您是否經常會自發性地購買一些東西,屈服於酷炫的廣告,然後這件最初想要的物品在壁櫥、食品儲藏室或車庫裡積滿灰塵,直到下一次春季大掃除或搬家? 結果是由於不合理的期望和浪費的金錢而令人失望。 當這種情況發生在企業身上時,情況會更糟。 很多時候,行銷噱頭太棒了,以至於公司在沒有看到其應用的全貌的情況下就購買了昂貴的解決方案。 同時,系統的試運行有助於了解如何準備整合基礎架構、應實現哪些功能以及實現何種程度。 這樣你就可以避免因「盲目」選擇產品而產生的大量問題。 此外,在有能力的「試點」之後實施將為工程師帶來更少的神經細胞破壞和白髮。 讓我們以控制企業網路存取的熱門工具 - 思科 ISE 為例,了解為什麼試點測試對於成功的專案如此重要。 讓我們考慮使用我們在實踐中遇到的解決方案的標準和完全非標準選項。
思科 ISE - “增強型 Radius 伺服器”
思科身分服務引擎 (ISE) 是一個用於為組織的區域網路建立存取控制系統的平台。 在專家社群中,該產品因其性能而被暱稱為「類固醇上的 Radius 伺服器」。 這是為什麼? 本質上,該解決方案是一個 Radius 伺服器,它附加了大量附加服務和“技巧”,使您能夠接收大量上下文資訊並將生成的資料集應用到存取策略中。
與任何其他 Radius 伺服器一樣,思科 ISE 與接入級網路設備交互,收集有關連接到企業網路的所有嘗試的信息,並根據身份驗證和授權策略允許或拒絕用戶存取 LAN。 然而,分析、發布以及與其他資訊安全解決方案整合的可能性使得授權策略的邏輯顯著複雜化,從而解決相當困難和有趣的問題。
實作無法試行:為什麼需要測試?
試點測試的價值在於展示系統在特定組織的特定基礎設施中的所有功能。 我相信,在實施之前試用思科 ISE 將使參與該專案的每個人受益,原因如下。
這使整合商可以清楚地了解客戶的期望,並有助於創建正確的技術規範,其中包含比常用短語「確保一切正常」更多的細節。 「飛行員」讓我們感受到客戶的所有痛苦,了解哪些任務對他來說是優先事項,哪些是次要的。 對我們來說,這是一個絕佳的機會,可以提前弄清楚組織中使用了哪些設備、如何實施、在哪些地點、位於何處等等。
在試點測試期間,客戶可以看到正在運行的真實系統,熟悉其介面,可以檢查它是否與現有硬體相容,並全面了解解決方案在全面實施後將如何運作。 「試點」是您可以看到整合過程中可能遇到的所有陷阱並決定需要購買多少許可證的時刻。
「試辦」期間會「彈出」什麼
那麼,您該如何正確準備實施思科 ISE? 根據我們的經驗,我們總結了系統試點測試期間需要考慮的 4 個要點。
外形尺寸
首先,您需要決定係統將以何種形式實施:實體或虛擬上線。 每個選項都有優點和缺點。 例如,物理上線的優勢在於其可預測的性能,但我們不能忘記,此類設備會隨著時間的推移而過時。 虛擬上線不太可預測,因為...... 依賴部署虛擬化環境的硬件,但它們有一個很大的優勢:如果有支持,它們總是可以更新到最新版本。
您的網路設備與 Cisco ISE 相容嗎?
當然,理想的情況是將所有設備立即連接到系統。 然而,這並不總是可行,因為許多組織仍然使用非託管交換器或不支援執行思科 ISE 的某些技術的交換器。 順便說一句,我們談論的不僅僅是交換機,它還可以是無線網路控制器、VPN 集中器以及用戶連接的任何其他設備。 在我的實務中,曾經有過這樣的情況:在展示了系統的全面實施後,客戶將幾乎整個接入級交換器升級為現代思科設備。 為了避免令人不快的意外,有必要事先找出不支援的設備的比例。
你們所有的設備都是標準的嗎?
