E fa'afia ona e fa'atau se mea fa'afuase'i, fa'ato'ilalo i se fa'asalalauga malu, ona fa'aputuina lea e lenei mea muamua mana'omia le pefu i totonu o le kapoti, faleoloa po'o le faleta'avale se'ia o'o i le isi tautotogo fa'amama po'o le fa'agaoioi? O le taunuuga o le le fiafia ona o faamoemoega le talafeagai ma tupe maumau. E sili atu le leaga pe a tupu lenei mea i se pisinisi. O le tele o taimi, o faʻatauga faʻatauga e matua lelei lava e faʻatau ai e kamupani se fofo taugata e aunoa ma le vaʻaia o le ata atoa o lona faʻaoga. I le taimi nei, o suʻega faʻataʻitaʻiga o le faiga e fesoasoani e malamalama ai pe faʻapefea ona saunia le atinaʻe mo le tuʻufaʻatasia, o le a le faʻatinoga ma le tele e tatau ona faʻatinoina. O lenei auala e mafai ai ona e aloese mai le tele o faʻafitauli ona o le filifilia o se oloa "tauaso". E le gata i lea, o le faʻatinoga pe a maeʻa se "pailate" agavaa o le a aumaia ai inisinia e sili atu le faʻaleagaina o sela neura ma lauulu sinasina. Sei o tatou vaʻavaʻai pe aisea e taua tele ai le suʻega pailate mo se poloketi manuia, e faʻaaoga ai le faʻataʻitaʻiga o se meafaigaluega lauiloa mo le puleaina o avanoa i se fesoʻotaʻiga kamupani - Cisco ISE. Sei o tatou mafaufau i filifiliga masani ma le atoatoa e le masani mo le faʻaaogaina o le fofo na matou feagai i la matou faʻataʻitaʻiga.
Cisco ISE - "Radius server i steroids"
Cisco Identity Services Engine (ISE) ose fa'avae mo le fa'atūina o se faiga fa'atonutonu avanoa mo feso'ota'iga fa'apitonu'u a se fa'alapotopotoga. I totonu o le faʻalapotopotoga faʻapitoa, o le oloa na faʻaigoaina "Radius server on steroids" mo ona meatotino. Aisea ua faapena ai? O le mea moni, o le fofo o le Radius server, lea o loʻo faʻapipiʻiina ai le tele o auaunaga faʻaopoopo ma "togafiti", e mafai ai ona e mauaina le tele o faʻamatalaga faʻamatalaga ma faʻaoga le seti o faʻamatalaga i faiga faʻavae.
E pei o soʻo se isi lava server Radius, Cisco ISE fegalegaleai ma meafaigaluega fesoʻotaʻiga avanoa, aoina faʻamatalaga e uiga i taumafaiga uma e faʻafesoʻotaʻi i le kamupani fesoʻotaʻiga ma, faʻavae i luga o faʻamaoniga ma faiga faʻatagaina, faʻatagaina pe teena tagata faʻaoga i le LAN. Ae ui i lea, o le avanoa e faʻasalalau, faʻasalalau, ma tuʻufaʻatasia ma isi faʻamatalaga saogalemu faʻamatalaga e mafai ai ona matua faʻalavelaveina le faʻaogaina o le faiga faʻatagaina ma faʻapea foi ona foia faafitauli faigata ma manaia.
E le mafai ona fa'ata'ita'iina le fa'atinoga: aisea e te mana'omia ai su'ega?
Ole aoga ole su'ega pailate o le fa'aalia lea o gafatia uma o le faiga i totonu o atina'e fa'apitoa a se fa'alapotopotoga fa'apitoa. Ou te talitonu o le faʻataʻitaʻiina o Cisco ISE aʻo leʻi faʻatinoina e manuia ai tagata uma e aofia ai i le poloketi, ma o le mafuaaga lea.
O lenei mea e tuʻuina atu ai i le au tuʻufaʻatasia se manatu manino o faʻamoemoega a le tagata faʻatau ma fesoasoani e fatuina se faʻamatalaga faʻapitoa faʻapitoa e aofia ai le tele o faʻamatalaga nai lo le fuaitau masani "ia mautinoa o loʻo lelei mea uma." "Pilot" e mafai ai ona tatou lagona uma le tiga o le tagata faʻatau, ia malamalama po o fea galuega e faʻamuamua mo ia ma o fea e lua. Mo i matou, o se avanoa sili lea e iloa muamua ai mea o loʻo faʻaaogaina i totonu o le faʻalapotopotoga, pe faʻapefea ona faia le faʻatinoga, o a nofoaga, o fea o loʻo i ai, ma isi.
