Igba melo ni o ra ohun kan lairotẹlẹ, ti o tẹriba si ipolowo itura, ati lẹhinna nkan ti o fẹ lakoko ṣajọ eruku ni kọlọfin kan, ile kekere tabi gareji titi di mimọ orisun omi atẹle tabi gbe? Abajade jẹ ibanujẹ nitori awọn ireti aiṣedeede ati owo ti o padanu. O buru pupọ nigbati eyi ba ṣẹlẹ si iṣowo kan. Nigbagbogbo, awọn gimmicks titaja dara julọ pe awọn ile-iṣẹ ra ojutu gbowolori kan laisi wiwo aworan kikun ti ohun elo rẹ. Nibayi, idanwo idanwo ti eto ṣe iranlọwọ lati ni oye bi o ṣe le mura awọn amayederun fun isọpọ, kini iṣẹ ṣiṣe ati si iwọn wo ni o yẹ ki o ṣe imuse. Ni ọna yii o le yago fun nọmba nla ti awọn iṣoro nitori yiyan ọja kan “afọju”. Ni afikun, imuse lẹhin “awaoko” ti o ni oye yoo mu awọn onimọ-ẹrọ ti o dinku pupọ awọn sẹẹli nafu ati irun grẹy. Jẹ ki a ro idi idi ti idanwo awakọ ṣe pataki fun iṣẹ akanṣe aṣeyọri, ni lilo apẹẹrẹ ti irinṣẹ olokiki fun iṣakoso iraye si nẹtiwọọki ajọṣepọ kan - Cisco ISE. Jẹ ki a gbero mejeeji boṣewa ati awọn aṣayan ti kii ṣe boṣewa patapata fun lilo ojutu ti a pade ninu iṣe wa.
Cisco ISE - “Olupin redio lori awọn sitẹriọdu”
Cisco Identity Services Engine (ISE) ni a Syeed fun ṣiṣẹda ohun wiwọle Iṣakoso eto fun ohun agbari ká agbegbe nẹtiwọki. Ni agbegbe iwé, ọja naa ni oruko ni “olupin redio lori awọn sitẹriọdu” fun awọn ohun-ini rẹ. Kini idii iyẹn? Ni pataki, ojutu naa jẹ olupin Radius, eyiti nọmba nla ti awọn iṣẹ afikun ati “awọn ẹtan” ti so pọ, gbigba ọ laaye lati gba iye nla ti alaye ọrọ-ọrọ ati lo eto abajade ti data ni awọn eto imulo wiwọle.
Bii eyikeyi olupin Radius miiran, Cisco ISE ṣe ajọṣepọ pẹlu ohun elo nẹtiwọọki ipele-iwọle, gba alaye nipa gbogbo awọn igbiyanju lati sopọ si nẹtiwọọki ajọ ati, da lori ijẹrisi ati awọn eto imulo aṣẹ, gba tabi kọ awọn olumulo si LAN. Bibẹẹkọ, iṣeeṣe ti profaili, fifiranṣẹ, ati isọpọ pẹlu awọn solusan aabo alaye miiran jẹ ki o ṣee ṣe lati ṣe pataki ni idiju ọgbọn ti eto imulo aṣẹ ati nitorinaa yanju awọn iṣoro ti o nira pupọ ati awọn iṣoro.
Imuṣiṣẹ ko le ṣe awaoko: kilode ti o nilo idanwo?
Iye ti idanwo awakọ ni lati ṣafihan gbogbo awọn agbara ti eto ni awọn amayederun kan pato ti agbari kan pato. Mo gbagbọ pe piloting Sisiko ISE ṣaaju imuse ni anfani gbogbo eniyan ti o ni ipa ninu iṣẹ naa, ati idi niyi.
