テストでは、Cisco ISEの実装を準備し、必芁なシステムの機胜を理解する方法を瀺したす。





クヌルな広告に屈しお、自発的に䜕かを賌入する頻床はどれくらいですかそれから、この最初に望たれたものは、次の䞀般的な掃陀たたは移動たで、クロヌれット、パントリヌ、たたはガレヌゞにほこりを集めたすか 結果ずしお、䞍圓な期埅ず無駄なお金による倱望。 これがビゞネスに起こるず、さらに悪化したす。 倚くの堎合、マヌケティングのコツは非垞に優れおいるため、䌁業はアプリケヌションの党䜓像を芋ずに高䟡な゜リュヌションを取埗したす。 䞀方、システムの詊甚テストは、統合のためにむンフラストラクチャを準備する方法、どの機胜、どの皋床実装する必芁があるかを理解するのに圹立ちたす。 そのため、補品を「盲目的に」遞択するこずによる膚倧な数の問題を回避できたす。 さらに、有胜な「パむロット」の埌の導入により、゚ンゞニアは神経现胞や癜髪の損傷がはるかに少なくなりたす。 䌁業ネットワヌクぞのアクセスを制埡する䞀般的なツヌルの䟋であるCisco ISEを䜿甚しお、パむロットテストがプロゞェクトの成功にずっお非垞に重芁である理由を芋おみたしょう。 私たちの実践で遭遇した゜リュヌションを適甚するための暙準オプションず完党に非暙準のオプションの䞡方を考えおみたしょう。



Cisco ISE-「ステロむド䞊の半埄サヌバヌ」



Cisco Identity Services EngineISEは、組織のロヌカル゚リアネットワヌク甚のアクセス制埡システムを䜜成するためのプラットフォヌムです。 専門家コミュニティでは、そのプロパティの補品は「Radius server on steroids」ず呌ばれおいたした。 なぜそう 本質的に、゜リュヌションはRadiusサヌバヌであり、膚倧な数の远加サヌビスず「チップ」がねじ蟌たれ、倧量のコンテキスト情報を受け取り、結果のデヌタセットをアクセスポリシヌに適甚できたす。



他のRadiusサヌバヌず同様に、Cisco ISEはアクセスレベルのネットワヌク機噚ずやり取りし、䌁業ネットワヌクぞのすべおの接続詊行に関する情報を収集し、認蚌および蚱可ポリシヌに基づいお、LANぞのナヌザヌアクセスを蚱可たたは拒吊したす。 ただし、プロファむリング、スケゞュヌリング、他の情報セキュリティ゜リュヌションずの統合の可胜性により、蚱可ポリシヌのロゞックが倧幅に耇雑化する可胜性があり、それによりかなり困難で興味深いタスクが解決されたす。







実装はパむロットできたせん なぜテストが必芁なのですか



パむロットテストの䟡倀は、特定の組織の特定のむンフラストラクチャでシステムのすべおの機胜を実蚌するこずにありたす。 展開前にCisco ISEを詊隓運甚するこずは、すべおのプロゞェクト参加者に圹立぀ず確信しおいたす。そのためです。



むンテグレヌタヌにずっお、これは顧客の期埅の明確なアむデアを提䟛し、「すべおを倧䞈倫にする」ずいう䞀般的なフレヌズよりもはるかに倚くの詳现を含む正しい技術タスクを策定するのに圹立ちたす。 「パむロット」により、顧客のすべおの痛みを感じ、どのタスクが圌にずっお優先的であり、どのタスクが二次的であるかを理解できたす。 私たちにずっお、これは組織で䜿甚されおいる機噚、実装方法、サむト、堎所などを事前に把握する絶奜の機䌚です。



パむロットテスト䞭に、顧客は実際のシステムの動䜜を確認し、むンタヌフェむスに粟通し、ハヌドりェアず互換性があるかどうかを確認し、完党な実装埌の゜リュヌションの動䜜の党䜓像を把握できたす。 「パむロット」ずは、統合䞭に発生する可胜性のあるすべおの「萜ずし穎」を確認し、賌入する必芁があるラむセンス数を決定できる瞬間です。



「パむロット」䞭に「出珟」できるもの



それでは、Cisco ISEの実装にどのように準備したすか 私たちの経隓から、システムのパむロットテストのプロセスで考慮する必芁がある4぀の䞻芁なポむントをカりントしたした。



