您多久自发地购买一些东西,屈服于酷广告,然后最初想要的事情是在壁橱,食品储藏室或车库收集灰尘,直到下一次大扫除或移动为止? 结果,由于不合理的期望和金钱浪费而使人失望。 当这种情况发生在企业中时,情况就更糟了。 通常,营销技巧是如此之好,以至于企业在不了解其应用全貌的情况下获得了昂贵的解决方案。 同时,对该系统的试用测试有助于了解如何为集成准备基础架构,应该实现什么功能以及在什么程度上实现。 因此,您可以避免由于盲目选择产品而导致的大量问题。 此外,在称职的“飞行员”之后进行介绍将使工程师减少受损的神经细胞和白发。 让我们看看流行的控制公司网络访问的工具-思科ISE的例子,试点测试对成功的项目如此重要。 让我们考虑应用我们实践中遇到的解决方案的标准选项和完全非标准选项。
Cisco ISE-类固醇上的Radius服务器
思科身份服务引擎(ISE)是一个平台,用于为组织的局域网创建访问控制系统。 在专家社区中,该产品因其特性而被昵称为“类固醇的Radus服务器”。 为什么这样 从本质上讲,该解决方案是Radius服务器,大量附加服务和“芯片”被固定在其中,从而使您可以接收大量上下文信息,并将所得的数据集应用到访问策略中。
像任何其他Radius服务器一样,Cisco ISE与访问级别的网络设备进行交互,收集有关所有尝试连接到公司网络的尝试的信息,并基于身份验证和授权策略允许或拒绝用户访问LAN。 但是,进行概要分析,调度,与其他信息安全解决方案集成的可能性会极大地使授权策略的逻辑复杂化,从而解决相当困难和有趣的任务。
机不可试:为什么需要测试?
试点测试的价值在于证明特定组织的特定基础架构中系统的所有功能。 我坚信在部署之前先试用Cisco ISE对所有项目参与者都是有用的,这就是原因。
对于集成商而言,这可以清楚地了解客户的期望,并有助于制定正确的技术任务,其中所包含的详细信息要比常用的“使一切正常”更重要。 “飞行员”使我们能够感受到客户的所有痛苦,了解哪些任务对他来说是优先的,哪些是次要的。 对于我们来说,这是一个很好的机会,可以提前弄清组织中使用了哪种设备,实施方式,实施地点,地点等。
在试点测试期间,客户可以看到实际的系统在运行,熟悉其界面,可以检查其是否与硬件兼容,并可以全面了解解决方案在完全实施后的工作方式。 当您看到集成过程中可能遇到的所有“陷阱”并决定需要购买多少许可证时,便是一个“试点”。
在“飞行员”期间可以“出现”什么
那么,您如何为实施思科ISE做准备? 根据我们的经验,我们已经算出了4个要点,这些要点在系统的试验测试过程中需要考虑。
外形尺寸
首先,您需要确定系统将以哪种形式实施:物理或虚拟。 每个选项都有优点和缺点。 例如,物理升级的优势是预期的性能,但我们不能忘记这些设备会随着时间的推移而过时。 虚拟隆起的可预测性较差,因为 它们取决于在其上部署虚拟化环境的设备,但是同时,它们还有一个重要的优点:如果有支持,则始终可以将它们更新为最新版本。
您的网络设备是否与Cisco ISE兼容?
当然,理想的方案是将所有设备立即连接到系统。 但是,这并非总是可能的,因为许多组织仍在使用非托管交换机或不支持Cisco ISE运行的某些技术的交换机。 顺便说一下,这不仅涉及交换机,还可以是无线网络控制器,VPN集中器和用户连接的任何其他设备。 在我的实践中,在演示了系统的完整实施案例后,客户几乎将整个访问级别交换机全部更新为现代Cisco设备。 为避免意外情况,值得提前确定不支持的设备的比例。
您所有的设备都是典型的吗?