I le taimi o suʻega pailate, e vaʻaia e tagata faʻatau le faiga moni o loʻo galue, faamasani i lona atinaʻe, e mafai ona siaki pe fetaui ma a latou meafaigaluega o loʻo i ai nei, ma maua se malamalamaga atoa i le auala o le a aoga ai le fofo pe a uma le faʻatinoga atoatoa. "Pilot" o le taimi tonu lea e mafai ai ona e vaʻai i faʻalavelave uma e te ono feagai i le taimi o le tuʻufaʻatasia, ma filifili pe fia laisene e te manaʻomia e faʻatau.
O le a se mea e mafai ona "pop up" i le taimi o le "pailate"
O lea la, faʻafefea ona e saunia lelei mo le faʻatinoina o Cisco ISE? Mai lo matou poto masani, ua matou faitauina 4 manatu autu e taua e mafaufau i ai i le taimi o suʻega pailate o le faiga.
Faʻasologa pepa
Muamua, e tatau ona e filifili po'o le a le tulaga o le a fa'atinoina ai le faiga: fa'aletino po'o luga ole laiga. O filifiliga taʻitasi e iai mea lelei ma faʻaletonu. Mo se faʻataʻitaʻiga, o le malosi o se upline faʻaletino o lona faʻatinoga faʻapitoa, ae e le tatau ona galo ia i tatou o ia masini e le toe aoga i le taimi. O luga ole telefoni e tau le iloa ona... faʻalagolago i meafaigaluega o loʻo faʻapipiʻiina ai le siosiomaga virtualization, ae o loʻo i ai so latou avanoa taua: afai e maua le lagolago, e mafai ona faʻafouina i taimi uma i le lomiga lata mai.
E fetaui au meafaigaluega feso'otaiga ma Cisco ISE?
O le mea moni, o le faʻataʻitaʻiga lelei o le faʻafesoʻotaʻi meafaigaluega uma i le faiga i le taimi e tasi. Ae ui i lea, e le o taimi uma e mafai ai ona o le tele o faʻalapotopotoga o loʻo faʻaogaina pea suiga poʻo suiga e le lagolagoina nisi o tekinolosi o loʻo faʻaogaina Cisco ISE. I le ala, matou te le na o le talanoa e uiga i suiga, e mafai foi ona faʻaogaina fesoʻotaʻiga uaealesi, VPN concentrators ma soʻo se isi masini e faʻafesoʻotaʻi ai tagata faʻaoga. I laʻu faʻataʻitaʻiga, sa i ai mataupu pe a maeʻa ona faʻaalia le faiga mo le faʻatinoina atoatoa, na faʻaleleia e le tagata faʻatau toetoe o le vaʻa atoa o suiga tulaga avanoa i masini Cisco faʻaonaponei. Ina ia aloese mai mea le lelei e ofo ai, e aoga le sailia muamua o le vaega o meafaigaluega e le lagolagoina.
O tulaga uma au masini?
Soʻo se fesoʻotaʻiga e iai masini faʻapitoa e le tatau ona faigata ona faʻafesoʻotaʻi i: fale faigaluega, telefoni IP, Wi-Fi avanoa avanoa, mea pueata vitio, ma isi. Ae e tupu foi e manaʻomia ona faʻafesoʻotaʻi masini e le masani ai i le LAN, mo se faʻataʻitaʻiga, RS232/Ethernet bus signal converters, fesoʻotaʻiga eletise e le mafai ona faʻalavelaveina, masini faʻatekonolosi eseese, ma isi. E taua le fuafuaina muamua o le lisi o ia masini. , ina ia i ai i le faʻatinoga laʻasaga ua uma ona e malamalama pe faʻafefea ona latou galulue faʻatasi ma Cisco ISE.
Fa'atalanoaga fa'apitoa ma tagata tomai fa'apitoa
O tagata fa'atau Cisco ISE e masani lava o matagaluega saogalemu, a'o matagaluega IT e masani ona nafa ma le fa'atulagaina o suiga o le avanoa ma Active Directory. O le mea lea, o fegalegaleaiga lelei i le va o tagata tomai faapitoa i le puipuiga ma tagata tomai faapitoa IT o se tasi lea o tulaga taua mo le faʻatinoina o le faiga e leai se tiga. Afai e iloa e le au mulimuli le tuʻufaʻatasia ma le ita, e taua le faʻamatalaina ia i latou pe faʻapefea ona aoga le fofo i le matagaluega IT.
