ISE101 เข้าใจครบทุกพื้นฐานของ ISE EP1

ถ้าหากจะย้อนกลับไปดูโปรเจ็คช่วงปี 2022 ที่ผ่านมา การไปติดตั้งอุปกรณ์เครือข่ายให้กับลูกค้า ต้องบอกได้เลยว่าโปรเจ็คที่เกี่ยวข้องกับความปลอดภัยโดยเฉพาะการพิสูจน์สิทธิ์เพื่อให้เข้าถึงระบบเครือข่ายคอมพิวเตอร์ ซึ่งทางบริษัทเองได้รับความไว้วางใจไม่ว่าจะเป็นจากทางพาร์ตเนอร์ หรือทางเวนเดอร์เองก็ตามที่ได้ให้เราไปทำงานร่วมกัน เป็นโปรเจ็คที่มีปริมาณมากที่สุด และกินเวลายาวนานมากที่สุดในการติดตั้ง เมื่อเปรียบเทียบกับเทคโนโลยีอื่น ๆ หรือเฉพาะเจาะจงลงไปเลยก็คือ Cisco ISE นั่นเองครับ ต้องขอบคุณสำหรับสิทธิพิเศษที่ทางซิสโก้ที่แนะนำให้เราไปมีส่วนช่วยงานต่าง ๆ ด้วยไม่ว่าจะเป็นงานในประเทศ หรือต่างประเทศก็ตาม รวม ๆ แล้วช่วยส่งผลให้เรามี Site Reference ในหลักสิบ และอุปกรณ์ไคลเอนท์รวม ๆ กันมีจำนวนเป็นหลักหมื่น ซึ่งทำให้เราอยากอธิบายให้ทางผู้อ่านได้เข้าใจถึงการทำงานของ Cisco ISE มากยิ่งขึ้นไปด้วยครับ

บทความฉบับนี้เลยอยากกลับมาเล่าในเรื่องของ ISE ในฉบับพื้นฐานกันก่อนครับ

หลายคนคงเคยได้ยิน ISE มาแล้วบ้าง แต่ก็ยังไม่รู้ว่ามันคืออะไร แล้วมันมีประโยชน์อะไรบ้างใช่ไหมครับ แก่นแท้ของ Cisco Identity Services Engine (ISE) คือโซลูชันการควบคุมการเข้าถึงเครือข่ายคอมพิวเตอร์ ที่ใช้การตัดสินใจตามนโยบาย (Policy) เพื่อพิจารณาว่าอุปกรณ์ได้รับอนุญาตให้เข้าถึงเครือข่ายหรือไม่ และหากได้รับอนุญาต อุปกรณ์นี้จะได้รับในระดับใดนั่นเอง ผมเปรียบเทียบให้เห็นภาพง่าย ๆ เช่นเมื่อเราซื้อตั๋วฟุตบอล เราได้โซนที่นั่งชมของเราในสนามเป็นหลังประตูฝั่งทีมเหย้า ทางเจ้าหน้าที่จะตรวจสอบตั๋วของเราก่อน หากเรามีตั๋วก็สามารถเข้าไปในสนามได้ แต่เราเข้าไปได้เฉพาะโซนที่นั่งหลังประตูทีมเหย้าเท่านั้น ไม่สามารถไปโซน VIP ไปโซนที่นั่งด้านยาวข้างสนามได้ หรือจะข้ามไปนั่งฝั่งตั๋วทีมเยือนก็ไม่ได้เช่นกัน พอจะนึกภาพตามผมทันอยู่นะครับ 🙂

เราไปต่อกันเลยนะครับ โดยที่ Cisco ISE เป็นแอปพลิเคชั่นความปลอดภัยที่มาพร้อมด้วยคุณสมบัติที่ควบคุมการเข้าถึงเครือข่ายสำหรับอุปกรณ์ทั้งแบบมีสายและไร้สายโดยใช้โปรโตคอล 802.1x และ EAPoL (EAP over LAN) เป็นหลัก

ISE ยังรองรับทำงาน Authentication, Authorization และ Accounting (AAA) ผ่านโปรโตคอล RADIUS และการจัดการอุปกรณ์ต่าง ๆ สามารถควบคุมผ่าน ISE ได้โดยการใช้ TACACS+ อยากให้นึกภาพแบบนี้ครับ หากเป็นอุปกรณ์ไคลเอนท์ปลายทางเช่น Laptop, Smartphone, Computer ผ่านโปรโตคอลพวก RADIUS, LDAP ไปได้ แต่หากเป็นอุปกรณ์เครือข่ายเช่น Switch, Router, Firewall จะใช้งานผ่านโปรโตคอล TACACS+ นั่นเองครับ (อ่านออกเสียงว่า แท็กแอ็คส์ นะครับ)

ISE ตรวจสอบผู้ใช้และอุปกรณ์อย่างไร

1. 802.1X
อย่างแรกเลยคือ 802.1X ต้องบอกว่าเกือบทุกที่ทำท่านี้กันหมดแล้วครับ ไม่ได้บอกว่า 100% แต่ก็ใกล้เคียงครับ ซึ่งส่วนตัวผมก็แนะนำครับ

