บ่อยแค่ไหนที่คุณซื้อของโดยบังเอิญและยอมจำนนต่อโฆษณาเจ๋งๆ จากนั้นสิ่งของที่ต้องการในตอนแรกนี้จะสะสมฝุ่นในตู้เสื้อผ้า ห้องเตรียมอาหาร หรือโรงรถ จนกว่าจะทำความสะอาดหรือย้ายในฤดูใบไม้ผลิครั้งถัดไป ผลลัพธ์ที่ได้คือความผิดหวังเนื่องจากความคาดหวังที่ไม่ยุติธรรมและการสูญเสียเงิน จะเลวร้ายกว่ามากเมื่อสิ่งนี้เกิดขึ้นกับธุรกิจ บ่อยครั้ง ลูกเล่นทางการตลาดเป็นสิ่งที่ดีมากจนบริษัทต่างๆ ซื้อโซลูชันราคาแพงโดยไม่เห็นภาพรวมของการใช้งาน ในขณะเดียวกัน การทดสอบทดลองระบบจะช่วยให้เข้าใจวิธีเตรียมโครงสร้างพื้นฐานสำหรับการบูรณาการ ฟังก์ชั่นการทำงานใด และควรนำไปใช้ในระดับใด วิธีนี้ทำให้คุณสามารถหลีกเลี่ยงปัญหามากมายเนื่องจากการเลือกผลิตภัณฑ์ "สุ่มสี่สุ่มห้า" นอกจากนี้การใช้งานหลังจาก "นักบิน" ที่มีความสามารถจะทำให้วิศวกรและผมหงอกถูกทำลายน้อยลงมาก มาดูกันว่าเหตุใดการทดสอบนำร่องจึงสำคัญมากสำหรับโครงการที่ประสบความสำเร็จ โดยใช้ตัวอย่างเครื่องมือยอดนิยมสำหรับควบคุมการเข้าถึงเครือข่ายองค์กร - Cisco ISE ลองพิจารณาตัวเลือกทั้งแบบมาตรฐานและแบบไม่มาตรฐานสำหรับการใช้โซลูชันที่เราพบในการปฏิบัติของเรา
Cisco ISE - “เซิร์ฟเวอร์ Radius บนสเตียรอยด์”
Cisco Identity Services Engine (ISE) เป็นแพลตฟอร์มสำหรับสร้างระบบควบคุมการเข้าถึงสำหรับเครือข่ายท้องถิ่นขององค์กร ในชุมชนผู้เชี่ยวชาญ ผลิตภัณฑ์นี้มีชื่อเล่นว่า “เซิร์ฟเวอร์ Radius บนสเตียรอยด์” สำหรับคุณสมบัติของมัน ทำไมเป็นเช่นนั้น? โดยพื้นฐานแล้ว โซลูชันคือเซิร์ฟเวอร์ Radius ที่มีการแนบบริการเพิ่มเติมและ "เคล็ดลับ" จำนวนมาก ช่วยให้คุณได้รับข้อมูลบริบทจำนวนมาก และใช้ชุดข้อมูลผลลัพธ์ในนโยบายการเข้าถึง
เช่นเดียวกับเซิร์ฟเวอร์ Radius อื่นๆ Cisco ISE โต้ตอบกับอุปกรณ์เครือข่ายระดับการเข้าถึง รวบรวมข้อมูลเกี่ยวกับความพยายามทั้งหมดในการเชื่อมต่อกับเครือข่ายองค์กร และอนุญาตหรือปฏิเสธผู้ใช้ใน LAN ตามนโยบายการรับรองความถูกต้องและการอนุญาต อย่างไรก็ตาม ความเป็นไปได้ของการจัดทำโปรไฟล์ การโพสต์ และการรวมเข้ากับโซลูชันการรักษาความปลอดภัยของข้อมูลอื่นๆ ทำให้ตรรกะของนโยบายการอนุญาตมีความซับซ้อนอย่างมาก และด้วยเหตุนี้จึงช่วยแก้ปัญหาที่ค่อนข้างยากและน่าสนใจได้
ไม่สามารถนำร่องการใช้งานได้: ทำไมคุณจึงต้องมีการทดสอบ
คุณค่าของการทดสอบนำร่องคือการแสดงให้เห็นถึงความสามารถทั้งหมดของระบบในโครงสร้างพื้นฐานเฉพาะขององค์กรเฉพาะ ฉันเชื่อว่าการนำ Cisco ISE ก่อนนำไปใช้จะเป็นประโยชน์ต่อทุกคนที่เกี่ยวข้องในโครงการ และนี่คือเหตุผล
