Kako pogosto se vam zgodi, da nekaj spontano kupite, podležete kul reklami, potem pa se ta sprva želeni artikel nabira prah v omari, shrambi ali garaži do naslednjega spomladanskega čiščenja ali selitve? Rezultat je razočaranje zaradi neupravičenih pričakovanj in zapravljenega denarja. Veliko huje je, ko se to zgodi podjetju. Zelo pogosto so marketinški triki tako dobri, da podjetja kupijo drago rešitev, ne da bi videla celotno sliko njene uporabe. Medtem pa poskusno testiranje sistema pomaga razumeti, kako pripraviti infrastrukturo za integracijo, katere funkcionalnosti in v kakšnem obsegu je treba implementirati. Tako se lahko izognete številnim težavam zaradi izbire izdelka »na slepo«. Poleg tega bo izvedba po kompetentnem "pilotu" inženirjem prinesla veliko manj uničenih živčnih celic in sivih las. Ugotovimo, zakaj je pilotno testiranje tako pomembno za uspešen projekt, na primeru priljubljenega orodja za nadzor dostopa do omrežja podjetja - Cisco ISE. Razmislimo o standardnih in povsem nestandardnih možnostih za uporabo rešitve, s katero smo se srečali v naši praksi.
Cisco ISE - "Radius strežnik na steroidih"
Cisco Identity Services Engine (ISE) je platforma za ustvarjanje sistema za nadzor dostopa za lokalno omrežje organizacije. V strokovni javnosti je izdelek zaradi svojih lastnosti dobil vzdevek »Radius strežnik na steroidih«. Zakaj? V bistvu je rešitev strežnik Radius, na katerega je priloženo ogromno dodatnih storitev in »trikov«, ki vam omogočajo, da prejmete veliko količino kontekstualnih informacij in uporabite nastali nabor podatkov v politikah dostopa.
Kot kateri koli drug strežnik Radius tudi Cisco ISE sodeluje z omrežno opremo na ravni dostopa, zbira informacije o vseh poskusih povezovanja z omrežjem podjetja in na podlagi politik preverjanja pristnosti in avtorizacije dovoljuje ali zavrača uporabnike v LAN. Možnost profiliranja, objave in integracije z drugimi informacijsko-varnostnimi rešitvami pa omogoča bistveno zapletanje logike avtorizacijske politike in s tem reševanje precej težkih in zanimivih problemov.
Implementacije ni mogoče pilotirati: zakaj potrebujete testiranje?
Vrednost pilotnega testiranja je prikaz vseh zmožnosti sistema v specifični infrastrukturi konkretne organizacije. Menim, da pilotiranje Cisco ISE pred uvedbo koristi vsem, ki sodelujejo pri projektu, in tukaj je razlog.
To daje integratorjem jasno predstavo o pričakovanjih strank in pomaga ustvariti pravilno tehnično specifikacijo, ki vsebuje veliko več podrobnosti kot običajni stavek "poskrbi, da je vse v redu." »Pilot« nam omogoča, da začutimo vso bolečino stranke, da razumemo, katere naloge so zanj prednostne in katere drugotnega pomena. Za nas je to odlična priložnost, da vnaprej ugotovimo, kakšna oprema se uporablja v organizaciji, kako bo potekala izvedba, na katerih lokacijah, kje se nahajajo ipd.
Med pilotnim testiranjem stranke vidijo dejanski sistem v akciji, se seznanijo z njegovim vmesnikom, lahko preverijo, ali je združljiv z njihovo obstoječo strojno opremo, in dobijo celostno razumevanje, kako bo rešitev delovala po popolni implementaciji. »Pilot« je tisti trenutek, ko si lahko ogledate vse pasti, na katere boste verjetno naleteli pri integraciji, in se odločite, koliko licenc morate kupiti.
Kaj se lahko "pojavi" med "pilotom"
Kako se torej pravilno pripraviti na uvedbo Cisco ISE? Iz naših izkušenj smo prešteli 4 glavne točke, ki jih je pomembno upoštevati med pilotnim testiranjem sistema.
