ary mahazo fahatakarana feno momba ny fomba fiasan'ny vahaolana aorian'ny fampiharana tanteraka. "Pilot" no fotoana ahafahanao mahita ny fandrika rehetra mety ho tojo anao mandritra ny fampidirana, ary manapa-kevitra hoe firy ny fahazoan-dΓ lana ilainao hividianana.
Inona no mety "mipoitra" mandritra ny "pilot"
Noho izany, ahoana no fomba hiomananao amin'ny fampiharana ny Cisco ISE? Avy amin'ny zavatra niainanay, nanisa hevi-dehibe 4 izay manan-danja hodinihina mandritra ny fitsapana pilotan'ny rafitra.
Factor factor
Voalohany, mila manapa-kevitra ianao hoe inona no endrika hampiharana ny rafitra: upline ara-batana na virtoaly. Ny safidy tsirairay dia manana tombony sy tsy fahampiana. Ohatra, ny tanjaky ny upline ara-batana dia ny fahombiazany azo vinaniana, saingy tsy tokony hohadinointsika fa lasa lany andro ny fitaovana toy izany rehefa mandeha ny fotoana. Tsy dia azo vinavinaina loatra ny upline virtoaly satria... Miankina amin'ny fitaovana ametrahana ny tontolo virtoaly, saingy manana tombony lehibe izy ireo: raha misy ny fanohanana dia azo havaozina hatrany amin'ny dikan-teny farany.
Mifanaraka amin'ny Cisco ISE ve ny fitaovan'ny tambajotranao?
Mazava ho azy fa ny toe-javatra mety indrindra dia ny mampifandray ny fitaovana rehetra amin'ny rafitra indray mandeha. Na izany aza, tsy azo atao foana izany satria maro ny fikambanana mbola mampiasa switch na switch tsy voafehy izay tsy mahazaka ny sasany amin'ireo teknolojian'ny Cisco ISE. Raha ny tokony ho izy, tsy miresaka momba ny switch fotsiny isika, fa mety ho mpanara-maso ny tamba-jotra tsy misy tariby, concentrator VPN ary fitaovana hafa mifandray amin'ny mpampiasa. Ao amin'ny fanazaran-tenako, nisy ny tranga rehefa, taorian'ny nanehoan'ny mpanjifa ny rafitra ho an'ny fampiharana feno, ny mpanjifa dia nanavao saika ny fiaramanidina rehetra amin'ny alΓ lan'ny fidirana amin'ny fitaovana Cisco maoderina. Mba hisorohana ny tsy ampoizina tsy mahafinaritra dia ilaina ny mamantatra mialoha ny ampahany amin'ny fitaovana tsy tohanana.
Manara-penitra ve ny fitaovanao rehetra?
Ny tambajotra rehetra dia manana fitaovana mahazatra izay tsy tokony ho sarotra ny mifandray amin'ny: toeram-piasana, telefaona IP, teboka fidirana Wi-Fi, fakan-tsary video, sy ny sisa. Saingy mitranga ihany koa fa ny fitaovana tsy manara-penitra dia mila mifandray amin'ny LAN, ohatra, RS232/Ethernet bus signal converters, interruptible power supply interfaces, fitaovana teknolojia isan-karazany, sns. Zava-dehibe ny mamaritra mialoha ny lisitry ny fitaovana toy izany. , ka amin'ny dingana fampiharana dia efa azonao ny fomba ara-teknika hiara-miasa amin'ny Cisco ISE.
Dinika manorina miaraka amin'ireo manampahaizana momba ny IT
Ny mpanjifa Cisco ISE dia matetika sampan-draharahan'ny fiarovana, fa ny departemanta IT dia matetika no tompon'andraikitra amin'ny fandrindrana ny switch layer access sy Active Directory. Noho izany, ny fifandraisana mahomby eo amin'ny manam-pahaizana momba ny fiarovana sy ny manam-pahaizana momba ny IT dia iray amin'ireo fepetra manan-danja amin'ny fampiharana tsy misy fanaintainana ny rafitra. Raha hitan'ireto farany ny fampidirana amin'ny fankahalana, dia ilaina ny manazava amin'izy ireo ny fomba hahasoa ny departemanta IT.
Top 5 Cisco ISE tranga fampiasana
Araka ny traikefanay, dia fantatra ihany koa ny fampandehanan-draharaha ilaina amin'ny rafitra amin'ny dingana andrana. Ireto ambany ireto ny sasany amin'ireo tranga fampiasa malaza indrindra sy tsy dia fahita firy amin'ny vahaolana.
