ネットワークの謎を解く: リバースエンジニアリングの技術
ネットワークの謎を解明する: リバース エンジニアリングの技術 ネットワークにおいて、リバース エンジニアリングとは、何かがどのように構築されたかを調べてそれをコピーしようとすることではありません (ドイツのエニグマ マシンのように...)
私はたくさんのことをしてきました 802.1x 最近のプロジェクト。 そして、たくさん、私はたくさんのことを意味します。 Cisco の Identity Services Engine、Packetfence、そして昔からのお気に入りの Microsoft Network Policy Server などのソリューションは、有線ネットワーク アクセスのコーナーストーンとして急速に成長しています。 最もセキュリティ志向の.
私にとって最大の課題は、ポリシー、統合、またはライセンスではありません (ライセンスについては触れないでください)。 有線ネットワークに 802.1x を導入する際の最大の課題は、非常に退屈な作業でした。 ネットワーク検出 また、アクセス レイヤーのすべてのスイッチポートを構成する必要があります。
通常、ドメインに参加しているコンピューターにログインし、Microsoft Active Directory などの LDAP ディレクトリに対してユーザー名とパスワードで認証します。 これにより、ファイル共有、アプリケーション、ネットワーク プリンターなどのネットワーク リソースへのアクセスが制御されます。 ただし、802.1x の認証と承認を使用すると、ネットワーク セキュリティをまったく新しいレベルに引き上げることができます。
Cisco ISE などの 802.1x ソリューションは、同じバックエンド LDAP データベースを使用して、ネットワーク自体へのアクセスを許可または拒否できます。 つまり、エンドユーザーが認証に失敗した場合、スイッチポートはトラフィックを転送しません。 また、堅牢なネットワーク アクセス ソリューションでは、ユーザー名とパスワードだけを使用するのではなく、アクセスを許可するために複数の条件を調べることができます。
有線ネットワークに 802.1x を導入する際の最大の課題は、ネットワーク検出と、アクセス レイヤー内のすべてのスイッチポートを構成しなければならないことです。
現在、多くの組織はこの方法をさらに進めており、この方法を使用して、ユーザー ID、コンピューター ID、デバイスの種類、コンピューターの状態、またはこれらとその他の要因の組み合わせに基づいて、ACL と VLAN を特定のスイッチポートに動的に割り当てています。 これは、特に BYOD、共有ワークスペース、およびゲスト ユーザーと競合する場合に、ネットワーク管理者がネットワーク アクセスをよりきめ細かく制御できるため、非常に強力です。
私は、数十万人の従業員を抱えるグローバル組織、数千人の職員と数千人の学生を擁する学区、および合計数百人の従業員しかいない小規模企業向けの ISE プロジェクトに取り組んできました。 バックエンドは常にほぼ同じです。おそらくクラスタ内にあるかどうかにかかわらず、いくつかのドメイン コントローラ、クラスタ内にある可能性があるいくつかの ISE サーバ、および非常に類似したポリシーです。 ただし、違いは、見なければならないスイッチの数と、触れなければならないポートの数です。
NetBrain 2,000 時間あたり XNUMX 台を超えるデバイス、つまり数十のベンダーの数百のモデルを自動検出します。
ここが興味深いところです。 Cisco ISE は単独では機能しません。 デバイスが接続されるスイッチは、実際には、クライアントに代わって Cisco ISE サーバと通信するプロキシです。 したがって、スイッチのハードウェアとソフトウェアのバージョンは、使用されている ISE のバージョンと互換性がある必要があります。
Cisco ISE を正常に導入するには、アクセス レイヤ全体のインベントリを作成して、交換またはアップグレードが必要なスイッチがあるかどうかを確認する必要があります。 大規模な組織では、これを達成するのに小さなチームが文字通り数週間かかることがあります。
ネットワーク ダイアグラムが参考になったとしても、大規模なネットワークをクロールして特定のスイッチ ハードウェアとソフトウェアのバージョンを取得するのは、気が遠くなるほど退屈です。 特にあるプロジェクトでは、毎日手動で発見するのに数か月かかりました CDP ネイバーを表示 と バージョンを表示.
互換性に対処し、ISE サーバを設定したら、エンジニアは数行のグローバルな dot1x 設定を使用して各スイッチを設定し、続いて適切な dot1x 設定を使用して個々のポートを設定する必要があります。
ネットワーク自動化のケースがあったとしたら、これがそれです。
NetBrainの自動検出機能により、 Dynamic Map、つまり、定期的に更新できるリアルタイム ネットワーク トポロジです。 これにより、エンジニアは手動で数時間、数日、または数週間かかっていたネットワークの正確なマップを数分で提供できます。これは些細な利点ではありません。 NetBrain 数十のベンダーの数百のモデルを含む、802.1 時間で数千のデバイスを検出できます。 Cisco ISE の特定のバージョンは、特定のハードウェアまたはソフトウェア プラットフォームでは動作しないため、有線 XNUMXx の実装が機能するためには、ネットワーク検出は役立つだけでなく、不可欠です。
有線 802.1x 実装が機能するためには、ネットワーク検出は役立つだけでなく、不可欠です。
ハードウェアとソフトウェアを正しいバージョンにアップグレードしたら、次のステップは、すべてのスイッチで 802.1x をグローバルに有効にし、関連するスイッチポート構成をすべてのスイッチポートに追加することです。 構成自体は難しくありませんが、計算してください。 . . .
中程度の規模の組織でも、何百ものスイッチがある場合があります。 また、サーバーとトランク ポートを考慮に入れても、数万のスイッチポートが必要になる可能性があります。
私の経験では、有線 802.1x の展開は段階的に行われます。 通常は、カットオーバー中に問題が発生した場合に備えて、フェール オープン戦略を使用して場所ごとに行われます。 ただし、ほとんどの変更ウィンドウはデバイスの構成です。 グローバル 802.1x コマンドなど、一部の構成は事前にステージングできますが、多くはポート レベルであり、追加されるとすぐに有効になります。
サイトをカットオーバーした後、トラブルシューティングが始まります。 接続していないデバイスが少なくとも XNUMX つは常に存在します。デバイスが接続されているスイッチとポートを追跡し、構成を確認する必要があります。 ただし、多くのスイッチについて話している場合、XNUMX つのデバイスだけに問題があることはめったにありません。
カットオーバー後 Dynamic Map 創造された、 NetBrainさん 実行可能ファイル Runbooks 構成の異常をプログラムで検索したり、この例では、数回クリックするだけで大規模な有線 802.1x 実装のトラブルシューティングを行うことができます。 非常に多くのデバイスが全体的な認証ソリューションに統合されている場合、これは非常に強力なツールです。
私にとって、有線ネットワークに 802.1x を展開する際に直面した最大の課題は、使用していたネットワーク アクセス サーバーのポリシーではありませんでした。 最大の課題は、ネットワーク全体を正確かつ迅速に調査して、アクセス レイヤーのほぼすべてのスイッチに多くの構成ラインを導入することです。
手動での発見とトラブルシューティングは完全に時間の無駄です。 これらのありふれたタスクを自動化する NetBrain ネットワークをより正確に表示するだけでなく、多数のデバイスを一度にトラブルシューティングするためのより効率的な手段を保証します。