สิ่งนี้ทำให้ผู้ประกอบระบบมีแนวคิดที่ชัดเจนเกี่ยวกับความคาดหวังของลูกค้า และช่วยสร้างข้อกำหนดทางเทคนิคที่ถูกต้องซึ่งมีรายละเอียดมากกว่าวลีทั่วไปที่ว่า “ตรวจสอบให้แน่ใจว่าทุกอย่างเรียบร้อยดี” “นักบิน” ช่วยให้เรารู้สึกถึงความเจ็บปวดของลูกค้า เพื่อทำความเข้าใจว่างานใดที่มีความสำคัญสำหรับเขาและงานใดรอง สำหรับเรา นี่เป็นโอกาสอันดีที่จะทราบล่วงหน้าว่าอุปกรณ์ใดบ้างที่ใช้ในองค์กร การใช้งานจะเกิดขึ้นอย่างไร ไซต์ใด พวกเขาอยู่ที่ไหน เป็นต้น
ในระหว่างการทดสอบนำร่อง ลูกค้าจะเห็นการทำงานของระบบจริง ทำความคุ้นเคยกับอินเทอร์เฟซ สามารถตรวจสอบได้ว่าระบบเข้ากันได้กับฮาร์ดแวร์ที่มีอยู่หรือไม่ และทำความเข้าใจแบบองค์รวมว่าโซลูชันจะทำงานอย่างไรหลังจากการใช้งานเต็มรูปแบบ “โปรแกรมนำร่อง” คือช่วงเวลาที่คุณจะเห็นข้อผิดพลาดทั้งหมดที่คุณอาจพบในระหว่างการรวมระบบ และตัดสินใจว่าคุณต้องซื้อใบอนุญาตจำนวนเท่าใด
สิ่งที่สามารถ "ปรากฏขึ้น" ในระหว่าง "นักบิน"
ดังนั้น คุณจะเตรียมตัวอย่างเหมาะสมสำหรับการนำ Cisco ISE ไปใช้อย่างไร จากประสบการณ์ของเรา เราได้นับ 4 ประเด็นหลักที่สำคัญที่ต้องพิจารณาในระหว่างการทดสอบนำร่องของระบบ
ปัจจัยรูปแบบ
ขั้นแรก คุณต้องตัดสินใจว่าจะใช้ระบบในรูปแบบใด: อัพไลน์จริงหรือเสมือน แต่ละตัวเลือกมีข้อดีและข้อเสีย ตัวอย่างเช่น จุดแข็งของอัพไลน์ทางกายภาพคือประสิทธิภาพที่คาดเดาได้ แต่เราต้องไม่ลืมว่าอุปกรณ์ดังกล่าวล้าสมัยเมื่อเวลาผ่านไป อัพไลน์เสมือนจริงนั้นคาดเดาได้น้อยกว่าเพราะ... ขึ้นอยู่กับฮาร์ดแวร์ที่ใช้สภาพแวดล้อมการจำลองเสมือน แต่มีข้อได้เปรียบที่สำคัญ: หากมีการสนับสนุน ก็สามารถอัปเดตเป็นเวอร์ชันล่าสุดได้ตลอดเวลา
อุปกรณ์เครือข่ายของคุณเข้ากันได้กับ Cisco ISE หรือไม่
แน่นอนว่า สถานการณ์ในอุดมคติคือการเชื่อมต่ออุปกรณ์ทั้งหมดเข้ากับระบบในคราวเดียว อย่างไรก็ตาม สิ่งนี้ไม่สามารถทำได้เสมอไป เนื่องจากองค์กรหลายแห่งยังคงใช้สวิตช์ที่ไม่มีการจัดการหรือสวิตช์ที่ไม่รองรับเทคโนโลยีบางอย่างที่ใช้ Cisco ISE อย่างไรก็ตาม เราไม่ได้พูดถึงแค่สวิตช์เท่านั้น แต่ยังอาจเป็นตัวควบคุมเครือข่ายไร้สาย ตัวรวมสัญญาณ VPN และอุปกรณ์อื่น ๆ ที่ผู้ใช้เชื่อมต่อด้วย ในทางปฏิบัติของฉัน มีหลายกรณีที่หลังจากสาธิตระบบสำหรับการใช้งานเต็มรูปแบบแล้ว ลูกค้าได้อัปเกรดสวิตช์ระดับการเข้าถึงเกือบทั้งหมดเป็นอุปกรณ์ Cisco ที่ทันสมัย เพื่อหลีกเลี่ยงความประหลาดใจอันไม่พึงประสงค์ ควรค้นหาสัดส่วนของอุปกรณ์ที่ไม่รองรับล่วงหน้า
อุปกรณ์ทั้งหมดของคุณเป็นมาตรฐานหรือไม่?
