Та хэр олон удаа аяндаа ямар нэг зүйлийг худалдаж авч, дажгүй сурталчилгаанд автаж, дараа нь дараагийн хаврын цэвэрлэгээ, нүүх хүртэл анхны хүссэн зүйл нь шүүгээ, агуулах, гаражид тоос цуглуулдаг вэ? Үр дүн нь үндэслэлгүй хүлээлт, үрэлгэн мөнгө зэргээс болж урам хугарах явдал юм. Энэ нь бизнест тохиолдоход хамаагүй муу юм. Ихэнхдээ маркетингийн заль мэх нь маш сайн байдаг тул компаниуд түүний хэрэглээний бүх зургийг харахгүйгээр үнэтэй шийдлийг худалдаж авдаг. Үүний зэрэгцээ системийн туршилтын туршилт нь дэд бүтцийг нэгтгэхэд хэрхэн бэлтгэх, ямар функциональ байдал, хэр зэрэг хэрэгжүүлэх ёстойг ойлгоход тусалдаг. Ингэснээр та "сохроор" бүтээгдэхүүнийг сонгохдоо олон тооны асуудлаас зайлсхийх боломжтой. Нэмж дурдахад, чадварлаг "нисгэгч" -ийн дараа хэрэгжүүлэх нь инженерүүдэд мэдрэлийн эсүүд, саарал үсийг бага устгадаг. Корпорацийн сүлжээнд нэвтрэх эрхийг хянах түгээмэл хэрэгсэл болох Cisco ISE-ийн жишээг ашиглан туршилтын туршилт яагаад амжилттай төсөл хэрэгжүүлэхэд чухал болохыг олж мэдье. Бидний практикт тулгарч байсан шийдлийг ашиглах стандарт болон бүрэн стандарт бус хувилбаруудыг авч үзье.
Cisco ISE - "Стероид дээрх радиус сервер"
Cisco Identity Services Engine (ISE) нь байгууллагын дотоод сүлжээнд нэвтрэх хяналтын системийг бий болгох платформ юм. Шинжээчдийн дунд уг бүтээгдэхүүнийг шинж чанараараа “Стероид дээрх радиус сервер” гэж хочилдог байв. Яагаад тэр вэ? Үндсэндээ энэ шийдэл нь маш олон тооны нэмэлт үйлчилгээ, "заль мэх" -ийг хавсаргасан Radius сервер бөгөөд контекстийн мэдээллийг их хэмжээгээр хүлээн авч, үр дүнгийн багц өгөгдлийг хандалтын бодлогод ашиглах боломжийг олгодог.
Бусад Radius серверийн нэгэн адил Cisco ISE нь хандалтын түвшний сүлжээний төхөөрөмжтэй харилцаж, корпорацийн сүлжээнд холбогдох бүх оролдлогын талаарх мэдээллийг цуглуулж, баталгаажуулалт, зөвшөөрлийн бодлогод үндэслэн хэрэглэгчдэд LAN-д нэвтрэхийг зөвшөөрдөг эсвэл үгүйсгэдэг. Гэсэн хэдий ч мэдээллийн аюулгүй байдлын бусад шийдлүүдийг танилцуулах, байршуулах, нэгтгэх боломж нь зөвшөөрлийн бодлогын логикийг ихээхэн хүндрүүлж, улмаар нэлээд төвөгтэй, сонирхолтой асуудлыг шийдвэрлэх боломжийг олгодог.
Хэрэгжилтийг турших боломжгүй: яагаад танд туршилт хэрэгтэй байна вэ?
Туршилтын туршилтын үнэ цэнэ нь тухайн байгууллагын тодорхой дэд бүтцэд системийн бүх чадавхийг харуулах явдал юм. Хэрэгжүүлэхээс өмнө Cisco ISE-г турших нь төсөлд оролцож буй бүх хүмүүст ашигтай гэдэгт би итгэдэг, яагаад гэдгийг эндээс харж болно.
