நீங்கள் எவ்வளவு அடிக்கடி தன்னிச்சையாக எதையாவது வாங்குகிறீர்கள், குளிர்ச்சியான விளம்பரத்திற்கு அடிபணிந்து, முதலில் விரும்பிய இந்த உருப்படியை அடுத்த வசந்த காலத்தில் சுத்தம் செய்யும் அல்லது நகரும் வரை ஒரு அலமாரி, சரக்கறை அல்லது கேரேஜில் தூசி சேகரிக்கிறது? இதன் விளைவாக நியாயமற்ற எதிர்பார்ப்புகளாலும், வீணான பணத்தாலும் ஏமாற்றம்தான். ஒரு வணிகத்திற்கு இது நிகழும்போது இது மிகவும் மோசமானது. மிக பெரும்பாலும், மார்க்கெட்டிங் வித்தைகள் மிகவும் நல்லது, நிறுவனங்கள் அதன் பயன்பாட்டின் முழுப் படத்தையும் பார்க்காமல் விலையுயர்ந்த தீர்வை வாங்குகின்றன. இதற்கிடையில், அமைப்பின் சோதனை சோதனையானது, ஒருங்கிணைப்புக்கான உள்கட்டமைப்பை எவ்வாறு தயாரிப்பது, என்ன செயல்பாடு மற்றும் எந்த அளவிற்கு செயல்படுத்தப்பட வேண்டும் என்பதைப் புரிந்துகொள்ள உதவுகிறது. இந்த வழியில் "கண்மூடித்தனமாக" ஒரு தயாரிப்பைத் தேர்ந்தெடுப்பதன் காரணமாக நீங்கள் ஏராளமான சிக்கல்களைத் தவிர்க்கலாம். கூடுதலாக, ஒரு திறமையான "பைலட்" க்குப் பிறகு செயல்படுத்துவது பொறியாளர்களுக்கு மிகவும் குறைவாக அழிக்கப்பட்ட நரம்பு செல்கள் மற்றும் நரை முடியைக் கொண்டுவரும். கார்ப்பரேட் நெட்வொர்க்கிற்கான அணுகலைக் கட்டுப்படுத்துவதற்கான பிரபலமான கருவியின் உதாரணத்தைப் பயன்படுத்தி வெற்றிகரமான திட்டத்திற்கு பைலட் சோதனை ஏன் மிகவும் முக்கியமானது என்பதைக் கண்டுபிடிப்போம் - சிஸ்கோ ஐஎஸ்இ. எங்கள் நடைமுறையில் நாம் சந்தித்த தீர்வைப் பயன்படுத்துவதற்கான நிலையான மற்றும் முற்றிலும் தரமற்ற விருப்பங்களைக் கருத்தில் கொள்வோம்.
சிஸ்கோ ஐஎஸ்இ - “ஸ்டெராய்டுகளில் ஆரம் சர்வர்”
Cisco Identity Services Engine (ISE) என்பது ஒரு நிறுவனத்தின் உள்ளூர் பகுதி நெட்வொர்க்கிற்கான அணுகல் கட்டுப்பாட்டு அமைப்பை உருவாக்குவதற்கான ஒரு தளமாகும். நிபுணர் சமூகத்தில், தயாரிப்பு அதன் பண்புகளுக்காக "ஸ்டெராய்டுகளில் ரேடியஸ் சர்வர்" என்று செல்லப்பெயர் பெற்றது. அது ஏன்? அடிப்படையில், தீர்வு ஒரு ஆரம் சர்வர் ஆகும், இதில் அதிக எண்ணிக்கையிலான கூடுதல் சேவைகள் மற்றும் "தந்திரங்கள்" இணைக்கப்பட்டுள்ளன, இது ஒரு பெரிய அளவிலான சூழ்நிலை தகவலைப் பெறவும், அணுகல் கொள்கைகளில் தரவுகளின் தொகுப்பைப் பயன்படுத்தவும் உங்களை அனுமதிக்கிறது.
