تاسو څو ځله یو څه په ناڅاپه توګه اخلئ، د یخ اعلاناتو سره مخ شئ، او بیا دا په پیل کې مطلوب توکي په المارۍ، پینټري یا ګراج کې د راتلونکي پسرلي پاکولو یا حرکت کولو پورې دوړو راټولوي؟ پایله د ناحقه توقعاتو او ضایع شوي پیسو له امله نا امیدي ده. دا خورا بد دی کله چې دا په سوداګرۍ کې پیښیږي. ډیری وختونه، د بازار موندنې چالونه دومره ښه دي چې شرکتونه د دې غوښتنلیک بشپړ انځور لیدلو پرته یو ګران حل اخلي. په ورته وخت کې، د سیسټم آزموینې ازموینه مرسته کوي چې پوه شي چې څنګه د ادغام لپاره زیربنا چمتو کول، کوم فعالیت او تر کومې کچې باید پلي شي. پدې توګه تاسو کولی شئ د "ړوند" محصول غوره کولو له امله د لوی شمیر ستونزو څخه مخنیوی وکړئ. برسېره پردې، د یو وړ "پائلټ" وروسته پلي کول به انجنیران راولي چې د عصبي حجرو ویجاړ شوي او خړ ویښتان ډیر لږ وي. راځئ چې معلومه کړو چې ولې پیلوټ ازموینه د یوې بریالۍ پروژې لپاره خورا مهم ده، د کارپوریټ شبکې ته د لاسرسي کنټرول لپاره د مشهور وسیلې مثال په کارولو سره - سیسکو ISE. راځئ چې د حل کارولو لپاره دواړه معیاري او په بشپړ ډول غیر معیاري اختیارونه په پام کې ونیسو چې زموږ په تمرین کې ورسره مخ شوي.
سیسکو ISE - "په سټرایډونو کې د ریډیس سرور"
د سیسکو پیژندنې خدماتو انجن (ISE) د یوې ادارې سیمه ایزې شبکې لپاره د لاسرسي کنټرول سیسټم رامینځته کولو پلیټ فارم دی. د متخصصینو په ټولنه کې، محصول د هغې د ملکیتونو لپاره "د سټرایډونو ریډیس سرور" نومول شوی و. ولې دغه دی؟ په لازمي ډول ، حل د ریډیس سرور دی ، کوم چې لوی شمیر اضافي خدمات او "چلونه" ضمیمه شوي ، تاسو ته اجازه درکوي د متناسب معلوماتو لوی مقدار ترلاسه کړئ او د لاسرسي پالیسیو کې د ډیټا پایلې سیټ پلي کړئ.
د کوم بل ریډیس سرور په څیر، سیسکو ISE د لاسرسي کچې شبکې تجهیزاتو سره اړیکه لري، د کارپوریټ شبکې سره د وصل کولو ټولو هڅو په اړه معلومات راټولوي او د تصدیق او واک ورکولو پالیسیو پراساس، کاروونکو ته اجازه ورکوي یا رد کړي LAN ته. په هرصورت ، د نورو معلوماتو امنیت حلونو سره د پروفایل کولو ، پوسټ کولو ، او ادغام امکان دا امکان رامینځته کوي چې د واک ورکولو پالیسۍ منطق د پام وړ پیچلي کړي او پدې توګه خورا ستونزمن او په زړه پوري ستونزې حل کړي.
پلي کول ازمویل کیدی نشي: تاسو ولې ازموینې ته اړتیا لرئ؟
د ازمایښتي ازموینې ارزښت د یوې ځانګړې ادارې په ځانګړي زیربنا کې د سیسټم ټولې وړتیاوې ښودل دي. زه باور لرم چې د پلي کولو دمخه د سیسکو ISE پیل کول په پروژه کې دخیل هرڅوک ګټه کوي ، او دلته ولې.
