توهان ڪيترا ئي ڀيرا ڪجهه خريد ڪندا آهيو، جلدي طور تي، هڪ ٿڌي اشتهار ڏانهن ڌڪيندي، ۽ پوء هي شروعاتي گهربل شيون ايندڙ چشمي جي صفائي يا منتقل ٿيڻ تائين هڪ الماري، پينٽري يا گيراج ۾ مٽي گڏ ڪري ٿي؟ نتيجو مايوسي آهي ناحق اميدن جي ڪري ۽ پئسا ضايع ڪرڻ. اهو تمام گهڻو خراب آهي جڏهن اهو ڪاروبار سان ٿئي ٿو. گهڻو ڪري، مارڪيٽنگ چالون تمام سٺيون آهن ته ڪمپنيون ان جي ايپليڪيشن جي مڪمل تصوير ڏسڻ کان سواء هڪ قيمتي حل خريد ڪن ٿيون. ان کان علاوه، سسٽم جي آزمائشي جانچ کي سمجهڻ ۾ مدد ڪري ٿي ته انفراسٹرڪچر کي انضمام لاء ڪيئن تيار ڪيو وڃي، ڪهڙي ڪارڪردگي ۽ ڪهڙي حد تائين لاڳو ٿيڻ گهرجي. اهو طريقو توهان "انڌا" پراڊڪٽ چونڊڻ جي ڪري ڪيترن ئي مسئلن کان بچائي سگهو ٿا. ان کان سواء، هڪ قابل "پائلٽ" کان پوء عملدرآمد انجنيئرن کي تمام گهٽ تباهه ٿيل اعصاب سيلز ۽ ڳاڙهو وار آڻيندو. اچو ته معلوم ڪريون ته پائلٽ ٽيسٽنگ ڪامياب منصوبي لاءِ ايترو ضروري ڇو آهي، هڪ مشهور اوزار جو مثال استعمال ڪندي ڪارپوريٽ نيٽ ورڪ تائين پهچ کي ڪنٽرول ڪرڻ لاءِ - Cisco ISE. اچو ته غور ڪريون ٻنهي معياري ۽ مڪمل طور تي غير معياري اختيارن کي استعمال ڪرڻ لاءِ جيڪو اسان جي مشق ۾ سامهون آيو آهي.
سسڪو ISE - "ريڊيس سرور اسٽريڊس تي"
Cisco Identity Services Engine (ISE) ھڪ پليٽ فارم آھي ھڪڙي تنظيم جي مقامي ايريا نيٽ ورڪ لاءِ رسائي ڪنٽرول سسٽم ٺاھيو. ماهرن جي ڪميونٽي ۾، پراڊڪٽ جو نالو رکيو ويو "ريڊيس سرور تي اسٽيرائڊس" ان جي ملڪيت لاء. ائين ڇو آهي؟ بنيادي طور تي، حل هڪ ريڊيس سرور آهي، جنهن ۾ اضافي خدمتن جو هڪ وڏو تعداد ۽ "چالون" ڳنڍيل آهن، توهان کي وڏي مقدار ۾ لاڳاپيل معلومات حاصل ڪرڻ جي اجازت ڏئي ٿي ۽ ڊيٽا جي نتيجن جي سيٽ کي رسائي پاليسين ۾ لاڳو ڪريو.
ڪنهن ٻئي Radius سرور وانگر، Cisco ISE رسائي-سطح نيٽ ورڪ سامان سان رابطو ڪري ٿو، ڪارپوريٽ نيٽ ورڪ سان ڳنڍڻ جي سڀني ڪوششن بابت معلومات گڏ ڪري ٿو ۽، تصديق ۽ اختيار جي پاليسين جي بنياد تي، صارفين کي LAN جي اجازت ڏئي ٿو يا رد ڪري ٿو. بهرحال، پروفائيلنگ، پوسٽنگ، ۽ ٻين معلومات جي سيڪيورٽي حلن سان انضمام جو امڪان اختيار ڪرڻ واري پاليسي جي منطق کي خاص طور تي پيچيده ڪرڻ ۽ ان سان ڪافي مشڪل ۽ دلچسپ مسئلا حل ڪرڻ ممڪن بڻائي ٿو.