Eyi n fun awọn alapọpọ ni imọran ti o yege ti awọn ireti alabara ati iranlọwọ lati ṣẹda sipesifikesonu imọ-ẹrọ to pe ti o ni awọn alaye diẹ sii ju gbolohun ọrọ ti o wọpọ “rii daju pe ohun gbogbo dara.” "Pilot" jẹ ki a lero gbogbo irora ti onibara, lati ni oye awọn iṣẹ-ṣiṣe ti o jẹ pataki fun u ati eyi ti o jẹ keji. Fun wa, eyi jẹ aye ti o dara julọ lati ṣawari tẹlẹ kini ohun elo ti a lo ninu agbari, bawo ni imuse yoo ṣe waye, lori awọn aaye wo, nibiti wọn wa, ati bẹbẹ lọ.
Lakoko idanwo awakọ, awọn alabara rii eto gidi ni iṣe, faramọ pẹlu wiwo rẹ, le ṣayẹwo boya o ni ibamu pẹlu ohun elo wọn ti o wa, ati gba oye pipe ti bii ojutu yoo ṣe ṣiṣẹ lẹhin imuse ni kikun. “Pilot” jẹ akoko pupọ nigbati o le rii gbogbo awọn ọfin ti o ṣee ṣe ki o ba pade lakoko iṣọpọ, ati pinnu iye awọn iwe-aṣẹ ti o nilo lati ra.
Kini o le “gbejade” lakoko “awaoko”
Nitorinaa, bawo ni o ṣe murasilẹ daradara fun imuse Sisiko ISE? Lati iriri wa, a ti ka awọn aaye akọkọ 4 ti o ṣe pataki lati ronu lakoko idanwo awakọ ti eto naa.
Fọọmu fọọmu
Ni akọkọ, o nilo lati pinnu ni iru ifosiwewe fọọmu ti eto naa yoo ṣe imuse: ti ara tabi ti iṣagbega foju. Aṣayan kọọkan ni awọn anfani ati alailanfani. Fun apẹẹrẹ, agbara ti upline ti ara jẹ iṣẹ ṣiṣe asọtẹlẹ rẹ, ṣugbọn a ko gbọdọ gbagbe pe iru awọn ẹrọ naa di ti atijo ni akoko pupọ. Awọn oke ila foju ko kere si asọtẹlẹ nitori… da lori ohun elo lori eyiti a ti fi agbegbe ipadabọ ṣiṣẹ, ṣugbọn wọn ni anfani to ṣe pataki: ti atilẹyin ba wa, wọn le ṣe imudojuiwọn nigbagbogbo si ẹya tuntun.
Ṣe ohun elo nẹtiwọọki rẹ ni ibamu pẹlu Sisiko ISE?
Nitoribẹẹ, oju iṣẹlẹ ti o dara julọ yoo jẹ lati sopọ gbogbo ohun elo si eto ni ẹẹkan. Sibẹsibẹ, eyi kii ṣe ṣee ṣe nigbagbogbo nitori ọpọlọpọ awọn ajo ṣi nlo awọn iyipada ti a ko ṣakoso tabi awọn iyipada ti ko ṣe atilẹyin diẹ ninu awọn imọ-ẹrọ ti o nṣiṣẹ Cisco ISE. Nipa ọna, a ko sọrọ nipa awọn iyipada nikan, o tun le jẹ awọn olutona nẹtiwọọki alailowaya, awọn ifọkansi VPN ati eyikeyi ohun elo miiran si eyiti awọn olumulo sopọ. Ninu iṣe mi, awọn ọran ti wa nigbati, lẹhin iṣafihan eto fun imuse ni kikun, alabara ṣe igbegasoke fere gbogbo ọkọ oju-omi kekere ti ipele wiwọle si ohun elo Sisiko igbalode. Lati yago fun awọn iyanilẹnu ti ko dun, o tọ lati wa tẹlẹ ni ipin ti awọn ohun elo ti ko ni atilẹyin.
Ṣe gbogbo awọn ẹrọ rẹ jẹ boṣewa bi?