เครือข่ายใดๆ ก็ตามมีอุปกรณ์ทั่วไปที่เชื่อมต่อได้ไม่ยาก เช่น เวิร์กสเตชัน โทรศัพท์ IP จุดเชื่อมต่อ Wi-Fi กล้องวิดีโอ และอื่นๆ แต่ยังเกิดขึ้นอีกด้วยว่าอุปกรณ์ที่ไม่ได้มาตรฐานจำเป็นต้องเชื่อมต่อกับ LAN เช่น ตัวแปลงสัญญาณบัส RS232/Ethernet, อินเทอร์เฟซเครื่องสำรองไฟ, อุปกรณ์เทคโนโลยีต่างๆ เป็นต้น การพิจารณารายการอุปกรณ์ดังกล่าวล่วงหน้าเป็นสิ่งสำคัญ เพื่อที่ในขั้นตอนการใช้งาน คุณจะมีความเข้าใจแล้วว่าพวกเขาจะทำงานร่วมกับ Cisco ISE ในทางเทคนิคได้อย่างไร
การเจรจาอย่างสร้างสรรค์กับผู้เชี่ยวชาญด้านไอที
ลูกค้า Cisco ISE มักเป็นแผนกความปลอดภัย ในขณะที่แผนกไอทีมักจะรับผิดชอบในการกำหนดค่าสวิตช์เลเยอร์การเข้าถึงและ Active Directory ดังนั้นการมีปฏิสัมพันธ์ที่มีประสิทธิผลระหว่างผู้เชี่ยวชาญด้านความปลอดภัยและผู้เชี่ยวชาญด้านไอทีจึงเป็นหนึ่งในเงื่อนไขที่สำคัญสำหรับการนำระบบไปใช้อย่างไม่ลำบาก หากฝ่ายหลังรับรู้ถึงการบูรณาการเข้ากับความเป็นปรปักษ์ ก็ควรอธิบายให้พวกเขาฟังว่าโซลูชันจะมีประโยชน์ต่อแผนกไอทีอย่างไร
กรณีการใช้งาน Cisco ISE 5 อันดับแรก
จากประสบการณ์ของเรา ฟังก์ชันการทำงานที่จำเป็นของระบบจะถูกระบุในขั้นตอนการทดสอบนำร่องด้วย ด้านล่างนี้คือกรณีการใช้งานโซลูชันที่ได้รับความนิยมและพบไม่บ่อยที่สุดบางส่วน
รักษาความปลอดภัยการเข้าถึง LAN ผ่านสายด้วย EAP-TLS
จากผลการวิจัยของผู้ทดสอบของเรา บ่อยครั้งในการเจาะเครือข่ายของบริษัท ผู้โจมตีใช้ซ็อกเก็ตธรรมดาที่มีเครื่องพิมพ์ โทรศัพท์ กล้อง IP จุด Wi-Fi และอุปกรณ์เครือข่ายที่ไม่ใช่ส่วนบุคคลอื่นๆ เชื่อมต่ออยู่ ดังนั้น แม้ว่าการเข้าถึงเครือข่ายจะใช้เทคโนโลยี dot1x แต่มีการใช้โปรโตคอลทางเลือกโดยไม่ใช้ใบรับรองการตรวจสอบสิทธิ์ผู้ใช้ ก็มีโอกาสสูงที่การโจมตีจะสำเร็จด้วยการสกัดกั้นเซสชันและรหัสผ่านแบบ brute-force ในกรณีของ Cisco ISE การขโมยใบรับรองจะยากกว่ามาก - ด้วยเหตุนี้แฮกเกอร์จะต้องใช้พลังการประมวลผลมากขึ้น ดังนั้นกรณีนี้จึงมีประสิทธิภาพมาก