மற்ற ஆரம் சர்வரைப் போலவே, Cisco ISE ஆனது அணுகல் நிலை நெட்வொர்க் உபகரணங்களுடன் தொடர்பு கொள்கிறது, கார்ப்பரேட் நெட்வொர்க்குடன் இணைக்கும் அனைத்து முயற்சிகள் பற்றிய தகவலையும் சேகரிக்கிறது மற்றும் அங்கீகாரம் மற்றும் அங்கீகாரக் கொள்கைகளின் அடிப்படையில், பயனர்களை LAN ஐ அனுமதிக்கிறது அல்லது மறுக்கிறது. இருப்பினும், பிற தகவல் பாதுகாப்பு தீர்வுகளுடன் விவரக்குறிப்பு, இடுகையிடுதல் மற்றும் ஒருங்கிணைப்பு ஆகியவற்றின் சாத்தியக்கூறுகள் அங்கீகாரக் கொள்கையின் தர்க்கத்தை கணிசமாக சிக்கலாக்குவதை சாத்தியமாக்குகிறது மற்றும் அதன் மூலம் மிகவும் கடினமான மற்றும் சுவாரஸ்யமான சிக்கல்களைத் தீர்க்கிறது.
செயல்படுத்தலை பைலட் செய்ய முடியாது: உங்களுக்கு ஏன் சோதனை தேவை?
பைலட் சோதனையின் மதிப்பு, ஒரு குறிப்பிட்ட அமைப்பின் குறிப்பிட்ட உள்கட்டமைப்பில் அமைப்பின் அனைத்து திறன்களையும் நிரூபிப்பதாகும். செயல்படுத்துவதற்கு முன் சிஸ்கோ ISE ஐ இயக்குவது திட்டத்தில் ஈடுபட்டுள்ள அனைவருக்கும் பயனளிக்கும் என்று நான் நம்புகிறேன், அதற்கான காரணம் இங்கே உள்ளது.
இது வாடிக்கையாளரின் எதிர்பார்ப்புகள் பற்றிய தெளிவான யோசனையை ஒருங்கிணைப்பாளர்களுக்கு வழங்குகிறது மற்றும் "எல்லாவற்றையும் நன்றாக இருப்பதை உறுதிப்படுத்திக் கொள்ளுங்கள்" என்ற பொதுவான சொற்றொடரை விட அதிக விவரங்களைக் கொண்ட சரியான தொழில்நுட்ப விவரக்குறிப்பை உருவாக்க உதவுகிறது. "பைலட்" வாடிக்கையாளரின் அனைத்து வலிகளையும் உணர அனுமதிக்கிறது, அவருக்கு எந்தப் பணிகள் முன்னுரிமை மற்றும் இரண்டாம் நிலை என்பதை புரிந்து கொள்ள அனுமதிக்கிறது. எங்களைப் பொறுத்தவரை, நிறுவனத்தில் என்ன உபகரணங்கள் பயன்படுத்தப்படுகின்றன, செயல்படுத்தல் எவ்வாறு நடைபெறும், எந்த தளங்களில், அவை அமைந்துள்ளன மற்றும் பலவற்றை முன்கூட்டியே கண்டுபிடிக்க இது ஒரு சிறந்த வாய்ப்பாகும்.
பைலட் சோதனையின் போது, வாடிக்கையாளர்கள் உண்மையான சிஸ்டம் செயலில் இருப்பதைப் பார்க்கிறார்கள், அதன் இடைமுகத்தைப் பற்றி அறிந்துகொள்ளலாம், அது தற்போதுள்ள வன்பொருளுடன் இணக்கமாக உள்ளதா என்பதைச் சரிபார்த்து, தீர்வு முழுவதுமாக செயல்படுத்தப்பட்ட பிறகு எப்படிச் செயல்படும் என்பதைப் பற்றிய முழுமையான புரிதலைப் பெறலாம். "பைலட்" என்பது ஒருங்கிணைப்பின் போது நீங்கள் சந்திக்கும் அனைத்து ஆபத்துகளையும் நீங்கள் பார்க்க முடியும், மேலும் நீங்கள் எத்தனை உரிமங்களை வாங்க வேண்டும் என்பதை தீர்மானிக்க முடியும்.
"பைலட்" போது என்ன "பாப் அப்" செய்யலாம்
எனவே, சிஸ்கோ ஐஎஸ்இயை செயல்படுத்துவதற்கு நீங்கள் எவ்வாறு சரியாகத் தயாராகிறீர்கள்? எங்கள் அனுபவத்திலிருந்து, கணினியின் பைலட் சோதனையின் போது கருத்தில் கொள்ள வேண்டிய 4 முக்கிய புள்ளிகளை நாங்கள் கணக்கிட்டுள்ளோம்.
