စမ်းသပ်ခြင်းတွင်- Cisco ISE ကို အကောင်အထည်ဖော်ရန်အတွက် ကြိုတင်ပြင်ဆင်နည်းနှင့် သင်လိုအပ်သည့် စနစ်အင်္ဂါရပ်များကို နားလည်နိုင်ပုံကို ပြသပါမည်။

အလန်းစား ကြော်ငြာတစ်ခုတွင် အလိုလို တစ်ခုခုကို မည်မျှကြာကြာ ဝယ်တတ်သနည်း၊ ထို့နောက် ဤအစပိုင်းတွင် အလိုရှိသော ပစ္စည်းသည် လာမည့်နွေဦးရာသီ သန့်ရှင်းရေး သို့မဟုတ် ရွှေ့သည့်တိုင်အောင် ဗီရို၊ ဟင်းချက်ခန်း သို့မဟုတ် ကားဂိုဒေါင်တွင် ဖုန်မှုန့်များကို စုဆောင်းနေပါသည်။ ရလဒ်မှာ တရားမျှတမှုမရှိသော မျှော်လင့်ချက်များနှင့် ငွေကြေးကို အလဟသ ဖြုန်းတီးခြင်းကြောင့် စိတ်ပျက်စရာဖြစ်သည်။ လုပ်ငန်းတစ်ခုအတွက် ဒီလိုဖြစ်လာရင် ပိုဆိုးတယ်။ မကြာခဏဆိုသလို၊ စျေးကွက်ချဲ့ထွင်မှုများသည် အလွန်ကောင်းမွန်ပြီး ကုမ္ပဏီများသည် ၎င်း၏အက်ပ်လီကေးရှင်း၏ရုပ်ပုံအပြည့်အစုံကို မမြင်ဘဲ တန်ဖိုးကြီးသောဖြေရှင်းချက်တစ်ခုကို ဝယ်ယူနိုင်ကြသည်။ တစ်ချိန်တည်းတွင်၊ စနစ်၏အစမ်းစမ်းသပ်ခြင်းသည် ပေါင်းစပ်မှုအတွက် အခြေခံအဆောက်အအုံကို မည်သို့ပြင်ဆင်ရမည်၊ မည်သည့်လုပ်ဆောင်နိုင်စွမ်းနှင့် မည်သည့်အတိုင်းအတာအထိ အကောင်အထည်ဖော်သင့်သည်ကို နားလည်စေသည်။ ဤနည်းဖြင့် သင်သည် ထုတ်ကုန်တစ်ခုကို “မျက်စိစုံမှိတ်” ရွေးချယ်ခြင်းကြောင့် ပြဿနာများစွာကို ရှောင်ရှားနိုင်သည်။ ထို့အပြင်၊ အရည်အချင်းပြည့်မီသော "လေယာဉ်မှူး" ပြီးနောက် အကောင်အထည်ဖော်မှုသည် အင်ဂျင်နီယာများကို ပျက်စီးဆုံးရှုံးသွားသော အာရုံကြောဆဲလ်များနှင့် ဆံပင်ဖြူများစွာကို ယူဆောင်လာမည်ဖြစ်သည်။ ကော်ပိုရိတ်ကွန်ရက်သို့ဝင်ရောက်ခွင့်ကို ထိန်းချုပ်ရန်အတွက် လူကြိုက်များသောကိရိယာတစ်ခုဖြစ်သည့် Cisco ISE ဥပမာကိုအသုံးပြု၍ အောင်မြင်သောပရောဂျက်တစ်ခုအတွက် pilot testing သည် အဘယ်ကြောင့် အလွန်အရေးကြီးသည်ကို အဖြေရှာကြည့်ကြပါစို့။ ကျွန်ုပ်တို့၏ လက်တွေ့လုပ်ဆောင်မှုတွင် ကျွန်ုပ်တို့ကြုံတွေ့ခဲ့ရသော ဖြေရှင်းချက်ကို အသုံးပြုရန်အတွက် စံနှင့် လုံး၀ စံမဟုတ်သော ရွေးချယ်မှုများကို စဉ်းစားကြည့်ကြပါစို့။

Cisco ISE - "steroids on Radius server"

Cisco Identity Services Engine (ISE) သည် အဖွဲ့အစည်းတစ်ခု၏ ဒေသဆိုင်ရာကွန်ရက်အတွက် ဝင်ရောက်ထိန်းချုပ်မှုစနစ်တစ်ခု ဖန်တီးရန်အတွက် ပလပ်ဖောင်းတစ်ခုဖြစ်သည်။ ကျွမ်းကျင်သူအသိုင်းအဝိုင်းတွင်၊ ထုတ်ကုန်အား ၎င်း၏ဂုဏ်သတ္တိများအတွက် “Radius server on steroids” ဟုခေါ်တွင်သည်။ အဲဒီလို့ဘာဖြစ်လို့? အခြေခံအားဖြင့်၊ ဖြေရှင်းချက်မှာ Radius ဆာဗာဖြစ်ပြီး၊ အပိုဝန်ဆောင်မှုများနှင့် "လှည့်ကွက်များ" အများအပြားကို ပူးတွဲထည့်သွင်းထားသောကြောင့် သင့်အား ဆက်စပ်အချက်အလက်အများအပြားကို လက်ခံရရှိကာ ရရှိလာသောဒေတာအစုအဝေးကို အသုံးပြုခွင့်မူဝါဒများတွင် အသုံးချနိုင်မည်ဖြစ်သည်။

