Jak często kupujesz coś spontanicznie, ulegając fajnej reklamie, a potem ten początkowo upragniony przedmiot gromadzi kurz w szafie, spiżarni czy garażu aż do kolejnych wiosennych porządków lub przeprowadzki? Rezultatem jest rozczarowanie spowodowane nieuzasadnionymi oczekiwaniami i zmarnowanymi pieniędzmi. Dużo gorzej jest, gdy coś takiego przytrafia się przedsiębiorstwu. Bardzo często chwyty marketingowe są na tyle dobre, że firmy kupują drogie rozwiązanie, nie widząc pełnego obrazu jego zastosowania. Tymczasem próbne testy systemu pomagają zrozumieć, jak przygotować infrastrukturę do integracji, jaką funkcjonalność i w jakim zakresie należy wdrożyć. W ten sposób można uniknąć ogromnej liczby problemów związanych z wyborem produktu „w ciemno”. Ponadto wdrożenie po kompetentnym „pilocie” przyniesie inżynierom znacznie mniej zniszczonych komórek nerwowych i siwych włosów. Przekonajmy się, dlaczego testy pilotażowe są tak ważne dla powodzenia projektu, na przykładzie popularnego narzędzia do kontroli dostępu do sieci firmowej – Cisco ISE. Rozważmy zarówno standardowe, jak i całkowicie niestandardowe opcje wykorzystania rozwiązania, które napotkaliśmy w naszej praktyce.
Cisco ISE - „Serwer Radius na sterydach”
Cisco Identity Services Engine (ISE) to platforma służąca do tworzenia systemu kontroli dostępu do sieci lokalnej organizacji. W środowisku ekspertów produkt ze względu na swoje właściwości zyskał przydomek „serwer Radius na sterydach”. Dlaczego? Zasadniczo rozwiązaniem jest serwer Radius, do którego podłączono ogromną liczbę dodatkowych usług i „sztuczek”, pozwalających otrzymać dużą ilość informacji kontekstowych i zastosować powstały zestaw danych w politykach dostępu.
Jak każdy inny serwer Radius, Cisco ISE współdziała ze sprzętem sieciowym na poziomie dostępu, zbiera informacje o wszystkich próbach połączenia z siecią korporacyjną i w oparciu o zasady uwierzytelniania i autoryzacji zezwala lub odmawia użytkownikom dostępu do sieci LAN. Jednak możliwość profilowania, zamieszczania i integracji z innymi rozwiązaniami zapewniającymi bezpieczeństwo informacji pozwala znacznie skomplikować logikę polityki autoryzacji i tym samym rozwiązać dość trudne i ciekawe problemy.
Wdrożenia nie można pilotować: dlaczego potrzebne są testy?
Wartością testów pilotażowych jest wykazanie wszystkich możliwości systemu w konkretnej infrastrukturze konkretnej organizacji. Wierzę, że pilotaż Cisco ISE przed wdrożeniem przyniesie korzyści wszystkim zaangażowanym w projekt, a oto dlaczego.
Daje to integratorom jasne wyobrażenie o oczekiwaniach klienta i pomaga stworzyć poprawną specyfikację techniczną, która zawiera znacznie więcej szczegółów niż popularne sformułowanie „upewnij się, że wszystko jest w porządku”. „Pilot” pozwala nam poczuć cały ból klienta, zrozumieć, które zadania są dla niego priorytetowe, a które drugorzędne. Dla nas jest to doskonała okazja, aby z wyprzedzeniem dowiedzieć się, jaki sprzęt jest używany w organizacji, jak będzie przebiegać wdrożenie, w jakich lokalizacjach, gdzie się znajdują itp.
Podczas testów pilotażowych klienci widzą rzeczywisty system w akcji, zapoznają się z jego interfejsem, mogą sprawdzić, czy jest on kompatybilny z posiadanym przez nich sprzętem i uzyskać całościowy pogląd, jak rozwiązanie będzie działać po pełnym wdrożeniu. „Pilot” to ten moment, w którym możesz zobaczyć wszystkie pułapki, na jakie najprawdopodobniej natkniesz się podczas integracji i zdecydować, ile licencji potrzebujesz zakupić.
Co może „wyskoczyć” podczas „pilota”
Jak więc odpowiednio przygotować się do wdrożenia Cisco ISE? Z naszego doświadczenia wynika, że naliczyliśmy 4 główne punkty, które należy wziąć pod uwagę podczas pilotażowych testów systemu.
