Kemm-il darba tixtri xi ħaġa spontanjament, ċedi għal reklam frisk, u mbagħad dan l-oġġett inizjalment mixtieq jiġbor it-trab f'armarju, pantry jew garaxx sal-rebbiegħa li jmiss tindif jew tiċċaqlaq? Ir-riżultat huwa diżappunt minħabba aspettattivi mhux ġustifikati u flus moħlija. Huwa ħafna agħar meta dan jiġri lil negozju. Ħafna drabi, il-gimmicks tal-kummerċjalizzazzjoni huma tant tajbin li l-kumpaniji jixtru soluzzjoni għalja mingħajr ma jaraw l-istampa sħiħa tal-applikazzjoni tagħha. Sadanittant, l-ittestjar tal-prova tas-sistema jgħin biex wieħed jifhem kif tipprepara l-infrastruttura għall-integrazzjoni, liema funzjonalità u sa liema punt għandha tiġi implimentata. Dan il-mod tista 'tevita numru kbir ta' problemi minħabba l-għażla ta 'prodott "bl-addoċċ". Barra minn hekk, l-implimentazzjoni wara "pilota" kompetenti se ġġib inġiniera ċelluli tan-nervituri ħafna inqas meqruda u xagħar griż. Ejja nsemmu għaliex l-ittestjar pilota huwa daqshekk importanti għal proġett ta 'suċċess, billi tuża l-eżempju ta' għodda popolari għall-kontroll tal-aċċess għal netwerk korporattiv - Cisco ISE. Ejja nikkunsidraw kemm għażliet standard kif ukoll kompletament mhux standard għall-użu tas-soluzzjoni li ltqajna magħhom fil-prattika tagħna.
Cisco ISE - "Radius server fuq sterojdi"
Cisco Identity Services Engine (ISE) hija pjattaforma għall-ħolqien ta 'sistema ta' kontroll ta 'aċċess għan-netwerk taż-żona lokali ta' organizzazzjoni. Fil-komunità ta 'esperti, il-prodott kien imlaqqam "Radius server fuq sterojdi" għall-proprjetajiet tiegħu. Għalfejn? Essenzjalment, is-soluzzjoni hija server Radius, li miegħu ġew mehmuża numru kbir ta 'servizzi addizzjonali u "tricks", li jippermettulek tirċievi ammont kbir ta' informazzjoni kuntestwali u tapplika s-sett ta 'dejta li jirriżulta f'politiki ta' aċċess.
Bħal kull server Radius ieħor, Cisco ISE jinteraġixxi ma 'tagħmir tan-netwerk fil-livell ta' aċċess, jiġbor informazzjoni dwar it-tentattivi kollha ta 'konnessjoni man-netwerk korporattiv u, ibbażat fuq politiki ta' awtentikazzjoni u awtorizzazzjoni, jippermetti jew jiċħad lill-utenti għal-LAN. Madankollu, il-possibbiltà ta 'profiling, kollokament, u integrazzjoni ma' soluzzjonijiet oħra ta 'sigurtà ta' informazzjoni tagħmilha possibbli li tikkomplika b'mod sinifikanti l-loġika tal-politika ta 'awtorizzazzjoni u b'hekk issolvi problemi pjuttost diffiċli u interessanti.
L-implimentazzjoni ma tistax tiġi pilotata: għaliex għandek bżonn l-ittestjar?
Il-valur tal-ittestjar pilota huwa li juri l-kapaċitajiet kollha tas-sistema fl-infrastruttura speċifika ta 'organizzazzjoni speċifika. Nemmen li l-pilota ta' Cisco ISE qabel l-implimentazzjoni tibbenefika lil kulħadd involut fil-proġett, u hawn għaliex.
Dan jagħti lill-integraturi idea ċara tal-aspettattivi tal-klijent u jgħin biex jifformula speċifikazzjoni teknika korretta li fiha ħafna aktar dettall mill-frażi komuni "kun żgur li kollox ikun tajjeb." "Pilot" jippermettilna nħossu l-uġigħ kollu tal-klijent, biex nifhmu liema kompiti huma prijorità għalih u liema huma sekondarji. Għalina, din hija opportunità eċċellenti biex insemmu minn qabel liema tagħmir jintuża fl-organizzazzjoni, kif se sseħħ l-implimentazzjoni, fuq liema siti, fejn jinsabu, eċċ.