படிவம் காரணி
முதலில், கணினி எந்த வடிவத்தில் செயல்படுத்தப்படும் என்பதை நீங்கள் தீர்மானிக்க வேண்டும்: உடல் அல்லது மெய்நிகர் அப்லைன். ஒவ்வொரு விருப்பத்திற்கும் நன்மைகள் மற்றும் தீமைகள் உள்ளன. எடுத்துக்காட்டாக, ஒரு இயற்பியல் மேலோட்டத்தின் வலிமையானது அதன் கணிக்கக்கூடிய செயல்திறன் ஆகும், ஆனால் காலப்போக்கில் அத்தகைய சாதனங்கள் வழக்கற்றுப் போகின்றன என்பதை நாம் மறந்துவிடக் கூடாது. விர்ச்சுவல் அப்லைன்கள் குறைவாகவே கணிக்கப்படுகின்றன, ஏனெனில்... மெய்நிகராக்கச் சூழல் பயன்படுத்தப்படும் வன்பொருளைச் சார்ந்தது, ஆனால் அவை ஒரு தீவிர நன்மையைக் கொண்டுள்ளன: ஆதரவு இருந்தால், அவை எப்போதும் சமீபத்திய பதிப்பிற்கு புதுப்பிக்கப்படலாம்.
உங்கள் நெட்வொர்க் உபகரணங்கள் சிஸ்கோ ISE உடன் இணக்கமாக உள்ளதா?
நிச்சயமாக, அனைத்து உபகரணங்களையும் ஒரே நேரத்தில் கணினியுடன் இணைப்பதே சிறந்த சூழ்நிலையாக இருக்கும். இருப்பினும், சிஸ்கோ ISE ஐ இயக்கும் சில தொழில்நுட்பங்களை ஆதரிக்காத பல நிறுவனங்கள் இன்னும் நிர்வகிக்கப்படாத சுவிட்சுகள் அல்லது சுவிட்சுகளைப் பயன்படுத்துவதால் இது எப்போதும் சாத்தியமில்லை. மூலம், நாங்கள் சுவிட்சுகள் பற்றி மட்டும் பேசவில்லை, அது வயர்லெஸ் நெட்வொர்க் கன்ட்ரோலர்கள், VPN செறிவூட்டிகள் மற்றும் பயனர்கள் இணைக்கும் வேறு எந்த உபகரணமாகவும் இருக்கலாம். எனது நடைமுறையில், முழு செயலாக்கத்திற்கான அமைப்பை நிரூபித்த பிறகு, வாடிக்கையாளர் அணுகல் நிலை சுவிட்சுகளின் கிட்டத்தட்ட முழு கடற்படையையும் நவீன சிஸ்கோ சாதனங்களுக்கு மேம்படுத்திய சந்தர்ப்பங்கள் உள்ளன. விரும்பத்தகாத ஆச்சரியங்களைத் தவிர்க்க, ஆதரிக்கப்படாத உபகரணங்களின் விகிதத்தை முன்கூட்டியே கண்டுபிடிப்பது மதிப்பு.
உங்கள் சாதனங்கள் அனைத்தும் தரமானதா?
எந்தவொரு நெட்வொர்க்கிலும் வழக்கமான சாதனங்கள் உள்ளன, அவை இணைக்க கடினமாக இருக்கக்கூடாது: பணிநிலையங்கள், ஐபி தொலைபேசிகள், வைஃபை அணுகல் புள்ளிகள், வீடியோ கேமராக்கள் மற்றும் பல. ஆனால் தரமற்ற சாதனங்கள் LAN உடன் இணைக்கப்பட வேண்டும், எடுத்துக்காட்டாக, RS232 / ஈதர்நெட் பஸ் சிக்னல் மாற்றிகள், தடையில்லா மின்சாரம் வழங்கல் இடைமுகங்கள், பல்வேறு தொழில்நுட்ப உபகரணங்கள் போன்றவை. அத்தகைய சாதனங்களின் பட்டியலை முன்கூட்டியே தீர்மானிக்க வேண்டியது அவசியம். , செயல்படுத்தும் கட்டத்தில் அவர்கள் சிஸ்கோ ISE உடன் எவ்வாறு தொழில்நுட்ப ரீதியாக செயல்படுவார்கள் என்பதைப் புரிந்துகொள்வீர்கள்.
