E hia nga wa ka hoko noa koe i tetahi mea, ka hinga koe ki tetahi panui hauhautanga, katahi ka kohia e tenei taonga i te tuatahi ka kohia e koe he puehu ki roto i te whare kati, wharekai, karati ranei tae noa ki te horoi, te neke ranei o te puna? Ko te hua ko te pouri na nga tumanakohanga kore tika me nga moni moumou. He kino rawa atu ina pa ana tenei ki tetahi pakihi. I te nuinga o nga wa, he tino pai nga mahi hokohoko ka hokona e nga kamupene he otinga utu nui me te kore e kite i te pikitia katoa o tana tono. I tenei wa, ka awhina nga whakamatautau whakamatautau o te punaha ki te maarama me pehea te whakarite i nga hanganga mo te whakaurunga, he aha te mahi me te whānuitanga me whakatinana. Ma tenei ka taea e koe te karo i te maha o nga raru na te kowhiri i tetahi hua "matapo". Hei taapiri, ko te whakatinanatanga i muri i te "kaiurungi" whai mana ka kawea mai e nga miihini he iti ake te pakaru o nga pūtau nerve me nga makawe hina. Kia mohio tatou he aha te mea nui o te whakamatautau pairati mo te kaupapa angitu, ma te whakamahi i te tauira o tetahi taputapu rongonui hei whakahaere i te uru ki te whatunga umanga - Cisco ISE. Kia whai whakaaro tatou ki nga whiringa paerewa me nga whiringa kore-paerewa katoa mo te whakamahi i te otinga i tutaki ki a maatau mahi.
Cisco ISE - "Radius server on steroids"
Ko Cisco Identity Services Engine (ISE) he papa mo te hanga i tetahi punaha mana uru mo te whatunga rohe rohe o tetahi whakahaere. I roto i te hapori tohunga, i tapaina te hua "Radius server on steroids" mo ona taonga. He aha tera? Ko te mea nui, ko te otinga he tūmau Radius, he maha nga ratonga taapiri me nga "tinihanga" kua piri, ka taea e koe te whiwhi i te nui o nga korero horopaki me te whakamahi i nga huinga raraunga kua puta ki nga kaupapa here uru.
Pērā i ētahi atu tūmau Radius, ka taunekeneke a Cisco ISE me nga taputapu whatunga taumata-uru, ka kohia nga korero mo nga ngana katoa ki te hono atu ki te whatunga umanga, a, i runga i nga kaupapa here motuhēhēnga me te whakamanatanga, ka whakaae, ka whakakahore ranei i nga kaiwhakamahi ki te LAN. Heoi, ko te whai waahi ki te whakaputa korero, te tuku korero me te whakauru ki etahi atu otinga haumarutanga korero ka taea te tino whakararu i te arorau o te kaupapa here whakamana me te whakaoti rapanga uaua me nga raru whakamere.
Ko te whakatinanatanga kaore e taea te whakamatautau: he aha koe ka hiahia ai ki te whakamatautau?
Ko te uara o te whakamatautau pairati ko te whakaatu i nga kaha katoa o te punaha i roto i nga hanganga motuhake o tetahi whakahaere motuhake. E whakapono ana ahau ko te whakamaarama i a Cisco ISE i mua i te whakatinanatanga ka whai hua ki nga tangata katoa e uru ana ki te kaupapa, koinei te take.
Ma tenei ka mohio nga kaiwhakauru ki nga tumanako a te kaihoko me te awhina ki te hanga i tetahi tohu hangarau tika kei roto i nga korero nui atu i te kii noa "kia pai nga mea katoa." Ko te "Pilot" ka taea e tatou te rongo i nga mamae katoa o te kaihoko, ki te mohio ko nga mahi he kaupapa matua ki a ia, ko wai te mea tuarua. Mo matou, he waahi pai tenei ki te mohio i mua he aha nga taputapu e whakamahia ana i roto i te whakahaere, me pehea te whakatinanatanga, i runga i nga waahi, kei hea te waahi, me era atu.