Matul l-ittestjar pilota, il-klijenti jaraw is-sistema reali fl-azzjoni, jiffamiljarizzaw ruħhom mal-interface tagħha, jistgħu jiċċekkjaw jekk huwiex kompatibbli mal-hardware eżistenti tagħhom, u jiksbu fehim olistiku ta 'kif is-soluzzjoni se taħdem wara l-implimentazzjoni sħiħa. "Pilot" huwa l-mument stess meta tista' tara n-nases kollha li x'aktarx tiltaqa' magħhom waqt l-integrazzjoni, u tiddeċiedi kemm għandek bżonn tixtri liċenzji.
X'jista 'jqum" waqt il-"pilota"
Allura, kif tipprepara kif suppost għall-implimentazzjoni ta 'Cisco ISE? Mill-esperjenza tagħna, għoddna 4 punti ewlenin li huma importanti li nikkunsidraw waqt l-ittestjar pilota tas-sistema.
Fattur tal-forma
L-ewwel, trid tiddeċiedi f'liema forma fattur se tiġi implimentata s-sistema: upline fiżika jew virtwali. Kull għażla għandha vantaġġi u żvantaġġi. Pereżempju, is-saħħa ta 'upline fiżika hija l-prestazzjoni prevedibbli tagħha, iżda ma rridux ninsew li tali apparati jsiru skaduti maż-żmien. L-uplines virtwali huma inqas prevedibbli għaliex... jiddependu fuq il-ħardwer li fuqu jiġi skjerat l-ambjent tal-virtwalizzazzjoni, iżda għandhom vantaġġ serju: jekk ikun hemm appoġġ disponibbli, jistgħu dejjem jiġu aġġornati għall-aħħar verżjoni.
It-tagħmir tan-netwerk tiegħek huwa kompatibbli ma' Cisco ISE?
Naturalment, ix-xenarju ideali jkun li tqabbad it-tagħmir kollu mas-sistema f'daqqa. Madankollu, dan mhux dejjem ikun possibbli peress li ħafna organizzazzjonijiet għadhom jużaw swiċċijiet jew swiċċijiet mhux immaniġġjati li ma jappoġġjawx xi wħud mit-teknoloġiji li jmexxu Cisco ISE. Mill-mod, aħna mhux qed nitkellmu biss dwar swiċċijiet, jista 'jkun ukoll kontrolluri tan-netwerk mingħajr fili, konċentraturi VPN u kwalunkwe tagħmir ieħor li l-utenti jikkonnettjaw miegħu. Fil-prattika tiegħi, kien hemm każijiet meta, wara li wera s-sistema għal implimentazzjoni sħiħa, il-klijent aġġorna kważi l-flotta kollha ta 'swiċċijiet tal-livell ta' aċċess għal tagħmir Cisco modern. Biex jiġu evitati sorpriżi spjaċevoli, ta 'min jiskopri minn qabel il-proporzjon ta' tagħmir mhux appoġġjat.
L-apparati kollha tiegħek huma standard?
Kwalunkwe netwerk għandu apparat tipiku li m'għandux ikun diffiċli biex tikkonnettja magħhom: stazzjonijiet tax-xogħol, telefowns IP, punti ta 'aċċess Wi-Fi, kameras tal-vidjo, eċċ. Iżda jiġri wkoll li tagħmir mhux standard jeħtieġ li jkun imqabbad mal-LAN, pereżempju, konvertituri tas-sinjali tal-bus RS232/Ethernet, interfaces ta 'provvista ta' enerġija mingħajr interruzzjoni, tagħmir teknoloġiku varji, eċċ Huwa importanti li tiddetermina l-lista ta 'tali apparati minn qabel. , sabiex fl-istadju ta 'implimentazzjoni diġà għandek fehim kif teknikament se jaħdmu ma' Cisco ISE.
Djalogu kostruttiv ma' speċjalisti tal-IT
Il-klijenti ta 'Cisco ISE ħafna drabi huma dipartimenti tas-sigurtà, filwaqt li d-dipartimenti tal-IT huma ġeneralment responsabbli għall-konfigurazzjoni ta' swiċċijiet tas-saff ta 'aċċess u Active Directory. Għalhekk, interazzjoni produttiva bejn speċjalisti tas-sigurtà u speċjalisti tal-IT hija waħda mill-kundizzjonijiet importanti għall-implimentazzjoni mingħajr tbatija tas-sistema. Jekk dawn tal-aħħar jipperċepixxu integrazzjoni ma 'ostilità, ta' min jispjegalhom kif is-soluzzjoni se tkun utli għad-dipartiment tal-IT.