任何網路都具有不難連接的典型裝置:工作站、IP 電話、Wi-Fi 存取點、攝影機等。 但也有一些非標準設備需要連接到區域網路中,例如RS232/乙太網路匯流排訊號轉換器、不間斷電源介面、各種製程設備等,提前確定此類設備的清單很重要,以便在實施階段您已經了解它們在技術上如何與思科ISE 配合使用。
與 IT 專家進行建設性對話
思科 ISE 客戶通常是安全部門,而 IT 部門通常負責設定存取層交換器和 Active Directory。 因此,安全專家和IT專家之間的有成效互動是系統順利實施的重要條件之一。 如果後者認為整合帶有敵意,則值得向他們解釋解決方案將如何對 IT 部門有用。
5 大思科 ISE 使用案例
根據我們的經驗,系統所需的功能也在試點測試階段中確定。 以下是該解決方案的一些最受歡迎和不太常見的用例。
使用 EAP-TLS 透過線路保護 LAN 存取
我們的滲透測試人員的研究結果表明,為了滲透公司的網絡,攻擊者經常使用連接印表機、電話、IP 攝影機、Wi-Fi 熱點和其他非個人網路設備的普通套接字。 因此,即使網路存取基於dot1x技術,但使用替代協議而不使用用戶認證證書,透過會話攔截和暴力破解密碼的攻擊成功的可能性很大。 就思科 ISE 而言,竊取憑證會更加困難 - 為此,駭客將需要更多的運算能力,因此此案例非常有效。
雙SSID無線接入
這個場景的本質是使用2個網路標識符(SSID)。 其中一位可以有條件地稱為「客人」。 透過它,客人和公司員工都可以存取無線網路。 當他們嘗試連線時,後者會被重定向到一個進行配置的特殊入口網站。 也就是說,向使用者頒發證書,並將其個人設備配置為自動重新連接到第二個 SSID,該 SSID 已使用 EAP-TLS 並具有第一種情況的所有優點。
MAC 驗證繞過與分析
另一個流行的用例是自動偵測所連接的裝置類型並對其應用正確的限制。 他為什麼有趣? 事實上,仍有相當多的設備不支援使用802.1X協定進行身份驗證。 因此,必須允許此類設備使用 MAC 位址進入網絡,而 MAC 位址很容易被偽造。 這就是思科 ISE 的用武之地:在系統的幫助下,您可以查看設備在網路上的行為方式、建立其設定檔並將其指派給一組其他設備,例如 IP 電話和工作站。 如果攻擊者試圖欺騙 MAC 位址並連接到網絡,系統將發現裝置設定檔已更改,將發出可疑行為訊號,並且不允許可疑使用者進入網路。
EAP鏈
EAP 連結技術涉及工作 PC 和使用者帳戶的順序驗證。 這個案例之所以廣為流傳,是因為... 許多公司仍然不鼓勵將員工的個人設備連接到公司區域網路。 使用這種身份驗證方法,可以檢查特定工作站是否是網域的成員,如果結果是否定的,則使用者要么不被允許進入網絡,要么能夠進入,但需要一定的條件限制。
故作姿態
本案例是關於評估工作站軟體是否符合資訊安全要求。 利用該技術,可以檢查工作站上的軟體是否更新、是否安裝安全措施、主機防火牆是否配置等。 有趣的是,這項技術還可讓您解決與安全無關的其他任務,例如檢查必要檔案是否存在或安裝系統範圍的軟體。
思科 ISE 較不常見的用例包括使用端對端域身份驗證(被動 ID)進行存取控制、基於 SGT 的微分段和過濾,以及與行動裝置管理 (MDM) 系統和漏洞掃描程式的整合。
非標準項目:為什麼您可能需要思科 ISE,或我們實踐中的 3 個罕見案例
對基於 Linux 的伺服器的存取控制
