Bạn có thường xuyên mua một thứ gì đó một cách ngẫu hứng, không chịu nổi một quảng cáo hấp dẫn, và sau đó món đồ mong muốn ban đầu này sẽ bám bụi trong tủ quần áo, phòng đựng thức ăn hoặc nhà để xe cho đến khi dọn dẹp hoặc chuyển đi vào mùa xuân năm sau? Kết quả là sự thất vọng do những kỳ vọng không chính đáng và lãng phí tiền bạc. Tệ hơn nhiều khi điều này xảy ra với một doanh nghiệp. Rất thường xuyên, các mánh lới quảng cáo tiếp thị tốt đến mức các công ty mua một giải pháp đắt tiền mà không nhìn thấy bức tranh đầy đủ về ứng dụng của nó. Trong khi đó, việc thử nghiệm hệ thống giúp hiểu cách chuẩn bị cơ sở hạ tầng cho việc tích hợp, chức năng nào và nên triển khai ở mức độ nào. Bằng cách này, bạn có thể tránh được rất nhiều vấn đề do chọn sản phẩm một cách “mù quáng”. Ngoài ra, việc thực hiện sau một “phi công” có năng lực sẽ giúp các kỹ sư ít bị phá hủy tế bào thần kinh và tóc bạc hơn nhiều. Hãy cùng tìm hiểu lý do tại sao thử nghiệm thí điểm lại quan trọng đối với một dự án thành công, bằng cách sử dụng ví dụ về một công cụ phổ biến để kiểm soát quyền truy cập vào mạng công ty - Cisco ISE. Hãy xem xét cả hai lựa chọn tiêu chuẩn và hoàn toàn không chuẩn để sử dụng giải pháp mà chúng tôi gặp phải trong thực tế của mình.
Cisco ISE - “Máy chủ bán kính trên steroid”
Cisco Identity Services Engine (ISE) là một nền tảng để tạo hệ thống kiểm soát truy cập cho mạng cục bộ của tổ chức. Trong cộng đồng chuyên gia, sản phẩm này có biệt danh là “Máy chủ bán kính trên steroid” vì các đặc tính của nó. Tại sao vậy? Về cơ bản, giải pháp là một máy chủ Radius, được đính kèm một số lượng lớn các dịch vụ và “thủ thuật” bổ sung, cho phép bạn nhận được một lượng lớn thông tin theo ngữ cảnh và áp dụng tập dữ liệu thu được trong các chính sách truy cập.
Giống như bất kỳ máy chủ Radius nào khác, Cisco ISE tương tác với thiết bị mạng ở cấp độ truy cập, thu thập thông tin về tất cả các nỗ lực kết nối với mạng công ty và dựa trên các chính sách xác thực và ủy quyền, cho phép hoặc từ chối người dùng vào mạng LAN. Tuy nhiên, khả năng lập hồ sơ, đăng tải và tích hợp với các giải pháp bảo mật thông tin khác có thể làm phức tạp đáng kể tính logic của chính sách ủy quyền và từ đó giải quyết được các vấn đề khá khó khăn và thú vị.
Việc triển khai không thể được thí điểm: tại sao bạn cần thử nghiệm?
Giá trị của thử nghiệm thí điểm là thể hiện tất cả khả năng của hệ thống trong cơ sở hạ tầng cụ thể của một tổ chức cụ thể. Tôi tin rằng việc thí điểm Cisco ISE trước khi triển khai sẽ mang lại lợi ích cho tất cả mọi người tham gia vào dự án và đây là lý do.
Điều này mang lại cho các nhà tích hợp ý tưởng rõ ràng về mong đợi của khách hàng và giúp xây dựng một đặc tả kỹ thuật chính xác chứa nhiều chi tiết hơn cụm từ thông thường “đảm bảo mọi thứ đều ổn”. “Phi công” cho phép chúng tôi cảm nhận được mọi nỗi đau của khách hàng, hiểu được nhiệm vụ nào là ưu tiên của anh ấy và nhiệm vụ nào là thứ yếu. Đối với chúng tôi, đây là cơ hội tuyệt vời để tìm hiểu trước thiết bị nào được sử dụng trong tổ chức, việc triển khai sẽ diễn ra như thế nào, ở địa điểm nào, vị trí của chúng, v.v.
