Hoe vaak koop je spontaan iets, bezwijkend voor een coole advertentie, en dan ligt dit in eerste instantie gewenste item stof te verzamelen in een kast, bijkeuken of garage tot de volgende voorjaarsschoonmaak of verhuizing? Het gevolg is teleurstelling door onterechte verwachtingen en weggegooid geld. Het is nog veel erger als dit een bedrijf overkomt. Heel vaak zijn marketinggimmicks zo goed dat bedrijven een dure oplossing aanschaffen zonder het volledige beeld van de toepassing ervan te zien. Ondertussen helpt het proeftesten van het systeem om te begrijpen hoe de infrastructuur moet worden voorbereid op integratie, welke functionaliteit en in welke mate moet worden geïmplementeerd. Op deze manier kunt u een groot aantal problemen vermijden door “blind” voor een product te kiezen. Bovendien zal de implementatie na een competente “pilot” ervoor zorgen dat ingenieurs veel minder zenuwcellen en grijs haar vernietigen. Laten we eens kijken waarom pilottesten zo belangrijk zijn voor een succesvol project, aan de hand van het voorbeeld van een populaire tool voor het controleren van de toegang tot een bedrijfsnetwerk: Cisco ISE. Laten we zowel standaard als volledig niet-standaard opties overwegen voor het gebruik van de oplossing die we in onze praktijk tegenkwamen.
Cisco ISE - “Radius-server op steroïden”
Cisco Identity Services Engine (ISE) is een platform voor het creëren van een toegangscontrolesysteem voor het lokale netwerk van een organisatie. In de gemeenschap van experts kreeg het product vanwege zijn eigenschappen de bijnaam “Radius-server op steroïden”. Waarom is dat? In wezen is de oplossing een Radius-server, waaraan een groot aantal aanvullende services en ‘trucs’ zijn gekoppeld, waardoor u een grote hoeveelheid contextuele informatie kunt ontvangen en de resulterende set gegevens kunt toepassen in het toegangsbeleid.
Net als elke andere Radius-server communiceert Cisco ISE met netwerkapparatuur op toegangsniveau, verzamelt informatie over alle pogingen om verbinding te maken met het bedrijfsnetwerk en staat, op basis van authenticatie- en autorisatiebeleid, gebruikers toe of weigert toegang tot het LAN. De mogelijkheid tot profilering, plaatsing en integratie met andere informatiebeveiligingsoplossingen maakt het echter mogelijk om de logica van het autorisatiebeleid aanzienlijk te compliceren en daardoor behoorlijk moeilijke en interessante problemen op te lossen.
De implementatie kan niet worden getest: waarom is testen nodig?
De waarde van pilottests is om alle mogelijkheden van het systeem in de specifieke infrastructuur van een specifieke organisatie aan te tonen. Ik geloof dat het testen van Cisco ISE vóór de implementatie iedereen die bij het project betrokken is ten goede komt, en dit is de reden waarom.
Dit geeft integrators een duidelijk beeld van de verwachtingen van de klant en helpt bij het creëren van een correcte technische specificatie die veel meer details bevat dan de gebruikelijke uitdrukking ‘zorg ervoor dat alles in orde is’. Met “Pilot” kunnen we alle pijn van de klant voelen, begrijpen welke taken voor hem prioriteit hebben en welke secundair zijn. Voor ons is dit een uitstekende gelegenheid om vooraf uit te zoeken welke apparatuur er in de organisatie wordt gebruikt, hoe de implementatie zal plaatsvinden, op welke locaties, waar deze zich bevinden, enzovoort.
Tijdens pilottests zien klanten het echte systeem in actie, maken ze kennis met de interface, kunnen ze controleren of het compatibel is met hun bestaande hardware en krijgen ze een holistisch inzicht in hoe de oplossing zal werken na volledige implementatie. “Pilot” is het moment waarop u alle valkuilen kunt zien die u waarschijnlijk tegenkomt tijdens de integratie, en kunt beslissen hoeveel licenties u moet aanschaffen.
Wat kan er “opduiken” tijdens de “pilot”
Hoe bereidt u zich dus goed voor op de implementatie van Cisco ISE? Uit onze ervaring hebben we 4 hoofdpunten geteld die belangrijk zijn om te overwegen tijdens de pilottests van het systeem.
