Siz qanchalik tez-tez ajoyib reklamaga berilib, o'z-o'zidan biror narsa sotib olasiz va keyin bu dastlab kerakli narsa keyingi bahor tozalash yoki ko'chirishgacha shkafda, oshxonada yoki garajda chang to'playdi? Natijada asossiz umidlar va behuda pullar tufayli umidsizlik paydo bo'ladi. Bu biznes bilan sodir bo'lsa, bundan ham yomonroq. Ko'pincha marketing hiyla-nayranglari shunchalik yaxshiki, kompaniyalar uni qo'llashning to'liq rasmini ko'rmasdan qimmat echimni sotib olishadi. Shu bilan birga, tizimni sinovdan o'tkazish infratuzilmani integratsiyaga qanday tayyorlashni, qanday funksionallik va qay darajada amalga oshirilishi kerakligini tushunishga yordam beradi. Shunday qilib, mahsulotni "ko'r-ko'rona" tanlash tufayli juda ko'p muammolardan qochishingiz mumkin. Bundan tashqari, malakali "uchuvchi" dan so'ng amalga oshirish muhandislarga nerv hujayralari va kulrang sochlarni kamroq yo'q qiladi. Keling, korporativ tarmoqqa kirishni boshqarish uchun mashhur vosita - Cisco ISE misolidan foydalanib, muvaffaqiyatli loyiha uchun tajriba sinovi nima uchun juda muhimligini aniqlaylik. Amaliyotimizda duch kelgan yechimdan foydalanishning standart va mutlaqo nostandart variantlarini ko'rib chiqaylik.
Cisco ISE - "steroidlardagi radius serveri"
Cisco Identity Services Engine (ISE) - bu tashkilotning mahalliy tarmog'iga kirishni boshqarish tizimini yaratish uchun platforma. Mutaxassislar hamjamiyatida mahsulot o'z xususiyatlariga ko'ra "steroidlar bo'yicha radius serveri" laqabini oldi. Nega bunday? Aslida, bu yechim Radius server bo'lib, unga juda ko'p miqdordagi qo'shimcha xizmatlar va "hiylalar" biriktirilgan bo'lib, sizga katta hajmdagi kontekstli ma'lumotlarni olish va olingan ma'lumotlar to'plamini kirish siyosatida qo'llash imkonini beradi.
Boshqa har qanday Radius serveri singari, Cisco ISE kirish darajasidagi tarmoq uskunalari bilan o'zaro ishlaydi, korporativ tarmoqqa ulanish bo'yicha barcha urinishlar haqida ma'lumot to'playdi va autentifikatsiya va avtorizatsiya siyosatiga asoslanib, foydalanuvchilarga LANga ruxsat beradi yoki rad etadi. Biroq, profillash, joylashtirish va boshqa axborot xavfsizligi echimlari bilan integratsiya qilish imkoniyati avtorizatsiya siyosati mantig'ini sezilarli darajada murakkablashtirishga va shu bilan juda qiyin va qiziqarli muammolarni hal qilishga imkon beradi.
Amalga oshirishni sinovdan o'tkazish mumkin emas: nega sizga test kerak?
Tajribali sinovning ahamiyati ma'lum bir tashkilotning o'ziga xos infratuzilmasida tizimning barcha imkoniyatlarini namoyish etishdan iborat. Ishonchim komilki, Cisco ISE-ni amalga oshirishdan oldin sinovdan o'tkazish loyihada ishtirok etayotgan barchaga foyda keltiradi va buning sababi.
Bu integratorlarga mijozning taxminlari haqida aniq tasavvur beradi va "hamma narsa yaxshi ekanligiga ishonch hosil qiling" umumiy iborasidan ko'ra ko'proq tafsilotlarni o'z ichiga olgan to'g'ri texnik tavsifni yaratishga yordam beradi. "Uchuvchi" mijozning barcha dardlarini his qilishimizga, qaysi vazifalar u uchun ustuvor va qaysi biri ikkinchi darajali ekanligini tushunishga imkon beradi. Biz uchun bu tashkilotda qanday asbob-uskunalar ishlatilishini, amalga oshirish qanday amalga oshirilishini, qaysi saytlarda, ular qaerda joylashganligini va hokazolarni oldindan aniqlash uchun ajoyib imkoniyatdir.
