ඔබ කොපමණ වාරයක් ස්වයංසිද්ධව යමක් මිල දී ගන්නවාද, සිසිල් වෙළඳ දැන්වීමකට යටත් වන අතර, පසුව මෙම මුලින් අපේක්ෂිත අයිතමය ඊළඟ වසන්තය වන තෙක් වැසිකිලියක, පැන්ට්රියක හෝ ගරාජයක දූවිලි එකතු කරයිද? එහි ප්රතිඵලය අසාධාරණ බලාපොරොත්තු සහ නාස්තිකාර මුදල් නිසා බලාපොරොත්තු සුන්වීමයි. ව්යාපාරයකට මෙය සිදු වූ විට එය වඩාත් නරක ය. බොහෝ විට, අලෙවිකරණ උපක්රම කොතරම් හොඳද යත්, සමාගම් එහි යෙදුමේ සම්පූර්ණ චිත්රය නොදැකීමෙන් මිල අධික විසඳුමක් මිලදී ගනී. මේ අතර, පද්ධතියේ අත්හදා බැලීම් පරීක්ෂණය ඒකාබද්ධ කිරීම සඳහා යටිතල පහසුකම් සකස් කරන්නේ කෙසේද යන්න තේරුම් ගැනීමට උපකාරී වේ, කුමන ක්රියාකාරිත්වය සහ කොපමණ දුරට ක්රියාත්මක කළ යුතුද යන්න. මේ ආකාරයෙන් ඔබට "අන්ධ ලෙස" නිෂ්පාදනයක් තෝරා ගැනීම හේතුවෙන් විශාල ගැටළු ගණනාවක් වළක්වා ගත හැකිය. මීට අමතරව, දක්ෂ "නියමු" පසු ක්රියාත්මක කිරීම ඉංජිනේරුවන් බෙහෙවින් අඩු විනාශ වූ ස්නායු සෛල සහ අළු හිසකෙස් ගෙන එනු ඇත. ආයතනික ජාලයකට ප්රවේශය පාලනය කිරීම සඳහා ජනප්රිය මෙවලමක් වන සිස්කෝ අයිඑස්ඊ උදාහරණය භාවිතා කරමින් සාර්ථක ව්යාපෘතියක් සඳහා නියමු පරීක්ෂාව එතරම් වැදගත් වන්නේ මන්දැයි සොයා බලමු. අපගේ භාවිතයේදී අපට හමු වූ විසඳුම භාවිතා කිරීම සඳහා සම්මත සහ සම්පූර්ණයෙන්ම සම්මත නොවන විකල්ප දෙකම සලකා බලමු.
Cisco ISE - "ස්ටෙරොයිඩ් මත රේඩියස් සේවාදායකය"
Cisco Identity Services Engine (ISE) යනු සංවිධානයක ප්රාදේශීය ජාලයක් සඳහා ප්රවේශ පාලන පද්ධතියක් නිර්මාණය කිරීමේ වේදිකාවකි. විශේෂඥ ප්රජාව තුළ, නිෂ්පාදිතය එහි ගුණාංග සඳහා "ස්ටෙරොයිඩ් මත රේඩියස් සේවාදායකය" ලෙස නම් කරන ලදී. ඇයි ඒ? අත්යවශ්යයෙන්ම, විසඳුම රේඩියස් සේවාදායකයක් වන අතර, අතිරේක සේවාවන් සහ "උපක්රම" විශාල සංඛ්යාවක් අනුයුක්ත කර ඇති අතර, ඔබට සන්දර්භීය තොරතුරු විශාල ප්රමාණයක් ලබා ගැනීමට සහ ප්රවේශ ප්රතිපත්තිවල ප්රතිඵල දත්ත කට්ටලය යෙදීමට ඉඩ සලසයි.
