Ne sıklıkla kendiliğinden bir şey satın alırsınız, havalı bir reklama boyun eğersiniz ve daha sonra ilk başta istediğiniz bu eşya bir sonraki bahar temizliğine veya taşınana kadar dolapta, kilerde veya garajda toz toplar? Sonuç, haksız beklentiler ve boşa harcanan para nedeniyle hayal kırıklığıdır. Bunun bir işletmenin başına gelmesi çok daha kötüdür. Çoğu zaman, pazarlama hileleri o kadar iyidir ki, şirketler uygulamanın tam resmini görmeden pahalı bir çözüm satın alırlar. Bu arada sistemin deneme testleri, altyapının entegrasyona nasıl hazırlanacağını, hangi işlevselliğin ve ne ölçüde uygulanması gerektiğinin anlaşılmasına yardımcı olur. Bu şekilde, bir ürünü "körü körüne" seçmenin neden olduğu çok sayıda sorundan kaçınabilirsiniz. Ek olarak, yetkin bir "pilot" sonrasında uygulama, mühendislere çok daha az zarar görmüş sinir hücrelerini ve gri saçları getirecektir. Başarılı bir proje için pilot testin neden bu kadar önemli olduğunu, kurumsal bir ağa erişimi kontrol etmeye yönelik popüler bir araç olan Cisco ISE örneğini kullanarak anlayalım. Uygulamamızda karşılaştığımız çözümü kullanmak için hem standart hem de tamamen standart dışı seçenekleri ele alalım.
Cisco ISE - “steroidler üzerinde yarıçap sunucusu”
Cisco Kimlik Hizmetleri Motoru (ISE), bir kuruluşun yerel alan ağı için erişim kontrol sistemi oluşturmaya yönelik bir platformdur. Uzman toplulukta ürün, özellikleri nedeniyle "Steroidlerdeki Radius sunucusu" olarak adlandırıldı. Nedenmiş? Temel olarak çözüm, çok sayıda ek hizmetin ve "hilenin" eklendiği, büyük miktarda bağlamsal bilgi almanıza ve elde edilen veri kümesini erişim politikalarında uygulamanıza olanak tanıyan bir Radius sunucusudur.
Diğer herhangi bir Radius sunucusu gibi, Cisco ISE de erişim seviyesi ağ ekipmanıyla etkileşime girer, kurumsal ağa bağlanmaya yönelik tüm girişimler hakkında bilgi toplar ve kimlik doğrulama ve yetkilendirme politikalarına dayanarak kullanıcıların LAN'a girmesine izin verir veya reddeder. Ancak profil oluşturma, yayınlama ve diğer bilgi güvenliği çözümleriyle entegrasyon olanağı, yetkilendirme politikasının mantığını önemli ölçüde karmaşıklaştırmaya ve dolayısıyla oldukça zor ve ilginç sorunları çözmeye olanak sağlar.
Uygulama pilot olarak gerçekleştirilemez: neden teste ihtiyacınız var?
Pilot testin değeri, sistemin tüm yeteneklerini belirli bir kuruluşun belirli altyapısında göstermektir. Uygulamadan önce Cisco ISE'nin pilot uygulamasının projeye dahil olan herkese fayda sağladığına inanıyorum ve nedeni de bu.
Bu, entegratörlere müşterinin beklentileri hakkında net bir fikir verir ve "her şeyin yolunda olduğundan emin olun" yaygın ifadesinden çok daha fazla ayrıntı içeren doğru bir teknik spesifikasyonun formüle edilmesine yardımcı olur. “Pilot” müşterinin tüm acısını hissetmemize, onun için hangi görevlerin öncelikli, hangilerinin ikincil olduğunu anlamamıza olanak tanıyor. Bizim için bu, organizasyonda hangi ekipmanın kullanıldığını, uygulamanın nasıl gerçekleşeceğini, hangi sahalarda, nerede konumlanacağını vb. önceden anlamak için mükemmel bir fırsat.