عملدرآمد پائلٽ نٿو ٿي سگهي: توهان کي جانچ جي ضرورت ڇو آهي؟
پائلٽ ٽيسٽ جو قدر هڪ مخصوص تنظيم جي مخصوص زيربنا ۾ سسٽم جي سڀني صلاحيتن کي ظاهر ڪرڻ آهي. مان سمجهان ٿو ته پائلٽ ڪرڻ کان اڳ Cisco ISE منصوبي ۾ شامل سڀني کي فائدو ڏئي ٿو، ۽ هتي ئي آهي.
هي انضمام ڪندڙن کي گراهڪ جي اميدن جو هڪ واضح خيال ڏئي ٿو ۽ هڪ صحيح ٽيڪنيڪل وضاحت ٺاهڻ ۾ مدد ڪري ٿو جيڪا عام جملي کان وڌيڪ تفصيل تي مشتمل آهي "پڪ ڪريو ته سڀ ڪجهه ٺيڪ آهي." "پائلٽ" اسان کي ڪسٽمر جي درد کي محسوس ڪرڻ جي اجازت ڏئي ٿو، اهو سمجهڻ لاء ته ڪهڙا ڪم هن لاء ترجيح آهن ۽ جيڪي ثانوي آهن. اسان لاء، هي هڪ بهترين موقعو آهي اڳ ۾ ڄاڻڻ جو ڪهڙو سامان تنظيم ۾ استعمال ڪيو ويندو آهي، ڪيئن عمل درآمد ٿيندو، ڪهڙي سائيٽن تي، اهي ڪٿي واقع آهن، وغيره.
پائلٽ ٽيسٽنگ دوران، گراهڪ حقيقي نظام کي عمل ۾ ڏسن ٿا، ان جي انٽرفيس کان واقف ٿي وڃن ٿا، چيڪ ڪري سگھن ٿا ته ڇا اهو انهن جي موجوده هارڊويئر سان مطابقت رکي ٿو، ۽ هڪ جامع سمجھ حاصل ڪري ٿو ته اهو حل مڪمل عمل درآمد کان پوءِ ڪيئن ڪم ڪندو. ”پائلٽ“ اهو ئي لمحو آهي جڏهن توهان ڏسي سگهو ٿا اهي سڀئي نقصان جيڪي توهان کي شايد انضمام دوران سامهون ايندا، ۽ فيصلو ڪيو ته توهان کي ڪيترا لائسنس خريد ڪرڻ گهرجن.
ڇا ٿي سگھي ٿو "پاپ اپ" دوران "پائلٽ"
تنهن ڪري، توهان Cisco ISE کي لاڳو ڪرڻ لاء صحيح طريقي سان ڪيئن تيار ڪيو ٿا؟ اسان جي تجربي مان، اسان 4 مکيه نقطا ڳڻيا آهن جيڪي سسٽم جي پائلٽ ٽيسٽ دوران غور ڪرڻ ضروري آهن.
فارم فڪر
پهرين، توهان کي فيصلو ڪرڻو پوندو ته ڪهڙي شڪل ۾ سسٽم لاڳو ڪيو ويندو: جسماني يا مجازي اپ لائن. هر اختيار جا فائدا ۽ نقصان آهن. مثال طور، جسماني اپ لائن جي طاقت ان جي پيش گوئي ڪارڪردگي آهي، پر اسان کي اهو نه وسارڻ گهرجي ته اهڙيون ڊوائيس وقت سان گڏ ختم ٿي وينديون آهن. ورچوئل اپ لائنون گهٽ اڳڪٿي لائق آهن ڇو ته... هارڊويئر تي منحصر آهي جنهن تي ورچوئلائيزيشن ماحول مقرر ڪيو ويو آهي، پر انهن کي هڪ سنگين فائدو آهي: جيڪڏهن سپورٽ موجود آهي، اهي هميشه تازه ترين ورزن ڏانهن اپڊيٽ ٿي سگهن ٿيون.
