Ke hangata hakae u rekang ntho ka boithaopo, u inehela papatsong e pholileng, ebe ntho ee eo qalong e neng e lakatseha e bokella lerōle ka otoropong, pantry kapa karacheng ho fihlela nakong ea selemo e tlang ho hloekisa kapa ho falla? Phello ke ho soetseha ka lebaka la litebello tse se nang mabaka le ho senya chelete. Ho hobe le ho feta ha sena se etsahala khoebong. Hangata, maqheka a ho bapatsa a ntle hoo lik'hamphani li rekang tharollo e theko e boima ntle le ho bona setšoantšo se felletseng sa ts'ebeliso ea eona. Ho sa le joalo, tlhahlobo ea liteko ea sistimi e thusa ho utloisisa mokhoa oa ho lokisa meralo ea motheo bakeng sa kopanyo, hore na ke ts'ebetso efe le hore na e lokela ho kengoa ts'ebetsong joang. Ka tsela ena u ka qoba mathata a mangata ka lebaka la ho khetha sehlahisoa "ka bofofu". Ho feta moo, ts'ebetsong ka mor'a "mofofisi" ea nang le bokhoni o tla etsa hore lienjiniere li senyehe haholo lisele tsa methapo le moriri o moputsoa. Ha re boneng hore na hobaneng tlhahlobo ea sefofane e le bohlokoa hakaale bakeng sa projeke e atlehileng, re sebelisa mohlala oa sesebelisoa se tsebahalang sa ho laola phihlello ea marang-rang a khoebo - Cisco ISE. Ha re nahaneng ka likhetho tse tloaelehileng le tse sa tloaelehang tsa ho sebelisa tharollo eo re kopaneng le eona ts'ebetsong ea rona.
Cisco ISE - "Seva ea Radius ho li-steroids"
Cisco Identity Services Engine (ISE) ke sethala sa ho theha sistimi ea taolo ea phihlello bakeng sa marang-rang a sebaka sa mokhatlo. Sebakeng sa litsebi, sehlahisoa se ne se bitsoa "Seva ea Radius ho steroids" bakeng sa thepa ea eona. Hobaneng ha ho le joalo? Ha e le hantle, tharollo ke seva sa Radius, moo palo e kholo ea litšebeletso tse eketsehileng le "maqheka" a kentsoeng, e leng ho u lumellang ho fumana boitsebiso bo bongata ba maemo le ho sebelisa sephetho sa data ho maano a phihlello.
Joalo ka seva efe kapa efe ea Radius, Cisco ISE e sebelisana le lisebelisoa tsa marang-rang tsa boemo ba phihlello, e bokella tlhahisoleseling mabapi le liteko tsohle tsa ho hokela marang-rang a khoebo mme, ho ipapisitsoe le maano a netefatso le tumello, e lumella kapa e hana basebelisi ho LAN. Leha ho le joalo, monyetla oa ho etsa profil, ho beha, le ho hokahana le litharollo tse ling tsa ts'ireletso ea tlhahisoleseling ho etsa hore ho khonehe ho thatafatsa mohopolo oa leano la tumello mme ka hona ho rarolle mathata a thata le a khahlisang.
Ts'ebetsong e ke ke ea lekoa: hobaneng u hloka tlhahlobo?
Bohlokoa ba tlhahlobo ea sefofane ke ho bonts'a bokhoni bohle ba sistimi lits'ebetsong tse ikhethileng tsa mokhatlo o itseng. Ke lumela hore ho lekola Cisco ISE pele ho ts'ebetsong ho ruisa bohle ba amehang morerong ona, ke ka lebaka lena.
Sena se fa bahokahanyi leseli le hlakileng la litebello tsa moreki mme se thusa ho theha lintlha tse nepahetseng tsa tekheniki tse nang le lintlha tse ngata ho feta poleloana e tloaelehileng "etsa bonnete ba hore tsohle li lokile." "Pilot" e re lumella ho utloa bohloko bohle ba moreki, ho utloisisa hore na ke mesebetsi efe e tlang pele ho eena le hore na ke efe ea bobeli. Ho rona, ona ke monyetla o motle oa ho tseba esale pele hore na ke lisebelisoa life tse sebelisoang mokhatlong o hlophisitsoeng, ts'ebetsong e tla etsahala joang, libakeng life, moo li leng teng, joalo-joalo.