Nẹtiwọọki eyikeyi ni awọn ẹrọ aṣoju ti ko yẹ ki o nira lati sopọ si: awọn ibi iṣẹ, awọn foonu IP, awọn aaye iwọle Wi-Fi, awọn kamẹra fidio, ati bẹbẹ lọ. Ṣugbọn o tun ṣẹlẹ pe awọn ẹrọ ti kii ṣe deede nilo lati sopọ si LAN, fun apẹẹrẹ, awọn oluyipada ifihan ọkọ akero RS232/Ethernet, awọn atọkun ipese agbara ti ko ni idilọwọ, awọn ẹrọ imọ-ẹrọ pupọ, ati bẹbẹ lọ O ṣe pataki lati pinnu atokọ ti iru awọn ẹrọ ni ilosiwaju. , ki ni ipele imuse o ti ni oye bi imọ-ẹrọ ti wọn yoo ṣiṣẹ pẹlu Sisiko ISE.
Ifọrọwanilẹnuwo imudara pẹlu awọn alamọja IT
Cisco ISE onibara igba aabo apa, nigba ti IT apa ni o wa maa lodidi fun a atunto wiwọle Layer yipada ati Iroyin Directory. Nitorinaa, ibaraenisepo iṣelọpọ laarin awọn alamọja aabo ati awọn alamọja IT jẹ ọkan ninu awọn ipo pataki fun imuse irora ti eto naa. Ti igbehin naa ba woye iṣọpọ pẹlu ikorira, o tọ lati ṣalaye fun wọn bi ojutu naa yoo ṣe wulo si ẹka IT.
Top 5 Cisco ISE lilo igba
Ninu iriri wa, iṣẹ ṣiṣe ti eto naa tun jẹ idanimọ ni ipele idanwo awakọ. Isalẹ wa ni diẹ ninu awọn olokiki julọ ati awọn ọran lilo ti ko wọpọ fun ojutu.
Wiwọle LAN ni aabo lori okun waya pẹlu EAP-TLS
Gẹgẹbi awọn abajade ti iwadii pentesters wa, igbagbogbo lati wọ inu nẹtiwọọki ile-iṣẹ kan, awọn ikọlu lo awọn iho lasan si eyiti awọn atẹwe, awọn foonu, awọn kamẹra IP, awọn aaye Wi-Fi ati awọn ẹrọ nẹtiwọọki ti kii ṣe ti ara ẹni ti sopọ. Nitorinaa, paapaa ti iraye si nẹtiwọọki ba da lori imọ-ẹrọ dot1x, ṣugbọn awọn ilana miiran ni a lo laisi lilo awọn iwe-ẹri ijẹrisi olumulo, iṣeeṣe giga wa ti ikọlu aṣeyọri pẹlu kikọlu igba ati awọn ọrọ igbaniwọle agbara-agbara. Ninu ọran ti Sisiko ISE, yoo nira pupọ sii lati ji ijẹrisi kan - fun eyi, awọn olosa yoo nilo agbara iširo pupọ diẹ sii, nitorinaa ọran yii munadoko pupọ.
Wiwọle alailowaya meji-SSID
Ohun pataki ti oju iṣẹlẹ yii ni lati lo awọn idamọ nẹtiwọki meji (SSIDs). Ọkan ninu wọn le jẹ ni ipo ti a pe ni “alejo”. Nipasẹ rẹ, awọn alejo mejeeji ati awọn oṣiṣẹ ile-iṣẹ le wọle si nẹtiwọọki alailowaya. Nigbati wọn gbiyanju lati sopọ, awọn igbehin ni a darí si ọna abawọle pataki kan nibiti ipese ti waye. Iyẹn ni, olumulo ti funni ni ijẹrisi kan ati pe ẹrọ ti ara ẹni ti tunto lati tun sopọ laifọwọyi si SSID keji, eyiti o ti lo EAP-TLS tẹlẹ pẹlu gbogbo awọn anfani ti ọran akọkọ.
