您是否经常会自发地购买一些东西,屈服于炫酷的广告,然后这件最初想要的物品在壁橱、食品储藏室或车库里积满灰尘,直到下一次春季大扫除或搬家? 结果是由于不合理的期望和浪费的金钱而令人失望。 当这种情况发生在企业身上时,情况会更糟。 很多时候,营销噱头太棒了,以至于公司在没有看到其应用的全貌的情况下就购买了昂贵的解决方案。 同时,系统的试运行有助于了解如何准备集成基础设施、应实现哪些功能以及实现何种程度。 这样你就可以避免因“盲目”选择产品而产生的大量问题。 此外,在有能力的“试点”之后实施将为工程师带来更少的神经细胞破坏和白发。 让我们以控制企业网络访问的流行工具 - 思科 ISE 为例,了解为什么试点测试对于成功的项目如此重要。 让我们考虑使用我们在实践中遇到的解决方案的标准和完全非标准选项。
思科 ISE - “增强型 Radius 服务器”
思科身份服务引擎 (ISE) 是一个用于为组织的局域网创建访问控制系统的平台。 在专家社区中,该产品因其性能而被昵称为“类固醇上的 Radius 服务器”。 这是为什么? 本质上,该解决方案是一个 Radius 服务器,它附加了大量附加服务和“技巧”,使您能够接收大量上下文信息并将生成的数据集应用到访问策略中。
与任何其他 Radius 服务器一样,思科 ISE 与接入级网络设备交互,收集有关连接到企业网络的所有尝试的信息,并根据身份验证和授权策略允许或拒绝用户访问 LAN。 然而,分析、发布以及与其他信息安全解决方案集成的可能性使得授权策略的逻辑显着复杂化,从而解决相当困难和有趣的问题。
实施无法试点:为什么需要测试?
试点测试的价值在于展示系统在特定组织的特定基础设施中的所有功能。 我相信,在实施之前试用思科 ISE 将使参与该项目的每个人受益,原因如下。
这使集成商可以清楚地了解客户的期望,并有助于创建正确的技术规范,其中包含比常用短语“确保一切正常”更多的细节。 “飞行员”让我们感受到客户的所有痛苦,了解哪些任务对他来说是优先事项,哪些是次要的。 对于我们来说,这是一个绝佳的机会,可以提前弄清楚组织中使用了哪些设备、如何实施、在哪些地点、位于何处等等。
在试点测试期间,客户可以看到正在运行的真实系统,熟悉其界面,可以检查它是否与现有硬件兼容,并全面了解解决方案在全面实施后将如何工作。 “试点”是您可以看到集成过程中可能遇到的所有陷阱并决定需要购买多少许可证的时刻。
“试点”期间会“弹出”什么
那么,您如何正确准备实施思科 ISE? 根据我们的经验,我们总结了系统试点测试期间需要考虑的 4 个要点。
外形
首先,您需要决定系统将以何种形式实施:物理或虚拟上线。 每个选项都有优点和缺点。 例如,物理上线的优势在于其可预测的性能,但我们不能忘记,此类设备会随着时间的推移而变得过时。 虚拟上线不太可预测,因为...... 依赖于部署虚拟化环境的硬件,但它们有一个很大的优势:如果有支持,它们总是可以更新到最新版本。
您的网络设备与 Cisco ISE 兼容吗?
当然,理想的情况是将所有设备立即连接到系统。 然而,这并不总是可行,因为许多组织仍然使用非托管交换机或不支持运行思科 ISE 的某些技术的交换机。 顺便说一下,我们谈论的不仅仅是交换机,它还可以是无线网络控制器、VPN 集中器以及用户连接的任何其他设备。 在我的实践中,曾有过这样的情况:在演示了系统的全面实施后,客户将几乎整个接入级交换机升级为现代思科设备。 为了避免出现令人不快的意外,有必要提前查明不受支持的设备的比例。
你们所有的设备都是标准的吗?
