Інтеграція безпекових функцій мережних пристроїв в доменну мережу

ДУЛЬСЬКИЙ, Олександр

Please use this identifier to cite or link to this item: https://er.chdtu.edu.ua/handle/ChSTU/8611

Title:	Інтеграція безпекових функцій мережних пристроїв в доменну мережу
Authors:	ЧЕПИНОГА, Анатолій ДУЛЬСЬКИЙ, Олександр
Keywords:	СИСТЕМНА ІНТЕГРАЦІЯ;РІЗНОРІДНІ СИСТЕМИ;ACTIVE DIRECTORY;CISCO ISE;БЕЗПЕКОВІ ФУНКЦІЇ;МОНІТОРИНГ
Issue Date:	2024
Abstract:	Метою виконання даної кваліфікаційної роботи на здобуття освітнього ступеня «магістр» є удосконалення ступеня системної інтеграції безпекових фу- нкцій мережних пристроїв в доменну мережу з використанням спеціалізованого програмного забезпечення. Загальний обсяг роботи становить 68 сторінок основного тексту, 2 таблиці та 21 рисунок. Для виконання роботи використано 22 літературних джерела. Основними завданнями кваліфікаційної роботи є: – провести аналіз загальних методів системної інтеграції та її основних про- блем; – побудувати карту інтеграції безпекових функцій в доменну структуру; – впровадити інтеграцію безпекових функцій мережних пристроїв в доменну мережу. Досить часто в корпоративних ІТ-середовищах використовуються різні ме- режні та безпекові пристрої світових виробників, в тому числі і Cisco. Причому остання пропонує дуже зручний інструмент видимості та централізованого адміністрування Cisco ISE. Проте для керування користувачами та ресурсами у великих корпоративних мережах в більшості випадків використовується доменна структура, що дозволяє використати домен типу Active Directory. І щоб ці системи працювали на повну потужність своїх функцій і можливостей, необхідно мати максимальну їх злагоджену взаємодію. Саме в даній роботі запропоновано методи інтеграції та розглянуто практичне налаштування: включення Cisco ISE до домену зі збереженням захищеності мережі, контролю облікових записів користувачів, адміністрування кінцевих пристроїв, організації моніторингу і видимості мережі. Застосування результатів кваліфікаційної роботи можливе для узгодженості роботи двох систем, і як практичне застосування даного дослідження вбачається створення інтегрованої системи на реальному підприємстві.
URI:	https://er.chdtu.edu.ua/handle/ChSTU/8611
Appears in Collections:	123 Комп’ютерна інженерія (Комп'ютерні системи та мережі)

Files in This Item:

File	Description	Size	Format
ПЗ Дульський-merged.pdf Restricted Access		2.5 MB	Adobe PDF	View/Open Request a copy

Show full item record

Extracted text

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
ФАКУЛЬТЕТ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ І СИСТЕМ
КАФЕДРА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ТА КОМП’ЮТЕРНОЇ ІНЖЕНЕРІЇ
ПОЯСНЮВАЛЬНА ЗАПИСКА
до кваліфікаційної роботи магістра
на тему: «Інтеграція безпекових функцій мережних
пристроїв в доменну мережу»
ЧДТУ.242326.003 ПЗ
Виконав: студент 2 курсу, групи МКМ-2305
спеціальності 123 Комп’ютерна інженерія
(освітня програма – Комп’ютерні системи
та мережі)
Олександр ДУЛЬСЬКИЙ
Керівник
к.т.н., доцент Анатолій ЧЕПИНОГА
Н. контроль
Світлана ГРЕСЬКО
Рецензент
к.т.н., доцент кафедри КІ та ІТ, ЧДБК
Сергій БУРМІСТРОВ
«ЗАХИСТ ДОЗВОЛЯЮ»
Завідувач кафедри ІБ та КІ
д.т.н., професор ______ Віра БАБЕНКО
Черкаси 2024 року
Форма № Н-9.01
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
Факультет: інформаційних технологій і систем
Кафедра: інформаційної безпеки та комп’ютерної інженерії
Освітньо-кваліфікаційний рівень: магістр
Спеціальність 123 – Комп’ютерна інженерія
Освітня програма Комп’ютерні системи та мережі
«ЗАТВЕРДЖУЮ»
Завідувач кафедри ІБ та КІ
д.т.н., професор ________ Віра БАБЕНКО
«10» жовтня 2024 року
ЗАВДАННЯ
на кваліфікаційну роботу магістра здобувачу
Дульському Олександру Олександровичу
(прізвище, ім‘я, по батькові)
1. Тема роботи: Інтеграція безпекових функцій мережних пристроїв в доменну мережу
Керівник роботи: к.т.н., доцент Чепинога Анатолій Володимирович
(прізвище, ім’я, по батькові, науковий ступінь, вчене звання)
затверджені наказом університету від «07» жовтня 2024 р. № 299/04
2. Строк подання здобувачем роботи:
3. Вихідні дані до роботи:
1. Тип інтеграції – системна.
2. Методи інтеграції – узгодження форматів даних, інтеграція баз даних користувачів.
3. Об’єкти інтеграції – профілі користувачів, групи користувачів, проміжні мережні
4. бпрезипсеткроовїі,функції, методи моніторингу мережі, архітектура ААА.
5. Прикладні системи – домен під керуванням Active Directory, система Cisco ISE.
4. Зміст розрахунково-пояснювальної записки (перелік питань, що їх належить розробити):
Вступ
Розділ 1 Аналіз проблематики системної інтеграції
Розділ 2 Задача інтеграції з доменною структурою
Розділ 3 Інтеграція безпекових функцій
Висновки
Список використаних джерел
Додатки
5. Перелік графічного матеріалу (з точним зазначенням обов’язкових креслень, плакатів):
Додаток А Налаштування комутатора Cisco 3560
6. Консультанти розділів роботи:
Розділ Прізвище, ініціали Підпис, дата
консультанта завдання видав завдання прийняв
7. Дата видачі завдання: 10 жовтня 2024 року
КАЛЕНДАРНИЙ ПЛАН
№ Термін
з/п Назва етапів роботи виконання Примітка
етапів роботи
1 Інформаційно-технічний пошук та огляд літератури 10.10 – 24.10 виконано
2 Обробка теоретичного матеріалу 25.10 – 31.10 виконано
3 Аналіз проблематики системної інтеграції 01.10 – 10.11 виконано
4 Задача інтеграції з доменною структурою 11.11– 20.11 виконано
5 Інтеграція безпекових функцій 21.11 – 25.11 виконано
6 Оформлення пояснювальної записки 26.11 – 30.11 виконано
7 Оформлення презентації 01.12 – 09.12 виконано
8 Подання роботи на відгук та рецензування 10.12 – 12.12 виконано
Здобувач ___________________________ Олександр ДУЛЬСЬКИЙ
(підпис)
Керівник роботи ___________________________ Анатолій ЧЕПИНОГА
(підпис)
АНОТАЦІЯ
Метою виконання даної кваліфікаційної роботи на здобуття освітнього
ступеня «магістр» є удосконалення ступеня системної інтеграції безпекових фу-
нкцій мережних пристроїв в доменну мережу з використанням спеціалізованого
програмного забезпечення.
Загальний обсяг роботи становить 68 сторінок основного тексту, 2 таблиці
та 21 рисунок. Для виконання роботи використано 22 літературних джерела.
Основними завданнями кваліфікаційної роботи є:
– провести аналіз загальних методів системної інтеграції та її основних про-
блем;
– побудувати карту інтеграції безпекових функцій в доменну структуру;
– впровадити інтеграцію безпекових функцій мережних пристроїв в доменну
мережу.
Досить часто в корпоративних ІТ-середовищах використовуються різні ме-
режні та безпекові пристрої світових виробників, в тому числі і Cisco. Причому
остання пропонує дуже зручний інструмент видимості та централізованого
адміністрування Cisco ISE. Проте для керування користувачами та ресурсами у
великих корпоративних мережах в більшості випадків використовується доменна
структура, що дозволяє використати домен типу Active Directory. І щоб ці системи
працювали на повну потужність своїх функцій і можливостей, необхідно мати
максимальну їх злагоджену взаємодію. Саме в даній роботі запропоновано методи
інтеграції та розглянуто практичне налаштування: включення Cisco ISE до домену
зі збереженням захищеності мережі, контролю облікових записів користувачів,
адміністрування кінцевих пристроїв, організації моніторингу і видимості мережі.
Застосування результатів кваліфікаційної роботи можливе для узгодженості
роботи двох систем, і як практичне застосування даного дослідження вбачається
створення інтегрованої системи на реальному підприємстві.
Ключові слова: СИСТЕМНА ІНТЕГРАЦІЯ, РІЗНОРІДНІ СИСТЕМИ,
ACTIVE DIRECTORY, CISCO ISE, БЕЗПЕКОВІ ФУНКЦІЇ, МОНІТОРИНГ
ABSTRACT
The purpose of this master's reserch work is to enhance the range of system inte-
gration of security functions in network devices within a domain network using special-
ized software.
The total volume of the work consists of 68 pages of main text, 2 tables, and 21
figures. The research references 22 literary sources.
The primary objectives of the qualification work are:
– to analyze general methods of system integration and their main challenges;
– to develop an integration map of security functions within a domain structure;
– to implement the integration of security functions of network devices into a do-
main network.
In corporate IT environments, various network and security devices from leading
global manufacturers are often used, including Cisco. Cisco, in particular, offers the
Cisco Identity Services Engine (ISE), a convenient tool for network visibility and cen-
tralized administration. However, for managing users and resources in large corporate
networks, a domain structure like Active Directory is typically used. To fully leverage
the capabilities of these systems, their seamless interaction is essential.
This work proposes methods of integration and examines practical configuration
steps: integrating Cisco ISE into a domain while maintaining network security, manag-
ing user accounts, administering endpoint devices, and organizing network monitoring
and visibility.
The practical application of this qualification work enables the synchronization of
these two systems, with potential real-world implementation seen in the creation of an
integrated system within an actual enterprise.
Key words: SYSTEM INTEGRATION, HETEROGENEOUS SYSTEMS, AC-
TIVE DIRECTORY, CISCO ISE, SECURITY FUNCTIONS, MONITORING
3
ЗМІСТ
ВСТУП.............................................................................................................................4
РОЗДІЛ 1 АНАЛІЗ ПРОБЛЕМАТИКИ СИСТЕМНОЇ ІНТЕГРАЦІЇ ................7
1.1 Поширені проблеми інтеграції ................................................................... 7
1.2 Принципи інтеграції комп’ютерних мереж ...........................................15
1.3 Характеристики для інтеграції обчислювальної мережі ....................18
1.4 Висновки до розділу 1.................................................................................21
РОЗДІЛ 2 ЗАДАЧА ІНТЕГРАЦІЇ З ДОМЕННОЮ СТРУКТУРОЮ................22
2.1 Ключові напрямки інтеграції з доменом................................................22
2.2 Практичні напрямки інтеграції ...............................................................26
2.3 Переваги інтеграції Active Directory........................................................31
2.4 Платформа обміну даними Cisco Platform Exchange Grid...................33
2.5 Висновки до розділу 2.................................................................................39
РОЗДІЛ 3 ІНТЕГРАЦІЯ БЕЗПЕКОВИХ ФУНКЦІЙ...........................................40
3.1 Впровадження безпекових функцій архітектури Cisco ISE ................40
3.2 Налаштування і підтримка інтеграції Active Directory .......................45
3.3 Створення безпекових профілів пристроїв............................................51
3.4 Інтеграція керування мережними пристроями .................................... 60
3.5 Висновки до розділу 3.................................................................................62
ВИСНОВКИ..................................................................................................................63
ПЕРЕЛІК СКОРОЧЕНЬ ТА УМОВНИХ ПОЗНАЧЕНЬ....................................64
ДОДАТОК А.................................................................................................................68
4
ВСТУП
У сучасному цифровому світі підприємства та організації використовують
різноманітні системи для вдосконалення своєї діяльності. Інтеграція (поєднання)
цих систем, – системна інтеграція – вдосконалює їхню роботу всередині
організації, співробітництво з клієнтами, ефективність роботи співробітників,
допомагає перевіряти і контролювати бізнес, допомагає створювати краще
працювати з даними. Однак інтеграція різноманітних систем є значним викликом,
що часто вимагає ретельного планування, координації та технічних можливостей.
Складний характер інтеграції різних систем і форматів даних часто призводить до
безлічі проблем або проблем, спричинених відсутністю інтеграції або її неповною
реалізацією, що перешкоджає плавному потоку даних, зв’язку та функціональності
між різними компонентами. Ці проблеми можуть варіюватися від несумісних
інтерфейсів і форматів даних до складних архітектур інтеграції та конфліктів
сумісності.
Фактично, інтеграція систем означає з'єднання підсистем і компонентів,
таких як програмні додатки, апаратні компоненти і джерела даних, для отримання
однієї повної і скоординованої системи. Інтеграція систем допомагає як взаємодії
всередині організації, так і видимості організації назовні. Метою системної
інтеграції є створення єдиної та цілісної системи, яка підвищує операційну
ефективність, впорядковує робочі процеси та допомагає обмінюватися
інформацією між різними платформами.
Без системної інтеграції організації стикаються зі значними проблемами. По-
перше, виникають «скирти даних», коли інформація розпорошена по різних
системах і відділах, що ускладнює доступ до неї та ефективний обмін даними. Це
призводить до надмірності, помилок і неузгодженості даних, що ускладнює процес
прийняття рішень і знижує продуктивність. Якщо ж це питання взаємодії
обладнання різних виробників в мережі, то знову ж таки неузгодженість
інтерфейсів та форматів призводить до збоїв та зупинки бізнес-процесів.
