Immisa jeer ayaad shay si kedis ah u iibsataa, adigoo u hoggaansamaya xayaysiis fiican, ka dibna shaygan markii hore la rabay wuxuu soo ururiyaa boodhka armaajo, maqaasiin ama garaash ilaa laga gaarayo nadiifinta gu'ga xiga ama guurto? Natiijadu waa niyad-jab ay sabab u tahay rajooyin aan cudur daar lahayn iyo lacag khasaartay. Aad bay uga sii daran tahay marka tani ku dhacdo meherad. Inta badan, gimmicks-ka suuq-geynta ayaa aad u wanaagsan in shirkaduhu ay iibsadaan xal qaali ah iyaga oo aan arag sawirka buuxa ee codsigeeda. Dhanka kale, tijaabinta tijaabada ee nidaamka waxay gacan ka geysaneysaa in la fahmo sida loo diyaariyo kaabayaasha isdhexgalka, waxa shaqeynta iyo ilaa xadka ay tahay in la hirgeliyo. Sidan waxaad uga fogaan kartaa tiro badan oo dhibaatooyin ah sababtoo ah doorashada badeecada "indho la'aan". Intaa waxaa dheer, hirgelinta ka dib "duuliyaha" karti leh ayaa keeni doona injineerada unugyada dareemayaasha iyo timo cawl aad u yar oo burburay. Aynu ogaano sababta tijaabada tijaabada ahi ay muhiim ugu tahay mashruuc guul leh, anagoo adeegsanayna tusaalaha aaladda caanka ah ee lagu xakameynayo gelitaanka shabakadaha shirkadaha - Cisco ISE. Aynu tixgelinno ikhtiyaarrada caadiga ah iyo kuwa aan caadiga ahayn labadaba ee adeegsiga xalka aan la kulannay dhaqankeenna.
Cisco ISE - "Seerarka Radius ee steroids"
Cisco Identity Services Engine (ISE) waa madal lagu abuurayo nidaamka xakamaynta gelitaanka shabakada deegaanka ee ururka. Bulshada khabiirka ah, badeecada waxaa lagu naaneeso "Server Radius on steroids" hantideeda. Waa maxay sababtu? Asal ahaan, xalku waa server-ka Radius, kaas oo tiro badan oo adeegyo dheeraad ah iyo "khiyaamo" lagu soo lifaaqay, taas oo kuu ogolaanaysa inaad hesho qadar badan oo macluumaad ah oo ku saabsan macluumaadka macnaha guud oo aad isticmaasho xogta ka soo baxday siyaasadaha gelitaanka.
Sida adeegaha kale ee Radius, Cisco ISE waxa ay la falgashaa qalabka shabakada heerka gelitaanka, waxa ay ururisaa macluumaadka ku saabsan dhammaan isku dayga lagu xidhidhiyo shabakadda shirkadda, iyada oo ku salaysan siyaasadaha xaqiijinta iyo oggolaanshaha, waxa ay u ogolaataa ama u diidaa isticmaalayaasha LAN. Si kastaba ha ahaatee, suurtogalnimada xog-ururinta, dhajinta, iyo is-dhexgalka xalalka kale ee amniga macluumaadka ayaa suurtogal ka dhigaya in si weyn loo adkeeyo macquulka siyaasadda oggolaanshaha oo markaa lagu xalliyo dhibaatooyin adag oo xiiso leh.
Hirgelinta lama tijaabin karo: maxaad ugu baahan tahay imtixaan?
Qiimaha tijaabada tijaabada ah waa in la muujiyo dhammaan awoodaha nidaamka ee kaabayaasha gaarka ah ee urur gaar ah. Waxaan aaminsanahay in tijaabada Cisco ISE ka hor hirgelinta ay faa'iido u leedahay qof kasta oo ku lug leh mashruuca, waana kan sababta.
Tani waxay siinaysaa isku xidhayaasha fikrad cad oo ku saabsan rajada macaamiisha waxayna gacan ka geysataa abuurista tilmaamo farsamo oo sax ah oo ka kooban faahfaahin aad uga badan odhaahda caadiga ah "hubi in wax walba ay fiican yihiin." "Pilot" wuxuu noo ogolaanayaa inaan dareemo dhammaan xanuunka macaamilka, si aan u fahamno hawlaha mudnaanta u leh isaga iyo kuwa labaad. Annaga, tani waa fursad aad u fiican oo aan horay u sii ogaan karno qalabka loo isticmaalo ururka, sida hirgelintu u dhici doonto, goobaha ay ku yaalaan, iyo wixii la mid ah.
