మీరు ఎంత తరచుగా ఆకస్మికంగా ఏదైనా కొనుగోలు చేస్తారు, ఒక చల్లని ప్రకటనకు లొంగిపోతారు, ఆపై ఈ ప్రారంభంలో కోరుకున్న వస్తువు తదుపరి వసంతకాలం వరకు శుభ్రపరచడం లేదా తరలించడం వరకు ఒక గదిలో, చిన్నగది లేదా గ్యారేజీలో దుమ్మును సేకరిస్తుంది? అన్యాయమైన అంచనాలు మరియు వృధా డబ్బు కారణంగా నిరాశకు గురవుతారు. వ్యాపారానికి ఇది జరిగినప్పుడు ఇది చాలా ఘోరంగా ఉంటుంది. చాలా తరచుగా, మార్కెటింగ్ జిమ్మిక్కులు చాలా మంచివి, కంపెనీలు దాని అప్లికేషన్ యొక్క పూర్తి చిత్రాన్ని చూడకుండా ఖరీదైన పరిష్కారాన్ని కొనుగోలు చేస్తాయి. ఇంతలో, వ్యవస్థ యొక్క ట్రయల్ టెస్టింగ్ ఇంటిగ్రేషన్ కోసం మౌలిక సదుపాయాలను ఎలా సిద్ధం చేయాలో అర్థం చేసుకోవడానికి సహాయపడుతుంది, ఏ కార్యాచరణ మరియు ఏ మేరకు అమలు చేయాలి. ఈ విధంగా మీరు "గుడ్డిగా" ఉత్పత్తిని ఎంచుకోవడం వలన భారీ సంఖ్యలో సమస్యలను నివారించవచ్చు. అదనంగా, సమర్థ "పైలట్" తర్వాత అమలు ఇంజనీర్లను చాలా తక్కువ నాశనం చేసిన నరాల కణాలు మరియు బూడిద జుట్టును తెస్తుంది. కార్పొరేట్ నెట్వర్క్ - సిస్కో ISEకి ప్రాప్యతను నియంత్రించడానికి ప్రసిద్ధ సాధనం యొక్క ఉదాహరణను ఉపయోగించి, విజయవంతమైన ప్రాజెక్ట్ కోసం పైలట్ పరీక్ష ఎందుకు చాలా ముఖ్యమైనదో గుర్తించండి. మా ఆచరణలో మేము ఎదుర్కొన్న పరిష్కారాన్ని ఉపయోగించడం కోసం ప్రామాణిక మరియు పూర్తిగా ప్రామాణికం కాని ఎంపికలను పరిశీలిద్దాం.
సిస్కో ISE - “స్టెరాయిడ్స్పై వ్యాసార్థ సర్వర్”
సిస్కో ఐడెంటిటీ సర్వీసెస్ ఇంజిన్ (ISE) అనేది సంస్థ యొక్క లోకల్ ఏరియా నెట్వర్క్ కోసం యాక్సెస్ కంట్రోల్ సిస్టమ్ను రూపొందించడానికి ఒక వేదిక. నిపుణుల సంఘంలో, ఉత్పత్తి దాని లక్షణాల కోసం "స్టెరాయిడ్లపై రేడియస్ సర్వర్" అనే మారుపేరును కలిగి ఉంది. అది ఎందుకు? ముఖ్యంగా, పరిష్కారం వ్యాసార్థం సర్వర్, దీనికి భారీ సంఖ్యలో అదనపు సేవలు మరియు "ట్రిక్స్" జోడించబడ్డాయి, ఇది పెద్ద మొత్తంలో సందర్భోచిత సమాచారాన్ని స్వీకరించడానికి మరియు యాక్సెస్ విధానాలలో డేటా సెట్ను వర్తింపజేయడానికి మిమ్మల్ని అనుమతిస్తుంది.
