Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Тестування покаже: як підготуватися до впровадження Cisco ISE і зрозуміти, які фічи системи вам потрібні

2019-04-07
Автор: Телесфера

Як часто ви купуєте щось спонтанно, піддавшись крутій рекламі, а потім ця спочатку бажана річ припадає пилом у шафі, коморі або гаражі до чергового генерального прибирання або переїзду? Як результат - розчарування через невиправдані очікування і даремно витрачені гроші. Набагато гірше, коли подібне трапляється з бізнесом. Дуже часто маркетингові трюки бувають настільки гарні, що компанії набувають дороге рішення, не бачачи повної картини його застосування. Тим часом, пробне тестування системи допомагає зрозуміти, як підготувати інфраструктуру до інтеграції, який функціонал і в якому обсязі варто впроваджувати. Так можна уникнути величезного числа проблем через вибір продукту «в сліпу». До того ж, впровадження після грамотного «пілота» принесе інженерам набагато менше зруйнованих нервових клітин і сивого волосся. Розберемося, чому пілотне тестування так важливо для успішного проекту, на прикладі популярного інструменту для контролю доступу до корпоративної мережі - Cisco ISE. Розглянемо як типові, так і зовсім нестандартні варіанти застосування рішення, які зустрічалися в нашій практиці.

Cisco ISE - «Radius-сервер на стероїдах»

Cisco Identity Services Engine (ISE) - це платформа для створення системи контролю доступу до локально-обчислювальної мережі організації. В експертному середовищі продукт за його властивості прозвали «Radius-сервером на стероїдах». Чому так? По суті рішення є Radius-сервером, до якого прикрутили величезну кількість додаткових сервісів і «фішечок», що дозволяють отримувати великий обсяг контекстної інформації і застосовувати отриману сукупність даних в політиках доступу.

Як і будь-який інший Radius-сервер, Cisco ISE взаємодіє з мережевим обладнанням рівня доступу, збирає інформацію про всі спроби підключення до корпоративної мережі та на основі політик аутентифікації і авторизації пускає або не пускає користувачів в ЛОМ. Однак можливість профілювання, посчерінга, інтеграції з іншими ІБ-рішеннями дозволяє істотно ускладнити логіку політики авторизації і тим самим вирішувати досить важкі і цікаві завдання.

Впроваджувати не можна пілотувати: навіщо потрібно тестування?

Цінність пілотного тестування - в демонстрації всіх можливостей системи в конкретній інфраструктурі конкретної організації. Я переконаний, що пілотування Cisco ISE перед впровадженням корисно всім учасникам проекту, і ось чому.

Інтеграторам це дає чітке уявлення про очікування замовника і допомагає сформувати коректне технічне завдання, що містить набагато більше деталей, ніж розхожа фраза «зробіть так, щоб все було добре». «Пілот» дозволяє нам відчути всю біль замовника, зрозуміти, які завдання для нього є пріоритетними, а які другорядними. Для нас це відмінна можливість розібратися заздалегідь, яке обладнання використовується в організації, як буде проходити впровадження, на яких майданчиках, де вони розташовані і так далі.

Замовники ж під час пілотного тестування бачать реальну систему в дії, знайомляться з її інтерфейсом, можуть перевірити, чи сумісна вона з наявним у них «залізом», і отримати цілісне уявлення про те, як рішення буде працювати після повноцінного впровадження. «Пілот» - це той самий момент, коли можна побачити всі «підводні камені», з якими напевно доведеться зіткнутися при інтеграції, і вирішити, скільки ліцензій потрібно придбати.

Що може «спливти» під час «пілота»

Отже, як же правильно підготуватися до впровадження Cisco ISE? З нашого досвіду ми нарахували 4 основні моменти, які важливо врахувати в процесі пілотного тестування системи.

Форм-фактор

Для початку потрібно визначитися, в якому форм-факторі буде реалізована система: фізичному або віртуальному аплайнсі. У кожного варіанту є переваги і недоліки. Наприклад, сильна сторона фізичного аплайнсу - прогнозована продуктивність, однак не можна забувати, що такі пристрої з часом застарівають. Віртуальні аплайнси менш передбачувані, тому що залежать від обладнання, на якому розгорнуте середовище віртуалізації, але при цьому мають серйозний плюс: при наявності підтримки їх завжди можна оновити до останньої версії.