Pilot test sırasında müşteriler gerçek sistemi çalışırken görür, arayüzü hakkında bilgi sahibi olur, mevcut donanımlarıyla uyumlu olup olmadığını kontrol edebilir ve tam uygulama sonrasında çözümün nasıl çalışacağına dair bütünsel bir anlayışa sahip olur. "Pilot", entegrasyon sırasında muhtemelen karşılaşacağınız tüm tuzakları görebileceğiniz ve kaç lisans satın almanız gerektiğine karar verebileceğiniz andır.
"Pilot" sırasında ne "ortaya çıkabilir"?
Peki Cisco ISE'yi uygulamaya nasıl düzgün bir şekilde hazırlanacaksınız? Deneyimlerimize dayanarak sistemin pilot testi sırasında dikkate alınması gereken 4 ana noktayı saydık.
Form Faktörü
Öncelikle sistemin hangi form faktöründe uygulanacağına karar vermeniz gerekir: fiziksel veya sanal üst hat. Her seçeneğin avantajları ve dezavantajları vardır. Örneğin, fiziksel bir üst hattın gücü öngörülebilir performansındadır, ancak bu tür cihazların zamanla eskidiğini unutmamalıyız. Sanal üst hatlar daha az tahmin edilebilir çünkü... sanallaştırma ortamının dağıtıldığı donanıma bağlıdır, ancak ciddi bir avantajları vardır: destek mevcutsa her zaman en son sürüme güncellenebilirler.
Ağ ekipmanınız Cisco ISE ile uyumlu mu?
Elbette ideal senaryo tüm ekipmanların aynı anda sisteme bağlanması olacaktır. Ancak birçok kuruluş hâlâ yönetilmeyen anahtarlar veya Cisco ISE'yi çalıştıran teknolojilerin bazılarını desteklemeyen anahtarlar kullandığından bu her zaman mümkün değildir. Bu arada, sadece anahtarlardan bahsetmiyoruz, aynı zamanda kablosuz ağ denetleyicileri, VPN yoğunlaştırıcıları ve kullanıcıların bağlandığı diğer ekipmanlar da olabilir. Uygulamamda, sistemin tam olarak uygulanacağını gösterdikten sonra müşterinin neredeyse tüm erişim seviyesi anahtarları filosunu modern Cisco ekipmanına yükselttiği durumlar olmuştur. Hoş olmayan sürprizlerden kaçınmak için desteklenmeyen ekipmanın oranını önceden öğrenmeye değer.
Tüm cihazlarınız standart mı?
Her ağda, bağlanması zor olmayan tipik cihazlar bulunur: iş istasyonları, IP telefonlar, Wi-Fi erişim noktaları, video kameralar vb. Ancak aynı zamanda RS232/Ethernet veri yolu sinyal dönüştürücüleri, kesintisiz güç kaynağı arayüzleri, çeşitli teknolojik ekipmanlar vb. gibi standart olmayan cihazların da LAN'a bağlanması gerekebilir. Bu tür cihazların listesinin önceden belirlenmesi önemlidir. böylece uygulama aşamasında bunların Cisco ISE ile teknik olarak nasıl çalışacaklarını zaten anlamış olursunuz.
BT uzmanlarıyla yapıcı diyalog
Cisco ISE müşterileri genellikle güvenlik departmanlarından oluşurken, BT departmanları genellikle erişim katmanı anahtarlarının ve Active Directory'nin yapılandırılmasından sorumludur. Bu nedenle güvenlik uzmanları ile BT uzmanları arasındaki verimli etkileşim, sistemin sorunsuz uygulanmasının önemli koşullarından biridir. Eğer ikincisi entegrasyonu düşmanlıkla algılarsa, çözümün BT departmanı için ne kadar faydalı olacağını onlara açıklamakta fayda var.