தகவல் தொழில்நுட்ப நிபுணர்களுடன் ஆக்கபூர்வமான உரையாடல்
Cisco ISE வாடிக்கையாளர்கள் பெரும்பாலும் பாதுகாப்பு துறைகளாக உள்ளனர், அதே சமயம் IT துறைகள் பொதுவாக அணுகல் அடுக்கு சுவிட்சுகள் மற்றும் செயலில் உள்ள அடைவுகளை உள்ளமைக்கும் பொறுப்பாகும். எனவே, பாதுகாப்பு வல்லுநர்கள் மற்றும் தகவல் தொழில்நுட்ப வல்லுநர்களுக்கு இடையேயான உற்பத்தி தொடர்பு என்பது கணினியை வலியற்ற முறையில் செயல்படுத்துவதற்கான முக்கியமான நிபந்தனைகளில் ஒன்றாகும். பிந்தையவர்கள் விரோதத்துடன் ஒருங்கிணைப்பதை உணர்ந்தால், தகவல் தொழில்நுட்பத் துறைக்கு தீர்வு எவ்வாறு பயனுள்ளதாக இருக்கும் என்பதை அவர்களுக்கு விளக்குவது மதிப்பு.
சிறந்த 5 சிஸ்கோ ISE பயன்பாட்டு வழக்குகள்
எங்கள் அனுபவத்தில், கணினியின் தேவையான செயல்பாடும் பைலட் சோதனை கட்டத்தில் அடையாளம் காணப்பட்டுள்ளது. தீர்வுக்கான மிகவும் பிரபலமான மற்றும் குறைவான பொதுவான பயன்பாட்டு வழக்குகள் கீழே உள்ளன.
EAP-TLS உடன் கம்பி வழியாக LAN அணுகலைப் பாதுகாக்கவும்
எங்கள் பெண்டெஸ்டர்களின் ஆராய்ச்சியின் முடிவுகள் காட்டுவது போல், அடிக்கடி ஒரு நிறுவனத்தின் நெட்வொர்க்கில் ஊடுருவ, தாக்குதல் நடத்துபவர்கள் அச்சுப்பொறிகள், தொலைபேசிகள், IP கேமராக்கள், Wi-Fi புள்ளிகள் மற்றும் பிற தனிப்பட்ட நெட்வொர்க் சாதனங்கள் இணைக்கப்பட்டிருக்கும் சாதாரண சாக்கெட்டுகளைப் பயன்படுத்துகின்றனர். எனவே, நெட்வொர்க் அணுகல் dot1x தொழில்நுட்பத்தை அடிப்படையாகக் கொண்டிருந்தாலும், பயனர் அங்கீகாரச் சான்றிதழ்களைப் பயன்படுத்தாமல் மாற்று நெறிமுறைகள் பயன்படுத்தப்பட்டாலும், அமர்வு இடைமறிப்பு மற்றும் முரட்டுத்தனமான கடவுச்சொற்கள் மூலம் வெற்றிகரமான தாக்குதலுக்கான அதிக நிகழ்தகவு உள்ளது. Cisco ISE ஐப் பொறுத்தவரை, ஒரு சான்றிதழைத் திருடுவது மிகவும் கடினமாக இருக்கும் - இதற்காக, ஹேக்கர்களுக்கு அதிக கணினி சக்தி தேவைப்படும், எனவே இந்த வழக்கு மிகவும் பயனுள்ளதாக இருக்கும்.
இரட்டை-SSID வயர்லெஸ் அணுகல்
இந்த சூழ்நிலையின் சாராம்சம் 2 பிணைய அடையாளங்காட்டிகளை (SSIDகள்) பயன்படுத்துவதாகும். அவர்களில் ஒருவரை நிபந்தனையுடன் "விருந்தினர்" என்று அழைக்கலாம். இதன் மூலம், விருந்தினர்கள் மற்றும் நிறுவன ஊழியர்கள் இருவரும் வயர்லெஸ் நெட்வொர்க்கை அணுகலாம். அவர்கள் இணைக்க முயற்சிக்கும்போது, பிந்தையது ஒரு சிறப்பு போர்ட்டலுக்கு திருப்பி விடப்படும், அங்கு வழங்குதல் நடைபெறுகிறது. அதாவது, பயனருக்கு ஒரு சான்றிதழ் வழங்கப்படுகிறது மற்றும் அவரது தனிப்பட்ட சாதனம் தானாகவே இரண்டாவது SSID உடன் மீண்டும் இணைக்க கட்டமைக்கப்பட்டுள்ளது, இது ஏற்கனவே முதல் வழக்கின் அனைத்து நன்மைகளுடன் EAP-TLS ஐப் பயன்படுத்துகிறது.