有一次,我們為一位已經實施了 Cisco ISE 系統的客戶解決了一個相當重要的案例:我們需要找到一種方法來控制安裝了 Linux 的伺服器上的使用者操作(主要是管理員)。 為了尋找答案,我們想到了使用免費的 PAM Radius Module 軟體,該軟體可讓您透過外部 Radius 伺服器上的身份驗證登入執行 Linux 的伺服器。 這方面的一切都很好,如果不是一個“但是”:radius 伺服器發送對身份驗證請求的回應,僅給出帳戶名稱和結果 - 評估接受或評估拒絕。 同時,在Linux中進行授權時,還需要至少再分配一個參數-主目錄,以便使用者至少到達某個地方。 我們沒有找到一種方法將其作為半徑屬性,因此我們編寫了一個特殊的腳本,用於以半自動模式在主機上遠端建立帳戶。 這個任務是相當可行的,因為我們處理的是管理員帳戶,而且數量不是很多。 接下來,使用者登入所需的設備,之後他們被分配必要的存取權限。 一個合理的問題出現了:在這種情況下是否有必要使用思科 ISE? 事實上,不 - 任何 Radius 伺服器都可以,但由於客戶已經有了這個系統,我們只是為它添加了一個新功能。
LAN 上的硬體和軟體清單
我們曾經參與過一個項目,在沒有初步「試點」的情況下向一位客戶提供思科 ISE。 該解決方案沒有明確的要求,而且我們正在處理一個扁平的、非分段的網絡,這使我們的任務變得複雜。 在專案期間,我們配置了網路支援的所有可能的分析方法:NetFlow、DHCP、SNMP、AD 整合等。 因此,MAR 存取配置為能夠在身份驗證失敗時登入網路。 也就是說,即使身份驗證不成功,系統仍然允許用戶進入網絡,收集有關他的資訊並將其記錄在 ISE 資料庫中。 幾週的網路監控幫助我們識別了連接的系統和非個人設備,並開發了一種對它們進行分段的方法。 此後,我們還配置了發布以在工作站上安裝代理,以收集有關工作站上安裝的軟體的資訊。 結果如何? 我們能夠對網路進行分段並確定需要從工作站中刪除的軟體清單。 我不會隱瞞將使用者分配到網域群組和劃分存取權限的進一步任務花費了我們相當多的時間,但透過這種方式,我們可以全面了解客戶在網路上擁有的硬體。 順便說一句,由於開箱即用的分析工作做得很好,這並不困難。 好吧,在分析沒有幫助的地方,我們檢查了自己,突出顯示了設備所連接的交換器連接埠。
在工作站上遠端安裝軟體
這個案例是我實踐中最奇怪的案例之一。 有一天,一位客戶向我們求助 - 實施思科 ISE 時出現問題,一切都崩潰了,其他人都無法存取網路。 我們開始調查並發現以下內容。 該公司有 2000 台計算機,在沒有網域控制器的情況下,由管理員帳戶進行管理。 為了實現對等互連,該組織實施了思科 ISE。 有必要以某種方式了解現有電腦上是否安裝了防毒軟體、軟體環境是否更新等。 由於 IT 管理員將網路設備安裝到系統中,因此他們有權存取它也是合乎邏輯的。 在了解了它的工作原理並裝飾了他們的 PC 後,管理員提出了在員工工作站上遠端安裝軟體而無需親自訪問的想法。 想像一下這樣每天可以省多少步! 管理員對工作站的 C:Program Files 目錄中是否存在特定檔案進行了多次檢查,如果不存在,則透過指向安裝 .exe 檔案的檔案儲存的連結啟動自動修復。 這使得普通用戶可以存取文件共享並從那裡下載必要的軟體。 不幸的是,管理員不太了解 ISE 系統並破壞了發布機制 - 他錯誤地編寫了策略,這導致了我們參與解決的問題。 就我個人而言,我對這種創造性的方法感到由衷的驚訝,因為創建網域控制器會更便宜且勞動力密集度更低。 但作為概念證明,它是有效的。
在我同事的文章中詳細了解實施思科 ISE 時出現的技術細微差別 .
Artem Bobrikov,Jet Infosystems 資訊安全中心設計工程師
後記:
儘管本文討論的是思科 ISE 系統,但所描述的問題與整個 NAC 解決方案類別相關。 計劃實施哪個供應商的解決方案並不那麼重要——上述大部分內容仍然適用。
來源: www.habr.com