โปรโตคอล 802.1X เป็นที่รู้จักกันทั่วไปว่า Dot1x ซึ่งใช้ EAP (Extensible Authentication Protocol) และโปรโตคอล RADIUS ร่วมกันเพื่อให้การรับรองความถูกต้องสำหรับอุปกรณ์ที่ระดับการเข้าถึงของเครือข่าย

ระดับการเข้าถึงเครือข่ายนี้มักจะเป็นอินเทอร์เฟซ หรือพอร์ตของสวิตช์ในเครือข่ายแบบสาย และการเชื่อมต่อไร้สายที่อุปกรณ์ Access Point โดยผ่านทางการบริหากจัดการจาก WLAN Controller

กระบวนการ Dot1x ประกอบด้วยสามองค์ประกอบ ได้แก่ Supplicant, Authenticator และ Authentication server

  • Supplicant เป็นซอฟต์แวร์ชิ้นหนึ่งที่ช่วยให้อุปกรณ์สามารถสื่อสารโดยใช้โปรโตคอล EAP
  • Authenticator เป็นอุปกรณ์โครงสร้างพื้นฐานเครือข่าย เช่น Cisco Switch หรือตัวควบคุม Cisco Wireless LAN ซึ่งทำหน้าที่เป็นคนกลางระหว่าง Supplicant และ Authentication Server
  • Authentication Server คือ AAA Server (ทำงานร่วมกับโปรโตคอล RADIUS) ซึ่งเป็นส่วนหนึ่งของ ISE

Supplicant และ Authenticator สื่อสารโดยใช้โปรโตคอล EAP เช่น PEAP, EAP-TLS หรือ EAP-FAST จากนั้น Authenticator จะสื่อสารกับ Authentication Server โดยใช้ RADIUS

โดย Supplicant ไม่พูดคุยกับเซิร์ฟเวอร์การตรวจสอบสิทธิ์โดยตรง

2. MAB
MAC Authentication Bypass (MAB) สามารถใช้ในการตรวจสอบอุปกรณ์ที่ไม่สามารถใช้โปรโตคอล EAP ได้

อุปกรณ์รุ่นเก่าจำนวนมากไม่มี Supplicant ในตัวและไม่สามารถตรวจสอบสิทธิ์โดยใช้ EAP ได้ ดังนั้นจึงใช้วิธีส่ง MAC Address ของอุปกรณ์ที่เชื่อมต่อไปยัง ISE

ค่าของ MAC Address ที่ได้รับอนุญาตจะถูกเก็บไว้ใน ISE ใน Identity Stores และ MAC Address ที่ได้รับจะถูกเปรียบเทียบกับ MAC Address ที่อยู่ภายใน Identity Stores เหล่านี้

หากพบการจับคู่ อุปกรณ์จะได้รับการตรวจสอบสิทธิ์ หากไม่ใช่ การตรวจสอบจะล้มเหลว และทำให้อุปกรณ์เหล่านั้นไม่สามารถเข้ามายังระบบเครือข่ายได้

เนื่องจาก MAC Address สามารถปลอมแปลงได้ MAB จึงไม่ปลอดภัยเท่ากับ EAP ซึ่งใช้ใบรับรองโครงสร้างพื้นฐานคีย์สาธารณะ (PKI) เพื่อพิสูจน์เอกลักษณ์ของอุปกรณ์

3. Microsoft Active Directory
Cisco ISE มักใช้ร่วมกับ Microsoft Active Directory เพื่อยืนยันตัวตนของผู้ใช้

สำหรับผู้ใช้จำนวนน้อย เราสามารถสร้างรายการแต่ละรายการได้ด้วยตนเองภายใน Internal User Identity Store ของ ISE และสามารถใช้เพื่อตรวจสอบข้อมูลประจำตัวของผู้ใช้ที่เข้าสู่ระบบเครือข่ายได้

สำหรับองค์กรขนาดใหญ่ที่มีผู้ใช้จำนวนมาก การดำเนินการนี้ไม่สามารถทำได้ ดังนั้นจึงใช้ Lightweight Directory Access Protocol (LDAP) เพื่ออนุญาตให้ ISE สื่อสารกับโครงสร้างพื้นฐาน Active Directory ที่มีอยู่ และตรวจสอบข้อมูลรับรองผู้ใช้ที่จัดเก็บไว้ในระบบนี้

สำหรับบางองค์กร โครงสร้างพื้นฐาน Active Directory ของพวกเขาได้รับการโยกย้ายไปยัง Microsoft Azure Cloud ซึ่งโครงสร้างพื้นฐาน AD นี้ได้รองรับใน ISE เวอร์ชัน 3.0 ขึ้นไปเท่านั้นนะครับ

4. Web Authentication for Guests
สำหรับอุปกรณ์ของผู้มาเยี่ยม เรียกว่าขาจรก็ได้ครับ มักจะเป็นไปไม่ได้ที่จะเพิ่มอุปกรณ์หรือผู้ใช้เหล่านี้ด้วยตนเองใน Identity Store หรือเพิ่มรายการภายใน Active Directory