Trong quá trình thử nghiệm thí điểm, khách hàng sẽ thấy hệ thống thực đang hoạt động, làm quen với giao diện của nó, có thể kiểm tra xem nó có tương thích với phần cứng hiện có của họ hay không và hiểu biết toàn diện về cách giải pháp sẽ hoạt động sau khi triển khai đầy đủ. “Thí điểm” là thời điểm bạn có thể nhìn thấy tất cả những cạm bẫy mà bạn có thể gặp phải trong quá trình tích hợp và quyết định số lượng giấy phép bạn cần mua.
Những gì có thể “bật lên” trong quá trình “thí điểm”
Vì vậy, làm thế nào để bạn chuẩn bị đúng cách cho việc triển khai Cisco ISE? Từ kinh nghiệm của mình, chúng tôi đã tính ra 4 điểm chính quan trọng cần xem xét trong quá trình thử nghiệm thí điểm hệ thống.
Yếu tố hình thức
Trước tiên, bạn cần quyết định hệ thống sẽ được triển khai theo hình thức nào: tuyến trên vật lý hoặc ảo. Mỗi lựa chọn đều có ưu điểm và nhược điểm. Ví dụ, điểm mạnh của tuyến trên vật lý là hiệu suất có thể dự đoán được, nhưng chúng ta không được quên rằng các thiết bị đó sẽ trở nên lỗi thời theo thời gian. Tuyến trên ảo khó dự đoán hơn vì... phụ thuộc vào phần cứng mà môi trường ảo hóa được triển khai, nhưng chúng có một lợi thế nghiêm trọng: nếu có hỗ trợ, chúng luôn có thể được cập nhật lên phiên bản mới nhất.
Thiết bị mạng của bạn có tương thích với Cisco ISE không?
Tất nhiên, kịch bản lý tưởng là kết nối tất cả thiết bị với hệ thống cùng một lúc. Tuy nhiên, điều này không phải lúc nào cũng thực hiện được vì nhiều tổ chức vẫn sử dụng các thiết bị chuyển mạch không được quản lý hoặc các thiết bị chuyển mạch không hỗ trợ một số công nghệ chạy Cisco ISE. Nhân tiện, chúng ta không chỉ nói về bộ chuyển mạch, nó còn có thể là bộ điều khiển mạng không dây, bộ tập trung VPN và bất kỳ thiết bị nào khác mà người dùng kết nối. Trong thực tế của tôi, đã có trường hợp, sau khi trình diễn hệ thống triển khai đầy đủ, khách hàng đã nâng cấp gần như toàn bộ nhóm thiết bị chuyển mạch cấp truy cập lên thiết bị Cisco hiện đại. Để tránh những bất ngờ khó chịu, cần tìm hiểu trước tỷ lệ thiết bị không được hỗ trợ.
Tất cả các thiết bị của bạn có đạt tiêu chuẩn không?
Bất kỳ mạng nào cũng có các thiết bị điển hình không khó kết nối: máy trạm, điện thoại IP, điểm truy cập Wi-Fi, máy quay video, v.v. Nhưng điều đó cũng xảy ra là các thiết bị không chuẩn cần được kết nối với mạng LAN, chẳng hạn như bộ chuyển đổi tín hiệu bus RS232/Ethernet, giao diện cung cấp điện liên tục, các thiết bị công nghệ khác nhau, v.v. Điều quan trọng là phải xác định trước danh sách các thiết bị đó , để ở giai đoạn triển khai, bạn đã hiểu được chúng sẽ hoạt động như thế nào về mặt kỹ thuật với Cisco ISE.
Đối thoại mang tính xây dựng với các chuyên gia CNTT
Khách hàng của Cisco ISE thường là bộ phận bảo mật, trong khi bộ phận CNTT thường chịu trách nhiệm định cấu hình các thiết bị chuyển mạch lớp truy cập và Active Directory. Do đó, sự tương tác hiệu quả giữa các chuyên gia bảo mật và chuyên gia CNTT là một trong những điều kiện quan trọng để triển khai hệ thống một cách dễ dàng. Nếu người sau nhận thức được sự tích hợp với thái độ thù địch, thì cần phải giải thích cho họ giải pháp này sẽ hữu ích như thế nào đối với bộ phận CNTT.
