توهان ڪيترا ئي ڀيرا ڪجهه خريد ڪندا آهيو، جلدي طور تي، هڪ ٿڌي اشتهار ڏانهن ڌڪيندي، ۽ پوء هي شروعاتي گهربل شيون ايندڙ چشمي جي صفائي يا منتقل ٿيڻ تائين هڪ الماري، پينٽري يا گيراج ۾ مٽي گڏ ڪري ٿي؟ نتيجو مايوسي آهي ناحق اميدن جي ڪري ۽ پئسا ضايع ڪرڻ. اهو تمام گهڻو خراب آهي جڏهن اهو ڪاروبار سان ٿئي ٿو. گهڻو ڪري، مارڪيٽنگ چالون تمام سٺيون آهن ته ڪمپنيون ان جي ايپليڪيشن جي مڪمل تصوير ڏسڻ کان سواء هڪ قيمتي حل خريد ڪن ٿيون. ان کان علاوه، سسٽم جي آزمائشي جانچ کي سمجهڻ ۾ مدد ڪري ٿي ته انفراسٹرڪچر کي انضمام لاء ڪيئن تيار ڪيو وڃي، ڪهڙي ڪارڪردگي ۽ ڪهڙي حد تائين لاڳو ٿيڻ گهرجي. اهو طريقو توهان "انڌا" پراڊڪٽ چونڊڻ جي ڪري ڪيترن ئي مسئلن کان بچائي سگهو ٿا. ان کان سواء، هڪ قابل "پائلٽ" کان پوء عملدرآمد انجنيئرن کي تمام گهٽ تباهه ٿيل اعصاب سيلز ۽ ڳاڙهو وار آڻيندو. اچو ته معلوم ڪريون ته پائلٽ ٽيسٽنگ ڪامياب منصوبي لاءِ ايترو ضروري ڇو آهي، هڪ مشهور اوزار جو مثال استعمال ڪندي ڪارپوريٽ نيٽ ورڪ تائين پهچ کي ڪنٽرول ڪرڻ لاءِ - Cisco ISE. اچو ته غور ڪريون ٻنهي معياري ۽ مڪمل طور تي غير معياري اختيارن کي استعمال ڪرڻ لاءِ جيڪو اسان جي مشق ۾ سامهون آيو آهي.
سسڪو ISE - "ريڊيس سرور اسٽريڊس تي"
Cisco Identity Services Engine (ISE) ھڪ پليٽ فارم آھي ھڪڙي تنظيم جي مقامي ايريا نيٽ ورڪ لاءِ رسائي ڪنٽرول سسٽم ٺاھيو. ماهرن جي ڪميونٽي ۾، پراڊڪٽ جو نالو رکيو ويو "ريڊيس سرور تي اسٽيرائڊس" ان جي ملڪيت لاء. ائين ڇو آهي؟ بنيادي طور تي، حل هڪ ريڊيس سرور آهي، جنهن ۾ اضافي خدمتن جو هڪ وڏو تعداد ۽ "چالون" ڳنڍيل آهن، توهان کي وڏي مقدار ۾ لاڳاپيل معلومات حاصل ڪرڻ جي اجازت ڏئي ٿي ۽ ڊيٽا جي نتيجن جي سيٽ کي رسائي پاليسين ۾ لاڳو ڪريو.
ڪنهن ٻئي Radius سرور وانگر، Cisco ISE رسائي-سطح نيٽ ورڪ سامان سان رابطو ڪري ٿو، ڪارپوريٽ نيٽ ورڪ سان ڳنڍڻ جي سڀني ڪوششن بابت معلومات گڏ ڪري ٿو ۽، تصديق ۽ اختيار جي پاليسين جي بنياد تي، صارفين کي LAN جي اجازت ڏئي ٿو يا رد ڪري ٿو. بهرحال، پروفائيلنگ، پوسٽنگ، ۽ ٻين معلومات جي سيڪيورٽي حلن سان انضمام جو امڪان اختيار ڪرڻ واري پاليسي جي منطق کي خاص طور تي پيچيده ڪرڻ ۽ ان سان ڪافي مشڪل ۽ دلچسپ مسئلا حل ڪرڻ ممڪن بڻائي ٿو.