Tajribali sinov paytida mijozlar haqiqiy tizimni ishlayotganini ko'radilar, uning interfeysi bilan tanishadilar, uning mavjud uskunasiga mos kelishini tekshirishlari va to'liq amalga oshirilgandan so'ng yechim qanday ishlashi haqida yaxlit tushunchaga ega bo'lishlari mumkin. "Uchuvchi" - bu integratsiya paytida duch keladigan barcha tuzoqlarni ko'rishingiz va qancha litsenziya sotib olishingiz kerakligini hal qilishingiz mumkin bo'lgan vaqt.
"Uchuvchi" paytida nima "ochilishi" mumkin
Xo'sh, Cisco ISE ni joriy etishga qanday tayyorgarlik ko'rish kerak? O'z tajribamizdan kelib chiqib, biz tizimni sinovdan o'tkazishda e'tiborga olish kerak bo'lgan 4 ta asosiy fikrni sanab o'tdik.
Formaning omili
Birinchidan, tizim qaysi shakl omilida amalga oshirilishini hal qilishingiz kerak: jismoniy yoki virtual yuqori chiziq. Har bir variantning afzalliklari va kamchiliklari mavjud. Misol uchun, jismoniy yuqori chiziqning kuchi uning prognoz qilinadigan ishlashidir, ammo biz bunday qurilmalar vaqt o'tishi bilan eskirishini unutmasligimiz kerak. Virtual yuqori chiziqlarni oldindan aytib bo'lmaydi, chunki... virtualizatsiya muhiti o'rnatilgan apparatga bog'liq, ammo ular jiddiy afzalliklarga ega: agar qo'llab-quvvatlash mavjud bo'lsa, ular har doim eng so'nggi versiyaga yangilanishi mumkin.
Tarmoq uskunangiz Cisco ISE bilan mos keladimi?
Albatta, ideal stsenariy barcha jihozlarni bir vaqtning o'zida tizimga ulash bo'ladi. Biroq, bu har doim ham mumkin emas, chunki ko'pgina tashkilotlar hali ham Cisco ISE bilan ishlaydigan ba'zi texnologiyalarni qo'llab-quvvatlamaydigan boshqarilmaydigan kalitlardan yoki kalitlardan foydalanadilar. Aytgancha, biz shunchaki kalitlar haqida gapirmayapmiz, bu simsiz tarmoq kontrollerlari, VPN kontsentratorlari va foydalanuvchilar ulanadigan boshqa jihozlar ham bo'lishi mumkin. Mening amaliyotimda, tizimni to'liq amalga oshirish uchun namoyish qilgandan so'ng, mijoz deyarli barcha kirish darajasidagi o'tish moslamalarini zamonaviy Cisco uskunasiga yangilagan holatlar bo'lgan. Noxush kutilmagan hodisalarga yo'l qo'ymaslik uchun qo'llab-quvvatlanmaydigan asbob-uskunalarning ulushini oldindan aniqlashga arziydi.
Barcha qurilmalaringiz standartmi?
Har qanday tarmoqda ulanish qiyin bo'lmasligi kerak bo'lgan odatiy qurilmalar mavjud: ish stantsiyalari, IP telefonlar, Wi-Fi kirish nuqtalari, video kameralar va boshqalar. Lekin shunday bo'ladiki, nostandart qurilmalar LANga ulanishi kerak, masalan, RS232/Ethernet shinasi signali konvertorlari, uzluksiz quvvat manbai interfeyslari, turli texnologik uskunalar va boshqalar. Bunday qurilmalar ro'yxatini oldindan aniqlash muhim. , shuning uchun amalga oshirish bosqichida siz Cisco ISE bilan texnik jihatdan qanday ishlashini allaqachon tushunasiz.
IT mutaxassislari bilan konstruktiv muloqot
Cisco ISE mijozlari ko'pincha xavfsizlik bo'limlari bo'lib, IT bo'limlari odatda kirish sathi kalitlari va Active Directoryni sozlash uchun javobgardir. Shu sababli, xavfsizlik bo'yicha mutaxassislar va IT mutaxassislari o'rtasidagi samarali hamkorlik tizimni og'riqsiz amalga oshirishning muhim shartlaridan biridir. Agar ikkinchisi integratsiyani dushmanlik bilan qabul qilsa, ularga yechim IT bo'limi uchun qanday foydali bo'lishini tushuntirishga arziydi.