Top 5 Cisco ISE fa'aoga mataupu
I lo matou poto masani, o le manaʻomia o le faʻaogaina o le faiga o loʻo faʻaalia foi i le tulaga o suʻega pailate. O lo'o i lalo nisi o fa'aoga sili ona ta'uta'ua ma fa'aitiitia le fa'aaogaina mo le fofo.
Fa'amautu le avanoa LAN i luga ole uaea ile EAP-TLS
E pei ona fa'aalia i fa'ai'uga o su'esu'ega a matou tagata, e tele lava ina fa'aulu i totonu o feso'otaiga a se kamupani, e fa'aogaina e tagata osofa'i soketi masani e feso'ota'i ai lomitusi, telefoni, IP kamera, Wi-Fi ma isi masini feso'ota'iga e le o ni tagata. O le mea lea, e tusa lava pe faʻavae fesoʻotaʻiga fesoʻotaʻiga i luga o tekinolosi dot1x, ae o isi faʻasalalauga e faʻaaogaina e aunoa ma le faʻaaogaina o tusi faamaonia faʻamaonia a le tagata, o loʻo i ai se avanoa maualuga o se osofaʻiga manuia ma faʻalavelave faʻasalalauga ma faʻaupuga faʻamalosi. I le tulaga o Cisco ISE, o le a sili atu ona faigata le gaoia o se tusi faamaonia - mo lenei mea, o le a manaʻomia e tagata taʻavale le tele o malosiaga faʻakomepiuta, o lea e aoga tele lenei mataupu.
Avanoa uaealesi lua-SSID
O le autu o lenei faʻataʻitaʻiga o le faʻaaogaina o faʻamatalaga fesoʻotaʻiga 2 (SSIDs). O se tasi oi latou e mafai ona taʻua o le "malosi". E ala i lea mea, e mafai ai e malo ma tagata faigaluega a le kamupani ona maua le fesoʻotaʻiga uaealesi. Pe a latou taumafai e faʻafesoʻotaʻi, e toe faʻafeiloaʻi le vaega mulimuli i se faitotoa faʻapitoa e fai ai le faʻatonuga. O lona uiga, e tuʻuina atu i le tagata faʻaoga se tusi faamaonia ma o lana masini patino ua faʻapipiʻiina e otometi ona toe faʻafesoʻotaʻi i le SSID lona lua, lea ua uma ona faʻaogaina le EAP-TLS ma mea lelei uma o le mataupu muamua.
MAC Authentication Bypass ma Profiling
O le isi tulaga fa'aoga ta'uta'ua o le otometi lava ona iloa le ituaiga masini o lo'o feso'ota'i ma fa'aoga sa'o tapula'a i ai. Aisea e manaia ai o ia? O le mea moni o loʻo i ai pea le tele o masini e le lagolagoina le faʻamaoni e faʻaaoga ai le 802.1X protocol. O le mea lea, o ia masini e tatau ona faʻatagaina i luga o le upega tafailagi e faʻaaoga ai se tuatusi MAC, lea e faigofie tele ona faʻasese. O le mea lea e sau ai Cisco ISE e laveai: faʻatasi ai ma le fesoasoani a le polokalama, e mafai ona e vaʻai pe faʻafefea ona amio se masini i luga o le upega tafailagi, fatuina lona talaaga ma tuʻuina atu i se vaega o isi masini, mo se faʻataʻitaʻiga, telefoni IP ma se fale faigaluega. . Afai e taumafai se tagata osofaʻi e faʻaleaga se tuatusi MAC ma faʻafesoʻotaʻi i le fesoʻotaʻiga, o le a vaʻaia e le faiga ua suia le faʻamatalaga o le masini, o le a faʻaalia ai amioga masalosalo ma o le a le faʻatagaina le tagata masalomia i totonu o le fesoʻotaʻiga.
EAP-Chaining
EAP-Chaining tekonolosi e aofia ai faʻasologa faʻamaonia o le PC galue ma faʻamatalaga tagata faʻaoga. Ua salalau lenei mataupu ona... O le tele o kamupani latou te le fa'amalosia le fa'afeso'ota'i o mea faigaluega a le tagata faigaluega i le LAN kamupani. I le faʻaaogaina o lenei auala i le faʻamaoni, e mafai ona siaki pe o se fale faigaluega faapitoa o se sui o le vaega, ma afai e le lelei le iʻuga, o le a le faʻatagaina le tagata faʻaoga i totonu o le fesoʻotaʻiga, pe mafai ona ulufale, ae faʻamautinoa tapula'a.
