Sabaraha sering anjeun mésér hiji hal spontaneously, succumbing ka iklan tiis, lajeng item ieu mimitina dipikahoyong gathers lebu dina lomari a, goah atawa garasi nepi ka beberesih spring salajengna atawa mindahkeun? Hasilna nyaéta kuciwa kusabab ekspektasi anu teu leres sareng ngabuang artos. Éta langkung parah upami ieu kajantenan dina usaha. Sering pisan, gimmicks pamasaran saé pisan sahingga perusahaan mésér solusi anu mahal tanpa ningali gambar lengkep ngeunaan aplikasina. Samentawis éta, uji coba sistem ngabantosan ngartos kumaha nyiapkeun infrastruktur pikeun integrasi, naon fungsina sareng sajauh mana anu kedah dilaksanakeun. Ku cara kieu anjeun tiasa nyingkahan sajumlah ageung masalah kusabab milih produk "buta". Sajaba ti éta, palaksanaan sanggeus kompeten "pilot" bakal mawa insinyur loba kurang ancur sél saraf jeung bulu abu. Hayu urang terang naha uji pilot penting pisan pikeun proyék anu suksés, nganggo conto alat populér pikeun ngatur aksés ka jaringan perusahaan - Cisco ISE. Hayu urang nganggap pilihan standar sareng lengkep non-standar pikeun ngagunakeun solusi anu urang tepang dina prakték urang.
Cisco ISE - "Server radius dina stéroid"
Cisco Identity Services Engine (ISE) mangrupikeun platform pikeun nyiptakeun sistem kontrol aksés pikeun jaringan daérah lokal organisasi. Dina komunitas ahli, produk ieu nicknamed "Radius server on stéroid" pikeun sipat na. Kunaon éta? Intina, solusina nyaéta server Radius, dimana sajumlah ageung jasa tambahan sareng "trik" parantos napel, ngamungkinkeun anjeun nampi seueur inpormasi kontekstual sareng nerapkeun set data anu hasilna dina kawijakan aksés.
Sapertos server Radius anu sanés, Cisco ISE berinteraksi sareng peralatan jaringan tingkat aksés, ngumpulkeun inpormasi ngeunaan sadaya usaha pikeun nyambung ka jaringan perusahaan sareng, dumasar kana kabijakan auténtikasi sareng otorisasi, ngamungkinkeun atanapi nampik pangguna kana LAN. Tapi, kamungkinan profiling, posting, sareng integrasi sareng solusi kaamanan inpormasi anu sanés ngamungkinkeun sacara signifikan ngahesekeun logika kawijakan otorisasi sareng ku kituna ngabéréskeun masalah anu sesah sareng pikaresepeun.
Palaksanaan teu tiasa piloted: naha anjeun peryogi tés?
Nilai uji pilot nyaéta pikeun nunjukkeun sadaya kamampuan sistem dina infrastruktur khusus organisasi khusus. Kuring yakin yén piloting Cisco ISE saméméh palaksanaan mangpaat dulur aub dina proyék, sarta ieu naha.
Ieu masihan integrator ide anu jelas ngeunaan ekspektasi palanggan sareng ngabantosan nyiptakeun spésifikasi téknis anu leres anu ngandung langkung rinci tibatan frasa umum "pastikeun sadayana henteu kunanaon." "Pilot" ngamungkinkeun urang ngarasa sagala nyeri ti nasabah, ngartos mana tugas anu prioritas pikeun anjeunna jeung nu sekundér. Pikeun urang, ieu kasempetan alus teuing pikeun terang sateuacanna naon parabot dipaké dina organisasi, kumaha palaksanaan bakal lumangsung, dina naon situs, dimana aranjeunna lokasina, jeung saterusna.
Salila nguji pilot, konsumén ningali sistem nyata dina aksi, meunang acquainted jeung panganteur na, bisa pariksa naha éta cocog jeung hardware maranéhna aya, sarta meunang pamahaman holistik kumaha solusi bakal dianggo sanggeus palaksanaan pinuh. "Pilot" nyaéta momen pisan nalika anjeun tiasa ningali sagala pitfalls nu meureun bakal sapatemon salila integrasi, sarta mutuskeun sabaraha lisensi nu peryogi mésér.
Naon anu tiasa "muncul" salami "pilot"
Janten, kumaha anjeun leres-leres nyiapkeun pikeun ngalaksanakeun Cisco ISE? Tina pangalaman kami, kami parantos ngitung 4 poin utama anu penting pikeun dipertimbangkeun nalika uji pilot sistem.