Arovy ny fidirana LAN amin'ny tariby miaraka amin'ny EAP-TLS
Araka ny asehon'ny valin'ny fikarohana nataon'ireo pentesters, matetika mba hidirana ao amin'ny tambajotran'ny orinasa iray, ny mpanafika dia mampiasa socket mahazatra izay mampifandray ny mpanonta printy, telefaona, fakantsary IP, teboka Wi-Fi ary fitaovana hafa tsy an'ny tambajotra. Noho izany, na dia mifototra amin'ny teknolojia dot1x aza ny fidirana amin'ny tambajotra, fa ny protocoles hafa dia ampiasaina nefa tsy mampiasa ny mari-pankasitrahana ho an'ny mpampiasa, dia misy ny mety hisian'ny fanafihana mahomby miaraka amin'ny interception session sy ny tenimiafina mahery vaika. Raha ny Cisco ISE, dia ho sarotra kokoa ny hangalatra taratasy fanamarinana - noho izany dia mila hery informatika bebe kokoa ny hackers, noho izany dia tena mandaitra ity tranga ity.
Dual-SSID fidirana an-tariby
Ny votoatin'ity scenario ity dia ny fampiasana identifier tambajotra 2 (SSIDs). Ny iray amin'izy ireo dia azo antsoina hoe "vahiny". Amin'ny alΓ lan'izany dia afaka miditra amin'ny tambajotra tsy misy tariby ny vahiny sy ny mpiasan'ny orinasa. Rehefa manandrana mifandray izy ireo, dia alefa any amin'ny vavahadin-tserasera manokana misy ny famatsiana. Izany hoe, omena certificat ny mpampiasa ary ny fitaovany manokana dia amboarina mba hifandray ho azy amin'ny SSID faharoa, izay efa mampiasa EAP-TLS miaraka amin'ny tombony rehetra amin'ny tranga voalohany.
MAC Authentication Bypass sy Profiling
Fampiasana malaza iray hafa dia ny mamantatra ho azy ny karazana fitaovana mifandray sy mampihatra ny famerana marina amin'izany. Nahoana izy no mahaliana? Ny zava-misy dia mbola be dia be ny fitaovana tsy manohana ny fanamarinana amin'ny alΓ lan'ny protocol 802.1X. Noho izany, ny fitaovana toy izany dia tsy maintsy avela hiditra amin'ny tambajotra amin'ny alΓ lan'ny adiresy MAC, izay tena mora sandoka. Eto no tonga hamonjy ny Cisco ISE: miaraka amin'ny fanampian'ny rafitra, azonao jerena ny fihetsiky ny fitaovana iray ao amin'ny tambajotra, mamorona ny mombamomba azy ary manendry azy amin'ny vondrona fitaovana hafa, ohatra, telefaona IP sy toeram-piasana. . Raha misy mpanafika manandrana mamitaka adiresy MAC ary mifandray amin'ny tambajotra, dia ho hitan'ny rafitra fa niova ny mombamomba ny fitaovana, hanambara fihetsika mampiahiahy ary tsy hamela ilay mpampiasa mampiahiahy hiditra ao amin'ny tambajotra.
EAP-Chaining
Ny teknolojia EAP-Chaining dia misy ny fanamarinana manaraka ny PC miasa sy ny kaonty mpampiasa. Niparitaka be ity raharaha ity satria... Betsaka ny orinasa tsy mamporisika ny hampifandray ny gadget manokana ataon'ny mpiasa amin'ny LAN orinasa. Amin'ny fampiasana an'io fomba fanamarinana io dia azo atao ny manamarina raha mpikambana ao amin'ny sehatra ny toeram-piasana iray manokana, ary raha ratsy ny vokatra, dia tsy mahazo miditra amin'ny tambajotra ny mpampiasa, na afaka miditra, fa miaraka amin'ny fepetra sasany. fameperana.