Tulaga
O lenei mataupu e uiga i le iloiloina o le tausisia o le polokalama o fale faigaluega ma faʻamatalaga mo le saogalemu. I le faʻaaogaina o lenei tekonolosi, e mafai ona e siaki pe faʻafouina le polokalama i luga o le fale faigaluega, pe faʻapipiʻi i luga o le puipuiga, pe faʻapipiʻi le fale puipui, ma isi. O le mea e malie ai, o lenei tekinolosi e mafai ai foi ona e foia isi galuega e le fesoʻotaʻi ma le saogalemu, mo se faʻataʻitaʻiga, siaki le i ai o faila manaʻomia poʻo le faʻapipiʻiina o polokalama faakomepiuta.
Fa'aitiitiga fa'aoga masani mo Cisco ISE e aofia ai le fa'atonuina o avanoa fa'atasi ai ma fa'amaoniga fa'ai'uga fa'ai'uga (Passive ID), SGT-fa'avae micro-segmentation ma le fa'amama, fa'apea fo'i ma le tu'ufa'atasia ma le pulega o masini feavea'i (MDM) faiga ma Vulnerability Scanners.
Poloketi e le masani ai: aisea e te manaʻomia ai Cisco ISE, poʻo 3 mea e le masani ai mai la matou faʻataʻitaʻiga
Pulea avanoa i sapalai fa'avae Linux
I le taimi lava na matou foia ai se mataupu e le taua tele mo se tasi o tagata faʻatau ua uma ona faʻatinoina le Cisco ISE system: matou te manaʻomia se auala e pulea ai gaioiga a tagata faʻaoga (tele o pulega) i luga o sapalai ma Linux faʻapipiʻi. I le sailiga o se tali, na matou maua ai le manatu o le faʻaaogaina o le PAM Radius Module free software, lea e mafai ai ona e ulufale i totonu o sapalai o loʻo faʻaogaina Linux ma faʻamaonia i luga o se server radius fafo. O mea uma i lenei tulaga o le a lelei, pe a le mo le tasi "ae": o le radius server, auina atu se tali i le talosaga faʻamaonia, e naʻo le igoa o le tala ma le taunuuga - iloilo le taliaina poʻo le iloiloga ua teena. I le taimi nei, mo le faʻatagaina i Linux, e tatau ona e tuʻuina atu ia le itiiti ifo ma le tasi le isi parakalafa - lisi o fale, ina ia maua e le tagata faʻaoga se mea. Matou te leʻi mauaina se auala e tuʻuina atu ai lenei mea o se uiga faʻasalalau, o lea na matou tusia ai se faʻamatalaga faʻapitoa mo le fatuina o tala i luga o au talimalo i se faiga semi-autometi. O lenei galuega sa fai lava si mafai, talu ai sa matou feagai ma faʻamatalaga a le pulega, o le numera e le tele. Le isi, tagata faʻaoga saini i luga o le masini manaʻomia, ina ua maeʻa ona tuʻuina atu ia i latou le avanoa talafeagai. O se fesili talafeagai e tulaʻi mai: e tatau ona faʻaoga Cisco ISE i ia tulaga? O le mea moni, e leai - so'o se radius server o le a faia, ae talu ai ona o le tagata fa'atau ua uma ona i ai lenei faiga, matou te fa'aopoopoina se mea fou i ai.