වෙනත් ඕනෑම රේඩියස් සේවාදායකයක් මෙන්, Cisco ISE ප්රවේශ මට්ටමේ ජාල උපකරණ සමඟ අන්තර් ක්රියා කරයි, ආයතනික ජාලයට සම්බන්ධ වීමට ගන්නා සියලු උත්සාහයන් පිළිබඳ තොරතුරු රැස් කරයි, සත්යාපනය සහ අවසර ප්රතිපත්ති මත පදනම්ව, පරිශීලකයින්ට LAN වෙත ඉඩ දීම හෝ ප්රතික්ෂේප කිරීම. කෙසේ වෙතත්, වෙනත් තොරතුරු ආරක්ෂණ විසඳුම් සමඟ පැතිකඩ කිරීම, පළ කිරීම සහ ඒකාබද්ධ කිරීමේ හැකියාව බලය පැවරීමේ ප්රතිපත්තියේ තර්කනය සැලකිය යුතු ලෙස සංකීර්ණ කිරීමට සහ එමඟින් තරමක් දුෂ්කර හා සිත්ගන්නා ගැටළු විසඳීමට හැකි වේ.
ක්රියාත්මක කිරීම නියමුගත කළ නොහැක: ඔබට පරීක්ෂණයක් අවශ්ය වන්නේ ඇයි?
නියමු පරීක්ෂාවෙහි වටිනාකම වන්නේ නිශ්චිත සංවිධානයක නිශ්චිත යටිතල පහසුකම් තුළ පද්ධතියේ සියලු හැකියාවන් ප්රදර්ශනය කිරීමයි. ක්රියාත්මක කිරීමට පෙර Cisco ISE නියමු කිරීම ව්යාපෘතියට සම්බන්ධ සියලු දෙනාටම ප්රතිලාභ ලබා දෙන බව මම විශ්වාස කරමි, සහ ඒ ඇයි.
මෙය ඒකාබද්ධ කරන්නන්ට පාරිභෝගිකයාගේ අපේක්ෂාවන් පිළිබඳ පැහැදිලි අදහසක් ලබා දෙන අතර "සියල්ල හොඳින් ඇති බවට වග බලා ගන්න" යන පොදු වාක්ය ඛණ්ඩයට වඩා බොහෝ විස්තර අඩංගු නිවැරදි තාක්ෂණික පිරිවිතරයක් නිර්මාණය කිරීමට උපකාරී වේ. "පයිලට්" අපට පාරිභෝගිකයාගේ සියලු වේදනාව දැනීමට ඉඩ සලසයි, ඔහු සඳහා ප්රමුඛතාවයක් සහ ද්විතියික කාර්යයන් මොනවාද යන්න තේරුම් ගැනීමට. අපට නම්, සංවිධානයේ භාවිතා කරන උපකරණ මොනවාද, ක්රියාත්මක කිරීම සිදුවන්නේ කෙසේද, කුමන වෙබ් අඩවි වල, ඒවා පිහිටා ඇති ස්ථානය සහ යනාදිය කල්තියා සොයා ගැනීමට මෙය කදිම අවස්ථාවකි.
නියමු පරීක්ෂාව අතරතුර, පාරිභෝගිකයින්ට සැබෑ පද්ධතිය ක්රියාත්මක වන බව දකියි, එහි අතුරුමුහුණත සමඟ දැන හඳුනා ගත හැකිය, එය ඔවුන්ගේ පවතින දෘඪාංග සමඟ අනුකූලදැයි පරීක්ෂා කළ හැකිය, සහ විසඳුම සම්පූර්ණයෙන් ක්රියාත්මක කිරීමෙන් පසු ක්රියා කරන්නේ කෙසේද යන්න පිළිබඳ පරිපූර්ණ අවබෝධයක් ලබා ගත හැකිය. "පයිලට්" යනු ඒකාබද්ධ කිරීමේදී ඔබට බොහෝ විට මුහුණ දීමට සිදු වන සියලු අන්තරායන් දැක ගත හැකි අතර, ඔබ කොපමණ බලපත්ර මිලදී ගත යුතුද යන්න තීරණය කළ හැකි මොහොතයි.
"නියමු" අතරතුර "උපත" කළ හැක්කේ කුමක්ද?