5
Крім того, без інтеграції організації покладаються на ручні процеси і
введення даних, які займають багато часу, схильні до помилок і є неефективними.
Це збільшує операційні витрати і знижує загальну ефективність. Крім того,
відсутність інтеграції обмежує здатність організації адаптуватися та реагувати на
мінливі бізнес-потреби та вимоги ринку. До цих всіх проблем додається ще питання
кіберзахисту, що суттєво понижується, якщо існує декілька систем авторизації чи
автентифікації, неузгодженість між ними, неточність або несвоєчасність обміну
даним призведе до їх витоку [1, 2].
Всі ці аргументи говорять на користь впровадження системної інтеграції для
будь-яких складних систем керування бізнесом, компанією, а інтеграція ІТ-
процесів та захищеності систем не викликає сумнівів.
Метою кваліфікаційної роботи є удосконалення ступеня системної
інтеграції безпекових функцій мережних пристроїв в доменну мережу з
використанням спеціалізованого програмного забезпечення.
Для досягнення мети поставлені такі завдання:
• провести аналіз загальних методів системної інтеграції та її основних
проблем;
• побудувати карту інтеграції безпекових функцій в доменну
структуру;
• впровадити інтеграцію безпекових функцій мережних пристроїв в
доменну мережу.
Об’єктом досліджень є процеси системної інтеграції.
Предметом досліджень є різнорідні інформаційні системи та технології.
Методи досліджень. Теоретичні дослідження спираються на
використання методів системної інтеграції, перетворення форматів даних,
побудови інтеграційних процесів, методи кіберзахисту інформаційних систем.
Наукова новизна.
 отримали подальший розвиток методи системної інтеграції безпекових
функцій.
6
Практичне значення одержаних результатів.
Робота може бути використана для побудови інтегрованих ІТ середовищ
компаній і корпорацій для забезпечення безперервності бізнесу.
Робота містить 68 сторінок основного тексту, 2 таблиці та 21 рисунок.
7
РОЗДІЛ 1 АНАЛІЗ ПРОБЛЕМАТИКИ СИСТЕМНОЇ ІНТЕГРАЦІЇ
Сьогодні більшість організацій використовують різноманітне програмне
забезпечення, мережі та обладнання для досягнення своїх різних цілей. У
результаті системна інтеграція стала необхідністю для кожного бізнесу, що
дозволяє різному програмному забезпеченню, обладнанню працювати разом. Але
ця подорож до інтеграції всього програмного забезпечення, обладнання та мережі
пов’язана зі своїми власними проблемами. Загалом виділяють вісім
найпоширеніших викликів інтеграції та способи їх вирішення.
Зараз цифрова трансформація відбувається в усьому світі дуже швидкими
темпами. Де системна інтеграція є важливою частиною цього процесу. У цьому
процесі різні системи, застосунки та джерела даних з’єднуються один з одним, щоб
обмінюватися інформацією, автоматизувати процеси та отримати деяку
інформацію з даних, що допоможе в прийнятті рішень. Однак під час інтеграції цих
систем існує імовірність зіткнутися з деякими проблемами, які можуть порушити
добре розроблений план.
Хоча вирішити ці проблеми може бути важко, розуміння їх основної причини
дає змогу будь-якій компанії вирішувати їх і підвищує шанси на успішну
інтеграцію [2, 3].
1.1 Поширені проблеми інтеграції
Першою поширеною проблемою інтеграції є несумісність даних. Коли кілька
систем використовують різні формати даних, які несумісні один з одним, це
ускладнює необхідний обмін інформацією. Ось кілька причин, чому виникає ця
проблема.
 Непослідовне представлення даних у різних системах.
 Складнощі зіставлення полів даних між різними платформами.
 Ризик втрати або пошкодження даних під час процесів перетворення.
8
 Підвищена складність синхронізації та обслуговування даних.
Можливі рішення такої проблеми:
 Аналіз даних: перед початком інтеграції необхідно виконати аудит
структур і форматів даних у всіх залучених системах.
 Впровадити рівні перетворення даних: використати проміжне
програмне забезпечення або інструменти ETL (Extract, Transform, Load) для
перетворення даних між різними форматами.
 Використати стандартизовані моделі даних: моделі даних галузевого
стандарту, щоб забезпечити узгодженість систем, де це можливо.
 Перевірка даних: застосовування різних методів для забезпечення
цілісності даних протягом усього процесу інтеграції.
Якщо несумісність даних вирішено на ранній стадії процесу інтеграції,
організації можуть закласти міцну основу для успішної системної інтеграції та
мінімізувати ризики проблем, пов’язаних з даними, у майбутньому.
Друга проблема інтеграції – погане планування та збір вимог. Якщо немає
належного плану, в якому перераховані всі деталі та часові рамки проекту, він
точно провалиться. Неналежний план інтеграції та недостатній збір вимог
спричиняють проблеми протягом усього процесу інтеграції. Ось кілька проблем,
які можуть призвести до поганого збору плану та вимог:
 Невідповідність цілей інтеграції та бізнес-цілей.
 Пропущені критичні функції чи залежності.
 Розширення обсягу та перевитрати бюджету.
 Складнощі з вимірюванням успіху проекту та рентабельності
інвестицій.
Можливі рішення такої проблеми:
 Чіткі цілі: цілі інтеграції мають бути узгоджені з бізнес-стратегією, а
бажані результати мають бути чітко визначені.
 Залучення всіх зацікавлених сторін: переконання того, що всі
відповідні відділи, зацікавлені сторони та команди присутні на етапі планування.
9
 Аналіз вимог: детальне документування як функціональних, так і
нефункціональних вимог, зокрема очікувану продуктивність і потреби в
масштабованості.
 Створення детальної дорожньої карти проекту: розробка графіку із
чітко визначеними етапами, результатами та залежностями.
Для належного планування та збору вимог потрібно багато часу, завдяки
якому організації можуть досягти успіху в інтеграції та уникнути дорогих
переробок або провалів проекту [1, 4].
Третя проблема інтеграції – це відсутність масштабованості. Оскільки
підприємства ростуть і розвиваються, їх інтегрована система потребує деяких змін.
Поширеним ризиком системної інтеграції є неврахування майбутніх вимог до
масштабованості, що призводить до того, що рішення швидко стають застарілими
або недостатніми. Ось кілька проблем, з якими імовірно можна зіткнутися, якщо
немає можливості масштабування:
 Збільшення обсягів даних або навантаження – транзакції не
обробляється системами.
 Додавання нових систем або функцій до існуючих інтеграцій стає все
складніше.
 Зниження продуктивності в міру масштабування бізнесу.
 Дороге повторне впровадження архітектури інтеграції.
Можливі рішення такої проблеми:
 Розробка для майбутнього зростання: розробляючи інтеграційні
рішення, завжди слід враховувати потенційне розширення бізнесу та збільшення
обсягів даних.
 Модульні підходи до інтеграції: використання мікросервісів або
під’єднання на основі API для створення гнучких масштабованих архітектур
інтеграції.
 Хмарні рішення: використання хмарних платформ, які пропонують
масштабованість і моделі оплати за використання.
10
 Регулярне тестування продуктивності: через фіксовані проміжки часу
виконання стрес-тестів інтеграційних рішень, щоб виявити вузькі місця та
проблеми з масштабованістю.
 Планування горизонтального та вертикального масштабування:
впевненість в тому, що дизайн інтеграції підтримує як додавання додаткових
ресурсів (горизонтальне масштабування), так і оновлення існуючих ресурсів
(вертикальне масштабування).
Організації можуть дозволити своїм рішенням адаптуватися до зростання,
віддаючи пріоритет масштабованості під час проектування системної інтеграції.
Четвертою проблемою інтеграції є вразливості системи безпеки. Системна
інтеграція робить систему більш взаємопов’язаною, що збільшує ризик атак на
кібербезпеку. Деякі інтеграційні проекти можуть не вирішувати ці проблеми
безпеки належним чином, піддаючи організації таким значним ризикам, як:
 Збільшення ризику витоку даних і кібератак.
 Порушення вимог та можливі правові наслідки.
 Втрата довіри клієнтів і шкода репутації бренду.
 Фінансові втрати через інциденти безпеки.
Можливі рішення такої проблеми:
Реалізація автентифікації та авторизації: використання надійних методів
автентифікації, такі як багатофакторна автентифікація та контроль доступу.
Шифрування даних: використання стандартних протоколів шифрування для
захисту конфіденційної інформації в інтегрованих системах.
Проведення регулярних перевірок безпеки: виконання тестування на
проникнення та оцінку вразливості, щоб виявити та вирішити проблеми безпеки.
Безпека на першому місці: інтеграція безпекових рішень на кожному етапі
процесу інтеграції, від проектування до впровадження та обслуговування.
Організації можуть зменшити ризики та створити довіру між зацікавленими
сторонами, клієнтами та партнерами, якщо безпеку реалізовано належним чином.
11
П’ята поширена проблема інтеграції – сумісність застарілих систем. Багато
організацій стикаються з проблемою модернізації систем, щоб замінити застарілі
системи, які або застаріли, або створені на основі застарілих технологій. Це може
створити значні перешкоди для досягнення повної інтеграції, наприклад:
 Обмежені або неіснуючі API для застарілих систем.
 Несумісні формати даних і протоколи зв'язку.
 Вузькі місця продуктивності через застаріле апаратне або програмне
забезпечення.
 Підвищена складність підтримки інтеграції із застарілими системами.
Можливі рішення такої проблеми:
Оцінка можливостей старої системи: проведення ретельного аналізу та
тестування, щоб виявити обмеження старих систем і можливі точки інтеграції.
Впровадження рішення проміжного програмного забезпечення: зв’язування
платформи інтеграції або ESB (Enterprise Service Buses) зі старою та новою
системами, щоб забезпечити плавну передачу даних.
Розглядання упаковки в API: розробка нових інтерфейсів прикладних
програм (API) для старих, щоб ними легко керувати з використанням нових
програм.
План поступової модернізації: створення чіткої дорожньої карти, яка
призведе до подальшої заміни або модернізації старих систем заради вирішення
постійних проблем інтеграції (можна використати рефакторинг системи та/або
оновлення).
Використання методів віртуалізації даних: розгортання рішення віртуалізації
даних, які перетворюють усі джерела даних у стандартизоване подання для легкого
зіставлення між різними платформами.
За допомогою різних підходів до вирішення питань сумісності із застарілими
системами компанії можуть зберегти активи, у які вони інвестували, і все одно
закласти основу для майбутніх ініціатив оновлення [3, 5].
12
Шоста поширена проблема інтеграції: недостатнє тестування. Інтегровані
системи слід тестувати належним чином, оскільки погане тестування може
призвести до того, що багато проблем інтеграції стануть ненадійними. Серед них
можна виділити такі:
 Невиявлені баги та помилки.
 Проблеми з продуктивністю проявляються лише у робочому
середовищі.
 Труднощі у визначенні та вирішенні проблем після впровадження.
 Зменшення впевненості користувачів у використанні інтегрованих
систем.
Можливі рішення такої проблеми:
Розробка стратегії тестування: спланувати всі види тестування, включаючи
модульне тестування, інтеграційне тестування, системне тестування, а потім
тестування прийнятності користувача.
Запровадження автоматизованого тестування: автоматизація інструментів
тестування може збільшити охоплення та ефективність тестів, головним чином у
регресійному тестуванні.
Імітація реальних сценаріїв: стрес-тестування та тестування навантаження
для перевірки продуктивності системи за різних умов.
Виконання наскрізного тестування: перевірка всіх бізнес-процесів, оскільки
вони охоплюють усі інтегровані системи, щоб забезпечити наскрізну
функціональність.
Залучення кінцевих користувачів до тестування: тестування прийнятності
користувача для збору відгуків кінцевих користувачів щодо зручності
використання на ранніх стадіях процесу.
Ці тести можуть допомогти організаціям вирішувати проблеми на ранній
стадії, забезпечити більш плавний процес розгортання та підвищити рівень
задоволеності користувачів за умови правильного виконання.
13
Поширена проблема інтеграції сім – це погане управління змінами. Системна
інтеграція також пов’язана з багатьма змінами бізнес-процесів, робочих процесів
та інтерфейсу користувача. Некеровані зміни організаціями призводять до опору,
зниження рівня впровадження та, зрештою, провалу в інтеграційних процесах.
 Опір користувачів новим інтегрованим системам.
 Порушення існуючих бізнес-процесів у діяльності.
 Зниження продуктивності в перехідний період.
 Невдала реалізація переваг повної інтеграції через низький рівень
впровадження.
Можливі рішення такої проблеми:
Розробка ефективного плану управління змінами: це людський вимір
системної інтеграції.
Спілкування завчасно та часто: інформування всіх зацікавлених сторін про
процес інтеграції, його переваги та потенційні наслідки під час процесу.
Підготовка адекватних навчальних програм: розробка адекватних
навчальних програм, які допоможуть користувачам правильно освоїти нові
системи та процедури.
Визначення лідерів змін і надання їм повноваження: обрання впливових
співробітників, які сприятимуть інтеграції та будуть на боці своїх колег.
Впровадження механізмів зворотного зв’язку: переконання в тому, що
користувач впевнений, що під час і після процесу інтеграції будуть надані
правильні дані.