En iyi 5 Cisco ISE kullanım örneği
Deneyimlerimize göre sistemin gerekli işlevselliği pilot test aşamasında da belirlenmektedir. Çözümün en popüler ve daha az yaygın kullanım örneklerinden bazıları aşağıda verilmiştir.
EAP-TLS ile kablo üzerinden güvenli LAN erişimi
Sızma testçilerimizin araştırmasının sonuçlarının gösterdiği gibi, saldırganlar genellikle bir şirketin ağına sızmak için yazıcıların, telefonların, IP kameraların, Wi-Fi noktalarının ve diğer kişisel olmayan ağ cihazlarının bağlı olduğu sıradan soketleri kullanır. Bu nedenle, ağ erişimi dot1x teknolojisine dayansa ve kullanıcı kimlik doğrulama sertifikaları kullanılmadan alternatif protokoller kullanılsa bile, oturum müdahalesi ve kaba kuvvet şifreleri ile başarılı bir saldırı gerçekleştirilme olasılığı yüksektir. Cisco ISE durumunda, sertifikayı çalmak çok daha zor olacak - bunun için bilgisayar korsanlarının çok daha fazla bilgi işlem gücüne ihtiyacı olacak, bu nedenle bu durum çok etkili.
Çift SSID kablosuz erişim
Bu senaryonun özü 2 ağ tanımlayıcısının (SSID) kullanılmasıdır. Bunlardan birine şartlı olarak “misafir” denilebilir. Bu sayede hem misafirler hem de şirket çalışanları kablosuz ağa erişebilir. Bağlanmaya çalıştıklarında ikincisi, provizyonun gerçekleştiği özel bir portala yönlendirilir. Yani, kullanıcıya bir sertifika verilir ve kişisel cihazı, ilk durumun tüm avantajlarıyla birlikte zaten EAP-TLS kullanan ikinci SSID'ye otomatik olarak yeniden bağlanacak şekilde yapılandırılır.
MAC Kimlik Doğrulaması Atlaması ve Profil Oluşturma
Bir başka popüler kullanım durumu da, bağlanan cihazın türünü otomatik olarak tespit etmek ve ona doğru kısıtlamaları uygulamaktır. Neden ilginç? Gerçek şu ki, 802.1X protokolünü kullanarak kimlik doğrulamayı desteklemeyen oldukça fazla cihaz var. Bu nedenle, bu tür cihazların, sahte olması oldukça kolay olan bir MAC adresi kullanılarak ağa bağlanmasına izin verilmesi gerekir. Cisco ISE'nin kurtarmaya geldiği yer burasıdır: sistemin yardımıyla bir cihazın ağda nasıl davrandığını görebilir, profilini oluşturabilir ve onu bir grup başka cihaza, örneğin bir IP telefonuna ve iş istasyonuna atayabilirsiniz. . Saldırganın bir MAC adresini taklit edip ağa bağlanmaya çalışması durumunda sistem, cihaz profilinin değiştiğini görecek, şüpheli davranış sinyali verecek ve şüpheli kullanıcının ağa girmesine izin vermeyecektir.
EAP Zincirleme
EAP Zincirleme teknolojisi, çalışan bilgisayarın ve kullanıcı hesabının sıralı kimlik doğrulamasını içerir. Bu dava çok yaygınlaştı çünkü... Pek çok şirket hâlâ çalışanların kişisel aygıtlarının kurumsal LAN'a bağlanmasını teşvik etmiyor. Kimlik doğrulamaya yönelik bu yaklaşımı kullanarak, belirli bir iş istasyonunun etki alanının üyesi olup olmadığını kontrol etmek mümkündür ve sonuç olumsuzsa, kullanıcının ağa girmesine izin verilmez veya girilebilir, ancak belirli bir süre ile girilebilir. kısıtlamalar.
duruş
Bu vaka, iş istasyonu yazılımının bilgi güvenliği gereksinimlerine uygunluğunun değerlendirilmesi ile ilgilidir. Bu teknolojiyi kullanarak iş istasyonundaki yazılımın güncellenip güncellenmediğini, güvenlik önlemlerinin yüklü olup olmadığını, ana bilgisayar güvenlik duvarının yapılandırılıp yapılandırılmadığını vb. kontrol edebilirsiniz. İlginç bir şekilde, bu teknoloji aynı zamanda güvenlikle ilgili olmayan diğer görevleri de çözmenize olanak tanır, örneğin gerekli dosyaların varlığını kontrol etmek veya sistem çapında yazılım yüklemek.