ඉතින්, Cisco ISE ක්රියාත්මක කිරීම සඳහා ඔබ නිසි ලෙස සූදානම් වන්නේ කෙසේද? අපගේ අත්දැකීම් අනුව, පද්ධතියේ නියමු පරීක්ෂාවේදී සලකා බැලිය යුතු වැදගත් කරුණු 4ක් අපි ගණන් කර ඇත.
ආකෘති සාධකය
පළමුව, පද්ධතිය ක්රියාත්මක කරන්නේ කුමන ආකාරයෙන්ද යන්න ඔබ තීරණය කළ යුතුය: භෞතික හෝ අථත්ය උඩුගත කිරීම. සෑම විකල්පයක්ම වාසි සහ අවාසි ඇත. උදාහරණයක් ලෙස, භෞතික උඩු රේඛාවක ශක්තිය එහි පුරෝකථනය කළ හැකි කාර්ය සාධනයයි, නමුත් එවැනි උපකරණ කාලයත් සමඟ යල් පැන ගිය බව අප අමතක නොකළ යුතුය. අතථ්ය උඩුගත කිරීම් අඩුවෙන් පුරෝකථනය කළ හැකි නිසා... අථත්යකරණ පරිසරය යොදවා ඇති දෘඪාංග මත රඳා පවතී, නමුත් ඒවාට බරපතල වාසියක් ඇත: සහාය තිබේ නම්, ඒවා සෑම විටම නවතම අනුවාදයට යාවත්කාලීන කළ හැකිය.
ඔබේ ජාල උපකරණ Cisco ISE සමඟ අනුකූලද?
ඇත්ත වශයෙන්ම, පරමාදර්ශී අවස්ථාව වනුයේ සියලුම උපකරණ එකවර පද්ධතියට සම්බන්ධ කිරීමයි. කෙසේ වෙතත්, බොහෝ ආයතන තවමත් Cisco ISE ක්රියාත්මක කරන සමහර තාක්ෂණයන් සඳහා සහය නොදක්වන කළමනාකරණය නොකළ ස්විච හෝ ස්විච භාවිතා කරන බැවින් මෙය සැමවිටම කළ නොහැක. මාර්ගය වන විට, අපි කතා කරන්නේ ස්විචයන් ගැන පමණක් නොවේ, එය රැහැන් රහිත ජාල පාලක, VPN සාන්ද්රණ සහ පරිශීලකයින් සම්බන්ධ කරන වෙනත් උපකරණ ද විය හැකිය. මගේ භාවිතයේ දී, සම්පූර්ණ ක්රියාත්මක කිරීම සඳහා පද්ධතිය ප්රදර්ශනය කිරීමෙන් පසු, පාරිභෝගිකයා නවීන සිස්කෝ උපකරණ වෙත ප්රවේශ මට්ටමේ ස්විචයන්ගේ මුළු ඇණියම පාහේ වැඩිදියුණු කළ අවස්ථා තිබේ. අප්රසන්න විස්මයන් වළක්වා ගැනීම සඳහා, සහාය නොදක්වන උපකරණවල අනුපාතය කල්තියා සොයා ගැනීම වටී.
ඔබගේ සියලුම උපාංග සම්මතද?
ඕනෑම ජාලයකට සම්බන්ධ වීමට අපහසු නොවිය යුතු සාමාන්ය උපාංග තිබේ: වැඩපොළවල්, IP දුරකථන, Wi-Fi ප්රවේශ ස්ථාන, වීඩියෝ කැමරා ආදිය. නමුත් සම්මත නොවන උපාංග LAN වෙත සම්බන්ධ කළ යුතු බව ද සිදු වේ, උදාහරණයක් ලෙස, RS232 / Ethernet බස් සංඥා පරිවර්තක, අඛණ්ඩ බල සැපයුම් අතුරුමුහුණත්, විවිධ තාක්ෂණික උපකරණ ආදිය. එවැනි උපාංග ලැයිස්තුව කල්තියා තීරණය කිරීම වැදගත් වේ. , ක්රියාත්මක කිරීමේ අදියරේදී ඔවුන් Cisco ISE සමඟ කෙතරම් තාක්ෂණිකව ක්රියා කරයිද යන්න ඔබට දැනටමත් අවබෝධයක් ඇත.