ఇతర రేడియస్ సర్వర్ లాగా, Cisco ISE యాక్సెస్-స్థాయి నెట్వర్క్ పరికరాలతో పరస్పర చర్య చేస్తుంది, కార్పొరేట్ నెట్వర్క్కి కనెక్ట్ చేయడానికి అన్ని ప్రయత్నాల గురించి సమాచారాన్ని సేకరిస్తుంది మరియు ప్రామాణీకరణ మరియు అధికార విధానాల ఆధారంగా వినియోగదారులను LANకి అనుమతిస్తుంది లేదా తిరస్కరించింది. అయినప్పటికీ, ఇతర సమాచార భద్రతా పరిష్కారాలతో ప్రొఫైలింగ్, పోస్టింగ్ మరియు ఏకీకరణ యొక్క అవకాశం అధికార విధానం యొక్క తర్కాన్ని గణనీయంగా క్లిష్టతరం చేయడం మరియు తద్వారా చాలా కష్టమైన మరియు ఆసక్తికరమైన సమస్యలను పరిష్కరించడం సాధ్యం చేస్తుంది.
అమలును పైలట్ చేయడం సాధ్యం కాదు: మీకు పరీక్ష ఎందుకు అవసరం?
పైలట్ పరీక్ష యొక్క విలువ నిర్దిష్ట సంస్థ యొక్క నిర్దిష్ట అవస్థాపనలో సిస్టమ్ యొక్క అన్ని సామర్థ్యాలను ప్రదర్శించడం. అమలు చేయడానికి ముందు సిస్కో ISEని పైలట్ చేయడం ప్రాజెక్ట్లో పాల్గొన్న ప్రతి ఒక్కరికీ ప్రయోజనం చేకూరుస్తుందని నేను నమ్ముతున్నాను మరియు ఇక్కడ ఎందుకు ఉంది.
ఇది ఇంటిగ్రేటర్లకు కస్టమర్ అంచనాల గురించి స్పష్టమైన ఆలోచనను ఇస్తుంది మరియు “అంతా బాగానే ఉందని నిర్ధారించుకోండి” అనే సాధారణ పదబంధం కంటే చాలా ఎక్కువ వివరాలను కలిగి ఉన్న సరైన సాంకేతిక వివరణను రూపొందించడంలో సహాయపడుతుంది. "పైలట్" కస్టమర్ యొక్క అన్ని బాధలను అనుభవించడానికి అనుమతిస్తుంది, అతనికి ఏ పనులు ప్రాధాన్యతనిస్తాయో మరియు ఏది ద్వితీయమైనవి అని అర్థం చేసుకోవడానికి. మాకు, సంస్థలో ఏ పరికరాలు ఉపయోగించబడుతున్నాయో, అమలు ఎలా జరుగుతుందో, ఏ సైట్లలో, అవి ఎక్కడ ఉన్నాయి మొదలైనవాటిని ముందుగానే గుర్తించడానికి ఇది ఒక అద్భుతమైన అవకాశం.
పైలట్ టెస్టింగ్ సమయంలో, కస్టమర్లు నిజమైన సిస్టమ్ను చర్యలో చూస్తారు, దాని ఇంటర్ఫేస్తో పరిచయం పొందుతారు, ఇది వారి ప్రస్తుత హార్డ్వేర్తో అనుకూలంగా ఉందో లేదో తనిఖీ చేయవచ్చు మరియు పూర్తి అమలు తర్వాత పరిష్కారం ఎలా పని చేస్తుందనే దానిపై సమగ్ర అవగాహనను పొందవచ్చు. "పైలట్" అనేది ఏకీకరణ సమయంలో మీరు బహుశా ఎదుర్కొనే అన్ని ఆపదలను మీరు చూడగలిగే క్షణం మరియు మీరు ఎన్ని లైసెన్స్లను కొనుగోలు చేయాలో నిర్ణయించుకోండి.
“పైలట్” సమయంలో ఏమి “పాప్ అప్” చేయవచ్చు
కాబట్టి, సిస్కో ISEని అమలు చేయడానికి మీరు సరిగ్గా ఎలా సిద్ధం చేస్తారు? మా అనుభవం నుండి, సిస్టమ్ యొక్క పైలట్ పరీక్ష సమయంలో పరిగణించవలసిన ముఖ్యమైన 4 ప్రధాన అంశాలను మేము లెక్కించాము.