Cisco ISE'nin daha az yaygın olan kullanım durumları arasında uçtan uca etki alanı kimlik doğrulaması (Pasif Kimlik) ile erişim kontrolü, SGT tabanlı mikro segmentasyon ve filtrelemenin yanı sıra mobil cihaz yönetimi (MDM) sistemleri ve Güvenlik Açığı Tarayıcılarıyla entegrasyon yer alır.
Standart dışı projeler: Cisco ISE'ye başka neden ihtiyacınız olabilir veya uygulamamızdan 3 nadir örnek
Linux tabanlı sunuculara erişim kontrolü
Halihazırda Cisco ISE sistemini uygulayan müşterilerden biri için oldukça önemsiz olmayan bir durumu çözerken: Linux yüklü sunucularda kullanıcı eylemlerini (çoğunlukla yöneticiler) kontrol etmenin bir yolunu bulmamız gerekiyordu. Bir cevap ararken, harici bir radius sunucusunda kimlik doğrulama ile Linux çalıştıran sunucularda oturum açmanıza olanak tanıyan ücretsiz PAM Radius Modülü yazılımını kullanma fikrini bulduk. Bu bağlamda her şey, bir "ama" olmasa bile iyi olurdu: kimlik doğrulama isteğine yanıt gönderen radius sunucusu, yalnızca hesap adını ve sonucu verir - değerlendirme kabul edildi veya değerlendirme reddedildi. Bu arada, Linux'ta yetkilendirme için, kullanıcının en azından bir yere ulaşması için en az bir parametre daha - ana dizin - atamanız gerekir. Bunu radius özelliği olarak vermenin bir yolunu bulamadık, bu nedenle ana bilgisayarlarda yarı otomatik modda uzaktan hesap oluşturmak için özel bir komut dosyası yazdık. Sayısı çok fazla olmayan yönetici hesaplarıyla uğraştığımız için bu görev oldukça mümkündü. Daha sonra kullanıcılar gerekli cihazda oturum açtı ve ardından onlara gerekli erişim atandı. Makul bir soru ortaya çıkıyor: Bu gibi durumlarda Cisco ISE'yi kullanmak gerekli midir? Aslında hayır; herhangi bir radius sunucusu işe yarayacaktır, ancak müşteri bu sisteme zaten sahip olduğundan, ona sadece yeni bir özellik ekledik.
LAN'daki donanım ve yazılım envanteri
Bir zamanlar Cisco ISE'yi bir müşteriye ön "pilot" olmadan tedarik etmeye yönelik bir proje üzerinde çalışıyorduk. Çözüm için net bir gereklilik yoktu, ayrıca düz, bölümlere ayrılmamış bir ağla uğraşıyorduk ve bu da görevimizi zorlaştırıyordu. Proje sırasında ağın desteklediği tüm olası profil oluşturma yöntemlerini yapılandırdık: NetFlow, DHCP, SNMP, AD entegrasyonu vb. Sonuç olarak MAR erişimi, kimlik doğrulamanın başarısız olması durumunda ağda oturum açabilecek şekilde yapılandırıldı. Yani, kimlik doğrulama başarılı olmasa bile sistem, kullanıcının ağa girmesine izin verecek, onunla ilgili bilgileri toplayacak ve İMKB veri tabanına kaydedecektir. Birkaç hafta süren bu ağ izleme, bağlantılı sistemleri ve kişisel olmayan cihazları tanımlamamıza ve bunları segmentlere ayırmaya yönelik bir yaklaşım geliştirmemize yardımcı oldu. Bundan sonra, iş istasyonlarında yüklü olan yazılım hakkında bilgi toplamak amacıyla aracıyı iş istasyonlarına yüklemek için ayrıca gönderimi yapılandırdık. Sonuç nedir? Ağı bölümlere ayırabildik ve iş istasyonlarından kaldırılması gereken yazılımların listesini belirleyebildik. Kullanıcıları etki alanı gruplarına dağıtma ve erişim haklarını tanımlama gibi diğer görevlerin oldukça fazla zaman aldığını saklamayacağım, ancak bu şekilde müşterinin ağda hangi donanıma sahip olduğuna dair tam bir resim elde ettik. Bu arada, profil oluşturmanın iyi çalışması nedeniyle bu zor olmadı. Profil oluşturmanın yardımcı olmadığı durumlarda, ekipmanın bağlı olduğu anahtar bağlantı noktasını vurgulayarak kendimize baktık.