ڇا توهان جو نيٽ ورڪ سامان Cisco ISE سان مطابقت رکي ٿو؟
يقينن، مثالي منظر عام طور تي سڀني سامان کي سسٽم سان ڳنڍڻ لاء هوندو. بهرحال، اهو هميشه ممڪن ناهي ڇو ته ڪيتريون ئي تنظيمون اڃا تائين غير منظم ٿيل سوئچز يا سوئچ استعمال ڪن ٿيون جيڪي ڪجهه ٽيڪنالاجيز کي سپورٽ نٿا ڪن جيڪي سسڪو ISE هلائيندا آهن. رستي ۾، اسان صرف سوئچز جي باري ۾ نه ڳالهائي رهيا آهيون، اهو پڻ ٿي سگهي ٿو وائرليس نيٽ ورڪ ڪنٽرولرز، وي پي اين ڪنيڪٽر ۽ ٻيو ڪو سامان جنهن سان صارف ڳنڍيندا آهن. منهنجي عمل ۾، اهڙا ڪيس آهن جڏهن، مڪمل عمل درآمد لاءِ سسٽم جو مظاهرو ڪرڻ کان پوءِ، گراهڪ لڳ ڀڳ پوري فليٽ کي اپ گريڊ ڪري ڇڏيو آهي رسائي جي سطح جي سوئچز کي جديد سسڪو سامان ڏانهن. ناپسنديده تعجب کان بچڻ لاء، اهو اڳ ۾ ڳولڻ جي قابل آهي ته اڻڄاتل سامان جو تناسب.
ڇا توهان جا سڀئي ڊوائيس معياري آهن؟
ڪنهن به نيٽ ورڪ ۾ عام ڊوائيسز آهن جن کي ڳنڍڻ ڏکيو نه هجڻ گهرجي: ڪم اسٽيشنون، IP فون، وائي فائي رسائي پوائنٽ، وڊيو ڪئميرا، وغيره. پر اهو به ٿئي ٿو ته غير معياري ڊوائيسز کي LAN سان ڳنڍڻ جي ضرورت آهي، مثال طور، RS232/Ethernet بس سگنل ڪنورٽرز، بي ترتيب پاور سپلائي انٽرفيس، مختلف ٽيڪنالاجي سامان، وغيره. اهو ضروري آهي ته اهڙن ڊوائيسز جي فهرست اڳ ۾ طئي ڪرڻ ضروري آهي. , انهي ڪري ته عمل درآمد واري مرحلي تي توهان کي اڳ ۾ ئي سمجهه ۾ اچي چڪو آهي ته ڪيئن ٽيڪنيڪل طور تي اهي Cisco ISE سان ڪم ڪندا.
آئي ٽي ماهرن سان تعميري گفتگو
سسڪو ISE گراهڪ اڪثر ڪري سيڪيورٽي ڊپارٽمينٽ آهن، جڏهن ته آئي ٽي ڊپارٽمينٽ عام طور تي رسائي پرت سوئچز ۽ فعال ڊائريڪٽري کي ترتيب ڏيڻ جا ذميوار آهن. تنهن ڪري، سيڪيورٽي ماهرن ۽ آئي ٽي ماهرن جي وچ ۾ پيداواري رابطي سسٽم جي بي دردي تي عمل درآمد لاء اهم شرطن مان هڪ آهي. جيڪڏهن بعد ۾ دشمني سان انضمام کي سمجهي، اهو انهن کي وضاحت ڪرڻ جي قابل آهي ته اهو حل آئي ٽي ڊپارٽمينٽ لاء ڪيئن مفيد ٿيندو.
مٿي 5 Cisco ISE استعمال ڪيس
اسان جي تجربي ۾، سسٽم جي گهربل ڪارڪردگي پڻ پائلٽ ٽيسٽ اسٽيج تي سڃاڻپ ڪئي وئي آهي. هيٺ ڏنل حل لاء سڀ کان وڌيڪ مقبول ۽ گهٽ عام استعمال جا ڪيس آهن.