තොරතුරු තාක්ෂණ විශේෂඥයින් සමඟ නිර්මාණාත්මක සංවාදයක්
Cisco ISE පාරිභෝගිකයින් බොහෝ විට ආරක්ෂක දෙපාර්තමේන්තු වන අතර, තොරතුරු තාක්ෂණ දෙපාර්තමේන්තු සාමාන්යයෙන් ප්රවේශ ස්ථර ස්විච සහ ක්රියාකාරී නාමාවලිය වින්යාස කිරීම සඳහා වගකිව යුතුය. එබැවින්, ආරක්ෂිත විශේෂඥයින් සහ තොරතුරු තාක්ෂණ විශේෂඥයින් අතර ඵලදායී අන්තර්ක්රියා පද්ධතිය වේදනා රහිතව ක්රියාත්මක කිරීම සඳහා වැදගත් කොන්දේසියකි. සතුරුකම සමඟ ඒකාබද්ධ වීම දෙවැන්නා වටහා ගන්නේ නම්, විසඳුම තොරතුරු තාක්ෂණ දෙපාර්තමේන්තුවට ප්රයෝජනවත් වන්නේ කෙසේද යන්න ඔවුන්ට පැහැදිලි කිරීම වටී.
Top 5 Cisco ISE භාවිත අවස්ථා
අපගේ අත්දැකීම් අනුව, පද්ධතියේ අවශ්ය ක්රියාකාරීත්වය ද නියමු පරීක්ෂණ අදියරේදී හඳුනා ගැනේ. විසඳුම සඳහා වඩාත් ජනප්රිය සහ අඩු පොදු භාවිත අවස්ථා කිහිපයක් පහත දැක්වේ.
EAP-TLS සහිත වයරයක් හරහා ආරක්ෂිත LAN ප්රවේශය
අපගේ pentesters ගේ පර්යේෂණවල ප්රතිඵල පෙන්නුම් කරන පරිදි, බොහෝ විට සමාගම් ජාලයකට විනිවිද යාමට, ප්රහාරකයින් මුද්රණ යන්ත්ර, දුරකථන, IP කැමරා, Wi-Fi ලක්ෂ්ය සහ වෙනත් පුද්ගලික නොවන ජාල උපාංග සම්බන්ධ කර ඇති සාමාන්ය සොකට් භාවිතා කරයි. එබැවින්, ජාල ප්රවේශය dot1x තාක්ෂණය මත පදනම් වුවද, පරිශීලක සත්යාපන සහතික භාවිතා නොකර විකල්ප ප්රොටෝකෝල භාවිතා කළද, සැසියේ බාධා කිරීම් සහ බෲට්-ෆෝස් මුරපද සමඟ සාර්ථක ප්රහාරයක් එල්ල වීමේ ඉහළ සම්භාවිතාවක් ඇත. Cisco ISE සම්බන්ධයෙන් ගත් කල, සහතිකයක් සොරකම් කිරීම වඩා දුෂ්කර වනු ඇත - මේ සඳහා, හැකර්වරුන්ට වැඩි පරිගණක බලයක් අවශ්ය වනු ඇත, එබැවින් මෙම නඩුව ඉතා ඵලදායී වේ.
ද්විත්ව SSID රැහැන් රහිත ප්රවේශය
මෙම අවස්ථාවෙහි සාරය නම් ජාල හඳුනාගැනීම් 2 ක් (SSIDs) භාවිතා කිරීමයි. ඔවුන්ගෙන් එක් අයෙකු කොන්දේසි සහිතව "ආගන්තුක" ලෙස හැඳින්විය හැක. එය හරහා අමුත්තන්ට සහ සමාගම් සේවකයින්ට රැහැන් රහිත ජාලයට පිවිසිය හැකිය. ඔවුන් සම්බන්ධ වීමට උත්සාහ කරන විට, දෙවැන්න ප්රතිපාදන සිදු කෙරෙන විශේෂ ද්වාරයකට හරවා යවනු ලැබේ. එනම්, පරිශීලකයාට සහතිකයක් නිකුත් කර ඇති අතර ඔහුගේ පුද්ගලික උපාංගය දෙවන SSID වෙත ස්වයංක්රීයව නැවත සම්බන්ධ වීමට වින්යාස කර ඇත, එය දැනටමත් පළමු නඩුවේ සියලුම වාසි සමඟ EAP-TLS භාවිතා කරයි.