I te wa o te whakamatautau pairati, ka kite nga kaihoko i te punaha tuuturu e mahi ana, kia mohio ki tana atanga, ka taea te tirotiro mena he hototahi ki o raatau taputapu o naianei, me te maarama katoa ki te mahi o te otinga i muri i te whakatinanatanga katoa. Ko te "Pilot" te wa tonu ka kite koe i nga raru katoa ka tupono pea koe i te wa e whakauru ana, me te whakatau e hia nga raihana hei hoko.
He aha te mea ka "pake ake" i te wa o te "kaiurungi"
Na, me pehea e whakarite tika ai koe mo te whakatinana Cisco ISE? Mai i o maatau wheako, kua tatauhia e matou nga kaupapa matua e 4 e tika ana kia whakaarohia i te wa e whakamatautauria ana te punaha.
Te tikanga toenga
Tuatahi, me whakatau e koe he aha te ahua o te punaha ka whakatinanahia: ko te raina-a-tinana, mariko ranei. He painga me nga ngoikoretanga o ia whiringa. Hei tauira, ko te kaha o te upline tinana ko tana mahi e matapaehia ana, engari kaua e wareware kua tawhito haere enei taputapu i roto i te waa. He iti ake te matapaetanga o nga raarangi mariko na te mea... ka whakawhirinaki ki nga taputapu e horahia ana te taiao mariko, engari he tino painga to raatau: mena kei te waatea te tautoko, ka taea tonu te whakahou ki te putanga hou.
He hototahi to taputapu whatunga ki a Cisco ISE?
Ko te tikanga, ko te ahuatanga pai ko te hono i nga taputapu katoa ki te punaha i te wa kotahi. Engari, kaore e taea tenei i nga wa katoa na te mea he maha nga whakahaere kei te whakamahi tonu i nga huringa kaore i te whakahaerehia, i nga huringa ranei kaore i te tautoko i etahi o nga hangarau e whakahaere ana i a Cisco ISE. Ma te ara, ehara i te korero noa mo nga huringa, ka taea ano hoki e ia nga kaiwhakahaere whatunga ahokore, nga kaipatu VPN me etahi atu taputapu e hono ana nga kaiwhakamahi. I roto i aku mahi, i etahi wa, i muri i te whakaatu i te punaha mo te whakatinanatanga katoa, ka whakahouhia e te kaihoko te tata katoa o nga rerenga o nga taumata whakauru ki nga taputapu Cisco hou. Hei karo i nga ohorere kino, he pai ki te rapu i mua i te waahanga o nga taputapu kore tautoko.
He paerewa katoa o taputapu?
Ko nga whatunga he taputapu angamaheni e kore e uaua ki te hono atu ki: nga teihana mahi, nga waea IP, nga waahi uru Wi-Fi, nga kamera ataata, me era atu. Engari ka tupu ano me hono atu nga taputapu kore-paerewa ki te LAN, hei tauira, nga kaitahuri tohu pahi RS232/Ethernet, nga hononga hiko korekore, nga momo taputapu hangarau, me era atu. He mea nui ki te whakatau i te rarangi o aua taputapu i mua , na i te wahanga whakatinanatanga kua mohio kee koe me pehea te mahi hangarau me Cisco ISE.
Te whakawhitiwhiti korero me nga tohunga IT
Ko nga kaihoko a Cisco ISE he tari haumaru, engari ko nga tari IT te tikanga mo te whirihora i nga huringa paparanga uru me te Active Directory. Na reira, ko te taunekeneke whai hua i waenga i nga tohunga haumaru me nga tohunga IT ko tetahi o nga tikanga nui mo te whakatinanatanga kore mamae o te punaha. Mena ka kite te hunga o muri ki te whakauru ki te riri, he pai te whakamarama ki a raatau me pehea te whai hua o te otinga ki te tari IT.
Top 5 Cisco ISE take whakamahi
I roto i o maatau wheako, ko nga mahi e hiahiatia ana o te punaha ka tohua ano i te waahanga whakamatautau. Kei raro nei etahi o nga keehi tino rongonui me te iti ake te whakamahi mo te otinga.