Насправді, зосереджуючись на управлінні змінами , організації забезпечують
більш плавний перехід і швидшу інтеграцію, можливо, з більшою кількістю
користувачів, які приймуть його, таким чином даючи вищі шанси отримати
хороший результат інтеграції.
Восьма загальна проблема інтеграції – відсутність належної документації.
Не можна не помітити відсутність документації, якщо просто поспішати завершити
проект інтеграції. Відсутність належної документації згодом призведе до багатьох
14
проблем, які зараз стосуються переважно технічного обслуговування та майбутніх
покращень.
 Труднощі з усуненням несправностей без добре задокументованої
архітектури системи.
 Вихід важливих членів організації призводить до втрати знань.
 Збільшення часу та витрат на майбутні модифікації чи покращення.
 Ризики відповідності зростають, коли постає питання перевірок аудиту,
а також документації процесу.
Можливі рішення такої проблеми:
Встановлення стандартів для документації: створення вказівок для
документування інтеграційних архітектур, процесів і коду.
Використання інструментів спільної документації: Wiki або системи
керування знаннями , щоб полегшити документування.
Документування по ходу роботи: документування має бути частиною
процесу розробки, а не лише після того, як продукт уже готовий.
Створення візуального представлення даних: використання діаграм, блок-
схем та іншої графікі в поєднанні з документацією. Це допомагає зрозуміти
систему, додаючи зображення або графіки до документації.
Регулярний перегляд та оновлення документації: розробка процесів, які
забезпечуватимуть оновлення документації в міру розвитку систем.
Це гарантує, що належна документація може бути цінною в циклі розробки,
оскільки організаціям потрібна буде корисна база знань для підтримки поточного
обслуговування, усунення несправностей і майбутніх удосконалень інтегрованих
систем.
Системна інтеграція – це дуже складний процес, повний ризиків. Існують не
лише проблеми несумісності та безпеки, пов’язані з даними, але й проблеми
керування змінами та проблеми із застарілими системами. Проте усвідомлення всіх
цих загальних проблем і, що найважливіше, розуміння їх першопричин, дає
15
можливість діяти на попередження щодо пом’якшення ризиків, що збільшує шанси
на інтеграцію.
1.2 Принципи інтеграції комп’ютерних мереж
Інтеграція обчислювальної мережі з’єднує центральні та граничні
обчислювальні засоби через гнучкі, надійні, інтелектуальні та безпечні мережеві
з’єднання, забезпечуючи уніфіковану оркестровку та контроль багаторівневих
обчислювальних ресурсів, а також швидку, безпечну та інтелектуальну передачу
обчислювальної потужності в мережі.
Обчислювальна мережева інтеграція буквально означає інтегрувати
обчислювальні та мережеві ресурси. Ця концепція дуже схожа на Computing First
Network (CFN). Насправді CFN – це мережа передачі, що складається з
обчислювальних і мережевих засобів, і її кінцевою метою є інтеграція
обчислювальної мережі. З точки зору архітектури, обчислювально-мережна
інтеграція пропонує спільну систему, яка включає чотири рівні та шість
конвергенцій [1, 6].
Чотири рівні.
 Інфраструктура: обчислювальні та мережеві засоби використовуються для
сприйняття, підключення та координації різних форм обчислювальної
потужності перед остаточною інтеграцією мережевих і обчислювальних
ресурсів.
 Платформа O&M: інтелектуальна платформа оркестровки та керування
об’єднує служби та обчислювальні ресурси для швидкого планування
обчислювальної потужності.
 Застосування: для різних вертикальних галузей надаються повсюдні
обчислювальні з’єднання.
 Безпека. Дизайн ендогенної архітектури безпеки забезпечує безпечне та
надійне планування обчислювальної потужності.
16
Шість конвергенцій.
 Конвергенція послуг. Платформа O&M має інтеграцію хмарних обчислень і
мережевої безпеки. Вона гарантує якість обчислювальних послуг,
перетворює обчислювальні ресурси в ресурси, подібні до водопостачання та
електроенергії, і повідомляє про проблеми з якістю, розподіл
обчислювальних ресурсів та іншу інформацію в режимі реального часу.
 Конвергенція можливостей: Платформа обчислювальної мережі об’єднує
різні можливості, такі як усвідомлення намірів, еластичне обслуговування та
моніторинг несправностей, щоб реагувати на різноманітні вимоги до
обчислень у режимі реального часу.
 Конвергенція O&M: мережеві, обчислювальні ресурси та ресурси зберігання
зберігаються в одному пулі ресурсів і поєднуються з детермінованими,
інтелектуальними O&M та обчислювальними технологіями для створення
конвергентної та інтелектуальної системи O&M, яка має швидку інтеграцію,
уніфіковану оркестровку та єдину O&M.
 Конвергенція даних: дані про збір, конфігурацію, безпеку, журнали та інші
дані зберігаються в пулі даних для формування проміжного рівня даних, що
забезпечує безпеку даних і гнучке планування за допомогою вивчення
великих даних та інтелектуального аналізу.
 Конвергенція обчислювальної потужності: для різнорідних обчислювальних
об’єктів, таких як центральні та графічні процесори, надаються можливості
керування обчислювальною потужністю, програми та можливості
візуалізації. Такі технології, як розподіл обчислювальної потужності,
забезпечують гнучке застосування обчислювальної потужності,
задовольняючи обчислювальні вимоги різних служб.
 Мережева конвергенція: інтеграція хмарних мереж і граничних пристроїв
забезпечує комплексну інтеграцію обчислювальної мережі.
Нова цифрова інфраструктура лежить в основі загального оновлення
реальної економіки. У цифровій економіці продовжують з’являтися розумні
17
сценарії, такі як біометричне розпізнавання, розумна охорона здоров’я та розумне
виробництво. Оцифровування все більшої кількості особистої та соціальної
інформації призводить до масивних даних додатків, і вимоги до комп’ютерів
відповідно зростають. За оцінками, до 2030 року попит на обчислювальну
потужність безпілотного водіння, блокчейну, Інтернету речей і AR/VR буде в 300
разів вищий, ніж у 2018 році. Ефективні обчислення в режимі реального часу
незабаром стануть основною характеристикою інтелектуальних сценаріїв.
Найбільші країни світу визнали ефективні обчислення пріоритетом. У 2020 році
масштаб глобальної обчислювальної потужності сягнув 429 екса-ФЛОПС (EFLOP),
що стало зростанням на 39% у порівнянні з минулим роком.
Однак виробництво обчислювальних засобів наразі стикається з такими
проблемами, як високе споживання енергії в центрах обробки даних, низьке
використання обчислювальних ресурсів, а також нескоординований і
незбалансований регіональний розвиток. З прискоренням цифровізації та інтелекту
дисбаланс між пропозицією та попитом на обчислювальну потужність став
помітнішим, ніж будь-коли раніше. Причина такої ситуації двояка. По-перше,
протягом багатьох років індустрія обчислювальної техніки була зосереджена на
поодиноких заходах у розвиток обчислювальної потужності, приділяючи мало
уваги підключенню обчислювальної потужності. Наскрізні обчислювальні послуги
не мають легкого доступу. По-друге, індустрія обчислювальної техніки все ще
справляється з різким зростанням вимог до обчислювальної техніки, просто
розширюючи пропускну здатність мережі передачі обчислювальної потужності.
Цей захід не в змозі задовольнити повсюдні вимоги до комп’ютерів. У результаті
надлишок локальних обчислювальних ресурсів і глобальна нестача
обчислювальних ресурсів співіснують [3, 7].
Адаптація мереж до глобального планування та підключення
обчислювальної потужності прискорює еволюцію мереж у бік обчислень та
інтелекту, сприяючи інноваційним послугам підключення обчислювальної
18
потужності. Таким чином, досягнення мережевих обчислень стало важливим
напрямком для галузі зв'язку.
1.3 Характеристики для інтеграції обчислювальної мережі
1. Гнучке підключення обчислювальних потужностей. У майбутньому
обчислювальні потужності будуть повсюдно розподілені, і CFN будуть потрібні
для забезпечення гнучкого доступу. І протокол SRv6 відіграє ключову роль у
швидкому доступі до обчислювальної потужності. SRv6 забезпечує автоматичне
встановлення шляхів E2E на кількох рівнях мереж і швидку передачу
обчислювальної потужності за шляхами з низькою затримкою. Крім того, він
забезпечує підключення до хмари з одним переходом і з одним підключенням до
кількох хмар, щоб ви могли швидко отримати доступ до обчислювальної
потужності та ресурсів периферійних хмарних пристроїв.
2. Передача обчислювальної потужності без втрат. Коли обчислювальна
потужність підключена через мережу, у разі збою мережі може статися втрата
пакетів. Кожна втрата пакета сильно впливає на ефективність обчислень. Тому
дуже важливо гарантувати передачу обчислювальної потужності по мережі без
втрат. Розрізання мережі забезпечує виділені канали для забезпечення передачі
обчислювальної потужності без втрат. Він пропонує такі гарантії:
 Ethernet без втрат використовується мережею гіперконвергентних центрів
обробки даних для досягнення нульової втрати пакетів.
 Орендарі сегментів надійно ізольовані один від одного, а обчислювальна
потужність пристрою-край-хмара надійно передається та надходить вчасно.
 Інтелектуальний алгоритм забезпечує нульову втрату пакетів при 100%
пропускної здатності та 100% вивільнення обчислювальної потужності.
3. Інтелектуальне планування обчислювальної мережі. Коли запитуюча
сторона ініціює запит на обчислювальну потужність, мозок обчислювальної мережі
визначає, чи можна надати послугу мережевого з’єднання між постачальником
19
обчислювальної мережі та запитуючою стороною на основі таких факторів, як
пропускна здатність мережі, затримка, тремтіння та надійність. Якщо таку послугу
можна надати, мозок обчислювальної мережі використовує багатофакторний
алгоритм вимірювання мережі для обчислення мережевих шляхів у реальному часі
на основі SLA, пропускної здатності та іншої інформації. Він уніфіковано керує
обчислювальними та мережевими ресурсами, спостерігає за обчислювальною
потужністю та станом мережі в реальному часі та обчислює оптимальні шляхи
передачі на основі такої інформації, як зміни вимог до обчислень, затримки та
пропускної здатності [2, 7].
4. Обізнаність про обчислювальний ресурс. CFN має величезну кількість
підключень додатків, а система обізнаності про обчислювальні ресурси гнучко
регулює якість мережі на основі сценаріїв обслуговування для надання
високоякісних і диференційованих обчислювальних послуг.
 IFIT розгортається у спосіб E2E для внутрішньо-смугового вимірювання
потоку послуг і швидкого визначення місця несправності.
 Мережа використовує ідентифікатори APN для ідентифікації та спрямування
трафіку до фрагментів або тунелів на рівні програми, забезпечуючи
диференційовану гарантію SLA.
5. Забезпечення безпеки обчислень. Система безпеки, побудована на основі
мережі, обчислювальної техніки та пулу ресурсів безпеки, виявляє та блокує
загрози в режимі реального часу, щоб забезпечити надійну передачу
обчислювальної потужності.
 Система безпеки використовує пристрої, межі та хмари для забезпечення
безпечного доступу до обчислювальних ресурсів.
 Система безпеки забезпечує ресурси безпеки під час планування
обчислювальної потужності для захисту передачі обчислювальної
потужності.
6. Гнучке регулювання обчислювальної потужності. Мережа швидко регулює
подачу обчислювальних ресурсів на основі змін у реальному часі обсягу даних
20
користувача, забезпечуючи еластичні зв’язки між користувачами та
обчислювальними ресурсами. Обчислювальні ресурси автоматично
налаштовуються залежно від змін обсягу даних користувача. Коли трафік у регіоні
зменшується, обчислювальні ресурси для регіону відповідно зменшуються, а
надлишок ресурсів планується до регіонів із інтенсивним трафіком. Коли трафік
повертається до нормального рівня, обчислювальні ресурси також автоматично
повертаються до нормального рівня.
Інтеграція хмарних мереж — концепція, запропонована до інтеграції
обчислювальних мереж — призначена для розширення можливостей інновацій і
розвитку інтелектуальних мереж [3, 8].
По-перше, інтеграція обчислювальної мережі є розширеною версією
інтеграції хмарної мережі. Порівняно з інтеграцією хмарної мережі, інтеграція
обчислювальної мережі обіцяє більший простір для інновацій та розробки та
висуває нові вимоги щодо цілей еволюції, типів обчислювальної потужності та
ключових технологій.
 З точки зору еволюційних цілей, інтеграція хмарної мережі
зосереджена на вимогах підключення до хмарного доступу з одним стрибком, тоді
як інтеграція обчислювальної мережі зосереджена на більш тісній співпраці між
програмами та службами, щоб зробити обчислювальну потужність такою ж
зручною, як вода та електрика.
 З точки зору типів обчислювальної потужності, обчислювально-
мережева інтеграція розширює фокус на хмарних обчислювальних потужностях і
підкреслює гетерогенну уніфікацію диверсифікованої обчислювальної потужності.
 З точки зору ключових технологій, основною технологією інтеграції
хмарних мереж є «хмарне мережеве планування», яке зосереджується на
плануванні ресурсів. Для порівняння, обчислювально-мережна інтеграція
наголошує на уніфікованому вимірюванні, глобальному плануванні та еластичній
оркестровці обчислювальної потужності, поширюючи технологічні дослідження
на рівні додатків і послуг.