Inta lagu jiro tijaabada tijaabada, macaamiishu waxay arkaan nidaamka dhabta ah ee ficilka ah, inay bartaan interface-keeda, waxay hubin karaan inay ku habboon yihiin qalabkooda jira, oo ay helaan faham dhamaystiran oo ku saabsan sida xalku u shaqeyn doono ka dib hirgelinta buuxda. "Pilot" waa marka aad arki karto dhammaan kharibaadyada aad la kulmi doonto inta lagu jiro isdhexgalka, oo aad go'aansato inta shati ee aad u baahan tahay inaad iibsato.
Maxaa "soo bixi kara" inta lagu jiro "pilot"
Marka, sidee si habboon ugu diyaargarowdaa hirgelinta Cisco ISE? Waayo-aragnimadayada, waxaanu tirinay 4 qodob oo muhiim ah oo muhiim ah in la tixgeliyo inta lagu jiro tijaabada tijaabada ee nidaamka.
Qaabka Foomka
Marka hore, waxaad u baahan tahay inaad go'aansato qaabka qaabka nidaamka loo hirgelin doono: kor u qaadis muuqaal ah ama muuqaal ah. Doorasho kastaa waxay leedahay faa'iidooyin iyo faa'iido darrooyin. Tusaale ahaan, xoogga kor u kaca jirku waa waxqabadkiisa la saadaalin karo, laakiin waa in aynaan iloobin in qalabkan oo kale ay noqdaan kuwo duugoobay waqti ka dib. Soo bandhigida muuqaalku aad ayay u yartahay saadaalinta sababtoo ah... waxay ku xiran tahay qalabka loo adeegsado jawiga wax qabadka, laakiin waxay leeyihiin faa'iido weyn: haddii taageero la heli karo, had iyo jeer waa la cusboonaysiin karaa nooca ugu dambeeya.
Qalabkaaga shabakadu ma la jaan qaadayaa Cisco ISE?
Dabcan, xaaladda ugu habboon waxay noqon doontaa in lagu xiro dhammaan qalabka nidaamka hal mar. Si kastaba ha ahaatee, tani mar walba suurtogal ma aha maadaama ururo badan ay weli isticmaalaan shishadaha ama furayaasha aan la maamulin ee aan taageerin qaar ka mid ah tignoolajiyada ku shaqeeya Cisco ISE. Jid ahaan, kama hadlayno furayaasha furaha, sidoo kale waxay noqon karaan kontaroolayaasha shabakadaha bilaa-waayirka ah, kuwa xoogga saaraya VPN iyo qalab kasta oo kale oo ay isticmaalayaashu ku xidhmaan. Dhaqankayga, waxaa jiray kiisas markii, ka dib markii la muujiyay nidaamka hirgelinta si buuxda, macaamiishu wuxuu kor u qaaday ku dhawaad ββdhammaan maraakiibta heerka gelitaanka qalabka Cisco casriga ah. Si looga fogaado yaabab aan fiicneyn, waxaa habboon in horay loo sii ogaado saamiga qalabka aan la taageerin.
Dhammaan aaladahaagu ma yihiin kuwo heersare ah?
Shabakad kastaa waxay leedahay aalado caadi ah oo aan ku adkaan in lagu xidho: goobaha shaqada, telefoonada IP-ga, meelaha Wi-Fi-ga laga galo, kamaradaha fiidiyowga, iyo wixii la mid ah. Laakiin sidoo kale waxay dhacdaa in aaladaha aan caadiga ahayn ay u baahan yihiin in lagu xidho LAN, tusaale ahaan, RS232/Ethernet isweydaarsiga baska baska, isdhexgalka korontada ee aan kala go'in, qalabka teknolojiyadda kala duwan, iwm. Waa muhiim in horay loo sii ogaado liiska aaladahaas , si heerka hirgelinta aad horey u leedahay faham sida farsamo ahaan ay ula shaqeyn doonaan Cisco ISE.
Wadahadal wax ku ool ah oo lala yeesho khubarada IT-ga
Macaamiisha Cisco ISE inta badan waa waaxyo amniga, halka waaxaha IT-ga ay inta badan mas'uul ka yihiin habaynta furayaasha lakabka gelitaanka iyo Hagaha firfircoon. Sidaa darteed, isdhexgalka wax soo saarka leh ee u dhexeeya khabiirada amniga iyo khabiirada IT-ga ayaa ah mid ka mid ah shuruudaha muhiimka ah ee hirgelinta xanuunka la'aanta ah ee nidaamka. Haddii kuwa dambe u arkaan is-dhexgalka cadaawad, waxaa habboon in loo sharaxo sida xalku faa'iido ugu yeelan doono waaxda IT-ga.