အခြားသော Radius ဆာဗာများကဲ့သို့ပင် Cisco ISE သည် ဝင်ရောက်ခွင့်အဆင့် ကွန်ရက်စက်ပစ္စည်းများနှင့် အပြန်အလှန်တုံ့ပြန်ပြီး ကော်ပိုရိတ်ကွန်ရက်သို့ ချိတ်ဆက်ရန် ကြိုးပမ်းမှုများအားလုံးကို စုဆောင်းကာ စစ်မှန်ကြောင်းနှင့် ခွင့်ပြုချက်မူဝါဒများအပေါ် အခြေခံ၍ အသုံးပြုသူများအား LAN အား ခွင့်ပြု သို့မဟုတ် ငြင်းပယ်သည်။ သို့ရာတွင်၊ ပရိုဖိုင်းတင်ခြင်း၊ ပို့စ်တင်ခြင်းနှင့် အခြားအချက်အလက်လုံခြုံရေးဖြေရှင်းချက်များနှင့် ပေါင်းစည်းခြင်း၏ဖြစ်နိုင်ခြေသည် ခွင့်ပြုချက်မူဝါဒ၏ယုတ္တိကို သိသိသာသာရှုပ်ထွေးသွားစေပြီး အလွန်ခက်ခဲပြီး စိတ်ဝင်စားစရာကောင်းသည့်ပြဿနာများကို ဖြေရှင်းနိုင်စေသည်။

အကောင်အထည်ဖော်မှုကို စမ်းသပ်၍မရပါ- အဘယ်ကြောင့် စမ်းသပ်ရန် လိုအပ်သနည်း။

ပိုင်းလော့စမ်းသပ်ခြင်း၏တန်ဖိုးသည် သီးခြားအဖွဲ့အစည်းတစ်ခု၏ သီးခြားအခြေခံအဆောက်အအုံတွင် စနစ်၏စွမ်းဆောင်ရည်အားလုံးကို ပြသရန်ဖြစ်သည်။ အကောင်အထည်ဖော်ခြင်းမပြုမီ Cisco ISE ကို စမ်းသပ်ခြင်းသည် ပရောဂျက်တွင်ပါ၀င်သူတိုင်းကို အကျိုးရှိစေသည်ဟု ယုံကြည်သည်၊ ဤသည်မှာ အဘယ်ကြောင့်နည်း။

၎င်းသည် ပေါင်းစည်းသူများအား ဖောက်သည်၏မျှော်လင့်ချက်များကို ရှင်းလင်းပြတ်သားစွာ အကြံဉာဏ်ပေးကာ “အရာရာတိုင်း အဆင်ပြေကြောင်း သေချာပါစေ။ "Pilot" သည် ဖောက်သည်၏ နာကျင်မှုအားလုံးကို ခံစားသိရှိနိုင်စေရန်၊ မည်သည့်အလုပ်များသည် သူ့အတွက် ဦးစားပေးဖြစ်ပြီး အလယ်တန်းဖြစ်သည်ကို နားလည်စေသည်။ ကျွန်ုပ်တို့အတွက်၊ ဤအဖွဲ့အစည်းတွင် မည်သည့်စက်ပစ္စည်းကို အသုံးပြုမည်၊ မည်သို့အကောင်အထည်ဖော်မည်၊ မည်သည့်နေရာ၊ ၎င်းတို့တည်ရှိရာနေရာ အစရှိသည်တို့ကို ကြိုတင်တွက်ချက်ရန် အကောင်းဆုံးအခွင့်အရေးဖြစ်သည်။

စမ်းသပ်စမ်းသပ်နေစဉ်အတွင်း သုံးစွဲသူများသည် လက်တွေ့လုပ်ဆောင်နေသည့်စနစ်အား မြင်တွေ့ရပြီး ၎င်း၏အင်တာဖေ့စ်ကို သိကျွမ်းနားလည်ကာ ၎င်းတို့၏ရှိပြီးသား ဟာ့ဒ်ဝဲနှင့် သဟဇာတဖြစ်မဖြစ် စစ်ဆေးနိုင်ကာ အပြည့်အဝအကောင်အထည်ဖော်ပြီးနောက် ဖြေရှင်းချက်မည်သို့လုပ်ဆောင်မည်ကို အလုံးစုံနားလည်မှုရယူနိုင်သည်။ "Pilot" သည် ပေါင်းစည်းမှုအတွင်း သင်ကြုံတွေ့ရမည့် အခက်အခဲအားလုံးကို မြင်နိုင်ပြီး သင်ဝယ်ယူရန် လိုင်စင်မည်မျှလိုအပ်ကြောင်း ဆုံးဖြတ်သည့်အချိန်ဖြစ်သည်။
"လေယာဉ်မှူး" အတွင်းမှာ ဘာတွေ "ပေါ်လာနိုင်လဲ"

