Gaano kadalas kang bumili ng isang bagay nang kusang-loob, sumuko sa isang cool na advertisement, at pagkatapos ang unang nais na item na ito ay nagtitipon ng alikabok sa isang aparador, pantry o garahe hanggang sa susunod na paglilinis o paglipat ng tagsibol? Ang resulta ay pagkabigo dahil sa hindi makatarungang mga inaasahan at nasayang na pera. Mas malala kapag nangyari ito sa isang negosyo. Kadalasan, ang mga gimmick sa marketing ay napakahusay na ang mga kumpanya ay bumili ng isang mamahaling solusyon nang hindi nakikita ang buong larawan ng aplikasyon nito. Samantala, ang pagsubok sa pagsubok ng system ay nakakatulong upang maunawaan kung paano ihanda ang imprastraktura para sa pagsasama, kung anong functionality at hanggang saan ang dapat ipatupad. Sa ganitong paraan maiiwasan mo ang isang malaking bilang ng mga problema dahil sa pagpili ng isang produkto na "bulag". Bilang karagdagan, ang pagpapatupad pagkatapos ng isang karampatang "pilot" ay magdadala sa mga inhinyero ng hindi gaanong nawasak na mga nerve cell at kulay-abo na buhok. Alamin natin kung bakit napakahalaga ng pilot testing para sa isang matagumpay na proyekto, gamit ang halimbawa ng isang sikat na tool para sa pagkontrol ng access sa isang corporate network - Cisco ISE. Isaalang-alang natin ang parehong karaniwan at ganap na hindi karaniwang mga opsyon para sa paggamit ng solusyon na nakatagpo namin sa aming pagsasanay.
Cisco ISE - "Radius server sa mga steroid"
Ang Cisco Identity Services Engine (ISE) ay isang platform para sa paglikha ng isang access control system para sa local area network ng isang organisasyon. Sa komunidad ng eksperto, ang produkto ay binansagan na "Radius server sa mga steroid" para sa mga katangian nito. Bakit ganon? Mahalaga, ang solusyon ay isang server ng Radius, kung saan ang isang malaking bilang ng mga karagdagang serbisyo at "panlilinlang" ay nakalakip, na nagpapahintulot sa iyo na makatanggap ng isang malaking halaga ng impormasyon sa konteksto at ilapat ang nagresultang hanay ng data sa mga patakaran sa pag-access.
Tulad ng ibang Radius server, nakikipag-ugnayan ang Cisco ISE sa access-level network equipment, nangongolekta ng impormasyon tungkol sa lahat ng pagtatangka na kumonekta sa corporate network at, batay sa mga patakaran sa pagpapatunay at awtorisasyon, pinapayagan o tinatanggihan ang mga user sa LAN. Gayunpaman, ang posibilidad ng pag-profile, pag-post, at pagsasama sa iba pang mga solusyon sa seguridad ng impormasyon ay ginagawang posible na makabuluhang gawing kumplikado ang lohika ng patakaran sa awtorisasyon at sa gayon ay malutas ang medyo mahirap at kawili-wiling mga problema.
Ang pagpapatupad ay hindi maaaring piloto: bakit kailangan mo ng pagsubok?
Ang halaga ng pilot testing ay upang ipakita ang lahat ng mga kakayahan ng system sa partikular na imprastraktura ng isang partikular na organisasyon. Naniniwala ako na ang pagpipiloto sa Cisco ISE bago ang pagpapatupad ay nakikinabang sa lahat ng kasangkot sa proyekto, at narito kung bakit.
Nagbibigay ito sa mga integrator ng malinaw na ideya ng mga inaasahan ng customer at nakakatulong na lumikha ng tamang teknikal na detalye na naglalaman ng higit pang detalye kaysa sa karaniwang pariralang "siguraduhing maayos ang lahat." Ang "Pilot" ay nagbibigay-daan sa amin na madama ang lahat ng sakit ng customer, upang maunawaan kung aling mga gawain ang priyoridad para sa kanya at kung alin ang pangalawa. Para sa amin, ito ay isang mahusay na pagkakataon upang malaman nang maaga kung anong kagamitan ang ginagamit sa organisasyon, kung paano magaganap ang pagpapatupad, sa anong mga site, kung saan sila matatagpuan, at iba pa.