EAP-TLS سان تار مٿان LAN جي رسائي کي محفوظ ڪريو
جيئن اسان جي پينٽيسٽرز جي تحقيقي شو جا نتيجا، اڪثر ڪري ڪمپني جي نيٽ ورڪ ۾ داخل ٿيڻ لاءِ، حملو ڪندڙ عام ساکٽ استعمال ڪندا آهن جن سان پرنٽر، فون، آئي پي ڪيمرا، وائي فائي پوائنٽس ۽ ٻيون غير ذاتي نيٽ ورڪ ڊوائيسز ڳنڍيل هوندا آهن. تنهن ڪري، جيتوڻيڪ نيٽ ورڪ تائين رسائي dot1x ٽيڪنالاجي تي ٻڌل آهي، پر متبادل پروٽوڪول استعمال ڪيا ويندا آهن بغير صارف جي تصديق جي سرٽيفڪيٽ استعمال ڪرڻ جي، سيشن جي مداخلت ۽ برٽ فورس پاسورڊ سان ڪامياب حملي جو هڪ وڏو امڪان آهي. Cisco ISE جي صورت ۾، اهو هڪ سرٽيفڪيٽ چوري ڪرڻ تمام گهڻو ڏکيو ٿيندو - هن لاء، هيڪرز کي تمام گهڻو ڪمپيوٽنگ پاور جي ضرورت هوندي، تنهنڪري هي ڪيس تمام مؤثر آهي.
ڊبل-SSID وائرليس رسائي
هن منظر جو بنياد 2 نيٽ ورڪ سڃاڻپ ڪندڙ (SSIDs) استعمال ڪرڻ آهي. انهن مان هڪ کي مشروط طور تي "مهمان" سڏيو وڃي ٿو. ان جي ذريعي، ٻئي مهمان ۽ ڪمپني ملازم وائرليس نيٽ ورڪ تائين رسائي ڪري سگهن ٿا. جڏهن اهي ڳنڍڻ جي ڪوشش ڪندا آهن، بعد ۾ هڪ خاص پورٽل ڏانهن موڪليا ويا آهن جتي روزي وٺندي آهي. اهو آهي، صارف کي هڪ سرٽيفڪيٽ جاري ڪيو ويو آهي ۽ سندس ذاتي ڊوائيس خودڪار طريقي سان ٻئي SSID سان ڳنڍڻ لاء ترتيب ڏني وئي آهي، جيڪو اڳ ۾ ئي استعمال ڪري ٿو EAP-TLS پهرين صورت جي سڀني فائدن سان.
MAC تصديق بائي پاس ۽ پروفائلنگ
هڪ ٻيو مشهور استعمال ڪيس خودڪار طريقي سان ڳنڍڻ واري ڊوائيس جي قسم کي ڳنڍڻ ۽ ان تي صحيح پابنديون لاڳو ڪرڻ آهي. ڇو ته هو دلچسپ آهي؟ حقيقت اها آهي ته اڃا تائين ڪافي ڊوائيسز آهن جيڪي 802.1X پروٽوڪول استعمال ڪندي تصديق جي حمايت نٿا ڪن. تنهن ڪري، اهڙي ڊوائيسز کي اجازت ڏني وڃي نيٽ ورڪ تي هڪ MAC ايڊريس استعمال ڪندي، جنهن کي جعلي ڪرڻ بلڪل آسان آهي. اهو آهي جتي Cisco ISE بچاء لاء اچي ٿو: سسٽم جي مدد سان، توهان ڏسي سگهو ٿا ته هڪ ڊوائيس نيٽ ورڪ تي ڪيئن ڪم ڪري ٿو، ان جي پروفائل ٺاهي ۽ ان کي ٻين ڊوائيسز جي هڪ گروپ کي تفويض ڪريو، مثال طور، هڪ IP فون ۽ هڪ ورڪ اسٽيشن. . جيڪڏهن ڪو حملو ڪندڙ هڪ MAC پتي کي چوري ڪرڻ ۽ نيٽ ورڪ سان ڳنڍڻ جي ڪوشش ڪندو، سسٽم ڏسندو ته ڊوائيس پروفائل تبديل ٿي وئي آهي، مشڪوڪ رويي کي سگنل ڏيندو ۽ مشڪوڪ صارف کي نيٽ ورڪ ۾ داخل ٿيڻ جي اجازت نه ڏيندو.
