Як часто ви купуєте щось спонтанно, піддавшись крутій рекламі, а потім ця спочатку бажана річ припадає пилом у шафі, коморі або гаражі до чергового генерального прибирання або переїзду? Як результат — розчарування через невиправдані очікування і даремно витрачені гроші. Набагато гірше, коли таке трапляється із бізнесом. Дуже часто маркетингові трюки бувають настільки хорошими, що компанії набувають дорогого рішення, не бачачи повної картини його застосування. Тим часом пробне тестування системи допомагає зрозуміти, як підготувати інфраструктуру до інтеграції, який функціонал і в якому обсязі варто впроваджувати. Так можна уникнути величезної кількості проблем через вибір продукту «в сліпу». До того ж, використання після грамотного «пілота» принесе інженерам набагато менше зруйнованих нервових клітин та сивого волосся. Розберемося, чому пілотне тестування таке важливе для успішного проекту, на прикладі популярного інструменту для контролю доступу до корпоративної мережі — Cisco ISE. Розглянемо як типові, і зовсім нестандартні варіанти застосування рішення, які зустрічалися нашій практиці.
Cisco ISE - "Radius-сервер на стеродіях"
Cisco Identity Services Engine (ISE) – це платформа для створення системи контролю доступу до локально-обчислювальної мережі організації. В експертному співтоваристві продукт за його властивості прозвали "Radius-сервером на стероїдах". Чому так? По суті, рішення є Radius-сервером, до якого прикрутили величезну кількість додаткових сервісів і «фішечок», що дозволяють отримувати великий обсяг контекстної інформації та застосовувати отриману сукупність даних у політиках доступу.
Як і будь-який інший Radius-сервер, Cisco ISE взаємодіє з мережевим обладнанням рівня доступу, збирає інформацію про всі спроби підключення до корпоративної мережі та на основі політик автентифікації та авторизації пускає або не пускає користувачів до ЛОМ. Однак можливість профілювання, посчерингу, інтеграції з іншими ІБ-рішеннями дозволяє суттєво ускладнити логіку політики авторизації і цим вирішувати досить важкі та цікаві завдання.
Впроваджувати не можна пілотувати: навіщо потрібне тестування?
Цінність пілотного тестування – у демонстрації всіх можливостей системи у конкретній інфраструктурі конкретної організації. Я переконаний, що пілотування Cisco ISE перед використанням корисне всім учасникам проекту, і ось чому.
Інтеграторам це дає чітке уявлення про очікування замовника і допомагає сформувати коректне технічне завдання, що містить набагато більше деталей, ніж фраза «зробіть так, щоб все було добре». Пілот дозволяє нам відчути весь біль замовника, зрозуміти, які завдання для нього пріоритетні, а які другорядні. Для нас це чудова можливість розібратися заздалегідь, яке обладнання використовується в організації, як проходитиме впровадження, на яких майданчиках, де вони розташовані і таке інше.
Замовники ж під час пілотного тестування бачать реальну систему в дії, знайомляться з її інтерфейсом, можуть перевірити, чи вона сумісна з наявним у них «залізом», і отримати цілісне уявлення про те, як рішення працюватиме після повноцінного впровадження. «Пілот» — це той самий момент, коли можна побачити всі «підводні камені», з якими, напевно, доведеться зіткнутися при інтеграції, і вирішити, скільки ліцензій потрібно придбати.
Що може «спливти» під час «пілота»
Отже, як правильно підготуватися до впровадження Cisco ISE? З нашого досвіду ми нарахували 4 основні моменти, які важливо врахувати у процесі пілотного тестування системи.
Форм-фактор
Для початку потрібно визначитися, в якому форм-факторі буде реалізована система: фізичний або віртуальний аплайнс. Кожен варіант має переваги і недоліки. Наприклад, сильний бік фізичного аплайнсу — прогнозована продуктивність, проте не можна забувати, що такі пристрої з часом старіють. Віртуальні аплайнси менш передбачувані, т.к. залежить від устаткування, у якому розгорнуто середовище віртуалізації, але мають серйозний плюс: за наявності підтримки їх можна оновити до останньої версії.
Чи сумісне мережеве обладнання з Cisco ISE?
Зрозуміло, ідеальним сценарієм було б підключити до системи обладнання відразу. Тим не менш, це можливо не завжди, оскільки багато організацій досі використовують некеровані комутатори або комутатори, які не підтримують частину технологій, на яких працює Cisco ISE. До речі, йдеться не тільки про комутатори, це також можуть бути контролери бездротової мережі, VPN-концентратори та інше обладнання, до якого підключаються користувачі. У моїй практиці траплялися випадки, коли після демонстрації системи для повноцінного впровадження замовник оновлював практично весь парк комутаторів рівня доступу на сучасне обладнання Cisco. Щоб уникнути неприємних сюрпризів, варто заздалегідь з'ясувати частку обладнання, що не підтримується.
Чи всі ваші пристрої типові?