عملدرآمد پائلٽ نٿو ٿي سگهي: توهان کي جانچ جي ضرورت ڇو آهي؟
پائلٽ ٽيسٽ جو قدر هڪ مخصوص تنظيم جي مخصوص زيربنا ۾ سسٽم جي سڀني صلاحيتن کي ظاهر ڪرڻ آهي. مان سمجهان ٿو ته پائلٽ ڪرڻ کان اڳ Cisco ISE منصوبي ۾ شامل سڀني کي فائدو ڏئي ٿو، ۽ هتي ئي آهي.
هي انضمام ڪندڙن کي گراهڪ جي اميدن جو هڪ واضح خيال ڏئي ٿو ۽ هڪ صحيح ٽيڪنيڪل وضاحت ٺاهڻ ۾ مدد ڪري ٿو جيڪا عام جملي کان وڌيڪ تفصيل تي مشتمل آهي "پڪ ڪريو ته سڀ ڪجهه ٺيڪ آهي." "پائلٽ" اسان کي ڪسٽمر جي درد کي محسوس ڪرڻ جي اجازت ڏئي ٿو، اهو سمجهڻ لاء ته ڪهڙا ڪم هن لاء ترجيح آهن ۽ جيڪي ثانوي آهن. اسان لاء، هي هڪ بهترين موقعو آهي اڳ ۾ ڄاڻڻ جو ڪهڙو سامان تنظيم ۾ استعمال ڪيو ويندو آهي، ڪيئن عمل درآمد ٿيندو، ڪهڙي سائيٽن تي، اهي ڪٿي واقع آهن، وغيره.
پائلٽ ٽيسٽنگ دوران، گراهڪ حقيقي نظام کي عمل ۾ ڏسن ٿا، ان جي انٽرفيس کان واقف ٿي وڃن ٿا، چيڪ ڪري سگھن ٿا ته ڇا اهو انهن جي موجوده هارڊويئر سان مطابقت رکي ٿو، ۽ هڪ جامع سمجھ حاصل ڪري ٿو ته اهو حل مڪمل عمل درآمد کان پوءِ ڪيئن ڪم ڪندو. ”پائلٽ“ اهو ئي لمحو آهي جڏهن توهان ڏسي سگهو ٿا اهي سڀئي نقصان جيڪي توهان کي شايد انضمام دوران سامهون ايندا، ۽ فيصلو ڪيو ته توهان کي ڪيترا لائسنس خريد ڪرڻ گهرجن.
ڇا ٿي سگھي ٿو "پاپ اپ" دوران "پائلٽ"
تنهن ڪري، توهان Cisco ISE کي لاڳو ڪرڻ لاء صحيح طريقي سان ڪيئن تيار ڪيو ٿا؟ اسان جي تجربي مان، اسان 4 مکيه نقطا ڳڻيا آهن جيڪي سسٽم جي پائلٽ ٽيسٽ دوران غور ڪرڻ ضروري آهن.
فارم فڪر
پهرين، توهان کي فيصلو ڪرڻو پوندو ته ڪهڙي شڪل ۾ سسٽم لاڳو ڪيو ويندو: جسماني يا مجازي اپ لائن. هر اختيار جا فائدا ۽ نقصان آهن. مثال طور، جسماني اپ لائن جي طاقت ان جي پيش گوئي ڪارڪردگي آهي، پر اسان کي اهو نه وسارڻ گهرجي ته اهڙيون ڊوائيس وقت سان گڏ ختم ٿي وينديون آهن. ورچوئل اپ لائنون گهٽ اڳڪٿي لائق آهن ڇو ته... هارڊويئر تي منحصر آهي جنهن تي ورچوئلائيزيشن ماحول مقرر ڪيو ويو آهي، پر انهن کي هڪ سنگين فائدو آهي: جيڪڏهن سپورٽ موجود آهي، اهي هميشه تازه ترين ورزن ڏانهن اپڊيٽ ٿي سگهن ٿيون.