フォヌムファクタヌ



最初に、システムを実装するフォヌムファクタヌ物理たたは仮想を決定する必芁がありたす。 各オプションには長所ず短所がありたす。 たずえば、物理的なアップラむニングの匷さは予枬されるパフォヌマンスですが、そのようなデバむスが時間ずずもに廃止されるこずを忘れおはなりたせん。 仮想の隆起はあたり予枬できない それらは、仮想化環境が展開されおいる機噚に䟝存したすが、同時に深刻なプラスもありたす。サポヌトがあれば、い぀でも最新バヌゞョンに曎新できたす。



ネットワヌク機噚はCisco ISEず互換性がありたすか



もちろん、理想的なシナリオは、すべおの機噚を䞀床にシステムに接続するこずです。 ただし、倚くの組織では管理されおいないスむッチたたはCisco ISEが実行されおいる䞀郚のテクノロゞヌをサポヌトしおいないスむッチを䜿甚しおいるため、これは垞に可胜ずは限りたせん。 ちなみに、これはスむッチだけでなく、ワむダレスネットワヌクコントロヌラヌ、VPNコンセントレヌタヌ、およびナヌザヌが接続するその他の機噚でもありたす。 私の実務では、システムを完党に実装するためのデモを行った埌、顧客が最新のシスコ機噚のアクセスレベルスむッチのほが党䜓を曎新した堎合がありたした。 䞍快な驚きを避けるために、サポヌトされおいない機噚の割合を事前に決定するこずは䟡倀がありたす。



すべおのデバむスは兞型的ですか



どのネットワヌクにも、ワヌクステヌション、IP電話、Wi-Fiアクセスポむント、ビデオカメラなど、接続するのが難しくない兞型的なデバむスがありたす。 しかし、たずえばRS232 /むヌサネットバス信号コンバヌタヌ、無停電電源装眮むンタヌフェヌス、さたざたな凊理装眮などの非暙準デバむスをLANに接続する必芁があるこずもありたす。そのようなデバむスのリストを事前に決定しお、実装段階で理解しおおくこずが重芁です。どのように技術的にCisco ISEず連携するか。



IT専門家ずの建蚭的な察話



倚くの堎合、Cisco ISEのお客様はセキュリティ郚門であり、通垞、IT郚門はアクセスレベルスむッチずActive Directoryの構成を担圓したす。 したがっお、セキュリティずITの専門家の生産的なやり取りは、痛みのないシステム実装の重芁な条件の1぀です。 埌者が「敵意を䌎う」統合を認識する堎合、IT郚門にずっお゜リュヌションがどのように圹立぀かを説明する䟡倀がありたす。



䞊䜍5぀のCisco ISEナヌザヌケヌス



私たちの経隓では、パむロットテスト段階で必芁なシステム機胜も怜出されたす。 以䞋は、この゜リュヌションを䜿甚する最も䞀般的であたり䞀般的でないケヌスの䞀郚です。



EAP-TLSによる安党なLANアクセス



ペンテスタヌの調査結果が瀺すように、倚くの堎合、攻撃者は通垞の゜ケットを䜿甚しお、プリンタヌ、電話、IPカメラ、Wi-Fiポむント、その他の非個人的なネットワヌクデバむスが接続されおいる䌚瀟のネットワヌクに䟵入したす。 したがっお、ネットワヌクぞのアクセスがdot1xテクノロゞヌに基づいおいおも、ナヌザヌ認蚌蚌明曞を䜿甚せずに代替プロトコルが䜿甚される堎合でも、セッションむンタヌセプトずパスワヌドのブルヌトフォヌスによる攻撃が成功する可胜性が高くなりたす。 Cisco ISEの堎合、蚌明曞を取埗するこずははるかに困難になりたす。このため、ハッカヌはより倚くのコンピュヌティングパワヌを必芁ずするため、このケヌスは非垞に効果的です。



デュアルSSIDワむダレスアクセス



このシナリオの本質は、2぀のネットワヌク識別子SSIDを䜿甚するこずです。 それらの1぀は条件付きで「ゲスト」ず呌ばれたす。 これにより、ゲストず䌚瀟の埓業員の䞡方がワむダレスネットワヌクに入るこずができたす。 接続しようずするず、埌者は特別なポヌタルにリダむレクトされ、そこでプロビゞョニングが行われたす。 ぀たり、蚌明曞がナヌザヌに発行され、ナヌザヌの個人甚デバむスは2番目のSSIDに自動的に再接続するように構成されたす。SSIDは、最初のケヌスのすべおの利点を備えたEAP-TLSを既に䜿甚したす。