Faktor faktor
Kahiji, anjeun kudu mutuskeun dina faktor formulir naon sistem bakal dilaksanakeun: upline fisik atawa virtual. Unggal pilihan boga kaunggulan jeung kalemahan. Salaku conto, kakuatan upline fisik nyaéta kinerja anu tiasa diprediksi, tapi urang henteu kedah hilap yén alat sapertos kitu janten leungit dina waktosna. Upline maya kurang bisa diprediksi sabab... gumantung kana hardware on mana lingkungan virtualization ieu deployed, Tapi maranéhna boga kaunggulan serius: lamun rojongan sadia, aranjeunna salawasna bisa diropéa kana versi panganyarna.
Naha alat jaringan anjeun cocog sareng Cisco ISE?
Tangtosna, skenario idéal nyaéta nyambungkeun sadaya alat ka sistem sakaligus. Sanajan kitu, ieu teu salawasna mungkin sabab loba organisasi masih ngagunakeun saklar unmanaged atawa saklar nu teu ngarojong sababaraha téknologi nu ngajalankeun Cisco ISE. Ngomong-ngomong, urang henteu ngan ukur ngobrol ngeunaan saklar, éta ogé tiasa janten pangendali jaringan nirkabel, konsentrator VPN sareng alat-alat sanés anu nyambungkeun pangguna. Dina prakték kuring, aya kasus nalika, sanggeus demonstrating sistem pikeun palaksanaan pinuh, nasabah ditingkatkeun ampir sakabéh armada tingkat aksés switch ka alat Cisco modern. Pikeun ngahindarkeun kejutan anu teu pikaresepeun, éta patut milarian sateuacanna proporsi alat anu henteu didukung.
Naha sadaya alat anjeun standar?
Jaringan naon waé gaduh alat anu henteu sesah pikeun nyambungkeun: workstation, telepon IP, titik aksés Wi-Fi, kaméra pidéo, sareng sajabana. Tapi éta ogé kajadian yén alat non-standar kudu disambungkeun kana LAN, contona, RS232 / Ethernet converters sinyal beus, panganteur catu daya uninterruptible, rupa-rupa parabot téhnologis, jsb Kadé pikeun nangtukeun daptar alat sapertos sateuacanna. , Ku kituna dina tahap palaksanaan anjeun geus boga pamahaman kumaha téhnisna maranéhna bakal gawé bareng Cisco ISE.
Dialog konstruktif sareng spesialis IT
konsumén Cisco ISE mindeng departemén kaamanan, bari departemén IT biasana jawab ngonpigurasikeun saklar lapisan aksés jeung Active Directory. Janten, interaksi produktif antara spesialis kaamanan sareng spesialis IT mangrupikeun salah sahiji kaayaan penting pikeun palaksanaan sistem anu henteu aya rasa nyeri. Upami anu terakhir nganggap integrasi sareng mumusuhan, éta patut ngajelaskeun ka aranjeunna kumaha solusina bakal mangpaat pikeun jabatan IT.
puncak 5 Cisco ISE kasus pamakéan
Dina pangalaman urang, pungsionalitas sistem anu diperyogikeun ogé diidentifikasi dina tahap uji pilot. Di handap ieu aya sababaraha kasus pamakéan nu pang populerna jeung kirang umum pikeun solusi.
Aksés LAN aman dina kawat nganggo EAP-TLS
Salaku hasil panalungtikan pentesters urang némbongkeun, cukup sering pikeun nembus jaringan parusahaan, panyerang ngagunakeun sockets biasa nu printer, telepon, kaméra IP, titik Wi-Fi jeung alat jaringan non-pribadi séjén disambungkeun. Ku alatan éta, sanajan aksés jaringan dumasar kana téhnologi dot1x, tapi protokol alternatif dipaké tanpa ngagunakeun sertipikat auténtikasi pamaké, aya kamungkinan luhur serangan suksés kalayan interception sési jeung kecap akses brute-force. Dina kasus Cisco ISE, bakal langkung hese maok sertipikat - pikeun ieu, peretas peryogi kakuatan komputasi anu langkung ageung, janten kasus ieu efektif pisan.
aksés nirkabel dual-SSID
Intina tina skenario ieu ngagunakeun 2 network identifiers (SSIDs). Salah sahijina bisa conditionally disebut "tamu". Ngaliwatan éta, sémah sareng karyawan perusahaan tiasa ngaksés jaringan nirkabel. Nalika aranjeunna nyobian nyambung, anu terakhir dialihkeun ka portal khusus dimana provisioning lumangsung. Nyaéta, pangguna dikaluarkeun sertipikat sareng alat pribadina dikonpigurasi pikeun otomatis nyambungkeun deui ka SSID kadua, anu parantos nganggo EAP-TLS kalayan sagala kauntungan tina kasus anu munggaran.
