Чӣ қадар вақт шумо чизеро ба таври худкор мехаред ва ба таблиғоти ҷолиб дучор мешавед ва он гоҳ ин ашёи аввалан дилхоҳ дар ҷевон, анбор ё гараж чангро ҷамъ мекунад, то тозакунӣ ё ҳаракати баҳори оянда? Дар натиҷа ноумедӣ аз интизориҳои беасос ва пул сарфшуда аст. Вақте ки ин бо тиҷорат рӯй медиҳад, хеле бадтар аст. Бисёр вақт ҳиллаҳои маркетингӣ он қадар хубанд, ки ширкатҳо бидуни дидани тасвири пурраи татбиқи он ҳалли гаронбаҳоро мехаранд. Дар ҳамин ҳол, санҷиши озмоишии система барои фаҳмидани он, ки инфрасохторро барои ҳамгироӣ чӣ гуна омода кардан лозим аст, кадом функсияҳо ва то чӣ андоза бояд амалӣ карда шаванд. Бо ин роҳ шумо метавонед аз шумораи зиёди мушкилот бо сабаби интихоби маҳсулот "кӯрона" канорагирӣ кунед. Илова бар ин, татбиқи пас аз як "пилот" босалоҳият ба муҳандисон ҳуҷайраҳои асаб ва мӯйҳои хокистарии камтар харобшударо меорад. Биёед бифаҳмем, ки чаро санҷиши озмоишӣ барои лоиҳаи бомуваффақият ин қадар муҳим аст, бо истифода аз мисоли воситаи маъмули назорати дастрасӣ ба шабакаи корпоративӣ - Cisco ISE. Биёед вариантҳои стандартӣ ва комилан ғайристандартиро барои истифодаи ҳалли ҳалли он, ки мо дар амалияи худ дучор шудаем, баррасӣ кунем.
Cisco ISE - "Сервери радиус дар стероидҳо"
Cisco Identity Services Engine (ISE) платформа барои эҷоди системаи назорати дастрасӣ барои шабакаи маҳаллии созмон мебошад. Дар ҷомеаи коршиносон, маҳсулот бо лақаби "Сервери Радиус дар стероидҳо" барои хосиятҳои он буд. Барои чӣ ин? Аслан, ҳалли ин сервери Radius мебошад, ки ба он шумораи зиёди хидматҳо ва "ҳиллаҳои" иловагӣ замима шудаанд, ки ба шумо имкон медиҳад, ки миқдори зиёди иттилооти контекстӣ гиред ва маҷмӯи маълумотро дар сиёсати дастрасӣ татбиқ кунед.
Мисли ҳама гуна серверҳои дигари Radius, Cisco ISE бо таҷҳизоти шабакавии сатҳи дастрасӣ ҳамкорӣ мекунад, маълумотро дар бораи ҳама кӯшишҳои пайвастшавӣ ба шабакаи корпоративӣ ҷамъоварӣ мекунад ва дар асоси сиёсати аутентификатсия ва авторизатсия ба корбарон иҷозат медиҳад ё онро рад мекунад. Бо вуҷуди ин, имконияти профилсозӣ, ҷойгиркунӣ ва ҳамгироӣ бо дигар қарорҳои амнияти иттилоотӣ имкон медиҳад, ки мантиқи сиёсати авторизатсия ба таври назаррас мураккаб гардад ва ба ин васила мушкилоти хеле душвор ва ҷолиб ҳал карда шавад.
Татбиқро озмоиш кардан мумкин нест: чаро ба шумо санҷиш лозим аст?
Арзиши озмоиши озмоишӣ нишон додани тамоми қобилиятҳои система дар инфрасохтори мушаххаси ташкилоти мушаххас мебошад. Ман боварӣ дорам, ки озмоиши Cisco ISE пеш аз татбиқ ба ҳамаи иштирокчиёни лоиҳа фоида меорад ва ин аст, ки чаро.
Ин ба интеграторҳо дар бораи интизориҳои муштарӣ тасаввуроти возеҳ медиҳад ва барои эҷоди як мушаххасоти техникии дуруст кӯмак мекунад, ки нисбат ба ибораи маъмулии "боварӣ ҳосил кунед, ки ҳама чиз хуб аст" тафсилоти бештарро дар бар мегирад. «Лётчик» ба мо имкон медихад, ки тамоми дарди муштариро хис кунем, фахмем, ки кадом вазифахо барои у авлавият доранду кадомашон дуюмдарача мебошанд. Барои мо, ин як имконияти хубест барои пешакӣ муайян кардани он, ки кадом таҷҳизот дар созмон истифода мешавад, татбиқ чӣ гуна сурат мегирад, дар кадом сайтҳо, дар куҷо ҷойгиранд ва ғайра.