Współczynnik kształtu
Najpierw musisz zdecydować, w jakiej formie system zostanie wdrożony: fizyczny czy wirtualny upline. Każda opcja ma zalety i wady. Na przykład siłą fizycznego upline'u jest jego przewidywalna wydajność, ale nie możemy zapominać, że takie urządzenia z czasem stają się przestarzałe. Wirtualne uplines są mniej przewidywalne, ponieważ... zależą od sprzętu, na którym wdrożone jest środowisko wirtualizacji, ale mają poważną zaletę: jeśli dostępna jest pomoc techniczna, zawsze można je zaktualizować do najnowszej wersji.
Czy Twój sprzęt sieciowy jest kompatybilny z Cisco ISE?
Oczywiście idealnym scenariuszem byłoby podłączenie całego sprzętu do systemu na raz. Jednak nie zawsze jest to możliwe, ponieważ wiele organizacji nadal korzysta z przełączników niezarządzanych lub przełączników, które nie obsługują niektórych technologii obsługujących Cisco ISE. Nawiasem mówiąc, nie mówimy tylko o przełącznikach, mogą to być również kontrolery sieci bezprzewodowej, koncentratory VPN i każdy inny sprzęt, z którym łączą się użytkownicy. W mojej praktyce zdarzały się przypadki, gdy po zademonstrowaniu systemu do pełnego wdrożenia klient modernizował niemal całą flotę przełączników poziomu dostępu na nowoczesny sprzęt Cisco. Aby uniknąć przykrych niespodzianek, warto wcześniej dowiedzieć się, jaka jest proporcja sprzętu nieobsługiwanego.
Czy wszystkie Twoje urządzenia są standardowe?
W każdej sieci znajdują się typowe urządzenia, z którymi połączenie nie powinno być trudne: stacje robocze, telefony IP, punkty dostępu Wi-Fi, kamery wideo i tak dalej. Ale zdarza się również, że do sieci LAN trzeba podłączyć urządzenia niestandardowe, np. konwertery sygnału magistrali RS232/Ethernet, interfejsy zasilaczy UPS, różne urządzenia technologiczne itp. Ważne jest, aby wcześniej ustalić listę takich urządzeń , dzięki czemu już na etapie wdrożenia masz rozeznanie jak technicznie będą one współpracować z Cisco ISE.
Konstruktywny dialog ze specjalistami IT
Klientami Cisco ISE są często działy bezpieczeństwa, natomiast działy IT są zwykle odpowiedzialne za konfigurację przełączników warstwy dostępu i Active Directory. Dlatego produktywna interakcja pomiędzy specjalistami ds. bezpieczeństwa i specjalistami IT jest jednym z ważnych warunków bezbolesnego wdrożenia systemu. Jeśli ci drudzy postrzegają integrację z wrogością, warto im wytłumaczyć, w jaki sposób rozwiązanie będzie przydatne dla działu IT.
5 najważniejszych przypadków użycia Cisco ISE
Z naszego doświadczenia wynika, że wymagana funkcjonalność systemu jest identyfikowana również na etapie testów pilotażowych. Poniżej znajdują się niektóre z najpopularniejszych i mniej powszechnych przypadków użycia rozwiązania.
Bezpieczny dostęp do sieci LAN za pośrednictwem przewodu za pomocą protokołu EAP-TLS
Jak pokazują wyniki badań naszych pentesterów, dość często w celu penetracji sieci firmowej napastnicy wykorzystują zwykłe gniazdka, do których podłączane są drukarki, telefony, kamery IP, punkty Wi-Fi i inne nieosobowe urządzenia sieciowe. Dlatego nawet jeśli dostęp do sieci oparty jest na technologii dot1x, ale stosowane są alternatywne protokoły bez użycia certyfikatów uwierzytelniających użytkownika, istnieje duże prawdopodobieństwo udanego ataku polegającego na przechwyceniu sesji i hasłach typu brute-force. W przypadku Cisco ISE znacznie trudniej będzie ukraść certyfikat - do tego hakerzy będą potrzebowali znacznie większej mocy obliczeniowej, więc ten przypadek jest bardzo skuteczny.
Dostęp bezprzewodowy z dwoma SSID
Istotą tego scenariusza jest użycie 2 identyfikatorów sieciowych (SSID). Jeden z nich można warunkowo nazwać „gościem”. Dzięki niemu zarówno goście, jak i pracownicy firmy mogą uzyskać dostęp do sieci bezprzewodowej. Kiedy próbują się połączyć, te ostatnie są przekierowywane do specjalnego portalu, w którym odbywa się udostępnianie. Oznacza to, że użytkownik otrzymuje certyfikat, a jego urządzenie osobiste jest skonfigurowane tak, aby automatycznie ponownie łączyło się z drugim identyfikatorem SSID, który już korzysta z protokołu EAP-TLS ze wszystkimi zaletami pierwszego przypadku.