MAC அங்கீகரிப்பு பைபாஸ் மற்றும் விவரக்குறிப்பு
இணைக்கப்பட்டுள்ள சாதனத்தின் வகையைத் தானாகக் கண்டறிந்து அதற்கு சரியான கட்டுப்பாடுகளைப் பயன்படுத்துவது மற்றொரு பிரபலமான பயன்பாட்டு வழக்கு. அவர் ஏன் சுவாரஸ்யமானவர்? உண்மை என்னவென்றால், 802.1X நெறிமுறையைப் பயன்படுத்தி அங்கீகாரத்தை ஆதரிக்காத சாதனங்கள் இன்னும் நிறைய உள்ளன. எனவே, அத்தகைய சாதனங்கள் MAC முகவரியைப் பயன்படுத்தி பிணையத்தில் அனுமதிக்கப்பட வேண்டும், இது போலியானது மிகவும் எளிதானது. இங்குதான் சிஸ்கோ ஐஎஸ்இ மீட்புக்கு வருகிறது: கணினியின் உதவியுடன், நெட்வொர்க்கில் ஒரு சாதனம் எவ்வாறு செயல்படுகிறது என்பதை நீங்கள் பார்க்கலாம், அதன் சுயவிவரத்தை உருவாக்கி அதை பிற சாதனங்களின் குழுவிற்கு ஒதுக்கலாம், எடுத்துக்காட்டாக, ஒரு ஐபி தொலைபேசி மற்றும் பணிநிலையம் . தாக்குபவர் MAC முகவரியை ஏமாற்றி நெட்வொர்க்குடன் இணைக்க முயற்சித்தால், சாதனத்தின் சுயவிவரம் மாறியிருப்பதை கணினி பார்க்கும், சந்தேகத்திற்குரிய நடத்தை சமிக்ஞை செய்யும் மற்றும் சந்தேகத்திற்குரிய பயனரை நெட்வொர்க்கில் அனுமதிக்காது.
EAP-செயினிங்
EAP-செயினிங் தொழில்நுட்பமானது, இயங்கும் PC மற்றும் பயனர் கணக்கின் வரிசைமுறை அங்கீகாரத்தை உள்ளடக்கியது. இந்த வழக்கு பரவலாகிவிட்டதால்... பல நிறுவனங்கள் இன்னும் ஊழியர்களின் தனிப்பட்ட கேஜெட்களை கார்ப்பரேட் LAN உடன் இணைப்பதை ஊக்குவிக்கவில்லை. அங்கீகாரத்திற்கான இந்த அணுகுமுறையைப் பயன்படுத்தி, ஒரு குறிப்பிட்ட பணிநிலையம் டொமைனில் உறுப்பினரா என்பதைச் சரிபார்க்க முடியும், மேலும் முடிவு எதிர்மறையாக இருந்தால், பயனர் பிணையத்திற்குள் அனுமதிக்கப்படமாட்டார், அல்லது நுழைய முடியும், ஆனால் உறுதியாக கட்டுப்பாடுகள்.
தோரணையிடுதல்
இந்த வழக்கு, தகவல் பாதுகாப்பு தேவைகளுடன் பணிநிலைய மென்பொருளின் இணக்கத்தை மதிப்பிடுவது பற்றியது. இந்த தொழில்நுட்பத்தைப் பயன்படுத்தி, பணிநிலையத்தில் உள்ள மென்பொருள் புதுப்பிக்கப்பட்டுள்ளதா, அதில் பாதுகாப்பு நடவடிக்கைகள் நிறுவப்பட்டுள்ளதா, ஹோஸ்ட் ஃபயர்வால் உள்ளமைக்கப்பட்டுள்ளதா போன்றவற்றை நீங்கள் சரிபார்க்கலாம். சுவாரஸ்யமாக, இந்த தொழில்நுட்பம் பாதுகாப்புடன் தொடர்புடைய பிற பணிகளைத் தீர்க்க உங்களை அனுமதிக்கிறது, எடுத்துக்காட்டாக, தேவையான கோப்புகள் இருப்பதைச் சரிபார்த்தல் அல்லது கணினி அளவிலான மென்பொருளை நிறுவுதல்.