L-aqwa 5 każijiet ta' użu ta' Cisco ISE
Fl-esperjenza tagħna, il-funzjonalità meħtieġa tas-sistema hija identifikata wkoll fl-istadju tal-ittestjar pilota. Hawn taħt huma wħud mill-aktar każijiet ta 'użu popolari u inqas komuni għas-soluzzjoni.
Aċċess sigur għal LAN fuq wajer b'EAP-TLS
Kif juru r-riżultati tar-riċerka tal-pentesters tagħna, ħafna drabi biex jippenetraw in-netwerk ta 'kumpanija, l-attakkanti jużaw sokits ordinarji li magħhom huma konnessi printers, telefowns, kameras IP, punti Wi-Fi u apparati oħra ta' netwerk mhux personali. Għalhekk, anki jekk l-aċċess għan-netwerk huwa bbażat fuq teknoloġija dot1x, iżda jintużaw protokolli alternattivi mingħajr ma jintużaw ċertifikati ta 'awtentikazzjoni tal-utent, hemm probabbiltà għolja ta' attakk b'suċċess b'interċettazzjoni ta 'sessjoni u passwords ta' forza bruta. Fil-każ ta 'Cisco ISE, se jkun ħafna aktar diffiċli li tisraq ċertifikat - għal dan, il-hackers se jkollhom bżonn ħafna aktar qawwa tal-kompjuter, għalhekk dan il-każ huwa effettiv ħafna.
Aċċess bla fili Dual-SSID
L-essenza ta' dan ix-xenarju hija li tuża 2 identifikaturi tan-netwerk (SSIDs). Wieħed minnhom jista 'jissejjaħ kondizzjonali "mistieden". Permezz tiegħu, kemm il-mistednin kif ukoll l-impjegati tal-kumpanija jistgħu jaċċessaw in-netwerk bla fili. Meta jippruvaw jgħaqqdu, dawn tal-aħħar jiġu diretti mill-ġdid lejn portal speċjali fejn isir il-forniment. Jiġifieri, l-utent jinħareġ ċertifikat u l-apparat personali tiegħu huwa kkonfigurat biex awtomatikament jerġa 'jikkonnettja mat-tieni SSID, li diġà juża EAP-TLS bil-vantaġġi kollha tal-ewwel każ.
Awtentikazzjoni MAC Bypass u Profiling
Każ ta 'użu popolari ieħor huwa li tiskopri awtomatikament it-tip ta' apparat li qed jiġi konness u tapplika r-restrizzjonijiet korretti għalih. Għaliex huwa interessanti? Il-fatt hu li għad hemm ħafna apparati li ma jappoġġjawx l-awtentikazzjoni bl-użu tal-protokoll 802.1X. Għalhekk, tali apparati għandhom jitħallew fuq in-netwerk bl-użu ta 'indirizz MAC, li huwa pjuttost faċli li falz. Dan huwa fejn Cisco ISE jiġi għas-salvataġġ: bl-għajnuna tas-sistema, tista 'tara kif apparat iġib ruħu fuq in-netwerk, toħloq il-profil tiegħu u tassenjah lil grupp ta' apparati oħra, pereżempju, telefon IP u stazzjon tax-xogħol. . Jekk attakkant jipprova spoof indirizz MAC u jikkonnettja man-netwerk, is-sistema se tara li l-profil tal-apparat ikun inbidel, se sinjal imġieba suspettuża u mhux se jippermetti lill-utent suspettuż jidħol fin-netwerk.
EAP-Katina
It-teknoloġija EAP-Chaining tinvolvi awtentikazzjoni sekwenzjali tal-PC tax-xogħol u l-kont tal-utent. Dan il-każ infirex għax... Ħafna kumpaniji għadhom ma jinkoraġġixxux il-konnessjoni tal-aġġeġġi personali tal-impjegati mal-LAN korporattiva. Bl-użu ta' dan l-approċċ għall-awtentikazzjoni, huwa possibbli li jiġi ċċekkjat jekk stazzjon tax-xogħol speċifiku huwiex membru tad-dominju, u jekk ir-riżultat ikun negattiv, l-utent jew mhux se jitħalla jidħol fin-netwerk, jew ikun jista' jidħol, iżda b' ċerti restrizzjonijiet.
