Cisco ISE: надежный контроль доступа устройств к локальной сети

Часто ли вы задумываетесь о модели угроз для вашей сети? О направлении вектора атаки? Что компрометация может произойти там, где вы не ожидаете? Предположим, на границе сети у вас установлен самый лучший межсетевой экран следующего поколения (NGFW). Например, Cisco FirePOWER. Граница на замке. Проникновение вредоносного ПО из сети Интернет исключено. А вы знаете, какие устройства подключаются внутри периметра к локальной сети? Установлены ли на них антивирусы? Обновлены ли они до последней рекомендуемой версии? Соответствуют ли подключающиеся к сети устройства корпоративным стандартам безопасности? Вот как раз изнутри сети с неконтролируемых устройств и можно ожидать распространение вредоносного ПО. Инженер по сетевой безопасности LWCOM Евгений Зорин убежден: все эти проблемы решит Cisco Identity Services Engine.

Нужно ли контролировать доступ в офисе?

Как правило, в любой организации можно выделить проводную и беспроводную сети: сети в офисе и центре обработки данных. Почти у всех есть подключение к локальной сети из сети Интернет посредством технологий VPN.

 

Инженер по сетевой безопасности LWCOM Евгений Зорин

 

Какие могут быть ситуации?

  • Злоумышленник подключил ноутбук к розетке в месте общего пользования. Например, вместо принтера или любого другого устройства в холле.
  • Злоумышленник подобрал или подсмотрел пароль к офисной беспроводной сети.
  • Сотрудник без необходимых прав доступа получил доступ к закрытым сегментам. Например, к сегменту серверов или сегменту управления оборудованием.
  • Любимая ситуация: подключение несанкционированных (домашних) точек доступа к портам коммутатора.

Какие это влечёт риски?

  • Подключив ноутбук вместо принтера, можно просканировать сеть:
    • обнаружить хосты с уязвимостями и эксплуатировать их;
    • узнать топологию сети и использовать полученные данные для атаки;
    • запустить на сервера атаки вида «отказ в обслуживании».
  • Через беспроводную сеть можно получить доступ к ресурсам локальной сети, находясь даже за пределами здания.
  • Сотрудник, получивший доступ к неразрешённому сегменту, может получить доступ к данным - похитить, узнать лишнее.
  • Домашняя точка доступа, подключённая к коммутатору, не защищённая должным образом, это открытая дверь в сеть.

Нужно ли это делать в центре обработки данных?

Ответ – Да. Сейчас бурно развивается технология VDI (Virtual Desktop Infrastructure). А это, по сути дела, те же рабочие места, которые могут иметь и уязвимости, и отсутствие обновлений как обычный настольный ПК. Так же все системы, запускаемые с нуля после установки, не имеют необходимых обновлений и патчей и подлежат изолированию от продуктивной среды. Кроме того, ПК администратора, подключённый к сегменту управления (домашний ноутбук) может иметь вредоносное ПО, которое может нанести вред в сегменте управления.

Нужно ли контролировать VPN?

Здесь без вопросов: да и ещё раз да. Не соответствующие корпоративным стандартам домашние ПК могут получить доступ в специализированные сегменты и занести туда вредоносное ПО. Отдельно стоит задача учёта использования VPN.

Что со всем этим делать?

Есть несколько подходов к решению такого рода задач: административные (организационные) и технические-автоматизированные меры.

К административным и организационным мерам можно отнести:

  • установку замков на коммутационные помещения, шкафы;
  • ограничение доступа к коммутации в общедоступных помещениях;
  • установку систем видеонаблюдения;
  • учёт посетителей организации;
  • должностные инструкции и приказы.

Все эти подходы и меры имеют следующие недостатки:

  • не учитывают применение грубой силы;
  • нет автоматической обратной связи и блокировки при несоблюдении;
  • не всегда дёшевы.

К техническим мерам в первую очередь относятся:

  • привязка устройств к порту коммутатора;
  • принудительное выключение неиспользуемых портов;
  • частая смена пароля на беспроводных сетях;
  • сильная парольная политика;
  • использование технологии 802.1Х для управления доступом.

Эти меры, как правило, имеют высокие трудозатраты при использовании в ручном режиме.

Что может помочь в решении данного вопроса?

Ответ – использование специализированного ПО для контроля доступа к сети. Например - Cisco Identity Services Engine (Cisco ISE). Приведём самые простые примеры использования продукта для решения поставленных выше задач.