Sa panahon ng pilot testing, makikita ng mga customer ang totoong system na gumagana, makilala ang interface nito, masusuri kung tugma ito sa kanilang kasalukuyang hardware, at makakuha ng holistic na pag-unawa sa kung paano gagana ang solusyon pagkatapos ng buong pagpapatupad. Ang "Pilot" ay ang mismong sandali kung kailan mo makikita ang lahat ng mga pitfalls na malamang na makakaharap mo sa panahon ng pagsasama, at magpasya kung gaano karaming mga lisensya ang kailangan mong bilhin.
Ano ang maaaring "pop up" sa panahon ng "pilot"
Kaya, paano ka naghahanda nang maayos para sa pagpapatupad ng Cisco ISE? Mula sa aming karanasan, nagbilang kami ng 4 na pangunahing punto na mahalagang isaalang-alang sa panahon ng pilot testing ng system.
Form factor
Una, kailangan mong magpasya kung anong form factor ang ipapatupad ng system: pisikal o virtual na upline. Ang bawat pagpipilian ay may mga pakinabang at disadvantages. Halimbawa, ang lakas ng isang pisikal na upline ay ang predictable na performance nito, ngunit hindi natin dapat kalimutan na ang mga naturang device ay nagiging lipas na sa paglipas ng panahon. Ang mga virtual upline ay hindi gaanong mahuhulaan dahil... depende sa hardware kung saan naka-deploy ang virtualization environment, ngunit mayroon silang malubhang kalamangan: kung available ang suporta, maaari silang palaging ma-update sa pinakabagong bersyon.
Ang iyong kagamitan sa network ay tugma sa Cisco ISE?
Siyempre, ang perpektong senaryo ay upang ikonekta ang lahat ng kagamitan sa system nang sabay-sabay. Gayunpaman, hindi ito laging posible dahil maraming organisasyon ang gumagamit pa rin ng mga hindi pinamamahalaang switch o switch na hindi sumusuporta sa ilan sa mga teknolohiyang nagpapatakbo ng Cisco ISE. Sa pamamagitan ng paraan, hindi lang switch ang pinag-uusapan, maaari rin itong mga wireless network controller, VPN concentrator at anumang iba pang kagamitan kung saan kumonekta ang mga user. Sa aking pagsasanay, may mga kaso kung kailan, pagkatapos na ipakita ang sistema para sa ganap na pagpapatupad, na-upgrade ng customer ang halos buong kalipunan ng mga switch sa antas ng pag-access sa modernong kagamitan ng Cisco. Upang maiwasan ang mga hindi kasiya-siyang sorpresa, sulit na alamin nang maaga ang proporsyon ng hindi suportadong kagamitan.
Standard ba ang lahat ng iyong device?
Ang anumang network ay may mga tipikal na device na hindi dapat mahirap kumonekta sa: mga workstation, IP phone, Wi-Fi access point, video camera, at iba pa. Ngunit nangyayari rin na ang mga hindi pamantayang aparato ay kailangang konektado sa LAN, halimbawa, RS232/Ethernet bus signal converter, uninterruptible power supply interface, iba't ibang teknolohikal na kagamitan, atbp. Mahalagang matukoy nang maaga ang listahan ng mga naturang device. , upang sa yugto ng pagpapatupad ay mayroon ka nang pag-unawa kung paano teknikal na gagana ang mga ito sa Cisco ISE.
Nakabubuo na pag-uusap sa mga espesyalista sa IT
Ang mga customer ng Cisco ISE ay kadalasang mga departamento ng seguridad, habang ang mga departamento ng IT ay karaniwang responsable para sa pag-configure ng mga switch ng layer ng access at Active Directory. Samakatuwid, ang produktibong pakikipag-ugnayan sa pagitan ng mga espesyalista sa seguridad at mga espesyalista sa IT ay isa sa mga mahalagang kondisyon para sa walang sakit na pagpapatupad ng system. Kung naramdaman ng huli ang pagsasama sa poot, sulit na ipaliwanag sa kanila kung paano magiging kapaki-pakinabang ang solusyon sa departamento ng IT.