Posturing
Ity tranga ity dia momba ny fanombanana ny fanarahana ny rindrambaikon'ny toeram-piasana amin'ny fitakiana fiarovana ny vaovao. Amin'ny fampiasana an'io teknolojia io, azonao atao ny manamarina raha nohavaozina ny rindrambaiko ao amin'ny toeram-piasana, na misy fepetra fiarovana napetraka eo aminy, na namboarina ny firewall mpampiantrano, sns. Mahaliana fa ity teknΓ΄lΓ΄jia ity dia ahafahanao mamaha asa hafa tsy mifandraika amin'ny fiarovana, ohatra, manamarina ny fisian'ny rakitra ilaina na ny fametrahana rindrambaiko manerana ny rafitra.
Ny tranga fampiasana tsy dia fahita firy ho an'ny Cisco ISE dia ahitana ny fanaraha-maso ny fidirana miaraka amin'ny fanamarinana domaine end-to-end (Passive ID), micro-segmentation sy sivana mifototra amin'ny SGT, ary koa ny fampidirana amin'ny rafitra fitantanana ny fitaovana finday (MDM) sy ny vulnerability Scanners.
Tetikasa tsy manara-penitra: maninona no ilainao ny Cisco ISE, na tranga 3 tsy fahita firy amin'ny fanaonay
Fanaraha-maso fidirana amin'ireo mpizara mifototra amin'ny Linux
Indray mandeha izahay dia namaha tranga iray tsy dia misy dikany ho an'ny iray amin'ireo mpanjifa izay efa nampihatra ny rafitra Cisco ISE: mila mitady fomba hifehezana ny fihetsiky ny mpampiasa izahay (ny ankamaroan'ny mpitantana) amin'ny lohamilina misy Linux napetraka. Raha mitady valiny izahay dia tonga tamin'ny hevitra hampiasa ny rindrambaiko maimaim-poana PAM Radius Module, izay ahafahanao miditra amin'ireo mpizara mihazakazaka Linux miaraka amin'ny fanamarinana amin'ny mpizara radius ivelany. Ny zava-drehetra amin'ity lafiny ity dia ho tsara, raha tsy ho an'ny iray "fa": ny mpizara radius, mandefa valiny amin'ny fangatahana fanamarinana, dia tsy manome afa-tsy ny anaran'ny kaonty sy ny vokatra - fanombanana ekena na fanombanana nolavina. Mandritra izany fotoana izany, ho an'ny fanomezan-dà lana amin'ny Linux dia mila manendry paramètre iray farafahakeliny ianao - lahatahiry an-trano, mba hahatongavan'ny mpampiasa farafaharatsiny any ho any. Tsy nahita fomba hanomezana izany ho toy ny toetran'ny radius izahay, ka nanoratra script manokana ho an'ny famoronana kaonty lavitra amin'ny mpampiantrano amin'ny fomba semi-automatique. Tena azo natao io asa io, satria niresaka momba ny kaonty mpitantana izahay, izay tsy dia be loatra ny isan'izy ireo. Avy eo, ny mpampiasa dia niditra tao amin'ny fitaovana ilaina, ary avy eo dia nomena ny fidirana ilaina. Mipetraka ny fanontaniana mitombina: ilaina ve ny mampiasa Cisco ISE amin'ny tranga toy izany? Raha ny marina, tsia - izay mpizara radius dia hanao, fa satria efa nanana an'ity rafitra ity ny mpanjifa, dia nanampy endri-javatra vaovao fotsiny izahay.
Inventory ny hardware sy logiciel amin'ny LAN
Indray mandeha izahay dia niasa tamin'ny tetikasa hamatsy ny Cisco ISE ho an'ny mpanjifa iray tsy misy "pilot" mialoha. Tsy nisy fepetra mazava ho an'ny vahaolana, miampy tambajotra fisaka sy tsy mizarazara izahay, izay nanasarotra ny asanay. Nandritra ny tetikasa dia nanamboatra ny fomba fanaovana profiling rehetra izay tohanan'ny tambajotra izahay: NetFlow, DHCP, SNMP, fampidirana AD, sns. Vokatr'izany, ny fidirana MAR dia namboarina miaraka amin'ny fahafahana miditra amin'ny tambajotra raha tsy nahomby ny fanamarinana. Izany hoe, na dia tsy nahomby aza ny fanamarinana, ny rafitra dia mbola mamela ny mpampiasa hiditra ao amin'ny tambajotra, manangona vaovao momba azy ary mirakitra izany ao amin'ny tahiry ISE. Ity fanaraha-maso tambajotra nandritra ny herinandro maromaro ity dia nanampy anay hamantatra ireo rafitra mifandray sy ireo fitaovana tsy an'olon-tokana ary namolavola fomba fiasa hanasokajiana azy ireo. Taorian'izay dia nanamboatra ny fandefasana ihany koa izahay mba hametrahana ilay mpiasa amin'ny toeram-piasana mba hanangonana vaovao momba ny rindrambaiko napetraka ao aminy. Inona no vokany? Afaka nanasokajy ny tambajotra izahay ary namaritra ny lisitry ny rindrambaiko mila esorina amin'ny toeram-piasana. Tsy hanafina aho fa ny asa fanampiny amin'ny fizarana ny mpampiasa ho vondrona sehatra sy ny famaritana ny zon'ny fidirana dia naka fotoana be anay, saingy tamin'izany fomba izany dia nahazo sary feno momba ny fitaovana ananan'ny mpanjifa tao amin'ny tambajotra izahay. Teny an-dalana, tsy sarotra izany noho ny asa tsara ny profiling ivelan'ny boaty. Eny, raha tsy nanampy ny profiling, dia nijery ny tenanay izahay, nanasongadina ny seranan-tsambo izay nampifandray ny fitaovana.
