Sa shpesh blini diçka spontanisht, duke iu nënshtruar një reklame të lezetshme, dhe më pas ky artikull i dëshiruar fillimisht mbledh pluhur në një dollap, qilar ose garazh deri në pastrimin ose lëvizjen e pranverës së ardhshme? Rezultati është zhgënjim për shkak të pritjeve të pajustifikuara dhe parave të humbura. Është shumë më keq kur kjo i ndodh një biznesi. Shumë shpesh, truket e marketingut janë aq të mira saqë kompanitë blejnë një zgjidhje të shtrenjtë pa parë tablonë e plotë të aplikimit të saj. Ndërkohë, testimi provë i sistemit ndihmon për të kuptuar se si përgatitet infrastruktura për integrim, çfarë funksionaliteti dhe në çfarë mase duhet të zbatohet. Në këtë mënyrë ju mund të shmangni një numër të madh problemesh për shkak të zgjedhjes së një produkti "verbërisht". Për më tepër, zbatimi pas një "piloti" kompetent do t'u sjellë inxhinierëve shumë më pak qeliza nervore të shkatërruara dhe flokë gri. Le të kuptojmë pse testimi pilot është kaq i rëndësishëm për një projekt të suksesshëm, duke përdorur shembullin e një mjeti popullor për kontrollin e aksesit në një rrjet të korporatës - Cisco ISE. Le të shqyrtojmë opsionet standarde dhe plotësisht jo standarde për përdorimin e zgjidhjes që kemi hasur në praktikën tonë.
Cisco ISE - "Serveri i rrezeve në steroid"
Cisco Identity Services Engine (ISE) është një platformë për krijimin e një sistemi kontrolli aksesi për rrjetin lokal të një organizate. Në komunitetin e ekspertëve, produkti u mbiquajt "Serveri Radius në steroid" për vetitë e tij. Pse eshte ajo? Në thelb, zgjidhja është një server Radius, të cilit i janë bashkangjitur një numër i madh shërbimesh dhe "mashtrimesh" shtesë, duke ju lejuar të merrni një sasi të madhe informacioni kontekstual dhe të aplikoni grupin e të dhënave që rezulton në politikat e aksesit.
Ashtu si çdo server tjetër Radius, Cisco ISE ndërvepron me pajisjet e rrjetit të nivelit të aksesit, mbledh informacion për të gjitha përpjekjet për t'u lidhur me rrjetin e korporatës dhe, bazuar në politikat e vërtetimit dhe autorizimit, lejon ose refuzon përdoruesit në LAN. Sidoqoftë, mundësia e profilizimit, postimit dhe integrimit me zgjidhje të tjera të sigurisë së informacionit bën të mundur që të ndërlikohet ndjeshëm logjika e politikës së autorizimit dhe në këtë mënyrë të zgjidhen probleme mjaft të vështira dhe interesante.
Zbatimi nuk mund të pilotohet: pse keni nevojë për testim?
Vlera e testimit pilot është të demonstrojë të gjitha aftësitë e sistemit në infrastrukturën specifike të një organizate specifike. Unë besoj se pilotimi i Cisco ISE përpara zbatimit përfiton të gjithë të përfshirë në projekt, dhe ja pse.
Kjo u jep integruesve një ide të qartë për pritshmëritë e klientit dhe ndihmon në krijimin e një specifikimi teknik të saktë që përmban shumë më tepër detaje sesa shprehja e zakonshme "sigurohuni që gjithçka të jetë në rregull". “Pilot” na lejon të ndjejmë gjithë dhimbjen e klientit, të kuptojmë se cilat detyra janë prioritet për të dhe cilat janë dytësore. Për ne, kjo është një mundësi e shkëlqyer për të kuptuar paraprakisht se çfarë pajisje përdoren në organizatë, si do të bëhet zbatimi, në cilat vende, ku ndodhen, etj.
