Cât de des cumperi ceva spontan, cedând în fața unei reclame cool, iar apoi acest articol dorit inițial adună praf într-un dulap, cămară sau garaj până la următoarea curățenie sau mutare de primăvară? Rezultatul este dezamăgirea din cauza așteptărilor nejustificate și a banilor irositi. Este mult mai rău când se întâmplă asta unei afaceri. Foarte des, trucurile de marketing sunt atât de bune încât companiile achiziționează o soluție scumpă fără a vedea imaginea completă a aplicației acesteia. Între timp, testarea de probă a sistemului ajută la înțelegerea modului de pregătire a infrastructurii pentru integrare, ce funcționalitate și în ce măsură ar trebui implementată. Astfel puteți evita un număr mare de probleme din cauza alegerii „orbește” a unui produs. În plus, implementarea după un „pilot” competent va aduce inginerilor mult mai puține celule nervoase distruse și păr gri. Să ne dăm seama de ce testarea pilot este atât de importantă pentru un proiect de succes, folosind exemplul unui instrument popular pentru controlul accesului la o rețea corporativă - Cisco ISE. Să luăm în considerare atât opțiunile standard, cât și complet nestandard pentru utilizarea soluției pe care am întâlnit-o în practica noastră.
Cisco ISE - „Serverul Radius pe steroizi”
Cisco Identity Services Engine (ISE) este o platformă pentru crearea unui sistem de control al accesului pentru rețeaua locală a unei organizații. În comunitatea de experți, produsul a fost supranumit „Serverul Radius pe steroizi” pentru proprietățile sale. De ce este asta? În esență, soluția este un server Radius, căruia i s-au atașat un număr mare de servicii și „trucuri” suplimentare, permițându-vă să primiți o cantitate mare de informații contextuale și să aplicați setul de date rezultat în politicile de acces.
Ca orice alt server Radius, Cisco ISE interacționează cu echipamentele de rețea la nivel de acces, colectează informații despre toate încercările de conectare la rețeaua corporativă și, pe baza politicilor de autentificare și autorizare, permite sau interzice utilizatorilor să acceseze LAN. Cu toate acestea, posibilitatea profilării, postării și integrării cu alte soluții de securitate a informațiilor face posibilă complicarea semnificativă a logicii politicii de autorizare și, prin urmare, rezolvarea unor probleme destul de dificile și interesante.
Implementarea nu poate fi pilotată: de ce aveți nevoie de testare?
Valoarea testării pilot este de a demonstra toate capacitățile sistemului în infrastructura specifică a unei anumite organizații. Consider că pilotarea Cisco ISE înainte de implementare aduce beneficii tuturor celor implicați în proiect și iată de ce.
Acest lucru oferă integratorilor o idee clară despre așteptările clientului și ajută la crearea unei specificații tehnice corecte care conține mult mai multe detalii decât expresia comună „asigurați-vă că totul este în regulă”. „Pilot” ne permite să simțim toată durerea clientului, să înțelegem care sarcini sunt prioritare pentru el și care sunt secundare. Pentru noi, aceasta este o oportunitate excelentă de a ne da seama în avans ce echipamente este utilizată în organizație, cum va avea loc implementarea, pe ce site-uri, unde sunt amplasate și așa mai departe.
În timpul testării pilot, clienții văd sistemul real în acțiune, se familiarizează cu interfața acestuia, pot verifica dacă este compatibil cu hardware-ul lor existent și obțin o înțelegere holistică a modului în care va funcționa soluția după implementarea completă. „Pilot” este chiar momentul în care puteți vedea toate capcanele pe care probabil le veți întâlni în timpul integrării și puteți decide câte licențe trebuie să cumpărați.
Ce poate „apare” în timpul „pilotului”
Deci, cum vă pregătiți corect pentru implementarea Cisco ISE? Din experiența noastră, am numărat 4 puncte principale care sunt importante de luat în considerare în timpul testării pilot a sistemului.