Энэ нь интеграторуудад хэрэглэгчийн хүлээлтийн талаар тодорхой ойлголт өгч, "бүх зүйл сайн байгаа эсэхийг шалгаарай" гэсэн нийтлэг хэллэгээс хамаагүй илүү дэлгэрэнгүй мэдээллийг агуулсан зөв техникийн тодорхойлолтыг бий болгоход тусалдаг. "Нисгэгч" нь үйлчлүүлэгчийн бүх зовлон зүдгүүрийг мэдэрч, түүний хувьд аль ажил нь нэн тэргүүнд, аль нь хоёрдугаарт байгааг ойлгох боломжийг олгодог. Бидний хувьд энэ нь байгууллагад ямар тоног төхөөрөмж ашигладаг, хэрэгжилт хэрхэн явагдах, ямар сайтууд, хаана байрладаг гэх мэтийг урьдчилан тодорхойлох сайхан боломж юм.
Туршилтын явцад хэрэглэгчид бодит системийг ажиллаж байгааг харж, түүний интерфейстэй танилцаж, одоо байгаа техник хангамжид нийцэж байгаа эсэхийг шалгаж, бүрэн хэрэгжүүлсний дараа шийдэл хэрхэн ажиллах талаар цогц ойлголттой болно. "Нисгэгч" бол интеграцийн явцад тулгарч болох бүх бэрхшээлийг харж, хэдэн лиценз худалдаж авахаа шийдэх мөч юм.
"Нисгэгч" үед юу "цэцэж" болох вэ
Тэгэхээр та Cisco ISE-г хэрэгжүүлэхэд хэрхэн зөв бэлтгэх вэ? Бид өөрсдийн туршлагаас харахад системийн туршилтын туршилтын явцад анхаарах чухал 4 гол зүйлийг тооцсон.
Маягт хүчин зүйл
Эхлээд та системийг ямар хэлбэрийн хүчин зүйлээр хэрэгжүүлэхийг шийдэх хэрэгтэй: физик эсвэл виртуал шугам. Сонголт бүр давуу болон сул талуудтай. Жишээлбэл, биеийн дээд шугамын хүч чадал нь түүний урьдчилан таамаглах боломжтой гүйцэтгэл боловч ийм төхөөрөмжүүд цаг хугацааны явцад хуучирдаг гэдгийг мартаж болохгүй. Виртуал шугамыг урьдчилан таамаглах боломжгүй, учир нь... Виртуалчлалын орчинг байрлуулсан техник хангамжаас хамаардаг боловч тэдгээр нь ноцтой давуу талтай: хэрэв дэмжлэг байгаа бол тэдгээрийг үргэлж хамгийн сүүлийн хувилбар руу шинэчлэх боломжтой.
Таны сүлжээний төхөөрөмж Cisco ISE-тэй нийцэж байна уу?
Мэдээжийн хэрэг, хамгийн тохиромжтой хувилбар бол бүх төхөөрөмжийг нэг дор системд холбох явдал юм. Гэсэн хэдий ч олон байгууллага Cisco ISE-г ажиллуулдаг зарим технологиудыг дэмждэггүй удирдлагагүй свич эсвэл унтраалга ашигладаг хэвээр байгаа тул энэ нь үргэлж боломжгүй байдаг. Дашрамд хэлэхэд, бид зөвхөн унтраалгын тухай яриагүй бөгөөд энэ нь утасгүй сүлжээний хянагч, VPN баяжуулагч болон хэрэглэгчдийн холбогдох бусад төхөөрөмж байж болно. Миний практикт системийг бүрэн хэрэгжүүлэхийн тулд хэрэглэгчдэд үзүүлсний дараа хандалтын түвшний шилжүүлэгчийн бараг бүх флотыг орчин үеийн Cisco төхөөрөмж болгон шинэчилсэн тохиолдол гарч байсан. Тааламжгүй гэнэтийн зүйлээс зайлсхийхийн тулд дэмжигдээгүй тоног төхөөрөмжийн эзлэх хувийг урьдчилан олж мэдэх нь зүйтэй.
Таны бүх төхөөрөмж стандарт уу?