Gjatë testimit pilot, klientët shohin sistemin real në veprim, njihen me ndërfaqen e tij, mund të kontrollojnë nëse është i pajtueshëm me harduerin e tyre ekzistues dhe të marrin një kuptim gjithëpërfshirës se si do të funksionojë zgjidhja pas zbatimit të plotë. “Pilot” është pikërisht momenti kur mund të shihni të gjitha kurthet që ndoshta do të hasni gjatë integrimit dhe të vendosni se sa licenca duhet të blini.
Çfarë mund të "shfaqet" gjatë "pilotit"
Pra, si përgatiteni siç duhet për zbatimin e Cisco ISE? Nga përvoja jonë, ne kemi numëruar 4 pika kryesore që janë të rëndësishme për t'u marrë parasysh gjatë testimit pilot të sistemit.
Faktori i formës
Së pari, duhet të vendosni se në çfarë forme do të zbatohet sistemi: linjë fizike ose virtuale. Çdo opsion ka avantazhe dhe disavantazhe. Për shembull, forca e një ngritjeje fizike është performanca e tij e parashikueshme, por nuk duhet të harrojmë se pajisje të tilla bëhen të vjetruara me kalimin e kohës. Linjat virtuale janë më pak të parashikueshme sepse... varen nga hardueri në të cilin është vendosur mjedisi i virtualizimit, por ato kanë një avantazh serioz: nëse mbështetja është e disponueshme, ato gjithmonë mund të përditësohen në versionin më të fundit.
A është pajisja juaj e rrjetit në përputhje me Cisco ISE?
Sigurisht, skenari ideal do të ishte lidhja e të gjitha pajisjeve me sistemin menjëherë. Megjithatë, kjo nuk është gjithmonë e mundur pasi shumë organizata ende përdorin çelësa ose ndërprerës të pamenaxhuar që nuk mbështesin disa nga teknologjitë që ekzekutojnë Cisco ISE. Meqë ra fjala, nuk po flasim vetëm për çelsat, por mund të jenë edhe kontrollues të rrjetit pa tel, koncentrues VPN dhe çdo pajisje tjetër me të cilën lidhen përdoruesit. Në praktikën time, ka pasur raste kur, pas demonstrimit të sistemit për zbatimin e plotë, klienti përmirësoi pothuajse të gjithë flotën e çelsave të nivelit të aksesit në pajisjet moderne Cisco. Për të shmangur surprizat e pakëndshme, ia vlen të zbuloni paraprakisht proporcionin e pajisjeve të pambështetura.
A janë të gjitha pajisjet tuaja standarde?
Çdo rrjet ka pajisje tipike me të cilat nuk duhet të jetë e vështirë për t'u lidhur: stacionet e punës, telefonat IP, pikat e aksesit Wi-Fi, kamerat video, etj. Por ndodh gjithashtu që pajisjet jo standarde duhet të lidhen me rrjetin LAN, për shembull, konvertuesit e sinjalit të autobusëve RS232/Ethernet, ndërfaqet e furnizimit me energji të pandërprerë, pajisje të ndryshme teknologjike etj. Është e rëndësishme të përcaktohet paraprakisht lista e pajisjeve të tilla. , në mënyrë që në fazën e zbatimit të keni tashmë një kuptim se si teknikisht do të punojnë me Cisco ISE.
Dialog konstruktiv me specialistët e IT
Konsumatorët e Cisco ISE janë shpesh departamente sigurie, ndërsa departamentet e TI-së janë zakonisht përgjegjës për konfigurimin e çelsave të shtresave të aksesit dhe Active Directory. Prandaj, ndërveprimi produktiv midis specialistëve të sigurisë dhe specialistëve të IT-së është një nga kushtet e rëndësishme për zbatimin pa dhimbje të sistemit. Nëse këta të fundit e perceptojnë integrimin me armiqësi, ia vlen t'u shpjegohet atyre se si zgjidhja do të jetë e dobishme për departamentin e IT.