Obejście i profilowanie uwierzytelniania MAC
Innym popularnym przypadkiem użycia jest automatyczne wykrywanie typu podłączanego urządzenia i stosowanie do niego odpowiednich ograniczeń. Dlaczego jest interesujący? Faktem jest, że nadal istnieje całkiem sporo urządzeń, które nie obsługują uwierzytelniania przy użyciu protokołu 802.1X. Dlatego takie urządzenia muszą zostać dopuszczone do sieci przy użyciu adresu MAC, który jest dość łatwy do sfałszowania. I tu z pomocą przychodzi Cisco ISE: za pomocą systemu możesz zobaczyć, jak urządzenie zachowuje się w sieci, stworzyć jego profil i przypisać je do grupy innych urządzeń, np. telefonu IP i stacji roboczej . Jeśli osoba atakująca spróbuje sfałszować adres MAC i połączyć się z siecią, system wykryje, że profil urządzenia się zmienił, zasygnalizuje podejrzane zachowanie i nie wpuści podejrzanego użytkownika do sieci.
Łańcuch EAP
Technologia EAP-Chaining obejmuje sekwencyjne uwierzytelnianie działającego komputera i konta użytkownika. Sprawa nabrała rozgłosu, bo... Wiele firm w dalszym ciągu nie zachęca do podłączania osobistych gadżetów pracowników do firmowej sieci LAN. Stosując takie podejście do uwierzytelniania, można sprawdzić, czy dana stacja robocza jest członkiem domeny, a jeśli wynik będzie negatywny, użytkownik albo nie zostanie wpuszczony do sieci, albo będzie mógł się zalogować, ale z pewne ograniczenia.
Pozowanie
Sprawa ta dotyczy oceny zgodności oprogramowania stacji roboczej z wymogami bezpieczeństwa informacji. Korzystając z tej technologii, możesz sprawdzić, czy oprogramowanie na stacji roboczej jest aktualne, czy są na niej zainstalowane zabezpieczenia, czy skonfigurowana jest zapora sieciowa hosta itp. Co ciekawe, technologia ta umożliwia także rozwiązywanie innych zadań niezwiązanych z bezpieczeństwem, np. sprawdzanie obecności niezbędnych plików czy instalowanie oprogramowania ogólnosystemowego.
Mniej powszechne przypadki użycia Cisco ISE obejmują kontrolę dostępu z kompleksowym uwierzytelnianiem domeny (pasywny identyfikator), mikrosegmentację i filtrowanie w oparciu o SGT, a także integrację z systemami zarządzania urządzeniami mobilnymi (MDM) i skanerami podatności.
Projekty niestandardowe: po co jeszcze Cisco ISE, czyli 3 rzadkie przypadki z naszej praktyki
Kontrola dostępu do serwerów opartych na systemie Linux
Kiedyś rozwiązywaliśmy dość nietrywialny przypadek dla jednego z klientów, który miał już wdrożony system Cisco ISE: musieliśmy znaleźć sposób na kontrolowanie działań użytkowników (głównie administratorów) na serwerach z zainstalowanym Linuxem. Szukając odpowiedzi wpadliśmy na pomysł wykorzystania darmowego oprogramowania PAM Radius Module, które umożliwia logowanie się do serwerów z systemem Linux z uwierzytelnieniem na zewnętrznym serwerze Radius. Wszystko w tym względzie byłoby dobrze, gdyby nie jedno „ale”: serwer promienia, wysyłając odpowiedź na żądanie uwierzytelnienia, podaje jedynie nazwę konta i wynik – ocena przyjęta lub ocena odrzucona. Tymczasem do autoryzacji w Linuksie trzeba przypisać jeszcze przynajmniej jeden parametr – katalog domowy, żeby użytkownik chociaż gdzieś się dostał. Nie znaleźliśmy sposobu na podanie tego jako atrybutu promienia, więc napisaliśmy specjalny skrypt do zdalnego tworzenia kont na hostach w trybie półautomatycznym. To zadanie było całkiem wykonalne, ponieważ mieliśmy do czynienia z kontami administratorów, których liczba nie była tak duża. Następnie użytkownicy logowali się na wymagane urządzenie, po czym przydzielano im niezbędny dostęp. Powstaje uzasadnione pytanie: czy w takich przypadkach konieczne jest korzystanie z Cisco ISE? Właściwie nie - wystarczy dowolny serwer Radia, ale ponieważ klient miał już ten system, po prostu dodaliśmy do niego nową funkcję.