Nakong ea liteko tsa lifofane, bareki ba bona tsamaiso ea sebele e sebetsang, ba tloaelane le sebopeho sa eona, ba ka hlahloba hore na e lumellana le lisebelisoa tsa bona tse teng, 'me ba fumana kutloisiso e feletseng ea hore na tharollo e tla sebetsa joang ka mor'a ho kenya ts'ebetsong ka botlalo. "Pilot" ke eona nako eo ka eona u ka bonang maraba 'ohle ao mohlomong u tla kopana le ona nakong ea ho kopanya,' me u nke qeto ea hore na u hloka ho reka mangolo a tumello a makae.
Ke eng e ka "hlahisang" nakong ea "pilot"
Joale, u itokisetsa hantle joang ho kenya tšebetsong Cisco ISE? Ho tsoa phihlelong ea rona, re balile lintlha tse kholo tsa 4 tseo e leng tsa bohlokoa ho nahanoa nakong ea teko ea sefofane ea tsamaiso.
Ntho ea motheo
Taba ea pele, o hloka ho etsa qeto ea hore na sistimi e tla kengoa ts'ebetsong ka mokhoa ofe: sebopeho sa 'mele kapa sa nnete. Khetho ka 'ngoe e na le melemo le mathata. Ka mohlala, matla a sebopeho sa 'mele ke ts'ebetso ea eona e ka tsejoang esale pele, empa ha rea lokela ho lebala hore lisebelisoa tse joalo li felloa ke nako ka mor'a nako. Li-upline tsa Virtual ha li na tse ka boleloang esale pele hobane... ho itšetlehile ka thepa eo tikoloho ea virtualization e sebelisoang ho eona, empa e na le molemo o tebileng: haeba tšehetso e fumaneha, e ka lula e nchafatsoa ho ea phetolelong ea morao-rao.
Na lisebelisoa tsa hau tsa marang-rang li tsamaisana le Cisco ISE?
Ehlile, boemo bo loketseng e ka ba ho hokahanya lisebelisoa tsohle ho sistimi hang. Leha ho le joalo, sena ha se khonehe kamehla kaha mekhatlo e mengata e ntse e sebelisa li-switches kapa li-switches tse sa laoleheng tse sa tšehetseng tse ling tsa mahlale a tsamaisang Cisco ISE. Ka tsela, ha re bue feela ka li-switches, e ka boela ea e-ba balaoli ba marang-rang a se nang mohala, li-concentrator tsa VPN le lisebelisoa leha e le life tseo basebelisi ba li hokahanyang. Ts'ebetsong ea ka, ho bile le linyeoe ha, ka mor'a ho bonts'a tsamaiso ea ts'ebetsong ka botlalo, moreki o ile a ntlafatsa hoo e batlang e le sehlopha sohle sa li-switches tsa boemo ba ho fihlella ho thepa ea kajeno ea Cisco. Ho qoba lintho tse makatsang, ho bohlokoa ho tseba esale pele karolo ea lisebelisoa tse sa tšehetsoeng.
Na lisebelisoa tsohle tsa hau ke tsa maemo?
Marang-rang leha e le afe a na le lisebelisoa tse tloaelehileng tse sa lokelang ho ba thata ho li hokahanya: li-workstations, lithelefono tsa IP, libaka tsa ho fumana Wi-Fi, lik'hamera tsa video, joalo-joalo. Empa ho boetse hoa etsahala hore lisebelisoa tse sa tloaelehang li hloka ho hokahanngoa le LAN, mohlala, li-converter tsa libese tsa RS232 / Ethernet, li-interfaces tsa phepelo ea motlakase tse sa senyeheng, lisebelisoa tse sa tšoaneng tsa theknoloji, joalo-joalo Ke habohlokoa ho fumana lethathamo la lisebelisoa tse joalo esale pele. , e le hore sethaleng sa ts'ebetsong u se u ntse u e-na le kutloisiso ea hore na ba tla sebetsa joang le Cisco ISE.
Puisano e hahang le litsebi tsa IT
Bareki ba Cisco ISE hangata ke mafapha a ts'ireletso, athe mafapha a IT hangata a ikarabella bakeng sa ho hlophisa li-switches le Active Directory. Ka hona, tšebelisano e ntle pakeng tsa litsebi tsa ts'ireletso le litsebi tsa IT ke e 'ngoe ea maemo a bohlokoa bakeng sa ts'ebetsong e se nang bohloko ea sistimi. Haeba ba morao-rao ba lemoha ho kopanngoa le bora, ho bohlokoa ho ba hlalosetsa hore na tharollo e tla ba molemo joang lefapheng la IT.