ڇا توهان جو نيٽ ورڪ سامان Cisco ISE سان مطابقت رکي ٿو؟
يقيناً، مثالي منظرنامو اهو هوندو ته سڀني سامان کي هڪ ئي وقت سسٽم سان ڳنڍيو وڃي. بهرحال، اهو هميشه ممڪن ناهي، ڇاڪاڻ ته ڪيتريون ئي تنظيمون اڃا تائين غير منظم سوئچ يا سوئچ استعمال ڪن ٿيون جيڪي ڪجهه ٽيڪنالاجي کي سپورٽ نٿا ڪن جن تي سسڪو ISE هلائي ٿو. اتفاق سان، اهو صرف سوئچ تي لاڳو نٿو ٿئي؛ ان ۾ وائرليس نيٽ ورڪ ڪنٽرولرز پڻ شامل ٿي سگهن ٿا. VPN- حب ۽ ڪو ٻيو سامان جنهن سان صارف ڳنڍجن ٿا. منهنجي تجربي ۾، سسٽم جي مظاهري کان پوءِ، گراهڪ تقريبن پوري رسائي پرت جي سوئچز کي مڪمل عمل درآمد لاءِ جديد سسڪو سامان ڏانهن اپ گريڊ ڪيو. ناخوشگوار تعجب کان بچڻ لاءِ، اڳ ۾ ئي غير معاون سامان جي فيصد کي ڳولڻ جي قابل آهي.
ڇا توهان جا سڀئي ڊوائيس معياري آهن؟
ڪنهن به نيٽ ورڪ ۾ عام ڊوائيسز آهن جن کي ڳنڍڻ ڏکيو نه هجڻ گهرجي: ڪم اسٽيشنون، IP فون، وائي فائي رسائي پوائنٽ، وڊيو ڪئميرا، وغيره. پر اهو به ٿئي ٿو ته غير معياري ڊوائيسز کي LAN سان ڳنڍڻ جي ضرورت آهي، مثال طور، RS232/Ethernet بس سگنل ڪنورٽرز، بي ترتيب پاور سپلائي انٽرفيس، مختلف ٽيڪنالاجي سامان، وغيره. اهو ضروري آهي ته اهڙن ڊوائيسز جي فهرست اڳ ۾ طئي ڪرڻ ضروري آهي. , انهي ڪري ته عمل درآمد واري مرحلي تي توهان کي اڳ ۾ ئي سمجهه ۾ اچي چڪو آهي ته ڪيئن ٽيڪنيڪل طور تي اهي Cisco ISE سان ڪم ڪندا.
آئي ٽي ماهرن سان تعميري گفتگو
سسڪو ISE گراهڪ اڪثر ڪري سيڪيورٽي ڊپارٽمينٽ آهن، جڏهن ته آئي ٽي ڊپارٽمينٽ عام طور تي رسائي پرت سوئچز ۽ فعال ڊائريڪٽري کي ترتيب ڏيڻ جا ذميوار آهن. تنهن ڪري، سيڪيورٽي ماهرن ۽ آئي ٽي ماهرن جي وچ ۾ پيداواري رابطي سسٽم جي بي دردي تي عمل درآمد لاء اهم شرطن مان هڪ آهي. جيڪڏهن بعد ۾ دشمني سان انضمام کي سمجهي، اهو انهن کي وضاحت ڪرڻ جي قابل آهي ته اهو حل آئي ٽي ڊپارٽمينٽ لاء ڪيئن مفيد ٿيندو.
مٿي 5 Cisco ISE استعمال ڪيس
اسان جي تجربي ۾، سسٽم جي گهربل ڪارڪردگي پڻ پائلٽ ٽيسٽ اسٽيج تي سڃاڻپ ڪئي وئي آهي. هيٺ ڏنل حل لاء سڀ کان وڌيڪ مقبول ۽ گهٽ عام استعمال جا ڪيس آهن.