ఫారం కారకం
ముందుగా, సిస్టమ్ ఏ ఫారమ్ ఫ్యాక్టర్లో అమలు చేయబడుతుందో మీరు నిర్ణయించుకోవాలి: భౌతిక లేదా వర్చువల్ అప్లైన్. ప్రతి ఎంపికకు ప్రయోజనాలు మరియు అప్రయోజనాలు ఉన్నాయి. ఉదాహరణకు, ఫిజికల్ అప్లైన్ యొక్క బలం దాని ఊహాజనిత పనితీరు, కానీ అలాంటి పరికరాలు కాలక్రమేణా వాడుకలో లేవని మనం మర్చిపోకూడదు. వర్చువల్ అప్లైన్లు తక్కువ అంచనా వేయగలవు ఎందుకంటే... వర్చువలైజేషన్ ఎన్విరాన్మెంట్ అమలు చేయబడే హార్డ్వేర్పై ఆధారపడి ఉంటుంది, కానీ వాటికి తీవ్రమైన ప్రయోజనం ఉంది: మద్దతు అందుబాటులో ఉంటే, అవి ఎల్లప్పుడూ తాజా సంస్కరణకు నవీకరించబడతాయి.
మీ నెట్వర్క్ పరికరాలు సిస్కో ISEకి అనుకూలంగా ఉన్నాయా?
వాస్తవానికి, అన్ని పరికరాలను ఒకేసారి సిస్టమ్కు కనెక్ట్ చేయడం ఆదర్శవంతమైన దృశ్యం. అయినప్పటికీ, అనేక సంస్థలు ఇప్పటికీ నిర్వహించబడని స్విచ్లు లేదా సిస్కో ISEని అమలు చేసే కొన్ని సాంకేతికతలకు మద్దతు ఇవ్వని స్విచ్లను ఉపయోగిస్తున్నందున ఇది ఎల్లప్పుడూ సాధ్యం కాదు. మార్గం ద్వారా, మేము స్విచ్ల గురించి మాత్రమే మాట్లాడటం లేదు, ఇది వైర్లెస్ నెట్వర్క్ కంట్రోలర్లు, VPN కాన్సంట్రేటర్లు మరియు వినియోగదారులు కనెక్ట్ చేసే ఇతర పరికరాలు కూడా కావచ్చు. నా ఆచరణలో, పూర్తి అమలు కోసం సిస్టమ్ను ప్రదర్శించిన తర్వాత, కస్టమర్ దాదాపు మొత్తం ఫ్లీట్ యాక్సెస్ స్థాయి స్విచ్లను ఆధునిక సిస్కో పరికరాలకు అప్గ్రేడ్ చేసిన సందర్భాలు ఉన్నాయి. అసహ్యకరమైన ఆశ్చర్యాలను నివారించడానికి, మద్దతు లేని పరికరాల నిష్పత్తిని ముందుగానే కనుగొనడం విలువ.
మీ పరికరాలన్నీ ప్రామాణికంగా ఉన్నాయా?
ఏదైనా నెట్వర్క్ సాధారణ పరికరాలను కలిగి ఉంటుంది, వాటికి కనెక్ట్ చేయడం కష్టం కాదు: వర్క్స్టేషన్లు, IP ఫోన్లు, Wi-Fi యాక్సెస్ పాయింట్లు, వీడియో కెమెరాలు మొదలైనవి. కానీ ప్రామాణికం కాని పరికరాలను LANకి కనెక్ట్ చేయాల్సిన అవసరం ఉంది, ఉదాహరణకు, RS232/ఈథర్నెట్ బస్ సిగ్నల్ కన్వర్టర్లు, నిరంతర విద్యుత్ సరఫరా ఇంటర్ఫేస్లు, వివిధ సాంకేతిక పరికరాలు మొదలైనవి. అటువంటి పరికరాల జాబితాను ముందుగానే నిర్ణయించడం చాలా ముఖ్యం. , అమలు దశలో అవి Cisco ISEతో ఎంత సాంకేతికంగా పని చేస్తాయో మీకు ఇప్పటికే అవగాహన ఉంది.
