Ni mara ngapi unanunua kitu kwa hiari, ukikubali tangazo la kupendeza, na kisha bidhaa hii inayohitajika hukusanya vumbi kwenye chumbani, pantry au karakana hadi kusafisha au kusonga kwa chemchemi inayofuata? Matokeo yake ni kukatishwa tamaa kutokana na matarajio yasiyo na msingi na upotevu wa pesa. Ni mbaya zaidi hii inapotokea kwa biashara. Mara nyingi, ujanja wa uuzaji ni mzuri sana hivi kwamba kampuni hununua suluhisho la gharama kubwa bila kuona picha kamili ya matumizi yake. Wakati huo huo, majaribio ya mfumo husaidia kuelewa jinsi ya kuandaa miundombinu kwa ajili ya kuunganishwa, ni utendaji gani na kwa kiasi gani unapaswa kutekelezwa. Kwa njia hii unaweza kuepuka idadi kubwa ya matatizo kutokana na kuchagua bidhaa "kwa upofu". Kwa kuongezea, utekelezaji baada ya "majaribio" anayefaa utaleta wahandisi chini ya seli za ujasiri zilizoharibiwa na nywele za kijivu. Hebu tuone ni kwa nini upimaji wa majaribio ni muhimu sana kwa mradi wenye mafanikio, kwa kutumia mfano wa chombo maarufu cha kudhibiti upatikanaji wa mtandao wa ushirika - Cisco ISE. Wacha tuzingatie chaguzi zote mbili za kawaida na zisizo za kawaida za kutumia suluhisho ambalo tumekutana nalo katika mazoezi yetu.
Cisco ISE - "Seva ya radius kwenye steroids"
Cisco Identity Services Engine (ISE) ni jukwaa la kuunda mfumo wa udhibiti wa ufikiaji wa mtandao wa eneo la ndani wa shirika. Katika jumuiya ya wataalamu, bidhaa ilipewa jina la utani "Seva ya Radius kwenye steroids" kwa sifa zake. Kwanini hivyo? Kimsingi, suluhisho ni seva ya Radius, ambayo idadi kubwa ya huduma za ziada na "mbinu" zimeunganishwa, kukuwezesha kupokea kiasi kikubwa cha taarifa za muktadha na kutumia seti inayotokana ya data katika sera za kufikia.
Kama seva nyingine yoyote ya Radius, Cisco ISE huingiliana na vifaa vya mtandao vya kiwango cha ufikivu, hukusanya taarifa kuhusu majaribio yote ya kuunganisha kwenye mtandao wa shirika na, kwa kuzingatia sera za uthibitishaji na uidhinishaji, inaruhusu au kuwanyima watumiaji LAN. Walakini, uwezekano wa kuweka wasifu, kuchapisha na kuunganishwa na suluhisho zingine za usalama wa habari hufanya iwezekane kutatiza kwa kiasi kikubwa mantiki ya sera ya uidhinishaji na kwa hivyo kutatua shida ngumu na za kuvutia.
Utekelezaji hauwezi kufanyiwa majaribio: kwa nini unahitaji majaribio?
Thamani ya majaribio ya majaribio ni kuonyesha uwezo wote wa mfumo katika miundombinu maalum ya shirika maalum. Ninaamini kuwa majaribio ya Cisco ISE kabla ya utekelezaji hunufaisha kila mtu anayehusika katika mradi huo, na hii ndiyo sababu.
Hii inawapa washiriki wazo wazi la matarajio ya mteja na husaidia kuunda vipimo sahihi vya kiufundi ambavyo vina maelezo zaidi kuliko kifungu cha kawaida cha maneno "hakikisha kuwa kila kitu kiko sawa." "Pilot" huturuhusu kuhisi uchungu wote wa mteja, kuelewa ni kazi zipi ambazo ni kipaumbele kwake na ni za pili. Kwa sisi, hii ni fursa nzuri ya kujua mapema ni vifaa gani vinatumika katika shirika, jinsi utekelezaji utafanyika, kwenye tovuti gani, wapi, na kadhalika.