Ҳангоми санҷиши озмоишӣ, муштариён системаи воқеиро дар амал мебинанд, бо интерфейси он шинос мешаванд, метавонанд тафтиш кунанд, ки оё он бо сахтафзорҳои мавҷудаи онҳо мувофиқат мекунад ва дарки ҳамаҷониба дар бораи он, ки пас аз татбиқи пурра чӣ кор хоҳад кард. "Пилот" маҳз лаҳзаест, ки шумо метавонед ҳамаи домҳоеро, ки ҳангоми ҳамгироӣ дучор мешавед, бубинед ва муайян кунед, ки чанд литсензия харидан лозим аст.
Ҳангоми "пилот" чӣ метавонад "поп шавад"
Пас, чӣ гуна шумо барои татбиқи Cisco ISE дуруст омода мешавед? Аз таҷрибаи худ, мо 4 нуқтаи асосиро ҳисоб кардем, ки ҳангоми санҷиши озмоишии система муҳиманд.
Фактор
Аввалан, шумо бояд муайян кунед, ки дар кадом омили шакл система татбиқ карда мешавад: сатҳи физикӣ ё виртуалӣ. Ҳар як вариант афзалиятҳо ва нуқсонҳо дорад. Масалан, қувваи болоии физикӣ иҷрои пешгӯии он аст, аммо мо набояд фаромӯш кунем, ки чунин дастгоҳҳо бо мурури замон кӯҳна мешаванд. Сатҳи виртуалӣ камтар пешгӯишаванда аст, зеро ... аз сахтафзоре вобаста аст, ки дар он муҳити виртуализатсия ҷойгир карда шудааст, аммо онҳо бартарии ҷиддӣ доранд: агар дастгирӣ дастрас бошад, онҳо ҳамеша метавонанд ба версияи охирин нав карда шаванд.
Оё таҷҳизоти шабакаи шумо бо Cisco ISE мувофиқ аст?
Албатта, сенарияи идеалӣ ин аст, ки ҳама таҷҳизот якбора ба система пайваст карда шаванд. Аммо, ин на ҳамеша имконпазир аст, зеро бисёре аз созмонҳо то ҳол коммутаторҳо ё коммутаторҳои идоранашавандаро истифода мебаранд, ки баъзе технологияҳои Cisco ISE-ро дастгирӣ намекунанд. Дар омади гап, мо на танҳо дар бораи коммутаторҳо сухан меронем, он инчунин метавонад контроллерҳои шабакаи бесим, консентратҳои VPN ва ҳама гуна таҷҳизоти дигаре бошад, ки корбарон ба онҳо пайваст мешаванд. Дар таҷрибаи ман, ҳолатҳое буданд, ки пас аз намоиш додани система барои татбиқи пурра, фармоишгар қариб тамоми парки гузаришҳои сатҳи дастрасиро ба таҷҳизоти муосири Cisco такмил дод. Барои роҳ надодан ба ногаҳонӣ ногувор, зарур аст, ки пешакӣ таносуби таҷҳизоти дастгирӣнашавандаро муайян кунед.
Оё ҳама дастгоҳҳои шумо стандартӣ ҳастанд?
Ҳар як шабака дорои дастгоҳҳои маъмулӣ мебошад, ки пайвастшавӣ ба онҳо набояд душвор бошад: истгоҳҳои корӣ, телефонҳои IP, нуқтаҳои дастрасии Wi-Fi, камераҳои видеоӣ ва ғайра. Аммо чунин мешавад, ки дастгоҳҳои ғайристандартӣ бояд ба шабакаи LAN пайваст карда шаванд, масалан, табдилдиҳандаҳои сигнали автобуси RS232/Ethernet, интерфейсҳои таъминоти барқии бефосила, таҷҳизоти гуногуни технологӣ ва ғайра Муҳим аст, ки рӯйхати чунин дастгоҳҳоро пешакӣ муайян кунед. , ба тавре ки дар марҳилаи татбиқ шумо аллакай фаҳмед, ки чӣ гуна онҳо бо Cisco ISE кор мекунанд.
Муколамаи созанда бо мутахассисони IT
Мизоҷони Cisco ISE аксар вақт шӯъбаҳои амниятӣ мебошанд, дар ҳоле ки шӯъбаҳои IT одатан барои танзими коммутаторҳои қабати дастрасӣ ва Directory Active масъуланд. Аз ин рӯ, ҳамкории самаранок байни мутахассисони амният ва мутахассисони IT яке аз шартҳои муҳими татбиқи бедарди система мебошад. Агар охирин ҳамгироиро бо душманӣ дарк кунанд, ба онҳо фаҳмондан лозим аст, ки ҳалли он барои шӯъбаи IT чӣ гуна муфид хоҳад буд.