21
1.4 Висновки до розділу 1
У розділі було проведено детальний та ґрунтовний аналіз проблематики
системної інтеграції, як комплексної сфери цифровізації бізнес-процесі на
підприємствах та організаціях. Це актуально, зокрема коли існують різнорідні
системи керування, безпеки, бази даних тощо. Було виокремлено поширені
проблеми інтеграції, принципи інтеграції комп’ютерних мереж, характеристики
для інтеграції обчислювальної мережі та хмарних додатків.
22
РОЗДІЛ 2 ЗАДАЧА ІНТЕГРАЦІЇ З ДОМЕННОЮ СТРУКТУРОЮ
2.1 Ключові напрямки інтеграції з доменом
Ключовою організаційно-логічною структурою великих корпоративних
мереж організацій є домен. Причому багато з цих доменів працюють саме під
управлінням контролера домену від Microsoft – Active Directory.
Active Directory (AD) – це служба каталогів Windows, яка містить інформацію
про користувачів, комп'ютери, принтери, файли та папки в мережі організації. Її
контролери домену обробляють запити на автентифікацію та авторизують доступ
до мережевих ресурсів за допомогою списків контролю доступу. Active Directory
використовується в різних середовищах, від стартапів до підприємств. Вона
допомагає керувати та організовувати ресурси та об'єкти, пов'язані з мережею [3,
9].
Інтеграція Active Directory підключає та синхронізує систему або додаток з
Microsoft Active Directory. Для цього використовують Полегшений протокол
доступу до каталогів (LDAP).
Полегшений протокол доступу до каталогів (LDAP) – це відкритий та
кросплатформенний протокол, створений для ефективнішого управління та
доступу до служб каталогів. Він пропонує спрощений підхід до взаємодії зі
службами каталогів. LDAP визначає точні структури, формати та правила
комунікації, що регулюють, як клієнтські додатки підключаються до служб
каталогів і керують запитами клієнтів, відповідями серверів та форматами даних
(рисунок 2.1).
LDAP дозволяє адміністраторам знаходити користувачів у каталозі для
додавання, зміни або видалення об'єктів. Його застосування поширюється на
автентифікацію користувачів для доступу до мережевих ресурсів тощо. Найбільш
відомі служби каталогів, такі як Active Directory, OpenLDAP та IBM Directory
Server, безперешкодно інтегрують LDAP.
23
Рисунок 2.1 – Принципи організації LDAP
LDAP відіграє ключову роль у розширенні інфраструктури своєю
універсальністю на різних платформах та операційних системах. Впровадження
LDAP усуває розрив між різними службами каталогів. Досить часто стає
затребуваною інтеграція Linux з Active Directory та Windows Desktop, SaaS-
додатками або базами даних. Таким чином, організації легко керують кількістю
користувачів, пристроїв та ресурсів, що зберігаються в Active Directory [4, 10].
Для користувачів зазвичай використовують рішення єдиного входу (SSO).
Протягом дня одна людина в організації отримує доступ до багатьох хмарних та
локальних додатків. Рішення єдиного входу революціонізували цей досвід,
дозволяючи користувачам легко входити в кілька додатків за допомогою одного
набору облікових даних. Цей підхід усуває труднощі та вразливості, пов'язані з
управлінням різними комбінаціями імен користувачів та паролів.
Встановлення безперебійного єдиного входу з Active Directory можливе за
допомогою ADFS або вибору стороннього інструменту. Незалежно від обраного
шляху, важливо пам'ятати про деякі труднощі, які можуть виникнути.
Привабливість Active Directory Federation Services (ADFS) як безкоштовного
рішення незаперечна, але його впровадження вимагає значних інвестицій часу та
24
ресурсів для управління та адміністрування. Встановлення необхідної
інфраструктури часто виявляє приховані витрати. Вони можуть проявлятися у
вигляді придбання ліцензії на Windows Server та складної конфігурації серверів,
призначених для розміщення служб ADFS.
Крім того, шлях до повного рішення єдиного входу вимагає розробки
індивідуальних налаштувань. Зокрема, це включає створення заявок для кожного
додатка або бази даних для інтеграції з AD, зберігаючи при цьому безперервність
з'єднань SSO.
Багато баз даних оснащені спеціальними інструментами інтеграції та API для
полегшення безперебійної взаємодії з Active Directory. Чудовим прикладом є
Oracle, який надає конфігураційні утиліти, такі як Oracle Net Configuration Assistant
та Database Configuration Assistant. Ці інструменти дозволяють користувачам
Windows, автентифікованим через AD, безпосередньо отримувати доступ до бази
даних Oracle без повторного введення облікових даних [1, 4, 11].
Проте більшість цих інструментів дозволяють лише одноразову інтеграцію
між конкретною базою даних та Active Directory. Адміністраторам доводиться
повторювати цей процес для кожного додаткового ресурсу, який вони хочуть
інтегрувати.
Проведення єдиного входу в межах Active Directory вводить певний рівень
складності. Для навігації по ньому сторонні рішення виявляються корисними. Вони
спрощують процес через охоплення Active Directory кількох SaaS-додатків та баз
даних у хмарі.
Інтеграції з Active Directory можуть слідувати односторонньому шаблону.
AD є авторитетним джерелом у цій ситуації, і сторонній додаток автентифікує
доступ користувача через AD. Це було традиційним розумінням інтеграції мережі
AD в ІТ-індустрії. Традиційне локальне програмне забезпечення включає цю
функціональність. Поняття змінюється, коли мова йде про сучасні ІТ-ресурси;
концепція інтеграції AD відходить на другий план.
25
З'явилося нове покоління рішень управління ідентифікацією та доступом
(IAM). Вони відомі як Identity-as-a-Service (IDaaS) або веб-додаток єдиного входу
(SSO). Вони розширюють охоплення облікових даних Active Directory за межі
початкових кордонів, поширюючи їх на сторонні платформи, переважно веб-
додатки. Термін інтеграція Active Directory набуває зміненого значення та
контексту. Тим не менш, залишаються проблеми в цих обмежених інтеграціях AD.
Вони сприяють появі нового підходу до інтеграції AD та охоплюють можливості
двосторонньої синхронізації.
Двосторонність включає синхронізацію змін пароля, зроблених у
інтегрованій системі, з відповідними змінами в AD.
Сучасна платформа IDaaS може перемістити центральну точку (джерело
довіри) до себе, зберігаючи інвестиції організації в AD. Природна цінність полягає
в збільшенні та розширенні інфраструктури IAM без консолідації, міграції або
складних зусиль з інтеграції. Ця стратегія дозволяє командам використовувати весь
потенціал сучасних ІТ-ресурсів, тоді як ІТ-адміністратори зберігають контроль над
своїми середовищами.
Цей контроль поширюється на здатність безперешкодно інтегрувати AD з
не-Windows системами, що ще більше підвищує гнучкість та адаптивність
загальної конфігурації.
У сучасному обчислювальному середовищі одним з особливо корисних
аспектів інтеграції Active Directory (AD) для організацій є безперешкодне
включення пристроїв macOS та Linux у середовища, контрольовані AD. Зростаюча
присутність систем Mac у глобальних офісних просторах підкреслює значущість
цієї можливості. Це канал для синхронізації змін пароля між не-Windows
платформами та AD, що сприяє взаємному обміну, який виявляється надзвичайно
корисним для кінцевих користувачів та ІТ-адміністраторів.
Існуючі рішення в цій області в основному походять з застарілих локальних
структур. Попит на систему наступного покоління на основі хмари є нагальним; її
26
актуальність більш очевидна, ніж будь-коли. Багато ІТ-адміністраторів шукають
способи досягти надійних можливостей управління користувачами Mac.
Для цієї аудиторії інтеграція функції AD Sync Password Writeback у
JumpCloud є безцінним доповненням до їхнього ІТ-інструментарію. Крім того,
використання JumpCloud виходить за рамки цього. Він забезпечує можливість
об'єднання з широким спектром хмарних і локальних інструментів, збагачуючи
технологічний арсенал організації.
Active Directory – це загальний термін, який охоплює набір служб,
представлених компанією Microsoft після випуску AD. Вони включають служби
доменів, служби сертифікатів, служби управління правами та полегшені служби
каталогів. Окремої уваги заслуговує служба Active Directory Federation Services
(ADFS). Розроблена для забезпечення єдиного входу (Single Sign-On, SSO) за
допомогою механізму автентифікації на основі тверджень, вона дозволяє
автентифікувати користувачів для доступу до позамережевих ресурсів.
На сьогоднішній день близько 29% організацій використовують ADFS. 21%
з цих компаній - малі (до 50 співробітників), 47% - середні і 33% - великі (понад
1000 співробітників). З розширенням інфраструктури організації все більше
покладаються на Active Directory для автентифікації в інших базах даних і серверах.
2.2 Практичні напрямки інтеграції
Інтеграція з AD – це процес підключення та синхронізації зовнішніх систем
і служб зі службою Active Directory. Зазвичай він включає в себе такі етапи [1, 5,
13].
1. Автентифікація та авторизація. Система зовнішньої програми взаємодіє з
AD для автентифікації користувачів і авторизації їх доступу на основі їх облікових
даних в Active Directory (рисунок 2.2).
27
Рисунок 2.2 – Автентифікація та авторизація
2. Синхронізація каталогів. Інформація про користувача та його дані із
зовнішньої системи синхронізується з базою даних AD. Вона включає імена
користувачів, паролі, адреси електронної пошти, ролі та статус членства в групах.
Якщо існують інші контролери доменної структури, відмінні від AD, то є варіанти
рішення використати Microsoft Entra Connect (рисунок 2.3).
Рисунок 2.3 – Синхронізація каталогів
3. Єдиний вхід. Після інтеграції користувачі отримують доступ до зовнішньої
системи за допомогою облікових даних Active Directory. Їм не потрібно створювати
та розділяти імена користувачів і паролі, запам'ятовувати їх і боротися з кожним
окремим входом. Вони отримують безперебійну роботу з сервісом і не плутаються
в облікових даних.
Насправді єдиний вхід – це об’єднана угода про керування ідентифікацією
між трьома об’єктами:
Користувачі (Users) – окремим людям потрібен доступ до різних служб. Вони
повинні мати можливість керувати особистою інформацією, такою як свій логін
28
або пароль, і їх має бути однозначно ідентифікованою.
Постачальники послуг (Service Provider, SP) – традиційно це веб-сайти та
програми, до яких користувачі хочуть отримати доступ, але вони можуть включати
всілякі продукти та послуги, такі як доступ Wi-Fi, ваш телефон або пристрої
«Інтернету речей» [14, 15].
Постачальники ідентифікаційних даних (Identity Provider, IdP) – бази даних,
що зберігають ідентифікаційні дані користувачів, які потім можна об’єднати з
різними ІТ-ресурсами. Вони також можуть зберігати багато екземплярів
ідентичності користувача, які містять таку інформацію, як імена користувачів,
паролі, ключі SSH, біометричну інформацію та інші атрибути (рисунок 2.4).
Рисунок 2.4 – Єдиний вхід
4. Профіль користувача. Щойно в системі з'являється новий користувач, в
Active Directory з'являється його профіль. Створений автоматично, він містить
особисту інформацію та дані доступу. Останні модифікуються автоматично
29
щоразу, коли змінюється статус користувача в організації. На рисунку 2.5 показано
інформаційну модель профілю користувача, адаптовану до потреб доменної
структури.
Рисунок 2.5 – Інформаційна модель профілю користувача
5. Контроль доступу на основі ролей (RBAC). У моделях RBAC користувачам
надається доступ залежно від їхніх функцій в організації, а не на основі
ідентичностей. Мета полягає в тому, щоб надавати користувачам доступ лише до
тих даних, які їм потрібні для виконання робочих завдань.
В Active Directory користувачам призначаються різні ролі в межах різних
30
груп. Відповідно до цієї групової приналежності вони отримують дозвіл на доступ
до тих інтегрованих систем, які потрібні їм у роботі. Рисунок 2.6 ілюструє принцип
роботи такого доступу та те, які можливі атрибути та розмежування у такій моделі.
Вона досить чітко вписується у корпоративні відносини та ролі в середині
організації.
Рисунок 2.6 – Контроль доступу на основі ролей
6. Керування паролями. Якщо користувач змінює свій пароль в Active
Directory, синхронізованому з інтегрованими системами, він може отримати доступ
до цих систем з новим паролем, не змінюючи його вручну. Це забезпечує
узгодженість і усуває необхідність повторювати процес в різних сервісах окремо.
7. Аудит входів та активності. Цей механізм дозволяє адміністраторам
відстежувати дії користувачів у різних інтегрованих системах, допомагаючи в
оцінці відповідності та безпеки. Вони можуть використовувати зібрані дані для
проведення регулярних аудитів і внесення поліпшень.
8. Зіставлення. Адміністратори зіставляють атрибути між інтегрованою
31
системою та Active Directory, щоб переконатися, що дані, такі як ролі або адреси
електронної пошти, правильно узгоджені.
9. Вибір протоколу. Інтеграцію можна здійснити за допомогою різних
протоколів. Серед них LDAP, Kerberos, SAML та інші. Вибір протоколу залежить
від характеру інтегрованої системи та сумісності з Active Directory.
10. Моніторинг і обслуговування. Обслуговування потрібне для
синхронізації даних користувача, оновлення зіставлення за потреби та моніторингу
продуктивності та безпеки [16-18].