MAC සත්යාපනය බයිපාස් සහ පැතිකඩ කිරීම
තවත් ජනප්රිය භාවිත අවස්ථාවක් වන්නේ සම්බන්ධ වී ඇති උපාංග වර්ගය ස්වයංක්රීයව හඳුනාගෙන එයට නිවැරදි සීමා කිරීම් යෙදීමයි. ඔහු සිත්ගන්නාසුලු වන්නේ ඇයි? කාරණය නම් 802.1X ප්රොටෝකෝලය භාවිතයෙන් සත්යාපනයට සහය නොදක්වන උපාංග රාශියක් තවමත් පවතින බවයි. එමනිසා, එවැනි උපාංගවලට MAC ලිපිනයක් භාවිතා කර ජාලයට ඇතුළු වීමට ඉඩ දිය යුතු අතර එය ව්යාජ කිරීමට පහසුය. සිස්කෝ අයිඑස්ඊ ගලවා ගැනීමට පැමිණෙන්නේ මෙහිදීය: පද්ධතියේ ආධාරයෙන්, උපාංගයක් ජාලයේ හැසිරෙන ආකාරය, එහි පැතිකඩ නිර්මාණය කර එය වෙනත් උපාංග සමූහයකට පැවරිය හැකිය, උදාහරණයක් ලෙස, IP දුරකථනයක් සහ වැඩපොළක් . ප්රහාරකයෙකු MAC ලිපිනයක් වංචා කර ජාලයට සම්බන්ධ වීමට උත්සාහ කරන්නේ නම්, පද්ධතිය උපාංග පැතිකඩ වෙනස් වී ඇති බව දකියි, සැක සහිත හැසිරීමක් සංඥා කරයි සහ සැක සහිත පරිශීලකයාට ජාලයට ඇතුළු වීමට ඉඩ නොදේ.
EAP-දම්වැල්
EAP-Chaining තාක්ෂණයට ක්රියාකාරී පරිගණකයේ සහ පරිශීලක ගිණුමේ අනුක්රමික සත්යාපනය ඇතුළත් වේ. මෙම නඩුව පුළුල් වී ඇති නිසා ... බොහෝ සමාගම් තවමත් සේවකයින්ගේ පුද්ගලික උපකරණ ආයතනික LAN වෙත සම්බන්ධ කිරීම දිරිමත් නොකරයි. සත්යාපනය සඳහා මෙම ප්රවේශය භාවිතා කරමින්, නිශ්චිත වැඩපොළක් වසමෙහි සාමාජිකයෙකු දැයි පරීක්ෂා කළ හැකි අතර, ප්රතිඵලය ඍණාත්මක නම්, පරිශීලකයාට ජාලයට ඇතුළු වීමට ඉඩ නොදෙනු ඇත, නැතහොත් ලොග් වීමට හැකි වනු ඇත, නමුත් යම් සීමාවන්.
ඉරියව් කිරීම
මෙම නඩුව තොරතුරු ආරක්ෂණ අවශ්යතා සමඟ වැඩපොළ මෘදුකාංගයේ අනුකූලතාවය තක්සේරු කිරීමයි. මෙම තාක්ෂණය භාවිතයෙන්, ඔබට වැඩපොළෙහි මෘදුකාංග යාවත්කාලීන කර ඇත්ද, එහි ආරක්ෂක පියවරයන් ස්ථාපනය කර තිබේද, සත්කාරක ෆයර්වෝල් වින්යාස කර තිබේද, යනාදිය පරීක්ෂා කළ හැකිය. සිත්ගන්නා කරුණ නම්, මෙම තාක්ෂණය මඟින් ආරක්ෂාවට සම්බන්ධ නොවන වෙනත් කාර්යයන් විසඳීමට ඔබට ඉඩ සලසයි, නිදසුනක් ලෙස, අවශ්ය ලිපිගොනු තිබේදැයි පරීක්ෂා කිරීම හෝ පද්ධතිය පුරා මෘදුකාංග ස්ථාපනය කිරීම.