ဒါဆို Cisco ISE ကို အကောင်အထည် ဖော်ဖို့အတွက် ဘယ်လို ပြင်ဆင်ထားလဲ။ ကျွန်ုပ်တို့၏ အတွေ့အကြုံအရ၊ ကျွန်ုပ်တို့သည် စနစ်၏ ရှေ့ပြေးစမ်းသပ်မှုအတွင်း ထည့်သွင်းစဉ်းစားရန် အရေးကြီးသည့် အဓိကအချက် 4 ချက်ကို ရေတွက်ထားပါသည်။

form ကို Factor

ပထမဦးစွာ၊ စနစ်ကို အကောင်အထည် ဖော်မည့် ပုံသဏ္ဍာန်အချက်- ရုပ်ပိုင်းဆိုင်ရာ သို့မဟုတ် အတုအယောင် upline ကို သင်ဆုံးဖြတ်ရန် လိုအပ်သည်။ ရွေးချယ်မှုတစ်ခုစီတွင် အားသာချက်များနှင့် အားနည်းချက်များရှိသည်။ ဥပမာအားဖြင့်၊ ရုပ်ပိုင်းဆိုင်ရာ upline တစ်ခု၏ ခွန်အားသည် ၎င်း၏ ခန့်မှန်းနိုင်သော စွမ်းဆောင်ရည်ဖြစ်သည်၊ သို့သော် ထိုကဲ့သို့သော စက်များသည် အချိန်ကြာလာသည်နှင့်အမျှ အသုံးမပြုတော့ကြောင်း ကျွန်ုပ်တို့ မမေ့သင့်ပါ။ Virtual Upline များသည် ခန့်မှန်းနိုင်မှုနည်းသောကြောင့်... virtualization ပတ်ဝန်းကျင်ကို အသုံးပြုထားသည့် ဟာ့ဒ်ဝဲပေါ်တွင်မူတည်သော်လည်း ၎င်းတို့တွင် လေးနက်သောအားသာချက်တစ်ခုရှိသည်- ပံ့ပိုးမှုရရှိနိုင်ပါက၊ ၎င်းတို့ကို နောက်ဆုံးဗားရှင်းသို့ အမြဲတမ်း အပ်ဒိတ်လုပ်နိုင်ပါသည်။

သင့်ကွန်ရက်စက်ပစ္စည်းသည် Cisco ISE နှင့် ကိုက်ညီမှုရှိပါသလား။

ဟုတ်ပါတယ်၊ စံပြအခြေအနေကတော့ စက်ကိရိယာအားလုံးကို စနစ်နဲ့ တပြိုင်နက် ချိတ်ဆက်ဖို့ပါပဲ။ သို့သော်၊ Cisco ISE အသုံးပြုသည့် နည်းပညာအချို့ကို မပံ့ပိုးသော အဖွဲ့အစည်းများစွာသည် စီမံခန့်ခွဲမထားသော ခလုတ်များ သို့မဟုတ် ခလုတ်များကို အသုံးပြုနေသေးသောကြောင့် ၎င်းသည် အမြဲတမ်းမဖြစ်နိုင်ပါ။ စကားမစပ်၊ ကျွန်ုပ်တို့သည် ခလုတ်များအကြောင်းပြောရုံမျှမက၊ ၎င်းသည် ကြိုးမဲ့ကွန်ရက်ထိန်းချုပ်သူများ၊ VPN အာရုံစူးစိုက်မှုများနှင့် အသုံးပြုသူများချိတ်ဆက်သည့် အခြားစက်ပစ္စည်းများလည်း ဖြစ်နိုင်သည်။ ကျွန်ုပ်၏လက်တွေ့တွင်၊ အပြည့်အဝအကောင်အထည်ဖော်ရန်အတွက်စနစ်အား သရုပ်ပြပြီးနောက် သုံးစွဲသူသည် ဝင်ရောက်ခွင့်အဆင့်ခလုတ်များအားလုံးကို ခေတ်မီ Cisco စက်ကိရိယာများအဖြစ် အဆင့်မြှင့်တင်ပေးသည့်ကိစ္စများရှိပါသည်။ မနှစ်မြို့ဖွယ် အံ့သြဖွယ်ရာများကို ရှောင်ရှားရန်၊ ပံ့ပိုးမထားသော စက်ကိရိယာများ၏ အချိုးအစားကို ကြိုတင်ရှာဖွေတွေ့ရှိသင့်သည်။

သင့်စက်ပစ္စည်းအားလုံးသည် စံနှုန်းဖြစ်ပါသလား။

မည်သည့်ကွန်ရက်မဆို ချိတ်ဆက်ရန် မခက်ခဲသော ပုံမှန်စက်ပစ္စည်းများ ရှိသည်- အလုပ်ရုံများ၊ IP ဖုန်းများ၊ Wi-Fi အသုံးပြုခွင့်နေရာများ၊ ဗီဒီယိုကင်မရာများနှင့် အခြားအရာများရှိသည်။ ဒါပေမယ့်လည်း ပုံမှန်မဟုတ်တဲ့ စက်ပစ္စည်းတွေကို LAN နဲ့ ချိတ်ဆက်ထားဖို့ လိုအပ်သလို ဥပမာ၊ RS232/Ethernet bus signal converters၊ interruptible power supply interfaces၊ အမျိုးမျိုးသော နည်းပညာဆိုင်ရာ စက်ကိရိယာများ စသဖြင့် ဖြစ်ပေါ်လာပါတယ်။ ထိုကဲ့သို့သော စက်များ၏ စာရင်းကို ကြိုတင်ဆုံးဖြတ်ရန် အရေးကြီးပါသည်။ ထို့ကြောင့် အကောင်အထည်ဖော်မှုအဆင့်တွင် Cisco ISE နှင့် မည်သို့မည်ပုံ နည်းပညာပိုင်းအရ လုပ်ဆောင်မည်ကို သင်နားလည်ထားပြီးဖြစ်သည်။