Whakamaua te urunga LAN ki runga waea me te EAP-TLS
E ai ki nga hua o nga rangahau a o taatau penetesters, he maha nga wa ki te kuhu ki te whatunga o te kamupene, ka whakamahia e nga kaiwhaiwhai nga turanga noa e hono ai nga kaituhi, waea, kamera IP, Wi-Fi me etahi atu taputapu whatunga kore-whaiaro. No reira, ahakoa ko te uru ki te whatunga i runga i te hangarau dot1x, engari ka whakamahia nga tikanga rereke me te kore e whakamahi i nga tiwhikete whakamotuhēhēnga kaiwhakamahi, he nui te tūponotanga o te whakaeke angitu me te haukoti i te huihuinga me nga kupu huna. I roto i te take o Cisco ISE, ka nui ake te uaua ki te tahae i tetahi tiwhikete - mo tenei, ka nui ake te kaha o te rorohiko ki nga kaiwhaiwhai, no reira he tino whai hua tenei keehi.
Takirua-SSID uru ahokore
Ko te ngako o tenei ahuatanga ko te whakamahi i nga tohu whatunga e 2 (SSID). Ko tetahi o ratou ka kiia he "manuhiri". Na roto i tenei, ka taea e nga manuhiri me nga kaimahi o te kamupene te uru atu ki te whatunga ahokore. Ka ngana ana ratou ki te hono atu, ka tukuna atu te hunga o muri ki tetahi tauranga motuhake kei reira nga whakaritenga. Arā, ka tukuna he tiwhikete ki te kaiwhakamahi, ka whirihorahia tana taputapu whaiaro ki te hono aunoa ki te SSID tuarua, kua whakamahia e ia te EAP-TLS me nga painga katoa o te keehi tuatahi.
MAC Authentication Bypass and Profiling
Ko tetahi atu take rongonui ko te kimi aunoa i te momo taputapu e hono ana me te whakamahi i nga here tika. He aha ia he mea whakamere? Ko te meka he maha tonu nga taputapu kaore i te tautoko i te motuhēhēnga ma te whakamahi i te kawa 802.1X. No reira, ko enei taputapu me tuku ki runga i te whatunga ma te whakamahi i te wahitau MAC, he tino ngawari ki te rūpahu. Koinei te waahi ka tae mai a Cisco ISE ki te whakaora: ma te awhina o te punaha, ka taea e koe te kite me pehea te mahi a te taputapu i runga i te whatunga, te hanga i tana tohu me te tohatoha ki tetahi roopu o etahi atu taputapu, hei tauira, he waea IP me te teihana mahi. . Mena ka ngana te kaitukino ki te tinihanga i tetahi wahitau MAC me te hono atu ki te whatunga, ka kite te punaha kua huri te ahua o te taputapu, ka tohu i te whanonga hihira, ka kore e tuku i te kaiwhakamahi hihira ki te whatunga.
EAP-Chaining
Ko te hangarau EAP-Chaining he whakamotuhēhēnga raupapa o te PC mahi me te pūkete kaiwhakamahi. Kua horapa nui tenei keehi na te mea... He maha nga kamupene kaore i te akiaki ki te hono i nga taputapu whaiaro a nga kaimahi ki te LAN umanga. Ma te whakamahi i tenei huarahi ki te motuhēhēnga, ka taea te tirotiro mena he mema o te rohe tetahi teihana mahi motuhake, a, ki te he kino te hua, ka kore te kaiwhakamahi e whakaae ki te whatunga, ka uru ranei, engari me etahi here.
Te tū
Ko tenei keehi e pa ana ki te aromatawai i te tutukitanga o te rorohiko teihana mahi me nga whakaritenga haumarutanga korero. Ma te whakamahi i tenei hangarau, ka taea e koe te tirotiro mena kei te whakahouhia te raupaparorohiko i runga i te teihana mahi, mena kua whakauruhia nga tikanga haumaru ki runga, mena kua whirihorahia te papangaahi kaihautu, aha atu. He mea whakamiharo, ma tenei hangarau ka taea e koe te whakaoti i etahi atu mahi kaore e pa ana ki te haumarutanga, hei tauira, te tirotiro i te waahi o nga konae e tika ana, te whakauru ranei i nga punaha punaha-whanui.