MAC Authentication Bypass sareng Profiling
Kasus pamakean anu populér sanésna nyaéta sacara otomatis ngadeteksi jinis alat anu dihubungkeun sareng nerapkeun larangan anu leres. Naha anjeunna metot? Nyatana, masih aya seueur alat anu henteu ngadukung auténtikasi nganggo protokol 802.1X. Ku alatan éta, alat-alat sapertos kitu kedah diidinan kana jaringan nganggo alamat MAC, anu gampang dipalsukan. Ieu dimana Cisco ISE datang ka nyalametkeun teh: kalayan bantuan sistem, anjeun tiasa ningali kumaha hiji alat behaves dina jaringan, nyieun profil na napelkeun ka grup alat sejen, contona, telepon IP na workstation. . Upami panyerang nyobian ngabobol alamat MAC sareng nyambung ka jaringan, sistem bakal ningali yén profil alat parantos robih, bakal nunjukkeun paripolah anu curiga sareng moal ngijinkeun pangguna anu curiga kana jaringan.
EAP-Chaining
Téknologi EAP-Chaining ngalibatkeun auténtikasi sequential tina PC anu damel sareng akun pangguna. Kasus ieu janten nyebar kusabab ... Seueur perusahaan masih henteu nyorong nyambungkeun gadget pribadi karyawan ka LAN perusahaan. Ngagunakeun pendekatan ieu auténtikasi, kasebut nyaéta dimungkinkeun pikeun pariksa naha workstation tinangtu mangrupa anggota domain, sarta lamun hasilna négatip, pamaké bakal boh teu diwenangkeun kana jaringan, atawa bakal bisa asup, tapi kalawan tangtu. larangan.
Sikep
Kasus ieu ngeunaan ngira-ngira patuh parangkat lunak workstation sareng syarat kaamanan inpormasi. Nganggo téknologi ieu, anjeun tiasa pariksa naha parangkat lunak dina workstation parantos diropéa, naha ukuran kaamanan dipasang dina éta, naha firewall host dikonpigurasi, jsb. Narikna, téknologi ieu ogé ngamungkinkeun anjeun pikeun ngabéréskeun pancén sanés anu henteu aya hubunganana sareng kaamanan, contona, mariksa ayana file anu diperyogikeun atanapi masang parangkat lunak sistem-lebar.
Kasus pamakéan kirang umum pikeun Cisco ISE kaasup kontrol aksés kalawan auténtikasi domain tungtung-to-tungtung (ID pasip), basis SGT mikro-segmentation na nyaring, kitu ogé integrasi jeung manajemén alat mobile (MDM) sistem na Scanners kerentanan.
Proyék non-standar: naha lain anjeun peryogi Cisco ISE, atanapi 3 kasus anu jarang tina prakték urang
Kontrol aksés ka server basis Linux
Sakali kami ngarengsekeun hiji pasualan rada non-trivial pikeun salah sahiji nasabah anu geus boga sistem Cisco ISE dilaksanakeun: urang diperlukeun pikeun manggihan cara pikeun ngadalikeun lampah pamaké (lolobana pangurus) dina server kalawan Linux Ubuntu dipasang. Pikeun milarian jawaban, kami mendakan ideu ngagunakeun parangkat lunak PAM Radius Module gratis, anu ngamungkinkeun anjeun asup kana server anu ngajalankeun Linux kalayan auténtikasi dina server radius éksternal. Sagalana dina hal ieu bakal jadi alus, upami teu keur hiji "tapi": server radius, ngirim respon kana pamundut auténtikasi, ngan méré ngaran akun tur hasilna - assess ditarima atawa assess ditolak. Samentara éta, pikeun otorisasi dina Linux Ubuntu, anjeun kudu nangtukeun sahanteuna hiji parameter - diréktori imah, ku kituna pamaké sahenteuna meunang wae. Kami henteu mendakan cara pikeun masihan ieu salaku atribut radius, ku kituna kami nyerat naskah khusus pikeun nyiptakeun akun jarak jauh dina host dina modeu semi-otomatis. Tugas ieu cukup meujeuhna, sabab kami ngurus akun administrator, anu jumlahna henteu ageung. Salajengna, pangguna asup kana alat anu diperyogikeun, saatos éta dibéré aksés anu diperyogikeun. Patarosan anu wajar timbul: naha kedah nganggo Cisco ISE dina kasus sapertos kitu? Sabenerna, euweuh - sagala server radius bakal ngalakukeun, tapi saprak nasabah geus boga sistem ieu, urang ngan ditambahkeun hiji fitur anyar.