دا ادغام کونکو ته د پیرودونکي توقعاتو روښانه نظر ورکوي او د سم تخنیکي توضیحاتو رامینځته کولو کې مرسته کوي چې د عام جملې څخه ډیر توضیحات لري "ډاډ ترلاسه کړئ چې هرڅه سم دي." "پائلټ" موږ ته اجازه راکوي چې د پیرودونکي ټول درد احساس کړو، ترڅو پوه شو چې کوم کارونه د هغه لپاره لومړیتوب لري او کوم ثانوي دي. زموږ لپاره، دا یو ښه فرصت دی چې مخکې له مخکې معلومه کړئ چې کوم تجهیزات په سازمان کې کارول کیږي، پلي کول به څنګه ترسره شي، په کوم سایټونو کې، چیرته چې موقعیت لري، او داسې نور.
د ازمایښتي ازموینې په جریان کې ، پیرودونکي ریښتیني سیسټم په عمل کې ګوري ، د دې انٹرفیس سره آشنا کیږي ، کولی شي وګوري چې ایا دا د دوی موجوده هارډویر سره مطابقت لري ، او د بشپړ پلي کیدو وروسته به د حل څرنګوالي په اړه بشپړ پوهه ترلاسه کړي. "پائلټ" هغه شیبه ده کله چې تاسو کولی شئ ټول هغه نیمګړتیاوې وګورئ چې تاسو به د ادغام پرمهال ورسره مخ شئ، او پریکړه وکړئ چې تاسو څومره جوازونو پیرودلو ته اړتیا لرئ.
د "پائلټ" په جریان کې څه شی "پاپ اپ" کولی شي
نو، تاسو څنګه د سیسکو ISE پلي کولو لپاره په سمه توګه چمتو کوئ؟ زموږ له تجربې څخه، موږ 4 اصلي ټکي شمیرلي چې د سیسټم د ازمایښتي ازموینې په جریان کې په پام کې نیولو سره مهم دي.
د فارم فاکتور
لومړی، تاسو اړتیا لرئ پریکړه وکړئ چې سیسټم به په کوم ډول فکتور کې پلي شي: فزیکي یا مجازی اپلاین. هر انتخاب ګټې او زیانونه لري. د مثال په توګه، د فزیکي اپلاین ځواک د اټکل وړ فعالیت دی، مګر موږ باید هیر نکړو چې دا ډول وسایل د وخت په تیریدو سره ناببره کیږي. مجازی اپلاینونه لږ د وړاندوینې وړ دي ځکه چې ... په هارډویر پورې اړه لري په کوم کې چې د مجازی کولو چاپیریال ځای په ځای شوی ، مګر دوی جدي ګټه لري: که ملاتړ شتون ولري ، دوی تل وروستي نسخې ته تازه کیدی شي.
ایا ستاسو د شبکې تجهیزات د سیسکو ISE سره مطابقت لري؟
البته، مثالی سناریو به دا وي چې ټول تجهیزات په یو وخت کې سیسټم سره وصل کړئ. په هرصورت، دا تل ممکنه نه وي ځکه چې ډیری سازمانونه لاهم غیر منظم شوي سویچونه یا سویچ کاروي چې د ځینو ټیکنالوژیو ملاتړ نه کوي چې د سیسکو ISE چلوي. په هرصورت، موږ یوازې د سویچونو په اړه خبرې نه کوو، دا د بېسیم شبکې کنټرولرونه، د VPN تمرکز کونکي او نور وسایل هم کیدی شي چې کاروونکي ورسره نښلوي. زما په عمل کې، داسې قضیې شتون لري کله چې د بشپړ پلي کولو لپاره د سیسټم ښودلو وروسته، پیرودونکي د لاسرسي کچې نږدې ټوله بیړۍ د عصري سیسکو تجهیزاتو ته پورته کړه. د ناخوښۍ حیرانتیا څخه مخنیوي لپاره، دا ارزښت لري چې مخکې له مخکې د نه ملاتړ شوي تجهیزاتو تناسب ومومئ.