IT నిపుణులతో నిర్మాణాత్మక సంభాషణ
Cisco ISE కస్టమర్లు తరచుగా భద్రతా విభాగాలుగా ఉంటారు, అయితే IT విభాగాలు సాధారణంగా యాక్సెస్ లేయర్ స్విచ్లు మరియు యాక్టివ్ డైరెక్టరీని కాన్ఫిగర్ చేయడానికి బాధ్యత వహిస్తాయి. అందువల్ల, భద్రతా నిపుణులు మరియు IT నిపుణుల మధ్య ఉత్పాదక పరస్పర చర్య అనేది సిస్టమ్ యొక్క నొప్పిలేకుండా అమలు చేయడానికి ముఖ్యమైన పరిస్థితులలో ఒకటి. రెండోది శత్రుత్వంతో ఏకీకరణను గ్రహించినట్లయితే, ఐటి విభాగానికి పరిష్కారం ఎలా ఉపయోగపడుతుందో వారికి వివరించడం విలువ.
టాప్ 5 సిస్కో ISE వినియోగ కేసులు
మా అనుభవంలో, సిస్టమ్ యొక్క అవసరమైన కార్యాచరణ కూడా పైలట్ పరీక్ష దశలో గుర్తించబడుతుంది. పరిష్కారం కోసం అత్యంత జనాదరణ పొందిన మరియు తక్కువ సాధారణ వినియోగ సందర్భాలు క్రింద ఉన్నాయి.
EAP-TLSతో వైర్ ద్వారా సురక్షిత LAN యాక్సెస్
మా పెంటెస్టర్ల పరిశోధన ఫలితాల ప్రకారం, కంపెనీ నెట్వర్క్లోకి చొచ్చుకుపోవడానికి చాలా తరచుగా, దాడి చేసేవారు ప్రింటర్లు, ఫోన్లు, IP కెమెరాలు, Wi-Fi పాయింట్లు మరియు ఇతర వ్యక్తిగతేతర నెట్వర్క్ పరికరాలు కనెక్ట్ చేయబడిన సాధారణ సాకెట్లను ఉపయోగిస్తారు. అందువల్ల, నెట్వర్క్ యాక్సెస్ dot1x సాంకేతికతపై ఆధారపడి ఉన్నప్పటికీ, వినియోగదారు ప్రామాణీకరణ సర్టిఫికేట్లను ఉపయోగించకుండా ప్రత్యామ్నాయ ప్రోటోకాల్లు ఉపయోగించినప్పటికీ, సెషన్ ఇంటర్సెప్షన్ మరియు బ్రూట్-ఫోర్స్ పాస్వర్డ్లతో విజయవంతమైన దాడికి అధిక సంభావ్యత ఉంది. సిస్కో ISE విషయంలో, సర్టిఫికేట్ను దొంగిలించడం చాలా కష్టంగా ఉంటుంది - దీని కోసం, హ్యాకర్లకు ఎక్కువ కంప్యూటింగ్ శక్తి అవసరం, కాబట్టి ఈ కేసు చాలా ప్రభావవంతంగా ఉంటుంది.
డ్యూయల్-SSID వైర్లెస్ యాక్సెస్
ఈ దృశ్యం యొక్క సారాంశం 2 నెట్వర్క్ ఐడెంటిఫైయర్లను (SSIDలు) ఉపయోగించడం. వాటిలో ఒకటి షరతులతో "అతిథి" అని పిలువబడుతుంది. దీని ద్వారా, అతిథులు మరియు కంపెనీ ఉద్యోగులు ఇద్దరూ వైర్లెస్ నెట్వర్క్ను యాక్సెస్ చేయవచ్చు. వారు కనెక్ట్ చేయడానికి ప్రయత్నించినప్పుడు, రెండోది ప్రత్యేక పోర్టల్కు దారి మళ్లించబడుతుంది, ఇక్కడ ప్రొవిజనింగ్ జరుగుతుంది. అంటే, వినియోగదారుకు ప్రమాణపత్రం జారీ చేయబడుతుంది మరియు అతని వ్యక్తిగత పరికరం రెండవ SSIDకి స్వయంచాలకంగా మళ్లీ కనెక్ట్ అయ్యేలా కాన్ఫిగర్ చేయబడింది, ఇది ఇప్పటికే మొదటి కేసు యొక్క అన్ని ప్రయోజనాలతో EAP-TLSని ఉపయోగిస్తుంది.