Чи сумісне ваше мережеве обладнання з Cisco ISE?

Зрозуміло, ідеальним сценарієм було б підключити до системи все обладнання відразу. Проте, це можливо не завжди, так як багато організацій до цих пір використовують некеровані комутатори або комутатори, які не підтримують частину технологій, на яких працює Cisco ISE. До слова, мова йде не тільки про комутатори, це також можуть бути контролери бездротової мережі, VPN-концентратори і будь-яке інше обладнання, до якого підключаються користувачі. У моїй практиці були випадки, коли після демонстрації системи для повноцінного впровадження замовник оновлював практично весь парк комутаторів рівня доступу на сучасне обладнання Cisco. Щоб уникнути неприємних сюрпризів, варто заздалегідь з'ясувати долю непідтримуваного обладнання.

Чи всі ваші пристрої типові?

У будь-якій мережі є типові пристрої, з підключенням яких не повинно виникнути труднощів: автоматизовані робочі місця, IP-телефони, точки доступу Wi-Fi, відеокамери і так далі. Але буває і так, що до ЛОМ потрібно підключити нетипові пристрої, наприклад, конвертери сигналів шини RS232/Ethernet, інтерфейси джерел безперебійного живлення, різне технологічне обладнання та ін. Список таких пристроїв важливо визначити заздалегідь, щоб на етапі впровадження у вас вже було розуміння, як технічно вони будуть працювати з Cisco ISE.

Конструктивний діалог з айтішниками

Часто замовниками Cisco ISE виступають департаменти з безпеки, при цьому за налаштування комутаторів рівня доступу і Active Directory зазвичай відповідають ІТ-підрозділи. Тому продуктивна взаємодія безпечників і айтішників - одне з важливих умов безболісного впровадження системи. Якщо останні сприймають інтеграцію «в штики», варто пояснити їм, чому рішення буде корисно ІТ-департаменту.

Топ-5 юзкейсів Cisco ISE

З нашого досвіду, необхідний функціонал системи також виявляється на етапі пілотного тестування. Нижче представлені кілька найбільш популярних і менш поширених кейсів використання рішення.

Безпечний доступ в ЛОМ по дроту з EAP-TLS

Як показують результати досліджень наших пентестіров, досить часто для проникнення в мережу компанії зловмисники використовують звичайні розетки, до яких підключені принтери, телефони, IP-камери, Wi-Fi-точки та інші неперсональні мережеві пристрої. Тому навіть якщо доступ в мережу здійснюється на базі технології dot1x, але при цьому використовуються альтернативні протоколи без застосування сертифікатів підтвердження автентичності користувачів, велика ймовірність успішної атаки з перехопленням сесії і брутфорсом паролів. У випадку з Cisco ISE забрутити сертифікат буде значно складніше - для цього хакерам потрібні набагато більші обчислювальні потужності, так що даний кейс досить ефективний.

Доступ Dual-SSID

Суть цього сценарію полягає в використанні 2 ідентифікаторів мережі (SSID). Один з них умовно можна назвати «гостьовим». Через нього в бездротову мережу можуть заходити як гості, так і співробітники компанії. Останні при спробі підключення перенаправляються на спеціальний портал, де відбувається провіжинінг. Тобто користувачу виписується сертифікат і проводиться налаштування його особистого пристрою для автоматичного перепідключення до другого SSID, в якому вже використовується EAP-TLS з усіма перевагами першого кейса.

MAC Authentication Bypass і профілювання

Ще один популярний кейс полягає в автоматичному визначенні типу пристрою, що підключається і застосування до нього правильних обмежень. Чим він цікавий? Справа в тому, що до сих існує досить багато пристроїв, що не підтримують аутентифікацію по протоколу 802.1X. Тому пускати в мережу такі пристрої доводиться по MAC-адресі, яку досить легко підробити. Тут на допомогу приходить Cisco ISE: за допомогою системи можна побачити, як пристрій поводиться в мережі, скласти його профіль і поставити йому у відповідність групу інших пристроїв, наприклад, IP-телефон і робочу станцію. При спробі зловмисника здійснити спуфинг MAC-адреси і підключитися до мережі система побачить, що профіль пристрою змінився, подасть сигнал про підозрілу поведінку і не пустить підозрілого користувача в мережу.