Wakati wa majaribio ya majaribio, wateja wanaona mfumo halisi ukifanya kazi, kufahamiana na kiolesura chake, wanaweza kuangalia ikiwa inaendana na maunzi yao yaliyopo, na kupata ufahamu kamili wa jinsi suluhisho litafanya kazi baada ya utekelezaji kamili. "Pilot" ndio wakati ambapo unaweza kuona mitego yote ambayo labda utakutana nayo wakati wa ujumuishaji, na uamue ni leseni ngapi unahitaji kununua.
Ni nini kinachoweza "kujitokeza" wakati wa "majaribio"
Kwa hivyo, unajiandaaje ipasavyo kutekeleza Cisco ISE? Kutokana na uzoefu wetu, tumehesabu mambo makuu 4 ambayo ni muhimu kuzingatia wakati wa majaribio ya mfumo.
Sababu ya fomu
Kwanza, unahitaji kuamua kwa namna gani mfumo utatekelezwa: upline kimwili au virtual. Kila chaguo ina faida na hasara. Kwa mfano, nguvu ya upline ya kimwili ni utendaji wake wa kutabirika, lakini hatupaswi kusahau kwamba vifaa vile vinakuwa vya kizamani kwa muda. Mistari ya kweli haitabiriki kwa sababu... hutegemea vifaa ambavyo mazingira ya virtualization yanatumiwa, lakini yana faida kubwa: ikiwa msaada unapatikana, wanaweza kusasishwa kwa toleo la hivi karibuni.
Je, kifaa chako cha mtandao kinaendana na Cisco ISE?
Bila shaka, hali bora itakuwa kuunganisha vifaa vyote kwenye mfumo mara moja. Hata hivyo, hili haliwezekani kila wakati kwani mashirika mengi bado yanatumia swichi zisizodhibitiwa au swichi ambazo hazitumii baadhi ya teknolojia zinazoendesha Cisco ISE. Kwa njia, hatuzungumzi tu juu ya swichi, inaweza pia kuwa watawala wa mtandao wa wireless, concentrators za VPN na vifaa vingine ambavyo watumiaji huunganisha. Katika mazoezi yangu, kumekuwa na matukio wakati, baada ya kuonyesha mfumo wa utekelezaji kamili, mteja aliboresha karibu meli nzima ya swichi za ngazi ya kufikia kwa vifaa vya kisasa vya Cisco. Ili kuzuia mshangao usio na furaha, inafaa kujua mapema idadi ya vifaa visivyotumika.
Je, vifaa vyako vyote ni vya kawaida?
Mtandao wowote una vifaa vya kawaida ambavyo haipaswi kuwa vigumu kuunganisha: vituo vya kazi, simu za IP, pointi za kufikia Wi-Fi, kamera za video, na kadhalika. Lakini pia hutokea kwamba vifaa visivyo vya kawaida vinahitaji kushikamana na LAN, kwa mfano, waongofu wa ishara za basi RS232 / Ethernet, interfaces za usambazaji wa nguvu zisizoweza kuharibika, vifaa mbalimbali vya teknolojia, nk Ni muhimu kuamua orodha ya vifaa vile mapema. , ili katika hatua ya utekelezaji tayari uwe na ufahamu jinsi kitaalam watafanya kazi na Cisco ISE.
Mazungumzo yenye kujenga na wataalamu wa IT
Wateja wa Cisco ISE mara nyingi huwa idara za usalama, ilhali idara za TEHAMA huwa na jukumu la kusanidi swichi za safu ya ufikiaji na Saraka Inayotumika. Kwa hiyo, mwingiliano wenye tija kati ya wataalamu wa usalama na wataalamu wa IT ni mojawapo ya masharti muhimu ya utekelezaji usio na uchungu wa mfumo. Ikiwa wa mwisho wanaona ushirikiano na uadui, inafaa kuwaelezea jinsi suluhisho litakuwa na manufaa kwa idara ya IT.