การเข้าถึงแบบไร้สาย Dual-SSID
สาระสำคัญของสถานการณ์นี้คือการใช้ 2 ตัวระบุเครือข่าย (SSID) หนึ่งในนั้นสามารถเรียกว่า "แขก" ได้ตามเงื่อนไข ทั้งแขกและพนักงานบริษัทสามารถเข้าถึงเครือข่ายไร้สายได้ เมื่อพวกเขาพยายามเชื่อมต่อ ส่วนหลังจะถูกเปลี่ยนเส้นทางไปยังพอร์ทัลพิเศษที่มีการจัดเตรียมเกิดขึ้น นั่นคือผู้ใช้จะได้รับใบรับรองและอุปกรณ์ส่วนตัวของเขาได้รับการกำหนดค่าให้เชื่อมต่อกับ SSID ที่สองอีกครั้งโดยอัตโนมัติ ซึ่งใช้ EAP-TLS พร้อมข้อดีทั้งหมดของกรณีแรกแล้ว
บายพาสการรับรองความถูกต้องของ MAC และการทำโปรไฟล์
กรณีการใช้งานยอดนิยมอีกประการหนึ่งคือการตรวจหาประเภทของอุปกรณ์ที่เชื่อมต่อโดยอัตโนมัติและใช้ข้อจำกัดที่ถูกต้องกับอุปกรณ์ดังกล่าว ทำไมเขาถึงน่าสนใจ? ความจริงก็คือยังมีอุปกรณ์จำนวนมากที่ไม่รองรับการตรวจสอบสิทธิ์โดยใช้โปรโตคอล 802.1X ดังนั้นจึงต้องอนุญาตให้อุปกรณ์ดังกล่าวเข้าสู่เครือข่ายโดยใช้ที่อยู่ MAC ซึ่งค่อนข้างง่ายที่จะปลอมแปลง นี่คือจุดที่ Cisco ISE เข้ามาช่วยเหลือ: ด้วยความช่วยเหลือของระบบ คุณสามารถดูพฤติกรรมของอุปกรณ์บนเครือข่าย สร้างโปรไฟล์ และกำหนดให้กับกลุ่มอุปกรณ์อื่นๆ เช่น โทรศัพท์ IP และเวิร์กสเตชัน . หากผู้โจมตีพยายามปลอมแปลงที่อยู่ MAC และเชื่อมต่อกับเครือข่าย ระบบจะเห็นว่าโปรไฟล์อุปกรณ์มีการเปลี่ยนแปลง จะส่งสัญญาณพฤติกรรมที่น่าสงสัย และจะไม่อนุญาตให้ผู้ใช้ที่น่าสงสัยเข้าสู่เครือข่าย
EAP-Chaining
เทคโนโลยี EAP-Chaining เกี่ยวข้องกับการตรวจสอบสิทธิ์ตามลำดับของพีซีที่ใช้งานได้และบัญชีผู้ใช้ คดีนี้แพร่หลายเพราะ... บริษัทหลายแห่งยังไม่สนับสนุนให้เชื่อมต่ออุปกรณ์ส่วนตัวของพนักงานกับระบบ LAN ขององค์กร เมื่อใช้วิธีการตรวจสอบสิทธิ์นี้ สามารถตรวจสอบได้ว่าเวิร์กสเตชันใดเป็นสมาชิกของโดเมนหรือไม่ และหากผลลัพธ์เป็นลบ ผู้ใช้จะไม่ได้รับอนุญาตให้เข้าสู่เครือข่าย หรือจะสามารถเข้าได้ แต่ด้วยคุณสมบัติบางอย่าง ข้อ จำกัด.