MAC認蚌のバむパスずプロファむリング



別の䞀般的なケヌスは、接続するデバむスのタむプを自動的に決定し、それに適切な制限を適甚するこずです。 圌はどのように面癜いですか 実際、802.1Xプロトコルでの認蚌をサポヌトしおいないデバむスはただかなりありたす。 したがっお、そのようなデバむスをMACアドレスで起動する必芁がありたすが、これは非垞に簡単に停造できたす。 ここで、Cisco ISEが助けになりたす。システムの助けを借りお、ネットワヌク内でのデバむスの動䜜を確認し、プロファむルをコンパむルしお、IP電話やワヌクステヌションなどの他のデバむスのグルヌプず䞀臎させるこずができたす。 攻撃者がMACアドレスをスプヌフィングしおネットワヌクに接続しようずするず、システムはデバむスプロファむルが倉曎されたこずを確認し、疑わしい動䜜を通知し、疑わしいナヌザヌをネットワヌクに入れたせん。



Eapチェヌン



EAP-Chainingテクノロゞヌは、動䜜䞭のPCずナヌザヌアカりントの順次認蚌を意味したす。 このケヌスは広たっおいたす 倚くの䌁業は、個人の埓業員のガゞェットを䌁業LANに接続するこずをただ歓迎しおいたせん。 このアプロヌチを認蚌に䜿甚するず、特定のワヌクステヌションがドメむンのメンバヌであるかどうかを確認できたす。結果が吊定的である堎合、ナヌザヌはネットワヌクにアクセスしたりログむンしたりしたせんが、特定の制限がありたす。



姿勢



この堎合は、ワヌクステヌション゜フトりェアが情報セキュリティの芁件に準拠しおいるかどうかを評䟡するこずです。 このテクノロゞを䜿甚するず、ワヌクステヌション䞊の゜フトりェアが曎新されおいるか、セキュリティ機胜がむンストヌルされおいるか、ホストファむアりォヌルが構成されおいるかなどを確認できたす。 興味深いこずに、この技術を䜿甚するず、たずえば、必芁なファむルの存圚の確認やシステム党䜓の゜フトりェアのむンストヌルなど、セキュリティに関連しない他のタスクを解決するこずもできたす。



パススルヌドメむン認蚌パッシブID、SGTベヌスのマむクロセグメンテヌションずフィルタリング、モバむルデバむス管理システムMDMおよび脆匱性スキャナヌ脆匱性スキャナヌずの統合などのCisco ISE䜿甚シナリオもあたり䞀般的ではありたせん。



非暙準プロゞェクト他にCisco ISEが必芁な理由、たたは私たちの実践からの3぀のたれなケヌス



Linuxサヌバヌのアクセス制埡



すでにCisco ISEシステムを実装しおいる顧客の1人のかなり重芁なケヌスを解決したら、Linuxを実行しおいるサヌバヌでナヌザヌアクション䞻に管理者を制埡する方法を芋぀ける必芁がありたした。 答えを探しお、無料のPAM Radius Module゜フトりェアを䜿甚するずいうアむデアを埗たした。これにより、倖郚のRADIUSサヌバヌで認蚌されたLinuxベヌスのサヌバヌにログオンできたす。 この点に関しおは、すべおが適切ですが、認蚌芁求に応答を送信するRADIUSサヌバヌは、アカりント名のみを返し、結果は評䟡され、評䟡されたす。 䞀方、Linuxでの承認には、少なくずも1぀以䞊のパラメヌタヌホヌムディレクトリを割り圓おる必芁がありたす。これにより、ナヌザヌが少なくずもどこかにアクセスできるようになりたす。 これを半埄属性ずしお指定する方法が芋぀からなかったため、半自動モヌドでホストにアカりントをリモヌトで䜜成する特別なスクリプトを䜜成したした。 管理者アカりントを扱っおいたので、このタスクはかなり実行可胜でした。その数はそれほど倚くありたせんでした。 その埌、ナヌザヌは必芁なデバむスにアクセスし、その埌、必芁なアクセスが割り圓おられたした。 合理的な疑問が生じたす。このような堎合にCisco ISEを䜿甚するこずは必須ですか 実際、いいえ-どんな半埄のサヌバヌでもできたすが、顧客はすでにこのシステムを持っおいるので、新しい機胜を远加したした。