MAC ప్రమాణీకరణ బైపాస్ మరియు ప్రొఫైలింగ్
కనెక్ట్ చేయబడిన పరికరం రకాన్ని స్వయంచాలకంగా గుర్తించడం మరియు దానికి సరైన పరిమితులను వర్తింపజేయడం అనేది మరొక ప్రసిద్ధ వినియోగ సందర్భం. అతను ఎందుకు ఆసక్తికరంగా ఉన్నాడు? వాస్తవం ఏమిటంటే 802.1X ప్రోటోకాల్ని ఉపయోగించి ప్రమాణీకరణకు మద్దతు ఇవ్వని పరికరాలు ఇప్పటికీ చాలా ఉన్నాయి. అందువల్ల, అటువంటి పరికరాలను MAC చిరునామాను ఉపయోగించి నెట్వర్క్లోకి అనుమతించాలి, ఇది నకిలీకి చాలా సులభం. ఇక్కడే సిస్కో ISE రక్షణకు వస్తుంది: సిస్టమ్ సహాయంతో, పరికరం నెట్వర్క్లో ఎలా ప్రవర్తిస్తుందో మీరు చూడవచ్చు, దాని ప్రొఫైల్ను సృష్టించి, ఇతర పరికరాల సమూహానికి కేటాయించవచ్చు, ఉదాహరణకు, ఒక IP ఫోన్ మరియు వర్క్స్టేషన్ . దాడి చేసే వ్యక్తి MAC చిరునామాను మోసగించి నెట్వర్క్కి కనెక్ట్ చేయడానికి ప్రయత్నిస్తే, సిస్టమ్ పరికర ప్రొఫైల్ మారినట్లు చూస్తుంది, అనుమానాస్పద ప్రవర్తనను సూచిస్తుంది మరియు అనుమానాస్పద వినియోగదారుని నెట్వర్క్లోకి అనుమతించదు.
EAP-చైనింగ్
EAP-చైనింగ్ టెక్నాలజీ పని చేసే PC మరియు వినియోగదారు ఖాతా యొక్క సీక్వెన్షియల్ ప్రమాణీకరణను కలిగి ఉంటుంది. ఈ కేసు విస్తృతంగా వ్యాపించింది ఎందుకంటే... చాలా కంపెనీలు ఇప్పటికీ ఉద్యోగుల వ్యక్తిగత గాడ్జెట్లను కార్పొరేట్ LANకి కనెక్ట్ చేయడాన్ని ప్రోత్సహించడం లేదు. ప్రామాణీకరణకు ఈ విధానాన్ని ఉపయోగించి, నిర్దిష్ట వర్క్స్టేషన్ డొమైన్లో సభ్యునిగా ఉందో లేదో తనిఖీ చేయడం సాధ్యపడుతుంది మరియు ఫలితం ప్రతికూలంగా ఉంటే, వినియోగదారు నెట్వర్క్లోకి అనుమతించబడరు లేదా లాగిన్ చేయగలుగుతారు, కానీ దీనితో కొన్ని పరిమితులు.
భంగిమలు వేయడం
ఈ కేసు సమాచార భద్రతా అవసరాలతో వర్క్స్టేషన్ సాఫ్ట్వేర్ యొక్క సమ్మతిని అంచనా వేయడానికి సంబంధించినది. ఈ సాంకేతికతను ఉపయోగించి, మీరు వర్క్స్టేషన్లోని సాఫ్ట్వేర్ అప్డేట్ చేయబడిందా, దానిపై భద్రతా చర్యలు ఇన్స్టాల్ చేయబడిందా, హోస్ట్ ఫైర్వాల్ కాన్ఫిగర్ చేయబడిందా మొదలైనవి తనిఖీ చేయవచ్చు. ఆసక్తికరంగా, ఈ సాంకేతికత భద్రతకు సంబంధించిన ఇతర పనులను పరిష్కరించడానికి కూడా మిమ్మల్ని అనుమతిస్తుంది, ఉదాహరణకు, అవసరమైన ఫైల్ల ఉనికిని తనిఖీ చేయడం లేదా సిస్టమ్-వైడ్ సాఫ్ట్వేర్ను ఇన్స్టాల్ చేయడం.