Kesi 5 bora za utumiaji za Cisco ISE
Katika uzoefu wetu, utendaji unaohitajika wa mfumo pia unatambuliwa katika hatua ya majaribio ya majaribio. Chini ni baadhi ya kesi maarufu zaidi na zisizo za kawaida za utumiaji wa suluhisho.
Linda ufikiaji wa LAN kupitia waya ukitumia EAP-TLS
Kama matokeo ya utafiti wa pentesters wetu yanavyoonyesha, mara nyingi kupenya mtandao wa kampuni, washambuliaji hutumia soketi za kawaida ambazo printa, simu, kamera za IP, vidokezo vya Wi-Fi na vifaa vingine visivyo vya kibinafsi vimeunganishwa. Kwa hivyo, hata kama ufikiaji wa mtandao unategemea teknolojia ya dot1x, lakini itifaki mbadala hutumiwa bila kutumia vyeti vya uthibitishaji wa mtumiaji, kuna uwezekano mkubwa wa shambulio la mafanikio kwa kuingilia kikao na nywila za nguvu. Kwa upande wa Cisco ISE, itakuwa ngumu zaidi kuiba cheti - kwa hili, watapeli watahitaji nguvu zaidi ya kompyuta, kwa hivyo kesi hii ni nzuri sana.
Ufikiaji wa wireless wa Dual-SSID
Kiini cha hali hii ni kutumia vitambulishi 2 vya mtandao (SSIDs). Mmoja wao anaweza kuitwa "mgeni". Kupitia hiyo, wageni na wafanyakazi wa kampuni wanaweza kufikia mtandao wa wireless. Wanapojaribu kuunganisha, mwisho huelekezwa kwenye portal maalum ambapo utoaji unafanyika. Hiyo ni, mtumiaji amepewa cheti na kifaa chake cha kibinafsi kimeundwa ili kuunganisha kiotomatiki kwa SSID ya pili, ambayo tayari hutumia EAP-TLS na faida zote za kesi ya kwanza.
Bypass ya Uthibitishaji wa MAC na Uwekaji wasifu
Kesi nyingine maarufu ya utumiaji ni kugundua kiotomati aina ya kifaa kinachounganishwa na kutumia vizuizi sahihi kwake. Kwa nini anavutia? Ukweli ni kwamba bado kuna vifaa vingi ambavyo haviungi mkono uthibitishaji kwa kutumia itifaki ya 802.1X. Kwa hivyo, vifaa kama hivyo vinapaswa kuruhusiwa kwenye mtandao kwa kutumia anwani ya MAC, ambayo ni rahisi sana kughushi. Hapa ndipo Cisco ISE inakuja kuokoa: kwa usaidizi wa mfumo, unaweza kuona jinsi kifaa kinavyofanya kwenye mtandao, kuunda wasifu wake na kuwapa kundi la vifaa vingine, kwa mfano, simu ya IP na kituo cha kazi. . Mshambulizi akijaribu kuharibu anwani ya MAC na kuunganisha kwenye mtandao, mfumo utaona kuwa wasifu wa kifaa umebadilika, utaashiria tabia ya kutiliwa shaka na hautamruhusu mtumiaji anayetiliwa shaka kuingia kwenye mtandao.
EAP-Chaining
Teknolojia ya EAP-Chaining inahusisha uthibitishaji wa mtiririko wa Kompyuta inayofanya kazi na akaunti ya mtumiaji. Kesi hii imeenea kwa sababu ... Kampuni nyingi bado hazihimizi kuunganisha vifaa vya kibinafsi vya wafanyikazi kwenye LAN ya shirika. Kutumia njia hii ya uthibitishaji, inawezekana kuangalia ikiwa kituo fulani cha kazi ni mwanachama wa kikoa, na ikiwa matokeo ni mabaya, mtumiaji hataruhusiwa kuingia kwenye mtandao, au ataweza kuingia, lakini kwa hakika. vikwazo.