Nangungunang 5 kaso ng paggamit ng Cisco ISE
Sa aming karanasan, tinutukoy din ang kinakailangang functionality ng system sa pilot testing stage. Nasa ibaba ang ilan sa mga pinakasikat at hindi gaanong karaniwang mga kaso ng paggamit para sa solusyon.
Secure LAN access sa isang wire na may EAP-TLS
Tulad ng ipinapakita ng mga resulta ng pagsasaliksik ng aming mga pentester, kadalasan upang makapasok sa network ng isang kumpanya, ang mga umaatake ay gumagamit ng mga ordinaryong socket kung saan nakakonekta ang mga printer, telepono, IP camera, Wi-Fi point at iba pang hindi personal na network device. Samakatuwid, kahit na ang pag-access sa network ay batay sa teknolohiya ng dot1x, ngunit ang mga alternatibong protocol ay ginagamit nang hindi gumagamit ng mga sertipiko ng pagpapatunay ng user, may mataas na posibilidad ng isang matagumpay na pag-atake na may session interception at brute-force na mga password. Sa kaso ng Cisco ISE, magiging mas mahirap na magnakaw ng isang sertipiko - para dito, ang mga hacker ay mangangailangan ng higit na kapangyarihan sa pag-compute, kaya ang kasong ito ay napaka-epektibo.
Dual-SSID wireless access
Ang esensya ng sitwasyong ito ay ang paggamit ng 2 network identifier (SSID). Ang isa sa kanila ay maaaring kondisyon na tinatawag na "panauhin". Sa pamamagitan nito, maaaring ma-access ng mga bisita at empleyado ng kumpanya ang wireless network. Kapag sinubukan nilang kumonekta, ire-redirect ang huli sa isang espesyal na portal kung saan nagaganap ang provisioning. Ibig sabihin, ang user ay binibigyan ng certificate at ang kanyang personal na device ay na-configure upang awtomatikong kumonekta muli sa pangalawang SSID, na gumagamit na ng EAP-TLS kasama ang lahat ng mga pakinabang ng unang kaso.
MAC Authentication Bypass at Profiling
Ang isa pang sikat na kaso ng paggamit ay ang awtomatikong makita ang uri ng device na nakakonekta at ilapat ang mga tamang paghihigpit dito. Bakit siya interesante? Ang katotohanan ay mayroon pa ring napakaraming device na hindi sumusuporta sa pagpapatunay gamit ang 802.1X protocol. Samakatuwid, ang mga naturang device ay kailangang payagan sa network gamit ang isang MAC address, na medyo madaling peke. Dito sumagip ang Cisco ISE: sa tulong ng system, makikita mo kung paano kumikilos ang isang device sa network, likhain ang profile nito at italaga ito sa isang pangkat ng iba pang mga device, halimbawa, isang IP phone at isang workstation . Kung sinubukan ng isang attacker na manloko ng MAC address at kumonekta sa network, makikita ng system na nagbago ang profile ng device, magse-signal ng kahina-hinalang gawi at hindi papayagan ang kahina-hinalang user sa network.
EAP-Chaining
Ang teknolohiyang EAP-Chaining ay nagsasangkot ng sunud-sunod na pagpapatunay ng gumaganang PC at user account. Laganap na ang kasong ito dahil... Hindi pa rin hinihikayat ng maraming kumpanya ang pagkonekta ng mga personal na gadget ng mga empleyado sa corporate LAN. Gamit ang diskarteng ito sa pagpapatotoo, posibleng suriin kung ang isang partikular na workstation ay miyembro ng domain, at kung negatibo ang resulta, maaaring hindi papayagan ang user sa network, o makapasok, ngunit may ilang mga paghihigpit.