任何网络都具有不难连接的典型设备:工作站、IP 电话、Wi-Fi 接入点、摄像机等。 但也有一些非标准设备需要连接到局域网中,例如RS232/以太网总线信号转换器、不间断电源接口、各种工艺设备等,提前确定此类设备的列表很重要,以便在实施阶段您已经了解它们在技术上如何与思科 ISE 配合使用。
与 IT 专家进行建设性对话
思科 ISE 客户通常是安全部门,而 IT 部门通常负责配置接入层交换机和 Active Directory。 因此,安全专家和IT专家之间富有成效的互动是系统顺利实施的重要条件之一。 如果后者认为集成带有敌意,则值得向他们解释该解决方案将如何对 IT 部门有用。
5 大思科 ISE 使用案例
根据我们的经验,系统所需的功能也在试点测试阶段确定。 以下是该解决方案的一些最流行和不太常见的用例。
使用 EAP-TLS 通过线路保护 LAN 访问
我们的渗透测试人员的研究结果表明,为了渗透公司的网络,攻击者经常使用连接打印机、电话、IP 摄像头、Wi-Fi 热点和其他非个人网络设备的普通套接字。 因此,即使网络接入基于dot1x技术,但使用替代协议而不使用用户认证证书,通过会话拦截和暴力破解密码的攻击成功的可能性很高。 就思科 ISE 而言,窃取证书会更加困难 - 为此,黑客将需要更多的计算能力,因此此案例非常有效。
双SSID无线接入
该场景的本质是使用2个网络标识符(SSID)。 其中一位可以有条件地称为“客人”。 通过它,客人和公司员工都可以访问无线网络。 当他们尝试连接时,后者会被重定向到一个进行配置的特殊门户。 也就是说,向用户颁发证书,并将其个人设备配置为自动重新连接到第二个 SSID,该 SSID 已使用 EAP-TLS 并具有第一种情况的所有优点。
MAC 身份验证绕过和分析
另一个流行的用例是自动检测所连接的设备类型并对其应用正确的限制。 他为什么有趣? 事实上,仍有相当多的设备不支持使用802.1X协议进行身份验证。 因此,必须允许此类设备使用 MAC 地址进入网络,而 MAC 地址很容易被伪造。 这就是思科 ISE 的用武之地:在系统的帮助下,您可以查看设备在网络上的行为方式、创建其配置文件并将其分配给一组其他设备,例如 IP 电话和工作站。 如果攻击者试图欺骗 MAC 地址并连接到网络,系统将发现设备配置文件已更改,将发出可疑行为信号,并且不允许可疑用户进入网络。
EAP链
EAP 链接技术涉及工作 PC 和用户帐户的顺序身份验证。 这个案例之所以广为流传,是因为... 许多公司仍然不鼓励将员工的个人设备连接到公司局域网。 使用这种身份验证方法,可以检查特定工作站是否是域的成员,如果结果是否定的,则用户要么不被允许进入网络,要么能够进入,但需要一定的条件限制。
摆姿势
本案例是关于评估工作站软件是否符合信息安全要求。 利用该技术,可以检查工作站上的软件是否更新、是否安装安全措施、主机防火墙是否配置等。 有趣的是,这项技术还允许您解决与安全无关的其他任务,例如检查必要文件是否存在或安装系统范围的软件。
思科 ISE 不太常见的用例包括使用端到端域身份验证(被动 ID)进行访问控制、基于 SGT 的微分段和过滤,以及与移动设备管理 (MDM) 系统和漏洞扫描程序的集成。
非标准项目:为什么您可能需要思科 ISE,或者我们实践中的 3 个罕见案例
对基于 Linux 的服务器的访问控制