Cisco ISEக்கான குறைவான பொதுவான பயன்பாட்டு நிகழ்வுகளில் எண்ட்-டு-எண்ட் டொமைன் அங்கீகாரத்துடன் அணுகல் கட்டுப்பாடு (செயலற்ற ஐடி), SGT-அடிப்படையிலான மைக்ரோ-பிரிவு மற்றும் வடிகட்டுதல், அத்துடன் மொபைல் சாதன மேலாண்மை (MDM) அமைப்புகள் மற்றும் பாதிப்பு ஸ்கேனர்களுடன் ஒருங்கிணைப்பு ஆகியவை அடங்கும்.
தரமற்ற திட்டங்கள்: உங்களுக்கு வேறு ஏன் சிஸ்கோ ISE தேவைப்படலாம் அல்லது எங்கள் நடைமுறையில் இருந்து 3 அரிதான நிகழ்வுகள்
லினக்ஸ் அடிப்படையிலான சேவையகங்களுக்கான அணுகல் கட்டுப்பாடு
ஏற்கனவே சிஸ்கோ ஐஎஸ்இ அமைப்பைச் செயல்படுத்திய வாடிக்கையாளர்களில் ஒருவருக்காக நாங்கள் மிகவும் அற்பமான வழக்கைத் தீர்த்துவிட்டோம்: லினக்ஸ் நிறுவப்பட்ட சர்வர்களில் பயனர் செயல்களை (பெரும்பாலும் நிர்வாகிகள்) கட்டுப்படுத்த ஒரு வழியைக் கண்டுபிடிக்க வேண்டும். பதிலைத் தேடி, இலவச PAM ரேடியஸ் மாட்யூல் மென்பொருளைப் பயன்படுத்துவதற்கான யோசனையை நாங்கள் கொண்டு வந்தோம், இது வெளிப்புற ஆரம் சர்வரில் அங்கீகாரத்துடன் லினக்ஸ் இயங்கும் சேவையகங்களில் உள்நுழைய உங்களை அனுமதிக்கிறது. இந்த விஷயத்தில் எல்லாம் நன்றாக இருக்கும், ஒன்று "ஆனால்" இல்லாவிட்டாலும்: ரேடியஸ் சர்வர், அங்கீகார கோரிக்கைக்கு பதிலை அனுப்புகிறது, கணக்கின் பெயரையும் முடிவையும் மட்டுமே தருகிறது - ஏற்றுக்கொள்ளப்பட்டது அல்லது மதிப்பீடு நிராகரிக்கப்பட்டது. இதற்கிடையில், லினக்ஸில் அங்கீகாரத்திற்காக, நீங்கள் குறைந்தபட்சம் இன்னும் ஒரு அளவுருவை ஒதுக்க வேண்டும் - முகப்பு அடைவு, இதனால் பயனர் குறைந்தபட்சம் எங்காவது பெறுவார். இதை ஆரம் பண்புக்கூறாக வழங்குவதற்கான வழியை நாங்கள் கண்டுபிடிக்கவில்லை, எனவே ஹோஸ்ட்களில் தொலைவிலிருந்து கணக்குகளை அரை தானியங்கி முறையில் உருவாக்குவதற்கான சிறப்பு ஸ்கிரிப்டை நாங்கள் எழுதினோம். நிர்வாகி கணக்குகளை நாங்கள் கையாள்வதால், இந்த பணி மிகவும் சாத்தியமானது, அவற்றின் எண்ணிக்கை அவ்வளவு பெரியதாக இல்லை. அடுத்து, பயனர்கள் தேவையான சாதனத்தில் உள்நுழைந்தனர், அதன் பிறகு அவர்களுக்கு தேவையான அணுகல் ஒதுக்கப்பட்டது. ஒரு நியாயமான கேள்வி எழுகிறது: இதுபோன்ற சந்தர்ப்பங்களில் சிஸ்கோ ISE ஐப் பயன்படுத்துவது அவசியமா? உண்மையில், இல்லை - எந்த ஆரம் சர்வரும் செய்யும், ஆனால் வாடிக்கையாளரிடம் ஏற்கனவே இந்த அமைப்பு இருப்பதால், நாங்கள் அதில் ஒரு புதிய அம்சத்தைச் சேர்த்துள்ளோம்.