Linyeoe tse 5 tse holimo tsa tšebeliso ea Cisco ISE
Boiphihlelong ba rona, ts'ebetso e hlokahalang ea sistimi e boetse e khetholloa sethaleng sa tlhahlobo ea sefofane. Ka tlase ke tse ling tsa linyeoe tse sebelisoang ka ho fetesisa le tse sa tloaelehang haholo bakeng sa tharollo.
Sireletsa LAN ka terata ka EAP-TLS
Joalokaha liphetho tsa lipatlisiso tsa pentester ea rona li bonts'a, hangata ho kenella marang-rang a k'hamphani, bahlaseli ba sebelisa li-sockets tse tloaelehileng tseo bahatisi, mehala, lik'hamera tsa IP, lintlha tsa Wi-Fi le lisebelisoa tse ling tseo e seng tsa botho li hokahaneng. Ka hona, le haeba phihlello ea marang-rang e thehiloe ho thekenoloji ea dot1x, empa ho sebelisoa liprothokholo tse ling ntle le ho sebelisa litifikeiti tsa netefatso ea mosebelisi, ho na le monyetla o moholo oa tlhaselo e atlehileng ka ho kenella ha nako le li-password tsa brute-force. Tabeng ea Cisco ISE, ho tla ba thata le ho feta ho utsoa setifikeiti - bakeng sa sena, barekisi ba tla hloka matla a mangata a komporo, kahoo nyeoe ena e sebetsa haholo.
Ho fihlella ha Dual-SSID ka waelese
Moko oa ketsahalo ena ke ho sebelisa li-network identifiers (SSIDs) tse peli. E 'ngoe ea tsona e ka bitsoa "moeti". Ka eona, baeti le basebetsi ba khampani ba ka fihlella marang-rang a se nang mohala. Ha ba leka ho hokahanya, ba qetellang ba fetisetsoa ho portal e khethehileng moo ho fanoang teng. Ke hore, mosebelisi o fuoa setifikeiti mme sesebelisoa sa hae se lokiselitsoe hore se ikopanye hape le SSID ea bobeli, e seng e ntse e sebelisa EAP-TLS ka melemo eohle ea nyeoe ea pele.
MAC Authentication Bypass le Profileing
Taba e 'ngoe e tsebahalang ea tšebeliso ke ho lemoha ka bo eona mofuta oa sesebelisoa se hokahaneng le ho sebelisa lithibelo tse nepahetseng ho eona. Ke hobane'ng ha a thahasellisa? 'Nete ke hore ho ntse ho na le lisebelisoa tse ngata tse sa tšehetseng netefatso ho sebelisa protocol ea 802.1X. Ka hona, lisebelisoa tse joalo li tlameha ho lumelloa marang-rang li sebelisa aterese ea MAC, eo ho leng bonolo ho e etsa. Mona ke moo Cisco ISE e tlang ho pholosa: ka thuso ea tsamaiso, u ka bona kamoo sesebelisoa se itšoarang kateng marang-rang, se etsa setšoantšo sa sona 'me se se fa sehlopha sa lisebelisoa tse ling, mohlala, fono ea IP le setsi sa mosebetsi. . Haeba mohlaseli a leka ho senya aterese ea MAC le ho hokela marang-rang, sistimi e tla bona hore profil ea sesebelisoa e fetohile, e tla bontša boitšoaro bo belaetsang mme e ke ke ea lumella mosebelisi ea belaetsang marang-rang.
EAP-Chaining
Theknoloji ea EAP-Chaining e kenyelletsa netefatso e latellanang ea PC e sebetsang le akhaonto ea mosebedisi. Nyeoe ena e se e atile hobane... Likhamphani tse ngata li ntse li sa khothaletse ho hokahanya lisebelisoa tsa basebetsi le LAN ea khoebo. U sebelisa mokhoa ona oa ho netefatsa, hoa khoneha ho hlahloba hore na sebaka se itseng sa mosebetsi ke setho sa sebaka sa marang-rang, 'me haeba sephetho se le mpe, mosebedisi a ke ke a lumelloa ho kena marang-rang, kapa a tla khona ho kena, empa ka lithibelo tse itseng.