Cisco ISE కోసం తక్కువ సాధారణ వినియోగ సందర్భాలలో ఎండ్-టు-ఎండ్ డొమైన్ ప్రామాణీకరణ (పాసివ్ ID), SGT-ఆధారిత మైక్రో-సెగ్మెంటేషన్ మరియు ఫిల్టరింగ్, అలాగే మొబైల్ పరికర నిర్వహణ (MDM) సిస్టమ్లు మరియు వల్నరబిలిటీ స్కానర్లతో కూడిన యాక్సెస్ నియంత్రణ ఉన్నాయి.
ప్రామాణికం కాని ప్రాజెక్ట్లు: మీకు ఇంకా ఎందుకు Cisco ISE అవసరం కావచ్చు లేదా మా అభ్యాసం నుండి 3 అరుదైన సందర్భాలు
Linux-ఆధారిత సర్వర్లకు యాక్సెస్ నియంత్రణ
Cisco ISE సిస్టమ్ను ఇప్పటికే అమలు చేసిన కస్టమర్లలో ఒకరి కోసం మేము ఒక చిన్నవిషయం కాని కేసును ఒకసారి పరిష్కరిస్తున్నాము: Linux ఇన్స్టాల్ చేయబడిన సర్వర్లలో వినియోగదారు చర్యలను (ఎక్కువగా నిర్వాహకులు) నియంత్రించడానికి మేము ఒక మార్గాన్ని కనుగొనవలసి ఉంటుంది. సమాధానం కోసం, మేము ఉచిత PAM రేడియస్ మాడ్యూల్ సాఫ్ట్వేర్ను ఉపయోగించాలనే ఆలోచనతో ముందుకు వచ్చాము, ఇది బాహ్య వ్యాసార్థం సర్వర్లో ప్రామాణీకరణతో Linux నడుస్తున్న సర్వర్లలోకి లాగిన్ అవ్వడానికి మిమ్మల్ని అనుమతిస్తుంది. ఒక “కానీ” కోసం కాకపోయినా ఈ విషయంలో అంతా బాగుంటుంది: వ్యాసార్థం సర్వర్, ప్రామాణీకరణ అభ్యర్థనకు ప్రతిస్పందనను పంపడం, ఖాతా పేరు మరియు ఫలితాన్ని మాత్రమే ఇస్తుంది - ఆమోదించబడిందని అంచనా వేయండి లేదా తిరస్కరించబడిందని అంచనా వేయండి. ఇంతలో, Linuxలో అధికారం కోసం, మీరు కనీసం ఒక పరామితిని కేటాయించాలి - హోమ్ డైరెక్టరీ, తద్వారా వినియోగదారు కనీసం ఎక్కడికైనా చేరుకుంటారు. మేము దీన్ని వ్యాసార్థ లక్షణంగా ఇవ్వడానికి మార్గం కనుగొనలేదు, కాబట్టి మేము సెమీ ఆటోమేటిక్ మోడ్లో హోస్ట్లపై రిమోట్గా ఖాతాలను సృష్టించడం కోసం ప్రత్యేక స్క్రిప్ట్ను వ్రాసాము. మేము అడ్మినిస్ట్రేటర్ ఖాతాలతో వ్యవహరిస్తున్నందున ఈ పని చాలా సాధ్యమే, వాటి సంఖ్య అంత పెద్దది కాదు. తరువాత, వినియోగదారులు అవసరమైన పరికరానికి లాగిన్ చేసారు, ఆ తర్వాత వారికి అవసరమైన యాక్సెస్ కేటాయించబడింది. ఒక సహేతుకమైన ప్రశ్న తలెత్తుతుంది: అటువంటి సందర్భాలలో సిస్కో ISEని ఉపయోగించడం అవసరమా? వాస్తవానికి, లేదు - ఏదైనా వ్యాసార్థం సర్వర్ చేస్తుంది, కానీ కస్టమర్ ఇప్పటికే ఈ సిస్టమ్ను కలిగి ఉన్నందున, మేము దానికి కొత్త ఫీచర్ని జోడించాము.