IT ကျွမ်းကျင်သူများနှင့် အပြုသဘောဆောင်သော ဆွေးနွေးမှု

Cisco ISE ဖောက်သည်များသည် မကြာခဏဆိုသလို လုံခြုံရေးဌာနများဖြစ်ကြပြီး အိုင်တီဌာနများသည် အများအားဖြင့် ဝင်ရောက်နိုင်သော အလွှာခလုတ်များနှင့် Active Directory များကို ပြင်ဆင်သတ်မှတ်ရန် တာဝန်ရှိသည်။ ထို့ကြောင့်၊ လုံခြုံရေးကျွမ်းကျင်သူများနှင့် အိုင်တီကျွမ်းကျင်သူများကြားတွင် အကျိုးဖြစ်ထွန်းသော အပြန်အလှန်ဆက်ဆံရေးသည် နာကျင်မှုမရှိသောစနစ်ကို အကောင်အထည်ဖော်ရန်အတွက် အရေးကြီးသောအခြေအနေများထဲမှတစ်ခုဖြစ်သည်။ ရန်လိုမှု နှင့် ပေါင်းစည်းခြင်းကို နောက်ပိုင်းတွင် နားလည်ပါက၊ ဖြေရှင်းချက်သည် အိုင်တီဌာနအတွက် မည်ကဲ့သို့ အသုံးဝင်မည်ကို ၎င်းတို့အား ရှင်းပြသင့်သည်။

ထိပ်တန်း Cisco ISE အသုံးပြုမှုကိစ္စရပ် ၅ ခု

ကျွန်ုပ်တို့၏အတွေ့အကြုံအရ၊ စနစ်၏လိုအပ်သောလုပ်ဆောင်နိုင်စွမ်းကို pilot testing အဆင့်တွင်ဖော်ထုတ်ထားသည်။ အောက်ဖော်ပြပါများသည် ဖြေရှင်းချက်အတွက် လူကြိုက်အများဆုံးနှင့် အသုံးနည်းသော အသုံးအနှုန်းအချို့ဖြစ်သည်။

EAP-TLS ပါသော ဝိုင်ယာကြိုးတစ်ခုမှ LAN ဝင်ရောက်မှုကို လုံခြုံအောင်ပြုလုပ်ပါ။

ကျွန်ုပ်တို့၏ pentesters ၏ သုတေသနရလဒ်များအရ၊ ကုမ္ပဏီတစ်ခု၏ကွန်ရက်ကို ထိုးဖောက်ဝင်ရောက်ရန် မကြာခဏဆိုသလိုပင်၊ တိုက်ခိုက်သူများသည် ပရင်တာများ၊ ဖုန်းများ၊ IP ကင်မရာများ၊ Wi-Fi ပွိုင့်များနှင့် အခြားကိုယ်ရေးကိုယ်တာမဟုတ်သော ကွန်ရက်စက်ပစ္စည်းများကို ချိတ်ဆက်ထားသည့် သာမန်ခြေစွပ်များကို အသုံးပြုကြသည်။ ထို့ကြောင့်၊ ကွန်ရက်ဝင်ရောက်ခွင့်သည် dot1x နည်းပညာကို အခြေခံထားသော်လည်း အခြားပရိုတိုကောများကို အသုံးပြုသူအထောက်အထားစိစစ်ခြင်းလက်မှတ်များကို အသုံးမပြုဘဲ အသုံးပြုပါက session ကြားဖြတ်နားထောင်ခြင်းနှင့် brute-force စကားဝှက်များဖြင့် အောင်မြင်သောတိုက်ခိုက်မှု ဖြစ်နိုင်ခြေများပါသည်။ Cisco ISE တွင်၊ လက်မှတ်ခိုးယူရန် ပို၍ခက်ခဲလိမ့်မည် - ဤအတွက်၊ ဟက်ကာများသည် ကွန်ပြူတာစွမ်းအားများစွာ လိုအပ်မည်ဖြစ်ရာ ဤကိစ္စသည် အလွန်ထိရောက်ပါသည်။

Dual-SSID ကြိုးမဲ့အသုံးပြုခွင့်

ဤအခြေအနေ၏ အနှစ်သာရမှာ ကွန်ရက်သတ်မှတ်မှုစနစ် (SSIDs) ၂ ခုကို အသုံးပြုရန်ဖြစ်သည်။ ၎င်းတို့ထဲမှ တစ်ခုကို “ဧည့်သည်” ဟု သတ်မှတ်နိုင်ပါသည်။ ၎င်းမှတစ်ဆင့် ဧည့်သည်များနှင့် ကုမ္ပဏီဝန်ထမ်းများ နှစ်ဦးစလုံးသည် ကြိုးမဲ့ကွန်ရက်သို့ ဝင်ရောက်နိုင်သည်။ ချိတ်ဆက်ရန် ကြိုးစားသောအခါ၊ နောက်ပိုင်းတွင် စီမံဆောင်ရွက်ပေးသည့် အထူးပေါ်တယ်သို့ ပြန်ညွှန်းသည်။ ဆိုလိုသည်မှာ၊ အသုံးပြုသူသည် လက်မှတ်ထုတ်ပေးပြီး ပထမကိစ္စ၏ အားသာချက်များနှင့်အတူ EAP-TLS ကို အသုံးပြုထားပြီးဖြစ်သည့် ဒုတိယ SSID သို့ အလိုအလျောက် ပြန်လည်ချိတ်ဆက်ရန် ၎င်း၏ကိုယ်ပိုင်စက်ပစ္စည်းကို ပြင်ဆင်သတ်မှတ်ထားသည်။