在任何网络上,都有不难连接的典型设备:工作站,IP电话,Wi-Fi接入点,便携式摄像机等。 但是也有可能必须将非标准设备(例如RS232 /以太网总线信号转换器,不间断电源接口,各种技术设备等)连接到LAN。重要的是要事先确定此类设备的清单,以便您在实施阶段已经有所了解,他们将如何与Cisco ISE一起使用。
与IT专家进行建设性对话
思科ISE客户通常是安全部门,IT部门通常负责配置访问级别交换机和Active Directory。 因此,安全性与IT专业人员之间的有效互动是轻松实施系统的重要条件之一。 如果后者认为集成“带有敌意”,则应向他们解释该解决方案将如何对IT部门有用。
前5名思科ISE用户案例
根据我们的经验,在试点测试阶段还会检测到必要的系统功能。 以下是一些使用该解决方案的最流行和较不常见的案例。
使用EAP-TLS的安全LAN访问
正如我们的渗透测试人员的研究结果所示,攻击者经常使用普通的套接字来渗透公司的网络,打印机,电话,IP摄像机,Wi-Fi点和其他非个人网络设备都连接到该网络。 因此,即使对网络的访问是基于dot1x技术的,但是在不使用用户身份验证证书的情况下使用了替代协议,会话拦截和密码蛮力攻击的成功可能性仍然很高。 对于思科ISE,要获得证书将更加困难-为此,黑客将需要更多的计算能力,因此这种情况非常有效。
双SSID无线访问
该方案的本质是使用2个网络标识符(SSID)。 其中之一可以有条件地称为“来宾”。 访客和公司员工都可以通过它进入无线网络。 尝试连接时,后者会重定向到进行配置的特殊门户。 也就是说,将证书颁发给用户,并且他的个人设备配置为自动重新连接到第二个SSID,该SSID已经使用EAP-TLS并具有第一种情况的所有优点。
MAC身份验证绕过和分析
另一种流行的情况是自动确定要连接的设备的类型并对其应用正确的限制。 他有多有趣? 事实是,仍有许多设备不支持802.1X协议下的身份验证。 因此,必须通过MAC地址将此类设备启动到网络中,这很容易伪造。 思科ISE可以助您一臂之力:在系统的帮助下,您可以查看设备在网络中的行为,编译其配置文件并将其与一组其他设备(例如IP电话和工作站)关联。 当攻击者尝试欺骗MAC地址并连接到网络时,系统将看到设备配置文件已更改,这将表示可疑行为,并且将不允许可疑用户进入网络。
搭链
EAP链技术要求对工作PC和用户帐户进行顺序验证。 这种情况很普遍,因为 许多公司仍然不欢迎将员工的个人小工具连接到公司LAN。 使用这种身份验证方法,您可以检查特定的工作站是否是域的成员,并且如果结果是否定的,则用户将无法进入网络或登录,但会受到一定的限制。
姿势
此案例是关于评估工作站软件是否符合信息安全要求。 使用此技术,您可以检查工作站上的软件是否已更新,是否安装了安全功能,是否配置了主机防火墙等。 有趣的是,该技术还允许您解决与安全性无关的其他任务,例如,检查是否存在必需的文件或安装系统范围的软件。
诸如通过域认证(Passive ID),基于SGT的微分段和过滤以及与移动设备管理系统(MDM)和漏洞扫描程序(Vulnerability Scanners)集成之类的Cisco ISE使用场景也不太常见。
非标准项目:为什么还需要Cisco ISE,或者我们的实践中有3种罕见情况
Linux服务器访问控制