Cisco ISE-dan foydalanishning eng yaxshi 5 holatlari
Bizning tajribamizga ko'ra, tizimning talab qilinadigan funksionalligi tajriba sinov bosqichida ham aniqlanadi. Quyida yechim uchun eng mashhur va kamroq tarqalgan foydalanish holatlari keltirilgan.
EAP-TLS bilan sim orqali LAN tarmog'iga xavfsiz kirish
Bizning pentesters tadqiqotimiz natijalari shuni ko'rsatadiki, tajovuzkorlar ko'pincha kompaniya tarmog'iga kirish uchun printerlar, telefonlar, IP kameralar, Wi-Fi nuqtalari va boshqa shaxsiy bo'lmagan tarmoq qurilmalari ulangan oddiy rozetkalardan foydalanadilar. Shu sababli, tarmoqqa kirish dot1x texnologiyasiga asoslangan bo'lsa ham, lekin foydalanuvchi autentifikatsiya sertifikatlaridan foydalanmasdan muqobil protokollar qo'llanilsa ham, sessiyani ushlab turish va qo'pol kuch parollari bilan muvaffaqiyatli hujum qilish ehtimoli yuqori. Cisco ISE misolida, sertifikatni o'g'irlash ancha qiyin bo'ladi - buning uchun xakerlarga ko'proq hisoblash kuchi kerak bo'ladi, shuning uchun bu ish juda samarali.
Dual-SSID simsiz ulanish
Ushbu stsenariyning mohiyati 2 ta tarmoq identifikatoridan (SSID) foydalanishdir. Ulardan birini shartli ravishda "mehmon" deb atash mumkin. U orqali mehmonlar ham, kompaniya xodimlari ham simsiz tarmoqqa kirishlari mumkin. Ular ulanishga harakat qilganda, ikkinchisi provayderlik amalga oshiriladigan maxsus portalga yo'naltiriladi. Ya'ni, foydalanuvchiga sertifikat beriladi va uning shaxsiy qurilmasi birinchi holatning barcha afzalliklari bilan allaqachon EAP-TLS dan foydalanadigan ikkinchi SSIDga avtomatik ravishda qayta ulanish uchun sozlangan.
MAC autentifikatsiyasini aylanib o'tish va profillash
Yana bir mashhur foydalanish holati - ulangan qurilma turini avtomatik ravishda aniqlash va unga to'g'ri cheklovlarni qo'llash. Nega u qiziq? Gap shundaki, 802.1X protokoli yordamida autentifikatsiyani qo'llab-quvvatlamaydigan juda ko'p qurilmalar hali ham mavjud. Shuning uchun, bunday qurilmalarni MAC manzili yordamida tarmoqqa kirishga ruxsat berish kerak, bu soxtalashtirish juda oson. Bu erda Cisco ISE yordamga keladi: tizim yordamida siz qurilmaning tarmoqda o'zini qanday tutishini ko'rishingiz, uning profilini yaratishingiz va uni boshqa qurilmalar guruhiga, masalan, IP telefon va ish stantsiyasiga belgilashingiz mumkin. . Agar tajovuzkor MAC manzilini buzishga va tarmoqqa ulanishga harakat qilsa, tizim qurilma profili o'zgarganini ko'radi, shubhali xatti-harakatlar haqida signal beradi va shubhali foydalanuvchini tarmoqqa kiritmaydi.
EAP zanjiri
EAP-Chaining texnologiyasi ishchi kompyuter va foydalanuvchi hisobini ketma-ket autentifikatsiya qilishni o'z ichiga oladi. Bu holat keng tarqaldi, chunki... Ko'pgina kompaniyalar hali ham xodimlarning shaxsiy gadjetlarini korporativ LANga ulashni rag'batlantirmaydi. Autentifikatsiya qilishning ushbu yondashuvidan foydalanib, ma'lum bir ish stantsiyasining domen a'zosi yoki yo'qligini tekshirish mumkin va agar natija salbiy bo'lsa, foydalanuvchi tarmoqqa kirishga ruxsat etilmaydi yoki kirish imkoniyatiga ega bo'ladi, lekin ma'lum cheklovlar.