Cisco ISE සඳහා අඩු පොදු භාවිත අවස්ථා අතර අන්තයේ සිට අවසානය දක්වා වසම් සත්යාපනය (Passive ID), SGT මත පදනම් වූ ක්ෂුද්ර-ඛණ්ඩනය සහ පෙරීම, මෙන්ම ජංගම උපාංග කළමනාකරණ (MDM) පද්ධති සහ Vulnerability Scanners සමඟ ප්රවේශ පාලනය ඇතුළත් වේ.
සම්මත නොවන ව්යාපෘති: ඔබට වෙනත් සිස්කෝ ISE අවශ්ය වන්නේ ඇයි, හෝ අපගේ භාවිතයේ දුර්ලභ අවස්ථා 3ක්
ලිනක්ස් පාදක සේවාදායක වෙත ප්රවේශ පාලනය
අපි දැනටමත් Cisco ISE පද්ධතිය ක්රියාත්මක කර ඇති එක් පාරිභෝගිකයෙකු සඳහා ඉතා සුළු නොවන නඩුවක් විසඳමින් සිටි පසු: Linux ස්ථාපනය කර ඇති සේවාදායකයන්හි පරිශීලක ක්රියා (බොහෝ විට පරිපාලකයින්) පාලනය කිරීමට ක්රමයක් සොයා ගැනීමට අපට අවශ්ය විය. පිළිතුරක් සෙවීමේදී, අපි නොමිලේ PAM රේඩියස් මොඩියුල මෘදුකාංගය භාවිතා කිරීමේ අදහස ඉදිරිපත් කළෙමු, එමඟින් බාහිර අරය සේවාදායකයක සත්යාපනය සමඟ ලිනක්ස් ධාවනය වන සේවාදායකයන්ට ලොග් වීමට ඔබට ඉඩ සලසයි. මේ සම්බන්ධයෙන් සෑම දෙයක්ම හොඳ වනු ඇත, එක් "නමුත්" සඳහා නොවේ නම්: අරය සේවාදායකය, සත්යාපන ඉල්ලීමට ප්රතිචාරයක් යැවීම, ගිණුමේ නම සහ ප්රති result ලය පමණක් ලබා දෙයි - පිළිගත් හෝ තක්සේරු කිරීම ප්රතික්ෂේප කරන ලදී. මේ අතර, ලිනක්ස් හි අවසරය සඳහා, ඔබ අවම වශයෙන් තවත් එක් පරාමිතියක් පැවරිය යුතුය - නිවාස නාමාවලිය, එවිට පරිශීලකයා අවම වශයෙන් කොහේ හරි ලබා ගනී. මෙය අරය ගුණාංගයක් ලෙස ලබා දීමට ක්රමයක් අප විසින් සොයා නොගත් නිසා, අර්ධ ස්වයංක්රීය ප්රකාරයේදී ධාරකවල දුරස්ථව ගිණුම් සෑදීම සඳහා අපි විශේෂ ස්ක්රිප්ට් එකක් ලිව්වෙමු. අපි පරිපාලක ගිණුම් සමඟ කටයුතු කරමින් සිටි බැවින්, එම සංඛ්යාව එතරම් විශාල නොවූ බැවින් මෙම කාර්යය බෙහෙවින් ශක්ය විය. ඊළඟට, පරිශීලකයින් අවශ්ය උපාංගයට ලොග් වූ අතර, පසුව ඔවුන්ට අවශ්ය ප්රවේශය පවරන ලදී. සාධාරණ ප්රශ්නයක් පැන නගී: එවැනි අවස්ථාවලදී Cisco ISE භාවිතා කිරීම අවශ්යද? ඇත්ත වශයෙන්ම, නැත - ඕනෑම අරය සේවාදායකයක් කරනු ඇත, නමුත් පාරිභෝගිකයාට දැනටමත් මෙම පද්ධතිය තිබූ බැවින්, අපි එයට නව අංගයක් එක් කළෙමු.