5 rastet kryesore të përdorimit të Cisco ISE
Në përvojën tonë, funksionaliteti i kërkuar i sistemit është identifikuar gjithashtu në fazën e testimit pilot. Më poshtë janë disa nga rastet më të njohura dhe më pak të zakonshme të përdorimit për zgjidhjen.
Siguroni aksesin në LAN përmes një kablloje me EAP-TLS
Siç tregojnë rezultatet e hulumtimit të pentestuesve tanë, mjaft shpesh për të depërtuar në rrjetin e një kompanie, sulmuesit përdorin priza të zakonshme në të cilat lidhen printerët, telefonat, kamerat IP, pikat Wi-Fi dhe pajisjet e tjera të rrjetit jo-personale. Prandaj, edhe nëse qasja në rrjet bazohet në teknologjinë dot1x, por protokollet alternative përdoren pa përdorur certifikatat e vërtetimit të përdoruesit, ekziston një probabilitet i lartë për një sulm të suksesshëm me përgjimin e sesioneve dhe fjalëkalimet me forcë brutale. Në rastin e Cisco ISE, do të jetë shumë më e vështirë për të vjedhur një certifikatë - për këtë, hakerëve do t'ju duhet shumë më tepër fuqi kompjuterike, kështu që ky rast është shumë efektiv.
Qasje pa tel me dy SSID
Thelbi i këtij skenari është përdorimi i 2 identifikuesve të rrjetit (SSID). Njëri prej tyre mund të quhet me kusht "mysafir". Nëpërmjet tij, si mysafirët ashtu edhe punonjësit e kompanisë mund të hyjnë në rrjetin pa tel. Kur përpiqen të lidhen, këta të fundit ridrejtohen në një portal të veçantë ku bëhet provizionimi. Domethënë, përdoruesit i lëshohet një certifikatë dhe pajisja e tij personale është konfiguruar që të rilidhet automatikisht me SSID-in e dytë, i cili tashmë përdor EAP-TLS me të gjitha avantazhet e rastit të parë.
Anashkalimi dhe Profilizimi i Autentifikimit MAC
Një rast tjetër popullor përdorimi është zbulimi automatik i llojit të pajisjes që lidhet dhe zbatimi i kufizimeve të sakta për të. Pse është ai interesant? Fakti është se ka ende shumë pajisje që nuk mbështesin vërtetimin duke përdorur protokollin 802.1X. Prandaj, pajisje të tilla duhet të lejohen në rrjet duke përdorur një adresë MAC, e cila është mjaft e lehtë për t'u falsifikuar. Këtu vjen në shpëtim Cisco ISE: me ndihmën e sistemit, mund të shihni se si sillet një pajisje në rrjet, të krijoni profilin e saj dhe t'ia caktoni atë një grupi pajisjesh të tjera, për shembull, një telefon IP dhe një stacion pune. . Nëse një sulmues përpiqet të mashtrojë një adresë MAC dhe të lidhet me rrjetin, sistemi do të shohë se profili i pajisjes ka ndryshuar, do të sinjalizojë sjellje të dyshimta dhe nuk do të lejojë përdoruesin e dyshimtë të hyjë në rrjet.
EAP-Zinxhirim
Teknologjia EAP-Chaining përfshin vërtetimin sekuencial të kompjuterit të punës dhe llogarisë së përdoruesit. Ky rast është përhapur për shkak të... Shumë kompani ende nuk inkurajojnë lidhjen e pajisjeve personale të punonjësve me rrjetin LAN të korporatës. Duke përdorur këtë qasje të vërtetimit, është e mundur të kontrollohet nëse një stacion pune i veçantë është anëtar i domenit, dhe nëse rezultati është negativ, përdoruesi ose nuk do të lejohet në rrjet, ose do të jetë në gjendje të hyjë, por me disa kufizimet.
pozë
Ky rast ka të bëjë me vlerësimin e përputhshmërisë së softuerit të stacionit të punës me kërkesat e sigurisë së informacionit. Duke përdorur këtë teknologji, mund të kontrolloni nëse softueri në stacionin e punës është i përditësuar, nëse masat e sigurisë janë instaluar në të, nëse muri i zjarrit pritës është i konfiguruar, etj. Shtë interesante që kjo teknologji ju lejon gjithashtu të zgjidhni detyra të tjera që nuk lidhen me sigurinë, për shembull, kontrolloni praninë e skedarëve të nevojshëm ose instaloni softuer në të gjithë sistemin.