Аливаа сүлжээнд холбогдоход хэцүү биш ердийн төхөөрөмжүүд байдаг: ажлын станц, IP утас, Wi-Fi хандалтын цэг, видео камер гэх мэт. Гэхдээ стандарт бус төхөөрөмжүүдийг LAN сүлжээнд холбох шаардлагатай болдог, жишээлбэл, RS232/Ethernet автобусны дохио хувиргагч, тасралтгүй тэжээлийн интерфейс, янз бүрийн технологийн тоног төхөөрөмж гэх мэт. Ийм төхөөрөмжүүдийн жагсаалтыг урьдчилан тодорхойлох нь чухал юм. , ингэснээр хэрэгжүүлэх шатанд та Cisco ISE-тэй техникийн хувьд хэрхэн ажиллах талаар ойлголттой болсон байна.
Мэдээллийн технологийн мэргэжилтнүүдтэй бүтээлч яриа хэлэлцээ хийх
Cisco ISE-ийн хэрэглэгчид ихэвчлэн аюулгүй байдлын хэлтэс байдаг бол мэдээллийн технологийн хэлтэс нь ихэвчлэн хандалтын түвшний шилжүүлэгч болон Active Directory-ийг тохируулах үүрэгтэй. Тиймээс аюулгүй байдлын мэргэжилтнүүд болон мэдээллийн технологийн мэргэжилтнүүдийн үр бүтээлтэй харилцан үйлчлэл нь системийг өвдөлтгүй хэрэгжүүлэх чухал нөхцлүүдийн нэг юм. Хэрэв сүүлийнх нь интеграцчлалыг дайсагнасан гэж үзэж байгаа бол энэ шийдэл нь мэдээллийн технологийн хэлтэст хэрхэн ашигтай болохыг тэдэнд тайлбарлах нь зүйтэй.
Cisco ISE хэрэглээний шилдэг 5 тохиолдол
Бидний туршлагаас харахад системийн шаардлагатай функцийг туршилтын туршилтын үе шатанд тодорхойлсон байдаг. Шийдэлд ашиглах хамгийн түгээмэл, бага түгээмэл тохиолдлуудыг доор харуулав.
EAP-TLS-ээр утсаар LAN-д нэвтрэх аюулгүй байдлыг хангана
Манай pentesters-ийн судалгааны үр дүнгээс харахад халдагчид ихэвчлэн компанийн сүлжээнд нэвтрэхийн тулд принтер, утас, IP камер, Wi-Fi цэгүүд болон бусад хувийн сүлжээний төхөөрөмжүүдийг холбосон энгийн залгууруудыг ашигладаг. Иймээс сүлжээний хандалт нь dot1x технологи дээр суурилдаг ч хэрэглэгчийн баталгаажуулалтын гэрчилгээг ашиглахгүйгээр өөр протоколуудыг ашигладаг байсан ч сессийг таслан зогсоох, бүдүүлэг нууц үг ашиглан халдлага амжилттай болох магадлал өндөр байдаг. Cisco ISE-ийн хувьд гэрчилгээ хулгайлах нь илүү хэцүү байх болно - үүний тулд хакеруудад илүү их тооцоолох хүч хэрэгтэй болно, тиймээс энэ хэрэг маш үр дүнтэй байдаг.
Хос SSID утасгүй холболт
Энэ хувилбарын мөн чанар нь 2 сүлжээ танигч (SSID) ашиглах явдал юм. Тэдний нэгийг болзолтойгоор "зочин" гэж нэрлэж болно. Түүгээр дамжуулан зочид болон компанийн ажилтнууд утасгүй сүлжээнд нэвтрэх боломжтой. Тэд холбогдохыг оролдох үед сүүлийнх нь бэлтгэл хангадаг тусгай портал руу дахин чиглэгддэг. Өөрөөр хэлбэл, хэрэглэгчдэд гэрчилгээ олгож, түүний хувийн төхөөрөмжийг эхний тохиолдлын бүх давуу талуудтай EAP-TLS ашигладаг хоёр дахь SSID-д автоматаар дахин холбохоор тохируулсан болно.