EAP-زنجيرن
EAP-Chaining ٽيڪنالاجي ۾ ڪم ڪندڙ پي سي ۽ صارف اڪائونٽ جي ترتيب واري تصديق شامل آهي. هي ڪيس ان ڪري وسيع ٿي ويو آهي جو... ڪيتريون ئي ڪمپنيون اڃا تائين ملازمن جي ذاتي گيجٽ کي ڪارپوريٽ LAN سان ڳنڍڻ جي حوصلا افزائي نٿا ڪن. تصديق ڪرڻ جي هن طريقي کي استعمال ڪندي، اهو چيڪ ڪرڻ ممڪن آهي ته ڇا هڪ خاص ورڪ اسٽيشن ڊومين جو ميمبر آهي، ۽ جيڪڏهن نتيجو منفي آهي، صارف کي يا ته نيٽ ورڪ ۾ داخل ٿيڻ جي اجازت نه هوندي، يا داخل ٿيڻ جي قابل هوندو، پر يقيني سان. پابنديون
پوسٽرنگ
هي ڪيس ورڪ اسٽيشن سافٽ ويئر جي معلومات جي حفاظت جي گهرجن سان تعميل جو جائزو وٺڻ بابت آهي. هن ٽيڪنالاجي کي استعمال ڪندي، توهان چيڪ ڪري سگهو ٿا ته ڇا سافٽ ويئر ڪم اسٽيشن تي اپڊيٽ ٿيل آهي، ڇا حفاظتي اپاء ان تي نصب ٿيل آهن، ڇا ميزبان فائر وال ترتيب ڏنل آهي، وغيره. دلچسپ ڳالهه اها آهي ته، هي ٽيڪنالاجي توهان کي ٻين ڪمن کي حل ڪرڻ جي اجازت ڏئي ٿي جيڪا سيڪيورٽي سان لاڳاپيل ناهي، مثال طور، ضروري فائلن جي موجودگي کي جانچڻ يا سسٽم جي وسيع سافٽ ويئر کي نصب ڪرڻ.
Cisco ISE لاءِ گهٽ عام استعمال جي ڪيسن ۾ شامل آهن رسائي ڪنٽرول سان آخر کان آخر تائين ڊومين جي تصديق (Passive ID)، SGT-based micro-segmentation and filtering، انهي سان گڏ موبائيل ڊيوائس مينيجمينٽ (MDM) سسٽم ۽ Vulnerability Scanners سان انضمام.
غير معياري منصوبا: ٻيو ڇو توهان کي ضرورت هجي سسڪو ISE، يا اسان جي مشق مان 3 نادر ڪيس
لينڪس جي بنياد تي سرور تائين رسائي ڪنٽرول
هڪ دفعو اسان هڪ غير معمولي ڪيس کي حل ڪري رهيا هئاسين انهن مان هڪ گراهڪن لاءِ جيڪو اڳ ۾ ئي سسڪو ISE سسٽم لاڳو ڪري چڪو هو: اسان کي لينڪس انسٽال ٿيل سرورز تي صارف جي عملن (اڪثر ڪري منتظمين) کي ڪنٽرول ڪرڻ جو رستو ڳولڻو پوندو. جواب جي ڳولا ۾، اسان کي مفت PAM Radius Module سافٽ ويئر استعمال ڪرڻ جو خيال آيو، جيڪو توهان کي اجازت ڏئي ٿو لينڪس هلائيندڙ سرورز ۾ لاگ ان ٿيڻ جي تصديق سان ٻاهرين ريڊيس سرور تي. انهي سلسلي ۾ سڀ ڪجهه سٺو هوندو، جيڪڏهن هڪ لاء نه "پر": ريڊيس سرور، تصديق جي درخواست جو جواب موڪلڻ، صرف اڪائونٽ جو نالو ۽ نتيجو ڏئي ٿو - قبول ٿيل يا رد ٿيل جو اندازو لڳايو. ان کان علاوه، لينڪس ۾ اختيار حاصل ڪرڻ لاء، توهان کي گهٽ ۾ گهٽ هڪ وڌيڪ پيٽرولر تفويض ڪرڻ جي ضرورت آهي - گهر ڊاريڪٽري، انهي ڪري ته صارف گهٽ ۾ گهٽ ڪٿي پهچي وڃي. اسان ان کي ريڊيس وصف طور ڏيڻ جو ڪو طريقو نه ڳوليو، ان ڪري اسان هڪ خاص اسڪرپٽ لکيو جنهن لاءِ ريموٽ اڪائونٽس ٺاهڻ لاءِ ميزبانن تي نيم خودڪار موڊ ۾. اهو ڪم ڪافي ممڪن هو، ڇاڪاڻ ته اسان ايڊمنسٽريٽر اڪائونٽس سان ڊيل ڪري رهيا هئاسين، جن جو تعداد ايترو وڏو نه هو. اڳيون، صارفين کي گهربل ڊيوائس تي لاگ ان ڪيو، جنهن کان پوء انهن کي لازمي رسائي ڏني وئي. هڪ معقول سوال پيدا ٿئي ٿو: ڇا ان کي استعمال ڪرڻ ضروري آهي Cisco ISE اهڙين حالتن ۾؟ اصل ۾، نه - ڪو به ريڊيس سرور ڪندو، پر جيئن ته ڪسٽمر وٽ اڳ ۾ ئي هي سسٽم موجود هو، اسان صرف ان ۾ هڪ نئين خاصيت شامل ڪئي.