Беҳтарин 5 ҳолатҳои истифодаи Cisco ISE
Дар таҷрибаи мо, функсияҳои зарурии система инчунин дар марҳилаи санҷиши озмоишӣ муайян карда мешаванд. Дар зер баъзе ҳолатҳои маъмултарин ва камтар маъмул барои ҳалли онҳо ҳастанд.
Дастрасии бехатари LAN тавассути сим бо EAP-TLS
Тавре ки натиҷаҳои тадқиқоти пентестерҳои мо нишон медиҳанд, аксар вақт барои ворид шудан ба шабакаи ширкат, ҳамлагарон аз розеткаҳои оддӣ истифода мебаранд, ки ба онҳо принтерҳо, телефонҳо, камераҳои IP, нуқтаҳои Wi-Fi ва дигар дастгоҳҳои шабакавии ғайришахсӣ пайваст карда шудаанд. Аз ин рӯ, ҳатто агар дастрасӣ ба шабака ба технологияи dot1x асос ёбад, аммо протоколҳои алтернативӣ бидуни истифодаи шаҳодатномаҳои аутентификатсияи корбарон истифода мешаванд, эҳтимоли баланди ҳамлаи муваффақ бо боздоштани сессия ва паролҳои бераҳмона вуҷуд дорад. Дар мавриди Cisco ISE, дуздидани шаҳодатнома хеле мушкилтар хоҳад буд - барои ин, ҳакерҳо қудрати бештари ҳисоббарориро талаб мекунанд, аз ин рӯ ин парванда хеле муассир аст.
Дастрасии бесими дугона-SSID
Моҳияти ин сенария истифодаи 2 идентификаторҳои шабакавӣ (SSIDs) мебошад. Яке аз онхоро шартан «мехмон» номидан мумкин аст. Тавассути он ҳам меҳмонон ва ҳам кормандони ширкат метавонанд ба шабакаи бесим дастрасӣ пайдо кунанд. Вақте ки онҳо кӯшиш мекунанд, ки пайваст шаванд, охирин ба портали махсус равона карда мешавад, ки дар он таъминкунӣ сурат мегирад. Яъне, ба корбар сертификат дода мешавад ва дастгоҳи шахсии ӯ ба таври худкор дубора ба SSID-и дуюм, ки аллакай EAP-TLS-ро бо тамоми бартариҳои парвандаи аввал истифода мебарад, танзим карда мешавад.
Параметри MAC аутентификатсия ва профилсозӣ
Миқдори дигари маъмули истифода ин аст, ки ба таври худкор навъи дастгоҳи пайвастшуда муайян карда шавад ва ба он маҳдудиятҳои дуруст татбиқ карда шаванд. Чаро ӯ ҷолиб аст? Далели он аст, ки ҳоло ҳам дастгоҳҳои зиёде мавҷуданд, ки аутентификатсияро бо истифода аз протоколи 802.1X дастгирӣ намекунанд. Аз ин рӯ, ин гуна дастгоҳҳоро бо истифода аз суроғаи MAC ба шабака иҷозат додан лозим аст, ки қалбакӣ кардан хеле осон аст. Ин аст, ки Cisco ISE ба наҷот меояд: бо ёрии система шумо метавонед бубинед, ки дастгоҳ дар шабака чӣ гуна рафтор мекунад, профили худро эҷод кунед ва онро ба як гурӯҳи дастгоҳҳои дигар, масалан, телефони IP ва истгоҳи корӣ таъин кунед. . Агар ҳамлакунанда кӯшиш кунад, ки суроғаи MAC-ро қаллобӣ кунад ва ба шабака пайваст шавад, система мебинад, ки профили дастгоҳ тағир ёфтааст, аз рафтори шубҳанок сигнал медиҳад ва корбари шубҳанокро ба шабака иҷозат намедиҳад.
EAP-занҷирбандӣ
Технологияи EAP-Chaining аутентификатсияи пайдарпайи компютери корӣ ва ҳисоби корбарро дар бар мегирад. Ин қазия паҳн шудааст, зеро... Бисёре аз ширкатҳо то ҳол пайваст кардани гаҷетҳои шахсии кормандонро ба LAN корпоративӣ ташвиқ намекунанд. Бо истифода аз ин равиши аутентификатсия, метавон тафтиш кард, ки оё як истгоҳи кории мушаххас узви домен аст ва агар натиҷа манфӣ бошад, корбар ё ба шабака иҷозат дода намешавад, ё имкони ворид шуданро дорад, аммо бо муайян маҳдудиятҳо.