有一次,我们为一位已经实施了 Cisco ISE 系统的客户解决了一个相当重要的案例:我们需要找到一种方法来控制安装了 Linux 的服务器上的用户操作(主要是管理员)。 为了寻找答案,我们想到了使用免费的 PAM Radius Module 软件,该软件允许您通过外部 Radius 服务器上的身份验证登录运行 Linux 的服务器。 这方面的一切都很好,如果不是一个“但是”:radius 服务器发送对身份验证请求的响应,仅给出帐户名和结果 - 评估接受或评估拒绝。 同时,在Linux中进行授权时,还需要至少再分配一个参数——主目录,以便用户至少到达某个地方。 我们没有找到一种方法将其作为半径属性,因此我们编写了一个特殊的脚本,用于以半自动模式在主机上远程创建帐户。 这个任务是相当可行的,因为我们处理的是管理员帐户,其数量不是很多。 接下来,用户登录到所需的设备,之后他们被分配必要的访问权限。 一个合理的问题出现了:在这种情况下是否有必要使用思科 ISE? 事实上,不 - 任何 Radius 服务器都可以,但由于客户已经有了这个系统,我们只是向它添加了一个新功能。
LAN 上的硬件和软件清单
我们曾经参与过一个项目,在没有初步“试点”的情况下向一位客户提供思科 ISE。 该解决方案没有明确的要求,而且我们正在处理一个扁平的、非分段的网络,这使我们的任务变得复杂。 在项目期间,我们配置了网络支持的所有可能的分析方法:NetFlow、DHCP、SNMP、AD 集成等。 因此,MAR 访问配置为能够在身份验证失败时登录网络。 也就是说,即使身份验证不成功,系统仍然允许用户进入网络,收集有关他的信息并将其记录在 ISE 数据库中。 几周的网络监控帮助我们识别了连接的系统和非个人设备,并开发了一种对它们进行分段的方法。 此后,我们还配置了发布以在工作站上安装代理,以收集有关工作站上安装的软件的信息。 结果如何? 我们能够对网络进行分段并确定需要从工作站中删除的软件列表。 我不会隐瞒将用户分配到域组和划分访问权限的进一步任务花费了我们相当多的时间,但通过这种方式,我们可以全面了解客户在网络上拥有的硬件。 顺便说一句,由于开箱即用的分析工作做得很好,这并不困难。 好吧,在分析没有帮助的地方,我们检查了自己,突出显示了设备所连接的交换机端口。
在工作站上远程安装软件
这个案例是我实践中最奇怪的案例之一。 有一天,一位客户向我们求助 - 实施思科 ISE 时出现问题,一切都崩溃了,其他人都无法访问网络。 我们开始调查并发现以下内容。 该公司有 2000 台计算机,在没有域控制器的情况下,由管理员帐户进行管理。 为了实现对等互连,该组织实施了思科 ISE。 有必要以某种方式了解现有电脑上是否安装了防病毒软件、软件环境是否更新等。 由于 IT 管理员将网络设备安装到系统中,因此他们有权访问它也是合乎逻辑的。 在了解了它的工作原理并装饰了他们的 PC 后,管理员提出了在员工工作站上远程安装该软件而无需亲自访问的想法。 想象一下这样每天可以节省多少步! 管理员对工作站的 C:Program Files 目录中是否存在特定文件进行了多次检查,如果不存在,则通过指向安装 .exe 文件的文件存储的链接启动自动修复。 这使得普通用户可以访问文件共享并从那里下载必要的软件。 不幸的是,管理员不太了解 ISE 系统并破坏了发布机制 - 他错误地编写了策略,这导致了我们参与解决的问题。 就我个人而言,我对这种创造性的方法感到由衷的惊讶,因为创建域控制器会更便宜且劳动力密集度更低。 但作为概念证明,它是有效的。
在我同事的文章中详细了解实施思科 ISE 时出现的技术细微差别 .
Artem Bobrikov,Jet Infosystems 信息安全中心设计工程师
后记:
尽管本文讨论的是思科 ISE 系统,但所描述的问题与整个 NAC 解决方案类别相关。 计划实施哪个供应商的解决方案并不那么重要——上述大部分内容仍然适用。
来源: habr.com