LAN இல் வன்பொருள் மற்றும் மென்பொருளின் இருப்பு
பூர்வாங்க "பைலட்" இல்லாமல் ஒரு வாடிக்கையாளருக்கு சிஸ்கோ ISE ஐ வழங்குவதற்கான திட்டத்தில் ஒருமுறை நாங்கள் வேலை செய்தோம். தீர்வுக்கான தெளிவான தேவைகள் எதுவும் இல்லை, மேலும் நாங்கள் ஒரு தட்டையான, பிரிக்கப்படாத நெட்வொர்க்கைக் கையாளுகிறோம், இது எங்கள் பணியை சிக்கலாக்கியது. திட்டத்தின் போது, நெட்வொர்க் ஆதரிக்கும் அனைத்து சாத்தியமான விவரக்குறிப்பு முறைகளையும் நாங்கள் உள்ளமைத்தோம்: NetFlow, DHCP, SNMP, AD ஒருங்கிணைப்பு போன்றவை. இதன் விளைவாக, அங்கீகாரம் தோல்வியுற்றால் பிணையத்தில் உள்நுழையும் திறனுடன் MAR அணுகல் கட்டமைக்கப்பட்டது. அதாவது, அங்கீகாரம் வெற்றிகரமாக இல்லாவிட்டாலும், கணினி பயனரை நெட்வொர்க்கில் அனுமதிக்கும், அவரைப் பற்றிய தகவல்களைச் சேகரித்து அதை ISE தரவுத்தளத்தில் பதிவு செய்யும். பல வாரங்களில் இந்த நெட்வொர்க் கண்காணிப்பு இணைக்கப்பட்ட அமைப்புகள் மற்றும் தனிப்பட்ட சாதனங்கள் அல்லாதவற்றைக் கண்டறிந்து அவற்றைப் பிரிப்பதற்கான அணுகுமுறையை உருவாக்க எங்களுக்கு உதவியது. இதற்குப் பிறகு, பணிநிலையங்களில் நிறுவப்பட்ட மென்பொருளைப் பற்றிய தகவல்களைச் சேகரிப்பதற்காக, முகவரை நிறுவும் வகையில் இடுகையிடலை உள்ளமைத்தோம். விளைவு என்ன? நெட்வொர்க்கைப் பிரித்து, பணிநிலையங்களில் இருந்து அகற்ற வேண்டிய மென்பொருளின் பட்டியலைத் தீர்மானிக்க முடிந்தது. பயனர்களை டொமைன் குழுக்களாக விநியோகிப்பது மற்றும் அணுகல் உரிமைகளை வரையறுப்பது போன்ற கூடுதல் பணிகள் எங்களுக்கு நிறைய நேரம் எடுத்தது என்பதை நான் மறைக்க மாட்டேன், ஆனால் இந்த வழியில் வாடிக்கையாளர் நெட்வொர்க்கில் என்ன வன்பொருள் வைத்திருந்தார் என்ற முழுமையான படத்தைப் பெற்றோம். மூலம், பெட்டியின் வெளியே விவரக்குறிப்பு நல்ல வேலை காரணமாக இது கடினமாக இல்லை. சரி, விவரக்குறிப்பு உதவாத இடத்தில், உபகரணங்கள் இணைக்கப்பட்ட சுவிட்ச் போர்ட்டை முன்னிலைப்படுத்தி, நம்மை நாமே பார்த்தோம்.