Пойдоршавӣ
Ин парванда дар бораи арзёбии мутобиқати нармафзори истгоҳи корӣ ба талаботи амнияти иттилоотӣ мебошад. Бо истифода аз ин технология, шумо метавонед санҷед, ки оё нармафзор дар истгоҳи корӣ навсозӣ шудааст, оё дар он чораҳои амниятӣ насб шудаанд, оё девори мизбон танзим шудааст ва ғайра. Ҷолиб он аст, ки ин технология инчунин ба шумо имкон медиҳад, ки дигар вазифаҳои ба амният алоқамандро ҳал кунед, масалан, тафтиши мавҷудияти файлҳои зарурӣ ё насби нармафзори умумисистема.
Ҳолатҳои камтар маъмули истифодаи Cisco ISE иборатанд аз назорати дастрасӣ бо аутентификатсияи домени охири ба охир (ID-и пассив), сегментатсия ва филтр дар асоси SGT, инчунин ҳамгироӣ бо системаҳои идоракунии дастгоҳҳои мобилӣ (MDM) ва сканерҳои осебпазир.
Лоиҳаҳои ғайристандартӣ: чаро боз ба шумо Cisco ISE лозим аст ё 3 ҳолати нодир аз таҷрибаи мо
Назорати дастрасӣ ба серверҳои Linux
Вақте ки мо барои яке аз муштариёне, ки аллакай системаи Cisco ISE-ро амалӣ карда буд, як парвандаи хеле ночизро ҳал мекардем: ба мо лозим буд, ки роҳи идоракунии амалҳои корбаронро (асосан маъмурон) дар серверҳои Linux насбшударо пайдо кунем. Дар ҷустуҷӯи ҷавоб, мо идеяи истифодаи нармафзори ройгони PAM Radius Module пайдо кардем, ки ба шумо имкон медиҳад ба серверҳое, ки Linux кор мекунанд, бо аутентификатсия дар сервери радиуси беруна ворид шавед. Ҳама чиз дар ин маврид хуб мебуд, агар барои як "вале" набошад: сервери радиус, ки посух ба дархости аутентификатсияро мефиристад, танҳо номи ҳисоб ва натиҷаро медиҳад - қабулшударо арзёбӣ мекунад ё рад мекунад. Дар ҳамин ҳол, барои авторизатсия дар Linux, шумо бояд ҳадди аққал як параметри дигар таъин кунед - директорияи хонагӣ, то корбар ҳадди аққал ба ҷое биравад. Мо роҳи додани онро ҳамчун атрибути радиус пайдо накардем, аз ин рӯ мо скрипти махсусро барои аз фосилаи дур сохтани ҳисобҳо дар ҳостҳо дар реҷаи нимаавтоматӣ навиштем. Ин вазифа комилан иҷрошаванда буд, зеро мо бо ҳисобҳои маъмурӣ сару кор доштем, ки шумораи онҳо он қадар зиёд набуд. Баъдан, корбарон ба дастгоҳи зарурӣ ворид шуданд, ки пас аз он ба онҳо дастрасии зарурӣ дода шуд. Саволи оқилона ба миён меояд: оё дар чунин ҳолатҳо истифодаи Cisco ISE лозим аст? Дар асл, не - ягон сервери радиус кор мекунад, аммо азбаски муштарӣ аллакай ин системаро дошт, мо ба он танҳо як хусусияти нав илова кардем.