Ho rorisa
Nyeoe ena e mabapi le ho lekola ho latela melao ea software ea sebaka sa mosebetsi ka litlhoko tsa ts'ireletso ea tlhahisoleseling. U sebelisa theknoloji ena, u ka hlahloba hore na software e sebakeng sa mosebetsi e nchafalitsoe, hore na mehato ea ts'ireletso e kentsoe ho eona, hore na firewall e amohelehang e lokiselitsoe, joalo-joalo. Ho khahlisang, theknoloji ena e boetse e u lumella ho rarolla mesebetsi e meng e sa amaneng le ts'ireletso, mohlala, ho hlahloba boteng ba lifaele tse hlokahalang kapa ho kenya software e pharalletseng ea sistimi.
Linyeoe tse fokolang tsa tšebeliso ea Cisco ISE li kenyelletsa taolo ea phihlello e nang le netefatso ea domain-to-end (Passive ID), karohano e nyane e thehiloeng ho SGT le ho sefa, hammoho le ho hokahana le sistimi ea taolo ea lisebelisoa tsa mohala (MDM) le Vulnerability Scanners.
Merero e sa tloaelehang: hobaneng o ka hloka Cisco ISE, kapa linyeoe tse 3 tse sa tloaelehang ho tsoa ts'ebetsong ea rona
Taolo ea phihlello ho li-server tse thehiloeng ho Linux
Hang ha re ne re rarolla nyeoe e seng ea bohlokoa bakeng sa e mong oa bareki ba neng ba se ba ntse ba e-na le Cisco ISE sistimi e kentsoeng: re ne re hloka ho fumana mokhoa oa ho laola liketso tsa basebelisi (haholo-holo batsamaisi) ho li-server tse kentsoeng Linux. Ha re batla karabo, re ile ra tla ka mohopolo oa ho sebelisa software ea mahala ea PAM Radius Module, e u lumellang hore u kene ka har'a li-server tse tsamaisang Linux ka netefatso ho seva sa radius se kantle. Ntho e 'ngoe le e' ngoe tabeng ena e ka ba hantle, haeba e se bakeng sa "empa" e le 'ngoe: seva sa radius, se romela karabo ho kopo ea netefatso, se fana ka lebitso la akhaonto feela le sephetho - tlhahlobo e amoheloa kapa e hanoa. Ho sa le joalo, bakeng sa tumello ho Linux, o hloka ho abela bonyane parameter e le 'ngoe - bukana ea lapeng, e le hore mosebelisi bonyane a fihle kae-kae. Ha rea ka ra fumana mokhoa oa ho fana ka sena e le sebopeho sa radius, kahoo re ngotse lengolo le ikhethileng bakeng sa ho theha li-account ho baamoheli ka mokhoa o ikhethileng. Mosebetsi ona o ne o ka khoneha, kaha re ne re sebetsana le liakhaonto tsa batsamaisi, tseo palo ea tsona e neng e se khōlō hakaalo. Ka mor'a moo, basebelisi ba ile ba kena mochineng o hlokahalang, ka mor'a moo ba abeloa phihlelo e hlokahalang. Ho hlaha potso e utloahalang: na hoa hlokahala ho sebelisa Cisco ISE maemong a joalo? Haele hantle, che - seva efe kapa efe ea radius e tla etsa, empa kaha moreki o se a ntse a e-na le sistimi ena, re e kentse karolo e ncha ho eona.
Inventory ea hardware le software ho LAN
Re kile ra sebetsa morerong oa ho fana ka Cisco ISE ho moreki a le mong ntle le "mofofisi" oa pele. Ho ne ho se na litlhoko tse hlakileng tsa tharollo, hape re ne re sebetsana le marang-rang a bataletseng, a sa arohaneng, a neng a thatafatsa mosebetsi oa rona. Nakong ea morero, re hlophisitse mekhoa eohle e ka khonehang ea ho etsa profil eo marang-rang a e tšehelitseng: NetFlow, DHCP, SNMP, kopanyo ea AD, joalo-joalo. Ka lebaka leo, phihlello ea MAR e lokiselitsoe ka bokhoni ba ho kena marang-rang haeba netefatso e hlolehile. Ke hore, le haeba netefatso e ne e sa atlehe, sistimi e ne e ntse e tla lumella mosebelisi ho kena marang-rang, ho bokella tlhahisoleseling ka eena le ho e ngola ho database ea ISE. Tlhokomelo ena ea marang-rang ka libeke tse 'maloa e ile ea re thusa ho tseba litsamaiso tse hokahaneng le lisebelisoa tseo e seng tsa botho le ho theha mokhoa oa ho li arola. Kamora sena, re boetse re hlophisitse poso ho kenya moemeli litsing tsa mosebetsi e le ho bokella tlhahisoleseling mabapi le software e kentsoeng ho tsona. Phello ke efe? Re khonne ho arola marang-rang le ho fumana lenane la software e lokelang ho tlosoa litsing tsa mosebetsi. Nke ke ka pata hore mesebetsi e meng ea ho aba basebelisi ka lihlopha tsa marang-rang le ho hlalosa litokelo tsa phihlello e ile ea re nka nako e telele haholo, empa ka tsela ena re fumane setšoantšo se felletseng sa hore na moreki o ne a e-na le lisebelisoa life marang-rang. Ka tsela, sena se ne se se thata ka lebaka la mosebetsi o motle oa ho hlahisa boitsebiso ka ntle ho lebokose. Hantle, moo profiling e sa kang ea thusa, re ile ra icheba, ra totobatsa sebaka sa ho fetola thepa eo thepa e neng e hokahane ho eona.