Inwentaryzacja sprzętu i oprogramowania w sieci LAN
Kiedyś pracowaliśmy nad projektem dostarczenia Cisco ISE jednemu klientowi bez wstępnego „pilotażu”. Rozwiązanie nie miało jednoznacznych wymagań, dodatkowo mieliśmy do czynienia z płaską, niesegmentowaną siecią, co komplikowało nam zadanie. W trakcie projektu skonfigurowaliśmy wszystkie możliwe metody profilowania obsługiwane przez sieć: NetFlow, DHCP, SNMP, integracja AD itp. W rezultacie dostęp MAR został skonfigurowany z możliwością zalogowania się do sieci w przypadku niepowodzenia uwierzytelnienia. Oznacza to, że nawet jeśli uwierzytelnienie nie powiedzie się, system i tak wpuści użytkownika do sieci, zbierze o nim informacje i zapisze je w bazie danych ISE. Kilkutygodniowe monitorowanie sieci pomogło nam zidentyfikować połączone systemy i urządzenia nieosobowe oraz opracować podejście do ich segmentacji. Następnie dodatkowo skonfigurowaliśmy wysyłanie tak, aby instalowało agenta na stacjach roboczych w celu zbierania informacji o zainstalowanym na nich oprogramowaniu. Jaki jest wynik? Udało nam się segmentować sieć i ustalić listę oprogramowania, które należało usunąć ze stacji roboczych. Nie będę ukrywał, że dalsze zadania podziału użytkowników na grupy domenowe i wytyczenia praw dostępu zajęły nam sporo czasu, ale w ten sposób uzyskaliśmy pełny obraz tego, jaki sprzęt miał klient w sieci. Nawiasem mówiąc, nie było to trudne ze względu na dobrą pracę przy profilowaniu od razu po wyjęciu z pudełka. Cóż, tam, gdzie profilowanie nie pomogło, szukaliśmy sami, podkreślając port przełącznika, do którego podłączony był sprzęt.
Zdalna instalacja oprogramowania na stacjach roboczych
Ten przypadek jest jednym z najdziwniejszych w mojej praktyce. Któregoś dnia przyszedł do nas klient z prośbą o pomoc – coś poszło nie tak przy wdrażaniu Cisco ISE, wszystko się zepsuło i nikt inny nie mógł uzyskać dostępu do sieci. Zaczęliśmy się temu przyglądać i dowiedzieliśmy się, co następuje. Firma posiadała 2000 komputerów, które w przypadku braku kontrolera domeny zarządzane były w ramach konta administratora. Na potrzeby peeringu organizacja wdrożyła Cisco ISE. Trzeba było w jakiś sposób zrozumieć, czy na istniejących komputerach zainstalowano program antywirusowy, czy zaktualizowano środowisko oprogramowania itp. A ponieważ administratorzy IT zainstalowali w systemie sprzęt sieciowy, logiczne jest, że mieli do niego dostęp. Po sprawdzeniu, jak to działa i uporządkowaniu swoich komputerów, administratorzy wpadli na pomysł zdalnej instalacji oprogramowania na stacjach roboczych pracowników, bez osobistych wizyt. Wyobraź sobie, ile kroków możesz w ten sposób zaoszczędzić dziennie! Administratorzy kilkukrotnie sprawdzali stację roboczą pod kątem obecności określonego pliku w katalogu C:Program Files, a w przypadku jego braku uruchamiana była automatyczna naprawa poprzez skorzystanie z odnośnika prowadzącego do magazynu plików do instalacyjnego pliku .exe. Umożliwiło to zwykłym użytkownikom przejście do udziału plików i pobranie stamtąd niezbędnego oprogramowania. Niestety administrator nie znał dobrze systemu ISE i uszkodził mechanizmy wysyłania postów - błędnie napisał politykę, co doprowadziło do problemu, w którego rozwiązaniu byliśmy zaangażowani. Osobiście jestem szczerze zaskoczony tak kreatywnym podejściem, ponieważ stworzenie kontrolera domeny byłoby znacznie tańsze i mniej pracochłonne. Ale jako dowód koncepcji zadziałał.
Więcej o niuansach technicznych, jakie pojawiają się przy wdrażaniu Cisco ISE, przeczytasz w artykule mojego kolegi .
Artem Bobrikov, inżynier projektant Centrum Bezpieczeństwa Informacji w Jet Infosystems
Posłowie:
Pomimo tego, że w tym poście mowa jest o systemie Cisco ISE, opisane problemy dotyczą całej klasy rozwiązań NAC. Nie jest tak istotne, jakiego dostawcy rozwiązanie planuje się wdrożyć – większość z powyższych pozostanie aktualna.
Źródło: www.habr.com