ایا ستاسو ټول وسایل معیاري دي؟
هره شبکه عادي وسایل لري چې باید ورسره نښلول ستونزمن نه وي: ورک سټیشنونه، IP تلیفونونه، د وائی فای لاسرسي نقطې، ویډیو کیمرې، او داسې نور. مګر دا هم پیښیږي چې غیر معیاري وسایل د LAN سره وصل کیدو ته اړتیا لري، د بیلګې په توګه، د RS232/Ethernet بس سیګنال کنورټرونه، د بریښنا رسولو بې بنسټه انٹرفیسونه، مختلف تخنیکي تجهیزات، او داسې نور. دا مهمه ده چې د دې ډول وسایلو لیست مخکې له مخکې مشخص کړئ. ، نو د تطبیق په مرحله کې تاسو دمخه پدې پوهیدلي یاست چې څنګه به تخنیکي پلوه دوی د سیسکو ISE سره کار وکړي.
د معلوماتي ټکنالوجۍ متخصصینو سره رغنده خبرې اترې
د سیسکو ISE پیرودونکي اکثرا د امنیت ډیپارټمنټونه دي، پداسې حال کې چې د معلوماتي ټکنالوجۍ ډیپارټمنټونه معمولا د لاسرسي پرت سویچونو او فعال لارښود تنظیم کولو مسؤلیت لري. له همدې امله، د امنیتي متخصصینو او د معلوماتي ټکنالوجۍ متخصصینو ترمنځ ګټور تعامل د سیسټم د بې درده پلي کولو لپاره یو له مهمو شرایطو څخه دی. که وروستنی د دښمنۍ سره ادغام احساس کړي، نو دا د دوی لپاره د تشریح کولو ارزښت لري چې حل به څنګه د معلوماتي ټکنالوجۍ څانګې لپاره ګټور وي.
د سیسکو ISE کارولو 5 غوره قضیې
زموږ په تجربه کې، د سیسټم اړین فعالیت هم د ازمایښتي ازموینې په مرحله کې پیژندل شوی. لاندې د حل لپاره ځینې خورا مشهور او لږ عام استعمال قضیې دي.
د EAP-TLS سره په تار کې د LAN لاسرسی خوندي کړئ
لکه څنګه چې زموږ د پینټیسټر څیړنې پایلې ښیې ، ډیری وختونه د شرکت شبکې ته د ننوتلو لپاره ، برید کونکي عادي ساکټونه کاروي کوم چې پرنټرونه ، تلیفونونه ، IP کیمرې ، وای فای پوائنټونه او نور غیر شخصي شبکې وسایل سره وصل دي. له همدې امله، که څه هم د شبکې لاسرسی د dot1x ټیکنالوژۍ پراساس وي، مګر بدیل پروتوکولونه د کارونکي تصدیق سندونو کارولو پرته کارول کیږي، د سیشن مداخلې او د وحشي ځواک پاسورډونو سره د بریالي برید احتمال ډیر دی. د سیسکو ISE په قضیه کې، د سند غلا کول به خورا ستونزمن وي - د دې لپاره، هیکران به ډیر کمپیوټري ځواک ته اړتیا ولري، نو دا قضیه خورا اغیزمنه ده.
دوه ګونی SSID بې سیم لاسرسی
د دې سناریو جوهر د 2 شبکې پیژندونکي (SSIDs) کارول دي. یو له دوی څخه په مشروط ډول "میلمه" بلل کیدی شي. د دې له لارې، دواړه میلمانه او د شرکت کارمندان کولی شي د بېسیم شبکې ته لاسرسی ومومي. کله چې دوی د نښلولو هڅه کوي، وروستی یو ځانګړي پورټل ته لیږدول کیږي چیرې چې چمتو کول ترسره کیږي. دا دی ، کارونکي ته یو سند صادر شوی او د هغه شخصي وسیله ترتیب شوې ترڅو په اتوماتيک ډول دوهم SSID سره وصل شي ، کوم چې دمخه د لومړۍ قضیې ټولو ګټو سره EAP-TLS کاروي.
