Berapa kerap anda membeli sesuatu secara spontan, menyerah kepada iklan yang menarik, dan kemudian item yang pada mulanya dikehendaki ini mengumpulkan habuk di dalam almari, pantri atau garaj sehingga pembersihan atau pemindahan musim bunga seterusnya? Hasilnya adalah kekecewaan kerana jangkaan yang tidak wajar dan membazirkan wang. Ia lebih teruk apabila ini berlaku kepada perniagaan. Selalunya, gimik pemasaran sangat bagus sehingga syarikat membeli penyelesaian yang mahal tanpa melihat gambaran penuh aplikasinya. Sementara itu, ujian percubaan sistem membantu memahami cara menyediakan infrastruktur untuk penyepaduan, apakah fungsi dan sejauh mana perlu dilaksanakan. Dengan cara ini anda boleh mengelakkan sejumlah besar masalah kerana memilih produk secara "membuta tuli". Di samping itu, pelaksanaan selepas "juruterbang" yang cekap akan membawa jurutera lebih kurang sel-sel saraf yang musnah dan uban. Mari kita ketahui mengapa ujian perintis sangat penting untuk projek yang berjaya, menggunakan contoh alat popular untuk mengawal akses kepada rangkaian korporat - Cisco ISE. Mari kita pertimbangkan pilihan standard dan bukan standard sepenuhnya untuk menggunakan penyelesaian yang kami temui dalam amalan kami.
Cisco ISE - "Pelayan radius pada steroid"
Enjin Perkhidmatan Identiti Cisco (ISE) ialah platform untuk mencipta sistem kawalan akses untuk rangkaian kawasan setempat organisasi. Dalam komuniti pakar, produk itu digelar "Pelayan radius pada steroid" kerana sifatnya. Kenapa begitu? Pada asasnya, penyelesaiannya ialah pelayan Radius, yang mana sejumlah besar perkhidmatan tambahan dan "helah" telah dilampirkan, membolehkan anda menerima sejumlah besar maklumat kontekstual dan menggunakan set data yang terhasil dalam dasar akses.
Seperti mana-mana pelayan Radius lain, Cisco ISE berinteraksi dengan peralatan rangkaian peringkat akses, mengumpul maklumat tentang semua percubaan untuk menyambung ke rangkaian korporat dan, berdasarkan dasar pengesahan dan kebenaran, membenarkan atau menafikan pengguna ke LAN. Walau bagaimanapun, kemungkinan pemprofilan, penyiaran dan penyepaduan dengan penyelesaian keselamatan maklumat lain memungkinkan untuk merumitkan logik dasar kebenaran dengan ketara dan dengan itu menyelesaikan masalah yang agak sukar dan menarik.
Pelaksanaan tidak boleh dipandu: mengapa anda memerlukan ujian?
Nilai ujian perintis adalah untuk menunjukkan semua keupayaan sistem dalam infrastruktur khusus organisasi tertentu. Saya percaya bahawa percubaan Cisco ISE sebelum pelaksanaan memberi manfaat kepada semua yang terlibat dalam projek, dan inilah sebabnya.
Ini memberikan penyepadu idea yang jelas tentang jangkaan pelanggan dan membantu mencipta spesifikasi teknikal yang betul yang mengandungi lebih terperinci daripada frasa biasa "pastikan semuanya baik-baik saja." "Pilot" membolehkan kami merasai semua kesakitan pelanggan, untuk memahami tugas mana yang menjadi keutamaan baginya dan yang mana yang kedua. Bagi kami, ini adalah peluang terbaik untuk mengetahui terlebih dahulu peralatan apa yang digunakan dalam organisasi, bagaimana pelaksanaan akan berlaku, di tapak apa, di mana ia berada, dan sebagainya.
Semasa ujian perintis, pelanggan melihat sistem sebenar dalam tindakan, berkenalan dengan antara mukanya, boleh menyemak sama ada ia serasi dengan perkakasan sedia ada mereka dan mendapatkan pemahaman holistik tentang cara penyelesaian itu akan berfungsi selepas pelaksanaan penuh. "Pilot" ialah saat anda dapat melihat semua perangkap yang mungkin akan anda hadapi semasa penyepaduan, dan memutuskan bilangan lesen yang perlu anda beli.