Vormfactor
Eerst moet u beslissen in welke vormfactor het systeem zal worden geïmplementeerd: fysiek of virtueel upline. Elke optie heeft voor- en nadelen. De kracht van een fysieke upline is bijvoorbeeld de voorspelbare prestatie ervan, maar we mogen niet vergeten dat dergelijke apparaten na verloop van tijd verouderd raken. Virtuele uplines zijn minder voorspelbaar omdat... zijn afhankelijk van de hardware waarop de virtualisatieomgeving wordt ingezet, maar ze hebben een serieus voordeel: als er ondersteuning beschikbaar is, kunnen ze altijd worden geüpdatet naar de nieuwste versie.
Is uw netwerkapparatuur compatibel met Cisco ISE?
Het ideale scenario zou natuurlijk zijn om alle apparatuur in één keer op het systeem aan te sluiten. Dit is echter niet altijd mogelijk, omdat veel organisaties nog steeds onbeheerde switches gebruiken of switches die bepaalde technologieën waarop Cisco ISE draait niet ondersteunen. We hebben het overigens niet alleen over switches, het kunnen ook draadloze netwerkcontrollers, VPN-concentrators en alle andere apparatuur zijn waarmee gebruikers verbinding maken. In mijn praktijk zijn er gevallen geweest waarin de klant, nadat hij het systeem had gedemonstreerd voor volledige implementatie, bijna de gehele reeks toegangsniveauschakelaars had geüpgraded naar moderne Cisco-apparatuur. Om onaangename verrassingen te voorkomen, is het de moeite waard om vooraf het aandeel niet-ondersteunde apparatuur te achterhalen.
Zijn al uw apparaten standaard?
Elk netwerk heeft typische apparaten waarmee het niet moeilijk zou moeten zijn om verbinding te maken: werkstations, IP-telefoons, Wi-Fi-toegangspunten, videocamera's, enzovoort. Maar het komt ook voor dat niet-standaard apparaten op het LAN moeten worden aangesloten, bijvoorbeeld RS232/Ethernet-bussignaalomzetters, interfaces voor ononderbroken voeding, verschillende technologische apparatuur, enz. Het is belangrijk om vooraf de lijst met dergelijke apparaten te bepalen , zodat je in de implementatiefase al inzicht hebt hoe ze technisch met Cisco ISE gaan werken.
Constructieve dialoog met IT-specialisten
Cisco ISE-klanten zijn vaak beveiligingsafdelingen, terwijl IT-afdelingen meestal verantwoordelijk zijn voor het configureren van toegangslaagschakelaars en Active Directory. Daarom is productieve interactie tussen beveiligingsspecialisten en IT-specialisten een van de belangrijke voorwaarden voor een probleemloze implementatie van het systeem. Als laatstgenoemden integratie met vijandigheid ervaren, is het de moeite waard om hen uit te leggen hoe de oplossing nuttig zal zijn voor de IT-afdeling.
Top 5 Cisco ISE-gebruiksscenario's
Onze ervaring is dat de vereiste functionaliteit van het systeem ook tijdens de pilottestfase wordt geïdentificeerd. Hieronder vindt u enkele van de meest populaire en minder vaak voorkomende gebruiksscenario's voor de oplossing.
Beveiligde LAN-toegang via een kabel met EAP-TLS
Zoals uit de resultaten van het onderzoek van onze pentesters blijkt, gebruiken aanvallers om het netwerk van een bedrijf binnen te dringen vaak gewone stopcontacten waarop printers, telefoons, IP-camera's, Wi-Fi-punten en andere niet-persoonlijke netwerkapparaten zijn aangesloten. Zelfs als netwerktoegang is gebaseerd op dot1x-technologie, maar er alternatieve protocollen worden gebruikt zonder gebruik te maken van gebruikersauthenticatiecertificaten, is de kans op een succesvolle aanval met sessie-onderschepping en brute-force-wachtwoorden groot. In het geval van Cisco ISE zal het veel moeilijker zijn om een certificaat te stelen - hiervoor hebben hackers veel meer rekenkracht nodig, dus deze zaak is zeer effectief.
Draadloze toegang met dubbele SSID
De essentie van dit scenario is het gebruik van twee netwerkidentificaties (SSID's). Een van hen kan voorwaardelijk "gast" worden genoemd. Hiermee hebben zowel gasten als bedrijfsmedewerkers toegang tot het draadloze netwerk. Wanneer ze verbinding proberen te maken, worden deze laatste doorgestuurd naar een speciaal portaal waar de provisioning plaatsvindt. Dat wil zeggen dat de gebruiker een certificaat krijgt en dat zijn persoonlijke apparaat wordt geconfigureerd om automatisch opnieuw verbinding te maken met de tweede SSID, die al EAP-TLS gebruikt met alle voordelen van het eerste geval.