د MAC تصدیق بای پاس او پروفایل کول
د کارونې بله مشهوره قضیه دا ده چې په اتوماتيک ډول د وسیلې ډول وصل کړي او سم محدودیتونه پلي کړي. هغه ولې په زړه پورې دی؟ حقیقت دا دی چې لاهم ډیری وسایل شتون لري چې د 802.1X پروتوکول په کارولو سره د تصدیق ملاتړ نه کوي. له همدې امله، دا ډول وسایل باید د MAC پتې په کارولو سره شبکې ته اجازه ورکړل شي، کوم چې جعلي کول خورا اسانه دي. دا هغه ځای دی چې سیسکو ISE ژغورنې ته راځي: د سیسټم په مرسته ، تاسو کولی شئ وګورئ چې وسیله په شبکه کې څنګه چلند کوي ، خپل پروفایل رامینځته کړئ او د نورو وسیلو یوې ډلې ته یې وسپارئ ، د مثال په توګه ، د IP تلیفون او یو ورک سټیشن . که یو بریدګر هڅه وکړي چې د MAC پته غلا کړي او له شبکې سره وصل شي، سیسټم به وګوري چې د وسیلې پروفایل بدل شوی، د شکمن چلند نښه به کوي او شکمن کارونکي ته به اجازه ورنکړي چې شبکې ته داخل شي.
EAP - زنځیر کول
د EAP-چینینګ ټیکنالوژي د کاري کمپیوټر او کارونکي حساب ترتیبي تصدیق شاملوي. دا قضیه پراخه شوې ځکه چې ... ډیری شرکتونه لاهم د کارپوریټ LAN سره د کارمندانو شخصي ګیجټونو سره نښلول نه هڅوي. د تصدیق کولو لپاره د دې طریقې په کارولو سره، دا ممکنه ده چې وګورو چې ایا یو ځانګړی کاري سټیشن د ډومین غړی دی، او که پایله منفي وي، نو کارونکي به یا به شبکې ته اجازه ورنکړل شي، یا به د ننوتلو توان ولري، مګر په یقین سره. محدودیتونه
پوست کول
دا قضیه د معلوماتو امنیت اړتیاو سره د کار سټیشن سافټویر اطاعت ارزولو په اړه ده. د دې ټیکنالوژۍ په کارولو سره، تاسو کولی شئ وګورئ چې آیا د کار سټیشن سافټویر تازه شوی، ایا امنیتي تدابیر په دې کې نصب شوي، ایا د کوربه فایروال تنظیم شوی، او نور. په زړه پورې، دا ټیکنالوژي تاسو ته اجازه درکوي نورې دندې هم حل کړئ چې امنیت پورې اړه نلري، د بیلګې په توګه، د اړینو فایلونو شتون چک کول یا د سیسټم په کچه سافټویر نصب کول.
د سیسکو ISE لپاره لږ عام استعمال قضیې د پای څخه تر پای ډومین تصدیق (غیر فعال ID) سره د لاسرسي کنټرول ، د SGT پراساس مایکرو سیګمینټیشن او فلټر کول ، او همدارنګه د ګرځنده وسیلې مدیریت (MDM) سیسټمونو او د زیان مننې سکینرونو سره ادغام شامل دي.