LANలో హార్డ్వేర్ మరియు సాఫ్ట్వేర్ ఇన్వెంటరీ
మేము ఒకసారి ప్రాథమిక "పైలట్" లేకుండా ఒక కస్టమర్కు సిస్కో ISEని సరఫరా చేసే ప్రాజెక్ట్లో పనిచేశాము. పరిష్కారం కోసం స్పష్టమైన అవసరాలు లేవు, అంతేకాకుండా మేము మా పనిని క్లిష్టతరం చేసిన ఫ్లాట్, నాన్-సెగ్మెంటెడ్ నెట్వర్క్తో వ్యవహరిస్తున్నాము. ప్రాజెక్ట్ సమయంలో, నెట్ఫ్లో, DHCP, SNMP, AD ఇంటిగ్రేషన్, మొదలైనవి: మేము నెట్వర్క్ మద్దతు ఇచ్చే అన్ని ప్రొఫైలింగ్ పద్ధతులను కాన్ఫిగర్ చేసాము. ఫలితంగా, ప్రామాణీకరణ విఫలమైతే నెట్వర్క్లోకి లాగిన్ చేసే సామర్థ్యంతో MAR యాక్సెస్ కాన్ఫిగర్ చేయబడింది. అంటే, ప్రామాణీకరణ విజయవంతం కాకపోయినా, సిస్టమ్ వినియోగదారుని నెట్వర్క్లోకి అనుమతించి, అతని గురించి సమాచారాన్ని సేకరించి ISE డేటాబేస్లో రికార్డ్ చేస్తుంది. అనేక వారాల పాటు ఈ నెట్వర్క్ పర్యవేక్షణ కనెక్ట్ చేయబడిన సిస్టమ్లను మరియు వ్యక్తిగతేతర పరికరాలను గుర్తించడంలో మరియు వాటిని విభజించడానికి ఒక విధానాన్ని అభివృద్ధి చేయడంలో మాకు సహాయపడింది. దీని తర్వాత, వర్క్స్టేషన్లలో ఇన్స్టాల్ చేయబడిన సాఫ్ట్వేర్ గురించిన సమాచారాన్ని సేకరించేందుకు, వాటిపై ఏజెంట్ను ఇన్స్టాల్ చేయడానికి మేము అదనంగా పోస్టింగ్ని కాన్ఫిగర్ చేసాము. ఫలితం ఏమిటి? మేము నెట్వర్క్ను విభజించగలిగాము మరియు వర్క్స్టేషన్ల నుండి తీసివేయవలసిన సాఫ్ట్వేర్ జాబితాను గుర్తించగలిగాము. వినియోగదారులను డొమైన్ సమూహాలలో పంపిణీ చేయడం మరియు యాక్సెస్ హక్కులను వివరించడం వంటి మరిన్ని పనులు మాకు చాలా సమయం పట్టిందని నేను దాచను, కానీ ఈ విధంగా కస్టమర్ నెట్వర్క్లో ఏ హార్డ్వేర్ కలిగి ఉన్నారనే దాని గురించి పూర్తి చిత్రాన్ని పొందాము. మార్గం ద్వారా, బాక్స్ వెలుపల ప్రొఫైలింగ్ యొక్క మంచి పని కారణంగా ఇది కష్టం కాదు. బాగా, ప్రొఫైలింగ్ సహాయం చేయని చోట, పరికరాలు కనెక్ట్ చేయబడిన స్విచ్ పోర్ట్ను హైలైట్ చేస్తూ, మనల్ని మనం చూసుకున్నాము.