He iti ake nga keehi whakamahi mo Cisco ISE ko te mana uru me te whakamotuhēhēnga rohe mutunga-ki-mutunga (Passive ID), te wehewehenga moroiti me te tātari SGT, me te whakauru ki nga punaha whakahaere taputapu pūkoro (MDM) me nga Matawai Whakaraerae.
Kaupapa kore-paerewa: he aha atu pea ka hiahia koe ki a Cisco ISE, kia 3 nga keehi onge mai i a maatau mahi
Te mana uru ki nga tūmau-a-Linux
I te wa i whakatauhia e matou tetahi keehi tino kore noa mo tetahi o nga kaihoko kua oti te punaha Cisco ISE kua whakatinanahia: me rapu huarahi ki te whakahaere i nga mahi a nga kaiwhakamahi (te nuinga o nga kaiwhakahaere) i runga i nga kaitoro kua whakauruhia a Linux. I te rapu whakautu, i puta mai te whakaaro ki te whakamahi i te punaha PAM Radius Module koreutu, e taea ai e koe te takiuru ki nga kaitoro e whakahaere ana i te Linux me te whakamotuhēhē i runga i te tūmau radius o waho. Ko nga mea katoa e pa ana ki tenei ahuatanga ka pai, mena ehara i te mea kotahi "engari": ko te radius server, te tuku urupare ki te tono motuhēhēnga, ka hoatu anake te ingoa kaute me te hua - te aromatawai i whakaaetia, i te aromatawai ranei kua paopaohia. I tenei wa, mo te whakamanatanga i roto i te Linux, me tohu e koe kia kotahi atu tawhā - te raarangi kaainga, kia tae atu ai te kaiwhakamahi ki tetahi waahi. Kaore i kitea e matou he huarahi ki te hoatu i tenei hei huanga radius, no reira i tuhia e matou he tuhinga motuhake mo te hanga i nga kaute mo nga kaihautu i roto i te aratau ahua-aunoa. I tino taea tenei mahi, i te mea e mahi ana matou ki nga kaute a te kaiwhakahaere, kaore i tino nui te maha. I muri mai, ka uru nga kaiwhakamahi ki te taputapu e hiahiatia ana, i muri mai ka whakawhiwhia ki a raatau te urunga e tika ana. Ka puta ake he patai whaitake: he mea tika ki te whakamahi Cisco ISE i roto i enei keehi? Inaa, kaore - ka mahia e tetahi tūmau radius, engari i te mea kei te kaihoko tenei punaha, ka taapirihia e matou he waahanga hou.
Te rarangi o nga taputapu me nga rorohiko i runga i te LAN
I mahi matou i tetahi kaupapa ki te tuku Cisco ISE ki tetahi kaihoko kaore he "kaiurungi" tuatahi. Karekau he whakaritenga marama mo te otinga, me te mahi i tetahi whatunga papatahi, kore-waahanga, i whakararu i ta maatau mahi. I te wa o te kaupapa, i whirihorahia e matou nga tikanga whakaputa korero katoa e taea ana e te whatunga: NetFlow, DHCP, SNMP, AD integration, etc. Ko te mutunga, i whirihorahia te urunga MAR me te kaha ki te takiuru ki te whatunga mena ka rahua te motuhēhēnga. Arā, ahakoa kaore i angitu te whakamotuhēhēnga, ka tukuna tonu e te punaha te kaiwhakamahi ki roto i te whatunga, ka kohia nga korero mo ia ka tuhia ki te papaarangi ISE. Ko tenei aroturuki whatunga i roto i nga wiki maha i awhina i a maatau ki te tautuhi i nga punaha hono me nga taputapu kore-whaiaro me te whakawhanake i tetahi huarahi ki te wehe i a raatau. Whai muri i tenei, i whirihora ano matou i te panui ki te whakauru i te kaihoko ki runga i nga teihana mahi hei kohikohi korero mo te rorohiko i whakauruhia ki runga. He aha te hua? I taea e matou te wehewehe i te whatunga me te whakatau i te rarangi o nga rorohiko e tika ana kia tangohia mai i nga teihana mahi. E kore ahau e huna ko etahi atu mahi o te tohatoha i nga kaiwhakamahi ki nga roopu rohe me te tarai i nga mana uru i roa te waa, engari na tenei huarahi i tino whakaahuahia he aha nga taputapu a te kaihoko i runga i te whatunga. Ma te ara, ehara tenei i te uaua na te pai o te mahi ki te whakaputa i waho o te pouaka. Ana, ki te kore e awhina te korero, ka titiro matou ki a matou ano, me te whakaatu i te tauranga whakawhiti i hono ai nga taputapu.