EAP-TLS سان تار مٿان LAN جي رسائي کي محفوظ ڪريو
جيئن اسان جي پينٽيسٽرز جي تحقيقي شو جا نتيجا، اڪثر ڪري ڪمپني جي نيٽ ورڪ ۾ داخل ٿيڻ لاءِ، حملو ڪندڙ عام ساکٽ استعمال ڪندا آهن جن سان پرنٽر، فون، آئي پي ڪيمرا، وائي فائي پوائنٽس ۽ ٻيون غير ذاتي نيٽ ورڪ ڊوائيسز ڳنڍيل هوندا آهن. تنهن ڪري، جيتوڻيڪ نيٽ ورڪ تائين رسائي dot1x ٽيڪنالاجي تي ٻڌل آهي، پر متبادل پروٽوڪول استعمال ڪيا ويندا آهن بغير صارف جي تصديق جي سرٽيفڪيٽ استعمال ڪرڻ جي، سيشن جي مداخلت ۽ برٽ فورس پاسورڊ سان ڪامياب حملي جو هڪ وڏو امڪان آهي. Cisco ISE جي صورت ۾، اهو هڪ سرٽيفڪيٽ چوري ڪرڻ تمام گهڻو ڏکيو ٿيندو - هن لاء، هيڪرز کي تمام گهڻو ڪمپيوٽنگ پاور جي ضرورت هوندي، تنهنڪري هي ڪيس تمام مؤثر آهي.
ڊبل-SSID وائرليس رسائي
هن منظر جو بنياد 2 نيٽ ورڪ سڃاڻپ ڪندڙ (SSIDs) استعمال ڪرڻ آهي. انهن مان هڪ کي مشروط طور تي "مهمان" سڏيو وڃي ٿو. ان جي ذريعي، ٻئي مهمان ۽ ڪمپني ملازم وائرليس نيٽ ورڪ تائين رسائي ڪري سگهن ٿا. جڏهن اهي ڳنڍڻ جي ڪوشش ڪندا آهن، بعد ۾ هڪ خاص پورٽل ڏانهن موڪليا ويا آهن جتي روزي وٺندي آهي. اهو آهي، صارف کي هڪ سرٽيفڪيٽ جاري ڪيو ويو آهي ۽ سندس ذاتي ڊوائيس خودڪار طريقي سان ٻئي SSID سان ڳنڍڻ لاء ترتيب ڏني وئي آهي، جيڪو اڳ ۾ ئي استعمال ڪري ٿو EAP-TLS پهرين صورت جي سڀني فائدن سان.
MAC تصديق بائي پاس ۽ پروفائلنگ
هڪ ٻيو مشهور استعمال ڪيس خودڪار طريقي سان ڳنڍڻ واري ڊوائيس جي قسم کي ڳنڍڻ ۽ ان تي صحيح پابنديون لاڳو ڪرڻ آهي. ڇو ته هو دلچسپ آهي؟ حقيقت اها آهي ته اڃا تائين ڪافي ڊوائيسز آهن جيڪي 802.1X پروٽوڪول استعمال ڪندي تصديق جي حمايت نٿا ڪن. تنهن ڪري، اهڙي ڊوائيسز کي اجازت ڏني وڃي نيٽ ورڪ تي هڪ MAC ايڊريس استعمال ڪندي، جنهن کي جعلي ڪرڻ بلڪل آسان آهي. اهو آهي جتي Cisco ISE بچاء لاء اچي ٿو: سسٽم جي مدد سان، توهان ڏسي سگهو ٿا ته هڪ ڊوائيس نيٽ ورڪ تي ڪيئن ڪم ڪري ٿو، ان جي پروفائل ٺاهي ۽ ان کي ٻين ڊوائيسز جي هڪ گروپ کي تفويض ڪريو، مثال طور، هڪ IP فون ۽ هڪ ورڪ اسٽيشن. . جيڪڏهن ڪو حملو ڪندڙ هڪ MAC پتي کي چوري ڪرڻ ۽ نيٽ ورڪ سان ڳنڍڻ جي ڪوشش ڪندو، سسٽم ڏسندو ته ڊوائيس پروفائل تبديل ٿي وئي آهي، مشڪوڪ رويي کي سگنل ڏيندو ۽ مشڪوڪ صارف کي نيٽ ورڪ ۾ داخل ٿيڻ جي اجازت نه ڏيندو.