MAC нэвтрэлт танилтыг тойрч гарах ба профайл үүсгэх
Өөр нэг түгээмэл хэрэглээний тохиолдол бол холбогдсон төхөөрөмжийн төрлийг автоматаар илрүүлж, түүнд зөв хязгаарлалт тавих явдал юм. Тэр яагаад сонирхолтой юм бэ? Баримт нь 802.1X протоколыг ашиглан баталгаажуулалтыг дэмждэггүй маш олон төхөөрөмж байсаар байна. Тиймээс ийм төхөөрөмжүүдийг MAC хаягаар сүлжээнд оруулах шаардлагатай байдаг бөгөөд үүнийг хуурамчаар үйлдэх нь маш хялбар байдаг. Энэ бол Cisco ISE аврах ажилд ирдэг: системийн тусламжтайгаар та төхөөрөмж сүлжээнд хэрхэн ажиллаж байгааг харж, түүний профайлыг үүсгэж, IP утас, ажлын станц гэх мэт бусад төхөөрөмжүүдийн бүлэгт хуваарилах боломжтой. . Хэрэв халдагчид MAC хаягийг хууран сүлжээнд холбогдохыг оролдвол систем нь төхөөрөмжийн профайл өөрчлөгдсөнийг харж, сэжигтэй үйлдлийн дохио өгч, сэжигтэй хэрэглэгчийг сүлжээнд оруулахгүй.
EAP-гинжин хэлхээ
EAP-Chaining технологи нь ажиллаж байгаа компьютер болон хэрэглэгчийн бүртгэлийг дараалан баталгаажуулдаг. Энэ хэрэг нэлээд газар авсан учраас... Олон компаниуд ажилчдынхаа хувийн хэрэгслийг байгууллагын LAN сүлжээнд холбохыг дэмжээгүй хэвээр байна. Баталгаажуулалтын энэ аргыг ашиглан тодорхой ажлын станц нь домэйны гишүүн эсэхийг шалгах боломжтой бөгөөд үр дүн нь сөрөг байвал хэрэглэгч сүлжээнд орохыг зөвшөөрөхгүй, эсвэл нэвтрэх боломжтой болно. тодорхой хязгаарлалтууд.
Биеийн байрлал
Энэ хэрэг нь ажлын станцын программ хангамж нь мэдээллийн аюулгүй байдлын шаардлагад нийцэж байгаа эсэхийг үнэлэх явдал юм. Энэ технологийг ашиглан та ажлын станц дээрх програм хангамж шинэчлэгдсэн эсэх, аюулгүй байдлын арга хэмжээ суулгасан эсэх, хост галт хана тохируулагдсан эсэх гэх мэтийг шалгах боломжтой. Сонирхолтой нь, энэ технологи нь аюулгүй байдалтай холбоогүй бусад ажлуудыг шийдвэрлэх боломжийг олгодог, жишээлбэл, шаардлагатай файл байгаа эсэхийг шалгах эсвэл системийн хэмжээний програм хангамжийг суулгах гэх мэт.
Cisco ISE-ийн хэрэглээ багатай тохиолдлуудад төгсгөл хоорондын домэйн баталгаажуулалт (Идэвхгүй ID), SGT-д суурилсан микро сегментчлэл, шүүлтүүр, түүнчлэн хөдөлгөөнт төхөөрөмжийн удирдлагын (MDM) системүүд болон эмзэг байдлын сканнеруудтай нэгтгэх зэрэг орно.