Fametrahana rindrambaiko lavitra amin'ny toeram-piasana
Ity tranga ity dia iray amin'ireo hafahafa indrindra amin'ny fanaoko. Indray andro, nisy mpanjifa tonga niantso vonjy taminay - nisy tsy nety tamin'ny fampiharana ny Cisco ISE, rava ny zava-drehetra, ary tsy nisy olona afaka niditra tao amin'ny tambajotra. Nanomboka nandinika izany izahay ary nahita ireto manaraka ireto. Ny orinasa dia nanana solosaina 2000, izay, raha tsy misy ny domain controller, dia nitantana tamin'ny kaonty administrator. Ho anβny fitsikilovana, nampihatra ny Cisco ISE ny fikambanana. Ilaina ny mahatakatra raha nisy antivirus napetraka tamin'ny PC efa misy, na nohavaozina ny tontolon'ny rindrambaiko, sns. Ary satria ny administratera IT dia nametraka ny fitaovan'ny tambajotra ao amin'ny rafitra, dia lojika ny nahazoan'izy ireo izany. Rehefa avy nahita ny fomba fiasan'izy ireo sy ny fametahana ny PC-n'izy ireo, ny mpitantana dia tonga tamin'ny hevitra hametraka ny rindrambaiko amin'ny toeram-piasan'ny mpiasa lavitra tsy misy fitsidihana manokana. Alaivo sary an-tsaina hoe firy ny dingana azonao vonjena isan'andro amin'ity fomba ity! Ny mpitantana dia nanao fisavana maromaro tamin'ny toeram-piasana noho ny fisian'ny rakitra manokana ao amin'ny lahatahiry C: Program Files, ary raha tsy eo izany, dia natomboka ny fanavaozana mandeha ho azy tamin'ny fanarahana rohy mankany amin'ny fitehirizana rakitra mankany amin'ny rakitra .exe. Izany dia nahafahan'ny mpampiasa tsotra handeha amin'ny fizarana rakitra ary misintona ny rindrambaiko ilaina avy any. Indrisy anefa fa tsy nahafantatra tsara ny rafitra ISE ny admin ary nanimba ny rafitra fandefasana hafatra - diso ny nanoratany ny politika, izay niteraka olana izay nandraisantsika anjara tamin'ny famahana. Izaho manokana dia gaga amin'ny fomba famoronana toy izany, satria ho mora kokoa sy tsy dia mazoto miasa ny famoronana domain controller. Saingy ho porofon'ny hevitra dia nahomby izany.
Vakio bebe kokoa momba ny nuance ara-teknika mipoitra rehefa mampihatra ny Cisco ISE ao amin'ny lahatsoratry ny mpiara-miasa amiko .
Artem Bobrikov, injeniera mpamorona ny Foiben'ny fiarovana ny fampahalalana ao amin'ny Jet Infosystems
afterword:
Na dia eo aza ny zava-misy fa ity lahatsoratra ity dia miresaka momba ny rafitra Cisco ISE, ny olana voalaza dia manan-danja amin'ny kilasy manontolo amin'ny vahaolana NAC. Tsy dia zava-dehibe loatra izay vahaolana ho an'ny mpivarotra nomanina ho fampiharana - ny ankamaroan'ny voalaza etsy ambony dia mbola azo ampiharina.
Source: www.habr.com