MAC-verificatie omzeilen en profilering
Een ander populair gebruiksscenario is het automatisch detecteren van het type apparaat dat wordt aangesloten en het daarop toepassen van de juiste beperkingen. Waarom is hij interessant? Feit is dat er nog steeds behoorlijk wat apparaten zijn die geen authenticatie via het 802.1X-protocol ondersteunen. Daarom moeten dergelijke apparaten toegang krijgen tot het netwerk met behulp van een MAC-adres, wat vrij gemakkelijk te vervalsen is. Hier komt Cisco ISE te hulp: met behulp van het systeem kun je zien hoe een apparaat zich op het netwerk gedraagt, een profiel aanmaken en dit toewijzen aan een groep andere apparaten, bijvoorbeeld een IP-telefoon en een werkstation . Als een aanvaller probeert een MAC-adres te spoofen en verbinding te maken met het netwerk, ziet het systeem dat het apparaatprofiel is gewijzigd, wordt verdacht gedrag gesignaleerd en wordt de verdachte gebruiker niet tot het netwerk toegelaten.
EAP-ketening
EAP-Chaining-technologie omvat sequentiële authenticatie van de werkende pc en gebruikersaccount. Deze zaak is wijdverbreid geworden omdat... Veel bedrijven moedigen nog steeds niet aan om de persoonlijke gadgets van werknemers aan te sluiten op het bedrijfs-LAN. Met behulp van deze benadering van authenticatie is het mogelijk om te controleren of een bepaald werkstation lid is van het domein. Als het resultaat negatief is, wordt de gebruiker niet tot het netwerk toegelaten of kan hij er wel binnenkomen, maar met bepaalde beperkingen.
houding
Deze zaak gaat over het beoordelen van de conformiteit van de werkstationsoftware met informatiebeveiligingseisen. Met deze technologie kunt u controleren of de software op het werkstation is bijgewerkt, of er beveiligingsmaatregelen op zijn geïnstalleerd, of de hostfirewall is geconfigureerd, enz. Interessant is dat je met deze technologie ook andere taken kunt oplossen die geen verband houden met beveiliging, bijvoorbeeld het controleren van de aanwezigheid van noodzakelijke bestanden of het installeren van systeembrede software.
Minder vaak voorkomende gebruiksscenario's voor Cisco ISE zijn onder meer toegangscontrole met end-to-end domeinauthenticatie (Passieve ID), op SGT gebaseerde microsegmentatie en filtering, evenals integratie met systemen voor mobiel apparaatbeheer (MDM) en kwetsbaarheidsscanners.
Niet-standaard projecten: waarom heeft u anders Cisco ISE nodig, of 3 zeldzame gevallen uit onze praktijk
Toegangscontrole tot op Linux gebaseerde servers
Ooit waren we een nogal niet-triviaal geval aan het oplossen voor een van de klanten die het Cisco ISE-systeem al hadden geïmplementeerd: we moesten een manier vinden om gebruikersacties (meestal beheerders) te controleren op servers waarop Linux was geïnstalleerd. Op zoek naar een antwoord kwamen we op het idee om de gratis PAM Radius Module-software te gebruiken, waarmee je met authenticatie op een externe radiusserver kunt inloggen op servers waarop Linux draait. Alles in dit opzicht zou goed zijn, zo niet voor één "maar": de radiusserver, die een antwoord verzendt op het authenticatieverzoek, geeft alleen de accountnaam en het resultaat - beoordeel geaccepteerd of beoordeel afgewezen. Ondertussen moet je voor autorisatie in Linux minstens één parameter meer toewijzen: de homedirectory, zodat de gebruiker tenminste ergens komt. We hebben geen manier gevonden om dit als radius attribuut te geven, dus hebben we een speciaal script geschreven voor het op afstand aanmaken van accounts op hosts in een semi-automatische modus. Deze taak was heel goed haalbaar, omdat we te maken hadden met beheerdersaccounts, waarvan het aantal niet zo groot was. Vervolgens logden gebruikers in op het benodigde apparaat, waarna zij de benodigde toegang kregen toegewezen. Er rijst een redelijke vraag: is het in dergelijke gevallen nodig om Cisco ISE te gebruiken? Eigenlijk niet, elke radiusserver is voldoende, maar omdat de klant dit systeem al had, hebben we er eenvoudigweg een nieuwe functie aan toegevoegd.