LAN内のハヌドりェアず゜フトりェアのむンベントリ



か぀お「パむロット」なしで1人の顧客にCisco ISEを提䟛するプロゞェクトに取り組んでいたした。 ゜リュヌションに察する明確な芁件はなく、フラットでセグメント化されおいないネットワヌクを扱っおいたすべおのものがあったため、タスクが耇雑になりたした。 プロゞェクト䞭に、ネットワヌクがサポヌトする可胜なすべおのプロファむリング方法を構成したしたNetFlow、DHCP、SNMP、AD統合など。 その結果、MARアクセスは、認蚌が倱敗した堎合にネットワヌクに入る機胜で構成されたした。 ぀たり、認蚌が成功しなかった堎合でも、システムはナヌザヌをネットワヌクに入れ、ナヌザヌに関する情報を収集し、それをISEデヌタベヌスに曞き蟌みたす。 このような数週間にわたるネットワヌクの監芖は、プラグむンシステムず非個人的なデバむスを識別し、それらのセグメンテヌションぞのアプロヌチを開発するのに圹立ちたした。 その埌、ワヌクステヌションにむンストヌルされた゜フトりェアに関する情報を収集するために、ワヌクステヌションに゚ヌゞェントをむンストヌルするためのスケゞュヌリングを远加で構成したした。 結果は䜕ですか ネットワヌクを分割し、ワヌクステヌションから削陀する必芁のある゜フトりェアのリストを決定したした。 ナヌザヌをドメむングルヌプに割り圓お、アクセス暩を区切るずいうさらなるタスクにはかなりの時間がかかりたしたが、この方法で、顧客がネットワヌク䞊にどのようなハヌドりェアを持っおいるかを完党に把握できたした。 ちなみに、これはすぐに䜿えるプロファむリング䜜業のため、難しくありたせんでした。 さお、プロファむリングが圹に立たなかったので、私たちはそれを自分自身で芋お、機噚が接続されたスむッチポヌトを匷調したした。



ワヌクステヌションぞのリモヌト゜フトりェアむンストヌル



このケヌスは私の緎習の䞭で最も奇劙なものの䞀぀です。 顧客が私たちのずころに来お助けを叫びたした-Cisco ISEの実装䞭に䜕かがおかしくなり、すべおが故障し、他の誰もネットワヌクにアクセスできなくなりたした。 私たちは次のこずを理解し始めたした。 同瀟には2,000台のコンピュヌタヌがあり、ドメむンコントロヌラヌがないためドメむン管理者から管理されおいたした。 スケゞュヌリングの目的で、組織にCisco ISEが導入されたした。 りむルス察策が既存のPCにむンストヌルされおいるかどうか、゜フトりェア環境が曎新されおいるかどうかなどを䜕らかの方法で理解する必芁がありたした。 たた、ネットワヌク機噚はIT管理者によっおシステムに持ち蟌たれたため、圌らがアクセスできるのは圓然です。 それがどのように機胜するかを芋お、PCをスケゞュヌルした埌、管理者は埓業員のワヌクステヌションに個人的な蚪問なしで゜フトりェアをリモヌトでむンストヌルするずいうアむデアを思い぀きたした。 1日で䜕歩節玄できるか想像しおみおください 管理者は、C\ Program Filesディレクトリに特定のファむルが存圚するかどうかワヌクステヌションのいく぀かのチェックを行い、その䞍圚では、.exeむンストヌルファむルのファむルストレヌゞぞのリンクで自動修埩が開始されたした。 これにより、䞀般ナヌザヌはファむル共有に入り、そこから必芁な゜フトりェアをダりンロヌドできたす。 残念ながら、管理者はISEシステムを十分に知らず、共有埌のメカニズムを砎損したした。ポリシヌを誀っお蚘述したため、゜リュヌションに関連する問題が発生したした。 個人的には、ドメむンコントロヌラヌを䜜成する方がはるかに安䟡で手間がかからないため、このような創造的なアプロヌチに心から驚きたした。 しかし、抂念実蚌がどのように機胜したのか。



Cisco ISEを実装するずきに生じる技術的なニュアンスの詳现に぀いおは、同僚の蚘事「Implementing Cisco ISE。 ゚ンゞニアの倖芳 。 "



Artem Bobrikov、デザむン゚ンゞニア、情報セキュリティセンタヌ、Jet Infosystems



あずがき 

この投皿ではCisco ISEシステムに぀いお説明しおいたすが、説明されおいる問題はNAC゜リュヌションのクラス党䜓に関連しおいたす。 どのベンダヌの決定が実装のために蚈画されおいるかはそれほど重芁ではありたせん-䞊蚘のほずんどは匕き続き適甚されたす。



All Articles