2.3 Переваги інтеграції Active Directory
Інтеграція життєво важлива для тих компаній, які працюють і покладаються
на чіткі та точні дані користувачів. Інтеграція зменшує загрози безпеці, одночасно
дозволяючи командам працювати з основними ІТ-ресурсами. Найпомітніші
переваги інтеграції AD:
1. Централізоване управління. Active Directory дозволяє адміністраторам
контролювати доступ користувачів, комп’ютери та ресурси. Вони можуть
віддалено створювати, змінювати або деактивувати облікові записи користувачів,
розгортати програмне забезпечення, налаштовувати багато комп’ютерів одночасно
та виправляти неполадки комп’ютерів із віддаленим доступом. Крім того, вони
можуть швидко та легко керувати файлами, програмами та обладнанням за
допомогою AD Domain Services.
2. Інтеграція з іншими службами Microsoft .Microsoft розробила Active
Directory для своєї інфраструктури Windows. Ось чому він легко інтегрується з ОС
і службами Microsoft, такими як Exchange Server, SharePoint і Office
Communications Server. Ви також можете легко поєднати AD з інтеграцією Azure
Active Directory, щоб забезпечити безперебійне керування, доступ до робочого
столу та хмарних продуктів Microsoft.
3. Об’єкти групової політики (GPO). GPO — це набір команд, які
32
визначають поведінку та зовнішній вигляд системи. Це переконлива функція Active
Directory. За допомогою GPO адміністратори можуть установлювати правила, які
визначають, що можуть або не можуть робити всі або окремі користувачі та
комп’ютери.
Як правило, адміністратори використовують GPO для встановлення
оновлень програмного забезпечення, налаштування зовнішнього вигляду робочого
столу, запобігання встановленню несанкціонованого програмного забезпечення та
обмеження доступу до ресурсів і певних параметрів системи.
4. Безпека та контроль доступу. Адміністратори встановлюють політику
безпеки для всієї мережі з Active Directory. Вони визначають вимоги до складності
пароля, блокування облікових записів і політику терміну дії пароля.
AD також використовує безпечні протоколи автентифікації та авторизації,
такі як Kerberos і LDAP. Контролер домену використовує їх для запобігання
несанкціонованому доступу до конфіденційних ресурсів і гарантує, що лише
автентифіковані та авторизовані користувачі можуть отримати доступ до ресурсів.
5. Покращена ефективність. Найприємнішим для користувачів є те, що
вони можуть отримати доступ до певних послуг на будь-якому пристрої. Їм
потрібно лише один раз увійти в систему, використовуючи свої облікові дані Active
Directory, щоб почати працювати з кількома ресурсами в мережі. Немає
необхідності запам'ятовувати численні імена користувачів і паролі.
Якщо говорити про адмінів, то вони користуються широким контролем через
централізовану систему. Їм не потрібно заходити в кожен комп’ютер, щоб
виконувати завдання вручну; робота може виконуватися віддалено і одночасно на
різних комп'ютерах.
6. Звітність для аудиту та відповідності. Захищаючи особистість і
контролюючи доступ до даних, Active Directory відіграє важливу роль у досягненні
відповідності даних. Крім того, за допомогою інструментів сторонніх розробників
можна створювати звіти про вхід або вихід, створення файлів, модифікації, надання
дозволів та інші дії та використовувати їх для цілей аудиту.
33
Різні компанії мають різну організаційну структуру. Найбільш поширеним
підходом є групування ролей, обов’язків і активів у різних відділах. Залежно від
своїх ролей, роботодавці використовують пристрої та програмне забезпечення
компанії, щоб бути найбільш продуктивними та досягати своїх цілей. Щоб зробити
ці процеси ефективними та безпечними, важливо мати контроль доступу [3, 19-20].
2.4 Платформа обміну даними Cisco Platform Exchange Grid
ІТ-середовища потопають у потоці мережевої інформації та інформації про
безпеку, що генерується безліччю систем безпеки, які не допускають
багатоплатформної комунікації. Це ускладнює безпеку, оскільки збільшує кількість
час і ручні зусилля, необхідні оператору для зшивання інформацію з розрізнених
систем. Традиційні API, які полегшують інтеграцію між однією платформою з
іншою - занадто обмежені, небезпечні та специфічні для конкретної платформи,
щоб забезпечити практичне рішення.
Щоб забезпечити безпеку та безперебійну роботу ІТ-середовища, компанії
часто використовують широкий спектр платформ безпеки від різних
постачальників. Це можуть бути платформи управління ідентифікацією та
доступом (IAM), системи управління безпекою та подіями (SIEM), платформи
політик та системи захисту від загроз, системи захисту від загроз. Всі ці
інструменти є критично важливими для захисту бізнесу та забезпечення його
діяльності, але нездатність до багатоплатформної комунікації створює величезні
операційні проблеми, створюючи фрагментарні ізольовані системи безпеки
створюючи фрагментарні сховища інформації про безпеку.
Перехід від одного інструменту до іншого додає багато складнощів - і витрат
- до операцій з безпеки. Це також знижує загальну ефективність ІТ-безпеки,
оскільки вимагає більшої кількості часу і ручних зусиль для отримання необхідної
інформації від кожного з цих інструментів, щоб вжити відповідних заходів безпеки.
34
Це час, якого компанії не можуть собі дозволити, коли сучасна атака намагається
заглибитися глибше проникнути в середовище або викрасти конфіденційні дані.
Історично склалося так, що специфічні для платформи API вирішують цю
проблему, полегшуючи взаємодію між однією системою та іншою. Але в сучасних
ІТ-середовищах цей підхід не масштабується.
Сьогодні кількість платформ з інформацією, якою потрібно обмінюватися з
іншими платформами, просто надто велика, а тому компанії не можуть реалістично
впроваджувати одноцільові API для того, щоб зв'язати кожен інструмент з кожним
іншим інструментом у своєму ІТ-середовищі. Для зв’язування усіх інструментів в
одному місці Cisco розробила pxGrid, що інтегрований у потужну платформу Cisco
ISE.
pxGrid забезпечує набагато кращий спосіб обміну інформацією, ніж звичайні
API, з кількох причин:
По-перше, його здатність реалізовувати зв'язок «багато до багатьох» між
різними мережевими платформами означає, що він вроджено масштабований -
більше, ніж базові моделі опитування, які працюють зі звичайними API.
По-друге, він дозволяє покращене, дуже детальне налаштування. На відміну
від API, які не дають змоги налаштувати те, як і про що системи обмінюються
даними, pxGrid дозволяє кожній підключеній системі споживати лише ту
інформацію, яка їй потрібна, від інших систем у мережі та ділитися лише тією
інформацією, яка стосується інших систем, з якими вони спілкуються.
Нарешті, pxGrid забезпечує більшу безпеку та контроль. Він зберігає
цілісність даних кожної системи набагато ефективніше, ніж API, забезпечуючи
суворо контрольований доступ, автентифікацію та авторизацію для кожної системи
в мережі. Подібно до того, як користувачі можуть бути авторизовані в мережі для
доступу до одних ресурсів, але не до інших, ІТ-постачальники можуть
авторизувати системи, підключені до pxGrid, для доступу до потрібної їм
інформації з їхньої платформи, але не більше.
35
Структура протоколу pxGrid – це протокольна структура механізмів високого
рівня, яка може бути використана з будь-яким типом транспортного протоколу.
Він не прив'язаний до жодного транспорту. Реалізація протоколу pxGrid є
специфічною для Cisco ISE. Іншими словами, тільки механізм відповідає структурі
протоколу pxGrid, формати даних і транспортні засоби є специфічними для Cisco
ISE.
pxGrid визначає лише механізми керування: виявлення, аутентифікація,
авторизація. Дані між споживачами і постачальниками не є частиною pxGrid, тому
дані не проходять через pxGrid.
Cisco ISE також надає дані, такі як каталог сеансів, ANC тощо. Однак, вони
є лише провайдерами, які використовують засоби керування pxGrid. Інші
провайдери даних можуть вільно вибирати будь-які механізми передачі даних, які
вони вважають за потрібне. В результаті, pxGrid може адаптуватися до будь-якого
нового або існуючого транспорту даних.
Оскільки pxGrid забезпечує централізоване виявлення, автентифікацію та
авторизацію, він зменшує складність сітчастої мережі, де кожна машина повинна
взаємодіяти одна з одною. Це також усуває потребу в паролях, створених людиною,
і гарантує, що конфігурації доступу до машин не передаються між пристроями.
pxGrid використовує порт 8910 на ISE для зв'язку REST і Websocket,
пов'язаного з pxGrid. Сервер буде грати в пінг-понг з Websocket, щоб виявити
автономних, повільних або несправних клієнтів pxGrid і збої в мережі.
Повідомлення через Websocket будуть надсилатися та прийматися у двійковому
форматі. Ці повідомлення повинні відповідати протоколу обміну повідомленнями
STOMP. У STOMP наступні команди підтримуються в pxGrid:
 CONNECT.
 DISCONNECT.
 SUBSCRIBE.
 UNSUBSCRIBE.
 SEND.
36
 MESSAGE.
 ERROR.
Споживачі pxGrid зазвичай використовують SUBSCRIBE, тоді як провайдери
використовують SEND. Нижче на рисунку 2.7 наведено огляд логічного потоку
типового клієнта pxGrid на дуже високому рівні.
Рисунок 2.8 – Логічний потік типового клієнта pxGrid
1. Створення контексту SSL-сертифіката / створення облікового запису.
Всі клієнти повинні пройти автентифікацію за допомогою SSL-
автентифікації на основі сертифікатів або автентифікації за допомогою імені
користувача та пароля. Хоча клієнти мають можливість генерувати паролі за
допомогою API створення облікового запису, настійно рекомендується
використовувати сертифікати. SSL-аутентифікація на основі сертифікатів набагато
безпечніша і є рекомендованим способом автентифікації клієнтів на pxGrid. Можна
швидко генерувати і повторно використовувати сертифікати для клієнтів pxGrid за
допомогою інтерфейсу адміністратора ISE, якщо це необхідно.
37
2. Активація облікового запису.
Всі клієнти повинні надіслати запит на активацію своїх облікових записів на
сервері pxGrid. Відповідний REST API обробляє цей процес. Зазвичай, клієнти
повинні опитуватись у цьому виклику, доки не отримають повідомлення
«ENABLED» від сервера. Автоматичне схвалення на стороні сервера доступне з
інтерфейсу адміністратора Cisco ISE, як і в попередніх реалізаціях, однак, не
рекомендується використовувати цю опцію у виробничих середовищах.
3. Реєстрація / Відміна реєстрації служби.
Постачальники послуг будуть використовувати ці API для надання та
оновлення необхідної інформації (наприклад, URL-адреси ресурсів), з яких їхні
послуги будуть доступні для інших клієнтів pxGrid.
4. Пошук сервісів.
Всі клієнти можуть використовувати цей API для динамічного пошуку всіх
доступних сервісів провайдера та їх місцезнаходження. Маючи цю інформацію,
клієнти можуть перейти до наступних кроків. Рекомендується реалізувати якийсь
механізм відновлення з'єднання в pxGrid-клієнтах, щоб у випадку розриву
з'єднання або оновлення місцезнаходження ресурсу, клієнт міг знову отримати
послугу, використовуючи цей API.
5. Секрет доступу.
Для кожного повернутого сервісу, який цікавить конкретного клієнта, цей
клієнт повинен також запитати у pxGrid секрет доступу, щоб отримати інформацію,
надану сервісом. Коли сервіс змінюється або його потрібно перепідключити, секрет
доступу повинен бути згенерований за допомогою цього API.
6. Запит/підписка на сервіс.
Маючи на руках секрет доступу та інформацію про місцезнаходження
сервісу, клієнти можуть виконувати запити на основі REST або створювати
з'єднання Websocket для отримання інформації [20, 21].
Нижче наведено нові REST API, які реалізують механізми pxGrid Control:
38
1. ServiceLookup (Discovery) – використовується споживачами для
пошуку сервісів.
2. ServiceRegister (Discovery) – використовується провайдерами для
реєстрації своїх послуг.
3. ServiceReregister (Discovery) – провайдери можуть періодично
викликати його, щоб підтвердити, що послуга все ще жива.
4. ServiceUnregister (Discovery) – провайдерам, щоб вказати, що послуги
більше не активні.
5. AccessSecret (Authentication) – отримання унікальних секретів між
вузлами джерела та призначення. Використовується як провайдером, так і
споживачем.
6. Authorization – провайдеру необхідно перевірити, чи дозволена
операція споживачем.
7. AccountCreate – використовується для автентифікації на основі пароля.
Повертає згенерований пароль для наступних викликів REST.
8. AccountActivate – обліковий запис має бути схвалений
адміністраторами ISE перед використанням pxGrid. При виклику цього методу
новий обліковий запис перейде у стан PENDING, очікуючи на схвалення. Коли
обліковий запис буде схвалено, стан стане ACTIVE.
pxGrid підтримує фільтрацію інформації на основі конкретних вимог
клієнтів. Функція фільтрації pxGrid дозволяє клієнтам отримувати тільки
релевантну інформацію від видавця на основі підписки. Фільтрація інформації
здійснюється за допомогою API фільтрації на сервері pxGrid. pxGrid фільтрує
релевантну інформацію на основі застосованих фільтрів у наступних двох
випадках:
1. Перед масовим завантаженням.
2. Перед публікацією даних в реальному часі для клієнтів.
39
2.5 Висновки до розділу 2
Підсумовуючи результати, отримані в цьому розділі роботи, можна говорити
про поставлену задачу інтеграції з доменною структурою, що виражається у
окресленні практичних напрямків інтеграції, переваг інтеграції з Active Directory
та використанні платформи обміну даними Cisco Platform Exchange Grid.