Factorul de formă
În primul rând, trebuie să decideți în ce factor de formă va fi implementat sistemul: în linie ascendentă fizică sau virtuală. Fiecare opțiune are avantaje și dezavantaje. De exemplu, puterea unei linii ascendente fizice este performanța sa previzibilă, dar nu trebuie să uităm că astfel de dispozitive devin învechite în timp. Liniile superioare virtuale sunt mai puțin previzibile deoarece... depind de hardware-ul pe care este implementat mediul de virtualizare, dar au un avantaj serios: dacă suportul este disponibil, pot fi întotdeauna actualizate la cea mai recentă versiune.
Este echipamentul dvs. de rețea compatibil cu Cisco ISE?
Desigur, scenariul ideal ar fi conectarea simultană a tuturor echipamentelor la sistem. Cu toate acestea, acest lucru nu este întotdeauna posibil, deoarece multe organizații încă folosesc comutatoare neadministrate sau comutatoare care nu acceptă unele dintre tehnologiile care rulează Cisco ISE. Apropo, nu vorbim doar de comutatoare, pot fi și controlere de rețea wireless, concentratoare VPN și orice alt echipament la care se conectează utilizatorii. În practica mea, au existat cazuri când, după ce a demonstrat sistemul pentru implementare completă, clientul a actualizat aproape întreaga flotă de comutatoare de nivel de acces la echipamente Cisco moderne. Pentru a evita surprizele neplăcute, merită să aflați în prealabil proporția echipamentelor nesuportate.
Toate dispozitivele dvs. sunt standard?
Orice rețea are dispozitive tipice la care nu ar trebui să fie dificil de conectat: stații de lucru, telefoane IP, puncte de acces Wi-Fi, camere video și așa mai departe. Dar se întâmplă, de asemenea, că dispozitivele non-standard trebuie să fie conectate la LAN, de exemplu, convertoare de semnal magistrală RS232/Ethernet, interfețe de alimentare neîntreruptibilă, diverse echipamente tehnologice etc. Este important să se determine în prealabil lista acestor dispozitive. , astfel încât, în etapa de implementare, aveți deja o înțelegere a modului în care tehnic vor funcționa cu Cisco ISE.
Dialog constructiv cu specialiștii IT
Clienții Cisco ISE sunt adesea departamente de securitate, în timp ce departamentele IT sunt de obicei responsabile pentru configurarea comutatoarelor de nivel de acces și Active Directory. Prin urmare, interacțiunea productivă între specialiștii în securitate și specialiștii IT este una dintre condițiile importante pentru implementarea fără durere a sistemului. Dacă aceștia din urmă percep integrarea cu ostilitate, merită să le explicăm modul în care soluția va fi utilă departamentului IT.
Top 5 cazuri de utilizare Cisco ISE
Din experiența noastră, funcționalitatea necesară a sistemului este identificată și în etapa de testare pilot. Mai jos sunt câteva dintre cele mai populare și mai puțin frecvente cazuri de utilizare pentru soluție.
Accesul LAN securizat printr-un fir cu EAP-TLS
După cum arată rezultatele cercetărilor noștri pentesteri, destul de des pentru a pătrunde în rețeaua unei companii, atacatorii folosesc prize obișnuite la care sunt conectate imprimante, telefoane, camere IP, puncte Wi-Fi și alte dispozitive de rețea non-personale. Prin urmare, chiar dacă accesul la rețea se bazează pe tehnologia dot1x, dar sunt utilizate protocoale alternative fără a utiliza certificate de autentificare a utilizatorului, există o mare probabilitate de succes a unui atac cu interceptarea sesiunii și parole de forță brută. În cazul Cisco ISE, va fi mult mai dificil să furi un certificat - pentru aceasta, hackerii vor avea nevoie de mult mai multă putere de calcul, așa că acest caz este foarte eficient.
Acces wireless dual-SSID
Esența acestui scenariu este utilizarea a 2 identificatori de rețea (SSID). Unul dintre ei poate fi numit condiționat „oaspete”. Prin intermediul acestuia, atât oaspeții, cât și angajații companiei pot accesa rețeaua wireless. Când încearcă să se conecteze, aceștia din urmă sunt redirecționați către un portal special unde are loc furnizarea. Adică, utilizatorului i se eliberează un certificat și dispozitivul său personal este configurat să se reconecteze automat la al doilea SSID, care folosește deja EAP-TLS cu toate avantajele primului caz.