LAN تي هارڊويئر ۽ سافٽ ويئر جي فهرست
اسان هڪ دفعو هڪ پروجيڪٽ تي ڪم ڪيو هو سسکو ISE کي فراهم ڪرڻ لاءِ هڪ گراهڪ کي بغير ڪنهن ابتدائي ”پائلٽ“. حل لاءِ ڪا واضح گهرج نه هئي، ان سان گڏ اسان هڪ فليٽ، غير ورهايل نيٽ ورڪ سان ڪم ڪري رهيا هئاسين، جنهن اسان جي ڪم کي پيچيده ڪيو. پروجيڪٽ جي دوران، اسان سڀني ممڪن پروفائلنگ طريقن کي ترتيب ڏنو جيڪو نيٽ ورڪ سپورٽ ڪيو: NetFlow، DHCP، SNMP، AD انٽيگريشن، وغيره. نتيجي طور، MAR رسائي نيٽ ورڪ ۾ لاگ ان ڪرڻ جي صلاحيت سان ترتيب ڏني وئي جيڪڏھن تصديق ناڪام ٿي. اهو آهي، جيتوڻيڪ جيڪڏهن تصديق ڪامياب نه هئي، سسٽم اڃا تائين صارف کي نيٽ ورڪ ۾، ان جي باري ۾ معلومات گڏ ڪرڻ ۽ ISE ڊيٽابيس ۾ رڪارڊ ڪرڻ جي اجازت ڏيندو. هن نيٽ ورڪ جي نگراني ڪيترن ئي هفتن ۾ اسان کي ڳنڍيل سسٽم ۽ غير ذاتي ڊوائيسز جي سڃاڻپ ڪرڻ ۾ مدد ڪئي ۽ انهن کي ورهائڻ لاء هڪ طريقو ٺاهيو. ان کان پوء، اسان اضافي طور تي پوسٽنگ کي ترتيب ڏنو ته ايجنٽ کي ڪم اسٽيشنن تي نصب ڪرڻ لاء انهن تي نصب ڪيل سافٽ ويئر بابت معلومات گڏ ڪرڻ لاء. نتيجو ڇا نڪتو؟ اسان نيٽ ورڪ کي ورهائڻ جي قابل هئا ۽ سافٽ ويئر جي فهرست کي طئي ڪرڻ جي قابل هئا جنهن کي ڪم اسٽيشنن تان هٽائڻ جي ضرورت آهي. مان اهو نه لڪائيندس ته صارفين کي ڊومين گروپن ۾ ورهائڻ ۽ رسائي جي حقن کي بيان ڪرڻ جي وڌيڪ ڪم اسان کي ڪافي وقت ورتو، پر هن طريقي سان اسان کي مڪمل تصوير ملي ٿي ته ڪسٽمر جي نيٽ ورڪ تي ڪهڙي هارڊويئر هئي. رستي ۾، اهو دٻي جي پروفائيلنگ جي سٺي ڪم جي ڪري ڏکيو نه هو. خير، جتي پروفائيلنگ مدد نه ڪئي، اسان پاڻ کي ڏٺو، سوئچ پورٽ کي نمايان ڪيو جنهن سان سامان ڳنڍيل هو.