Kutuma
Kesi hii inahusu kutathmini kufuata kwa programu ya kituo cha kazi na mahitaji ya usalama wa habari. Kwa kutumia teknolojia hii, unaweza kuangalia ikiwa programu kwenye kituo cha kazi imesasishwa, ikiwa hatua za usalama zimewekwa juu yake, ikiwa firewall ya mwenyeji imesanidiwa, nk. Inashangaza, teknolojia hii pia inakuwezesha kutatua kazi nyingine zisizohusiana na usalama, kwa mfano, kuangalia uwepo wa faili muhimu au kufunga programu ya mfumo mzima.
Kesi chache za matumizi ya Cisco ISE ni pamoja na udhibiti wa ufikiaji kwa uthibitishaji wa kikoa kutoka mwisho hadi mwisho (Passive ID), sehemu ndogo na uchujaji kulingana na SGT, pamoja na kuunganishwa na mifumo ya usimamizi wa vifaa vya rununu (MDM) na Vichanganuzi vya Athari.
Miradi isiyo ya kawaida: kwa nini pengine unaweza kuhitaji Cisco ISE, au kesi 3 nadra kutoka kwa mazoezi yetu
Udhibiti wa ufikiaji kwa seva zinazotegemea Linux
Mara tu tulipokuwa tukisuluhisha kesi isiyo ya maana kwa mmoja wa wateja ambao tayari mfumo wa Cisco ISE umetekelezwa: tulihitaji kutafuta njia ya kudhibiti vitendo vya mtumiaji (hasa wasimamizi) kwenye seva zilizosakinishwa Linux. Katika kutafuta jibu, tulikuja na wazo la kutumia programu ya bure ya PAM Radius Moduli, ambayo hukuruhusu kuingia kwenye seva zinazoendesha Linux na uthibitishaji kwenye seva ya radius ya nje. Kila kitu katika suala hili kitakuwa nzuri, ikiwa si kwa moja "lakini": seva ya radius, kutuma jibu kwa ombi la uthibitishaji, inatoa tu jina la akaunti na matokeo - tathmini iliyokubaliwa au kutathmini kukataliwa. Wakati huo huo, kwa idhini katika Linux, unahitaji kuwapa angalau parameter moja zaidi - saraka ya nyumbani, ili mtumiaji angalau apate mahali fulani. Hatukupata njia ya kutoa hii kama sifa ya radius, kwa hivyo tuliandika hati maalum ya kuunda akaunti kwa mbali kwa wapangishaji katika hali ya nusu otomatiki. Kazi hii ilikuwa inawezekana kabisa, kwa kuwa tulikuwa tukishughulika na akaunti za msimamizi, idadi ambayo haikuwa kubwa sana. Ifuatayo, watumiaji waliingia kwenye kifaa kinachohitajika, baada ya hapo walipewa ufikiaji muhimu. Swali linalofaa linatokea: ni muhimu kutumia Cisco ISE katika hali kama hizi? Kwa kweli, hapana - seva yoyote ya radius itafanya, lakini kwa kuwa mteja tayari alikuwa na mfumo huu, tuliongeza tu kipengele kipya kwake.
Orodha ya maunzi na programu kwenye LAN
Tuliwahi kufanya kazi katika mradi wa kusambaza Cisco ISE kwa mteja mmoja bila "majaribio" ya awali. Hakukuwa na mahitaji ya wazi ya suluhisho, pamoja na sisi tulikuwa tukishughulika na mtandao wa gorofa, usio na sehemu, ambao ulifanya kazi yetu kuwa ngumu. Wakati wa mradi, tulisanidi mbinu zote zinazowezekana za wasifu ambazo mtandao uliunga mkono: NetFlow, DHCP, SNMP, ushirikiano wa AD, n.k. Kwa hivyo, ufikiaji wa MAR uliwekwa na uwezo wa kuingia kwenye mtandao ikiwa uthibitishaji haukufaulu. Hiyo ni, hata kama uthibitishaji haukufanikiwa, mfumo bado ungemruhusu mtumiaji kuingia kwenye mtandao, kukusanya taarifa kumhusu na kuzirekodi kwenye hifadhidata ya ISE. Ufuatiliaji huu wa mtandao kwa wiki kadhaa ulitusaidia kutambua mifumo iliyounganishwa na vifaa visivyo vya kibinafsi na kuunda mbinu ya kuvitenga. Baada ya hayo, tulisanidi zaidi uchapishaji ili kusakinisha wakala kwenye vituo vya kazi ili kukusanya taarifa kuhusu programu iliyosakinishwa juu yao. Matokeo ni nini? Tuliweza kugawa mtandao na kubainisha orodha ya programu ambazo zinahitajika kuondolewa kwenye vituo vya kazi. Sitaficha kwamba kazi zaidi za kusambaza watumiaji katika vikundi vya kikoa na kuainisha haki za ufikiaji zilituchukua muda mwingi, lakini kwa njia hii tulipata picha kamili ya vifaa gani mteja alikuwa na kwenye mtandao. Kwa njia, hii haikuwa ngumu kutokana na kazi nzuri ya wasifu nje ya boksi. Kweli, ambapo wasifu haukusaidia, tulijiangalia, tukionyesha bandari ya kubadili ambayo vifaa viliunganishwa.