Rastet më pak të zakonshme të përdorimit për Cisco ISE përfshijnë kontrollin e aksesit me vërtetimin e domenit nga skaji në fund (ID-ja pasive), mikro-segmentimin dhe filtrimin e bazuar në SGT, si dhe integrimin me sistemet e menaxhimit të pajisjeve celulare (MDM) dhe Skanerët e Vulnerabilitetit.
Projekte jo standarde: pse tjetër mund t'ju duhet Cisco ISE, ose 3 raste të rralla nga praktika jonë
Kontrolli i aksesit në serverët e bazuar në Linux
Pasi po zgjidhnim një rast jo të parëndësishëm për një nga klientët që kishte tashmë të implementuar sistemin Cisco ISE: na duhej të gjenim një mënyrë për të kontrolluar veprimet e përdoruesve (kryesisht administratorët) në serverët me Linux të instaluar. Në kërkim të një përgjigjeje, ne dolëm me idenë e përdorimit të softuerit falas PAM Radius Module, i cili ju lejon të identifikoheni në serverë që funksionojnë Linux me vërtetim në një server me rreze të jashtme. Gjithçka në këtë drejtim do të ishte mirë, nëse jo për një "por": serveri i rrezes, duke dërguar një përgjigje në kërkesën e vërtetimit, jep vetëm emrin e llogarisë dhe rezultatin - vlerësoni të pranuar ose vlerësoni të refuzuar. Ndërkohë, për autorizim në Linux, duhet të caktoni të paktën një parametër më shumë - direktoriumin e shtëpisë, në mënyrë që përdoruesi të paktën të arrijë diku. Ne nuk gjetëm një mënyrë për ta dhënë këtë si një atribut të rrezes, kështu që shkruam një skript të veçantë për krijimin e llogarive nga distanca në host në një mënyrë gjysmë automatike. Kjo detyrë ishte mjaft e realizueshme, pasi kishim të bënim me llogari administratori, numri i të cilëve nuk ishte aq i madh. Më pas, përdoruesit u kyçën në pajisjen e kërkuar, pas së cilës atyre iu caktua qasja e nevojshme. Shtrohet një pyetje e arsyeshme: a është e nevojshme të përdoret Cisco ISE në raste të tilla? Në fakt, jo - çdo server me rreze do ta bëjë këtë, por meqenëse klienti e kishte tashmë këtë sistem, ne thjesht i shtuam një veçori të re.