Примеры использования Cisco ISE для офиса:

  1. Настроить контроль доступа к портам сетевого оборудования с применением технологии 802.1Х. Это позволит передать информацию с рабочих станций на проверку в сервере аутентификации и вынести вердикт о возможности доступа. Передать можно как средствами операционной системы, так и надстройками над ПО Cisco Anyconnect. Проверить можно, в первую очередь, что ПК соответствует корпоративным стандартам, в том числе установленные обновления и необходимое ПО. Доступ к сети будет предоставлен только по результатам проверки данных на сервере аутентификации.

  2. Настроить контроль доступа к корпоративной беспроводной сети с использованием технологии 802.1Х с теми же проверками, что и для проводной сети. Доступ с личных устройств сотрудников ограничить только к ограниченному списку ресурсов. Для гостевых устройств использовать аутентификацию на портале саморегистрации и разрешить доступ только к сети Интернет.

  3. Доступ к сети устройств без поддержки технологии 802.1X осуществлять по МАС-адресу с использованием технологии MAB (MAC authentication bypass).

  4. При использовании данного подхода устройства, не прошедшие проверки, всё равно могут получить доступ к сети, но быть ограничены, например, только сегментами с серверами обновлений.

Примеры использования Cisco ISE для центра обработки данных:

  1. Для доступа виртуальных машин VDI и ПК администраторов использовать тот же подход, что и в офисе. Аутентификация 802.1Х может проходить с использованием, например, виртуального коммутатора Cisco Nexus 1000V.

  2. Порты, куда подключаются новые сервера, переводить в сегмент с доступом только к серверам обновлений.

Примеры использования Cisco ISE для VPN удалённого доступа:

  1. Использование для аутентификации пользователей учётных данных из Microsoft AD.

  2. Обязательная проверка подключающихся устройств на соответствие определённым критериям с использованием функционала профилирования.

Всё это позволяет ускорить и облегчить процесс управления доступом к сети.

О платформе Cisco ISE

Продукт Cisco ISE состоит как минимум из двух элементов: сервер и лицензии по количеству устройств. Сервер может быть как аппаратным, так и виртуальной машиной. Сервера бывают административными узлами и узлами применения политик. Лицензии бывают следующих типов: базовые (Base), Plus и Apex.

Обзор продукта Cisco Identity Services Engine

Identity Services Engine (ISE) помогает ИТ-специалистам справиться с задачами и проблемами поддержки мобильности на предприятии и обезопасить распределенную сеть до, во время и после атаки. Это решение предоставляет заказчику целый ряд возможностей. Ниже перечислены лишь некоторые из них.

Упрощение гостевого доступа и его администрирования. Настраиваемые гостевые порталы ISE для доступа с мобильных и настольных устройств позволяют предоставлять гостевой доступ за считаные минуты. Динамичные визуальные представления рабочих процессов обеспечивают полноценное управление всеми аспектами гостевого доступа.

Оптимизация BYOD и мобильного доступа на предприятии с помощью простых и не требующих предварительной настройки средств для самостоятельного подключения мобильных устройств к сети и управления ими. Платформа ISE включает в себя партнерское ПО для создания сертификатов, поддержки multi-forest Active Directory и интегрированного управления мобильностью на предприятии (EMM).

Централизация и унификация управления политиками доступа к сети с целью предоставления конечным пользователям единообразного защищенного доступа при проводном, беспроводном и VPN-подключении.

Более широкие возможности мониторинга сети и более точная идентификация устройств. Превосходная работа функции профилирования устройств и сервис передачи профилей устройств нулевого дня обеспечивают предоставление обновленных профилей для новейших устройств. Сочетание этих двух функциональных возможностей помогает сократить количество неизвестных оконечных устройств (и потенциальных угроз) в сети.

Реализация программно-определяемого сегментирования на основе корпоративных ролей с использованием технологии Cisco TrustSec, встроенной в имеющуюся инфраструктуру. Платформу Identity Services Engine можно использовать для создания гибких политик управления доступом на основе ролей, которые динамически сегментируют доступ без повышения сложности инфраструктуры. Классификация трафика основана на идентификационных данных оконечных устройств, что позволяет вносить изменения в политики без перепроектирования сети. Платформа ISE может поддерживать 250 000 активных, параллельно работающих оконечных устройств и до 1 000 000 зарегистрированных устройств. Это позволяет предприятиям ускорить реализацию проектов мобильного доступа во всей распределенной сетевой инфраструктуре.

Обмен контекстными данными с партнерскими решениями с помощью технологии Cisco Platform Exchange Grid на платформе Identity Services Engine.