5 trường hợp sử dụng Cisco ISE hàng đầu
Theo kinh nghiệm của chúng tôi, chức năng cần thiết của hệ thống cũng được xác định ở giai đoạn thử nghiệm thí điểm. Dưới đây là một số trường hợp sử dụng phổ biến nhất và ít phổ biến hơn của giải pháp.
Truy cập mạng LAN an toàn qua dây bằng EAP-TLS
Theo kết quả nghiên cứu của những người thử nghiệm của chúng tôi, để xâm nhập vào mạng của công ty, những kẻ tấn công thường sử dụng các ổ cắm thông thường để kết nối máy in, điện thoại, camera IP, điểm Wi-Fi và các thiết bị mạng phi cá nhân khác. Do đó, ngay cả khi truy cập mạng dựa trên công nghệ dot1x nhưng sử dụng các giao thức thay thế mà không sử dụng chứng chỉ xác thực người dùng thì khả năng cao xảy ra một cuộc tấn công thành công bằng cách chặn phiên và mật khẩu brute-force. Trong trường hợp của Cisco ISE, việc đánh cắp chứng chỉ sẽ khó khăn hơn nhiều - vì điều này, tin tặc sẽ cần nhiều sức mạnh tính toán hơn, vì vậy trường hợp này rất hiệu quả.
Truy cập không dây SSID kép
Bản chất của kịch bản này là sử dụng 2 số nhận dạng mạng (SSID). Một trong số họ có thể được gọi một cách có điều kiện là "khách". Thông qua đó, cả khách và nhân viên công ty đều có thể truy cập mạng không dây. Khi họ cố gắng kết nối, cổng sau sẽ được chuyển hướng đến một cổng đặc biệt nơi diễn ra quá trình cung cấp. Nghĩa là, người dùng được cấp chứng chỉ và thiết bị cá nhân của anh ta được định cấu hình để tự động kết nối lại với SSID thứ hai, SSID này đã sử dụng EAP-TLS với tất cả các ưu điểm của trường hợp đầu tiên.
Bỏ qua xác thực MAC và lập hồ sơ
Một trường hợp sử dụng phổ biến khác là tự động phát hiện loại thiết bị đang được kết nối và áp dụng các hạn chế chính xác cho thiết bị đó. Tại sao anh ấy lại thú vị? Thực tế là vẫn còn khá nhiều thiết bị không hỗ trợ xác thực bằng giao thức 802.1X. Do đó, những thiết bị như vậy phải được phép truy cập mạng bằng địa chỉ MAC, điều này khá dễ bị giả mạo. Đây là lúc Cisco ISE ra tay giải cứu: với sự trợ giúp của hệ thống, bạn có thể xem cách một thiết bị hoạt động trên mạng, tạo hồ sơ của nó và gán nó cho một nhóm thiết bị khác, ví dụ: điện thoại IP và máy trạm . Nếu kẻ tấn công cố gắng giả mạo địa chỉ MAC và kết nối với mạng, hệ thống sẽ thấy cấu hình thiết bị đã thay đổi, sẽ báo hiệu hành vi đáng ngờ và sẽ không cho phép người dùng đáng ngờ vào mạng.
Chuỗi EAP
Công nghệ EAP-Chaining liên quan đến xác thực tuần tự của PC và tài khoản người dùng đang hoạt động. Vụ án này trở nên phổ biến vì... Nhiều công ty vẫn chưa khuyến khích kết nối các thiết bị cá nhân của nhân viên với mạng LAN công ty. Sử dụng phương pháp xác thực này, có thể kiểm tra xem một máy trạm cụ thể có phải là thành viên của miền hay không và nếu kết quả âm tính, người dùng sẽ không được phép vào mạng hoặc có thể vào, nhưng với một số điều kiện nhất định. những hạn chế.
tư thế
Trường hợp này là về việc đánh giá sự tuân thủ của phần mềm máy trạm với các yêu cầu bảo mật thông tin. Sử dụng công nghệ này, bạn có thể kiểm tra xem phần mềm trên máy trạm có được cập nhật hay không, các biện pháp bảo mật có được cài đặt trên đó hay không, tường lửa máy chủ có được cấu hình hay không, v.v. Điều thú vị là công nghệ này còn cho phép bạn giải quyết các tác vụ khác không liên quan đến bảo mật, chẳng hạn như kiểm tra sự hiện diện của các tệp cần thiết hoặc cài đặt phần mềm trên toàn hệ thống.