Kiisaska 5 ee ugu sarreeya ee Cisco ISE la isticmaalo
Waayo-aragnimadayada, shaqada loo baahan yahay ee nidaamka ayaa sidoo kale lagu aqoonsaday marxaladda tijaabada tijaabada. Hoos waxaa ku yaal qaar ka mid ah kiisaska ugu caansan uguna yar ee loo isticmaalo xalka.
Hubi gelitaanka LAN ee silig leh EAP-TLS
Sida natiijooyinka cilmi-baarista pentesters'yadu ay muujinayaan, inta badan si ay u galaan shabakadda shirkadda, weeraryahanadu waxay isticmaalaan saldhigyo caadi ah oo daabacadaha, taleefannada, kamaradaha IP, dhibcaha Wi-Fi iyo aaladaha kale ee shabakadaha aan gaarka ahayn ay ku xiran yihiin. Sidaa darteed, xitaa haddii gelitaanka shabakadu ay ku salaysan tahay tignoolajiyada dot1x, laakiin hab-maamuusyo kale ayaa la isticmaalaa iyada oo aan la isticmaalin shahaadooyinka aqoonsiga isticmaalaha, waxaa jirta suurtogalnimo sare oo ah weerar guul leh oo leh dhexda fadhiga iyo furaha sirta ah ee xoogga leh. Xaaladda Cisco ISE, aad ayey u adag tahay in la xado shahaado - tan, haakarisku waxay u baahan doonaan awood xisaabeed aad u badan, markaa kiiskani waa mid aad waxtar u leh.
Dual-SSID gelitaanka wireless-ka
Nuxurka dhacdadani waa in la isticmaalo 2 shabakad aqoonsi (SSIDs). Mid ka mid ah waxaa shuruud ahaan loogu yeeri karaa "marti". Iyada oo loo marayo, martida iyo shaqaalaha shirkaduba waxay heli karaan shabakada wireless. Marka ay isku dayaan in ay ku xidhmaan, kuwa dambe waxaa lagu jiheeyaa portal gaar ah halkaas oo bixintu ka dhacayso. Taasi waa, isticmaalaha waxaa la siiyaa shahaado iyo qalabkiisa gaarka ah waxaa loo habeeyey inuu si toos ah dib ugu xidho SSID-ka labaad, kaas oo horey u isticmaalay EAP-TLS dhammaan faa'iidooyinka kiiska koowaad.
Xaqiijinta MAC dhaafka iyo xog-ururinta
Kiis kale oo caan ah oo la isticmaalo ayaa ah in si toos ah loo ogaado nooca aaladda ku xiran oo lagu dabaqo xannibaadaha saxda ah. Muxuu u xiiseeyaa? Xaqiiqdu waxay tahay in ay wali jiraan qalab aad u badan oo aan taageerin xaqiijinta iyadoo la adeegsanayo borotokoolka 802.1X. Sidaa darteed, aaladaha noocan oo kale ah waa in loo oggolaadaa shabakadda iyadoo la adeegsanayo cinwaanka MAC, taas oo aad u fudud in la been abuurto. Tani waa halka ay Cisco ISE u timaaddo samatabbixinta: iyadoo la kaashanayo nidaamka, waxaad arki kartaa sida qalabku u dhaqmo shabakada, abuuro muuqaalkiisa oo ku meelee koox qalabyo kale ah, tusaale ahaan, telefoonka IP iyo goobta shaqada. . Haddii uu weerarku isku dayo in uu ku dhufto ciwaanka MAC oo uu ku xidho shabakadda, nidaamku waxa uu arki doona in astaanta qalabku is beddeshay, waxa ay muujin doontaa dabeecadda laga shakiyo oo uma oggolaan doonto isticmaaleha shakiga leh shabakadda.
EAP-Chaining
Tignoolajiyada EAP-Chaining waxay ku lug leedahay xaqiijinta xidhiidhsan ee kombayutarka shaqaynaya iyo koontada isticmaalaha. Kiiskan ayaa noqday mid baahsan sababtoo ah... Shirkado badan ayaan wali dhiirigelin ku xidhida agabka gaarka ah ee shaqaalaha iyo LAN-ga shirkada. Isticmaalka habkan si loo xaqiijiyo, waxaa suurtagal ah in la hubiyo in goob shaqo oo gaar ah ay tahay xubin ka mid ah domainka, iyo haddii natiijadu tahay diidmo, isticmaaluhu looma oggolaan doono inuu galo shabakadda, ama wuxuu awoodi doonaa inuu galo, laakiin si gaar ah. xaddidid.