Стандарт бус төслүүд: өөр яагаад танд Cisco ISE хэрэгтэй байж болох вэ, эсвэл манай практикт 3 ховор тохиолдол
Линукс дээр суурилсан серверт нэвтрэх хяналт
Нэгэнт бид Cisco ISE системийг аль хэдийн хэрэгжүүлсэн үйлчлүүлэгчдийн нэгнийх нь хувьд тийм ч ач холбогдолгүй асуудлыг шийдэж байсан: Линукс суулгасан серверүүд дээр хэрэглэгчийн үйлдлийг (ихэвчлэн администраторууд) хянах арга замыг олох хэрэгтэй болсон. Хариултыг хайж байхдаа бид гадаад радиус сервер дээр нэвтрэлт танилтаар Линукс ажиллаж байгаа серверт нэвтрэх боломжийг олгодог үнэгүй PAM Radius Module програм хангамжийг ашиглах санааг олж авлаа. Үүнтэй холбоотой бүх зүйл сайн байх болно, хэрэв нэг "гэхдээ" биш бол: радиусын сервер нь баталгаажуулалтын хүсэлтэд хариу илгээж, зөвхөн дансны нэр, үр дүнг өгдөг - хүлээн зөвшөөрсөн эсвэл татгалзсаныг үнэлнэ. Үүний зэрэгцээ, Линукс дээр зөвшөөрөл авахын тулд та дор хаяж нэг параметрийг - гэрийн лавлахыг зааж өгөх хэрэгтэй бөгөөд ингэснээр хэрэглэгч дор хаяж хаа нэгтээ очих болно. Бид үүнийг радиусын шинж чанар болгон өгөх арга замыг олоогүй тул бид хагас автомат горимд хостууд дээр алсаас данс үүсгэх тусгай скрипт бичсэн. Бид администраторын данстай харьцаж байсан тул тоо нь тийм ч их биш байсан тул энэ даалгавар нэлээд боломжтой байсан. Дараа нь хэрэглэгчид шаардлагатай төхөөрөмж рүү нэвтэрч, дараа нь шаардлагатай хандалтыг өгсөн. Үндэслэлтэй асуулт гарч ирнэ: ийм тохиолдолд Cisco ISE ашиглах шаардлагатай юу? Үнэн хэрэгтээ үгүй - ямар ч радиус сервер хийх болно, гэхдээ үйлчлүүлэгч энэ системтэй байсан тул бид түүнд шинэ функц нэмсэн.
LAN дээрх техник хангамж, програм хангамжийн тооллого
Бид нэг удаа Cisco ISE-ийг урьдчилсан "туршилт"гүйгээр нэг хэрэглэгчдэд нийлүүлэх төсөл дээр ажиллаж байсан. Шийдэлд тодорхой шаардлага тавиагүй, дээр нь бид хавтгай, хэсэгчилсэн бус сүлжээтэй ажиллаж байсан нь бидний ажлыг хүндрүүлж байв. Төслийн явцад бид сүлжээний дэмждэг бүх боломжит профайлын аргуудыг тохируулсан: NetFlow, DHCP, SNMP, AD интеграцчилал гэх мэт. Үүний үр дүнд MAR хандалтыг баталгаажуулалт амжилтгүй болсон тохиолдолд сүлжээнд нэвтрэх боломжтойгоор тохируулсан. Өөрөөр хэлбэл, баталгаажуулалт амжилтгүй болсон ч систем нь хэрэглэгчийг сүлжээнд оруулахыг зөвшөөрч, түүний талаарх мэдээллийг цуглуулж, ISE мэдээллийн санд бүртгэх болно. Энэхүү сүлжээний хяналт нь хэдэн долоо хоногийн турш холбогдсон системүүд болон хувийн бус төхөөрөмжүүдийг таньж, тэдгээрийг сегментлэх арга барилыг боловсруулахад бидэнд тусалсан. Үүний дараа бид ажлын станцууд дээр суулгасан програм хангамжийн талаарх мэдээллийг цуглуулахын тулд агентийг суулгахын тулд байршуулалтыг нэмэлтээр тохируулсан. Үр дүн нь юу вэ? Бид сүлжээг сегментчилж, ажлын станцаас устгах шаардлагатай програм хангамжийн жагсаалтыг тодорхойлж чадсан. Хэрэглэгчдийг домэйн бүлгүүдэд хуваарилах, нэвтрэх эрхийг тодорхойлох цаашдын ажил нь бидэнд маш их цаг хугацаа зарцуулсан гэдгийг би нуухгүй, гэхдээ ийм байдлаар бид үйлчлүүлэгч сүлжээнд ямар техник хангамж байгаа талаар бүрэн дүр зургийг олж авсан. Дашрамд хэлэхэд, энэ нь хайрцагнаас гарч профиль хийх сайн ажлын ачаар тийм ч хэцүү байсангүй. Профайл хийх нь тус болоогүй тохиолдолд бид тоног төхөөрөмж холбогдсон шилжүүлэгчийн портыг онцолж үзэв.