Inventory hardware jeung software dina LAN
Urang sakali digawé dina proyék pikeun suplai Cisco ISE hiji customer tanpa "pilot" awal. Henteu aya sarat anu jelas pikeun solusina, tambah kami nguruskeun jaringan anu datar, henteu dibagi, anu nyusahkeun tugas urang. Salila proyek, urang ngonpigurasi sadaya metodeu profil mungkin nu jaringan dirojong: NetFlow, DHCP, SNMP, integrasi AD, jsb. Hasilna, aksés MAR ieu ngonpigurasi kalawan kamampuhan pikeun asup kana jaringan lamun auténtikasi gagal. Nyaéta, sanajan auténtikasi henteu suksés, sistem bakal tetep ngijinkeun pangguna kana jaringan, ngumpulkeun inpormasi ngeunaan anjeunna sareng ngarékam dina database ISE. Pemantauan jaringan ieu salami sababaraha minggu ngabantosan kami ngaidentipikasi sistem anu disambungkeun sareng alat non-pribadi sareng ngembangkeun pendekatan pikeun ngabagi aranjeunna. Saatos ieu, kami ogé ngonpigurasikeun postingan pikeun masang agén dina workstations pikeun ngumpulkeun inpormasi ngeunaan parangkat lunak anu dipasang dina éta. Kumaha hasilna? Kami tiasa ngabagi jaringan sareng nangtoskeun daptar parangkat lunak anu kedah dipiceun tina stasiun kerja. Kuring moal nyumputkeun yén tugas salajengna ngadistribusikaeun pamaké kana grup domain na delineating hak aksés nyandak urang rada loba waktu, tapi ku cara kieu urang meunang gambaran lengkep naon hardware konsumén dina jaringan. Ku jalan kitu, ieu teu hésé alatan karya alus keur profil out of the box. Nya, dimana profil henteu ngabantosan, urang ningali diri urang sorangan, nyorot port saklar dimana alatna dihubungkeun.
Pamasangan jauh software dina workstations
Kasus ieu mangrupikeun salah sahiji anu paling anéh dina prakték kuring. Hiji poé, hiji customer sumping ka kami kalawan ceurik pikeun pitulung - aya nu salah nalika ngalaksanakeun Cisco ISE, sagalana peupeus, sarta taya sahijieun sejenna bisa ngakses jaringan. Urang mimitian pilari kana eta sarta kapanggih kaluar handap. Pausahaan miboga 2000 komputer, nu, dina henteuna hiji kontroler domain, diatur dina hiji akun administrator. Pikeun tujuan peering, organisasi dilaksanakeun Cisco ISE. Éta kedah kumaha waé ngartos naha antipirus dipasang dina PC anu tos aya, naha lingkungan parangkat lunak parantos diropéa, jsb. Sarta saprak pangurus IT dipasang alat jaringan kana sistem, éta logis yén maranéhna miboga aksés ka dinya. Saatos ningali kumaha éta tiasa dianggo sareng poshering PC na, pangurus datang sareng ide pikeun masang parangkat lunak dina workstation karyawan jarak jauh tanpa kunjungan pribadi. Bayangkeun sabaraha léngkah anu anjeun tiasa simpen per dinten ku cara ieu! Pangurus ngalaksanakeun sababaraha pamariksaan workstation pikeun ayana file khusus dina diréktori C: Program Files, sareng upami éta henteu aya, remediasi otomatis diluncurkeun ku nuturkeun tautan anu nuju ka panyimpenan file kana file .exe instalasi. Ieu ngamungkinkeun para pangguna biasa pikeun ngabagi file sareng ngaunduh parangkat lunak anu diperyogikeun ti dinya. Hanjakalna, admin henteu terang sistem ISE sareng ngarusak mékanisme postingan - anjeunna nyerat kawijakan anu teu leres, anu nyababkeun masalah anu urang aub dina ngarengsekeun. Pribadi, Kami tulus reuwas ku pendekatan kreatif misalna, sabab bakal laér leuwih murah tur kirang kuli-intensif pikeun nyieun hiji controller domain. Tapi salaku Buktina konsép éta jalan.
Baca langkung seueur ngeunaan nuansa téknis anu timbul nalika ngalaksanakeun Cisco ISE dina tulisan batur sapagawean kuring .
Artem Bobrikov, insinyur desain Pusat Kaamanan Émbaran di Jet Infosystems
afterword:
Najan kanyataan yén pos ieu ceramah ngeunaan sistem Cisco ISE, masalah dijelaskeun relevan pikeun sakabéh kelas solusi NAC. Henteu penting pisan yén solusi vendor anu direncanakeun pikeun dilaksanakeun - kalolobaanana di luhur bakal tetep lumaku.
sumber: www.habr.com