Ako často si niečo spontánne kúpite, podľahnete chladnej reklame a potom na tento pôvodne vytúžený predmet sadá prach v skrini, špajzi či garáži až do najbližšieho jarného upratovania alebo sťahovania? Výsledkom je sklamanie z neopodstatnených očakávaní a vyhodených peňazí. Oveľa horšie je, keď sa to stane v biznise. Marketingové triky sú veľmi často také dobré, že spoločnosti kupujú drahé riešenie bez toho, aby videli úplný obraz jeho aplikácie. Skúšobné testovanie systému zároveň pomáha pochopiť, ako pripraviť infraštruktúru na integráciu, aká funkcionalita a v akom rozsahu by mala byť implementovaná. Týmto spôsobom sa môžete vyhnúť veľkému množstvu problémov pri výbere produktu „naslepo“. Implementácia po kompetentnom „pilotovi“ navyše inžinierom prinesie oveľa menej zničených nervových buniek a sivých vlasov. Poďme zistiť, prečo je pilotné testovanie také dôležité pre úspešný projekt, na príklade obľúbeného nástroja na riadenie prístupu do podnikovej siete – Cisco ISE. Zvážme štandardné aj úplne neštandardné možnosti využitia riešenia, s ktorým sme sa stretli v našej praxi.
Cisco ISE – „Radius server na steroidoch“
Cisco Identity Services Engine (ISE) je platforma na vytvorenie systému riadenia prístupu pre lokálnu sieť organizácie. V odbornej komunite bol produkt pre svoje vlastnosti prezývaný „Radius server on steroids“. prečo je to tak? Riešením je v podstate server Radius, ku ktorému je pripojené obrovské množstvo doplnkových služieb a „trikov“, ktoré vám umožňujú prijímať veľké množstvo kontextových informácií a aplikovať výsledný súbor údajov v politikách prístupu.
Ako každý iný server Radius, aj Cisco ISE interaguje so sieťovým zariadením na úrovni prístupu, zhromažďuje informácie o všetkých pokusoch o pripojenie k podnikovej sieti a na základe pravidiel autentifikácie a autorizácie povoľuje alebo zakazuje používateľom prístup do siete LAN. Možnosť profilovania, uverejňovania a integrácie s inými riešeniami informačnej bezpečnosti však umožňuje výrazne skomplikovať logiku autorizačnej politiky a tým riešiť pomerne zložité a zaujímavé problémy.
Implementácia nemôže byť testovaná: prečo potrebujete testovanie?
Hodnotou pilotného testovania je demonštrovať všetky schopnosti systému v špecifickej infraštruktúre konkrétnej organizácie. Verím, že pilotovanie Cisco ISE pred implementáciou prinesie úžitok všetkým zapojeným do projektu, a tu je dôvod.
To dáva integrátorom jasnú predstavu o očakávaniach zákazníka a pomáha formulovať správnu technickú špecifikáciu, ktorá obsahuje oveľa viac detailov ako bežná fráza „uistite sa, že je všetko v poriadku“. „Pilot“ nám umožňuje cítiť všetku bolesť zákazníka, pochopiť, ktoré úlohy sú pre neho prioritné a ktoré druhoradé. Pre nás je to výborná príležitosť vopred zistiť, aké zariadenia sa v organizácii používajú, ako bude prebiehať implementácia, na akých miestach, kde sa nachádzajú a podobne.
Počas pilotného testovania zákazníci uvidia skutočný systém v akcii, zoznámia sa s jeho rozhraním, môžu si overiť, či je kompatibilné s ich existujúcim hardvérom a získajú holistické pochopenie toho, ako bude riešenie fungovať po úplnej implementácii. „Pilot“ je práve ten moment, kedy môžete vidieť všetky úskalia, s ktorými sa počas integrácie pravdepodobne stretnete, a rozhodnúť sa, koľko licencií si musíte zakúpiť.
Čo sa môže „objaviť“ počas „pilotu“
Ako sa teda správne pripraviť na implementáciu Cisco ISE? Z našich skúseností sme spočítali 4 hlavné body, ktoré je dôležité zvážiť pri pilotnom testovaní systému.