Inventari i harduerit dhe softuerit në LAN
Dikur kemi punuar në një projekt për të furnizuar Cisco ISE për një klient pa një "pilot" paraprak. Nuk kishte kërkesa të qarta për zgjidhjen, plus kishim të bënim me një rrjet të sheshtë, jo të segmentuar, gjë që e ndërlikonte detyrën tonë. Gjatë projektit, ne konfiguruam të gjitha metodat e mundshme të profilizimit që mbështeti rrjeti: NetFlow, DHCP, SNMP, integrimi AD, etj. Si rezultat, qasja MAR u konfigurua me aftësinë për të hyrë në rrjet nëse vërtetimi dështoi. Kjo do të thotë, edhe nëse vërtetimi nuk do të ishte i suksesshëm, sistemi do ta lejonte përdoruesin të hynte në rrjet, të mblidhte informacione rreth tij dhe ta regjistronte atë në bazën e të dhënave ISE. Ky monitorim i rrjetit gjatë disa javësh na ndihmoi të identifikojmë sistemet e lidhura dhe pajisjet jopersonale dhe të zhvillojmë një qasje për t'i segmentuar ato. Pas kësaj, ne konfiguruam gjithashtu postimin për të instaluar agjentin në stacionet e punës në mënyrë që të mbledhim informacione rreth softuerit të instaluar në to. Cili është rezultati? Ne ishim në gjendje të segmentonim rrjetin dhe të përcaktonim listën e softuerëve që duheshin hequr nga stacionet e punës. Nuk do ta fsheh që detyrat e mëtejshme të shpërndarjes së përdoruesve në grupe domenesh dhe përcaktimit të të drejtave të aksesit na morën mjaft kohë, por në këtë mënyrë morëm një pamje të plotë të asaj se çfarë hardueri kishte klienti në rrjet. Nga rruga, kjo nuk ishte e vështirë për shkak të punës së mirë të profilizimit jashtë kutisë. Epo, aty ku profilizimi nuk ndihmoi, ne shikuam veten, duke theksuar portën e ndërprerës me të cilën ishte lidhur pajisja.
Instalimi në distancë i softuerit në stacionet e punës
Ky rast është një nga më të çuditshmit në praktikën time. Një ditë, një klient erdhi tek ne me një thirrje për ndihmë - diçka shkoi keq gjatë zbatimit të Cisco ISE, gjithçka u prish dhe askush tjetër nuk mund të hynte në rrjet. Filluam ta shqyrtojmë dhe zbuluam sa vijon. Kompania kishte 2000 kompjuterë, të cilët, në mungesë të një kontrolluesi të domenit, menaxhoheshin nën një llogari administratori. Për qëllime të kolegëve, organizata zbatoi Cisco ISE. Ishte e nevojshme të kuptohej disi nëse një antivirus ishte instaluar në kompjuterët ekzistues, nëse mjedisi i softuerit ishte përditësuar, etj. Dhe meqenëse administratorët e TI-së instaluan pajisje rrjeti në sistem, është logjike që ata të kishin akses në të. Pasi panë se si funksionon dhe rrëfejnë kompjuterët e tyre, administratorët dolën me idenë e instalimit të softuerit në stacionet e punës të punonjësve nga distanca pa vizita personale. Vetëm imagjinoni sa hapa mund të kurseni në ditë në këtë mënyrë! Administratorët kryen disa kontrolle të stacionit të punës për praninë e një skedari specifik në drejtorinë C: Program Files, dhe nëse mungonte, rikuperimi automatik u nis duke ndjekur një lidhje që çon në ruajtjen e skedarit në skedarin .exe të instalimit. Kjo i lejoi përdoruesit e zakonshëm të shkonin në një ndarje skedari dhe të shkarkonin softuerin e nevojshëm prej andej. Fatkeqësisht, administratori nuk e njihte mirë sistemin ISE dhe dëmtoi mekanizmat e postimit - ai e shkroi politikën gabimisht, gjë që çoi në një problem që ne ishim të përfshirë në zgjidhjen. Personalisht, unë jam sinqerisht i befasuar nga një qasje e tillë krijuese, sepse do të ishte shumë më e lirë dhe më pak punë intensive për të krijuar një kontrollues domeni. Por si provë e konceptit funksionoi.
Lexoni më shumë rreth nuancave teknike që lindin gjatë zbatimit të Cisco ISE në artikullin e kolegut tim .
Artem Bobrikov, inxhinier projektues i Qendrës së Sigurisë së Informacionit në Jet Infosystems
pasthënje:
Përkundër faktit se ky postim flet për sistemin Cisco ISE, problemet e përshkruara janë të rëndësishme për të gjithë klasën e zgjidhjeve NAC. Nuk është aq e rëndësishme se cila zgjidhje e shitësit është planifikuar për zbatim - shumica e sa më sipër do të mbeten të zbatueshme.
Burimi: www.habr.com