Perkara yang boleh "muncul" semasa "juruterbang"
Jadi, bagaimanakah anda bersedia dengan betul untuk melaksanakan Cisco ISE? Daripada pengalaman kami, kami telah mengira 4 perkara utama yang penting untuk dipertimbangkan semasa ujian perintis sistem.
borang Factor
Pertama, anda perlu membuat keputusan dalam faktor bentuk sistem akan dilaksanakan: upline fizikal atau maya. Setiap pilihan mempunyai kelebihan dan kekurangan. Sebagai contoh, kekuatan upline fizikal ialah prestasinya yang boleh diramal, tetapi kita tidak boleh lupa bahawa peranti sedemikian menjadi usang dari semasa ke semasa. Upline maya kurang boleh diramal kerana... bergantung pada perkakasan di mana persekitaran virtualisasi digunakan, tetapi mereka mempunyai kelebihan yang serius: jika sokongan tersedia, mereka sentiasa boleh dikemas kini kepada versi terkini.
Adakah peralatan rangkaian anda serasi dengan Cisco ISE?
Sudah tentu, senario yang ideal adalah untuk menyambung semua peralatan ke sistem sekaligus. Walau bagaimanapun, ini tidak selalu dapat dilakukan kerana banyak organisasi masih menggunakan suis atau suis yang tidak diurus yang tidak menyokong beberapa teknologi yang menjalankan Cisco ISE. Ngomong-ngomong, kita bukan hanya bercakap tentang suis, ia juga boleh menjadi pengawal rangkaian wayarles, penumpu VPN dan sebarang peralatan lain yang disambungkan oleh pengguna. Dalam amalan saya, terdapat kes apabila, selepas menunjukkan sistem untuk pelaksanaan penuh, pelanggan menaik taraf hampir keseluruhan kumpulan suis tahap akses kepada peralatan Cisco moden. Untuk mengelakkan kejutan yang tidak menyenangkan, adalah wajar mengetahui terlebih dahulu bahagian peralatan yang tidak disokong.
Adakah semua peranti anda standard?
Mana-mana rangkaian mempunyai peranti biasa yang sepatutnya tidak sukar untuk disambungkan kepada: stesen kerja, telefon IP, pusat akses Wi-Fi, kamera video dan sebagainya. Tetapi ia juga berlaku bahawa peranti bukan standard perlu disambungkan ke LAN, sebagai contoh, penukar isyarat bas RS232/Ethernet, antara muka bekalan kuasa tidak terganggu, pelbagai peralatan teknologi, dll. Adalah penting untuk menentukan senarai peranti sedemikian terlebih dahulu , supaya pada peringkat pelaksanaan anda sudah mempunyai pemahaman bagaimana secara teknikal ia akan berfungsi dengan Cisco ISE.
Dialog yang membina dengan pakar IT
Pelanggan Cisco ISE selalunya merupakan jabatan keselamatan, manakala jabatan IT biasanya bertanggungjawab untuk mengkonfigurasi suis lapisan akses dan Direktori Aktif. Oleh itu, interaksi produktif antara pakar keselamatan dan pakar IT adalah salah satu syarat penting untuk pelaksanaan sistem yang tidak menyakitkan. Jika yang terakhir merasakan integrasi dengan permusuhan, adalah wajar untuk menerangkan kepada mereka bagaimana penyelesaian itu berguna kepada jabatan IT.
5 kes penggunaan Cisco ISE teratas
Mengikut pengalaman kami, kefungsian sistem yang diperlukan juga dikenal pasti pada peringkat ujian rintis. Di bawah ialah beberapa kes penggunaan yang paling popular dan kurang biasa untuk penyelesaian itu.
Lindungi akses LAN melalui wayar dengan EAP-TLS
Seperti yang ditunjukkan oleh hasil penyelidikan pentesters kami, selalunya untuk menembusi rangkaian syarikat, penyerang menggunakan soket biasa yang mana pencetak, telefon, kamera IP, titik Wi-Fi dan peranti rangkaian bukan peribadi lain disambungkan. Oleh itu, walaupun akses rangkaian adalah berdasarkan teknologi dot1x, tetapi protokol alternatif digunakan tanpa menggunakan sijil pengesahan pengguna, terdapat kebarangkalian tinggi untuk serangan berjaya dengan pemintasan sesi dan kata laluan brute-force. Dalam kes Cisco ISE, akan menjadi lebih sukar untuk mencuri sijil - untuk ini, penggodam memerlukan lebih banyak kuasa pengkomputeran, jadi kes ini sangat berkesan.
Akses wayarles dwi-SSID
Intipati senario ini adalah menggunakan 2 pengecam rangkaian (SSID). Salah seorang daripada mereka boleh dipanggil "tetamu" secara bersyarat. Melaluinya, kedua-dua tetamu dan pekerja syarikat boleh mengakses rangkaian wayarles. Apabila mereka cuba menyambung, yang terakhir dialihkan ke portal khas di mana peruntukan berlaku. Iaitu, pengguna diberikan sijil dan peranti peribadinya dikonfigurasikan untuk menyambung semula secara automatik ke SSID kedua, yang sudah menggunakan EAP-TLS dengan semua kelebihan kes pertama.