غیر معیاري پروژې: نور ولې تاسو سیسکو ISE ته اړتیا لرئ، یا زموږ د تمرین څخه 3 نادر قضیې
د لینکس میشته سرورونو ته د لاسرسي کنټرول
یوځل چې موږ د یو پیرودونکي لپاره غیر معمولي قضیه حل کړه چې دمخه یې د سیسکو ISE سیسټم پلي کړی و: موږ اړتیا درلوده چې د لینکس نصب شوي سرورونو کې د کاروونکو کړنو (اکثره مدیرانو) کنټرولولو لپاره لاره ومومئ. د ځواب په لټه کې، موږ د وړیا PAM ریډیس ماډل سافټویر کارولو مفکورې سره مخ شو، کوم چې تاسو ته اجازه درکوي چې په بهرنۍ ریډیس سرور کې د اعتبار سره د لینکس چلولو سرورونو ته ننوځئ. په دې اړه هرڅه به ښه وي، که نه د یو "مګر" لپاره: د ریډیس سرور، د تصدیق غوښتنې ته ځواب لیږل، یوازې د حساب نوم او پایله ورکوي - د منل شوي یا رد شوي ارزونه. په ورته وخت کې ، په لینکس کې د واک ورکولو لپاره ، تاسو اړتیا لرئ لږترلږه یو نور پیرامیټر وټاکئ - د کور لارښود ، ترڅو کارونکي لږترلږه یو ځای شي. موږ د دې د وړانګو خاصیت په توګه د ورکولو لپاره کومه لاره ونه موندله، نو موږ په نیمه اتوماتیک حالت کې په کوربه توب د لیرې حسابونو رامینځته کولو لپاره ځانګړی سکریپټ ولیکه. دا کار خورا ممکن و، ځکه چې موږ د مدیر حسابونو سره معامله کوله، چې شمیر یې دومره لوی نه و. بیا، کاروونکي اړین وسیله ته ننوتل، وروسته له هغه چې دوی ته اړین لاسرسی وټاکل شو. یو معقول پوښتنه راپورته کیږي: ایا په داسې قضیو کې د سیسکو ISE کارول اړین دي؟ په حقیقت کې، نه - کوم ریډیس سرور به دا کار وکړي، مګر ځکه چې پیرودونکي دمخه دا سیسټم درلود، موږ په ساده ډول دې ته یو نوی خصوصیت اضافه کړ.
په LAN کې د هارډویر او سافټویر لیست
موږ یوځل په یوه پروژه کار وکړ چې د سیسکو ISE یو پیرودونکي ته پرته له لومړني "پائلټ" وړاندې کړو. د حل لپاره هیڅ روښانه اړتیاوې نه وې، سربیره پردې موږ د فلیټ، غیر قطع شوي شبکې سره معامله کوله، کوم چې زموږ دنده پیچلې کړې. د پروژې په جریان کې، موږ د پروفایل کولو ټولې ممکنه میتودونه ترتیب کړل چې شبکې یې ملاتړ کوي: NetFlow، DHCP، SNMP، AD ادغام، او داسې نور. د پایلې په توګه، د MAR لاسرسی د شبکې د ننوتلو وړتیا سره ترتیب شوی و که چیرې تصدیق ناکام شي. دا دی، حتی که تصدیق بریالی نه وي، سیسټم به بیا هم کاروونکي ته اجازه ورکړي چې شبکې ته راشي، د هغه په اړه معلومات راټول کړي او په ISE ډیټابیس کې یې ثبت کړي. د څو اونیو په اوږدو کې د دې شبکې څارنې له موږ سره د تړل شوي سیسټمونو او غیر شخصي وسایلو په پیژندلو کې مرسته وکړه او د دوی د برخې کولو لپاره یوه طریقه جوړه کړه. له دې وروسته، موږ د کار سټیشنونو کې د اجنټ نصبولو لپاره پوسټینګ هم تنظیم کړ ترڅو د دوی نصب شوي سافټویر په اړه معلومات راټول کړي. پایله څه ده؟ موږ وکولای شو چې شبکه قطعه کړو او د سافټویر لیست وټاکو چې د کار سټیشنونو څخه لرې کولو ته اړتیا لري. زه به دا پټ نه کړم چې د ډومین ګروپونو کې د کاروونکو توزیع کولو او د لاسرسي حقونو تشریح کولو نور کارونه موږ ډیر وخت واخیست ، مګر پدې توګه موږ د هغه هارډویر بشپړ عکس ترلاسه کړ چې پیرودونکي په شبکه کې لري. په هرصورت، دا د بکس څخه بهر د پروفایل کولو د ښه کار له امله ستونزمن نه و. ښه ، چیرې چې پروفایل کولو سره مرسته نده کړې ، موږ خپل ځان ته ګورو ، د سویچ پورټ روښانه کول چې تجهیزات ورسره وصل شوي وو.