Soo dhejinta
Kiiskan wuxuu ku saabsan yahay qiimaynta u hoggaansanaanta software-ka goobta shaqada ee leh shuruudaha amniga macluumaadka. Isticmaalka tignoolajiyadan, waxaad hubin kartaa in software-ka ku yaal goobta shaqada la cusboonaysiiyay, in tallaabooyinka amniga lagu rakibay, in dab-badhka martida loo yahay la habeeyey iyo in kale. Waxa xiiso leh, tignoolajiyadani waxay sidoo kale kuu oggolaaneysaa inaad xalliso hawlaha kale ee aan la xiriirin amniga, tusaale ahaan, hubinta joogitaanka faylalka lagama maarmaanka ah ama rakibida software-ballaaran.
Kiisaska isticmaalka yar ee Cisco ISE waxaa ka mid ah kantaroolka gelitaanka ee dhammaadka-ilaa-dhamaadka aqoonsiga domain (ID ID), SGT-ku-saleysan-qaybin-yar iyo shaandhayn, iyo sidoo kale is-dhexgalka nidaamka maaraynta aaladda mobaylka (MDM) iyo Scanners nuglaanta.
Mashaariicda aan caadiga ahayn: maxaa kale oo aad ugu baahan kartaa Cisco ISE, ama 3 xaaladood oo naadir ah oo ka yimid dhaqankeena
Gelitaanka xakamaynta server-yada Linux ku salaysan
Markii aan xalinay kiis aan yarayn mid ka mid ah macaamiisha horey u lahaa nidaamka Cisco ISE ee la hirgeliyay: waxaan u baahanahay inaan helno hab lagu xakameynayo ficilada isticmaalaha (inta badan maamulayaasha) server-yada Linux lagu rakibay. Jawaabta raadinta, waxaan la nimid fikradda isticmaalka software-ka PAM Radius Module ee bilaashka ah, kaas oo kuu ogolaanaya inaad gasho server-yada ku shaqeeya Linux oo leh aqoonsiga server-ka raadiyaha dibadda. Wax kasta oo arrintan la xiriira way fiicnaan lahayd, haddii aysan ahayn hal "laakiin": server-ka radius, u diraya jawaabta codsiga aqoonsiga, wuxuu siinayaa kaliya magaca xisaabta iyo natiijada - qiimee la aqbalo ama la qiimeeyo waa la diiday. Dhanka kale, oggolaanshaha Linux, waxaad u baahan tahay inaad ku qorto ugu yaraan halbeeg dheeri ah - hagaha guriga, si isticmaaluhu ugu yaraan meel u helo. Ma aanan helin hab aan ku siinno tan sifada raadiyaha, sidaa darteed waxaan u qornay qoraal gaar ah oo meel fog looga abuurayo xisaabaadka martigeliyayaasha qaab nus-otomatik ah. Hawshani waxay ahayd mid macquul ah, maadaama aanu la macaamilaynay xisaabaadka maamulka, kuwaas oo aan tiradoodu aad u badnayn. Marka xigta, isticmaalayaashu waxay galeen aaladda loo baahan yahay, ka dib markaa waxaa loo qoondeeyay gelitaanka lagama maarmaanka ah. Su'aal macquul ah ayaa soo baxda: ma loo baahan yahay in la isticmaalo Cisco ISE xaaladahan oo kale? Dhab ahaantii, maya - server kasta oo radius ah ayaa sameyn doona, laakiin maadaama macmiilku horey u lahaa nidaamkan, waxaan si fudud ugu darnay muuqaal cusub.