Pintasan dan Pemprofilan Pengesahan MAC
Satu lagi kes penggunaan yang popular ialah untuk mengesan jenis peranti yang sedang disambungkan secara automatik dan menggunakan sekatan yang betul padanya. Kenapa dia menarik? Hakikatnya masih terdapat banyak peranti yang tidak menyokong pengesahan menggunakan protokol 802.1X. Oleh itu, peranti sedemikian perlu dibenarkan masuk ke rangkaian menggunakan alamat MAC, yang agak mudah untuk dipalsukan. Di sinilah Cisco ISE datang untuk menyelamatkan: dengan bantuan sistem, anda boleh melihat bagaimana peranti berkelakuan pada rangkaian, mencipta profilnya dan menetapkannya kepada sekumpulan peranti lain, contohnya, telefon IP dan stesen kerja . Jika penyerang cuba untuk menipu alamat MAC dan menyambung ke rangkaian, sistem akan melihat bahawa profil peranti telah berubah, akan menandakan tingkah laku yang mencurigakan dan tidak akan membenarkan pengguna yang mencurigakan masuk ke dalam rangkaian.
EAP-Chaining
Teknologi EAP-Chaining melibatkan pengesahan berurutan bagi PC yang berfungsi dan akaun pengguna. Kes ini telah berleluasa kerana... Banyak syarikat masih tidak menggalakkan menyambungkan alat peribadi pekerja kepada LAN korporat. Menggunakan pendekatan untuk pengesahan ini, adalah mungkin untuk menyemak sama ada stesen kerja tertentu adalah ahli domain, dan jika hasilnya negatif, pengguna akan sama ada tidak dibenarkan masuk ke rangkaian, atau akan dapat masuk, tetapi dengan tertentu sekatan.
Posturing
Kes ini adalah tentang menilai pematuhan perisian stesen kerja dengan keperluan keselamatan maklumat. Menggunakan teknologi ini, anda boleh menyemak sama ada perisian pada stesen kerja dikemas kini, sama ada langkah keselamatan dipasang padanya, sama ada tembok api hos dikonfigurasikan, dsb. Menariknya, teknologi ini juga membolehkan anda menyelesaikan tugas lain yang tidak berkaitan dengan keselamatan, contohnya, menyemak kehadiran fail yang diperlukan atau memasang perisian seluruh sistem.
Kes penggunaan yang kurang biasa untuk Cisco ISE termasuk kawalan akses dengan pengesahan domain hujung ke hujung (Pasif ID), pembahagian mikro dan penapisan berasaskan SGT, serta penyepaduan dengan sistem pengurusan peranti mudah alih (MDM) dan Pengimbas Kerentanan.
Projek bukan standard: mengapa lagi anda memerlukan Cisco ISE, atau 3 kes yang jarang berlaku daripada amalan kami
Kawalan akses kepada pelayan berasaskan Linux
Sebaik sahaja kami menyelesaikan kes yang agak tidak remeh untuk salah seorang pelanggan yang telah melaksanakan sistem Cisco ISE: kami perlu mencari jalan untuk mengawal tindakan pengguna (kebanyakannya pentadbir) pada pelayan dengan Linux dipasang. Untuk mencari jawapan, kami mendapat idea untuk menggunakan perisian Modul Radius PAM percuma, yang membolehkan anda log masuk ke pelayan yang menjalankan Linux dengan pengesahan pada pelayan radius luaran. Segala-galanya dalam hal ini adalah baik, jika bukan untuk satu "tetapi": pelayan jejari, menghantar respons kepada permintaan pengesahan, hanya memberikan nama akaun dan hasilnya - menilai diterima atau menilai ditolak. Sementara itu, untuk kebenaran di Linux, anda perlu menetapkan sekurang-kurangnya satu lagi parameter - direktori rumah, supaya pengguna sekurang-kurangnya sampai ke suatu tempat. Kami tidak menemui cara untuk memberikan ini sebagai atribut jejari, jadi kami menulis skrip khas untuk membuat akaun dari jauh pada hos dalam mod separa automatik. Tugas ini agak boleh dilaksanakan, kerana kami berurusan dengan akaun pentadbir, yang jumlahnya tidak begitu besar. Seterusnya, pengguna log masuk ke peranti yang diperlukan, selepas itu mereka diberikan akses yang diperlukan. Timbul persoalan yang munasabah: adakah perlu menggunakan Cisco ISE dalam kes sedemikian? Sebenarnya, tidak - mana-mana pelayan jejari akan berfungsi, tetapi memandangkan pelanggan sudah mempunyai sistem ini, kami hanya menambah ciri baharu padanya.