40
РОЗДІЛ 3 ІНТЕГРАЦІЯ БЕЗПЕКОВИХ ФУНКЦІЙ
У кожної компанії, навіть найменшої, є потреба в проведенні аутентифікації,
авторизації та аудиту користувачів (сімейство протоколів ААА). На початковому
етапі ААА цілком собі добре реалізується з використанням таких протоколів, як
RADIUS, TACACS+ і DIAMETER. Однак зі зростанням кількості користувачів і
компанії, зростає і кількість завдань: максимальна видимість вузлів і
використанням BYOD-пристроїв, багатофакторна аутентифікація, створення
багаторівневої політики доступу тощо [2, 15].
Для таких завдань чудово підходить клас рішень NAC (Network Access
Control) – контроль мережевого доступу. Одне з таких рішень – це Cisco ISE
(Identity Services Engine) – NAC рішення для надання контролю доступу
користувачам до внутрішньої мережі з урахуванням контексту.
3.1 Впровадження безпекових функцій архітектури Cisco ISE
Cisco ISE дає змогу:
 Швидко та легко створювати гостьовий доступ у виділеній бездротовій
мережі;
 Виявляти пристрої BYOD (наприклад, власні телефони чи ноутбуки
співробітників, які вони принесли на роботу);
 Централізувати та застосовувати політики безпеки до користувачів доменів
та інших доменів за допомогою міток груп безпеки SGT (технологія
TrustSec);
 Перевіряти комп'ютери на наявність певного встановленого програмного
забезпечення та відповідність стандартам;
 Класифікувати і профілювати термінали і мережеві пристрої;
 Забезпечує видимість кінцевої точки;
41
 Надає журнали входу/виходу користувачів, їхні облікові записи (особистість)
до NGFW для формування політики, заснованої на користувачах;
 Вбудована інтеграція з Cisco StealthWatch і карантин підозрілих вузлів,
причетних до інцидентів безпеки;
 Розширені і стандартні функції ААА-сервера.
В архітектурі Identity Services Engine є 4 сутності (вузли): вузол
адміністрування політик, вузол служби політик, вузол моніторингу та вузол PxGrid.
Cisco ISE може бути в автономній або розподіленій установці. У варіанті Standalone
всі сутності розташовані на одній віртуальній машині або фізичному сервері
(Secure Network Servers - SNS), тоді як в Distributed - вузли розподілені по різних
пристроях.
Вузол адміністрування політик (PAN) – це обов'язковий вузол, який дозволяє
виконувати всі адміністративні операції на Cisco ISE. Він обробляє всі конфігурації
системи, пов'язані з AAA. У розподіленій конфігурації (вузли можуть
встановлюватися як окремі віртуальні машини) можна мати максимум два PANs
для відмовостійкості - Active/Standby mode.
Вузол служби політик (PSN) – це обов'язковий вузол, який забезпечує доступ
до мережі, стану, гостьового доступу, надання обслуговування клієнтів і
профілювання. PSN оцінює політику та застосовує її. Як правило, встановлюється
кілька PSN, особливо в розподіленій конфігурації, для більш резервної та
розподіленої роботи. Звичайно, ці вузли намагаються встановлювати в різних
сегментах, щоб не втратити можливість надавати аутентифікований і
авторизований доступ хоча б на секунду.
Monitoring Node (MnT) – це обов'язковий вузол, який зберігає журнали подій,
журнали інших вузлів та політики в мережі. Вузол MnT надає розширені
інструменти для моніторингу та усунення несправностей, збирає та співвідносить
різні дані, а також надає значущі звіти. Cisco ISE дозволяє мати максимум два MnT-
вузла, тим самим формуючи відмовостійкість – Active/Standby режим. Однак
журнали збирають обидва вузли, як активні, так і пасивні.
42
PxGrid Node (PXG) – це вузол, який використовує протокол PxGrid і
забезпечує зв'язок між іншими пристроями, які підтримують PxGrid.
PxGrid – це протокол, який забезпечує інтеграцію продуктів IT-
інфраструктури та інфраструктури інформаційної безпеки від різних вендорів:
систем моніторингу, систем виявлення та запобігання вторгнень, платформ
управління політиками безпеки та багатьох інших рішень. Cisco PxGrid дозволяє
обмінюватися контекстною інформацією в односпрямованому або
двонаправленому режимі з багатьма платформами без необхідності використання
API, тим самим дозволяючи використовувати технологію довіреної безпеки Trusted
Security, змінювати і застосовувати політику ANC (Adaptive Network Control), а
також профілювання – визначення моделі пристрою, ОС, місця розташування і
багато іншого.
У конфігурації з високим рівнем доступності вузли PxGrid реплікують
інформацію між вузлами за допомогою PAN. Якщо PAN вимкнено, вузол PxGrid
припиняє аутентифікацію, авторизацію та облік користувачів.
Нижче наведено діаграми роботи різних ISE Cisco в корпоративній мережі.
Рисунок 3.1 – Архітектура Cisco ISE
43
Cisco ISE може бути розгорнутий, як і більшість сучасних рішень, віртуально
або фізично як автономний сервер.
Фізичні пристрої під керуванням програмного забезпечення Cisco ISE
називаються SNS (Secure Network Server) і випускаються в трьох моделях: SNS-
3615, SNS-3655 і SNS-3695 для малого, середнього та великого бізнесу. У таблиці
3.1 наведено технічний паспорт SNS.
Таблиця 3.1 – Порівняльна таблиця SNS для різних шкал
Параметр SNS 3615 (малий) SNS 3655 (середній) SNS 3695 (великий)
Кількість підтримуваних кінцевих
точок в автономній інсталяції 10000 25000 50000
Кількість підтримуваних кінцевих
точок для кожного PSN 10000 25000 100000
Процесор (Intel Xeon 2.10 ГГц) 8 ядер 12 ядер 12 ядер
RAM 32 ГБ (2 x 16 ГБ) 96 ГБ (6 x 16 ГБ) 256 ГБ (16 x 16 ГБ)
Жорсткий диск 1 x 600 ГБ 4 x 600 ГБ 8 x 600 ГБ
Апаратний RAID Ні RAID 10, RAID- RAID 10, RAID-
контролер контролер
Мережеві інтерфейси 2 x 10Gbase-T 2 x 10Gbase-T 2 x 10Gbase-T
4 x 1Gbase-T 4 x 1Gbase-T 4 x 1Gbase-T
Що стосується віртуальних розгортань, то підтримуються гіпервізори
VMware ESXi (не нижче ESXi 6.0), Microsoft Hyper-V і Linux KVM (RHEL 7.0).
В пункті 2.3 цієї роботи згадувалося про важливість інтеграції різних систем
з точки зору методів керування доступом. Так от в AD метод керування доступом
заснований на RBAC буде цілком відповідати такому ж у безпековому продукті
Cisco ISE.
У таблиці узагальнено інформацію про адміністраторів ISE, їхні права та
ролі.
44
Таблиця 3.2 – Групи адміністраторів Cisco ISE, рівні доступу, дозволи та
обмеження
Ім'я групи
адміністратора Дозволи Обмеження
Customization Налаштування гостьових та
спонсорських порталів,Неможливість редагувати політики,
Admin адміністрування та налаштування переглядати звіти
Можливість перегляду головноїНеможливість редагувати,
Helpdesk Admin інформаційної панелі, всіх звітів, створювати або видаляти звіти,
попереджень і потоків усуненняпопередження та журнали
несправностей автентифікації
Керування користувачами,
Identity Admin привілеями та ролями, переглядНеможливість змінювати політики,
журналів, звітів та сигналіввиконувати завдання на рівні ОС
тривоги
Повний моніторинг, звіти,
MnT Admin сигналізації, журнали та їхНеможливість редагувати жодну
управління політику
Дозволи на створення, зміну
Network Deviceоб'єктів ISE, перегляд журналів,Неможливість змінювати політики,
Admin звітів, головної інформаційноївиконувати завдання на рівні ОС
панелі
Повне управління всімаНеможливість виконання
Policy Admin політиками, зміна профілів,конфігурацій з обліковими даними,
налаштувань, перегляд звітів ISE
Усі налаштування у вкладці
RBAC Admin «Операції», налаштуванняхНеможливість змінювати політики,
політики ANC, управліннівідмінні від ANC, і виконувати
звітністю завдання на рівні ОС
Привілеї для всіх налаштувань,
Super Admin звітності та керування, можутьНеможливість змінити, видаливши
видаляти та змінювати облікові інший профіль із групи
дані адміністратора Суперадміністратора
Усі налаштування у вкладці
System Admin «Операції», керуванняНеможливість змінювати політики,
системними налаштуваннями,відмінні від ANC, і виконувати
політика ANC, перегляд звітності завдання на рівні ОС
External RESTfulПовний доступ до API Cisco ISEТільки для авторизації, управління
Services (ERS)REST локальними користувачами, вузлами
Admin та групами безпеки (SGs)
External RESTful Тільки для авторизації, управління
Services (ERS)Дозволи на зчитування для APIлокальними користувачами, вузлами
Operator Cisco ISE REST та групами безпеки (SGs)
45
На рисунку 3.2 показано вже визначені групи адміністраторів на основі
ролей.
Рисунок 3.2 – Попередньо визначені групи адміністраторів Cisco ISE
3.2 Налаштування і підтримка інтеграції Active Directory
Для того щоб провести інтеграцію з Microsoft Active Directory, необхідно
попередньо створити облікові записи, додати LDAP-сервери, якщо вони є в мережі,
а також врахувати функцію PassiveID.
PassiveID – це функція для збору інформації про зіставлення користувача з
IP-адресою з розгортанням протоколу 802.1 X або без нього. PassiveID збирає
інформацію із середовища Microsoft AD за допомогою WMI або агента AD, а також
через порт SPAN на комутаторі.
Для узгодження та створення в Cisco ISE існують наступні контейнери,
пов’язані з обліковими записами користувачів та групами на основі моделі RBAC.
User Identity – це обліковий запис користувача, який містить інформацію
про користувача та генерує його облікові дані для доступу до мережі. В Identity
User зазвичай вказуються такі параметри: ім'я користувача, адреса електронної
пошти, пароль, опис облікового запису, група користувачів і роль.
User Groups – це сукупність користувачів, які мають спільний набір
привілеїв, що дозволяють їм отримувати доступ до набору служб і функцій ISE.
46
User Identity Groups – попередньо визначені групи користувачів, які вже
мають певну інформацію та ролі. За замовчуванням існують і можуть бути
приєднані до користувачів і груп користувачів: Employee, SponsorAllAccount,
SponsorGroupAccounts, SponsorOwnAccounts (спонсорські облікові записи для
управління гостьовим порталом), Guest, ActivatedGuest.
User Role – це набір дозволів, які визначають, які завдання користувач може
виконувати та до яких служб він має доступ. Часто роль користувача пов'язана з
групою користувачів.
Cisco ISE має можливість створювати локальних користувачів і
використовувати їх у політиці доступу або навіть надавати роль адміністрування.
Це робиться за маршрутом Administration → Identity Management → Identities →
Users → Add. Далі необхідно встановити пароль та інші параметри (рисунок 3.3).
Рисунок 3.3 – Створення локального користувача в Cisco ISE
Загалом LDAP – це поширений протокол прикладного рівня, який дозволяє
отримувати інформацію, проводити процедуру аутентифікації, шукати облікові
записи в директоріях LDAP серверів, працює на порту 389 або 636 (SS). Яскравими
47
прикладами серверів LDAP є Active Directory, Sun Directory, Novell eDirectory та
OpenLDAP. Кожен запис у каталозі LDAP визначається DN (Distinct Name) і
виникає завдання пошуку облікових записів, груп користувачів та атрибутів для
формування політики доступу.
У Cisco ISE є можливість налаштувати доступ до багатьох серверів LDAP,
тим самим реалізувавши резервування. У випадку, якщо основний сервер LDAP
недоступний, ISE спробує отримати доступ до вторинного і так далі.
ISE підтримує 2 типи пошуку при роботі з серверами LDAP: пошук
користувача та пошук MAC-адреси. Пошук користувачів дозволяє здійснювати
пошук користувача в базі даних LDAP і отримувати без аутентифікації наступну
інформацію: користувачі та їх атрибути, групи користувачів. Пошук MAC-адрес
також дозволяє здійснювати пошук за MAC-адресою в каталогах LDAP без
аутентифікації та отримувати інформацію про пристрій, групу пристроїв за MAC-
адресами та іншими специфічними атрибутами.
Для інтеграції домену Active Directory до Cisco ISE як LDAP-серверу
необхідно:
1) Відкрити вкладку Administration→ Identity Management → External Identity
Sources → LDAP → Add (рисунок 3.4).
Рисунок 3.4 – Додавання сервера LDAP
48
2) У панелі General налаштувати ім'я сервера LDAP і схему домену (в даному
випадку Active Directory на рисунку 3.5).
Рисунок 3.5 – Додавання сервера LDAP зі схемою Active Directory
3) Далі перейти у вкладку Connection і вказати Hostname/IP адресу сервера
AD, порт (389 - LDAP, 636 - SSL LDAP), облікові дані адміністратора домену
(Admin DN - full DN), інші параметри можна залишити за замовчуванням.
Рисунок 3.6 – Введення даних сервера LDAP
4) У вкладці Directory Organization потрібно вказати область каталогів через
DN, з якої потрібно видобути користувачів і групи користувачів.
