Ügyfeleink sokszor keresnek meg azzal a kérdéssel, hogy hogyan tudjuk biztonságosabbá tenni az IT hálózatukat. Azt hallották, hogy ISE-t vagy ClearPass-t kellene használniuk. Mire is jók ezek a termékek? Mikor és melyiket érdemes választani? Ezekre a kérdésekre szeretnék röviden választ adni.

A cikknek nem célja a közvetlen összehasonlítás, inkább olyan megoldásokra fogok rávilágítani, melyeket mindkét termékkel meg lehet valósítani.

Melyiket válasszam?

Azt, hogy mikor melyik terméket választjuk, leginkább a meglévő hálózatunk szabja meg. Javasolt a homogén hálózat kialakítása, vagyis a meglévő eszközeink gyártójának termékét választani. Ez annyit tesz, hogy ha Cisco hálózati eszközeink vannak, akkor a Cisco ISE a jobb választás, míg ha HPE Aruba hálózati eszközeink vannak, akkor a ClearPass lesz a mi termékünk.

Miért fontos ez?

Ennek a választási szempontnak az az alapja, hogy homogén rendszer esetében – amennyiben probléma lépne fel a használat során – csak egy gyártóval kell felvenni a kapcsolatot, aki nem tud mutogatni más gyártóra és termékére, hogy az miért nem működik együtt az Ő termékével.

Amennyiben ezt már tisztáztuk, akkor rá is térhetünk a lényegi részre.

Mire használható a Cisco ISE és az Aruba ClearPass?

Mindkét termékre igaz, hogy alapjában véve hitelesítő szerverek, kiegészítve sok-sok egyéb funkcióval. A legtöbb esetben azért vezetjük be őket, hogy legyen egy szerver, ami kontrollálja a bejelentkezéseinket a hálózaton. Ellenőrzi, hogy jogosultak vagyunk-e a hálózat használatára, hozzáférést biztosít hálózati eszközökhöz, szerverekhez, stb.

Mik azok a kiegészítő funkciók, amik olyan jól használhatóvá teszik ezeket a termékeket?

Lássuk csak:

• Hitelesítés
• BYOD Onboarding
• Cisco NAC / Aruba OnGuard
• Profiling
• Egyedi/testreszabható Captive Portal
• AD / LDAP / SQL / stb. integráció
• MDM integráció

A fent említetteken kívül sok egyéb funkció gazdagítja ezeket a rendszereket. A részletekkel kapcsolatban a gyártók honlapján tájékozódhatsz.

Cisco ISE: https://www.cisco.com/c/en/us/products/security/identity-services-engine/index.html
Aruba ClearPass: https://www.arubanetworks.com/products/security/network-access-control/

Nézzünk egy esettanulmányt, hogy mikor és mire is lehet használni a fent említett termékeket (a teljesség igénye nélkül).

Esettanulmány

Hogyan is néz ki a jelenlegi helyzet?

A vállalat vezetékes hálózatán nincs szükség hitelesítésre. Bármelyik szabad portba csatlakoztatunk egy eszközt, akkor azzal máris hozzáférünk a hálózathoz. A vezeték nélküli hálózatra való csatlakozás is csak PSK-t igényel. A vezetékes és a vezeték nélküli eszközök egy VLAN-ban vannak a szerverekkel. A vállalatnak van Active Directory szervere és most vásárolt MDM rendszert is. A klienseket tekintve vállalati eszközöknek Windows 10 és macOS operációs rendszerű laptopokat használnak, valamint Android és iOS alapú mobiltelefonokat is szeretnének a hálózatra csatlakoztatni. Ezeken kívül vannak nyomtatók (korszerű, menedzselhető és régi, nem menedzselhető típusúak is), valamint okos eszközök is a hálózaton.

Mi a baj ezzel?

Manapság az információ birtoklása kincset ér: amennyiben pedig illetéktelenek használják, a vállalat hátrányba kerülhet a piacon, üzleteket/ügyfeleket veszíthet. Álltalában ezeket az információkat/adatokat dokumentumokban tároljuk valamely hálózati fájlmegosztó szerverünkön. Amennyiben egy illetéktelen személy bejut a hálózatra, ezeket az adatokat könnyedén megszerezheti és rosszindulatú támadás esetén akár titkosíthatja is azokat pont úgy, mint ahogy a zsaroló vírusok teszik. Éppen ezért kiemelten fontos a hálózatunkhoz való hozzáférést megfelelő mértékben kontrollálni/védeni.

Mit gondolsz? A támadók átlagosan mennyi időt töltenek el egy hálózaton mielőtt kiderül, hogy behatolás történt?

Mit gondolsz? A támadók átlagosan mennyi időt töltenek el egy hálózaton mielőtt kiderül, hogy behatolás történt?