ท่าทาง
กรณีนี้เป็นเรื่องเกี่ยวกับการประเมินการปฏิบัติตามข้อกำหนดของซอฟต์แวร์เวิร์กสเตชันกับข้อกำหนดด้านความปลอดภัยของข้อมูล เมื่อใช้เทคโนโลยีนี้ คุณจะสามารถตรวจสอบได้ว่าซอฟต์แวร์บนเวิร์กสเตชันได้รับการอัพเดตหรือไม่ มีการติดตั้งมาตรการรักษาความปลอดภัยหรือไม่ มีการกำหนดค่าไฟร์วอลล์โฮสต์หรือไม่ เป็นต้น สิ่งที่น่าสนใจคือเทคโนโลยีนี้ยังช่วยให้คุณสามารถแก้ไขงานอื่นๆ ที่ไม่เกี่ยวข้องกับความปลอดภัยได้ เช่น การตรวจสอบการมีอยู่ของไฟล์ที่จำเป็น หรือการติดตั้งซอฟต์แวร์ทั้งระบบ
กรณีการใช้งานทั่วไปที่น้อยกว่าสำหรับ Cisco ISE ได้แก่ การควบคุมการเข้าถึงด้วยการรับรองความถูกต้องโดเมนจากต้นทางถึงปลายทาง (Passive ID) การแบ่งส่วนย่อยและการกรองตาม SGT รวมถึงการทำงานร่วมกับระบบการจัดการอุปกรณ์มือถือ (MDM) และเครื่องสแกนช่องโหว่
โครงการที่ไม่ได้มาตรฐาน: เหตุใดคุณจึงต้องใช้ Cisco ISE หรือ 3 กรณีที่พบไม่บ่อยจากแนวทางปฏิบัติของเรา
การควบคุมการเข้าถึงเซิร์ฟเวอร์ที่ใช้ Linux
เมื่อเราแก้ไขกรณีที่ไม่ใช่เรื่องเล็กน้อยสำหรับลูกค้ารายหนึ่งที่ได้นำระบบ Cisco ISE ไปใช้แล้ว: เราจำเป็นต้องหาวิธีควบคุมการกระทำของผู้ใช้ (ส่วนใหญ่เป็นผู้ดูแลระบบ) บนเซิร์ฟเวอร์ที่ติดตั้ง Linux ในการค้นหาคำตอบ เราเกิดแนวคิดในการใช้ซอฟต์แวร์ PAM Radius Module ฟรี ซึ่งช่วยให้คุณสามารถเข้าสู่ระบบเซิร์ฟเวอร์ที่ใช้ Linux พร้อมการรับรองความถูกต้องบนเซิร์ฟเวอร์รัศมีภายนอก ทุกอย่างในเรื่องนี้คงจะดีถ้าไม่ใช่สำหรับ "แต่" เพียงอย่างเดียว: เซิร์ฟเวอร์รัศมีที่ส่งการตอบสนองต่อคำขอตรวจสอบสิทธิ์ให้เฉพาะชื่อบัญชีและผลลัพธ์ - ประเมินที่ยอมรับหรือประเมินถูกปฏิเสธ ในขณะเดียวกันสำหรับการอนุญาตใน Linux คุณต้องกำหนดพารามิเตอร์อย่างน้อยหนึ่งพารามิเตอร์ - โฮมไดเร็กตอรี่ เพื่อให้ผู้ใช้ไปถึงที่ใดที่หนึ่งเป็นอย่างน้อย เราไม่พบวิธีที่จะกำหนดให้สิ่งนี้เป็นแอตทริบิวต์รัศมี ดังนั้นเราจึงเขียนสคริปต์พิเศษสำหรับการสร้างบัญชีจากระยะไกลบนโฮสต์ในโหมดกึ่งอัตโนมัติ งานนี้ค่อนข้างเป็นไปได้ เนื่องจากเรากำลังจัดการกับบัญชีผู้ดูแลระบบ ซึ่งมีจำนวนไม่มากนัก