Posturing
Bu ish ish stantsiyasining dasturiy ta'minotining axborot xavfsizligi talablariga muvofiqligini baholash haqida. Ushbu texnologiyadan foydalanib, siz ish stantsiyasidagi dasturiy ta'minot yangilanganligini, unga xavfsizlik choralari o'rnatilganligini, xost xavfsizlik devori sozlanganligini va hokazolarni tekshirishingiz mumkin. Qizig'i shundaki, ushbu texnologiya xavfsizlik bilan bog'liq bo'lmagan boshqa vazifalarni ham hal qilish imkonini beradi, masalan, zarur fayllar mavjudligini tekshirish yoki butun tizim dasturlarini o'rnatish.
Cisco ISE uchun kamroq tarqalgan foydalanish holatlari domen autentifikatsiyasi (Passiv ID), SGT-ga asoslangan mikro-segmentatsiya va filtrlash bilan kirishni boshqarish, shuningdek, mobil qurilmalarni boshqarish (MDM) tizimlari va zaiflik skanerlari bilan integratsiyani o'z ichiga oladi.
Nostandart loyihalar: yana nima uchun sizga Cisco ISE kerak bo'lishi mumkin yoki bizning amaliyotimizdagi 3 ta kamdan-kam holatlar
Linux serverlariga kirishni boshqarish
Bir marta biz Cisco ISE tizimini joriy qilgan mijozlardan biri uchun juda ahamiyatsiz bo'lgan ishni hal qilar edik: Linux o'rnatilgan serverlarda foydalanuvchi harakatlarini (asosan ma'murlar) boshqarish yo'lini topishimiz kerak edi. Javob izlashda biz tashqi radius serverida autentifikatsiya qilingan Linux serverlariga kirish imkonini beruvchi bepul PAM Radius Module dasturidan foydalanish gβoyasiga keldik. Bu borada hamma narsa yaxshi bo'lardi, agar bitta "lekin" bo'lmasa: radius serveri autentifikatsiya so'roviga javob yuborib, faqat hisob nomini va natijani beradi - qabul qilingan yoki rad etilgan baho. Shu bilan birga, Linuxda avtorizatsiya qilish uchun siz kamida bitta parametrni - uy katalogini belgilashingiz kerak, shunda foydalanuvchi hech bo'lmaganda biror joyga etib boradi. Biz buni radius atributi sifatida berish usulini topa olmadik, shuning uchun biz yarim avtomatik rejimda hostlarda masofadan hisob qaydnomalarini yaratish uchun maxsus skript yozdik. Bu vazifani bajarish mumkin edi, chunki biz administrator hisoblari bilan shug'ullanardik, ularning soni unchalik katta emas edi. Keyinchalik, foydalanuvchilar kerakli qurilmaga kirishdi, shundan so'ng ularga kerakli kirish huquqi berildi. O'rinli savol tug'iladi: bunday hollarda Cisco ISE dan foydalanish kerakmi? Aslida, yo'q - har qanday radius server qiladi, lekin mijoz allaqachon ushbu tizimga ega bo'lganligi sababli, biz unga yangi xususiyat qo'shdik.