Yazılımın iş istasyonlarına uzaktan kurulumu
Bu vaka pratiğimdeki en tuhaf vakalardan biri. Bir gün bir müşteri yardım çığlığıyla bize geldi; Cisco ISE'yi uygularken bir şeyler ters gitti, her şey bozuldu ve ağa başka kimse erişemedi. Araştırmaya başladık ve şunları öğrendik. Şirketin 2000 bilgisayarı vardı ve etki alanı denetleyicisinin yokluğunda bunlar bir yönetici hesabı altında yönetiliyordu. Eşleme amacıyla kuruluş Cisco ISE'yi uygulamaya koydu. Mevcut bilgisayarlara bir antivirüsün kurulu olup olmadığını, yazılım ortamının güncellenip güncellenmediğini vb. Bir şekilde anlamak gerekiyordu. BT yöneticileri sisteme ağ ekipmanı yükledikleri için bu donanıma erişim sahibi olmaları mantıklıdır. Yöneticiler, programın nasıl çalıştığını gördükten ve bilgisayarlarını güzelleştirdikten sonra, kişisel ziyaretlere gerek kalmadan yazılımı çalışanların iş istasyonlarına uzaktan yükleme fikrini ortaya attılar. Bu şekilde günde kaç adım tasarruf edebileceğinizi hayal edin! Yöneticiler, C:Program Dosyaları dizininde belirli bir dosyanın varlığına yönelik iş istasyonunda çeşitli kontroller gerçekleştirdi ve bu dosyanın mevcut olmaması durumunda, dosya depolama alanına kurulum .exe dosyasına giden bir bağlantı izlenerek otomatik iyileştirme başlatıldı. Bu, sıradan kullanıcıların bir dosya paylaşımına gitmesine ve gerekli yazılımı oradan indirmesine olanak tanıdı. Ne yazık ki yönetici İMKB sistemini iyi tanımıyordu ve kayıt mekanizmalarına zarar verdi - politikayı yanlış yazdı, bu da çözmekte dahil olduğumuz bir soruna yol açtı. Şahsen ben bu kadar yaratıcı bir yaklaşıma içtenlikle şaşırdım çünkü bir etki alanı denetleyicisi oluşturmak çok daha ucuz ve daha az emek gerektirir. Ancak bir kavram kanıtı olarak işe yaradı.
Meslektaşımın makalesinde Cisco ISE'yi uygularken ortaya çıkan teknik nüanslar hakkında daha fazla bilgi edinin .
Artem Bobrikov, Jet Infosystems Bilgi Güvenliği Merkezi tasarım mühendisi
Послесловие:
Bu yazının Cisco ISE sisteminden bahsetmesine rağmen açıklanan sorunlar tüm NAC çözümleri sınıfıyla ilgilidir. Uygulama için hangi satıcının çözümünün planlandığı o kadar önemli değildir; yukarıdakilerin çoğu uygulanabilir olmaya devam edecektir.
Kaynak: habr.com