Pożizzjoni
Dan il-każ huwa dwar il-valutazzjoni tal-konformità tas-softwer tal-istazzjon tax-xogħol mar-rekwiżiti tas-sigurtà tal-informazzjoni. Billi tuża din it-teknoloġija, tista 'tiċċekkja jekk is-softwer fuq il-workstation huwiex aġġornat, jekk il-miżuri ta' sigurtà humiex installati fuqha, jekk il-firewall ospitanti huwiex konfigurat, eċċ. Interessanti, din it-teknoloġija tippermetti wkoll li ssolvi kompiti oħra mhux relatati mas-sigurtà, pereżempju, tivverifika l-preżenza ta 'fajls meħtieġa jew tinstalla softwer għas-sistema kollha.
Każijiet ta 'użu inqas komuni għal Cisco ISE jinkludu kontroll ta' aċċess b'awtentikazzjoni tad-dominju minn tarf sa tarf (ID Passiva), mikro-segmentazzjoni u filtrazzjoni bbażati fuq SGT, kif ukoll integrazzjoni ma 'sistemi ta' ġestjoni ta 'apparat mobbli (MDM) u Skaners ta' Vulnerabbiltà.
Proġetti mhux standard: għaliex inkella jista 'jkollok bżonn Cisco ISE, jew 3 każijiet rari mill-prattika tagħna
Kontroll tal-aċċess għal servers ibbażati fuq Linux
Ladarba konna qed insolvu każ pjuttost mhux trivjali għal wieħed mill-klijenti li diġà kellu s-sistema Cisco ISE implimentata: kellna nsibu mod kif nikkontrollaw l-azzjonijiet tal-utent (l-aktar amministraturi) fuq servers b'Linux installat. Fit-tfittxija ta 'tweġiba, ħriġna bl-idea li nużaw is-softwer PAM Radius Module b'xejn, li jippermettilek tidħol fis-servers li jmexxu Linux b'awtentikazzjoni fuq server tar-raġġ estern. Kollox f'dan ir-rigward ikun tajjeb, jekk mhux għal wieħed "iżda": is-server tar-raġġ, jibgħat tweġiba għat-talba ta 'awtentikazzjoni, jagħti biss l-isem tal-kont u r-riżultat - tivvaluta aċċettata jew tivvaluta miċħuda. Sadanittant, għall-awtorizzazzjoni fil-Linux, għandek bżonn tassenja mill-inqas parametru ieħor - direttorju tad-dar, sabiex l-utent tal-inqas jasal x'imkien. Ma sibniex mod kif nagħtu dan bħala attribut tar-raġġ, għalhekk ktibna skript speċjali għall-ħolqien mill-bogħod ta 'kontijiet fuq hosts f'mod semi-awtomatiku. Dan il-kompitu kien pjuttost fattibbli, peress li konna nittrattaw kontijiet ta 'amministratur, li n-numru tagħhom ma kienx daqshekk kbir. Sussegwentement, l-utenti illoggjaw fuq l-apparat meħtieġ, u wara ġew assenjati l-aċċess meħtieġ. Tqum mistoqsija raġonevoli: huwa meħtieġ li tuża Cisco ISE f'każijiet bħal dawn? Fil-fatt, le - kwalunkwe server tar-raġġ se jagħmel, iżda peress li l-klijent diġà kellu din is-sistema, aħna sempliċement żidna karatteristika ġdida magħha.