Ufungaji wa mbali wa programu kwenye vituo vya kazi
Kesi hii ni moja wapo ya kushangaza katika mazoezi yangu. Siku moja, mteja alitujia na kilio cha kuomba msaada - hitilafu fulani wakati wa kutekeleza Cisco ISE, kila kitu kiliharibika, na hakuna mtu mwingine aliyeweza kufikia mtandao. Tulianza kuichunguza na tukagundua yafuatayo. Kampuni hiyo ilikuwa na kompyuta 2000, ambazo, kwa kukosekana kwa mtawala wa kikoa, zilisimamiwa chini ya akaunti ya msimamizi. Kwa madhumuni ya kuangalia, shirika lilitekeleza Cisco ISE. Ilikuwa ni lazima kwa namna fulani kuelewa ikiwa antivirus iliwekwa kwenye PC zilizopo, ikiwa mazingira ya programu yalisasishwa, nk. Na kwa kuwa wasimamizi wa IT waliweka vifaa vya mtandao kwenye mfumo, ni mantiki kwamba walikuwa na upatikanaji wake. Baada ya kuona jinsi inavyofanya kazi na kuchambua Kompyuta zao, wasimamizi walikuja na wazo la kusakinisha programu kwenye vituo vya kazi vya wafanyikazi kwa mbali bila kutembelewa kibinafsi. Hebu fikiria ni hatua ngapi unaweza kuokoa kwa siku kwa njia hii! Wasimamizi walifanya ukaguzi kadhaa wa kituo cha kazi kwa uwepo wa faili maalum katika saraka ya C: Files za Programu, na ikiwa haikuwepo, urekebishaji wa moja kwa moja ulizinduliwa kwa kufuata kiungo kinachoongoza kwenye hifadhi ya faili kwenye faili ya usakinishaji .exe. Hii iliruhusu watumiaji wa kawaida kwenda kushiriki faili na kupakua programu muhimu kutoka hapo. Kwa bahati mbaya, msimamizi hakujua mfumo wa ISE vizuri na aliharibu njia za uchapishaji - aliandika sera vibaya, ambayo ilisababisha tatizo ambalo tulihusika katika kutatua. Binafsi, ninashangazwa kwa dhati na mbinu hiyo ya ubunifu, kwa sababu itakuwa nafuu sana na isiyohitaji kazi nyingi kuunda mtawala wa kikoa. Lakini kama Uthibitisho wa dhana ilifanya kazi.
Soma zaidi juu ya nuances ya kiufundi inayotokea wakati wa kutekeleza Cisco ISE kwenye nakala ya mwenzangu .
Artem Bobrikov, mhandisi wa kubuni wa Kituo cha Usalama wa Habari katika Jet Infosystems
Baada ya:
Licha ya ukweli kwamba chapisho hili linazungumza kuhusu mfumo wa Cisco ISE, matatizo yaliyoelezwa yanafaa kwa darasa zima la ufumbuzi wa NAC. Sio muhimu sana ni suluhisho gani la muuzaji limepangwa kwa utekelezaji - mengi ya hapo juu yatabaki kutumika.
Chanzo: mapenzi.com