Quantas vezes você compra algo espontaneamente, sucumbindo a uma propaganda bacana, e então esse item inicialmente desejado junta poeira em um armário, despensa ou garagem até a próxima limpeza ou mudança de primavera? O resultado é decepção devido a expectativas injustificadas e desperdício de dinheiro. É muito pior quando isso acontece com uma empresa. Muitas vezes, os truques de marketing são tão bons que as empresas compram uma solução cara sem ter uma visão completa de sua aplicação. Entretanto, os testes experimentais do sistema ajudam a compreender como preparar a infraestrutura para integração, que funcionalidades e em que medida devem ser implementadas. Desta forma, você pode evitar um grande número de problemas por escolher um produto “às cegas”. Além disso, a implementação após um “piloto” competente trará aos engenheiros muito menos células nervosas destruídas e cabelos grisalhos. Vamos descobrir por que o teste piloto é tão importante para um projeto bem-sucedido usando o exemplo de uma ferramenta popular para controlar o acesso a uma rede corporativa - Cisco ISE. Vamos considerar opções padrão e completamente fora do padrão para usar a solução que encontramos em nossa prática.
Cisco ISE - “Servidor Radius com esteróides”
Cisco Identity Services Engine (ISE) é uma plataforma para criar um sistema de controle de acesso para a rede local de uma organização. Na comunidade de especialistas, o produto foi apelidado de “servidor Radius com esteróides” por suas propriedades. Por que é que? Essencialmente, a solução é um servidor Radius, ao qual foi anexado um grande número de serviços e “truques” adicionais, permitindo receber uma grande quantidade de informação contextual e aplicar o conjunto de dados resultante em políticas de acesso.
Como qualquer outro servidor Radius, o Cisco ISE interage com equipamentos de rede de nível de acesso, coleta informações sobre todas as tentativas de conexão à rede corporativa e, com base em políticas de autenticação e autorização, permite ou nega usuários à LAN. No entanto, a possibilidade de criação de perfis, publicação e integração com outras soluções de segurança da informação permite complicar significativamente a lógica da política de autorização e, assim, resolver problemas bastante difíceis e interessantes.
A implementação não pode ser testada: por que você precisa de testes?
O valor do teste piloto é demonstrar todas as capacidades do sistema na infraestrutura específica de uma organização específica. Acredito que testar o Cisco ISE antes da implementação beneficia todos os envolvidos no projeto, e aqui está o porquê.
Isso dá aos integradores uma ideia clara das expectativas do cliente e ajuda a criar uma especificação técnica correta que contém muito mais detalhes do que a frase comum “certifique-se de que está tudo bem”. O “Piloto” permite-nos sentir todas as dores do cliente, perceber quais as tarefas que são prioritárias para ele e quais são secundárias. Para nós, esta é uma excelente oportunidade para saber com antecedência quais equipamentos são utilizados na organização, como será a implantação, em quais locais, onde estão localizados, e assim por diante.
Durante o teste piloto, os clientes veem o sistema real em ação, familiarizam-se com sua interface, podem verificar se ele é compatível com o hardware existente e obter uma compreensão holística de como a solução funcionará após a implementação completa. “Piloto” é o momento em que você pode ver todas as armadilhas que provavelmente encontrará durante a integração e decidir quantas licenças você precisa adquirir.
O que pode “aparecer” durante o “piloto”
Então, como você se prepara adequadamente para implementar o Cisco ISE? Pela nossa experiência, contamos 4 pontos principais que são importantes a serem considerados durante o teste piloto do sistema.
-Орм-фактор
Primeiro, você precisa decidir em que formato o sistema será implementado: upline físico ou virtual. Cada opção tem vantagens e desvantagens. Por exemplo, a força de uma linha ascendente física é o seu desempenho previsível, mas não devemos esquecer que tais dispositivos se tornam obsoletos com o tempo. Uplines virtuais são menos previsíveis porque... dependem do hardware no qual o ambiente de virtualização está implantado, mas têm uma grande vantagem: se houver suporte disponível, eles sempre poderão ser atualizados para a versão mais recente.
O seu equipamento de rede é compatível com Cisco ISE?
É claro que o cenário ideal seria conectar todos os equipamentos ao sistema de uma só vez. No entanto, isso nem sempre é possível, pois muitas organizações ainda usam switches não gerenciados ou switches que não suportam algumas das tecnologias que executam o Cisco ISE. Aliás, não estamos falando apenas de switches, podem ser também controladores de rede wireless, concentradores VPN e quaisquer outros equipamentos aos quais os usuários se conectem. Na minha prática, houve casos em que, após demonstrar o sistema para implementação completa, o cliente atualizou quase toda a frota de switches de nível de acesso para equipamentos Cisco modernos. Para evitar surpresas desagradáveis, vale saber com antecedência a proporção de equipamentos não suportados.
Todos os seus dispositivos são padrão?