EAP-زنجيرن
EAP-Chaining ٽيڪنالاجي ۾ ڪم ڪندڙ پي سي ۽ صارف اڪائونٽ جي ترتيب واري تصديق شامل آهي. هي ڪيس ان ڪري وسيع ٿي ويو آهي جو... ڪيتريون ئي ڪمپنيون اڃا تائين ملازمن جي ذاتي گيجٽ کي ڪارپوريٽ LAN سان ڳنڍڻ جي حوصلا افزائي نٿا ڪن. تصديق ڪرڻ جي هن طريقي کي استعمال ڪندي، اهو چيڪ ڪرڻ ممڪن آهي ته ڇا هڪ خاص ورڪ اسٽيشن ڊومين جو ميمبر آهي، ۽ جيڪڏهن نتيجو منفي آهي، صارف کي يا ته نيٽ ورڪ ۾ داخل ٿيڻ جي اجازت نه هوندي، يا داخل ٿيڻ جي قابل هوندو، پر يقيني سان. پابنديون
پوسٽرنگ
هي ڪيس ورڪ اسٽيشن سافٽ ويئر جي معلومات جي حفاظت جي گهرجن سان تعميل جو جائزو وٺڻ بابت آهي. هن ٽيڪنالاجي کي استعمال ڪندي، توهان چيڪ ڪري سگهو ٿا ته ڇا سافٽ ويئر ڪم اسٽيشن تي اپڊيٽ ٿيل آهي، ڇا حفاظتي اپاء ان تي نصب ٿيل آهن، ڇا ميزبان فائر وال ترتيب ڏنل آهي، وغيره. دلچسپ ڳالهه اها آهي ته، هي ٽيڪنالاجي توهان کي ٻين ڪمن کي حل ڪرڻ جي اجازت ڏئي ٿي جيڪا سيڪيورٽي سان لاڳاپيل ناهي، مثال طور، ضروري فائلن جي موجودگي کي جانچڻ يا سسٽم جي وسيع سافٽ ويئر کي نصب ڪرڻ.
Cisco ISE لاءِ گهٽ عام استعمال جي ڪيسن ۾ شامل آهن رسائي ڪنٽرول سان آخر کان آخر تائين ڊومين جي تصديق (Passive ID)، SGT-based micro-segmentation and filtering، انهي سان گڏ موبائيل ڊيوائس مينيجمينٽ (MDM) سسٽم ۽ Vulnerability Scanners سان انضمام.
غير معياري منصوبا: ٻيو ڇو توهان کي ضرورت هجي سسڪو ISE، يا اسان جي مشق مان 3 نادر ڪيس
سرورز تي ٻڌل رسائي کي ڪنٽرول ڪرڻ Linux
اسان هڪ ڀيرو پنهنجي هڪ گراهڪ لاءِ هڪ غير معمولي ڪيس حل ڪيو، جنهن وٽ اڳ ۾ ئي سسڪو ISE سسٽم لاڳو ٿيل هو: اسان کي او ايس انسٽال ٿيل سرورز تي صارف جي عملن (گهڻو ڪري ايڊمنز) کي ڪنٽرول ڪرڻ جو طريقو ڳولڻ جي ضرورت هئي. Linuxجواب جي ڳولا ۾، اسان کي مفت PAM ريڊيس ماڊيول سافٽ ويئر استعمال ڪرڻ جو خيال آيو، جيڪو توهان کي هلندڙ سرورز ۾ لاگ ان ٿيڻ جي اجازت ڏئي ٿو. Linux هڪ خارجي ريڊيس سرور تي تصديق سان. هن سلسلي ۾ سڀ ڪجهه ٺيڪ هوندو، جيڪڏهن هڪ "پر" لاءِ نه: ريڊيس سرور، جڏهن تصديق جي درخواست جو جواب موڪليندو آهي، صرف اڪائونٽ جو نالو ۽ نتيجو واپس ڪندو آهي - جائزي کي قبول ڪيو ويندو آهي يا جائزي کي رد ڪيو ويندو آهي. ساڳئي وقت، اختيار لاءِ Linux گهٽ ۾ گهٽ هڪ وڌيڪ پيرا ميٽر - هوم ڊاريڪٽري - کي تفويض ڪرڻ جي ضرورت آهي ته جيئن صارف گهٽ ۾ گهٽ ڪنهن شيءِ تائين رسائي حاصل ڪري سگهي. اسان کي ريڊيس وصف جي طور تي ان کي پاس ڪرڻ جو ڪو طريقو نه ملي سگهيو، تنهن ڪري اسان هڪ ڪسٽم اسڪرپٽ لکيو ته جيئن هوسٽ تي ريموٽ اڪائونٽس کي نيم خودڪار موڊ ۾ ٺاهيو وڃي. اهو ڪافي ممڪن هو، ڇاڪاڻ ته اسان ايڊمنسٽريٽر اڪائونٽس سان ڊيل ڪري رهيا هئاسين، جن مان گهڻا نه هئا. پوءِ استعمال ڪندڙ گهربل ڊوائيس ۾ لاگ ان ٿيا، جنهن کان پوءِ انهن کي ضروري رسائي تفويض ڪئي وئي. هڪ معقول سوال پيدا ٿئي ٿو: ڇا اهڙين حالتن ۾ سسڪو ISE استعمال ڪرڻ ضروري آهي؟ اصل ۾، نه - ڪو به ريڊيس سرور ڪندو. پر جيئن ته گراهڪ وٽ اڳ ۾ ئي هي سسٽم هو، اسان صرف هڪ نئين خاصيت شامل ڪئي.