వర్క్స్టేషన్లలో సాఫ్ట్వేర్ రిమోట్ ఇన్స్టాలేషన్
ఈ కేసు నా ఆచరణలో విచిత్రమైన వాటిలో ఒకటి. ఒక రోజు, ఒక కస్టమర్ సహాయం కోసం కేకలు వేస్తూ మా వద్దకు వచ్చారు - సిస్కో ISEని అమలు చేస్తున్నప్పుడు ఏదో తప్పు జరిగింది, ప్రతిదీ విరిగిపోయింది మరియు మరెవరూ నెట్వర్క్ను యాక్సెస్ చేయలేరు. మేము దానిని పరిశీలించడం ప్రారంభించాము మరియు ఈ క్రింది వాటిని కనుగొన్నాము. కంపెనీకి 2000 కంప్యూటర్లు ఉన్నాయి, డొమైన్ కంట్రోలర్ లేనప్పుడు, అడ్మినిస్ట్రేటర్ ఖాతా కింద నిర్వహించబడేవి. పీరింగ్ ప్రయోజనం కోసం, సంస్థ Cisco ISEని అమలు చేసింది. ఇప్పటికే ఉన్న PC లలో యాంటీవైరస్ ఇన్స్టాల్ చేయబడిందా, సాఫ్ట్వేర్ వాతావరణం అప్డేట్ చేయబడిందా మొదలైనవాటిని ఏదో ఒకవిధంగా అర్థం చేసుకోవడం అవసరం. మరియు IT నిర్వాహకులు సిస్టమ్లో నెట్వర్క్ పరికరాలను ఇన్స్టాల్ చేసినందున, వారు దానికి ప్రాప్యత కలిగి ఉండటం తార్కికం. ఇది ఎలా పని చేస్తుందో మరియు వారి PCలను పోషింగ్ చేసిన తర్వాత, నిర్వాహకులు వ్యక్తిగత సందర్శనలు లేకుండా రిమోట్గా ఉద్యోగుల వర్క్స్టేషన్లలో సాఫ్ట్వేర్ను ఇన్స్టాల్ చేయాలనే ఆలోచనతో వచ్చారు. ఈ విధంగా మీరు రోజుకు ఎన్ని దశలను ఆదా చేయవచ్చో ఊహించండి! నిర్వాహకులు సి:ప్రోగ్రామ్ ఫైల్స్ డైరెక్టరీలో నిర్దిష్ట ఫైల్ ఉనికి కోసం వర్క్స్టేషన్ యొక్క అనేక తనిఖీలను నిర్వహించారు మరియు అది లేనట్లయితే, ఇన్స్టాలేషన్ .exe ఫైల్కు ఫైల్ నిల్వకు దారితీసే లింక్ను అనుసరించడం ద్వారా ఆటోమేటిక్ రెమెడియేషన్ ప్రారంభించబడింది. ఇది సాధారణ వినియోగదారులు ఫైల్ షేరింగ్కి వెళ్లి అక్కడ నుండి అవసరమైన సాఫ్ట్వేర్ను డౌన్లోడ్ చేసుకోవడానికి అనుమతించింది. దురదృష్టవశాత్తు, నిర్వాహకుడికి ISE వ్యవస్థ గురించి బాగా తెలియదు మరియు పోస్టింగ్ మెకానిజమ్లను పాడు చేసాడు - అతను పాలసీని తప్పుగా వ్రాసాడు, ఇది మేము పరిష్కరించడంలో పాల్గొన్న సమస్యకు దారితీసింది. వ్యక్తిగతంగా, నేను అలాంటి సృజనాత్మక విధానాన్ని చూసి హృదయపూర్వకంగా ఆశ్చర్యపోతున్నాను, ఎందుకంటే డొమైన్ కంట్రోలర్ను సృష్టించడం చాలా చౌకగా మరియు తక్కువ శ్రమతో కూడుకున్నది. కానీ ప్రూఫ్ ఆఫ్ కాన్సెప్ట్గా అది పనిచేసింది.
నా సహోద్యోగి కథనంలో సిస్కో ISEని అమలు చేస్తున్నప్పుడు ఉత్పన్నమయ్యే సాంకేతిక సూక్ష్మ నైపుణ్యాల గురించి మరింత చదవండి .
ఆర్టెమ్ బోబ్రికోవ్, జెట్ ఇన్ఫోసిస్టమ్స్లోని ఇన్ఫర్మేషన్ సెక్యూరిటీ సెంటర్ డిజైన్ ఇంజనీర్
తరువాతి మాట:
ఈ పోస్ట్ సిస్కో ISE సిస్టమ్ గురించి మాట్లాడుతున్నప్పటికీ, వివరించిన సమస్యలు NAC పరిష్కారాల మొత్తం తరగతికి సంబంధించినవి. అమలు కోసం ఏ విక్రేత యొక్క పరిష్కారం ప్రణాళిక చేయబడిందనేది అంత ముఖ్యమైనది కాదు - పైన పేర్కొన్న వాటిలో చాలా వరకు వర్తిస్తాయి.
మూలం: www.habr.com