LAN මත දෘඪාංග සහ මෘදුකාංග ඉන්වෙන්ටරි
අපි වරක් මූලික "නියමු" නොමැතිව එක් පාරිභෝගිකයෙකුට Cisco ISE සැපයීමේ ව්යාපෘතියක වැඩ කළා. විසඳුම සඳහා පැහැදිලි අවශ්යතා කිසිවක් නොතිබූ අතර, අපි අපගේ කාර්යය සංකීර්ණ කළ පැතලි, ඛණ්ඩනය නොවූ ජාලයක් සමඟ ගනුදෙනු කරමින් සිටියෙමු. ව්යාපෘතිය අතරතුර, අපි ජාලය සහාය දක්වන සියලුම පැතිකඩ ක්රම වින්යාස කළෙමු: NetFlow, DHCP, SNMP, AD ඒකාබද්ධ කිරීම, ආදිය. එහි ප්රතිඵලයක් වශයෙන්, MAR ප්රවේශය වින්යාස කර ඇත්තේ සත්යාපනය අසාර්ථක වුවහොත් ජාලයට පිවිසීමේ හැකියාව සමඟිනි. එනම්, සත්යාපනය සාර්ථක නොවූවත්, පද්ධතිය තවමත් පරිශීලකයාට ජාලයට ඇතුළු වීමට ඉඩ සලසයි, ඔහු පිළිබඳ තොරතුරු රැස් කර එය ISE දත්ත ගබඩාවේ සටහන් කරයි. සති කිහිපයක් පුරා මෙම ජාල නිරීක්ෂණය අපට සම්බන්ධිත පද්ධති සහ පුද්ගලික නොවන උපාංග හඳුනා ගැනීමට සහ ඒවා කොටස් කිරීමට ප්රවේශයක් වර්ධනය කිරීමට උපකාරී විය. මෙයින් පසු, අපි ඒවා මත ස්ථාපනය කර ඇති මෘදුකාංගය පිළිබඳ තොරතුරු රැස් කිරීම සඳහා වැඩපොළවල නියෝජිතයා ස්ථාපනය කිරීමට පළ කිරීම අතිරේකව වින්යාස කළෙමු. ප්රතිඵලය කුමක්ද? අපට ජාලය කොටස් කිරීමට සහ වැඩපොළවලින් ඉවත් කිරීමට අවශ්ය මෘදුකාංග ලැයිස්තුව තීරණය කිරීමට හැකි විය. පරිශීලකයින් වසම් කණ්ඩායම් වලට බෙදා හැරීම සහ ප්රවේශ අයිතිවාසිකම් නිරූපණය කිරීමේ තවත් කාර්යයන් සඳහා අපට බොහෝ කාලයක් ගත වූ බව මම සඟවන්නේ නැත, නමුත් මේ ආකාරයෙන් පාරිභෝගිකයාට ජාලයේ ඇති දෘඩාංග පිළිබඳ සම්පූර්ණ චිත්රයක් අපට ලැබුණි. මාර්ගය වන විට, කොටුවෙන් පිටත පැතිකඩ කිරීමේ හොඳ කාර්යය නිසා මෙය අපහසු නොවීය. හොඳයි, පැතිකඩ කිරීම උදව් නොකළ විට, අපි අපවම බැලුවෙමු, උපකරණ සම්බන්ධ කර ඇති ස්විච් පෝට් එක ඉස්මතු කර පෙන්වමු.