49
5) Перейти до вікна Groups → Add → Select Groups From Directory, щоб
вибрати групи з сервера LDAP.
6) У вкладці Attributes можна вказати, які атрибути з сервера LDAP слід
підтягувати, а у вікні Advanced Settings увімкнути опцію Enable Password Change,
яка змусить користувачів змінити пароль, якщо він закінчився або був скинутий
8) Сервер LDAP з'явився у відповідній вкладці і може використовуватися для
створення політик доступу в майбутньому (рисунок 3.7).
Рисунок 3.7 Список доданих серверів LDAP
Проте самі контейнери користувачів та груп не означають повну інтеграцію,
зокрема автентифікацію, авторизацію та аудит. Для цього необхідно виконати
наступне:
1) Для інтеграції автентифікації потрібно перейти на вкладку Administration
→ Identity Management → External Identity Sources → Active Directory → Add
(рисунок )
Для успішної інтеграції з доменом AD ISE повинен знаходитися в домені і
мати повне підключення до серверів DNS, NTP і AD, інакше інтеграція не
працюватиме.
У вікні, що з'явилося, потрібно ввести дані адміністратора домену та
поставити галочку в полі Store Credentials.
50
Рисунок 3.8 – Додавання сервера Active Directory
2) Перед додаванням контролерів домену потрібно переконатися, що на PSN
увімкнена опція «Служба пасивної ідентифікації» у вкладці Administration →
System → Deployment.
3) Потім перейти на вкладку Administration→ Identity Management → External
Identity Sources → Active Directory → PassiveID та обрати опцію Add DCs.
4) Далі обрати додані контролери домену та натисніть кнопку Edit і ввести
повне кваліфікове доменне ім’я DC, логін і пароль домену, а також опцію зв'язку
WMI або Agent, обрати WMI та натиснути OK.
5) Якщо WMI не є пріоритетним способом зв'язку з Active Directory, то можна
використовувати агентів ISE. Агентний метод полягає в тому, що можна
встановити на сервери спеціальні агенти, які повертатимуть події входу. Є 2
варіанти установки: автоматичний і ручний. Щоб встановити агент автоматично,
у тій же вкладці PassiveID можна виконати Add Agent → Deploy New Agent (DC
повинен мати доступ до Інтернету).
6) У вкладці Work Centers → PassiveID → Overview → Dashboard можна
побачити кількість активних сесій, кількість джерел даних, агентів тощо
(рисунок 3.9), що відповідно буде визначенням успішної інтеграції систем.
51
Рисунок 3.9 – Моніторинг активності користувачів домену
Таким чином інтегровано потужні систему керування мережним доступом
від корпорації Cisco в доменне середовище від Microsoft Active Directory.
3.3 Створення безпекових профілів пристроїв
Профілювання – це функція, яка дозволяє визначати моделі кінцевих
пристроїв, їхню операційну систему, виробника, місцезнаходження, а також
застосовувати відповідний профіль до пристрою. Це не тільки зручна функція з
точки зору адміністрування мережі з безлічі пристроїв, які є частиною домену, але
і база для створення концепції так званої прозорої мережі, що додає потужності її
кіберзахисту.
Профілювання забезпечує:
- можливість моніторингу кінцевих пристроїв;
- визначення шаблонів трафіку, знаходження вузьких місць та оптимізації;
- виявлення незвичайної поведінки трафіку, які можуть вказувати на атаки
або збої;
- підвищену видимість пристроїв BYOD (Bring Your Own Device), керування
їх безпекою;
- спрощення створення політик мережевого доступу на основі профілів
пристроїв та користувачів.
52
У Cisco ISE передбачено велику кількість стандартних профілів, які можна
використовувати одразу після налаштування. Використовуючи політики
профілювання (Profiling Policies), можна групувати пристрої за фізичними
характеристиками (наприклад, виробник чи MAC-адреса) або за логічними
ознаками (наприклад, принтери чи IP-телефони). Ці профілі можна інтегрувати у
політику автентифікації для забезпечення гнучкого й безпечного доступу.
Як джерела даних на кінцевих пристроях можуть бути використані такі типи
зондування:
 Протокол RADIUS;
 Пастка SNMP;
 Запит SNMP;
 DHCP (копія трафіку відправляється в ISE для збору DHCP-пакетів);
 HTTP (розбір HTTP-заголовка);
 DNS;
 Netflow (мережева телеметрія);
 Сканування NMAP (сканування підмереж);
 Active Directory (інтеграція з AD);
 Сітка PxGrid.
Для застосування профілювання пристроїв з використанням протоколу
RADIUS необхідно врахувати, що Cisco ISE збирає атрибути RADIUS з
повідомлень EAP між сервером RADIUS і клієнтами. Крім того, цей зонд може
збирати атрибути, прослуховуючи трафік протоколів CDP, LLDP і навіть DHCP.
Ось деякі атрибути RADIUS, які використовуються для профілювання:
 User-Name - ім'я автентифікованого користувача;
 Calling-Station-Id - MAC-адреса вузла;
 NAS-IP-Address - IP-адреса пристрою, що надсилає запит на аутентифікацію;
 NAS-Port - назва фізичного інтерфейсу;
 Framed-IP-Address - IP-адреса вузла;
 Acct-session-ID - унікальний ідентифікатор аудиту;
53
 Acct-Session-Time - Час активності в секундах;
 Acct-terminate-cause - причина припинення з'єднання.
Таким чином отримується багато цінної інформації від RADIUS, яка може
бути дуже корисною для усунення несправностей, діагностики та безпеки.
Зонд-пастка SNMP. У цьому випадку необхідно налаштувати пастки SNMP
на мережевих пристроях, це дозволить отримати інформацію про підключені і
відключені вузли. В загальному випадку включати таке зондування не обов'язково,
так як через RADIUS можна приймати всі передані дані і навіть більше. Але якщо
потрібно контролювати безпеку мережних комутаторів в реальному часі, то цей
спосіб суттєво підсилить кібербезпеку мережі.
Зонд-запит SNMP. Цей зонд надсилає SNMP-запити пристроям доступу до
мережі для отримання даних із бази даних керування SNMP (MIB). За допомогою
таких запитів ISE отримує інформацію про фізичний інтерфейс, CDP, LLDP та
ARP. Спочатку потрібно налаштувати SNMP Community на пристроях, які потрібно
опитати. Існує 2 основних типи запитів: системні запити та запити інтерфейсу.
Системні запити включають:
 Bridge, IP (ARP) - запит на заповнення таблиці IP-MAC-адреси (ARP cache).
 CdpCacheEntry - інформація, отримана через CDP.
 LldpRemoteSystemsData - інформація, отримана LLDP.
 CldcClientEntry - інформація про клієнтів, отримана з точок доступу (MAC-
адреси).
Запити до інтерфейсу містять:
 ifIndex, ifDesc та інші дані інтерфейсу;
 інформація про VLAN;
 дані сеансу для інтерфейсів Ethernet;
 дані інтерфейсу з CDP;
 дані інтерфейсу з LLDP;
54
Зонд DHCP. У цьому випадку ми надсилаємо копію запитів DHCP до ISE за
допомогою DHCP-relay або SPAN/RSPAN. Як приклад, DHCP Probe надає
наступну інформацію:
 dhcp-class-identifier - платформа або операційна система
 dhcp-client-identifier - MAC-адреса
 dhcp-message-type - тип повідомлення DHCP (Request, Discover тощо);
 dhcp-parameter-request-list - ідентифікатор типу пристрою (DHCP-клієнт)
 dhcp-requested-address - IP-адреса DHCP-клієнта
 host-name - ім'я вузла
 domain-name - доменне ім'я
 client-fqdn - Клієнтський DHCP FQDN
Зондування HTTP. Воно аналізує заголовки веб-трафіку клієнтів і може
надати дані про тип програми, операційну систему, виробника пристрою тощо. Ця
інформація передається в заголовку HTTP-Request в поле User-Agent.
Існує 2 способи відправки HTTP-трафіку в ISE: перенаправлення URL або
SPAN. Обидва способи налаштовуються на стороні комутатора. Для
перенаправлення URL на комутаторах доступу Cisco використовуються команди
ip http server і ip https secure-server.
Звичайно, якщо обрано відправку SPAN, то не тільки зонд HTTP буде
отримувати інформацію з копії трафіку, але і зонд DHCP.
Дуже важливо, що для роботи зонду HTTP у потрібно щоб було налаштоване
відображення IP-MAC на ISE, наприклад, через RADIUS, SNMP або DHCP Probe.
Зонд DNS. Тут ISE використовує зворотний пошук DNS з вузла PSN (вузол
служби політик), щоб отримати FQDN кінцевого вузла, знаючи його IP-адресу.
При увімкнені опції ISE потрібно ввести команду ip name-server на комутаторах
рівня доступу Cisco.
Зонд Netflow. Щоб він працював, потрібно відправляти трафік Netflow
(телеметрію) в ISE. На практиці цей метод особливо не використовується, так як у
Cisco є окреме робоче рішення для моніторингу мережевого трафіку не тільки
55
продуктивності мережі і мережевих пристроїв, але і для виявлення аномалій,
просунутих цілеспрямованих атак (АРТ), файлів нульового дня і багато іншого.
Однак зонд Netflow дозволяє отримати наступну інформацію ISE:
 IP-адреса джерела;
 IP-адреса призначення;
 Номер порту джерела;
 Номер порту призначення;
 Протокол;
 ToS (тип послуги);
 Фізичні інтерфейси та їх індекси.
Зонд сканування NMAP. Цей зручний і потужний інструмент – сканер nmap.
Він вбудований в ISE з графічною оболонкою (рисунок 3.10), а у вкладці Work
Centers → Profiler → Manual Scans можна просканувати підмережу, щоб
класифікувати кінцеві вузли і дізнатися їх операційну систему, версію ОС і
запущені служби. Це дуже корисний інструмент моніторингу.
Рисунок 3.10 – Зонд сканування NMAP
Існує можливість також налаштувати політику профілювання для
автоматичного запуску сканування за розкладом. Додатково параметри
56
сканування, а також їх результати можна зберегти для зручності і подальшої
роботи.
Зонд Active Directory. Ці додаткові параметри можна отримати від сервера
AD. У цьому випадку ISE підтягне атрибути AD, такі як:
 AD-Join-Point - контролер домену надає інформацію про вузол;
 AD-Operating-System - операційна система вузла;
 AD-OS-Version - версія ОС вузла;
 AD-Service-Pack - пакет оновлень ОС.
Зонд PxGrid. У разі використання PxGrid Node в Cisco ISE, є можливість
налаштувати його і для профілювання. PxGrid – це протокол для інтеграції різних
рішень IT- та інформаційної безпеки, тобто мережеві пристрої повинні
підтримувати його, щоб доставляти різні дані. PxGrid Probe зможе отримати багато
атрибутів кінцевих точок, таких як: IP, MAC-адреси, ID, тип, серійний номер,
виробник пристрою, підключені мережеві інтерфейси та деякі інші користувацькі
атрибути.
Кроки з налаштування потрібно зробити такі:
1) Перш за все, у вкладці Administration > System > Deployment > Profiling
Configuration слід вибрати, які зонди будуть використовуватися на ISE для
профілювання.
2) Потім перейти у вкладку Work Centers > Profiler > Network Devices і додати
мережеві пристрої рівня доступу (комутатори, WLC, маршрутизатори), які будуть
давати дані для профілювання (рисунок 3.11).
3) Для роботи RADIUS Probe і SNMP Probe потрібно щоб бути включені ці
протоколи як в об'єкті Network Device, так і на стороні пристрою.
4) Щоб використовувати зонди AD, обов’язково необхідна інтеграції Cisco
ISE відповідно з AD, що було зроблено в попередньому пункті.
57
Рисунок 3.11 – Налаштування зондів
5) Далі потрібно перейти у вкладку Work Centers > Profiler > Settings >
Profiler Settings та увімкнути опції профілювання.
6) У вкладці Logical Profiles можна створювати окремі логічні профілі
пристроїв, додавати нові профілі та пристрої до цих профілів (рисунок 3.12).
58
Рисунок 3.12 – Опції профілювання
7) Додатково у вкладці Profiling Policies існує можливість редагувати профіль
кожного пристрою, створювати винятки для сканування пристроїв, реакції CoA
(Change of Authorization) (відмова від порту, відключення порту тощо). Наприклад,
при виявленні пристрою можна автоматично почати сканування або відімкнути
порт на комутаторі. Це показано на рисунку 3.13.
Рисунок 3.13 – Перелік шаблонів для профілювання політики
59
8) Налаштування політики авторизації у вкладці Profiler > Policy Sets >
Default Policy > Authorization Policy повинні чітко збігатися з методами
аутентифікації певного пристрою. Якщо впровадження рішення знаходить на
початковому етапі, то є можливість встановити Default - Allow Access, після чого
виконати більш точне налаштування за аналогією з політикою за замовчуванням.
9) З боку пристроїв доступу до мережі (комутатори, маршрутизатори,
контролери точок доступу) слід налаштувати Device Sensor. Це сімейство
протоколів в термінології Cisco – CDP, LLDP, DHCP, RADIUS + 802.1X, які дають
дані профілювання.
Для роботи пасток SNMP та запитів зондування SNMP на пристроях рівня
доступу потрібно налаштувати роботу цього протоколу.
10) Якщо все виконано згідно рекомендацій, сервіс ідентифікації у вкладці
Profiler > Endpoint Classification покаже пристроїв в мережі з їх класифікацією, що
можна побачити на рисунку 3.14.