Ho kenya software ho liteishene tsa mosebetsi
Nyeoe ena ke e 'ngoe ea tse makatsang ka ho fetisisa tšebetsong ea ka. Ka letsatsi le leng, moreki o ile a tla ho rona ka mohoo oa thuso - ho na le ntho e sa tsamaeeng hantle ha ho sebelisoa Cisco ISE, ntho e 'ngoe le e' ngoe e ile ea robeha, 'me ha ho motho e mong ea neng a ka kena marang-rang. Re ile ra qala ho e sheba mme ra fumana tse latelang. Khampani e ne e e-na le lik'homphieutha tsa 2000, tseo, ha ho se na molaoli oa sebaka, li ne li laoloa tlas'a akhaonto ea mookameli. Ka sepheo sa ho sheba, mokhatlo o kentse tšebetsong Cisco ISE. Ho ne ho hlokahala ho utloisisa ka tsela e itseng hore na antivirus e kentsoe ho li-PC tse teng, hore na tikoloho ea software e ntlafalitsoe, joalo-joalo. 'Me kaha batsamaisi ba IT ba kentse lisebelisoa tsa marang-rang ka har'a tsamaiso, hoa utloahala hore ba ne ba e-na le monyetla oa ho e fumana. Kamora ho bona hore na e sebetsa joang le ho bopa li-PC tsa bona, batsamaisi ba ile ba tla le mohopolo oa ho kenya software lits'ebetsong tsa basebetsi ba hole ntle le maeto a bona. Nahana feela hore na u ka boloka mehato e kae ka letsatsi ka tsela ena! Batsamaisi ba ile ba etsa licheke tse 'maloa tsa sebaka sa mosebetsi bakeng sa boteng ba faele e itseng bukeng ea C: Program Files,' me haeba e ne e le sieo, ho ile ha qalisoa tokiso ea othomathike ka ho latela sehokelo se lebisang polokelong ea faele ho kenya faele ea .exe. Sena se ile sa lumella basebelisi ba tloaelehileng ho ea ho karolo ea faele le ho jarolla software e hlokahalang ho tloha moo. Ka bomalimabe, mookameli o ne a sa tsebe tsamaiso ea ISE hantle mme a senya mekhoa ea ho romella - o ngotse pholisi e fosahetseng, e leng se ileng sa lebisa bothateng boo re neng re ameha ho bo rarolla. Ka bonna, ke maketse ka tieo ke mokhoa o joalo oa ho bōpa, hobane ho ka ba theko e tlaase haholo le ho fokotsa mosebetsi o boima ho theha molaoli oa domain. Empa e le Bopaki ba mohopolo o ile oa sebetsa.
Bala haholoanyane ka lintlha tsa tekheniki tse hlahang ha ke kenya tšebetsong Cisco ISE sengolong sa mosebetsi-'moho le 'na .
Artem Bobrikov, moenjiniere oa moralo oa Setsi sa Tšireletso ea Boitsebiso ho Jet Infosystems
Afterword:
Leha taba ea hore poso ena e bua ka Sisco ISE sistimi, mathata a hlalositsoeng a bohlokoa bakeng sa sehlopha sohle sa tharollo ea NAC. Ha ho bohlokoa haholo hore na tharollo ea morekisi e reriloe ho kengoa ts'ebetsong - boholo ba tse ka holimo li tla lula li sebetsa.
Source: www.habr.com