Các trường hợp sử dụng ít phổ biến hơn đối với Cisco ISE bao gồm kiểm soát truy cập bằng xác thực miền hai đầu (ID thụ động), lọc và phân đoạn vi mô dựa trên SGT, cũng như tích hợp với hệ thống quản lý thiết bị di động (MDM) và Máy quét lỗ hổng bảo mật.
Các dự án phi tiêu chuẩn: tại sao bạn có thể cần Cisco ISE hoặc 3 trường hợp hiếm hoi từ thực tiễn của chúng tôi
Kiểm soát truy cập vào các máy chủ dựa trên Linux
Khi chúng tôi đang giải quyết một trường hợp khá không hề nhỏ cho một trong những khách hàng đã triển khai hệ thống Cisco ISE: chúng tôi cần tìm cách kiểm soát hành động của người dùng (chủ yếu là quản trị viên) trên các máy chủ có cài đặt Linux. Để tìm câu trả lời, chúng tôi đã nảy ra ý tưởng sử dụng phần mềm PAM Radius Module miễn phí, cho phép bạn đăng nhập vào các máy chủ chạy Linux bằng xác thực trên máy chủ bán kính bên ngoài. Mọi thứ về vấn đề này sẽ tốt nếu không có một “nhưng”: máy chủ bán kính, gửi phản hồi cho yêu cầu xác thực, chỉ cung cấp tên tài khoản và kết quả - đánh giá được chấp nhận hoặc đánh giá bị từ chối. Trong khi đó, để ủy quyền trong Linux, bạn cần chỉ định thêm ít nhất một tham số - thư mục chính để người dùng ít nhất có được một nơi nào đó. Chúng tôi không tìm ra cách đặt thuộc tính này làm thuộc tính bán kính, vì vậy chúng tôi đã viết một tập lệnh đặc biệt để tạo tài khoản từ xa trên máy chủ ở chế độ bán tự động. Nhiệm vụ này khá khả thi vì chúng tôi đang xử lý các tài khoản quản trị viên, số lượng tài khoản này không quá lớn. Tiếp theo, người dùng đăng nhập vào thiết bị được yêu cầu, sau đó họ được cấp quyền truy cập cần thiết. Một câu hỏi hợp lý được đặt ra: có cần thiết phải sử dụng Cisco ISE trong những trường hợp như vậy không? Trên thực tế, không - bất kỳ máy chủ bán kính nào cũng được, nhưng vì khách hàng đã có hệ thống này nên chúng tôi chỉ cần thêm một tính năng mới vào nó.
Kiểm kê phần cứng và phần mềm trên mạng LAN
Chúng tôi đã từng thực hiện một dự án cung cấp Cisco ISE cho một khách hàng mà không cần “thí điểm” sơ bộ. Không có yêu cầu rõ ràng nào cho giải pháp, cộng với việc chúng tôi đang xử lý một mạng phẳng, không phân đoạn, điều này khiến nhiệm vụ của chúng tôi trở nên phức tạp. Trong quá trình thực hiện dự án, chúng tôi đã định cấu hình tất cả các phương pháp lập hồ sơ có thể có mà mạng hỗ trợ: NetFlow, DHCP, SNMP, tích hợp AD, v.v. Do đó, quyền truy cập MAR đã được định cấu hình với khả năng đăng nhập vào mạng nếu xác thực không thành công. Nghĩa là, ngay cả khi xác thực không thành công, hệ thống vẫn cho phép người dùng vào mạng, thu thập thông tin về người đó và ghi lại vào cơ sở dữ liệu ISE. Việc giám sát mạng này trong vài tuần đã giúp chúng tôi xác định các hệ thống được kết nối và các thiết bị phi cá nhân, đồng thời phát triển phương pháp phân khúc chúng. Sau đó, chúng tôi bổ sung thêm cấu hình đăng để cài đặt tác nhân trên máy trạm nhằm thu thập thông tin về phần mềm được cài đặt trên chúng. Kết quả là gì? Chúng tôi có thể phân đoạn mạng và xác định danh sách phần mềm cần xóa khỏi máy trạm. Tôi sẽ không giấu rằng các nhiệm vụ tiếp theo là phân bổ người dùng thành các nhóm miền và phân định quyền truy cập đã khiến chúng tôi mất khá nhiều thời gian, nhưng bằng cách này, chúng tôi đã có được bức tranh hoàn chỉnh về phần cứng mà khách hàng có trên mạng. Nhân tiện, điều này không khó do công việc lập hồ sơ ngay từ đầu đã diễn ra rất tốt. Chà, khi việc lập hồ sơ không giúp ích được gì, chúng tôi đã tự mình xem xét, đánh dấu cổng chuyển mạch mà thiết bị được kết nối.