Kicsit több mint 1 óra

Kicsit több mint 10 nap

Kicsit több mint 2 hét

Kicsit több mint 1 hónap

Kicsit több mint 6 hónap

Kicsit több mint 9 hónap

Kicsit több mint 1 év

Kicsit több mint 2 év

Eltaláltad a quiz kérdésre a választ? A Te hálózatba be tud lépni illetéktelen személy?

Amennyiben a belső támadásoktól nem tartunk, mert annak a valószínűsége kicsi, hogy a támadó fizikailag bejusson az épületbe, úgy a vezetékes hálózat védelme másodlagos szempont lehet. A WiFi viszont egészen más tészta! A WiFi hálózatunkat nem tudjuk az épület falai között tartani. Akarva-akaratlanul ki fog jutni az utcára/másik emeletre/szomszédos irodákba az access point-jaink által sugárzott WiFi jel, amihez így bárki hozzáférhet. Egy gyenge hitelesítést igénylő WiFi hálózathoz való hozzáférés ma már a támadók számára gyerekjáték.

Hogyan tudok védekezni?

• Meg kell nehezíteni a hálózathoz való hozzáférést.
• Követelményeket kell állítani a kapcsolódó eszközökkel/felhasználókkal szemben.
• Ki kell kényszeríteni, hogy igazolja magát az, aki csatlakozni szeretne a vállalat belső hálózatához.

Mivel tudom ezt elérni?

Például egy hitelesítő szerver használatával. Nagyvállalati hálózatok esetén Cisco ISE vagy Aruba ClearPass, ami a vezető gyártók termékeiként szóba kerülhet.

Természetesen egy hitelesítő szerver önmagában nem elegendő. Kell még hozzá néhány kiegészítő, pl.:

• AD
• CA szerver
• esetleg MDM szerver

Mik a vállalat által elvárt igények?

A vállalat szeretné biztonságosabbá tenni a hálózatra való csatlakozást: egyrészről korlátozni a hozzáférést a különböző területeken dolgozók részére, másrészről a vállalatot elhagyó kollégák elérési lehetőségeit is befolyásolni igyekszik. Ugyanakkor fontos, hogy a vendégek ne tudjanak csatlakozni a vállalat belső hálózatához, számukra csak internet hozzáférést szeretnének biztosítani.

Mi erre a megvalósítási javaslat?

A felhasználók és a kapcsolódó eszközök különböző biztonsági kockázatot jelentenek, ezért javasolt külön VLAN-okba sorolni őket, ahol a default gateway szerepét egy tűzfal látja el. Így a VLAN-ok közötti forgalmat tűzfalszabályokkal tudjuk korlátozni. Külön VLAN-ba kerülnének a vezetékes kliensek, a vezeték nélküli kliensek, és a vendégek. A szerverek is saját VLAN-t kapnának. Ezt nevezzük hálózati szegmentálásnak. Ez azt is jelenti, hogy minden VLAN-ban más-más IP cím tartomány lesz használva. Javasolt az eredeti IP cím tartományt a szerverzónának meghagyni, hogy a meglévő szervereket ne kelljen átcímezni feleslegesen.

A hálózatra való csatlakozáshoz 802.1X hitelesítés bevezetése szükséges.

Ezen belül több lehetőség is szóba jöhet. A legnépszerűbb az EAP-PEAP (felhasználónév/jelszó) hitelesítés használata vagy az erősebb/biztonságosabb EAP-TLS (tanúsítvány alapú) hitelesítés. Itt játszik szerepet a hitelesítő szerverek használata (ISE vagy ClearPass). A hálózati eszközeink a hitelesítő szervert fogják megkérdezni, hogy egy bejelentkezés esetén van-e jogosultságunk a hálózathoz hozzáférni. A hitelesítő szervert integrálni tudjuk az AD-val és a MDM-el is, így onnan információt tudunk szerezni, amit fel tudunk használni különböző policy-kban, hogy a megfelelő döntést hozhassuk meg a bejelentkezés jóváhagyásához.

EAP-PEAP hitelesítés használata esetén a kliens egy felhasználónevet és egy jelszót fog megadni, míg EAP-TLS authentikáció esetén egy tanúsítványt mutat fel (amit a való életben egy személyi igazolványhoz tudnék hasonlítani), amit ellenőrizni tudunk, hogy érvényes-e. A tanúsítványnál erős titkosítást alkalmazunk, ami egy publikus és egy privát kulcsból tevődik össze. Ez teszi igazán biztonságossá.