EAP-Chaining

Технологія EAP-Chaining має на увазі послідовну аутентифікацію робочого ПК і облікового запису користувача. Цей кейс набув широкого поширення, тому що у багатьох компаніях досі не вітається підключення особистих гаджетів працівників до корпоративної ЛОМ. Використовуючи такий підхід до аутентифікації, можна перевірити, чи є конкретна робоча станція членом домену, і при негативному результаті користувач або не потрапить в мережу, або зайде, але з певними обмеженнями.

Posturing

У цьому кейсі мова йде про оцінку відповідності складу програмного забезпечення робочої станції вимогам ІБ. За допомогою даної технології можна перевірити, чи оновлено ПЗ на робочій станції, чи встановлені на ній засоби захисту, чи налаштований хостовий брандмауер і т.д. Цікаво, що ця технологія також дозволяє вирішувати й інші завдання, не пов'язані з безпекою, наприклад, перевіряти наявність необхідних файлів або установки загальносистемного програмного забезпечення.

Рідше зустрічаються також такі сценарії використання Cisco ISE, як контроль доступу з наскрізною доменною аутентифікацією (Passive ID), SGT-based мікросегментація і фільтрація, а також інтеграція з системами управління мобільними пристроями (MDM) і сканерами вразливостей (Vulnerability Scanner).

Нестандартні проекти: навіщо ще може знадобитися Cisco ISE, або 3 рідкісних кейса з нашої практики

Контроль доступу до серверів на базі Linux

Одного разу ми вирішували досить нетривіальний кейс для одного з замовників, у якого вже була впроваджена система Cisco ISE: нам потрібно було знайти спосіб контролю призначених для користувача дій (в основному це були адміни) на серверах з встановленою ОС Linux. У пошуках відповіді нам прийшла ідея задіяти вільне ПЗ PAM Radius Module, що дозволяє здійснювати вхід на сервери під управлінням Linux з аутентифікацією на зовнішньому радіус-сервері. Все в цьому плані було б добре, якби не одне «але»: радіус-сервер, відправляючи відповідь на запит аутентифікації, віддає тільки ім'я облікового запису та результат - assess accepted або assess rejected. Тим часом, для авторизації в Linux потрібно призначити як мінімум ще один параметр - home directory, щоб користувач хоча б кудись потрапив. Ми не знайшли спосіб віддавати це як радіус-атрибут, тому написали спеціальний скрипт для віддаленого створення облікових записів на хостах в напівавтоматичному режимі. Це завдання було цілком здійсненне, тому що ми мали справу з обліковими записами адміністраторів, кількість яких була не настільки велика. Далі користувачі заходили на свій пристрій, після чого їм призначався необхідний доступ. Виникає резонне питання: чи обов'язково використовувати в подібних кейсах саме Cisco ISE? Насправді немає - підійде будь-який радіус-сервер, але так як у замовника вже була дана система, то ми просто додали до неї нову фішечку.