Cài đặt phần mềm từ xa trên máy trạm
Trường hợp này là một trong những trường hợp kỳ lạ nhất trong thực tế của tôi. Một ngày nọ, một khách hàng đến gặp chúng tôi và kêu cứu - đã xảy ra sự cố khi triển khai Cisco ISE, mọi thứ đều hỏng và không ai khác có thể truy cập mạng. Chúng tôi bắt đầu xem xét nó và phát hiện ra những điều sau đây. Công ty có 2000 máy tính, trong trường hợp không có bộ điều khiển miền, được quản lý bằng tài khoản quản trị viên. Với mục đích ngang hàng, tổ chức đã triển khai Cisco ISE. Cần phải hiểu bằng cách nào đó liệu phần mềm chống vi-rút đã được cài đặt trên PC hiện có hay chưa, môi trường phần mềm đã được cập nhật hay chưa, v.v. Và vì các quản trị viên CNTT đã cài đặt thiết bị mạng vào hệ thống nên việc họ có quyền truy cập vào thiết bị đó là điều hợp lý. Sau khi xem cách nó hoạt động và hoàn thiện máy tính của họ, các quản trị viên đã nảy ra ý tưởng cài đặt phần mềm trên máy trạm của nhân viên từ xa mà không cần đến thăm cá nhân. Chỉ cần tưởng tượng bạn có thể tiết kiệm được bao nhiêu bước mỗi ngày theo cách này! Các quản trị viên đã tiến hành một số kiểm tra trên máy trạm để tìm sự hiện diện của một tệp cụ thể trong thư mục C:Program Files và nếu nó vắng mặt, biện pháp khắc phục tự động sẽ được khởi chạy bằng cách nhấp vào liên kết dẫn đến lưu trữ tệp tới tệp .exe cài đặt. Điều này cho phép người dùng thông thường truy cập trang chia sẻ tệp và tải xuống phần mềm cần thiết từ đó. Thật không may, quản trị viên không biết rõ về hệ thống ISE và làm hỏng cơ chế đăng bài - anh ta viết chính sách không chính xác, dẫn đến một vấn đề mà chúng tôi phải tham gia giải quyết. Cá nhân tôi thực sự ngạc nhiên trước cách tiếp cận sáng tạo như vậy, bởi vì việc tạo ra một bộ điều khiển miền sẽ rẻ hơn nhiều và ít tốn nhiều công sức hơn. Nhưng như một Bằng chứng về khái niệm, nó đã hoạt động.
Đọc thêm về các sắc thái kỹ thuật phát sinh khi triển khai Cisco ISE trong bài viết của đồng nghiệp của tôi .
Artem Bobrikov, kỹ sư thiết kế của Trung tâm An ninh Thông tin tại Jet Infosystems
bạt:
Mặc dù thực tế là bài đăng này nói về hệ thống Cisco ISE, nhưng các vấn đề được mô tả đều có liên quan đến toàn bộ nhóm giải pháp NAC. Việc lên kế hoạch triển khai giải pháp của nhà cung cấp nào không quá quan trọng - hầu hết những điều trên sẽ vẫn được áp dụng.
Nguồn: www.habr.com