Tvarový faktor
Najprv sa musíte rozhodnúť, v akej forme bude systém implementovaný: fyzický alebo virtuálny upline. Každá možnosť má výhody a nevýhody. Silnou stránkou fyzického upline je napríklad jeho predvídateľný výkon, no nesmieme zabúdať, že takéto zariadenia časom zastarávajú. Virtuálne upline sú menej predvídateľné, pretože... závisia od hardvéru, na ktorom je virtualizačné prostredie nasadené, ale majú vážnu výhodu: ak je dostupná podpora, vždy sa dajú aktualizovať na najnovšiu verziu.
Je vaše sieťové zariadenie kompatibilné s Cisco ISE?
Samozrejme, ideálnym scenárom by bolo pripojiť všetky zariadenia k systému naraz. Nie je to však vždy možné, pretože mnohé organizácie stále používajú nespravované prepínače alebo prepínače, ktoré nepodporujú niektoré z technológií, ktoré používajú Cisco ISE. Mimochodom, nehovoríme len o prepínačoch, môžu to byť aj ovládače bezdrôtovej siete, koncentrátory VPN a akékoľvek iné zariadenia, ku ktorým sa používatelia pripájajú. V mojej praxi sa vyskytli prípady, keď zákazník po predvedení systému na plnú implementáciu upgradoval takmer celú flotilu prepínačov prístupovej úrovne na moderné zariadenia Cisco. Aby ste sa vyhli nepríjemným prekvapeniam, oplatí sa vopred zistiť podiel nepodporovaných zariadení.
Sú všetky vaše zariadenia štandardné?
Každá sieť má typické zariadenia, ku ktorým by nemalo byť ťažké sa pripojiť: pracovné stanice, IP telefóny, prístupové body Wi-Fi, videokamery atď. Stáva sa však aj to, že do LAN je potrebné pripojiť aj neštandardné zariadenia, napríklad prevodníky signálu zbernice RS232/Ethernet, rozhrania neprerušiteľného napájania, rôzne technologické zariadenia atď. Je dôležité vopred si určiť zoznam takýchto zariadení. , aby ste už vo fáze implementácie pochopili, ako technicky budú pracovať s Cisco ISE.
Konštruktívny dialóg s IT špecialistami
Zákazníkmi Cisco ISE sú často bezpečnostné oddelenia, zatiaľ čo IT oddelenia sú zvyčajne zodpovedné za konfiguráciu prepínačov prístupovej vrstvy a Active Directory. Preto je produktívna interakcia medzi bezpečnostnými špecialistami a IT špecialistami jednou z dôležitých podmienok bezbolestnej implementácie systému. Ak tí druhí vnímajú integráciu s nepriateľstvom, stojí za to im vysvetliť, ako bude riešenie užitočné pre IT oddelenie.
5 najlepších prípadov použitia Cisco ISE
Podľa našich skúseností je požadovaná funkčnosť systému identifikovaná aj vo fáze pilotného testovania. Nižšie sú uvedené niektoré z najpopulárnejších a menej bežných prípadov použitia riešenia.
Bezpečný prístup k sieti LAN cez kábel s EAP-TLS
Ako ukazujú výsledky prieskumu našich pentesterov, útočníci pomerne často používajú na prienik do firemnej siete obyčajné zásuvky, ku ktorým sú pripojené tlačiarne, telefóny, IP kamery, Wi-Fi body a iné neosobné sieťové zariadenia. Preto, aj keď je prístup k sieti založený na technológii dot1x, ale používajú sa alternatívne protokoly bez použitia certifikátov na autentifikáciu používateľov, existuje vysoká pravdepodobnosť úspešného útoku pomocou odpočúvania relácie a hesiel hrubou silou. V prípade Cisco ISE bude ukradnutie certifikátu oveľa náročnejšie – na to budú hackeri potrebovať oveľa väčší výpočtový výkon, takže tento prípad je veľmi efektívny.
Bezdrôtový prístup Dual-SSID
Podstatou tohto scenára je použitie 2 sieťových identifikátorov (SSID). Jeden z nich sa môže podmienečne nazývať „hosť“. Prostredníctvom nej sa k bezdrôtovej sieti dostanú hostia aj zamestnanci spoločnosti. Keď sa pokúsia pripojiť, sú presmerovaní na špeciálny portál, kde prebieha poskytovanie. To znamená, že používateľovi je vydaný certifikát a jeho osobné zariadenie je nakonfigurované na automatické opätovné pripojenie k druhému SSID, ktoré už používa EAP-TLS so všetkými výhodami prvého prípadu.