Ko te whakaurunga mamao o te rorohiko ki nga teihana mahi
Ko tenei keehi tetahi o nga mea rereke i roto i aku mahi. I tetahi ra, ka tae mai tetahi kaihoko ki a matou me te tangi mo te awhina - kua he tetahi mea i te wa e whakatinanahia ana a Cisco ISE, kua pakaru nga mea katoa, a kaore tetahi atu e uru ki te whatunga. I timata matou ki te tirotiro ka kitea nga mea e whai ake nei. He 2000 nga rorohiko a te kamupene, i te mea kaore he kaiwhakahaere rohe, i whakahaerehia i raro i te kaute kaiwhakahaere. Mo te kaupapa o te titiro, i whakatinanahia e te whakahaere a Cisco ISE. He mea tika kia maarama mena kua whakauruhia he wheori ki runga i nga PC o naianei, mena kua whakahoutia te taiao rorohiko, aha atu. A, i te mea kua whakauruhia e nga kaiwhakahaere IT nga taputapu whatunga ki roto i te punaha, he tika te uru atu ki a raatau. Whai muri i tana kitenga me pehea te mahi me te whakakii i o raatau PC, ka puta te whakaaro o nga kaiwhakahaere ki te whakauru i te rorohiko ki runga i nga teihana mahi a nga kaimahi i tawhiti me te kore e toro atu. Whakaarohia te maha o nga hikoi ka taea e koe te penapena i ia ra penei! He maha nga tirotiro a nga kaiwhakahaere o te teihana mahi mo te ahua o tetahi konae motuhake i roto i te raarangi C:Program Files, a ki te ngaro, i whakarewahia te whakatikatika aunoa ma te whai i tetahi hononga e arahi ana ki te rokiroki konae ki te konae .exe whakaurunga. Na tenei ka taea e nga kaiwhakamahi noa te haere ki te tiritahi konae me te tango i nga punaha e tika ana mai i reira. Ko te mea pouri, kaore te kaiwhakahaere i tino mohio ki te punaha ISE me te pakaru i nga tikanga tuku - he he tana tuhi i te kaupapa here, i puta he raruraru i uru atu matou ki te whakaoti. Ko ahau ake, ka tino miharo ahau ki taua huarahi auaha, na te mea he iti ake te utu me te iti ake o te mahi ki te hanga i tetahi kaiwhakahaere rohe. Engari hei Tohu o te ariā i whai hua.
Pānuihia atu mo nga ahuatanga hangarau ka puta i te wa e whakatinanahia ana a Cisco ISE i roto i te tuhinga a taku hoa mahi .
Artem Bobrikov, he miihini hoahoa o te Pokapū Haumarutanga Korero i Jet Infosystems
Afterword:
Ahakoa te korero o tenei pou mo te punaha Cisco ISE, ko nga raru e whakaahuahia ana e tika ana mo te akomanga katoa o nga otinga NAC. Ehara i te mea nui ko te otinga a te kaihoko kua whakamaheretia hei whakatinana - ko te nuinga o nga mea o runga ake nei ka mau tonu.
Source: will.com