Autentificare MAC Bypass și profilare
Un alt caz de utilizare popular este detectarea automată a tipului de dispozitiv conectat și aplicarea restricțiilor corecte. De ce este el interesant? Cert este că există încă destul de multe dispozitive care nu acceptă autentificarea folosind protocolul 802.1X. Prin urmare, astfel de dispozitive trebuie să fie permise în rețea folosind o adresă MAC, care este destul de ușor de falsificat. Aici vine Cisco ISE în ajutor: cu ajutorul sistemului, puteți vedea cum se comportă un dispozitiv în rețea, puteți să-i creați profilul și să îl atribuiți unui grup de alte dispozitive, de exemplu, un telefon IP și o stație de lucru. . Dacă un atacator încearcă să falsifice o adresă MAC și să se conecteze la rețea, sistemul va vedea că profilul dispozitivului s-a schimbat, va semnala un comportament suspect și nu va permite utilizatorului suspect să intre în rețea.
EAP-Chaining
Tehnologia EAP-Chaining implică autentificarea secvenţială a PC-ului de lucru şi a contului de utilizator. Acest caz a devenit larg răspândit deoarece... Multe companii încă nu încurajează conectarea gadgeturilor personale ale angajaților la rețeaua LAN corporativă. Folosind această abordare a autentificării, este posibil să se verifice dacă o anumită stație de lucru este membră a domeniului și, dacă rezultatul este negativ, utilizatorul fie nu va avea voie să intre în rețea, fie va putea intra, dar cu anumite restricții.
Posturare
Acest caz este despre evaluarea conformității software-ului stației de lucru cu cerințele de securitate a informațiilor. Folosind această tehnologie, puteți verifica dacă software-ul de pe stația de lucru este actualizat, dacă sunt instalate măsuri de securitate pe acesta, dacă firewall-ul gazdă este configurat etc. Interesant este că această tehnologie vă permite, de asemenea, să rezolvați alte sarcini care nu sunt legate de securitate, de exemplu, verificarea prezenței fișierelor necesare sau instalarea de software la nivel de sistem.
Cazurile de utilizare mai puțin obișnuite pentru Cisco ISE includ controlul accesului cu autentificare de domeniu end-to-end (ID pasiv), micro-segmentare și filtrare bazate pe SGT, precum și integrarea cu sistemele de management al dispozitivelor mobile (MDM) și scanere de vulnerabilitate.
Proiecte non-standard: de ce altfel ați putea avea nevoie de Cisco ISE sau de 3 cazuri rare din practica noastră
Controlul accesului la serverele bazate pe Linux
Odată rezolvam un caz destul de nebanal pentru unul dintre clienții care avea deja implementat sistemul Cisco ISE: trebuia să găsim o modalitate de a controla acțiunile utilizatorilor (în mare parte administratori) pe serverele cu Linux instalat. În căutarea unui răspuns, ne-a venit ideea de a folosi software-ul gratuit PAM Radius Module, care vă permite să vă conectați la servere care rulează Linux cu autentificare pe un server radius extern. Totul în acest sens ar fi bine, dacă nu pentru un „dar”: serverul radius, trimițând un răspuns la cererea de autentificare, dă doar numele contului și rezultatul - evaluează acceptat sau evaluează respins. Între timp, pentru autorizare în Linux, trebuie să mai alocați cel puțin un parametru - directorul principal, astfel încât utilizatorul să ajungă măcar undeva. Nu am găsit o modalitate de a da acest lucru ca atribut de rază, așa că am scris un script special pentru crearea de la distanță a conturilor pe gazde într-un mod semi-automat. Această sarcină era destul de fezabilă, deoarece aveam de-a face cu conturi de administrator, al căror număr nu era atât de mare. Apoi, utilizatorii s-au autentificat pe dispozitivul necesar, după care li s-a atribuit accesul necesar. Apare o întrebare rezonabilă: este necesar să utilizați Cisco ISE în astfel de cazuri? De fapt, nu - orice server radius va face, dar din moment ce clientul avea deja acest sistem, pur și simplu i-am adăugat o nouă caracteristică.