په کاري سټیشنونو کې د سافټویر لرې نصب کول
دا قضیه زما په عمل کې ترټولو عجیبه ده. یوه ورځ، یو پیرودونکی موږ ته د مرستې لپاره د ژړا سره راغی - یو څه غلط شو کله چې د سیسکو ISE پلي کول، هرڅه مات شول، او هیڅوک نشي کولی شبکې ته لاسرسی ومومي. موږ د هغې په لټه کې پیل وکړ او لاندې یې وموندل. شرکت 2000 کمپیوټرونه درلودل، کوم چې د ډومین کنټرولر په نشتوالي کې، د مدیر حساب لاندې اداره کیده. د پییر کولو هدف لپاره، سازمان د سیسکو ISE تطبیق کړ. دا اړینه وه چې یو څه پوه شو چې ایا په موجوده کمپیوټرونو کې انټي ویروس نصب شوی و ، ایا د سافټویر چاپیریال تازه شوی و ، او داسې نور. او له هغه وخته چې د معلوماتي ټکنالوجۍ مدیرانو سیسټم کې د شبکې تجهیزات نصب کړي، دا منطقي ده چې دوی ورته لاسرسی درلود. د دې لیدو وروسته چې دا څنګه کار کوي او د دوی کمپیوټرونه پوسټ کوي ، مدیران د شخصي لیدنو پرته د کارمندانو کاري سټیشنونو کې د سافټویر نصبولو مفکورې سره راغلل. یوازې تصور وکړئ چې تاسو هره ورځ په دې توګه څومره ګامونه خوندي کولی شئ! مدیرانو د C: Program Files ډایرکټر کې د ځانګړي فایل شتون لپاره د کار سټیشن ډیری چکونه ترسره کړل، او که چیرې دا غیر حاضر وي، اتوماتیک درملنه د لینک په تعقیب پیل شوه چې د فایل ذخیره کولو لپاره د نصب کولو .exe فایل ته لیږدول کیږي. دا عادي کاروونکو ته اجازه ورکوي چې د فایل شریکولو ته لاړ شي او له هغه ځایه اړین سافټویر ډاونلوډ کړي. له بده مرغه، مدیر د ای ایس ای سیسټم ښه نه پوهیده او د پوسټ کولو میکانیزمونه یې خراب کړل - هغه پالیسي ناسمه لیکلې، چې دا ستونزه د دې لامل شوه چې موږ په حل کولو کې ښکیل وو. په شخصي توګه، زه په صادقانه توګه د داسې تخلیقي چلند څخه حیران یم، ځکه چې دا به د ډومین کنټرولر رامینځته کولو لپاره خورا ارزانه او لږ کار وي. مګر د مفهوم ثبوت په توګه دا کار وکړ.
د تخنیکي باریکیو په اړه نور ولولئ چې زما د همکار په مقاله کې د سیسکو ISE پلي کولو پرمهال رامینځته کیږي .
آرټیم بوبریکوف، د جیټ انفوسیستم کې د معلوماتو امنیت مرکز ډیزاین انجنیر
وروسته:
د دې حقیقت سره سره چې دا پوسټ د سیسکو ISE سیسټم په اړه خبرې کوي، تشریح شوي ستونزې د NAC حلونو ټول ټولګي لپاره اړین دي. دا دومره مهمه نده چې د پلورونکي حل د پلي کولو لپاره پلان شوی - ډیری پورتنۍ به د پلي کیدو وړ وي.
سرچینه: www.habr.com