වැඩපොළවල මෘදුකාංග දුරස්ථව ස්ථාපනය කිරීම
මෙම නඩුව මගේ භාවිතයේ අමුතුම එකකි. එක් දිනක්, උපකාරය සඳහා කෑගැසීමක් සමඟ පාරිභෝගිකයෙකු අප වෙත පැමිණියේය - Cisco ISE ක්රියාත්මක කිරීමේදී යම් දෙයක් වැරදී ඇත, සියල්ල කැඩී ගියේය, සහ වෙනත් කිසිවෙකුට ජාලයට ප්රවේශ විය නොහැක. අපි එය සොයා බැලීමට පටන් ගත් අතර පහත සඳහන් දේ සොයා ගත්තෙමු. සමාගම සතුව පරිගණක 2000 ක් තිබූ අතර, වසම් පාලකයක් නොමැති විට, පරිපාලක ගිණුමක් යටතේ කළමනාකරණය කරන ලදී. පීරිං කිරීමේ අරමුණ සඳහා, සංවිධානය Cisco ISE ක්රියාත්මක කළේය. පවතින පරිගණකවල ප්රති-වයිරසයක් ස්ථාපනය කර තිබේද, මෘදුකාංග පරිසරය යාවත්කාලීන කර තිබේද යන්න කෙසේ හෝ තේරුම් ගැනීමට අවශ්ය විය. තොරතුරු තාක්ෂණ පරිපාලකයින් පද්ධතියට ජාල උපකරණ ස්ථාපනය කර ඇති බැවින්, ඔවුන්ට එයට ප්රවේශය තිබීම තර්කානුකූල ය. එය ක්රියා කරන ආකාරය සහ ඔවුන්ගේ පරිගණක පෝෂර් කිරීමෙන් පසු, පරිපාලකයින්ට පුද්ගලික සංචාරයකින් තොරව දුරස්ථව සේවක සේවා ස්ථාන මත මෘදුකාංගය ස්ථාපනය කිරීමේ අදහස ඇති විය. ඔබට මේ ආකාරයෙන් දිනකට පියවර කීයක් ඉතිරි කර ගත හැකිදැයි සිතා බලන්න! C:Program Files නාමාවලියෙහි නිශ්චිත ගොනුවක් තිබීම සඳහා පරිපාලකයින් විසින් වැඩපොළ පරීක්ෂා කිරීම් කිහිපයක් සිදු කරන ලද අතර, එය නොමැති නම්, ස්ථාපනය .exe ගොනුව වෙත ගොනු ගබඩාව වෙත යන සබැඳියක් අනුගමනය කිරීමෙන් ස්වයංක්රීය පිළියමක් දියත් කරන ලදී. මෙමගින් සාමාන්ය පරිශීලකයින්ට ෆයිල් ෂෙයාර් එකකට ගොස් අවශ්ය මෘදුකාංග එතැනින් බාගැනීමට හැකි විය. අවාසනාවකට, පරිපාලක ISE පද්ධතිය හොඳින් දැන නොසිටි අතර පළ කිරීමේ යාන්ත්රණයට හානි කළේය - ඔහු ප්රතිපත්තිය වැරදි ලෙස ලියා ඇති අතර, එය අප විසඳීමට සම්බන්ධ වූ ගැටලුවකට හේතු විය. පුද්ගලිකව, එවැනි නිර්මාණාත්මක ප්රවේශයක් ගැන මම අවංකවම පුදුමයට පත් වෙමි, මන්ද එය වසම් පාලකයක් නිර්මාණය කිරීම වඩා ලාභදායී සහ අඩු ශ්රම ශක්තියක් වනු ඇත. නමුත් සංකල්පයේ සාධනයක් ලෙස එය ක්රියාත්මක විය.
මගේ සගයාගේ ලිපියේ Cisco ISE ක්රියාත්මක කිරීමේදී පැන නගින තාක්ෂණික සූක්ෂ්මතා ගැන වැඩිදුර කියවන්න .
Artem Bobrikov, Jet Infosystems හි තොරතුරු ආරක්ෂණ මධ්යස්ථානයේ සැලසුම් ඉංජිනේරු
පසු පදය:
මෙම සටහන Cisco ISE පද්ධතිය ගැන කතා කරන කාරණය තිබියදීත්, විස්තර කර ඇති ගැටළු NAC විසඳුම් සමස්ත පන්තියටම අදාළ වේ. ක්රියාත්මක කිරීම සඳහා කුමන විකුණුම්කරුගේ විසඳුම සැලසුම් කර තිබේද යන්න එතරම් වැදගත් නොවේ - ඉහත බොහෝ දේ අදාළ වනු ඇත.
මූලාශ්රය: www.habr.com