LANdagi apparat va dasturiy ta'minotni inventarizatsiya qilish
Biz bir marta Cisco ISE ni dastlabki βuchuvchiβsiz bitta mijozga yetkazib berish loyihasi ustida ishlaganmiz. Yechim uchun aniq talablar yo'q edi, bundan tashqari, biz tekis, segmentlanmagan tarmoq bilan shug'ullanardik, bu bizning vazifamizni murakkablashtirdi. Loyiha davomida biz tarmoq qo'llab-quvvatlaydigan barcha mumkin bo'lgan profillash usullarini sozladik: NetFlow, DHCP, SNMP, AD integratsiyasi va boshqalar. Natijada, agar autentifikatsiya muvaffaqiyatsiz bo'lsa, MARga kirish tarmoqqa kirish imkoniyati bilan tuzilgan. Ya'ni, autentifikatsiya muvaffaqiyatli o'tmagan taqdirda ham tizim foydalanuvchiga tarmoqqa kirishga ruxsat berib, u haqidagi ma'lumotlarni to'playdi va ISE ma'lumotlar bazasiga yozib qo'yadi. Ushbu tarmoq monitoringi bir necha hafta davomida ulangan tizimlar va shaxsiy bo'lmagan qurilmalarni aniqlashga va ularni segmentlarga ajratish yondashuvini ishlab chiqishga yordam berdi. Shundan so'ng, biz agentni ish stantsiyalarida o'rnatilgan dasturiy ta'minot haqida ma'lumot to'plash uchun o'rnatish uchun qo'shimcha ravishda postingni sozladik. Natija qanday? Biz tarmoqni segmentlash va ish stantsiyalaridan olib tashlanishi kerak bo'lgan dasturlar ro'yxatini aniqlashga muvaffaq bo'ldik. Yashirmayman, foydalanuvchilarni domen guruhlariga taqsimlash va kirish huquqlarini belgilash bo'yicha keyingi vazifalar bizni juda ko'p vaqt talab qildi, ammo shu tarzda biz mijozning tarmoqda qanday apparat vositalari borligi haqida to'liq tasavvurga ega bo'ldik. Aytgancha, bu qutidan profillashning yaxshi ishi tufayli qiyin emas edi. Xo'sh, profillash yordam bermagan joyda, biz uskuna ulangan kommutator portini ajratib ko'rsatib, o'zimizga qaradik.
Ish stantsiyalarida dasturiy ta'minotni masofadan o'rnatish
Bu mening amaliyotimdagi eng g'alati holatlardan biridir. Bir kuni mijoz bizga yordam soβrab faryod bilan keldi β Cisco ISE ni joriy qilishda nimadir notoβgβri ketdi, hammasi buzildi va boshqa hech kim tarmoqqa kira olmadi. Biz buni o'rganishni boshladik va quyidagilarni bilib oldik. Kompaniyada 2000 ta kompyuter mavjud bo'lib, ular domen nazoratchisi yo'qligida administrator hisobi ostida boshqarilardi. Peering maqsadida tashkilot Cisco ISE ni joriy qildi. Mavjud shaxsiy kompyuterlarda antivirus o'rnatilgan yoki yo'qligini, dasturiy ta'minot muhiti yangilanganligini va hokazolarni qandaydir tarzda tushunish kerak edi. Va IT ma'murlari tizimga tarmoq uskunasini o'rnatganligi sababli, ular unga kirish huquqiga ega bo'lishlari mantiqan to'g'ri. Uning qanday ishlashini ko'rib, shaxsiy kompyuterlarini o'rnatgandan so'ng, ma'murlar dasturiy ta'minotni xodimlarning ish stantsiyalariga shaxsiy tashriflarsiz masofadan turib o'rnatish g'oyasini o'ylab topishdi. Shu tarzda kuniga qancha qadamni tejashingiz mumkinligini tasavvur qiling! Administratorlar C: Program Files katalogida ma'lum bir fayl mavjudligi uchun ish stantsiyasini bir necha marta tekshirishdi va agar u yo'q bo'lsa, exe faylini o'rnatish uchun faylni saqlashga olib boradigan havola orqali avtomatik tuzatish ishga tushirildi. Bu oddiy foydalanuvchilarga fayl almashishga o'tish va u erdan kerakli dasturiy ta'minotni yuklab olish imkonini berdi. Afsuski, administrator ISE tizimini yaxshi bilmasdi va joylashtirish mexanizmlarini buzdi - u siyosatni noto'g'ri yozdi, bu biz hal qilishda ishtirok etgan muammoga olib keldi. Shaxsan men bunday ijodiy yondashuvdan chin dildan hayratdaman, chunki domen boshqaruvchisini yaratish ancha arzon va kamroq mehnat talab qiladigan bo'lar edi. Ammo kontseptsiya isboti sifatida u ishladi.
Cisco ISE-ni amalga oshirishda yuzaga keladigan texnik nuanslar haqida mening hamkasbimning maqolasida o'qing. .
Artem Bobrikov, Jet Infosystems Axborot xavfsizligi markazi muhandisi
So'zdan keyin:
Ushbu postda Cisco ISE tizimi haqida gap ketganiga qaramay, tasvirlangan muammolar NAC yechimlarining butun sinfi uchun dolzarbdir. Qaysi sotuvchining yechimini amalga oshirish rejalashtirilganligi unchalik muhim emas - yuqoridagilarning aksariyati amalda qoladi.
Manba: www.habr.com