ถัดไป ผู้ใช้เข้าสู่ระบบอุปกรณ์ที่จำเป็น หลังจากนั้นพวกเขาได้รับสิทธิ์การเข้าถึงที่จำเป็น มีคำถามที่สมเหตุสมผล: จำเป็นต้องใช้ Cisco ISE ในกรณีเช่นนี้หรือไม่ จริงๆ แล้ว ไม่ เซิร์ฟเวอร์รัศมีใดๆ ก็ใช้ได้ แต่เนื่องจากลูกค้ามีระบบนี้อยู่แล้ว เราจึงเพิ่มคุณลักษณะใหม่ลงไปเท่านั้น
สินค้าคงคลังของฮาร์ดแวร์และซอฟต์แวร์บน LAN
ครั้งหนึ่งเราเคยทำงานในโครงการจัดหา Cisco ISE ให้กับลูกค้ารายหนึ่งโดยไม่มี "โปรแกรมนำร่อง" เบื้องต้น ไม่มีข้อกำหนดที่ชัดเจนสำหรับโซลูชัน อีกทั้งเรากำลังเผชิญกับเครือข่ายแบบแบนที่ไม่มีการแบ่งส่วน ซึ่งทำให้งานของเราซับซ้อน ในระหว่างโปรเจ็กต์ เราได้กำหนดค่าวิธีการสร้างโปรไฟล์ที่เป็นไปได้ทั้งหมดที่เครือข่ายรองรับ: NetFlow, DHCP, SNMP, AD integrated ฯลฯ ด้วยเหตุนี้ การเข้าถึง MAR จึงได้รับการกำหนดค่าให้สามารถเข้าสู่ระบบเครือข่ายได้หากการรับรองความถูกต้องล้มเหลว นั่นคือแม้ว่าการรับรองความถูกต้องจะไม่สำเร็จ ระบบก็ยังอนุญาตให้ผู้ใช้เข้าสู่เครือข่าย รวบรวมข้อมูลเกี่ยวกับเขา และบันทึกลงในฐานข้อมูล ISE การตรวจสอบเครือข่ายนี้ตลอดหลายสัปดาห์ช่วยให้เราระบุระบบที่เชื่อมต่อและอุปกรณ์ที่ไม่ใช่ส่วนบุคคล และพัฒนาแนวทางในการแบ่งกลุ่มอุปกรณ์เหล่านั้น หลังจากนั้น เราได้กำหนดค่าการโพสต์เพิ่มเติมเพื่อติดตั้งเอเจนต์บนเวิร์กสเตชันเพื่อรวบรวมข้อมูลเกี่ยวกับซอฟต์แวร์ที่ติดตั้งบนเวิร์กสเตชัน ผลลัพธ์เป็นอย่างไร? เราสามารถแบ่งส่วนเครือข่ายและกำหนดรายการซอฟต์แวร์ที่จำเป็นต้องลบออกจากเวิร์กสเตชันได้ ฉันจะไม่ปิดบังว่างานเพิ่มเติมในการกระจายผู้ใช้ออกเป็นกลุ่มโดเมนและการแบ่งแยกสิทธิ์การเข้าถึงนั้นกินเวลาค่อนข้างมาก แต่ด้วยวิธีนี้ เราจึงได้ภาพรวมที่สมบูรณ์ว่าลูกค้ามีฮาร์ดแวร์ใดบนเครือข่าย อย่างไรก็ตาม นี่ไม่ใช่เรื่องยากเนื่องจากสามารถจัดทำโปรไฟล์ได้ดีตั้งแต่แกะกล่อง ในกรณีที่การทำโปรไฟล์ไม่ได้ช่วยอะไรเราจึงมองตัวเองโดยเน้นพอร์ตสวิตช์ที่อุปกรณ์เชื่อมต่ออยู่
การติดตั้งซอฟต์แวร์ระยะไกลบนเวิร์กสเตชัน