ورڪ اسٽيشنن تي سافٽ ويئر جي ريموٽ تنصيب
هي ڪيس منهنجي عمل ۾ سڀ کان عجيب آهي. هڪ ڏينهن، هڪ گراهڪ اسان وٽ مدد لاءِ روئي آيو - سسڪو ISE لاڳو ڪرڻ وقت ڪجهه غلط ٿي ويو، سڀ ڪجهه ڀڄي ويو، ۽ ٻيو ڪو به نيٽ ورڪ تائين رسائي نه سگهيو. اسان ان کي ڳولڻ شروع ڪيو ۽ هيٺ ڏنل معلوم ڪيو. ڪمپنيءَ وٽ 2000 ڪمپيوٽر هئا، جن کي، ڊومين ڪنٽرولر جي غير موجودگيءَ ۾، هڪ ايڊمنسٽريٽر اڪائونٽ هيٺ منظم ڪيو ويو. پيئرنگ جي مقصد لاء، تنظيم لاڳو ڪيو Cisco ISE. اهو ضروري آهي ته ڪنهن به طرح اهو سمجهڻ گهرجي ته ڇا موجوده پي سي تي اينٽي وائرس نصب ڪيو ويو آهي، ڇا سافٽ ويئر ماحول کي اپڊيٽ ڪيو ويو، وغيره. ۽ جيئن ته آئي ٽي منتظمين سسٽم ۾ نيٽ ورڪ سامان نصب ڪيو، اهو منطقي آهي ته انهن وٽ ان تائين رسائي هئي. اهو ڏسڻ کان پوءِ ته اهو ڪيئن ڪم ڪري ٿو ۽ انهن جي پي سي کي ترتيب ڏئي رهيو آهي، منتظمين کي خيال آيو ته سافٽ ويئر انسٽال ڪرڻ جي ملازم ورڪ اسٽيشنن تي دور دراز کان سواءِ ذاتي دورن جي. بس تصور ڪريو ته توهان هن طريقي سان روزانو ڪيترا قدم بچائي سگهو ٿا! منتظمين C:Program Files ڊاريڪٽري ۾ هڪ مخصوص فائل جي موجودگي لاءِ ورڪ اسٽيشن جا ڪيترائي چيڪ ڪيا، ۽ جيڪڏهن اها غير حاضر هئي، ته خودڪار طريقي سان ريميڊييشن شروع ڪئي وئي هڪ لنڪ تي عمل ڪندي فائل اسٽوريج کي انسٽاليشن .exe فائل ڏانهن. اهو عام صارفين کي فائل شيئر تي وڃڻ جي اجازت ڏئي ٿو ۽ اتان کان ضروري سافٽ ويئر ڊائون لوڊ ڪري ٿو. بدقسمتي سان، منتظم کي ISE سسٽم جي چڱي طرح ڄاڻ نه هئي ۽ پوسٽنگ ميڪانيزم کي نقصان پهچايو - هن پاليسي کي غلط لکيو، جنهن جي ڪري هڪ مسئلو پيدا ٿيو جنهن کي حل ڪرڻ ۾ اسان ملوث هئاسين. ذاتي طور تي، مان خلوص سان اهڙي تخليقي طريقي سان حيران آهيان، ڇاڪاڻ ته اهو ڊومين ڪنٽرولر ٺاهڻ لاء تمام سستا ۽ گهٽ محنت وارو هوندو. پر تصور جي ثبوت طور اهو ڪم ڪيو.
منهنجي ساٿي جي آرٽيڪل ۾ سسڪو ISE کي لاڳو ڪرڻ وقت پيدا ٿيندڙ ٽيڪنيڪل نونسن بابت وڌيڪ پڙهو .
Artem Bobrikov، جيٽ انفو سسٽم ۾ انفارميشن سيڪيورٽي سينٽر جو ڊزائين انجنيئر
پوء:
ان حقيقت جي باوجود ته هي پوسٽ سسڪو ISE سسٽم بابت ڳالهائيندو آهي، بيان ڪيل مسئلا NAC حل جي پوري طبقي لاءِ لاڳاپيل آهن. اهو ايترو اهم ناهي ته ڪهڙو وينڊر جو حل لاڳو ڪرڻ جي منصوبابندي ڪئي وئي آهي - مٿين مان اڪثر لاڳو ٿينديون.
جو ذريعو: www.habr.com