Ijeri MAC Fori ati Profaili
Ẹran lilo olokiki miiran ni lati rii laifọwọyi iru ẹrọ ti o sopọ ati lo awọn ihamọ to pe si. Kini idi ti o nifẹ si? Otitọ ni pe ọpọlọpọ awọn ẹrọ tun wa ti ko ṣe atilẹyin ijẹrisi nipa lilo ilana 802.1X. Nitorinaa, iru awọn ẹrọ ni lati gba laaye sori nẹtiwọọki nipa lilo adiresi MAC kan, eyiti o rọrun pupọ lati iro. Eyi ni ibi ti Sisiko ISE wa si igbala: pẹlu iranlọwọ ti eto naa, o le rii bi ẹrọ kan ṣe huwa lori nẹtiwọọki, ṣẹda profaili rẹ ki o fi si ẹgbẹ kan ti awọn ẹrọ miiran, fun apẹẹrẹ, foonu IP kan ati ibi iṣẹ kan. . Ti ikọlu ba gbiyanju lati sọ adiresi MAC kan ki o sopọ si nẹtiwọọki naa, eto naa yoo rii pe profaili ẹrọ ti yipada, yoo ṣe ifihan ihuwasi ifura ati pe kii yoo gba olumulo ifura sinu nẹtiwọọki naa.
EAP-Chaining
Imọ ọna ẹrọ EAP-Chaining jẹ pẹlu ìfàṣẹsí ọkọọkan ti PC ti n ṣiṣẹ ati akọọlẹ olumulo. Ọran yii ti di ibigbogbo nitori ... Ọpọlọpọ awọn ile-iṣẹ ko tun ṣe iwuri fun sisopọ awọn ohun elo ti ara ẹni ti awọn oṣiṣẹ si LAN ile-iṣẹ. Lilo ọna yii si ijẹrisi, o ṣee ṣe lati ṣayẹwo boya iṣẹ iṣẹ kan pato jẹ ọmọ ẹgbẹ ti agbegbe naa, ati pe ti abajade ba jẹ odi, olumulo ko ni gba laaye sinu nẹtiwọọki tabi yoo ni anfani lati tẹ, ṣugbọn pẹlu awọn pato. awọn ihamọ.
Ifiweranṣẹ
Ọran yii jẹ nipa ṣiṣe iṣiro ibamu ti sọfitiwia ibudo iṣẹ pẹlu awọn ibeere aabo alaye. Lilo imọ-ẹrọ yii, o le ṣayẹwo boya sọfitiwia ti o wa lori aaye iṣẹ ti ni imudojuiwọn, boya awọn igbese aabo ti fi sori ẹrọ, boya o tunto ogiriina ogun, ati bẹbẹ lọ. O yanilenu, imọ-ẹrọ yii tun gba ọ laaye lati yanju awọn iṣẹ ṣiṣe miiran ti ko ni ibatan si aabo, fun apẹẹrẹ, ṣayẹwo wiwa awọn faili pataki tabi fifi sọfitiwia jakejado eto.
Awọn ọran lilo ti ko wọpọ fun Sisiko ISE pẹlu iṣakoso iwọle pẹlu ijẹri-ašẹ opin-si-opin (ID Passive), SGT-orisun bulọọgi-apakan ati sisẹ, bakanna bi isọpọ pẹlu iṣakoso ẹrọ alagbeka (MDM) awọn ọna ṣiṣe ati Awọn Scanners palara.