Faktor oblike
Najprej se morate odločiti, v kateri obliki bo sistem implementiran: fizični ali virtualni navzgor. Vsaka možnost ima prednosti in slabosti. Na primer, moč fizičnega uplinea je njegova predvidljiva zmogljivost, vendar ne smemo pozabiti, da takšne naprave sčasoma zastarijo. Virtualne navzgornje povezave so manj predvidljive, ker... odvisni od strojne opreme, na kateri je nameščeno virtualizacijsko okolje, vendar imajo resno prednost: če je na voljo podpora, jih je mogoče vedno posodobiti na najnovejšo različico.
Ali je vaša omrežna oprema združljiva s Cisco ISE?
Seveda bi bil idealen scenarij, da bi vso opremo na sistem povezali hkrati. Vendar to ni vedno mogoče, saj številne organizacije še vedno uporabljajo neupravljana stikala ali stikala, ki ne podpirajo nekaterih tehnologij, ki poganjajo Cisco ISE. Mimogrede, ne govorimo samo o stikalih, lahko so to tudi krmilniki brezžičnega omrežja, koncentratorji VPN in katera koli druga oprema, na katero se uporabniki povezujejo. V moji praksi so bili primeri, ko je stranka po predstavitvi sistema za popolno implementacijo skoraj celotno floto stikal ravni dostopa nadgradila na sodobno opremo Cisco. Da bi se izognili neprijetnim presenečenjem, je vredno vnaprej ugotoviti delež nepodprte opreme.
Ali so vse vaše naprave standardne?
Vsako omrežje ima tipične naprave, s katerimi se ne bi smelo težko povezati: delovne postaje, telefoni IP, dostopne točke Wi-Fi, video kamere itd. Zgodi pa se tudi, da je treba na LAN priključiti nestandardne naprave, na primer pretvornike signalov RS232/Ethernet, vmesnike za neprekinjeno napajanje, različno tehnološko opremo itd. Pomembno je, da vnaprej določite seznam takšnih naprav. , tako da že v fazi implementacije razumete, kako tehnično bodo delovali s Cisco ISE.
Konstruktiven dialog z IT strokovnjaki
Stranke Cisco ISE so pogosto varnostni oddelki, medtem ko so IT oddelki običajno odgovorni za konfiguriranje stikal dostopne plasti in Active Directory. Zato je produktivna interakcija med strokovnjaki za varnost in IT eden od pomembnih pogojev za nebolečo implementacijo sistema. Če slednji integracijo dojemajo sovražno, jim je vredno razložiti, kako bo rešitev koristna za IT oddelek.
Top 5 primerov uporabe Cisco ISE
Po naših izkušnjah se zahtevana funkcionalnost sistema identificira tudi v fazi pilotnega testiranja. Spodaj je nekaj najbolj priljubljenih in manj pogostih primerov uporabe rešitve.
Zavarujte dostop do omrežja LAN prek žice z EAP-TLS
Kot kažejo rezultati raziskav naših pentesterjev, napadalci pogosto za prodor v omrežje podjetja uporabljajo običajne vtičnice, na katere so priključeni tiskalniki, telefoni, kamere IP, točke Wi-Fi in druge neosebne omrežne naprave. Torej, tudi če omrežni dostop temelji na tehnologiji dot1x, vendar se uporabljajo alternativni protokoli brez uporabe potrdil za avtentikacijo uporabnika, obstaja velika verjetnost uspešnega napada s prestrezanjem sej in gesel na silo. V primeru Cisco ISE bo veliko težje ukrasti potrdilo - za to bodo hekerji potrebovali veliko več računalniške moči, zato je ta primer zelo učinkovit.
Brezžični dostop z dvojnim SSID
Bistvo tega scenarija je uporaba dveh omrežnih identifikatorjev (SSID). Enega od njih lahko pogojno imenujemo "gost". Prek njega lahko do brezžičnega omrežja dostopajo tako gostje kot zaposleni v podjetju. Ko se poskušajo povezati, so slednji preusmerjeni na poseben portal, kjer poteka provizija. To pomeni, da se uporabniku izda potrdilo in njegova osebna naprava se konfigurira za samodejno ponovno povezavo z drugim SSID, ki že uporablja EAP-TLS z vsemi prednostmi prvega primera.