一旦我们为已经实施了思科ISE系统的一位客户解决了一个不平凡的案例:我们需要找到一种方法来控制运行Linux的服务器上的用户操作(主要是管理员)。 为了寻找答案,我们想到了使用免费的PAM Radius模块软件的方法,该软件使我们能够通过外部Radius服务器上的身份验证登录到基于Linux的服务器。 如果这不是一个“而是”,那么这一切都将是一件好事:radius服务器发送对身份验证请求的响应,仅返回帐户名,并且评估结果被接受或评估被拒绝。 同时,要在Linux中进行授权,您还需要至少分配一个参数-主目录,以便用户至少可以到达某个地方。 我们没有找到一种将其指定为radius属性的方法,因此我们编写了一个特殊的脚本以半自动模式在主机上远程创建帐户。 这项任务非常可行,因为我们要处理的管理员帐户数量不是很多。 然后,用户转到必要的设备,然后为他们分配了必要的访问权限。 出现一个合理的问题:在这种情况下是否必须使用Cisco ISE? 实际上,任何半径服务器都不会这样做,但是由于客户已经拥有此系统,因此我们刚刚为其添加了新功能。
局域网中的硬件和软件清单
一旦我们进行了一个项目,即可在没有初步“试点”的情况下将Cisco ISE提供给一个客户。 对于该解决方案没有明确的要求,此外,我们处理的是一个无分段的扁平网络,这使我们的任务变得复杂。 在项目期间,我们配置了网络支持的所有可能的分析方法:NetFlow,DHCP,SNMP,AD集成等。 结果,MAR访问被配置为在身份验证失败时能够进入网络。 也就是说,即使认证不成功,系统仍将允许用户进入网络,收集有关他的信息并将其写入ISE数据库。 在数周的时间内对网络进行的此类监视帮助我们识别了插件系统和非个人设备,并开发了对其进行细分的方法。 之后,我们还配置了在工作站上安装代理的计划,以便收集有关在工作站上安装的软件的信息。 结果如何? 我们设法对网络进行了细分,并确定了需要从工作站中删除的软件列表。 我不会掩饰,通过域组分配用户和划分访问权限的进一步任务花费了很多时间,但是通过这种方式,我们可以全面了解客户在网络上拥有的“硬件”。 顺便说一下,由于出色的现成的分析工作,这并不困难。 好吧,在无法进行性能分析的地方,我们自己查看了一下,突出显示了设备所连接的交换机端口。
在工作站上进行远程软件安装
这种情况是我实践中最奇怪的情况之一。 一旦有客户来找我们大声呼救-实施思科ISE时出了点问题,一切都崩溃了,没有人可以访问网络。 我们开始了解并发现以下内容。 该公司拥有2,000台计算机,这些计算机由于缺少域控制器而由域管理员进行管理。 为了进行调度,在组织中引入了思科ISE。 有必要以某种方式了解是否已在现有PC上安装了防病毒软件,是否已更新软件环境等。 而且由于网络设备是由IT管理员带入系统的,因此逻辑上他们可以访问它。 在了解了它的工作原理并安排了他们的PC之后,管理员想到了一种在无需个人访问的情况下将软件远程安装在员工工作站上的想法。 试想一下一天可以节省多少步骤! 管理员对C:\ Program Files目录中的工作站进行了几次检查,如果不存在,则会启动自动修复,并提供指向指向.exe安装文件文件存储位置的链接。 这使普通用户可以进入文件共享并从那里下载必要的软件。 不幸的是,管理员不太了解ISE系统并破坏了共享后机制-他错误地编写了策略,这导致了我们与解决方案相关的问题。 就个人而言,我对这种创造性的方法感到非常惊讶,因为创建域控制器会更便宜且省力。 但是概念证明是如何起作用的。
阅读有关实施Cisco ISE时出现的技术细微差别的更多信息,请参阅我同事
的文章
“实施Cisco ISE。 工程师的样子 。
“Jet信息系统信息安全中心设计工程师Artyom Bobrikov后记 :
尽管这篇文章讨论的是Cisco ISE系统,但所描述的问题与整个NAC解决方案类有关。 计划实施哪个供应商的解决方案并不重要-以上大部分内容仍然适用。