Інвентаризація «заліза» і ПЗ в ЛОМ

Якось раз ми працювали над проектом з постачання Cisco ISE одному замовнику без попереднього «пілота». Чітких вимог до вирішення не було, плюс до всього ми мали справу з плоскою, несегментованою мережею, що ускладнювало нам задачу. В ході проекту ми налаштували всі можливі методи профілювання, які підтримували мережу: NetFlow, DHCP, SNMP, інтеграція з AD і т.д. В результаті був налаштований доступ по MAR з можливістю зайти в мережу при невдалій аутентифікації. Тобто навіть якщо аутентифікація була успішною, система все одно пускала користувача в мережу, збирала інформацію про нього і записувала її в базу даних ISE. Такий моніторинг мережі протягом декількох тижнів допоміг нам виділити підключаємі системи і неперсональні пристрої і виробити підхід до їх сегментації. Після цього ми додатково налаштували посчерінг для установки агента на робочі станції з метою збору інформації про встановленому на них ПЗ. Що в підсумку? Нам вдалося сегментувати мережу і визначити список ПЗ, яке потрібно було видалити з робочих станцій. Не стану приховувати, подальші завдання з розподілу користувачів по доменним групам і розмежування прав доступу відняли у нас досить багато часу, але таким чином ми отримали повну картину того, яке «залізо» було в мережі у замовника. До слова, це було нескладно за рахунок хорошої роботи профілювання «з коробки». Ну, а там, де профілювання не допомогло, ми дивилися самі, виділивши порт комутатора, до якого було підключено обладнання.

Дистанційна установка ПЗ на робочі станції

Цей кейс один з найдивніших в моїй практиці. Одного разу до нас звернувся замовник з криком про допомогу - при впровадженні Cisco ISE щось пішло не так, все зламалося, та ніхто більше не міг отримати доступ в мережу. Ми стали розбиратися і з'ясували наступне. У компанії було 2000 комп'ютерів, управління якими за відсутністю контролера домену здійснювалося з-під облікового запису адміністратора. З метою посчерінга в організації впровадили Cisco ISE. Потрібно було хоч якось зрозуміти, чи встановлений на наявних ПК антивірус, чи оновлене програмне середовище і т.д. А так як мережеве обладнання в систему заводили ІТ-адміністратори, логічно, що у них був до неї доступ. Подивившись, як вона працює, і провівши посчерінг своїх ПК, адміни придумали встановлювати ПЗ на робочі станції співробітників віддалено без особистих візитів. Тільки уявіть, скільки кроків так можна заощадити за день! Адміни провели кілька перевірок АРМ на наявність певного файлу в директорії C:\Program Files, і при його відсутності запускалася автоматична ремедіація з переходом по посиланню, що веде в файлове сховище на інсталяційний файл .exe. Це дозволило рядовим користувачам зайти в файлову шару і завантажити звідти потрібне ПЗ. На жаль, адмін погано знав систему ISE і пошкодив механізми посчерінга - неправильно написав політику, що і призвело до проблеми, до вирішення якої підключили нас. Особисто я щиро здивований настільки креативному підходу, адже набагато дешевше і менш трудомістко було б створити контролер домену. Але як Proof of concept це спрацювало.

Джерело: https://dutchitchannel.nl/620736/aruba-networks-lanceert-clearpass-device-insight-en-wi-fi-portfolio.html


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Платформа для спільної роботи Cisco Webex стає ще безпечніше

Платформа для спільної роботи Cisco Webex стає ще безпечніше
Cisco,cisco,cisco безпека,Налаштування Cisco,новини

Корпорація Cisco представила розширення Webex Control Hub Extended Security Pack, яке покликане зробити використання платформи для спільної роботи ще зручніше і безпечніше. Як зазначається, додатки Cisco для організації віддаленої взаємодії між співробітниками вибирають 95% компаній, що входять в список Fortune 500.

Cisco представила інновації в області мереж зберігання даних

Cisco представила інновації в області мереж зберігання даних
Cisco,cisco,новини,Налаштування Cisco,cisco безпека

Cisco представила ряд інновацій в сфері мереж зберігання даних (Storage Area Networking, SAN). Серед них - комутатор директорного класу, готовий до підтримки 64 Гбіт/с, рішення SAN NVMe/FC Analytics для глибокого аналізу мереж SAN і розширений інструментарій DevOps.

Cisco представила комутатор MDS 9700 з підтримкою швидкості 64 Гбіт/с

Cisco представила комутатор MDS 9700 з підтримкою швидкості 64 Гбіт/с
Cisco,cisco,Типові рішення,Налаштування Cisco,новини

Компанія Cisco анонсувала готовність до підтримки швидкості 64 Гбіт/с на платформі MDS 9700, з урахуванням вимог протоколу NVMe (non-volatile memory express) і масивів All-Flash.