กรณีนี้เป็นหนึ่งในกรณีที่แปลกประหลาดที่สุดในการปฏิบัติของฉัน วันหนึ่ง ลูกค้ามาหาเราพร้อมกับร้องขอความช่วยเหลือ มีบางอย่างผิดพลาดเมื่อใช้ Cisco ISE ทุกอย่างพัง และไม่มีใครสามารถเข้าถึงเครือข่ายได้ เราเริ่มตรวจสอบและพบสิ่งต่อไปนี้ บริษัทมีคอมพิวเตอร์ 2000 เครื่อง ซึ่งหากไม่มีตัวควบคุมโดเมน จะได้รับการจัดการภายใต้บัญชีผู้ดูแลระบบ เพื่อวัตถุประสงค์ในการเพียร์ องค์กรได้นำ Cisco ISE มาใช้ จำเป็นต้องเข้าใจว่ามีการติดตั้งโปรแกรมป้องกันไวรัสบนพีซีที่มีอยู่หรือไม่ สภาพแวดล้อมซอฟต์แวร์ได้รับการอัพเดตหรือไม่ เป็นต้น และเนื่องจากผู้ดูแลระบบไอทีได้ติดตั้งอุปกรณ์เครือข่ายเข้าสู่ระบบ จึงมีเหตุผลที่พวกเขาสามารถเข้าถึงได้ หลังจากที่ได้เห็นวิธีการทำงานและการจัดวางพีซีแล้ว ผู้ดูแลระบบก็เกิดแนวคิดในการติดตั้งซอฟต์แวร์บนเวิร์กสเตชันของพนักงานจากระยะไกลโดยไม่ต้องไปเยี่ยมเยียนเป็นการส่วนตัว ลองนึกดูว่าคุณสามารถประหยัดได้กี่ก้าวต่อวันด้วยวิธีนี้! ผู้ดูแลระบบได้ดำเนินการตรวจสอบเวิร์กสเตชันหลายครั้งเพื่อดูว่ามีไฟล์ใดอยู่ในไดเร็กทอรี C:Program Files หรือไม่ และหากไม่มีอยู่ การแก้ไขอัตโนมัติจะดำเนินการตามลิงก์ที่นำไปสู่พื้นที่จัดเก็บไฟล์ไปยังไฟล์ .exe การติดตั้ง สิ่งนี้ทำให้ผู้ใช้ทั่วไปสามารถไปที่การแชร์ไฟล์และดาวน์โหลดซอฟต์แวร์ที่จำเป็นจากที่นั่น น่าเสียดายที่ผู้ดูแลระบบไม่รู้จักระบบ ISE ดีนักและทำให้กลไกการโพสต์เสียหาย - เขาเขียนนโยบายไม่ถูกต้อง ซึ่งนำไปสู่ปัญหาที่เรามีส่วนร่วมในการแก้ไข โดยส่วนตัวแล้ว ฉันรู้สึกประหลาดใจอย่างจริงใจกับแนวทางที่สร้างสรรค์ดังกล่าว เนื่องจากการสร้างตัวควบคุมโดเมนจะมีราคาถูกกว่ามากและใช้แรงงานน้อยกว่า แต่เป็นการพิสูจน์แนวคิดมันได้ผล
อ่านเพิ่มเติมเกี่ยวกับความแตกต่างทางเทคนิคที่เกิดขึ้นเมื่อใช้งาน Cisco ISE ในบทความของเพื่อนร่วมงานของฉัน .
Artem Bobrikov วิศวกรออกแบบของ Information Security Center ที่ Jet Infosystems
เล่ม:
แม้ว่าโพสต์นี้จะพูดถึงระบบ Cisco ISE แต่ปัญหาที่อธิบายไว้นั้นเกี่ยวข้องกับโซลูชัน NAC ทั้งระดับ โซลูชันของผู้จำหน่ายรายใดที่วางแผนไว้สำหรับการใช้งานนั้นไม่สำคัญนัก แต่ส่วนใหญ่ที่กล่าวมาข้างต้นจะยังคงใช้งานได้
ที่มา: will.com