MAC Authentication Bypass နှင့် Profileing

အခြားလူကြိုက်များသောအသုံးပြုမှုကိစ္စမှာ ချိတ်ဆက်နေသည့်စက်ပစ္စည်းအမျိုးအစားကို အလိုအလျောက်သိရှိနိုင်ပြီး ၎င်းနှင့်မှန်ကန်သောကန့်သတ်ချက်များကိုအသုံးပြုရန်ဖြစ်သည်။ သူဘာလို့စိတ်ဝင်စားနေတာလဲ။ အမှန်မှာ 802.1X ပရိုတိုကောကို အသုံးပြု၍ စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းကို မပံ့ပိုးနိုင်သော စက်ပစ္စည်းများစွာရှိပါသေးသည်။ ထို့ကြောင့်၊ အတုလုပ်ရန် အလွန်လွယ်ကူသော MAC လိပ်စာကို အသုံးပြု၍ ထိုကဲ့သို့သော စက်ပစ္စည်းများကို ကွန်ရက်ပေါ်တွင် ခွင့်ပြုရမည်ဖြစ်သည်။ ဤသည်မှာ Cisco ISE ကို ကယ်တင်ရာရောက်သည်- စနစ်၏အကူအညီဖြင့်၊ စက်ပစ္စည်းတစ်ခုသည် ကွန်ရက်ပေါ်တွင် ပြုမူပုံ၊ ၎င်း၏ပရိုဖိုင်ကို ဖန်တီးပြီး ၎င်းအား အခြားစက်ပစ္စည်းအုပ်စုများသို့ သတ်မှတ်ပေးသည်၊ ဥပမာ၊ IP ဖုန်းနှင့် အလုပ်ရုံတစ်ခုအား သင်ကြည့်ရှုနိုင်သည် . တိုက်ခိုက်သူသည် MAC လိပ်စာကို အတုအယောင်လုပ်ပြီး ကွန်ရက်သို့ ချိတ်ဆက်ရန် ကြိုးစားပါက၊ စက်ပရိုဖိုင် ပြောင်းလဲသွားကြောင်း၊ သံသယဖြစ်ဖွယ် အပြုအမူကို အချက်ပြမည်ဖြစ်ပြီး သံသယဖြစ်ဖွယ်အသုံးပြုသူကို ကွန်ရက်အတွင်းသို့ ဝင်ခွင့်မပြုကြောင်း စနစ်က မြင်တွေ့ရမည်ဖြစ်သည်။

EAP-Chaining

EAP-Chaining နည်းပညာသည် အလုပ်လုပ်နေသော PC နှင့် အသုံးပြုသူအကောင့်ကို ဆင့်ကဲစစ်မှန်ကြောင်းပြခြင်း ပါဝင်သည်။ ဒီအမှုဟာ ကျယ်ပြန့်လာတာကြောင့်... ကုမ္ပဏီများစွာသည် ဝန်ထမ်းများ၏ ကိုယ်ရေးကိုယ်တာပစ္စည်းများကို ကော်ပိုရိတ် LAN နှင့် ချိတ်ဆက်ရန် မအားပေးကြသေးပါ။ စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းအတွက် ဤချဉ်းကပ်နည်းကို အသုံးပြု၍ သီးခြားအလုပ်ရုံတစ်ခုသည် ဒိုမိန်း၏အဖွဲ့ဝင်ဟုတ်မဟုတ် စစ်ဆေးနိုင်ပြီး ရလဒ်မှာ အနုတ်လက္ခဏာဖြစ်နေပါက အသုံးပြုသူကို ကွန်ရက်ထဲသို့ ဝင်ခွင့်မပြုဘဲ သို့မဟုတ် ဝင်ရောက်နိုင်လိမ့်မည်ဖြစ်သော်လည်း သေချာပါသည်။ ကန့်သတ်ချက်များ။

ဟန်ဆောင်ခြင်း။

ဤကိစ္စသည် သတင်းအချက်အလက် လုံခြုံရေးလိုအပ်ချက်များနှင့် အလုပ်ရုံဆော့ဖ်ဝဲ၏ လိုက်နာမှုအား အကဲဖြတ်ခြင်းအကြောင်းဖြစ်သည်။ ဤနည်းပညာကို အသုံးပြု၍ workstation ရှိ ဆော့ဖ်ဝဲလ်အား အပ်ဒိတ်လုပ်ထားခြင်း ရှိ၊ မရှိ၊ ၎င်းတွင် လုံခြုံရေးအစီအမံများ ထည့်သွင်းထားခြင်း ရှိ၊ မရှိ၊ host firewall ကို ပြင်ဆင်ထားခြင်း ရှိ၊ မရှိ စသည်ဖြင့် စစ်ဆေးနိုင်ပါသည်။ စိတ်ဝင်စားစရာမှာ၊ ဤနည်းပညာသည် သင့်အား လုံခြုံရေးနှင့်မသက်ဆိုင်သော အခြားလုပ်ဆောင်စရာများကို ဖြေရှင်းနိုင်စေသည်၊ ဥပမာ- လိုအပ်သောဖိုင်များရှိနေခြင်းကို စစ်ဆေးခြင်း သို့မဟုတ် စနစ်တစ်ခုလုံးဆော့ဖ်ဝဲကို ထည့်သွင်းခြင်းတို့ကိုလည်း လုပ်ဆောင်နိုင်သည်။

Cisco ISE အတွက် အသုံးနည်းသော ကိစ္စများတွင် အဆုံးမှ အဆုံးဒိုမိန်း စစ်မှန်ကြောင်း အထောက်အထား (Passive ID)၊ SGT-based micro-segmentation နှင့် filtering နှင့် access control များ နှင့် mobile device management (MDM) စနစ်များနှင့် Vulnerability Scanners တို့နှင့် ပေါင်းစည်းခြင်း ပါဝင်သည်။