Obídenie a profilovanie MAC autentifikácie
Ďalším populárnym prípadom použitia je automatická detekcia typu pripojeného zariadenia a aplikácia správnych obmedzení naň. Prečo je zaujímavý? Faktom je, že stále existuje pomerne veľa zariadení, ktoré nepodporujú autentifikáciu pomocou protokolu 802.1X. Preto sa takéto zariadenia musia dostať do siete pomocou MAC adresy, ktorá sa dá ľahko sfalšovať. Tu prichádza na pomoc Cisco ISE: pomocou systému môžete vidieť, ako sa zariadenie správa v sieti, vytvoriť jeho profil a priradiť ho skupine ďalších zariadení, napríklad IP telefón a pracovná stanica. . Ak sa útočník pokúsi sfalšovať MAC adresu a pripojiť sa k sieti, systém uvidí, že sa zmenil profil zariadenia, signalizuje podozrivé správanie a nepustí podozrivého používateľa do siete.
EAP-reťazenie
Technológia EAP-Chaining zahŕňa sekvenčnú autentifikáciu pracovného počítača a používateľského účtu. Tento prípad sa rozšíril, pretože... Mnoho spoločností stále nepodporuje pripojenie osobných zariadení zamestnancov k podnikovej sieti LAN. Pomocou tohto prístupu k autentifikácii je možné skontrolovať, či je konkrétna pracovná stanica členom domény, a ak je výsledok negatívny, používateľ buď nebude vpustený do siete, alebo bude môcť vstúpiť, ale s určitým obmedzenia.
Pózovanie
V tomto prípade ide o posúdenie súladu softvéru pracovnej stanice s požiadavkami na bezpečnosť informácií. Pomocou tejto technológie môžete skontrolovať, či je softvér na pracovnej stanici aktualizovaný, či sú na nej nainštalované bezpečnostné opatrenia, či je nakonfigurovaný hostiteľský firewall atď. Je zaujímavé, že táto technológia umožňuje riešiť aj iné úlohy, ktoré nesúvisia so zabezpečením, napríklad kontrolu prítomnosti potrebných súborov alebo inštaláciu celosystémového softvéru.
Menej časté prípady použitia pre Cisco ISE zahŕňajú riadenie prístupu s end-to-end doménovou autentifikáciou (Passive ID), mikrosegmentáciu a filtrovanie na báze SGT, ako aj integráciu so systémami správy mobilných zariadení (MDM) a skenermi zraniteľnosti.
Neštandardné projekty: prečo by ste inak mohli potrebovať Cisco ISE, alebo 3 ojedinelé prípady z našej praxe
Riadenie prístupu k serverom založeným na Linuxe
Raz sme riešili celkom netriviálny prípad pre jedného zo zákazníkov, ktorí už mali implementovaný systém Cisco ISE: potrebovali sme nájsť spôsob, ako kontrolovať akcie používateľov (väčšinou administrátorov) na serveroch s nainštalovaným Linuxom. Pri hľadaní odpovede sme prišli s nápadom použiť bezplatný softvér PAM Radius Module, ktorý vám umožňuje prihlásiť sa na servery so systémom Linux s autentifikáciou na externom rádiusovom serveri. Všetko v tomto ohľade by bolo dobré, nebyť jedného „ale“: server Radius, ktorý odošle odpoveď na žiadosť o autentifikáciu, poskytne iba názov účtu a výsledok - hodnotenie prijaté alebo hodnotenie zamietnuté. Zatiaľ na autorizáciu v Linuxe treba priradiť ešte aspoň jeden parameter – domovský adresár, aby sa používateľ aspoň niekam dostal. Nenašli sme spôsob, ako to zadať ako atribút rádius, preto sme napísali špeciálny skript na vzdialené vytváranie účtov na hostiteľoch v poloautomatickom režime. Táto úloha bola celkom uskutočniteľná, keďže sme sa zaoberali administrátorskými účtami, ktorých počet nebol taký veľký. Potom sa používatelia prihlásili na požadované zariadenie a potom im bol pridelený potrebný prístup. Vzniká rozumná otázka: je potrebné v takýchto prípadoch používať Cisco ISE? Vlastne nie - každý radius server to zvládne, ale keďže zákazník už tento systém mal, jednoducho sme doň pridali novú funkciu.