A hitelesítésnél használt adatokból be tudjuk azonosítani a felhasználót és a klienst is. Az AD-ból le tudjuk kérni többek között azt is, hogy az adott felhasználó milyen csoportoknak a tagja. Az MDM-ből pedig a kliensről kaphatunk információkat, pl. hogy egy vállalati kliensről vagy egy saját használatú eszközről próbál belépni az adott felhasználó. Ezek alapján már meg tudjuk határozni, hogy melyik VLAN-ba kell kerülnie a kliensnek a hitelesítés után. A hitelesítő szerver RADIUS CoA üzenetben továbbítani tudja a hálózati eszközünknek ezt az információt.

Jelen példában az EAP-TLS bevezetését választotta a vállalat. Ahhoz, hogy ez működhessen, a tanúsítványokat el kell tudni juttatni a felhasználók eszközeire. Legalábbis azokra, amik képesek a tanúsítványokat kezelni. A többinél a kivételkezelést kell megoldani.

Hogyan tudom ezt megoldani?

A tanúsítványok terítésére javasolt valamiféle automatizmust alkalmazni, hogy nagyobb kliensszám esetén is rövid időn belül át lehessen állni az új bejelentkezési módszerre. A kézzel történő telepítés nem mondható sem optimálisnak, sem hatékonynak. Éppen ezért a klienseket több csoportba soroljuk.

A vállalati eszközök (laptopok, mobiltelefonok), amik be vannak vonva MDM alá, talán a legegyszerűbben kezelhető csoportot képezik. Az MDM rendszer integrálva van az AD-val és adminisztratív joggal rendelkezik az eszközön, így képes arra, hogy a felhasználó részére tanúsítványt igényeljen a CA szervertől, távolról telepíteni is tudja a tanúsítványt és akár a hálózati profilokat is be tudja állítani hozzá (pl. a WiFi csatlakozáshoz fel tudja venni az új SSID-t, ami már EAP-TLS-el csatlakozik a hálózathoz).

Ez a módszer minden MDM alá bevont eszközre alkalmazható. Windows kliensek esetén pedig használható erre a célra a Group Policy is.

Azokra az eszközökre, amik nincsenek a vállalat felügyelete alatt, de a felhasználónak mégis szükséges a hálózathoz csatlakoznia vele, megoldást jelenthet az onboarding funkció használata, amit a hitelesítő szerveren lehet beállítani. Ebben az esetben a felhasználó egy belső weboldalon való bejelentkezést követően saját maga tudja letölteni és telepíteni a tanúsítványt az eszközére. Fontos felhívni rá a figyelmet, hogy az onboarding során szükség lehet adminisztratív engedélyekre is a kliens eszközön.

Ezek után már csak a kivételkezelés van hátra, ami szintén több részre osztható.

Lesznek olyan eszközök, amik támogatják a tanúsítványokat (pl. újabb típusú nyomtatók), de nem valósítható meg rajtuk automatizmussal a tanúsítvány telepítése. Ezeknél sajnos továbbra is csak manuális megoldásokra támaszkodhatunk.

Azokhoz az eszközökhöz, amik nem támogatják a tanúsítványokat, de felhasználónév és jelszó használatával (EAP-PEAP) tudnak csatlakozni a hálózathoz, külön szabályrendszert kell kialakítani.

A fennmaradt eszközöknél, amik nem támogatják sem a tanúsítványok, sem a felhasználónév és jelszó használatát, más megoldásra lesz szükség. Ezeket az eszközöket a MAC címükkel kell felvenni egy statikus listára a hitelesítő szerveren, külön szabályt kell készíteni hozzájuk, továbbá WiFi-s eszközök esetében külön SSID-t kell létrehozni kevésbé biztonságos csatlakozási metódussal.

Az eltérő biztonsági szintek miatt javasolt ezen három csoport forgalmát külön VLAN-ba terelni.

Miről is szólt ez a cikk?

Összefoglalva a fentieket, szegmentációval és egy hitelesítő szerver (pl.: Cisco ISE vagy Aruba ClearPass) segítségével kialakíthatunk egy biztonságos hálózatot, melyhez csatlakozva valamilyen ellenőrizhető módon mindenkinek igazolnia kell magát. A bejelentkezett felhasználók AD csoporttagság alapján különböző hozzáféréseket kapnak. Ezen a hálózaton már nem fordulhat elő illetéktelen hozzáférés, például, hogy egy kolléga elhagyja a vállalat kötelékét, de az általa ismert “WiFi jelszó” segítségével az utcáról becsatlakozik a vállalat belső hálózatára.

Amennyiben a cikk felkeltette az érdeklődésed, vagy csak kérdésed lenne a témával kapcsolatban, keress minket bizalommal!

E-mail: info@99999.hu
Telefon: +36 1 999 6900

Juhász Gábor

Rendszermérnök
Cisco CCNP Enterprise | CCNP R&S | CCNP Wireless | CCDP
HPE Aruba ACEP | ACMP | ACCP | ACDP | ACSP | ALSS
Fortinet NSE7 Secure Access