စံမဟုတ်သော ပရောဂျက်များ- အဘယ်ကြောင့် အခြားသင်သည် Cisco ISE သို့မဟုတ် ကျွန်ုပ်တို့၏ လက်တွေ့လုပ်ဆောင်မှုမှ ရှားပါးသော ကိစ္စရပ် 3 ခု လိုအပ်နိုင်သနည်း။

Linux အခြေခံ ဆာဗာများသို့ ဝင်ရောက်ထိန်းချုပ်မှု

Cisco ISE စနစ် အကောင်အထည်ဖော်ပြီးသော ဖောက်သည်တစ်ဦးအတွက် အသေးအဖွဲမဟုတ်သော ကိစ္စတစ်ခုကို ဖြေရှင်းပြီးသည်နှင့်၊ ကျွန်ုပ်တို့သည် Linux ထည့်သွင်းထားသော ဆာဗာများတွင် အသုံးပြုသူများ၏ လုပ်ဆောင်ချက်များကို ထိန်းချုပ်ရန် နည်းလမ်းရှာရန် လိုအပ်ပါသည်။ အဖြေကိုရှာဖွေရာတွင်၊ ပြင်ပအချင်းဝက်ဆာဗာတွင် စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းဖြင့် Linux လည်ပတ်သည့်ဆာဗာများသို့ လော့ဂ်အင်ဝင်ခွင့်ပြုသည့် အခမဲ့ PAM Radius Module ဆော့ဖ်ဝဲလ်ကို အသုံးပြုရန် စိတ်ကူးရလာသည်။ "သို့သော်" တစ်ခုအတွက်မဟုတ်ပါက၊ ဤကိစ္စနှင့်ပတ်သက်ပြီး အရာအားလုံးသည် ကောင်းမွန်လိမ့်မည်- အချင်းဝက်ဆာဗာသည် အထောက်အထားစိစစ်ခြင်းတောင်းဆိုမှုကို တုံ့ပြန်သည့်အနေဖြင့် အကောင့်အမည်နှင့် ရလဒ်ကိုသာပေးသည် - လက်ခံအကဲဖြတ်ခြင်း သို့မဟုတ် အကဲဖြတ်ခြင်းကို ပယ်ချခဲ့သည်။ ဤအတောအတွင်း၊ Linux တွင် ခွင့်ပြုချက်အတွက်၊ အသုံးပြုသူသည် တစ်နေရာရာသို့ ရောက်စေရန် အနည်းဆုံး နောက်ထပ် parameter တစ်ခု - home directory ကို သတ်မှတ်ရန် လိုအပ်ပါသည်။ ၎င်းကို အချင်းဝက် ရည်ညွှန်းချက်အဖြစ် ပေးဆောင်ရန် နည်းလမ်းကို ကျွန်ုပ်တို့ ရှာမတွေ့ခဲ့သဖြင့် တစ်ပိုင်းအလိုအလျောက် မုဒ်တွင် hosts များပေါ်တွင် အဝေးမှ အကောင့်များဖန်တီးရန်အတွက် အထူး script တစ်ခုကို ရေးသားခဲ့သည်။ ကျွန်ုပ်တို့သည် စီမံခန့်ခွဲသူအကောင့်များနှင့် ကိုင်တွယ်ဆောင်ရွက်နေသောကြောင့် ဤလုပ်ငန်းသည် အလွန်အမင်းဖြစ်နိုင်ချေရှိသည်။ ထို့နောက် အသုံးပြုသူများသည် လိုအပ်သောစက်ပစ္စည်းသို့ ဝင်ရောက်ပြီးနောက် လိုအပ်သောအသုံးပြုခွင့်ကို သတ်မှတ်ပေးခဲ့သည်။ ကျိုးကြောင်းဆီလျော်သောမေးခွန်းတစ်ခုပေါ်လာသည်- ထိုသို့သောကိစ္စများတွင် Cisco ISE ကိုအသုံးပြုရန်လိုအပ်ပါသလား။ အမှန်တော့၊ မည်သည့်အချင်းဝက်ဆာဗာမှ လုပ်ဆောင်လိမ့်မည်မဟုတ်ပါ၊ သို့သော် သုံးစွဲသူသည် ဤစနစ်ရှိပြီးသားဖြစ်သောကြောင့်၊ ကျွန်ုပ်တို့သည် ၎င်းတွင် အင်္ဂါရပ်အသစ်တစ်ခုကို ရိုးရိုးရှင်းရှင်းထည့်ထားသည်။