Awọn iṣẹ akanṣe ti kii ṣe boṣewa: kilode miiran ti o le nilo Sisiko ISE, tabi awọn ọran 3 toje lati iṣe wa
Iṣakoso wiwọle si Linux-orisun olupin
Ni kete ti a yanju ọran ti kii ṣe bintin fun ọkan ninu awọn alabara ti o ti ni imuse Sisiko ISE eto: a nilo lati wa ọna lati ṣakoso awọn iṣe olumulo (julọ awọn oludari) lori olupin pẹlu Linux ti fi sori ẹrọ. Ni wiwa idahun, a wa pẹlu imọran ti lilo sọfitiwia Module Module PAM ọfẹ, eyiti o fun ọ laaye lati wọle si awọn olupin ti n ṣiṣẹ Linux pẹlu ijẹrisi lori olupin rediosi ita. Ohun gbogbo ni iyi yii yoo dara, ti kii ba fun ọkan “ṣugbọn”: olupin redio, fifiranṣẹ esi si ibeere ijẹrisi, fun orukọ akọọlẹ nikan ati abajade - ṣe ayẹwo gba tabi ṣe ayẹwo kọ. Nibayi, fun aṣẹ ni Linux, o nilo lati fi o kere ju paramita kan diẹ sii - itọsọna ile, ki olumulo naa o kere ju gba ibikan. A ko wa ọna lati fun eyi gẹgẹbi ẹda redio, nitorinaa a kọ iwe afọwọkọ pataki kan fun ṣiṣẹda awọn akọọlẹ latọna jijin lori awọn ọmọ-ogun ni ipo ologbele-laifọwọyi kan. Iṣẹ́ yìí ṣeé ṣe gan-an, níwọ̀n bí a ti ń bá àwọn àpamọ́ alábòójútó ṣiṣẹ́, iye èyí tí kò tóbi tó. Nigbamii ti, awọn olumulo wọle si ẹrọ ti a beere, lẹhin eyi ti wọn yàn iwọle si pataki. A reasonable ibeere Daju: o jẹ pataki lati lo Sisiko ISE ni iru awọn igba miran? Lootọ, rara - eyikeyi olupin redio yoo ṣe, ṣugbọn niwọn igba ti alabara ti ni eto yii, a ṣafikun ẹya tuntun si rẹ.
Oja ti hardware ati software lori LAN
A ni kete ti sise lori ise agbese kan fun a ipese Cisco ISE si ọkan onibara lai a alakoko "awaoko". Ko si awọn ibeere ti o han gbangba fun ojutu, pẹlu pe a n ṣe pẹlu alapin kan, nẹtiwọọki ti kii ṣe apakan, eyiti o ṣe idiju iṣẹ-ṣiṣe wa. Lakoko iṣẹ akanṣe, a tunto gbogbo awọn ọna profaili ti o ṣeeṣe ti nẹtiwọọki ṣe atilẹyin: NetFlow, DHCP, SNMP, isọpọ AD, ati bẹbẹ lọ. Bi abajade, iwọle MAR ni tunto pẹlu agbara lati wọle sinu nẹtiwọọki ti ijẹrisi ba kuna. Iyẹn ni, paapaa ti ijẹrisi ko ba ṣaṣeyọri, eto naa yoo tun gba olumulo laaye sinu nẹtiwọọki, gba alaye nipa rẹ ki o gbasilẹ ni ibi ipamọ data ISE. Abojuto nẹtiwọọki yii ni awọn ọsẹ pupọ ṣe iranlọwọ fun wa idanimọ awọn ọna ṣiṣe ti o sopọ ati awọn ẹrọ ti kii ṣe ti ara ẹni ati dagbasoke ọna lati pin wọn. Lẹhin eyi, a tun tunto ifiweranṣẹ lati fi sori ẹrọ aṣoju lori awọn aaye iṣẹ lati gba alaye nipa sọfitiwia ti a fi sori wọn. Kí ni àbájáde rẹ̀? A ni anfani lati pin nẹtiwọọki ati pinnu atokọ sọfitiwia ti o nilo lati yọkuro lati awọn ibi iṣẹ. Emi kii yoo tọju pe awọn iṣẹ-ṣiṣe siwaju sii ti pinpin awọn olumulo sinu awọn ẹgbẹ agbegbe ati sisọ awọn ẹtọ wiwọle gba wa ni akoko pupọ, ṣugbọn ni ọna yii a ni aworan pipe ti kini ohun elo alabara ni lori nẹtiwọọki naa. Nipa ọna, eyi ko nira nitori iṣẹ ti o dara ti sisọ jade kuro ninu apoti. O dara, nibiti profaili ko ṣe iranlọwọ, a wo ara wa, ti n ṣe afihan ibudo yipada si eyiti a ti sopọ mọ ẹrọ naa.