Inventarju ta' hardware u software fuq il-LAN
Darba ħdimna fuq proġett biex nipprovdu Cisco ISE lil klijent wieħed mingħajr "pilota" preliminari. Ma kien hemm l-ebda rekwiżiti ċari għas-soluzzjoni, kif ukoll konna qed nittrattaw ma 'netwerk ċatt, mhux segmentat, li kkumplika l-kompitu tagħna. Matul il-proġett, aħna kkonfigurajna l-metodi kollha ta 'profiling possibbli li n-netwerk appoġġa: NetFlow, DHCP, SNMP, integrazzjoni AD, eċċ. Bħala riżultat, l-aċċess MAR ġie kkonfigurat bil-kapaċità li tidħol fin-netwerk jekk l-awtentikazzjoni falliet. Jiġifieri, anki jekk l-awtentikazzjoni ma rnexxietx, is-sistema xorta tippermetti lill-utent jidħol fin-netwerk, jiġbor informazzjoni dwaru u jirreġistraha fid-database ISE. Dan il-monitoraġġ tan-netwerk fuq diversi ġimgħat għenna nidentifikaw sistemi konnessi u apparati mhux personali u niżviluppaw approċċ biex nissegmentawhom. Wara dan, aħna kkonfigurajna wkoll l-istazzjonar biex ninstallaw l-aġent fuq stazzjonijiet tax-xogħol sabiex niġbru informazzjoni dwar is-softwer installat fuqhom. X'inhu r-riżultat? Konna kapaċi nsegmentaw in-netwerk u niddeterminaw il-lista ta 'softwer li kien jeħtieġ li jitneħħa mill-istazzjonijiet tax-xogħol. Mhux se naħbi li kompiti ulterjuri ta 'distribuzzjoni ta' utenti fi gruppi ta 'dominju u delineazzjoni ta' drittijiet ta 'aċċess ħaduna ħafna ħin, iżda b'dan il-mod sirna stampa sħiħa ta' x'ħardwer kellu l-klijent fuq in-netwerk. Mill-mod, dan ma kienx diffiċli minħabba x-xogħol tajjeb ta 'profiling barra mill-kaxxa. Ukoll, fejn il-profiling ma għenx, ħaresna lilna nfusna, u enfasizzaw il-port tal-iswiċċ li miegħu kien imqabbad it-tagħmir.
Installazzjoni mill-bogħod ta' softwer fuq workstations
Dan il-każ huwa wieħed mill-aktar strambi fil-prattika tiegħi. Ġurnata waħda, klijent ġie għandna b'għajta għall-għajnuna - xi ħaġa marret ħażin meta implimentat Cisco ISE, kollox inkiser, u ħadd ieħor ma seta' jaċċessa n-netwerk. Bdejna nħarsu lejha u sirna nafu dan li ġej. Il-kumpanija kellha 2000 kompjuter, li, fin-nuqqas ta 'kontrollur tad-dominju, kienu ġestiti taħt kont ta' amministratur. Għall-iskop tal-peering, l-organizzazzjoni implimentat Cisco ISE. Kien meħtieġ li b'xi mod tifhem jekk kienx installat antivirus fuq PCs eżistenti, jekk l-ambjent tas-softwer kienx aġġornat, eċċ. U peress li l-amministraturi tal-IT installaw tagħmir tan-netwerk fis-sistema, huwa loġiku li kellhom aċċess għaliha. Wara li raw kif taħdem u ħarġu l-kompjuters tagħhom, l-amministraturi ħarġu bl-idea li jinstallaw is-softwer fuq il-postijiet tax-xogħol tal-impjegati mill-bogħod mingħajr żjarat personali. Immaġina kemm tista 'tiffranka passi kuljum b'dan il-mod! L-amministraturi wettqu diversi kontrolli tal-istazzjon tax-xogħol għall-preżenza ta 'fajl speċifiku fid-direttorju C:Program Files, u jekk kien nieqes, ir-rimedju awtomatiku kienet imnedija billi segwiet link li jwassal għall-ħażna tal-fajl għall-fajl .exe tal-installazzjoni. Dan ippermetta lill-utenti ordinarji li jmorru għal file share u jniżżlu s-softwer meħtieġ minn hemm. Sfortunatament, l-amministratur ma kienx jaf sew is-sistema ISE u għamel ħsara lill-mekkaniżmi tal-istazzjonar - kiteb il-politika b'mod żbaljat, li wassal għal problema li konna involuti fis-soluzzjoni. Personalment, ninsab sinċerament sorpriż b'approċċ kreattiv bħal dan, għaliex ikun ferm irħas u inqas xogħol intensiv li jinħoloq kontrollur tad-dominju. Imma bħala Prova tal-kunċett ħadem.
Aqra aktar dwar l-sfumaturi tekniċi li jinqalgħu meta timplimenta Cisco ISE fl-artiklu tal-kollega tiegħi .
Artem Bobrikov, inġinier tad-disinn taċ-Ċentru tas-Sigurtà tal-Informazzjoni f'Jet Infosystems
Wara kelma:
Minkejja l-fatt li din il-kariga titkellem dwar is-sistema Cisco ISE, il-problemi deskritti huma rilevanti għall-klassi kollha ta 'soluzzjonijiet NAC. Mhuwiex daqshekk importanti liema soluzzjoni tal-bejjiegħ hija ppjanata għall-implimentazzjoni - il-biċċa l-kbira ta 'hawn fuq se jibqgħu applikabbli.
Sors: www.habr.com