Рисунок 3.14 – Пристрої в мережі з їх класифікацією
60
Це комплексна зведена інформація про пристрій. Натиснувши на MAC-
адресу, отримуються комплексні дані в розгорнутому вигляді:
 MAC-адреса та OUI.
 Виробник обладнання.
 Версія операційної системи.
 Браузер і його версія на пристрої.
 Ім’я вузла типу FQDN.
 Ім'я вузла.
 Джерело, порти призначення.
 Протокол.
 Атрибути AD.
 Атрибути RADIUS.
 Дані CDP/LLDP.
Таким чином, система Cisco ISE є потужним інструментом для моніторингу
мережі на рівні доступу. Профілі пристроїв можна використовувати для створення
політик доступу, налаштування реакцій CoA та сканування ISE.
3.4 Інтеграція керування мережними пристроями
Видимість мережних пристроїв Ciсso в мережі може без будь-яких
додаткових налаштувань розглянуте вище середовище Ciсso ISE. Але для
авторизації на пристроях та використання для керування доменних облікових
записів необхідно виконати певні налаштування.
Вимоги до початкових параметрів пристроїв:
1. Комутатор (маршрутизатор) Cisco повинен мати що встановлену на ньому
відповідну версію Cisco IOS.
2. Сервер Microsoft Active Directory повинен бути запущений і працювати.
3. Під’єднання до мережі –комутатор і сервер AD можуть взаємодіяти через
мережу.
61
4. Адміністративний доступ необхідний як для комутатора, так і для сервера
AD.
Покрокові рекомендації для налаштування на комутаторі Cisco з
використанням команд IOS, лістинг яких показано в додатку А.
Потрібно увімкнути службу AAA на комутаторі Cisco. Це система
інтелектуального контролю доступу до комп'ютерних ресурсів. Далі додати сервер
AD як RADIUS-сервер на комутаторі. Для цього портібно мати IP-адреса сервера
AD і спільний секретний ключ для безпечного зв'язку. Створити групу серверів
RADIUS і додати до неї сервер AD. Налаштувати комутатор на використання
сервера RADIUS для автентифікації та авторизації користувачів. Застосувати
методи автентифікації AAA на консольному з’єднані та лініях VTY, щоб
контролювати доступ через ці лінії.
Потім на сервері AD необхідно налаштувати роль NPS. Це роль у Windows
Server, яка виконує роль RADIUS-сервера. Якщо вона ще не встановлена,
необхідно виконати такі кроки: відкрити Менеджер сервера та додати роль Network
Policy and Access Services.
Для налаштування сервера RADIUS необхідно в його створити в
Інструментах адміністрування. Ввести необхідне ім'я клієнта і IP-адресу
комутатора Cisco та ввести спільний секретний ключ (той самий, що
використовується в конфігурації комутатора).
Для налаштування мережевої політики у консолі NPS розгорнути Політики і
вибрати Мережеві політики, натиснути створити політику та назвати політику і
визначити умови, наприклад, приналежність до групи користувачів. Потім
налаштувати методи автентифікації, переконавшись, що MS-CHAP v2 увімкнено.
Визначити дозволи доступу, що відповідають корпоративному середовищу.
62
3.5 Висновки до розділу 3
В цьому розділі практично реалізовано інтеграцію та налаштування Cisco
ISE для роботи в домені AD зі збереженням захищеності мережі, контролю
облікових записів користувачів, адміністрування кінцевих пристроїв, організації
моніторингу і видимості мережі.
63
ВИСНОВКИ
Зазвичай при розгортанні інформаційних систем забезпечення бізнес-
процесів досить рідко враховується їх сумісність при початковому плануванні, а
проблеми обміну даними між системами виявляються вже на працюючому
підприємстві. Якраз саме для вирішення таких питань і застосовуються методи
системної інтеграції, які покликані за мінімальних затрат забезпечити сумісність
систем, форматів даних, облікових записів користувачів та не втратити при цьому
безпекові функції, які так важливі в даний час.
В процесі дослідження було досягнуто мету кваліфікаційної роботи за
рахунок виконання задач з аналізу загальних методів системної інтеграції та її
основних проблем, побудови карти інтеграції безпекових функцій в доменну
структуру, впровадження інтеграції безпекових функцій мережних пристроїв в
доменну мережу.
Досить часто в корпоративних ІТ-середовищах використовуються різні
мережні та безпекові пристрої світових виробників, в тому числі і Cisco.
Причому остання пропонує дуже зручний інструмент видимості та
централізованого адміністрування Cisco ISE. Проте для керування
користувачами та ресурсами у великих корпоративних мережах в більшості
випадків використовується доменна структура, що дозволяє використати
наприклад домен типу Active Directory. І щоб ці системи працювали на повну
потужність своїх функцій і можливостей, необхідно мати максимальну їх
злагоджену взаємодію. Саме в даній роботі запропоновано методи інтеграції та
розглянуто практичне налаштування: включення Cisco ISE до домену зі
збереженням захищеності мережі, контролю облікових записів користувачів,
адміністрування кінцевих пристроїв, організації моніторингу і видимості мережі.
Аналізуючи отримані результати, можна говорити про узгодженість
роботи двох систем, і як практичне застосування даного дослідження вбачається
створення інтегрованої системи на реальному підприємстві.
64
ПЕРЕЛІК СКОРОЧЕНЬ ТА УМОВНИХ ПОЗНАЧЕНЬ
O&M – організація і методи.
AD – Active Directory.
LDAP – полегшений протокол доступу до каталогів.
SSO – рішення єдиного входу.
URL – уніфікований локатор ресурсу.
GPO – об’єкти групової політики.
SIEM – система управління безпекою та подіями.
Cisco ISE – система ідентифікації Cisco.
ААА – аутентифікація, авторизація, аудит.
NAC – контроль мережевого доступу.
BYOD – використання свої пристроїв на робочому місці.
NGFW – міжмережний екран наступного покоління.
WMI – інструментарій керування Windows.
65
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
1. Rvsmedia. Most Common Integration Issues and Why System Integration
Failures Happen? URL: https://www.rvsmedia.co.uk/blog/8-most-common-integration-
issues-and-why-system-integration-failures-happen/ (дата звернення: 08.10.2024)
2. Cisco pxGrid: Automate Multi-Platform Communications through a Unified
Architecture URL: http://www.cisco.com/go/pxgrid (дата звернення: 08.10.2024).
3. Комп'ютерні мережі: навч. посіб. / І. Р. Арсенюк, А. А. Яровий; Вінниц.
нац. техн. ун-т. Вінниця: ВНТУ, Ч. 1-3. 2017. 84 с.
4. Anthony Bruno, Steve Jordan. CCNP Enterprise Design ENSLD 300-420
Official Cert Guide: Designing Cisco Enterprise Networks. Hoboken: Cisco Press, 2021.
574 p.
5. Буров Є.В. Комп’ютерні мережі. Підручник. Том 2. / Є.В. Буров, М.М.
Митник. Львів: «Магнолія 2006», 2021. 204 с.
6. Comprehensive Guide: Connecting a Cisco Switch to Microsoft Active
Directory Server. URL: https://hamradio.my/2024/06/comprehensive-guide-connecting-
a-cisco-switch-to-microsoft-active-directory-server/ (дата звернення: 12.10.2024).
7. Cisco. Active Directory Issue Resolution Guide. URL:
https://documentation.meraki.com/General_Administration/Tools_and_Troubleshooting
/Active_Directory_Issue_Resolution_Guide (дата звернення: 18.10.2024).
8. Основи побудови локальних комп’ютерних мереж Ethernet на базі
керованих комутаторів компанії Cisco: навчальний посібник. / А.А. Єфіменко.
Житомир: Державний університет «Житомирська політехніка», 2021. 116 с.
9. Cisco. Configuration Examples and TechNotes. Configure Active Directory
Integration with Firepower Appliance. URL:
https://www.cisco.com/c/en/us/support/docs/security/asa-firepower-services/200329-
Configure-Active-Directory-Integration-w.html (дата звернення: 20.10.2024).
10. Тарнавський Ю. А., Кузьменко І. М. Організація комп’ютерних мереж /
Ю. А. Тарнавський, І. М. Кузьменко. Київ: КПІ ім. Ігоря Сікорського, 2018. 259 с.
66
11. Організація комп’ютерних мереж. Підручник: для студ. спеціальності 121
«Інженерія програмного забезпечення» та 122 «Комп’ютерні науки» / КПІ ім. Ігоря
Сікорського; Ю. А. Тарнавський, І. М. Кузьменко. Київ: КПІ ім. Ігоря Сікорського,
2018. 259 с.
12. Cisco. Configuration Examples and TechNotes. Integrate AD for ISE GUI and
CLI Log in. URL: https://www.cisco.com/c/en/us/support/docs/security/identity-
services-engine/217351-ad-integration-for-cisco-ise-gui-and-cli.html (дата звернення:
31.10.2024).
13. Odom Wendell. CCNA 200-301 Official Cert Guide. Volume 1. Hoboken:
Cisco Press, 2020. 1095 p.
14. Cisco Secure Access Help. URL: https://docs.sse.cisco.com/sse-user-
guide/docs/manage-active-directory-integration (дата звернення: 05.11.2024).
15. Комп’ютерні мережі. Частина 1-2: навч. посіб. для студ. спеціальності
121 «Інженерія програмного забезпечення» та 126 «Інформаційні системи та
технології»/ Б. Ю. Жураковський, І.О. Зенів. Київ: КПІ ім. Ігоря Сікорського, 2020.
336 с.
16. Комп’ютерні мережі [навчальний посібник] / А.І. Блозва, Ю.В. Матус,
В.В. Смолій, Б.С. Гусєв, Д.Ю. Касаткін, Т.Ю. Осипова, Я.А. Савицька // K.:
Компрінт, 2017. 821с.
17. Understand Identity Service Engine (ISE) and Active Directory (AD). URL:
https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/215233-
identity-service-engine-ise-and-active.html (дата звернення: 10.11.2024).
18. C. Carthern. Engineers' Handbook of Routing, Switching, and Security with
IOS, NX-OS, and ASA (1st edition). New York: Apress, 2015. 856 p.
19. Технології захисту локальних мереж на основі обладнання CISCO: навч.
посіб. / Т.І. Коробейнікова, С.М. Захарченко; Нац. ун-т "Львів. політехніка". Львів:
Вид-во Львів. політехніки, 2021. 231 с.
20. Jerome Henry, Robert Barton, David Hucaby. CCNP Enterprise Wireless
Design ENWLSD 300-425 and Implementation ENWLSI 300-430 Official Cert Guide:
67
Designing & Implementing Cisco Enterprise Wireless Networks. Hoboken: Cisco Press,
2020. 942 p.
21. Cisco Multidomain Integrations for Intent-Based Networking At-a-Glance.
URL: https://www.cisco.com/c/en/us/solutions/collateral/data-center-
virtualization/application-centric-infrastructure/at-a-glance-c45-741877.html. (дата
звернення: 30.11.2024).
22. ДСТУ 3008-2015. Державний стандарт України. Документація. Звіти у
сфері науки і техніки. Структура і правила оформлення. К: УкрНДНЦ, 2016. 26 с.
68
ДОДАТОК А
Комутатор Cisco 3560
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
aaa new-model
hostname Switch
!
enable secret 5 $1$mERr$Oun1Rz2RsPLTWShmdbhIN0
!
no ip cef
no ipv6 cef
!
radius server AD_RADIUS
address ipv4 192.168.100.10 auth-port 1812 acct-port 1813
key C!$c0radius
aaa group server radius AD_GROUP
server name AD_RADIUS
aaa authentication login default group AD_GROUP local
aaa authorization exec default group AD_GROUP if-authenticated
!
spanning-tree mode pvst
!
interface GigabitEthernet1/0/1
!
interface GigabitEthernet1/0/2
!
interface GigabitEthernet1/0/3
!
interface GigabitEthernet1/0/4
!
interface GigabitEthernet1/0/5
!
interface GigabitEthernet1/0/6
!
interface GigabitEthernet1/0/7
!
interface GigabitEthernet1/0/8
!
interface GigabitEthernet1/0/9
!
interface GigabitEthernet1/0/10
!
interface GigabitEthernet1/0/11
!
interface GigabitEthernet1/0/12
!
interface GigabitEthernet1/0/13
69
!
interface GigabitEthernet1/0/14
!
interface GigabitEthernet1/0/15
!
interface GigabitEthernet1/0/16
!
interface GigabitEthernet1/0/17
!
interface GigabitEthernet1/0/18
!
interface GigabitEthernet1/0/19
!
interface GigabitEthernet1/0/20
!
interface GigabitEthernet1/0/21
!
interface GigabitEthernet1/0/22
!
interface GigabitEthernet1/0/23
!
interface GigabitEthernet1/0/24
!
interface GigabitEthernet1/1/1
interface GigabitEthernet1/1/2
interface GigabitEthernet1/1/3
interface GigabitEthernet1/1/4
!
interface Vlan1
ip address 192.168.100.2 255.255.255.0
shutdown
!
ip default-gateway 192.168.100.1
ip classless
!
line con 0
password 7 080243400A1016141D
login authentication default
line aux 0
line vty 0 4
password 7 080243400A1016141D
login authentication default
line vty 5 15
password 7 080243400A1016141D
login authentication default
end

ChSTU repository

ChSTU repository preserves and enables easy and open access to all types of digital content including text, images, moving images, mpegs and data sets