Инвентаризатсияи сахтафзор ва нармафзор дар LAN
Мо боре дар лоиҳаи таъмини Cisco ISE ба як муштарӣ бидуни "пилот"-и пешакӣ кор кардем. Талаботи аниќ барои ҳалли масъала вуҷуд надошт, илова бар ин, мо бо шабакаи ҳамвор ва сегментнашуда сару кор доштем, ки ин вазифаи моро душвор мегардонд. Дар давоми лоиҳа, мо ҳама усулҳои имконпазири профилаксияро танзим кардем, ки шабака дастгирӣ мекунад: NetFlow, DHCP, SNMP, ҳамгироии AD ва ғайра. Дар натиҷа, дастрасии MAR бо қобилияти ворид шудан ба шабака дар сурати нокомии аутентификатсия танзим карда шуд. Яъне, ҳатто агар аутентификатсия бомуваффақият набошад ҳам, система ба ҳар ҳол корбарро ба шабака иҷозат медод, маълумот дар бораи ӯ ҷамъоварӣ мекунад ва онро дар базаи ISE сабт мекунад. Ин мониторинги шабака дар тӯли чанд ҳафта ба мо дар муайян кардани системаҳои пайвастшуда ва дастгоҳҳои ғайришахсӣ ва таҳияи равиш барои сегменти онҳо кӯмак кард. Пас аз ин, мо ба таври илова интишори насби агентро дар истгоҳҳои корӣ танзим кардем, то маълумот дар бораи нармафзори дар онҳо насбшуда ҷамъоварӣ карда шавад. Оқибат чӣ мешавад? Мо тавонистем, ки шабакаро тақсим кунем ва рӯйхати нармафзореро, ки бояд аз истгоҳҳои корӣ хориҷ карда шаванд, муайян кунем. Пинҳон намекунам, ки вазифаҳои минбаъдаи тақсими корбарон ба гурӯҳҳои доменӣ ва муайян кардани ҳуқуқҳои дастрасӣ ба мо вақти зиёдеро талаб карданд, аммо бо ин роҳ мо тасаввуроти пурраи таҷҳизоти муштариро дар шабака гирифтем. Зимнан, ин аз сабаби кори хуби профилактикӣ аз қуттӣ душвор набуд. Хуб, дар он ҷое, ки профилсозӣ кӯмак накард, мо худамонро дида баромадем ва бандари коммутаторро, ки таҷҳизот ба он пайваст карда шудааст, қайд кардем.
Насби дурдасти нармафзор дар истгоҳҳои корӣ
Ин ҳолат яке аз аҷибтарин дар амалияи ман аст. Рӯзе як муштарӣ бо доду фиғон ба назди мо омад - ҳангоми татбиқи Cisco ISE чизе хато кард, ҳама чиз вайрон шуд ва ҳеҷ каси дигар ба шабака дастрасӣ пайдо карда натавонист. Мо ба он шурУъ карда, чунин фахмидем. Ширкат 2000 компютер дошт, ки дар сурати мавҷуд набудани контролери домен, онҳо таҳти ҳисоби администратор идора мешуданд. Бо мақсади ба назар гирифтан, ташкилот Cisco ISE-ро амалӣ намуд. Бояд фаҳмид, ки оё антивирус дар компютерҳои мавҷуда насб шудааст, оё муҳити нармафзор навсозӣ шудааст ва ғайра. Ва азбаски маъмурони IT таҷҳизоти шабакавиро дар система насб кардаанд, мантиқист, ки онҳо ба он дастрасӣ доштанд. Пас аз дидани он, ки он чӣ гуна кор мекунад ва компютерҳои худро ба кор андохтааст, маъмурон идеяи насб кардани нармафзорро дар истгоҳҳои кории кормандон ба таври фосилавӣ бидуни боздидҳои шахсӣ пайдо карданд. Танҳо тасаввур кунед, ки чӣ қадар қадамҳоро шумо метавонед дар як рӯз бо ин роҳ сарфа кунед! Маъмурон якчанд тафтиши истгоҳи кориро барои мавҷудияти файли мушаххас дар директорияи C:Program Files анҷом доданд ва агар он вуҷуд надошта бошад, ислоҳи худкор тавассути пайравӣ аз пайванде, ки ба нигаҳдории файл ба файли насби .exe мебарад, оғоз шуд. Ин ба корбарони оддӣ имкон дод, ки ба мубодилаи файл раванд ва аз он ҷо нармафзори заруриро зеркашӣ кунанд. Мутаассифона, администратор системаи ISE-ро хуб намедонист ва механизмҳои интишорро вайрон кардааст - вай сиёсатро нодуруст навиштааст, ки ин боиси мушкилоте гардид, ки мо дар ҳалли он иштирок кардем. Шахсан ман аз чунин муносибати эчодй самимона ба хайрат омадам, зеро сохтани домен контроллер хеле арзонтар ва мехнатталаб мебуд. Аммо ҳамчун далели консепсия он кор кард.
Дар бораи нозукиҳои техникӣ, ки ҳангоми татбиқи Cisco ISE ба вуҷуд меоянд, дар мақолаи ҳамтои ман бештар хонед. .
Артем Бобриков, муҳандиси конструктори Маркази амнияти иттилоотии Jet Infosystems
Пас аз он:
Сарфи назар аз он, ки ин мақола дар бораи системаи Cisco ISE сухан меравад, мушкилоти тавсифшуда барои тамоми синфи ҳалли NAC мувофиқанд. Муҳим нест, ки кадом ҳалли фурӯшанда барои татбиқ ба нақша гирифта шудааст - аксари гуфтаҳои дар боло зикршуда татбиқ мешаванд.
Манбаъ: will.com