Latọna fifi sori ẹrọ ti software lori awọn ibudo iṣẹ
Idi eyi jẹ ọkan ninu awọn ajeji julọ ninu iṣe mi. Ni ọjọ kan, alabara kan wa si wa pẹlu igbe fun iranlọwọ - nkan kan ti ko tọ nigba imuse Sisiko ISE, ohun gbogbo fọ, ko si si ẹlomiran ti o le wọle si nẹtiwọọki naa. A bẹrẹ si wo inu rẹ ati rii nkan wọnyi. Ile-iṣẹ naa ni awọn kọnputa 2000, eyiti, ni isansa ti oludari agbegbe, ni iṣakoso labẹ akọọlẹ oludari kan. Fun idi ti peering, ajo muse Cisco ISE. O jẹ dandan lati ni oye bakan boya a ti fi antivirus sori awọn PC ti o wa tẹlẹ, boya agbegbe sọfitiwia ti ni imudojuiwọn, ati bẹbẹ lọ. Ati pe niwọn igba ti awọn alabojuto IT ti fi ohun elo nẹtiwọọki sori ẹrọ, o jẹ ọgbọn pe wọn ni iwọle si. Lẹhin ti rii bii o ṣe n ṣiṣẹ ati fifẹ awọn PC wọn, awọn alabojuto wa pẹlu imọran ti fifi sọfitiwia sori awọn aaye iṣẹ oṣiṣẹ latọna jijin laisi awọn abẹwo ti ara ẹni. Foju inu wo iye awọn igbesẹ ti o le fipamọ fun ọjọ kan ni ọna yii! Awọn alakoso ṣe ọpọlọpọ awọn sọwedowo ti aaye iṣẹ fun wiwa faili kan pato ninu C: Awọn faili Awọn faili Eto, ati pe ti ko ba si, atunṣe adaṣe ti ṣe ifilọlẹ nipasẹ titẹle ọna asopọ ti o yori si ibi ipamọ faili si faili fifi sori .exe. Eyi gba awọn olumulo lasan laaye lati lọ si pinpin faili kan ati ṣe igbasilẹ sọfitiwia pataki lati ibẹ. Laanu, alabojuto naa ko mọ eto ISE daradara ati pe o bajẹ awọn ilana ifiweranṣẹ - o kọ eto imulo ti ko tọ, eyiti o yori si iṣoro kan ti a ni ipa ninu ipinnu. Tikalararẹ, Mo ṣe iyanilẹnu ni otitọ nipasẹ iru ọna iṣẹda kan, nitori pe yoo jẹ din owo pupọ ati pe o kere si alaapọn lati ṣẹda oludari agbegbe kan. Ṣugbọn gẹgẹbi Ẹri ti imọran o ṣiṣẹ.
Ka diẹ sii nipa awọn nuances imọ-ẹrọ ti o dide nigba imuse Sisiko ISE ninu nkan ẹlẹgbẹ mi .
Artem Bobrikov, ẹlẹrọ apẹrẹ ti Ile-iṣẹ Aabo Alaye ni Jet Infosystems
Lẹhin Ọrọ:
Bíótilẹ o daju pe ifiweranṣẹ yii sọrọ nipa eto Sisiko ISE, awọn iṣoro ti a ṣalaye jẹ pataki fun gbogbo kilasi ti awọn solusan NAC. Ko ṣe pataki tobẹẹ ti ojutu ataja ti ngbero fun imuse - pupọ julọ eyi yoo wa wulo.
orisun: www.habr.com