Inventarisatie van hardware en software op het LAN
We hebben ooit aan een project gewerkt om Cisco ISE aan één klant te leveren zonder voorafgaande ‘pilot’. Er waren geen duidelijke vereisten voor de oplossing, en bovendien hadden we te maken met een plat, niet-gesegmenteerd netwerk, wat onze taak ingewikkelder maakte. Tijdens het project hebben we alle mogelijke profileringsmethoden geconfigureerd die het netwerk ondersteunde: NetFlow, DHCP, SNMP, AD-integratie, enz. Als gevolg hiervan werd MAR-toegang geconfigureerd met de mogelijkheid om in te loggen op het netwerk als de authenticatie mislukte. Dat wil zeggen dat zelfs als de authenticatie niet succesvol zou zijn, het systeem de gebruiker nog steeds toegang zou geven tot het netwerk, informatie over hem zou verzamelen en deze zou registreren in de ISE-database. Deze netwerkmonitoring gedurende meerdere weken heeft ons geholpen verbonden systemen en niet-persoonlijke apparaten te identificeren en een aanpak te ontwikkelen om deze te segmenteren. Hierna hebben we Posting bovendien geconfigureerd om de agent op werkstations te installeren om informatie te verzamelen over de software die erop is geïnstalleerd. Wat is het resultaat? We konden het netwerk segmenteren en de lijst met software bepalen die van de werkstations verwijderd moest worden. Ik zal niet verbergen dat verdere taken zoals het verdelen van gebruikers in domeingroepen en het afbakenen van toegangsrechten ons behoorlijk wat tijd kostten, maar op deze manier kregen we een compleet beeld van welke hardware de klant op het netwerk had. Dit was overigens niet moeilijk dankzij het goede werk van out-of-the-box profilering. Welnu, waar profilering niet hielp, hebben we zelf gekeken en de switchpoort benadrukt waarop de apparatuur was aangesloten.
Installatie op afstand van software op werkstations
Deze casus is een van de vreemdste in mijn praktijk. Op een dag kwam een klant naar ons toe met een roep om hulp: er ging iets mis bij de implementatie van Cisco ISE, alles ging kapot en niemand anders had toegang tot het netwerk. Wij zijn er naar gaan kijken en hebben het volgende ontdekt. Het bedrijf beschikte over 2000 computers, die bij gebrek aan een domeincontroller werden beheerd onder een beheerdersaccount. Voor peeringdoeleinden heeft de organisatie Cisco ISE geïmplementeerd. Het was nodig om op de een of andere manier te begrijpen of er een antivirusprogramma op bestaande pc's was geïnstalleerd, of de softwareomgeving was bijgewerkt, enz. En aangezien IT-beheerders netwerkapparatuur in het systeem hebben geïnstalleerd, is het logisch dat zij er toegang toe hadden. Nadat ze hadden gezien hoe het werkt en hun pc's hadden gepoetst, kwamen de beheerders op het idee om de software op afstand te installeren op de werkstations van medewerkers, zonder persoonlijk bezoek. Stelt u zich eens voor hoeveel stappen u op deze manier per dag kunt besparen! De beheerders voerden verschillende controles van het werkstation uit op de aanwezigheid van een specifiek bestand in de map C: Program Files, en als dit afwezig was, werd automatisch herstel gestart door een link te volgen die naar de bestandsopslag leidde naar het .exe-installatiebestand. Hierdoor konden gewone gebruikers naar een bestandsshare gaan en daar de benodigde software downloaden. Helaas kende de beheerder het ISE-systeem niet goed en beschadigde hij de berichtmechanismen. Hij schreef het beleid verkeerd, wat leidde tot een probleem dat wij moesten oplossen. Persoonlijk ben ik oprecht verrast door zo'n creatieve aanpak, omdat het veel goedkoper en minder arbeidsintensief zou zijn om een domeincontroller te maken. Maar als Proof of concept werkte het.
Lees meer over de technische nuances die ontstaan bij de implementatie van Cisco ISE in het artikel van mijn collega .
Artem Bobrikov, ontwerpingenieur van het Information Security Center bij Jet Infosystems
nawoord:
Ondanks het feit dat in dit bericht over het Cisco ISE-systeem wordt gesproken, zijn de beschreven problemen relevant voor de hele klasse van NAC-oplossingen. Het is niet zo belangrijk welke oplossing van de leverancier gepland is voor implementatie; het meeste van het bovenstaande blijft van toepassing.
Bron: www.habr.com