Posturing
Ang kasong ito ay tungkol sa pagtatasa ng pagsunod ng software ng workstation sa mga kinakailangan sa seguridad ng impormasyon. Gamit ang teknolohiyang ito, maaari mong suriin kung ang software sa workstation ay na-update, kung ang mga hakbang sa seguridad ay naka-install dito, kung ang host firewall ay na-configure, atbp. Kapansin-pansin, pinapayagan ka rin ng teknolohiyang ito na malutas ang iba pang mga gawain na hindi nauugnay sa seguridad, halimbawa, pagsuri sa pagkakaroon ng mga kinakailangang file o pag-install ng software sa buong system.
Ang hindi gaanong karaniwang mga kaso ng paggamit para sa Cisco ISE ay kinabibilangan ng access control na may end-to-end na pagpapatotoo ng domain (Passive ID), SGT-based na micro-segmentation at pag-filter, pati na rin ang pagsasama sa mga mobile device management (MDM) system at Vulnerability Scanners.
Mga hindi karaniwang proyekto: bakit pa maaaring kailanganin mo ang Cisco ISE, o 3 bihirang kaso mula sa aming pagsasanay
I-access ang kontrol sa mga server na nakabatay sa Linux
Sa sandaling nilutas namin ang isang medyo hindi maliit na kaso para sa isa sa mga customer na mayroon nang ipinatupad na Cisco ISE system: kailangan naming humanap ng paraan upang makontrol ang mga aksyon ng user (karamihan ay mga administrator) sa mga server na may naka-install na Linux. Sa paghahanap ng sagot, nakaisip kami ng ideya ng paggamit ng libreng PAM Radius Module software, na nagpapahintulot sa iyo na mag-log in sa mga server na nagpapatakbo ng Linux na may pagpapatunay sa isang panlabas na radius server. Ang lahat sa bagay na ito ay magiging mabuti, kung hindi para sa isang "ngunit": ang radius server, na nagpapadala ng tugon sa kahilingan sa pagpapatunay, ay nagbibigay lamang ng pangalan ng account at ang resulta - tinanggap ang tinanggap o tinatanggihan ang pagtatasa. Samantala, para sa awtorisasyon sa Linux, kailangan mong magtalaga ng hindi bababa sa isa pang parameter - direktoryo ng tahanan, upang ang user man lang ay makarating sa isang lugar. Hindi kami nakahanap ng paraan para maibigay ito bilang katangian ng radius, kaya nagsulat kami ng espesyal na script para sa malayuang paggawa ng mga account sa mga host sa semi-awtomatikong mode. Ang gawaing ito ay lubos na magagawa, dahil nakikipag-ugnayan kami sa mga account ng administrator, na ang bilang nito ay hindi gaanong kalaki. Susunod, nag-log in ang mga user sa kinakailangang device, pagkatapos ay itinalaga sa kanila ang kinakailangang pag-access. Isang makatwirang tanong ang lumitaw: kailangan bang gumamit ng Cisco ISE sa mga ganitong kaso? Sa totoo lang, hindi - magagawa ng anumang radius server, ngunit dahil mayroon nang system na ito ang customer, nagdagdag lang kami ng bagong feature dito.