Контекстные данные увеличивают эффективность работы партнерских решений и ускоряют выявление и нейтрализацию сетевых угроз и ликвидацию их последствий. Кроме того, партнерские решения, в частности Lancope StealthWatch, могут выполнять изменения в политике доступа на платформе Identity Services Engine с целью сдерживания угроз и предотвращения их распространения по сети.

Например, на платформе ISE встроенные решения от партнеров могут быстрее ликвидировать последствия угроз, оптимизировать проведение экспертизы в сети и устранение уязвимостей оконечных устройств. Они также могут предоставлять адаптивный единый вход в системы для устройств с поддержкой федеративных идентификационных данных и даже расширять возможности защищенного доступа к SCADA или управляющим сетям, причем все это осуществляется на основе контекстных и идентификационных данных, полученных от платформы Cisco ISE.

Функциональные возможности Cisco ISE

Являясь неотъемлемым компонентом решения Cisco TrustSec, платформа Cisco Identity Services Engine предоставляет следующие возможности.

  • Внедрение в корпоративную ИТ-инфраструктуру средств аутентификации и авторизации пользователей и оконечных устройств, подключенных к проводным сетям, беспроводным сетям и сетям VPN, обеспечение соблюдения согласованной политики в масштабах всего предприятия.
  • Предотвращение несанкционированного доступа к сети для защиты корпоративных активов.
  • Управление полным жизненным циклом гостевого доступа за счет предоставления приглашающим лицам (спонсорам) средств для разрешения доступа их гостей, что позволяет снизить текущую нагрузку на ИТ-специалистов.
  • Поддержка настраиваемых порталов и возможности публикации web-страниц для упрощения работы как новых, так и опытных пользователей в соответствии с принятыми в организации процессами.
  • Обеспечение полномасштабного мониторинга путем обнаружения, классификации и управления подключающимися к сети оконечными устройствами для предоставления соответствующих сервисов и уровней доступа.
  • Устранение уязвимостей на компьютерах пользователей путем регулярной проверки и корректировки их состояния, что позволяет нейтрализовать такие сетевые угрозы, как вирусы, черви и шпионские программы.
  • Обеспечение соблюдения политик безопасности за счет блокировки и изоляции несоответствующих корпоративным стандартам компьютеров в карантинной области, а также их обновления без привлечения администратора.
  • Поддержка встроенной консоли мониторинга, отчетности и устранения неполадок для упрощения работы специалистов службы поддержки и администраторов.
  • Повышение точности профилирования подключенных к сети устройств за счет методов активного сканирования устройства. Этот механизм позволяет повысить точность профилирования устройств, для которого раньше использовались только средства анализа сетевого трафика, за счет сканирования определенных атрибутов устройства (в соответствии с политикой).
  • Управление доступом оконечных устройств к сети с помощью сервиса защиты оконечных устройств (EPS). Сервис EPS позволяет администратору связывать оконечные устройства и действия, которые необходимо выполнить при подключении устройства (перенос в новую VLAN, возврат в исходную VLAN или полная изоляция устройства от сети), с помощью единого интерфейса.

Преимущества Cisco ISE

Платформа Cisco Identity Services Engine характеризуется следующими преимуществами.

  • Эта платформа позволяет организациям выполнять согласованное развертывание сложных индивидуализированных бизнес-политик доступа.

  • Платформа позволяет снизить операционные расходы за счет обеспечения полного мониторинга, формирования исторических отчетов и расширенных средств поиска и устранения неполадок сетевого доступа.

  • Платформа позволяет уменьшить число перебоев в работе сети и сократить время простоя за счет того, что доступ к сети предоставляется только пользователям, соответствующим требованиям политик, а пользователи, которые не соответствуют требованиям политик, изолируются в отдельные области сети с ограниченным доступом к корпоративным ИТ-ресурсам.

  • Платформа позволяет организациям обеспечить соответствие нормативным требованиям, поскольку она обеспечивает реализацию необходимых механизмов обеспечения информационной безопасности и их аудит.

Резюме: Разверните у себя платформу управления политиками безопасности в тестовом режиме, которая автоматизирует и реализует защищенный доступ к сетевым ресурсам с учетом контекста. Identity Services Engine обеспечивает широчайшие возможности мониторинга пользователей и устройств для поддержки и контроля корпоративного мобильного доступа.

Для получения более подробной информации об услугах Cisco обращайтесь в ЛВКОМ.

Автор: Евгений Зорин, инженер по сетевой безопасности LWCOM

Тематики: Интеграция, Оборудование, ПО, Безопасность

Ключевые слова: Cisco, информационная безопасность