LAN ပေါ်ရှိ ဟာ့ဒ်ဝဲနှင့် ဆော့ဖ်ဝဲလ်စာရင်း

ကျွန်ုပ်တို့သည် ပဏာမ "လေယာဉ်မှူး" မပါဘဲ သုံးစွဲသူတစ်ဦးအား Cisco ISE ထောက်ပံ့ရန် ပရောဂျက်တစ်ခုတွင် လုပ်ဆောင်ခဲ့ဖူးသည်။ ဖြေရှင်းချက်အတွက် ရှင်းလင်းပြတ်သားသော လိုအပ်ချက်များမရှိသည့်အပြင် ကျွန်ုပ်တို့၏လုပ်ငန်းတာဝန်ကို ရှုပ်ထွေးစေသည့် ပြန့်ပြူးသော အပိုင်းမခွဲထားသော ကွန်ရက်တစ်ခုနှင့်လည်း ဆက်ဆံနေပါသည်။ ပရောဂျက်အတွင်း၊ ကွန်ရက်ပံ့ပိုးပေးထားသည့် ဖြစ်နိုင်သော ပရိုဖိုင်နည်းလမ်းများအားလုံးကို ပြင်ဆင်သတ်မှတ်ခဲ့သည်- NetFlow၊ DHCP၊ SNMP၊ AD ပေါင်းစည်းမှု စသည်ဖြင့်။ ရလဒ်အနေဖြင့် အထောက်အထားစိစစ်ခြင်း မအောင်မြင်ပါက MAR access ကို ကွန်ရက်သို့ လော့ဂ်အင်ဝင်နိုင်စွမ်းဖြင့် စီစဉ်သတ်မှတ်ထားပါသည်။ ဆိုလိုသည်မှာ၊ စစ်မှန်ကြောင်းအထောက်အထားမအောင်မြင်လျှင်ပင်၊ စနစ်သည် သုံးစွဲသူအား ကွန်ရက်ထဲသို့ ခွင့်ပြုထားပြီး၊ သူ့အကြောင်း အချက်အလက်များကို စုဆောင်းကာ ISE ဒေတာဘေ့စ်တွင် မှတ်တမ်းတင်ထားဆဲဖြစ်သည်။ ရက်သတ္တပတ်များစွာအတွင်း ဤကွန်ရက်စောင့်ကြည့်စစ်ဆေးမှုသည် ချိတ်ဆက်ထားသောစနစ်များနှင့် ကိုယ်ရေးကိုယ်တာမဟုတ်သည့်စက်ပစ္စည်းများကို ခွဲခြားသိရှိနိုင်ပြီး ၎င်းတို့ကို အပိုင်းပိုင်းခွဲရန် ချဉ်းကပ်မှုတစ်ရပ်ကို ဖော်ထုတ်နိုင်ခဲ့သည်။ ၎င်းနောက်၊ ၎င်းတို့တွင် ထည့်သွင်းထားသည့် ဆော့ဖ်ဝဲလ်အကြောင်း အချက်အလက်များကို စုဆောင်းရန်အတွက် အလုပ်ရုံများပေါ်တွင် အေးဂျင့်ကို ထည့်သွင်းရန် ပို့စ်တင်ခြင်းကိုလည်း ပြင်ဆင်သတ်မှတ်ထားပါသည်။ ရလဒ်ကဘာလဲ။ ကျွန်ုပ်တို့သည် ကွန်ရက်ကို အပိုင်းပိုင်းခွဲကာ အလုပ်ရုံများမှ ဖယ်ရှားရန်လိုအပ်သော ဆော့ဖ်ဝဲစာရင်းကို ဆုံးဖြတ်နိုင်ခဲ့သည်။ သုံးစွဲသူများအား ဒိုမိန်းအုပ်စုများသို့ ဖြန့်ဝေခြင်းနှင့် ဝင်ရောက်ခွင့်အခွင့်အရေးများကို ခွဲခြမ်းစိတ်ဖြာခြင်းအတွက် နောက်ထပ်လုပ်ဆောင်ရမည့်တာဝန်များသည် ကျွန်ုပ်တို့အတွက် အချိန်များစွာယူခဲ့ရကြောင်း ကျွန်ုပ်မဖုံးကွယ်ထားသော်လည်း ဤနည်းဖြင့် ကွန်ရက်ပေါ်တွင် သုံးစွဲသူ၏ ဟာ့ဒ်ဝဲကို အပြည့်အ၀ရရှိသည်။ စကားမစပ်၊ ဒီပုံးထဲက ပရိုဖိုင်းကောင်းတွေကြောင့် ဒါက မခက်ခဲပါဘူး။ ကောင်းပြီ၊ ပရိုဖိုင်းပြုလုပ်ခြင်းမှာ မကူညီသည့်အခါ၊ စက်ပစ္စည်းချိတ်ဆက်ထားသည့် switch port ကို မီးမောင်းထိုးပြပြီး ကျွန်ုပ်တို့သည် မိမိကိုယ်ကို ကြည့်ပါ။