LAN تي هارڊويئر ۽ سافٽ ويئر جي فهرست
اسان هڪ دفعو هڪ پروجيڪٽ تي ڪم ڪيو هو سسکو ISE کي فراهم ڪرڻ لاءِ هڪ گراهڪ کي بغير ڪنهن ابتدائي ”پائلٽ“. حل لاءِ ڪا واضح گهرج نه هئي، ان سان گڏ اسان هڪ فليٽ، غير ورهايل نيٽ ورڪ سان ڪم ڪري رهيا هئاسين، جنهن اسان جي ڪم کي پيچيده ڪيو. پروجيڪٽ جي دوران، اسان سڀني ممڪن پروفائلنگ طريقن کي ترتيب ڏنو جيڪو نيٽ ورڪ سپورٽ ڪيو: NetFlow، DHCP، SNMP، AD انٽيگريشن، وغيره. نتيجي طور، MAR رسائي نيٽ ورڪ ۾ لاگ ان ڪرڻ جي صلاحيت سان ترتيب ڏني وئي جيڪڏھن تصديق ناڪام ٿي. اهو آهي، جيتوڻيڪ جيڪڏهن تصديق ڪامياب نه هئي، سسٽم اڃا تائين صارف کي نيٽ ورڪ ۾، ان جي باري ۾ معلومات گڏ ڪرڻ ۽ ISE ڊيٽابيس ۾ رڪارڊ ڪرڻ جي اجازت ڏيندو. هن نيٽ ورڪ جي نگراني ڪيترن ئي هفتن ۾ اسان کي ڳنڍيل سسٽم ۽ غير ذاتي ڊوائيسز جي سڃاڻپ ڪرڻ ۾ مدد ڪئي ۽ انهن کي ورهائڻ لاء هڪ طريقو ٺاهيو. ان کان پوء، اسان اضافي طور تي پوسٽنگ کي ترتيب ڏنو ته ايجنٽ کي ڪم اسٽيشنن تي نصب ڪرڻ لاء انهن تي نصب ڪيل سافٽ ويئر بابت معلومات گڏ ڪرڻ لاء. نتيجو ڇا نڪتو؟ اسان نيٽ ورڪ کي ورهائڻ جي قابل هئا ۽ سافٽ ويئر جي فهرست کي طئي ڪرڻ جي قابل هئا جنهن کي ڪم اسٽيشنن تان هٽائڻ جي ضرورت آهي. مان اهو نه لڪائيندس ته صارفين کي ڊومين گروپن ۾ ورهائڻ ۽ رسائي جي حقن کي بيان ڪرڻ جي وڌيڪ ڪم اسان کي ڪافي وقت ورتو، پر هن طريقي سان اسان کي مڪمل تصوير ملي ٿي ته ڪسٽمر جي نيٽ ورڪ تي ڪهڙي هارڊويئر هئي. رستي ۾، اهو دٻي جي پروفائيلنگ جي سٺي ڪم جي ڪري ڏکيو نه هو. خير، جتي پروفائيلنگ مدد نه ڪئي، اسان پاڻ کي ڏٺو، سوئچ پورٽ کي نمايان ڪيو جنهن سان سامان ڳنڍيل هو.