Inventarul hardware și software de pe LAN
Am lucrat odată la un proiect pentru a furniza Cisco ISE unui client fără un „pilot” preliminar. Nu existau cerințe clare pentru soluție, plus că aveam de-a face cu o rețea plată, nesegmentată, ceea ce ne complica sarcina. Pe parcursul proiectului, am configurat toate metodele posibile de profilare pe care le-a suportat rețeaua: NetFlow, DHCP, SNMP, integrare AD etc. Drept urmare, accesul MAR a fost configurat cu posibilitatea de a se autentifica în rețea dacă autentificarea a eșuat. Adică, chiar dacă autentificarea nu a avut succes, sistemul ar permite utilizatorului să intre în rețea, să colecteze informații despre el și să le înregistreze în baza de date ISE. Această monitorizare a rețelei timp de câteva săptămâni ne-a ajutat să identificăm sistemele conectate și dispozitivele non-personale și să dezvoltăm o abordare pentru a le segmenta. După aceasta, am configurat suplimentar postarea pentru a instala agentul pe stațiile de lucru pentru a colecta informații despre software-ul instalat pe acestea. Care este rezultatul? Am reușit să segmentăm rețeaua și să stabilim lista de software care trebuia eliminat de pe stațiile de lucru. Nu voi ascunde că sarcinile ulterioare de distribuire a utilizatorilor în grupuri de domenii și delimitarea drepturilor de acces ne-au luat destul de mult timp, dar în acest fel am obținut o imagine completă a hardware-ului pe care clientul avea în rețea. Apropo, acest lucru nu a fost dificil din cauza muncii bune de profilare din cutie. Ei bine, acolo unde profilarea nu a ajutat, ne-am uitat pe noi înșine, evidențiind portul de comutare la care era conectat echipamentul.
Instalarea de la distanță a software-ului pe stațiile de lucru
Acest caz este unul dintre cele mai ciudate din practica mea. Într-o zi, un client a venit la noi cu un strigăt de ajutor - ceva a mers prost la implementarea Cisco ISE, totul s-a stricat și nimeni altcineva nu a putut accesa rețeaua. Am început să cercetăm și am aflat următoarele. Compania avea 2000 de computere, care, în lipsa unui controler de domeniu, erau administrate sub un cont de administrator. În scopul peering-ului, organizația a implementat Cisco ISE. Era necesar să se înțeleagă cumva dacă pe PC-urile existente a fost instalat un antivirus, dacă mediul software a fost actualizat etc. Și din moment ce administratorii IT au instalat echipamente de rețea în sistem, este logic că au avut acces la el. După ce au văzut cum funcționează și și-au pus în stil computerele, administratorii au venit cu ideea de a instala software-ul pe stațiile de lucru ale angajaților de la distanță, fără vizite personale. Imaginează-ți câți pași poți economisi pe zi în acest fel! Administratorii au efectuat mai multe verificări ale stației de lucru pentru prezența unui anumit fișier în directorul C:Program Files, iar în cazul în care acesta lipsea, remedierea automată a fost lansată urmărind un link care duce la stocarea fișierelor către fișierul de instalare .exe. Acest lucru a permis utilizatorilor obișnuiți să meargă la o partajare de fișiere și să descarce software-ul necesar de acolo. Din păcate, administratorul nu cunoștea bine sistemul ISE și a deteriorat mecanismele de postare - a scris incorect politica, ceea ce a dus la o problemă pe care am fost implicați în rezolvarea. Personal, sunt sincer surprins de o astfel de abordare creativă, pentru că ar fi mult mai ieftin și mai puțin laborios să creezi un controler de domeniu. Dar ca dovadă de concept a funcționat.
Citiți mai multe despre nuanțele tehnice care apar la implementarea Cisco ISE în articolul colegului meu .
Artem Bobrikov, inginer proiectant al Centrului de securitate a informațiilor de la Jet Infosystems
postfață:
În ciuda faptului că această postare vorbește despre sistemul Cisco ISE, problemele descrise sunt relevante pentru întreaga clasă de soluții NAC. Nu este atât de important soluția furnizorului care este planificată pentru implementare - majoritatea celor de mai sus vor rămâne aplicabile.
Sursa: www.habr.com