Ажлын станцууд дээр програм хангамжийг алсаас суулгана
Энэ тохиолдол бол миний практикт хамгийн хачирхалтай тохиолдлуудын нэг юм. Нэгэн өдөр үйлчлүүлэгч Cisco ISE-г хэрэгжүүлэхэд ямар нэг зүйл буруу болж, бүх зүйл эвдэрч, өөр хэн ч сүлжээнд нэвтэрч чадаагүй тул тусламж гуйн бидэн дээр ирэв. Бид үүнийг судалж эхэлсэн бөгөөд дараахь зүйлийг олж мэдэв. Тус компани нь 2000 компьютертэй байсан бөгөөд домэйн хянагч байхгүй үед администраторын дансаар удирддаг байв. Үзүүлэх зорилгоор байгууллага нь Cisco ISE-г хэрэгжүүлсэн. Одоо байгаа компьютер дээр антивирус суулгасан эсэх, програм хангамжийн орчин шинэчлэгдсэн эсэх гэх мэтийг ямар нэгэн байдлаар ойлгох шаардлагатай байв. Мэдээллийн технологийн админууд системд сүлжээний тоног төхөөрөмж суурилуулсан тул түүнд хандах боломжтой байсан нь логик юм. Энэ нь хэрхэн ажилладагийг харж, компьютерээ тайлсны дараа администраторууд ажилчдын ажлын станцад хувийн айлчлалгүйгээр алсаас уг программ хангамжийг суулгах санааг гаргаж ирэв. Ийм байдлаар өдөрт хэдэн алхам хэмнэж болохыг төсөөлөөд үз дээ! Администраторууд ажлын станцыг C:Program Files санд тодорхой файл байгаа эсэхийг хэд хэдэн удаа шалгасан бөгөөд хэрэв байхгүй бол файл хадгалах .exe файлыг суулгах холбоосыг дагаж автомат засварыг эхлүүлсэн. Энэ нь энгийн хэрэглэгчдэд файл хуваалцах хэсэгт очиж шаардлагатай програм хангамжийг тэндээс татаж авах боломжийг олгосон. Харамсалтай нь админ нь ISE системийг сайн мэдэхгүй байсан бөгөөд байршуулах механизмыг гэмтээсэн - тэр бодлогыг буруу бичсэн нь бидний шийдвэрлэхэд оролцсон асуудалд хүргэсэн. Би хувьдаа ийм бүтээлч арга барилд чин сэтгэлээсээ гайхаж байна, учир нь домэйн хянагч үүсгэх нь хамаагүй хямд бөгөөд хөдөлмөр багатай байх болно. Гэхдээ үзэл баримтлалын нотолгоо болгон энэ нь ажилласан.
Cisco ISE-ийг хэрэгжүүлэхэд гарч болох техникийн нюансуудын талаар миний мэргэжил нэгт хүний нийтлэлээс уншина уу. .
Артем Бобриков, Jet Infosystems компанийн Мэдээллийн аюулгүй байдлын төвийн дизайнер инженер
Дараах үгс:
Энэ нийтлэлд Cisco ISE системийн тухай өгүүлсэн хэдий ч тайлбарласан асуудлууд нь NAC шийдлүүдийн бүх ангилалд хамааралтай болно. Аль үйлдвэрлэгчийн шийдлийг хэрэгжүүлэхээр төлөвлөж байгаа нь тийм ч чухал биш - дээр дурдсан зүйлсийн ихэнх нь хүчинтэй хэвээр байх болно.
Эх сурвалж: www.habr.com