Obhod in profiliranje pri preverjanju pristnosti MAC
Drug priljubljen primer uporabe je samodejno zaznavanje vrste povezane naprave in uporaba pravilnih omejitev zanjo. Zakaj je zanimiv? Dejstvo je, da je še vedno precej naprav, ki ne podpirajo avtentikacije s protokolom 802.1X. Zato je treba takšnim napravam omogočiti vstop v omrežje z naslovom MAC, ki ga je precej enostavno ponarediti. Tu priskoči na pomoč Cisco ISE: s pomočjo sistema lahko vidite, kako se naprava obnaša v omrežju, ustvarite njen profil in ga dodelite skupini drugih naprav, na primer IP telefonu in delovni postaji. . Če poskuša napadalec ponarediti naslov MAC in se povezati z omrežjem, bo sistem videl, da se je profil naprave spremenil, opozoril na sumljivo vedenje in sumljivemu uporabniku ne bo dovolil vstopa v omrežje.
EAP-veriženje
EAP-Chaining tehnologija vključuje zaporedno avtentikacijo delovnega računalnika in uporabniškega računa. Ta primer je postal zelo razširjen, ker ... Številna podjetja še vedno ne spodbujajo povezovanja osebnih pripomočkov zaposlenih v LAN podjetja. S tem pristopom k avtentikaciji je mogoče preveriti, ali je določena delovna postaja član domene, in če je rezultat negativen, uporabniku ne bo dovoljen vstop v omrežje ali pa bo lahko vstopil, vendar z določenimi omejitve.
Poziranje
V tem primeru gre za oceno skladnosti programske opreme delovne postaje z zahtevami glede informacijske varnosti. S to tehnologijo lahko preverite, ali je programska oprema na delovni postaji posodobljena, ali so na njej nameščeni varnostni ukrepi, ali je požarni zid gostitelja konfiguriran itd. Zanimivo je, da ta tehnologija omogoča tudi reševanje drugih nalog, ki niso povezane z varnostjo, na primer preverjanje prisotnosti potrebnih datotek ali namestitev sistemske programske opreme.
Manj običajni primeri uporabe za Cisco ISE vključujejo nadzor dostopa s preverjanjem pristnosti domene od konca do konca (pasivni ID), mikrosegmentacijo in filtriranje na osnovi SGT ter integracijo s sistemi za upravljanje mobilnih naprav (MDM) in pregledovalniki ranljivosti.
Nestandardni projekti: zakaj bi sicer potrebovali Cisco ISE ali 3 redke primere iz naše prakse
Nadzor dostopa do strežnikov, ki temeljijo na Linuxu
Nekoč smo reševali precej netrivialen primer za eno od strank, ki je že imela implementiran sistem Cisco ISE: morali smo najti način za nadzor dejanj uporabnikov (predvsem skrbnikov) na strežnikih z nameščenim Linuxom. V iskanju odgovora smo prišli na idejo o uporabi brezplačne programske opreme PAM Radius Module, ki omogoča prijavo v strežnike z Linuxom z avtentikacijo na zunanjem radius strežniku. Vse v zvezi s tem bi bilo dobro, če ne bi bilo enega "ampak": radiusni strežnik, ki pošlje odgovor na zahtevo za preverjanje pristnosti, poda samo ime računa in rezultat - ocena sprejeta ali ocena zavrnjena. Medtem pa morate za avtorizacijo v Linuxu dodeliti vsaj še en parameter - domači imenik, da uporabnik vsaj nekam pride. Nismo našli načina, da bi to podali kot atribut radius, zato smo napisali poseben skript za oddaljeno ustvarjanje računov na gostiteljih v polavtomatskem načinu. Ta naloga je bila povsem izvedljiva, saj smo imeli opravka z skrbniškimi računi, katerih število ni bilo tako veliko. Nato so se uporabniki prijavili na zahtevano napravo, nato pa so jim dodelili potreben dostop. Postavlja se razumno vprašanje: ali je v takih primerih treba uporabiti Cisco ISE? Pravzaprav ne – zadostuje kateri koli radius strežnik, a ker je stranka ta sistem že imela, smo mu preprosto dodali novo funkcijo.