Súpis hardvéru a softvéru v sieti LAN
Raz sme pracovali na projekte dodávky Cisco ISE jednému zákazníkovi bez predbežného „pilota“. Na riešenie neboli jasné požiadavky, navyše sme mali do činenia s plochou, nesegmentovanou sieťou, čo nám komplikovalo úlohu. Počas projektu sme nakonfigurovali všetky možné metódy profilovania, ktoré sieť podporovala: NetFlow, DHCP, SNMP, integrácia AD atď. V dôsledku toho bol prístup MAR nakonfigurovaný s možnosťou prihlásiť sa do siete v prípade zlyhania autentifikácie. To znamená, že aj keby autentifikácia nebola úspešná, systém by stále pustil používateľa do siete, zbieral o ňom informácie a zaznamenával ich do databázy ISE. Toto monitorovanie siete počas niekoľkých týždňov nám pomohlo identifikovať pripojené systémy a neosobné zariadenia a vyvinúť prístup k ich segmentácii. Potom sme dodatočne nakonfigurovali odosielanie na inštaláciu agenta na pracovné stanice, aby sme zhromaždili informácie o softvéri, ktorý je na nich nainštalovaný. Aký je výsledok? Podarilo sa nám segmentovať sieť a určiť zoznam softvéru, ktorý bolo potrebné z pracovných staníc odstrániť. Nebudem tajiť, že ďalšie úlohy rozdeľovania používateľov do doménových skupín a vymedzovanie prístupových práv nám zabrali pomerne veľa času, ale takto sme získali ucelený obraz o tom, aký hardvér mal zákazník v sieti. Mimochodom, nebolo to ťažké kvôli dobrej práci profilovania z krabice. Ak profilovanie nepomohlo, pozreli sme sa sami, pričom sme zdôraznili port prepínača, ku ktorému bolo zariadenie pripojené.
Vzdialená inštalácia softvéru na pracovné stanice
Tento prípad je jeden z najzvláštnejších v mojej praxi. Jedného dňa k nám prišiel zákazník s krikom o pomoc – pri implementácii Cisco ISE sa niečo pokazilo, všetko sa pokazilo a nikto iný sa nemohol dostať do siete. Začali sme to skúmať a zistili sme nasledovné. Spoločnosť disponovala 2000 XNUMX počítačmi, ktoré boli pri absencii doménového radiča spravované pod účtom správcu. Pre účely peeringu organizácia implementovala Cisco ISE. Bolo potrebné nejako pochopiť, či bol na existujúcich počítačoch nainštalovaný antivírus, či bolo aktualizované softvérové prostredie atď. A keďže IT administrátori do systému inštalovali sieťové zariadenia, je logické, že k nim mali prístup. Po tom, čo správcovia videli, ako to funguje, a vylepšovali svoje počítače, prišli s nápadom nainštalovať softvér na pracovné stanice zamestnancov na diaľku bez osobných návštev. Len si predstavte, koľko krokov môžete takto denne ušetriť! Administrátori vykonali niekoľko kontrol pracovnej stanice na prítomnosť konkrétneho súboru v adresári C:Program Files, a ak chýbal, bola spustená automatická náprava pomocou odkazu vedúceho do úložiska súboru na inštalačný .exe súbor. To umožnilo bežným používateľom prejsť na zdieľanie súborov a stiahnuť si odtiaľ potrebný softvér. Žiaľ, admin dobre nepoznal systém ISE a poškodil mechanizmy odosielania – nesprávne napísal politiku, čo viedlo k problému, do ktorého riešenia sme sa zapojili. Osobne som úprimne prekvapený takýmto kreatívnym prístupom, pretože vytvorenie radiča domény by bolo oveľa lacnejšie a menej prácne. Ale ako dôkaz konceptu to fungovalo.
Prečítajte si viac o technických nuansách, ktoré vznikajú pri implementácii Cisco ISE v článku môjho kolegu .
Artem Bobrikov, konštruktér Centra informačnej bezpečnosti v Jet Infosystems
Doslov:
Napriek tomu, že tento príspevok hovorí o systéme Cisco ISE, opísané problémy sú relevantné pre celú triedu riešení NAC. Nie je také dôležité, ktoré riešenie od dodávateľa sa plánuje implementovať – väčšina z vyššie uvedeného zostane v platnosti.
Zdroj: hab.com