Imbentaryo ng hardware at software sa LAN
Minsan kaming nagtrabaho sa isang proyekto upang maibigay ang Cisco ISE sa isang customer nang walang paunang "pilot". Walang malinaw na mga kinakailangan para sa solusyon, at nakikipag-usap kami sa isang patag, hindi naka-segment na network, na nagpapakumplikado sa aming gawain. Sa panahon ng proyekto, na-configure namin ang lahat ng posibleng paraan ng pag-profile na sinusuportahan ng network: NetFlow, DHCP, SNMP, AD integration, atbp. Bilang resulta, ang MAR access ay na-configure na may kakayahang mag-log in sa network kung nabigo ang pagpapatunay. Iyon ay, kahit na hindi matagumpay ang pagpapatunay, papayagan pa rin ng system ang gumagamit sa network, mangolekta ng impormasyon tungkol sa kanya at itala ito sa database ng ISE. Ang pagsubaybay sa network na ito sa loob ng ilang linggo ay nakatulong sa amin na matukoy ang mga nakakonektang system at hindi personal na device at bumuo ng diskarte para i-segment ang mga ito. Pagkatapos nito, na-configure din namin ang pag-post upang i-install ang ahente sa mga workstation upang mangolekta ng impormasyon tungkol sa software na naka-install sa kanila. Ano ang resulta? Nagawa naming i-segment ang network at matukoy ang listahan ng software na kailangang alisin sa mga workstation. Hindi ko itatago na ang mga karagdagang gawain ng pamamahagi ng mga user sa mga pangkat ng domain at pagtukoy ng mga karapatan sa pag-access ay tumagal sa amin ng maraming oras, ngunit sa paraang ito nakuha namin ang kumpletong larawan ng kung anong hardware mayroon ang customer sa network. Sa pamamagitan ng paraan, hindi ito mahirap dahil sa mahusay na gawain ng pag-profile sa labas ng kahon. Buweno, kung saan hindi nakatulong ang pag-profile, tiningnan namin ang aming sarili, na i-highlight ang switch port kung saan nakakonekta ang kagamitan.
Malayong pag-install ng software sa mga workstation
Ang kasong ito ay isa sa mga kakaiba sa aking pagsasanay. Isang araw, dumating sa amin ang isang customer na humihingi ng tulong - may nangyaring mali noong ipinatupad ang Cisco ISE, nasira ang lahat, at walang ibang makaka-access sa network. Sinimulan naming tingnan ito at nalaman ang mga sumusunod. Ang kumpanya ay mayroong 2000 mga computer, na, sa kawalan ng isang domain controller, ay pinamamahalaan sa ilalim ng isang administrator account. Para sa layunin ng peering, ipinatupad ng organisasyon ang Cisco ISE. Kinakailangan na kahit papaano ay maunawaan kung ang isang antivirus ay na-install sa mga umiiral na PC, kung ang kapaligiran ng software ay na-update, atbp. At dahil nag-install ang mga IT administrator ng network equipment sa system, lohikal na nagkaroon sila ng access dito. Matapos makita kung paano ito gumagana at i-posher ang kanilang mga PC, naisip ng mga administrator na i-install ang software sa mga workstation ng empleyado nang malayuan nang walang personal na pagbisita. Isipin lamang kung gaano karaming mga hakbang ang maaari mong i-save bawat araw sa ganitong paraan! Ang mga administrador ay nagsagawa ng ilang mga pagsusuri sa workstation para sa pagkakaroon ng isang partikular na file sa direktoryo ng C:Program Files, at kung wala ito, ang awtomatikong remediation ay inilunsad sa pamamagitan ng pagsunod sa isang link na humahantong sa imbakan ng file sa pag-install na .exe file. Pinayagan nito ang mga ordinaryong user na pumunta sa isang file share at i-download ang kinakailangang software mula doon. Sa kasamaang palad, hindi alam ng admin ang sistema ng ISE at nasira ang mga mekanismo ng pag-post - isinulat niya nang hindi tama ang patakaran, na humantong sa isang problema na kasangkot kami sa paglutas. Sa personal, taos-puso akong nagulat sa gayong malikhaing diskarte, dahil magiging mas mura at hindi gaanong labor-intensive ang gumawa ng domain controller. Ngunit bilang isang Patunay ng konsepto ito ay gumana.
Magbasa nang higit pa tungkol sa mga teknikal na nuances na lumitaw kapag nagpapatupad ng Cisco ISE sa artikulo ng aking kasamahan .
Artem Bobrikov, design engineer ng Information Security Center sa Jet Infosystems
afterword:
Sa kabila ng katotohanan na ang post na ito ay nagsasalita tungkol sa Cisco ISE system, ang mga problemang inilarawan ay may kaugnayan para sa buong klase ng mga solusyon sa NAC. Hindi gaanong mahalaga kung aling solusyon ng vendor ang pinaplano para sa pagpapatupad - karamihan sa itaas ay mananatiling naaangkop.
Pinagmulan: www.habr.com