பணிநிலையங்களில் மென்பொருளின் தொலைநிலை நிறுவல்
இந்த வழக்கு என் நடைமுறையில் விசித்திரமான ஒன்றாகும். ஒரு நாள், ஒரு வாடிக்கையாளர் உதவிக்காக அழுகையுடன் எங்களிடம் வந்தார் - சிஸ்கோ ISE ஐ செயல்படுத்தும்போது ஏதோ தவறு ஏற்பட்டது, எல்லாம் உடைந்தது, வேறு யாரும் நெட்வொர்க்கை அணுக முடியாது. நாங்கள் அதைப் பார்க்க ஆரம்பித்தோம், பின்வருவனவற்றைக் கண்டுபிடித்தோம். நிறுவனத்தில் 2000 கணினிகள் இருந்தன, அவை டொமைன் கன்ட்ரோலர் இல்லாத நிலையில், நிர்வாகி கணக்கின் கீழ் நிர்வகிக்கப்பட்டன. பியரிங் நோக்கத்திற்காக, அமைப்பு Cisco ISE ஐ செயல்படுத்தியது. ஏற்கனவே உள்ள கணினிகளில் வைரஸ் தடுப்பு நிறுவப்பட்டதா, மென்பொருள் சூழல் புதுப்பிக்கப்பட்டதா போன்றவற்றை எப்படியாவது புரிந்துகொள்வது அவசியம். ஐடி நிர்வாகிகள் நெட்வொர்க் உபகரணங்களை கணினியில் நிறுவியதால், அவர்களுக்கு அணுகல் இருந்தது தர்க்கரீதியானது. இது எவ்வாறு இயங்குகிறது என்பதைப் பார்த்ததும், அவர்களின் பிசிக்களை ஆடம்பரமாக்கியதும், நிர்வாகிகள் தனிப்பட்ட வருகைகள் இல்லாமல் தொலைதூரத்தில் பணியாளர் பணிநிலையங்களில் மென்பொருளை நிறுவும் யோசனைக்கு வந்தனர். இந்த வழியில் நீங்கள் ஒரு நாளைக்கு எத்தனை படிகளை சேமிக்க முடியும் என்று கற்பனை செய்து பாருங்கள்! C:Program Files கோப்பகத்தில் ஒரு குறிப்பிட்ட கோப்பு இருக்கிறதா என்று நிர்வாகிகள் பணிநிலையத்தின் பல சோதனைகளை மேற்கொண்டனர், அது இல்லாவிட்டால், நிறுவல் .exe கோப்பிற்கான கோப்பு சேமிப்பகத்திற்கு வழிவகுக்கும் இணைப்பைப் பின்பற்றுவதன் மூலம் தானியங்கி சரிசெய்தல் தொடங்கப்பட்டது. இது சாதாரண பயனர்கள் ஒரு கோப்பு பகிர்வுக்குச் சென்று தேவையான மென்பொருளை அங்கிருந்து பதிவிறக்கம் செய்ய அனுமதித்தது. துரதிர்ஷ்டவசமாக, நிர்வாகிக்கு ஐஎஸ்இ அமைப்பை நன்கு தெரியாது மற்றும் இடுகையிடும் வழிமுறைகளை சேதப்படுத்தினார் - அவர் கொள்கையை தவறாக எழுதினார், இது நாங்கள் தீர்க்கும் சிக்கலுக்கு வழிவகுத்தது. தனிப்பட்ட முறையில், இதுபோன்ற ஒரு ஆக்கப்பூர்வமான அணுகுமுறையால் நான் உண்மையிலேயே ஆச்சரியப்படுகிறேன், ஏனென்றால் டொமைன் கன்ட்ரோலரை உருவாக்குவது மிகவும் மலிவானது மற்றும் குறைவான உழைப்புச் செலவாகும். ஆனால் கருத்தின் ஆதாரமாக அது வேலை செய்தது.
எனது சக ஊழியரின் கட்டுரையில் Cisco ISE ஐ செயல்படுத்தும்போது ஏற்படும் தொழில்நுட்ப நுணுக்கங்களைப் பற்றி மேலும் படிக்கவும் .
ஆர்டெம் போப்ரிகோவ், ஜெட் இன்ஃபோசிஸ்டம்ஸில் உள்ள தகவல் பாதுகாப்பு மையத்தின் வடிவமைப்பு பொறியாளர்
பின்னுரை:
இந்த இடுகை சிஸ்கோ ஐஎஸ்இ அமைப்பைப் பற்றி பேசுகிறது என்ற போதிலும், விவரிக்கப்பட்டுள்ள சிக்கல்கள் NAC தீர்வுகளின் முழு வகுப்பிற்கும் பொருத்தமானவை. எந்த விற்பனையாளரின் தீர்வு செயல்படுத்த திட்டமிடப்பட்டுள்ளது என்பது அவ்வளவு முக்கியமல்ல - மேற்கூறியவற்றில் பெரும்பாலானவை பொருந்தும்.
ஆதாரம்: www.habr.com