Inventori perkakasan dan perisian pada LAN
Kami pernah mengusahakan projek untuk membekalkan Cisco ISE kepada seorang pelanggan tanpa "juruterbang" awal. Tiada keperluan yang jelas untuk penyelesaian itu, ditambah pula dengan kami berurusan dengan rangkaian yang rata dan tidak terbahagi, yang merumitkan tugas kami. Semasa projek, kami mengkonfigurasi semua kaedah pemprofilan yang mungkin disokong oleh rangkaian: NetFlow, DHCP, SNMP, penyepaduan AD, dsb. Akibatnya, akses MAR telah dikonfigurasikan dengan keupayaan untuk log masuk ke rangkaian jika pengesahan gagal. Iaitu, walaupun pengesahan tidak berjaya, sistem masih akan membenarkan pengguna masuk ke rangkaian, mengumpul maklumat tentangnya dan merekodkannya dalam pangkalan data ISE. Pemantauan rangkaian ini selama beberapa minggu membantu kami mengenal pasti sistem yang disambungkan dan peranti bukan peribadi serta membangunkan pendekatan untuk membahagikannya. Selepas ini, kami juga mengkonfigurasikan siaran untuk memasang ejen pada stesen kerja untuk mengumpul maklumat tentang perisian yang dipasang pada mereka. Apakah keputusannya? Kami dapat membahagikan rangkaian dan menentukan senarai perisian yang perlu dialih keluar daripada stesen kerja. Saya tidak akan menyembunyikan bahawa tugas selanjutnya untuk mengagihkan pengguna ke dalam kumpulan domain dan menyenaraikan hak akses mengambil masa yang agak lama, tetapi dengan cara ini kami mendapat gambaran lengkap tentang perkakasan yang pelanggan ada pada rangkaian. By the way, ini tidak sukar kerana kerja yang baik untuk membuat profil di luar kotak. Nah, di mana pemprofilan tidak membantu, kami melihat diri kami sendiri, menyerlahkan port suis yang peralatan disambungkan.
Pemasangan jauh perisian pada stesen kerja
Kes ini antara yang paling pelik dalam amalan saya. Pada suatu hari, seorang pelanggan datang kepada kami dengan menjerit meminta pertolongan - sesuatu telah berlaku apabila melaksanakan Cisco ISE, semuanya rosak dan tiada orang lain yang boleh mengakses rangkaian. Kami mula menelitinya dan mendapati perkara berikut. Syarikat itu mempunyai 2000 komputer, yang, jika tiada pengawal domain, diuruskan di bawah akaun pentadbir. Untuk tujuan peering, organisasi melaksanakan Cisco ISE. Adalah perlu untuk memahami sama ada antivirus telah dipasang pada PC sedia ada, sama ada persekitaran perisian telah dikemas kini, dsb. Dan oleh kerana pentadbir IT memasang peralatan rangkaian ke dalam sistem, adalah logik bahawa mereka mempunyai akses kepadanya. Selepas melihat cara ia berfungsi dan menyegarkan PC mereka, pentadbir menghasilkan idea untuk memasang perisian pada stesen kerja pekerja dari jauh tanpa lawatan peribadi. Bayangkan berapa banyak langkah yang anda boleh simpan setiap hari dengan cara ini! Pentadbir menjalankan beberapa semakan stesen kerja untuk kehadiran fail tertentu dalam direktori C:Program Files, dan jika ia tiada, pemulihan automatik telah dilancarkan dengan mengikut pautan yang membawa kepada storan fail ke fail .exe pemasangan. Ini membenarkan pengguna biasa pergi ke bahagian fail dan memuat turun perisian yang diperlukan dari sana. Malangnya, pentadbir tidak mengetahui sistem ISE dengan baik dan merosakkan mekanisme penyiaran - dia menulis dasar secara salah, yang membawa kepada masalah yang kami terlibat dalam menyelesaikannya. Secara peribadi, saya amat terkejut dengan pendekatan kreatif sedemikian, kerana ia akan menjadi lebih murah dan kurang intensif buruh untuk mencipta pengawal domain. Tetapi sebagai Bukti konsep ia berfungsi.
Baca lebih lanjut mengenai nuansa teknikal yang timbul apabila melaksanakan Cisco ISE dalam artikel rakan sekerja saya .
Artem Bobrikov, jurutera reka bentuk Pusat Keselamatan Maklumat di Jet Infosystems
afterword:
Walaupun fakta bahawa siaran ini bercakap tentang sistem Cisco ISE, masalah yang diterangkan adalah relevan untuk keseluruhan kelas penyelesaian NAC. Penyelesaian vendor mana yang dirancang untuk pelaksanaan tidak begitu penting - kebanyakan perkara di atas akan kekal terpakai.
Sumber: www.habr.com