Su'esu'ega o masini ma polokalame i luga ole LAN
Na matou galulue muamua i se poloketi e tuʻuina atu Cisco ISE i se tasi tagata faʻatau e aunoa ma se "pailate" muamua. E leai ni manaʻoga manino mo le fofo, faʻatasi ai ma le matou feagai ma se fesoʻotaʻiga mafolafola, e le o tuʻufaʻatasia, lea na faʻalavelave ai la matou galuega. I le taimi o le poloketi, na matou faʻapipiʻiina uma auala faʻasalalau e mafai ona lagolagoina e le fesoʻotaʻiga: NetFlow, DHCP, SNMP, AD integration, ma isi. O se taunuuga, na faʻatulagaina le avanoa MAR ma le mafai ona ulufale i totonu o le fesoʻotaʻiga pe a le faʻamaonia le faʻamaonia. O lona uiga, e tusa lava pe le manuia le faʻamaoni, o le a faʻatagaina pea e le faiga le tagata faʻaoga i totonu o le fesoʻotaʻiga, aoina faʻamatalaga e uiga ia te ia ma faʻamaumau i le database ISE. O lenei mata'ituina o feso'ota'iga i le tele o vaiaso na fesoasoani ia i matou e iloa ai masini feso'ota'i ma masini e le o ni tagata ma fa'atupuina se auala e fa'avasega ai. Ina ua maeʻa, matou faʻaopoopoina le faʻasalalauga e faʻapipiʻi ai le sooupu i luga o fale faigaluega ina ia mafai ona aoina faʻamatalaga e uiga i le polokalama faʻapipiʻi ia i latou. O le a le i'uga? Na mafai ona matou vaevaeina le fesoʻotaʻiga ma fuafua le lisi o polokalama e manaʻomia ona aveese mai fale faigaluega. O le a ou le nanaina o isi galuega o le tufatufaina atu o tagata faaaoga i vaega o vaega ma le faʻavasegaina o aia tatau e ave ai le tele o le taimi, ae o le auala lea na matou maua ai se ata atoatoa o meafaigaluega a le tagata faʻatau i luga o le upega tafailagi. I le ala, e leʻi faigata lenei mea ona o le lelei o galuega faʻasalalau i fafo o le pusa. Ia, i le mea e leʻi fesoasoani ai faʻamatalaga, matou te vaʻavaʻai ia i matou lava, faʻamaonia le pusa ki lea e fesoʻotaʻi ai meafaigaluega.
Fa'apipi'i mamao o polokalame i luga o fale faigaluega
O lenei mataupu o se tasi o mea e sili ona ese i laʻu faʻataʻitaʻiga. I se tasi aso, na sau ai se tagata faʻatau ia i matou ma tagi mo se fesoasoani - na i ai se mea na tupu i le faʻatinoina o le Cisco ISE, na malepe mea uma, ma e leai se isi na mafai ona maua le fesoʻotaʻiga. Na amata ona matou suʻesuʻeina ma iloa ai mea nei. O le kamupani e 2000 komepiuta, lea, i le leai o se pule o le domain, sa pulea i lalo o se teugatupe faʻatonu. Mo le faʻamoemoe o le vaʻavaʻai, na faʻatinoina e le faʻalapotopotoga Cisco ISE. Sa tatau ona malamalama pe na faʻapipiʻi se antivirus i luga o PC o loʻo iai, pe faʻafouina le siosiomaga polokalama, ma isi. Ma talu ai ona faʻapipiʻiina e le pulega IT meafaigaluega fesoʻotaʻiga i totonu o le faiga, e talafeagai le latou mauaina. Ina ua uma ona vaʻai pe faʻafefea ona galue ma faʻapipiʻi a latou PC, na oʻo mai le pulega ma le manatu o le faʻapipiʻiina o le polokalama i luga o fale faigaluega a tagata faigaluega mamao e aunoa ma ni asiasiga patino. Vaai faalemafaufau pe fia ni laasaga e mafai ona e sefe i le aso i lenei auala! Na faia e le pulega le tele o siaki o le fale faigaluega mo le i ai o se faila patino i le C: Program Files directory, ma afai e le o iai, otometi toe faʻaleleia e ala i le mulimuli i se fesoʻotaʻiga e tau atu i le teuina o faila i le faʻapipiʻi .exe faila. O lenei mea na mafai ai e tagata masani ona o atu i se faila faila ma la'u mai ai le polokalama talafeagai mai iina. O le mea e leaga ai, e leʻi iloa lelei e le pule le faiga o le ISE ma faʻaleagaina auala faʻasalalau - na ia tusia le faiga faʻavae sese, lea na mafua ai se faʻafitauli na matou aʻafia ai i le foia. I le tagata lava ia, ou te matua ofo lava i se faiga faʻavae, aua o le a sili atu le taugofie ma le faʻaitiitia o le galue malosi e fatu ai se pule faʻavae. Ae o se Faʻamaoniga o manatu na aoga.
Faitau atili e uiga i faʻamatalaga faʻapitoa e tulaʻi mai pe a faʻatinoina Cisco ISE i le tusiga a laʻu paaga .
Artem Bobrikov, enisinia mamanu o le Nofoaga Autu Puipuiga i Jet Infosystems
Taofi upu:
E ui i le mea moni o lenei pou e talanoa e uiga i le Cisco ISE system, o faʻafitauli o loʻo faʻamatalaina e talafeagai mo le vasega atoa o fofo NAC. E le taua tele le fofo a le au faʻatau e fuafua mo le faʻatinoga - o le tele o mea o loʻo i luga o le a tumau pea.
puna: www.habr.com