У будь-якій мережі є типові пристрої, з підключенням яких не повинно виникнути труднощів: автоматизовані робочі місця, IP-телефони, точки доступу Wi-Fi, відеокамери тощо. Але буває і так, що до ЛОМ потрібно підключити нетипові пристрої, наприклад, конвертери сигналів шини RS232/Ethernet, інтерфейси джерел безперебійного живлення, різне технологічне обладнання та ін. Список таких пристроїв важливо визначити заздалегідь, щоб на етапі впровадження у вас вже було розуміння, як технічно вони працюватимуть із Cisco ISE.
Конструктивний діалог з айтишниками
Часто замовниками Cisco ISE виступають департаменти безпеки, при цьому за налаштування комутаторів рівня доступу та Active Directory зазвичай відповідають ІТ-підрозділи. Тому продуктивна взаємодія безпечників та айтішників – одна з важливих умов безболісного впровадження системи. Якщо останні сприймають інтеграцію «в багнети», варто пояснити їм, чим рішення буде корисним ІТ-департаменту.
Топ-5 юзкейсів Cisco ISE
На наш досвід, необхідний функціонал системи також виявляється на етапі пілотного тестування. Нижче представлені кілька найпопулярніших і менш поширених кейсів використання рішення.
Безпечний доступ до ЛВС з EAP-TLS
Як показують результати досліджень наших пентестерів, часто для проникнення в мережу компанії зловмисники використовують звичайні розетки, до яких підключені принтери, телефони, IP-камери, Wi-Fi-точки та інші неперсональні мережеві пристрої. Тому навіть якщо доступ у мережу здійснюється на базі технології dot1x, але при цьому використовуються альтернативні протоколи без застосування сертифікатів підтвердження автентичності користувачів, велика ймовірність успішної атаки з перехопленням сесії та брутфорсом паролів. У випадку з Cisco ISE забрутити сертифікат буде значно складніше - для цього хакерам знадобляться набагато більші обчислювальні потужності, так що цей кейс дуже ефективний.
Бездротовий доступ Dual-SSID
Суть цього сценарію полягає у використанні 2 ідентифікаторів мережі (SSID). Один із них умовно можна назвати «гостяним». Через нього до бездротової мережі можуть заходити як гості, так і співробітники компанії. Останні під час спроби підключення перенаправляються на спеціальний портал, де відбувається провіжинінг. Тобто користувачеві виписується сертифікат і налаштовує його особистий пристрій для автоматичного перепідключення до другого SSID, в якому вже використовується EAP-TLS з усіма перевагами першого кейсу.
MAC Authentication Bypass та профільування
Ще один популярний кейс полягає в автоматичному визначенні типу пристрою, що підключається, і застосуванні до нього правильних обмежень. Чим він цікавий? Справа в тому, що до цих пір існує досить багато пристроїв, які не підтримують автентифікацію за протоколом 802.1X. Тому пускати в мережу такі пристрої доводиться за MAC-адресою, яку досить легко підробити. Тут на допомогу приходить Cisco ISE: за допомогою системи можна побачити, як пристрій поводиться в мережі, скласти його профіль і поставити йому у відповідність групу інших пристроїв, наприклад, IP-телефон та робочу станцію. При спробі зловмисника здійснити спуфінг MAC-адреси та підключитися до мережі, система побачить, що профіль пристрою змінився, подасть сигнал про підозрілу поведінку і не пустить підозрілого користувача в мережу.
EAP-Chaining
Технологія EAP-Chaining має на увазі послідовну автентифікацію робочого ПК та облікового запису користувача. Цей кейс набув широкого поширення, т.к. у багатьох компаніях досі не вітається підключення особистих гаджетів працівників до корпоративної ЛОМ. Використовуючи такий підхід до аутентифікації, можна перевірити, чи конкретна робоча станція є членом домену, і при негативному результаті користувач або не потрапить у мережу, або зайде, але з певними обмеженнями.
Позування
У цьому кейсі йдеться про оцінку відповідності складу програмного забезпечення робочої станції вимогам ІБ. За допомогою даної технології можна перевірити, чи оновлено програмне забезпечення на робочій станції, чи встановлені на ній засоби захисту, чи налаштований хостовий брандмауер і т.д. Цікаво, що ця технологія дозволяє вирішувати й інші завдання, не пов'язані з безпекою, наприклад, перевіряти наявність необхідних файлів або установки загальносистемного ПЗ.
Рідше зустрічаються також такі сценарії використання Cisco ISE, як контроль доступу з наскрізною доменною автентифікацією (Passive ID), SGT-based мікросегментація та фільтрація, а також інтеграція із системами керування мобільними пристроями (MDM) та сканерами уразливостей (Vulnerability Scanner).