ورڪ اسٽيشنن تي سافٽ ويئر جي ريموٽ تنصيب
هي ڪيس منهنجي عمل ۾ سڀ کان عجيب آهي. هڪ ڏينهن، هڪ گراهڪ اسان وٽ مدد لاءِ روئي آيو - سسڪو ISE لاڳو ڪرڻ وقت ڪجهه غلط ٿي ويو، سڀ ڪجهه ڀڄي ويو، ۽ ٻيو ڪو به نيٽ ورڪ تائين رسائي نه سگهيو. اسان ان کي ڳولڻ شروع ڪيو ۽ هيٺ ڏنل معلوم ڪيو. ڪمپنيءَ وٽ 2000 ڪمپيوٽر هئا، جن کي، ڊومين ڪنٽرولر جي غير موجودگيءَ ۾، هڪ ايڊمنسٽريٽر اڪائونٽ هيٺ منظم ڪيو ويو. پيئرنگ جي مقصد لاء، تنظيم لاڳو ڪيو Cisco ISE. اهو ضروري آهي ته ڪنهن به طرح اهو سمجهڻ گهرجي ته ڇا موجوده پي سي تي اينٽي وائرس نصب ڪيو ويو آهي، ڇا سافٽ ويئر ماحول کي اپڊيٽ ڪيو ويو، وغيره. ۽ جيئن ته آئي ٽي منتظمين سسٽم ۾ نيٽ ورڪ سامان نصب ڪيو، اهو منطقي آهي ته انهن وٽ ان تائين رسائي هئي. اهو ڏسڻ کان پوءِ ته اهو ڪيئن ڪم ڪري ٿو ۽ انهن جي پي سي کي ترتيب ڏئي رهيو آهي، منتظمين کي خيال آيو ته سافٽ ويئر انسٽال ڪرڻ جي ملازم ورڪ اسٽيشنن تي دور دراز کان سواءِ ذاتي دورن جي. بس تصور ڪريو ته توهان هن طريقي سان روزانو ڪيترا قدم بچائي سگهو ٿا! منتظمين C:Program Files ڊاريڪٽري ۾ هڪ مخصوص فائل جي موجودگي لاءِ ورڪ اسٽيشن جا ڪيترائي چيڪ ڪيا، ۽ جيڪڏهن اها غير حاضر هئي، ته خودڪار طريقي سان ريميڊييشن شروع ڪئي وئي هڪ لنڪ تي عمل ڪندي فائل اسٽوريج کي انسٽاليشن .exe فائل ڏانهن. اهو عام صارفين کي فائل شيئر تي وڃڻ جي اجازت ڏئي ٿو ۽ اتان کان ضروري سافٽ ويئر ڊائون لوڊ ڪري ٿو. بدقسمتي سان، منتظم کي ISE سسٽم جي چڱي طرح ڄاڻ نه هئي ۽ پوسٽنگ ميڪانيزم کي نقصان پهچايو - هن پاليسي کي غلط لکيو، جنهن جي ڪري هڪ مسئلو پيدا ٿيو جنهن کي حل ڪرڻ ۾ اسان ملوث هئاسين. ذاتي طور تي، مان خلوص سان اهڙي تخليقي طريقي سان حيران آهيان، ڇاڪاڻ ته اهو ڊومين ڪنٽرولر ٺاهڻ لاء تمام سستا ۽ گهٽ محنت وارو هوندو. پر تصور جي ثبوت طور اهو ڪم ڪيو.
منهنجي ساٿي جي آرٽيڪل ۾ سسڪو ISE کي لاڳو ڪرڻ وقت پيدا ٿيندڙ ٽيڪنيڪل نونسن بابت وڌيڪ پڙهو .
Artem Bobrikov، جيٽ انفو سسٽم ۾ انفارميشن سيڪيورٽي سينٽر جو ڊزائين انجنيئر
پوء:
ان حقيقت جي باوجود ته هي پوسٽ سسڪو ISE سسٽم بابت ڳالهائيندو آهي، بيان ڪيل مسئلا NAC حل جي پوري طبقي لاءِ لاڳاپيل آهن. اهو ايترو اهم ناهي ته ڪهڙو وينڊر جو حل لاڳو ڪرڻ جي منصوبابندي ڪئي وئي آهي - مٿين مان اڪثر لاڳو ٿينديون.
جو ذريعو: www.habr.com