Inventory of hardware iyo software on LAN ah
Waxaan mar ka shaqeynay mashruuc si aan u siino Cisco ISE hal macaamiil iyada oo aan la helin "pilot" hordhac ah. Ma jirin shuruudo cad oo xalku u baahan yahay, waxa kale oo aanu la macaamilaynay shabakad siman, oo aan kala qaybsanayn, taas oo adkaynaysa hawshayada. Intii uu socday mashruuca, waxaanu dejinay dhammaan hababka xog-ururinta ee ay shabakadu taageertay: NetFlow, DHCP, SNMP, AD dhexgalka, iwm. Natiijo ahaan, gelitaanka MAR waxaa lagu habeeyey awoodda lagu galo shabakadda haddii xaqiijintu guuldareysto. Taasi waa, xitaa haddii xaqiijinta aan lagu guuleysan, nidaamku wuxuu weli u oggolaanayaa isticmaalaha shabakadda, ururin macluumaadka isaga ku saabsan oo ku duubi doona xogta ISE. Kormeerka shabakadan oo dhawr todobaad socday ayaa naga caawisay in aan ogaano nidaamyada ku xidhan iyo qalabka aan gaarka ahayn iyo in aanu horumarino hab lagu kala qaybiyo. Taas ka dib, waxaan sidoo kale u habeynay dhejinta si aan ugu rakibno wakiilka goobaha shaqada si aan u ururino macluumaadka ku saabsan software-ka lagu rakibay iyaga. Maxaa natiijadu noqotay? Waxaan awoodnay inaan kala saarno shabakadda oo aan go'aaminno liiska software-ka ee loo baahan yahay in laga saaro goobaha shaqada. Ma qarin doono in hawlaha dheeraadka ah ee u qaybinta dadka isticmaala kooxaha domain iyo kala saarista xuquuqda gelitaanka waxay nagu qaadatay waqti badan, laakiin habkan waxaan ku helnay sawir dhamaystiran oo ku saabsan qalabka macmiilku ku leeyahay shabakada. By habka, tani ma ahayn mid adag sababtoo ah shaqada wanaagsan ee sirta ah ee sanduuqa. Hagaag, halka ay muujintu aanay ku caawinayn, waxaanu eegnay nafteena, anagoo muujinayna dekeda wareejinta ee qalabku ku xidhan yahay.
Ku rakibida fog ee software ee goobaha shaqada
Kiiskan waa mid ka mid ah kuwa ugu yaabka badan dhaqankayga. Maalin maalmaha ka mid ah, macaamiil ayaa noo yimid isagoo qaylinaya caawinaad - waxbaa khaldamay markii la hirgeliyey Cisco ISE, wax walba waa jabeen, qof kalena ma geli karo shabakadda. Waxa aanu bilownay in aanu baadho oo aanu ogaanay waxa soo socda. Shirkaddu waxay lahayd 2000 oo kombuyuutar, kuwaas oo, maqnaanshaha domain controller, lagu maamulay koontada maamulka. Ujeedada isku dhafka, ururku wuxuu hirgeliyay Cisco ISE. Waxay ahayd lagama maarmaan in si uun loo fahmo in antivirus lagu rakibay PC-yada jira iyo in deegaanka software la cusboonaysiiyay iyo in kale. Oo maadaama maamulayaasha IT ay ku rakibeen qalabka shabakada nidaamka, waa macquul inay galaangal u yeelan lahaayeen. Ka dib markii ay arkeen sida ay u shaqeyso oo ay u soo bandhigaan kombuyuutarkooda, maamulayaashu waxay la yimaadeen fikradda ah in lagu rakibo software-ka goobaha shaqada ee shaqaalaha meel fog iyada oo aan booqasho shakhsi ah. Bal qiyaas inta tallaabo ee aad sidan u badbaadin karto maalintii! Maamulayaashu waxay sameeyeen dhowr hubin oo ku saabsan goobta shaqada si ay u joogaan fayl gaar ah oo ku jira C: Files directory, haddii ay maqan tahay, dib u habeyn toos ah ayaa la bilaabay iyada oo la raacayo xiriirka u horseedaya kaydinta faylka faylka .exe. Tani waxay u ogolaatay isticmaalayaasha caadiga ah inay aadaan wadaagga faylka oo ay ka soo dejiyaan software lagama maarmaanka ah halkaas. Nasiib darro, maamulku si fiican uma aqoon nidaamka ISE oo wuxuu dhaawacay hababka dhejinta - wuxuu u qoray siyaasadda si khaldan, taas oo keentay dhibaato aan ku lug lahayn xallinta. Shakhsi ahaan, waxaan si dhab ah ula yaabay habka hal-abuurka ah ee noocan oo kale ah, sababtoo ah waxay noqon doontaa mid aad u jaban oo ka yar shaqada si loo abuuro maamulaha domain. Laakiin sida caddaynta fikradda way shaqeysay.
Ka akhri wax badan oo ku saabsan nuucyada farsamada ee soo baxa marka la fulinayo Cisco ISE maqaalka saaxiibkay .
Artem Bobrikov, injineer naqshadeynta Xarunta Amniga Macluumaadka ee Jet Infosystems
Kadib:
Inkasta oo xaqiiqda ah in boostadani ay ka hadlayso nidaamka Cisco ISE, dhibaatooyinka lagu tilmaamay waxay khuseeyaan dhammaan fasalka xalalka NAC. Aad muhiim uma aha xalka iibiyaha ee loo qorsheeyay hirgelinta - inta badan kuwa kor ku xusan ayaa ahaan doona kuwo lagu dabaqi karo.
Source: www.habr.com