Qualquer rede possui dispositivos típicos aos quais não deve ser difícil conectar-se: estações de trabalho, telefones IP, pontos de acesso Wi-Fi, câmeras de vídeo e assim por diante. Mas também acontece que dispositivos não padronizados precisam ser conectados à LAN, por exemplo, conversores de sinal de barramento RS232/Ethernet, interfaces de fonte de alimentação ininterrupta, diversos equipamentos tecnológicos, etc. , para que na fase de implementação você já tenha uma compreensão de como eles funcionarão tecnicamente com o Cisco ISE.
Diálogo construtivo com especialistas em TI
Os clientes do Cisco ISE geralmente são departamentos de segurança, enquanto os departamentos de TI geralmente são responsáveis pela configuração dos switches da camada de acesso e do Active Directory. Portanto, a interação produtiva entre especialistas em segurança e especialistas em TI é uma das condições importantes para uma implementação indolor do sistema. Caso estes últimos percebam a integração com hostilidade, vale explicar-lhes como a solução será útil ao departamento de TI.
Os 5 principais casos de uso do Cisco ISE
Na nossa experiência, a funcionalidade necessária do sistema também é identificada na fase de teste piloto. Abaixo estão alguns dos casos de uso mais populares e menos comuns da solução.
Acesso seguro à LAN por fio com EAP-TLS
Como mostram os resultados da pesquisa de nossos pentesters, muitas vezes, para penetrar na rede de uma empresa, os invasores usam soquetes comuns aos quais estão conectadas impressoras, telefones, câmeras IP, pontos Wi-Fi e outros dispositivos de rede não pessoais. Portanto, mesmo que o acesso à rede seja baseado na tecnologia dot1x, mas protocolos alternativos sejam usados sem o uso de certificados de autenticação de usuário, há uma alta probabilidade de um ataque bem-sucedido com interceptação de sessão e senhas de força bruta. No caso do Cisco ISE, será muito mais difícil roubar um certificado - para isso, os hackers precisarão de muito mais poder computacional, então este caso é muito eficaz.
Acesso sem fio SSID duplo
A essência deste cenário é usar 2 identificadores de rede (SSIDs). Um deles pode ser condicionalmente chamado de “convidado”. Através dele, tanto hóspedes quanto funcionários da empresa podem acessar a rede wireless. Ao tentarem se conectar, estes são redirecionados para um portal especial onde ocorre o provisionamento. Ou seja, o usuário recebe um certificado e seu dispositivo pessoal é configurado para se reconectar automaticamente ao segundo SSID, que já utiliza EAP-TLS com todas as vantagens do primeiro caso.
Ignorar e criar perfis de autenticação MAC
Outro caso de uso popular é detectar automaticamente o tipo de dispositivo conectado e aplicar as restrições corretas a ele. Por que ele é interessante? O fato é que ainda existem muitos dispositivos que não suportam autenticação pelo protocolo 802.1X. Portanto, esses dispositivos devem ser permitidos na rede usando um endereço MAC, que é bastante fácil de falsificar. É aqui que o Cisco ISE vem em socorro: com a ajuda do sistema, você pode ver como um dispositivo se comporta na rede, criar seu perfil e atribuí-lo a um grupo de outros dispositivos, por exemplo, um telefone IP e uma estação de trabalho . Se um invasor tentar falsificar um endereço MAC e se conectar à rede, o sistema verá que o perfil do dispositivo mudou, sinalizará um comportamento suspeito e não permitirá que o usuário suspeito entre na rede.
Encadeamento EAP
A tecnologia EAP-Chaining envolve autenticação sequencial do PC em funcionamento e da conta do usuário. Este caso se tornou generalizado porque... Muitas empresas ainda não incentivam a conexão dos dispositivos pessoais dos funcionários à LAN corporativa. Usando esta abordagem de autenticação, é possível verificar se uma determinada estação de trabalho é membro do domínio e, se o resultado for negativo, o usuário não terá permissão para entrar na rede ou poderá entrar, mas com certos restrições.
Postura
Este caso trata da avaliação da conformidade do software da estação de trabalho com os requisitos de segurança da informação. Usando esta tecnologia, você pode verificar se o software da estação de trabalho está atualizado, se medidas de segurança estão instaladas nela, se o firewall do host está configurado, etc. Curiosamente, esta tecnologia também permite resolver outras tarefas não relacionadas à segurança, por exemplo, verificar a presença dos arquivos necessários ou instalar software em todo o sistema.
Os casos de uso menos comuns do Cisco ISE incluem controle de acesso com autenticação de domínio ponta a ponta (ID passivo), microssegmentação e filtragem baseadas em SGT, bem como integração com sistemas de gerenciamento de dispositivos móveis (MDM) e scanners de vulnerabilidade.