Popis strojne in programske opreme v LAN
Nekoč smo delali na projektu dobave Cisco ISE eni stranki brez predhodnega "pilota". Za rešitev ni bilo jasnih zahtev, poleg tega smo imeli opravka z ravnim, nesegmentiranim omrežjem, kar je otežilo našo nalogo. Med projektom smo konfigurirali vse možne metode profiliranja, ki jih je omrežje podpiralo: NetFlow, DHCP, SNMP, AD integracija itd. Posledično je bil dostop MAR konfiguriran z možnostjo prijave v omrežje, če preverjanje pristnosti ni uspelo. Se pravi, tudi če avtentikacija ne bi bila uspešna, bi sistem še vedno spustil uporabnika v omrežje, zbiral podatke o njem in jih beležil v bazi ISE. To večtedensko spremljanje omrežja nam je pomagalo identificirati povezane sisteme in neosebne naprave ter razviti pristop za njihovo segmentacijo. Po tem smo dodatno konfigurirali knjiženje za namestitev agenta na delovne postaje z namenom zbiranja podatkov o programski opremi, nameščeni na njih. Kakšen je rezultat? Uspelo nam je segmentirati omrežje in določiti seznam programske opreme, ki jo je treba odstraniti z delovnih postaj. Ne bom skrival, da so nam nadaljnje naloge razdeljevanja uporabnikov v domenske skupine in razmejitve dostopnih pravic vzele precej časa, vendar smo na ta način dobili popolno sliko o tem, kakšno strojno opremo ima stranka v omrežju. Mimogrede, to ni bilo težko zaradi dobrega dela profiliranja iz škatle. No, kjer profiliranje ni pomagalo, smo pogledali sami in izpostavili vrata stikala, na katera je bila priključena oprema.
Oddaljena namestitev programske opreme na delovne postaje
Ta primer je eden najbolj čudnih v moji praksi. Nekega dne se je k nam oglasila stranka s klicem na pomoč - nekaj je šlo narobe pri implementaciji Cisco ISE, vse se je pokvarilo in nihče drug ni mogel dostopati do omrežja. Začeli smo raziskovati in ugotovili naslednje. Podjetje je imelo 2000 računalnikov, ki so bili v odsotnosti krmilnika domene upravljani pod skrbniškim računom. Za namen peeringa je organizacija implementirala Cisco ISE. Treba je bilo nekako razumeti, ali je bil protivirusni program nameščen na obstoječih osebnih računalnikih, ali je bilo programsko okolje posodobljeno itd. In ker so IT-skrbniki v sistem vgradili omrežno opremo, je logično, da so imeli dostop do nje. Ko so skrbniki videli, kako deluje, in preučili svoje osebne računalnike, so prišli na idejo, da programsko opremo namestijo na delovne postaje zaposlenih na daljavo brez osebnih obiskov. Samo predstavljajte si, koliko korakov lahko na ta način prihranite na dan! Skrbniki so opravili več pregledov delovne postaje glede prisotnosti določene datoteke v imeniku C:Program Files, in če je ni bilo, se je sprožila avtomatska sanacija po povezavi, ki vodi do shrambe datotek do namestitvene datoteke .exe. To je navadnim uporabnikom omogočilo, da odidejo na skupno rabo datotek in od tam prenesejo potrebno programsko opremo. Žal je admin slabo poznal sistem ISE in je poškodoval mehanizme objavljanja - napačno je napisal pravilnik, kar je privedlo do težave, pri reševanju katere smo sodelovali. Osebno sem nad tako kreativnim pristopom iskreno presenečen, saj bi bilo veliko ceneje in manj delovno intenzivno izdelati krmilnik domene. Toda kot dokaz koncepta je delovalo.
Preberite več o tehničnih odtenkih, ki se pojavijo pri implementaciji Cisco ISE v članku mojega kolega .
Artem Bobrikov, oblikovalec Centra za informacijsko varnost pri Jet Infosystems
spremna beseda:
Kljub temu, da ta prispevek govori o sistemu Cisco ISE, so opisani problemi relevantni za celoten razred NAC rešitev. Ni tako pomembno, rešitev katerega prodajalca je predvidena za implementacijo - večina zgoraj naštetega bo ostala uporabna.
Vir: www.habr.com