အလုပ်ရုံများတွင် ဆော့ဖ်ဝဲကို အဝေးမှ တပ်ဆင်ခြင်း။

ဤကိစ္စသည် ကျွန်ုပ်၏အလေ့အကျင့်တွင် အထူးဆန်းဆုံးကိစ္စဖြစ်သည်။ တစ်နေ့တွင်၊ ဖောက်သည်တစ်ဦးသည် ကျွန်ုပ်တို့ထံ အကူအညီတောင်းရန် ရောက်ရှိလာသည်- Cisco ISE ကို အကောင်အထည်ဖော်သောအခါ တစ်ခုခု မှားယွင်းသွားသည်၊ အရာအားလုံး ပျက်သွားခဲ့ပြီး အခြားမည်သူမျှ ကွန်ရက်ကို ဝင်ရောက်ကြည့်ရှုနိုင်ခြင်းမရှိပေ။ ကျွန်ုပ်တို့သည် ၎င်းကို စတင်ရှာဖွေခဲ့ပြီး အောက်ပါတို့ကို တွေ့ရှိခဲ့သည်။ ကုမ္ပဏီတွင် domain controller မရှိသဖြင့် စီမံခန့်ခွဲသူအကောင့်အောက်တွင် စီမံခန့်ခွဲနိုင်သော ကွန်ပျူတာပေါင်း 2000 ရှိသည်။ ပူးပေါင်းလုပ်ဆောင်ရန် ရည်ရွယ်ချက်အတွက်၊ အဖွဲ့အစည်းသည် Cisco ISE ကို အကောင်အထည်ဖော်ခဲ့သည်။ ရှိပြီးသား PC များတွင် ဗိုင်းရပ်စ်ပိုးတစ်မျိုးကို တပ်ဆင်ထားခြင်း ရှိ၊ မရှိ၊ ဆော့ဖ်ဝဲလ်ပတ်ဝန်းကျင်ကို အပ်ဒိတ်လုပ်ထားခြင်း ရှိ၊ မရှိ စသည်ဖြင့် တစ်နည်းနည်းဖြင့် နားလည်ရန် လိုအပ်ပါသည်။ အိုင်တီအက်ဒမင်များသည် စနစ်ထဲသို့ ကွန်ရက်ပစ္စည်းများကို ထည့်သွင်းထားသောကြောင့် ၎င်းတို့သည် ၎င်းကို အသုံးပြုခွင့်ရခဲ့သည်မှာ ယုတ္တိတန်ပါသည်။ ၎င်းသည် မည်သို့အလုပ်လုပ်ကြောင်းနှင့် ၎င်းတို့၏ PC များကို ပုံဆောင်ထားသည်ကို မြင်တွေ့ပြီးနောက်၊ စီမံခန့်ခွဲသူများသည် ကိုယ်ရေးကိုယ်တာလည်ပတ်ခြင်းမပြုဘဲ ဝန်ထမ်းအလုပ်ရုံများတွင် ဆော့ဖ်ဝဲကို အဝေးမှထည့်သွင်းရန် အကြံဉာဏ်ပေးခဲ့ကြသည်။ ဤနည်းဖြင့် တစ်နေ့လျှင် ခြေလှမ်းမည်မျှ သက်သာနိုင်မည်ကို စိတ်ကူးကြည့်ပါ။ အက်ဒမင်များသည် C:Program Files directory တွင် သီးခြားဖိုင်တစ်ခုရှိနေခြင်းအတွက် workstation ၏စစ်ဆေးမှုအများအပြားကို လုပ်ဆောင်ခဲ့ပြီး ၎င်းသည် ပျက်ကွက်ပါက၊ installation .exe ဖိုင်သို့ ဖိုင်သိုလှောင်မှုဆီသို့ လင့်ခ်တစ်ခုအား လိုက်နာခြင်းဖြင့် အလိုအလျောက်ပြန်လည်ပြင်ဆင်ခြင်းကို စတင်လုပ်ဆောင်ပါသည်။ ၎င်းသည် သာမန်အသုံးပြုသူများအား ဖိုင်မျှဝေခြင်းသို့သွားကာ လိုအပ်သောဆော့ဖ်ဝဲလ်ကို ထိုနေရာမှ ဒေါင်းလုဒ်လုပ်ခွင့်ပြုသည်။ ကံမကောင်းစွာပဲ၊ အက်ဒ်မင်သည် ISE စနစ်အား ကောင်းစွာမသိခဲ့ဘဲ ပို့စ်တင်ခြင်းယန္တရားများကို ပျက်စီးစေခဲ့သည် - သူသည် မူဝါဒကို မှားယွင်းစွာရေးသားခဲ့ပြီး၊ ကျွန်ုပ်တို့ဖြေရှင်းရာတွင် ပါဝင်ခဲ့သည့် ပြဿနာတစ်ခုဖြစ်စေခဲ့သည်။ ကိုယ်တိုင်ကိုယ်ကျ၊ ဒိုမိန်းထိန်းချုပ်ကိရိယာကိုဖန်တီးရန် အလွန်စျေးသက်သာပြီး လုပ်အားပိုနည်းသောကြောင့် ထိုသို့သောဖန်တီးမှုချဉ်းကပ်မှုဖြင့် စိတ်ရင်းမှန်ဖြင့် အံ့သြမိပါသည်။ ဒါပေမယ့် Proof of Concept အနေနဲ့တော့ အလုပ်ဖြစ်ခဲ့ပါတယ်။

ကျွန်ုပ်၏လုပ်ဖော်ကိုင်ဖက်၏ဆောင်းပါးတွင် Cisco ISE ကိုအကောင်အထည်ဖော်သောအခါတွင်ပေါ်ပေါက်လာသောနည်းပညာပိုင်းဆိုင်ရာကွဲလွဲမှုများအကြောင်းပိုမိုဖတ်ပါ။ “Cisco ISE အကောင်အထည်ဖော်ရေး အလေ့အကျင့်။ အင်ဂျင်နီယာတစ်ယောက်ရဲ့ အမြင်၊.

Jet Infosystems ရှိ Information Security Center ၏ ဒီဇိုင်းအင်ဂျင်နီယာ Artem Bobrikov

afterword:
ဤပို့စ်သည် Cisco ISE စနစ်အကြောင်း ဆွေးနွေးနေသော်လည်း၊ ဖော်ပြထားသော ပြဿနာများသည် NAC ဖြေရှင်းချက်အတန်းအစားတစ်ခုလုံးအတွက် သက်ဆိုင်ပါသည်။ ရောင်းချသူ၏ဖြေရှင်းချက်ကို အကောင်အထည်ဖော်ရန် စီစဉ်ထားခြင်းသည် အရေးမကြီးပါ - အထက်ဖော်ပြပါ အများစုသည် ဆက်လက်အသုံးပြုနိုင်မည်ဖြစ်သည်။

source: www.habr.com