Projetos fora do padrão: por que outro motivo você precisaria do Cisco ISE ou 3 casos raros de nossa prática
Controle de acesso a servidores baseados em Linux
Certa vez estávamos resolvendo um caso nada trivial para um dos clientes que já tinha o sistema Cisco ISE implementado: precisávamos encontrar uma maneira de controlar as ações dos usuários (principalmente administradores) em servidores com Linux instalado. Em busca de uma resposta, tivemos a ideia de utilizar o software gratuito PAM Radius Module, que permite fazer login em servidores rodando Linux com autenticação em um servidor radius externo. Tudo nesse sentido seria bom, se não fosse por um “mas”: o servidor radius, ao enviar uma resposta ao pedido de autenticação, fornece apenas o nome da conta e o resultado - avaliação aceita ou avaliação rejeitada. Enquanto isso, para autorização no Linux, você precisa atribuir pelo menos mais um parâmetro - diretório inicial, para que o usuário pelo menos chegue a algum lugar. Não encontramos uma maneira de fornecer isso como um atributo radius, então escrevemos um script especial para criar contas remotamente em hosts em modo semiautomático. Essa tarefa era bastante viável, pois se tratava de contas de administrador, cujo número não era tão grande. Em seguida, os usuários fizeram login no dispositivo necessário e, após isso, receberam o acesso necessário. Surge uma pergunta razoável: é necessário usar o Cisco ISE nesses casos? Na verdade, não - qualquer servidor radius serve, mas como o cliente já tinha esse sistema, simplesmente adicionamos um novo recurso a ele.
Inventário de hardware e software na LAN
Certa vez, trabalhamos em um projeto para fornecer Cisco ISE a um cliente sem um “piloto” preliminar. Não havia requisitos claros para a solução e estávamos lidando com uma rede plana e não segmentada, o que complicou nossa tarefa. Durante o projeto, configuramos todos os métodos de criação de perfil possíveis que a rede suportava: NetFlow, DHCP, SNMP, integração AD, etc. Como resultado, o acesso MAR foi configurado com a capacidade de efetuar login na rede caso a autenticação falhasse. Ou seja, mesmo que a autenticação não fosse bem-sucedida, o sistema ainda permitiria que o usuário entrasse na rede, coletasse informações sobre ele e as registrasse no banco de dados do ISE. Esse monitoramento de rede durante várias semanas nos ajudou a identificar sistemas conectados e dispositivos não pessoais e a desenvolver uma abordagem para segmentá-los. Depois disso, configuramos adicionalmente a postagem para instalação do agente nas estações de trabalho, a fim de coletar informações sobre o software instalado nelas. Qual é o resultado? Conseguimos segmentar a rede e determinar a lista de softwares que precisavam ser removidos das estações de trabalho. Não vou esconder que outras tarefas de distribuição de usuários em grupos de domínio e delimitação de direitos de acesso levaram muito tempo, mas desta forma obtivemos uma visão completa de qual hardware o cliente tinha na rede. A propósito, isso não foi difícil devido ao bom trabalho de criação de perfil pronto para uso. Bem, onde o perfil não ajudou, nós mesmos olhamos, destacando a porta do switch à qual o equipamento estava conectado.
Instalação remota de software em estações de trabalho
Este caso é um dos mais estranhos da minha prática. Um dia, um cliente veio até nós pedindo ajuda - algo deu errado durante a implementação do Cisco ISE, tudo quebrou e ninguém mais conseguiu acessar a rede. Começamos a investigar e descobrimos o seguinte. A empresa tinha 2000 computadores que, na ausência de um controlador de domínio, eram gerenciados por uma conta de administrador. Para fins de peering, a organização implementou o Cisco ISE. Era necessário entender de alguma forma se um antivírus foi instalado nos PCs existentes, se o ambiente de software foi atualizado, etc. E como os administradores de TI instalaram equipamentos de rede no sistema, é lógico que tivessem acesso a ele. Depois de ver como funciona e aprimorar seus PCs, os administradores tiveram a ideia de instalar o software nas estações de trabalho dos funcionários remotamente, sem visitas pessoais. Imagine quantos passos você pode economizar por dia dessa maneira! Os administradores realizaram diversas verificações na estação de trabalho quanto à presença de um arquivo específico no diretório C:Arquivos de Programas e, caso estivesse ausente, a remediação automática era iniciada seguindo um link que levava ao armazenamento do arquivo no arquivo .exe de instalação. Isso permitiu que usuários comuns acessassem um compartilhamento de arquivos e baixassem o software necessário de lá. Infelizmente, o administrador não conhecia bem o sistema ISE e danificou os mecanismos de postagem - ele escreveu a política incorretamente, o que levou a um problema que estávamos envolvidos na solução. Pessoalmente, estou sinceramente surpreso com essa abordagem criativa, porque seria muito mais barato e trabalhoso criar um controlador de domínio. Mas como prova de conceito funcionou.
Leia mais sobre as nuances técnicas que surgem ao implementar o Cisco ISE no artigo do meu colega .
Artem Bobrikov, engenheiro de design do Centro de Segurança da Informação da Jet Infosystems
Posfácio:
Apesar de este post falar sobre o sistema Cisco ISE, os problemas descritos são relevantes para toda a classe de soluções NAC. Não é tão importante qual solução do fornecedor está planejada para implementação - a maioria das opções acima permanecerá aplicável.
Fonte: habr.com