Нестандартні проекти: навіщо ще може знадобитися Cisco ISE, або 3 рідкісні кейси з нашої практики
Контроль доступу до серверів на базі Linux
Якось ми вирішували досить нетривіальний кейс для одного із замовників, у якого вже була впроваджена система Cisco ISE: нам потрібно було знайти спосіб контролю дій користувача (в основному це були адміни) на серверах із встановленою ОС Linux. У пошуках відповіді нам прийшла ідея задіяти вільне ПЗ PAM Radius Module, що дозволяє здійснювати вхід на сервери під управлінням Linux з автентифікацією на зовнішньому радіус-сервері. Все в цьому плані було б добре, якби не одне «але»: радіус-сервер, надсилаючи відповідь на запит автентифікації, дає лише ім'я облікового запису та результат — assess accepted або assess rejected. Тим часом для авторизації в Linux потрібно призначити як мінімум ще один параметр — home directory, щоб користувач хоча б кудись потрапив. Ми не знайшли спосіб віддавати це як радіус-атрибут, тому написали спеціальний скрипт для віддаленого створення облікових записів на хостах у напівавтоматичному режимі. Це завдання було цілком здійсненне, оскільки ми мали справу з обліковими записами адміністраторів, кількість яких була не настільки великою. Далі користувачі заходили на необхідний пристрій, після чого призначався необхідний доступ. Виникає резонне питання: чи обов'язково використовувати у подібних кейсах саме Cisco ISE? Насправді ні — підійде будь-який радіус-сервер, але оскільки замовник вже мав дану систему, то ми просто додали до неї нову фішечку.
Інвентаризація «заліза» та ПЗ у ЛВС
Якось ми працювали над проектом з постачання Cisco ISE одному замовнику без попереднього «пілота». Чітких вимог до рішення не було, плюс до всього ми мали справу з плоскою, несегментованою мережею, що ускладнювало завдання. У ході проекту ми налаштували всі можливі методи профілювання, які підтримували мережу: NetFlow, DHCP, SNMP, інтеграція з AD тощо. У результаті було налаштовано доступ MAR з можливістю зайти в мережу при невдалої аутентифікації. Тобто, навіть якщо аутентифікація не була успішною, система все одно пускала користувача в мережу, збирала інформацію про нього і записувала її в базу даних ISE. Такий моніторинг мережі протягом кількох тижнів допоміг нам виділити системи, що підключаються, і неперсональні пристрої і виробити підхід до їх сегментації. Після цього ми додатково налаштували посчеринг для встановлення агента на робочі станції з метою збору інформації про встановлене на них програмне забезпечення. Що зрештою? Нам вдалося сегментувати мережу та визначити список ПЗ, яке потрібно було видалити з робочих станцій. Не приховуватиму, подальші завдання з розподілу користувачів за доменними групами та розмежування прав доступу забрали у нас досить багато часу, але таким чином ми отримали повну картину того, яке «залізо» було в мережі у замовника. До речі, це було нескладно за рахунок гарної роботи профілювання "з коробки". Ну а там, де профільування не допомогло, ми дивилися самі, виділивши порт комутатора, до якого було підключено обладнання.
Віддалене встановлення ПЗ на робочі станції
Цей кейс один із найдивніших у моїй практиці. Одного разу до нас звернувся замовник з криком про допомогу - при впровадженні Cisco ISE щось пішло не так, все зламалося, і ніхто більше не міг отримати доступ до мережі. Ми стали розбиратися та з'ясували таке. У компанії було 2000 комп'ютерів, управління якими через відсутність контролера домену здійснювалося з-під облікового запису адміністратора. З метою почергування в організації впровадили Cisco ISE. Потрібно було хоч якось зрозуміти, чи встановлено на ПК антивірус, чи оновлено програмне середовище і т.д. Оскільки мережне обладнання в систему заводили ІТ-адміністратори, логічно, що у них був до неї доступ. Подивившись, як вона працює, і провівши посчеринг своїх ПК, адміни придумали встановлювати програмне забезпечення на робочі станції співробітників віддалено без особистих візитів. Тільки уявіть, скільки кроків можна заощадити за день! Адміни провели кілька перевірок АРМ на наявність певного файлу в директорії C:Program Files, і за його відсутності запускалася автоматична ремедіація з переходом за посиланням, яка веде у файлове сховище на файл інсталяції .exe. Це дозволило рядовим користувачам зайти у файлову кулю та завантажити звідти потрібне ПЗ. На жаль, адмін погано знав систему ISE і пошкодив механізми посчерингу — неправильно написав політику, що призвело до проблеми, до вирішення якої підключили нас. Особисто я щиро здивований таким креативним підходом, адже набагато дешевше і менш трудомістко було б створити контролер домену. Але як Proof of concept це спрацювало.
Більше про технічні нюанси, що виникають при впровадженні Cisco ISE, читайте у статті мого колеги .
Артем Бобриков, інженер-проектувальник Центру інформаційної безпеки компанії «Інфосистеми Джет»
Післямова:
Незважаючи на те, що ця посада розповідає про систему Сisco ISE, описана проблематика актуальна для всього класу рішень NAC. Не так важливо, рішення якого вендора планується до впровадження, — більшість вищесказаного залишиться застосовною.
Джерело: habr.com