ในการตรวจสอบผู้มาเยี่ยม ผู้ใช้เหล่านี้จะถูกเปลี่ยนเส้นทางไปยังหน้าเว็บ Login แบบ Captive Portal ซึ่งสามารถระบุข้อมูลรับรองผู้ใช้หรือรหัสผ่านเพื่อให้เข้าถึงเครือข่ายได้

การตรวจสอบความถูกต้องของเว็บสามารถทำได้บน Cisco WLC ซึ่งเรียกว่า Local Web Authentication หรือผ่านพอร์ทัลที่โฮสต์โดย ISE ซึ่งเรียกว่า Central Web Authentication

5. EasyConnect
นี่เป็นคุณสมบัติที่เพิ่มลงใน ISE ในเวอร์ชัน 2.1 และอนุญาตให้อุปกรณ์ที่ไม่มีผู้ร้องขอให้ตรวจสอบสิทธิ์ ISE ผ่าน LDAP ไปยัง Active Directory

คุณลักษณะนี้จำกัดสวิตช์พอร์ตเพื่อให้มีการสื่อสารที่เพียงพอเพื่อให้ LDAP ทำงานได้

ISE ใช้อย่างไร?
ISE มีคุณสมบัติมากมาย คุณสมบัติและบริการใดที่ใช้โดยส่วนใหญ่ขึ้นอยู่กับประเภทของกรณีการใช้งานเครือข่ายและธุรกิจ หรือระดับ License ที่ซื้อไปด้วยครับ

เราจะมาพูดคุยกันสั้นๆ เกี่ยวกับกรณีการใช้งานยอดนิยมของ ISE กันนะครับ

1. TACACS+ และ Device Administration
ISE สามารถใช้เพื่อควบคุมการเข้าถึงผู้ดูแลระบบไปยังอุปกรณ์โครงสร้างพื้นฐานเครือข่าย เช่น เราเตอร์และสวิตช์

ด้วยการใช้ TACACS+ ประเภทของคำสั่งที่ได้รับอนุญาตให้ทำงานบนอุปกรณ์เหล่านี้สามารถตั้งค่าและจำกัดสำหรับผู้ดูแลระบบเครือข่ายที่แตกต่างกันได้ตามต้องการ เช่นให้นายสมชายสามารถ Login เข้า Switch01 ได้ และใช้คำสั่ง show run, show vlan ได้แค่ 2 คำสั่งเท่านั้น เป็นต้นครับ

2. Bring Your Own Device (BYOD)
ในยุคปัจจุบัน เป็นเรื่องปกติที่พนักงานจะนำอุปกรณ์ของตนเองไปทำงานและต่ออุปกรณ์ต่างๆ เช่น โทรศัพท์ แท็บเล็ต ฯลฯ เข้ากับเครือข่ายขององค์กร บ่อยครั้งที่อุปกรณ์เหล่านี้ใช้เพื่อเข้าถึงทรัพยากรเดียวกันกับอุปกรณ์ที่บริษัทให้ไปใช้งานครับ

Cisco ISE ช่วยให้พนักงานลงทะเบียนอุปกรณ์ของตนเองบนเครือข่ายและใช้โปรโตคอล dot1x, EAP-TLS หรือ PEAP เพื่อเข้ารหัสและป้องกันการเชื่อมต่อกับเครือข่ายในลักษณะเดียวกับอุปกรณ์ขององค์กร

ISE อนุญาตให้จำกัดจำนวนอุปกรณ์ที่พนักงานสามารถลงทะเบียนได้ และโดยการใช้พอร์ทัล mydevices ภายใน ISE และหากถูกรายงานว่าอุปกรณ์ที่นำมาใช้งานถูกขโมยไป ISE จะขึ้น Blacklist อุปกรณ์นี้และป้องกันไม่ให้มีการใช้งานบนเครือข่ายได้นั่นเองครับ

3. Mobile Device Management (MDM)
Cisco ISE สามารถทำงานร่วมกับผู้จำหน่ายซอฟต์แวร์ MDM หลายราย ซึ่งอนุญาตให้ลงทะเบียนใบรับรอง PKI และการควบคุมเพิ่มเติม เช่น การ Remote ล้างข้อมูลบนอุปกรณ์เคลื่อนที่ขององค์กร

ตัวอย่างของ MDM ที่เข้ากันได้คือ Airwatch

4. Device Posture Assessment
ISE สามารถใช้เพื่อบังคับใช้นโยบายของบริษัทสำหรับอุปกรณ์ที่เข้าร่วมเครือข่ายขององค์กร

ด้วย Apex ISE License หรือ Premium ณ ปัจจุบัน สามารถทำการประเมินความปลอดภัยของอุปกรณ์และตรวจสอบว่าอุปกรณ์ตรงตามเกณฑ์ความปลอดภัยหรือไม่ก่อนที่จะได้รับอนุญาตให้เข้าสู่เครือข่าย

ตัวอย่างเช่น สามารถตรวจสอบอุปกรณ์เพื่อให้แน่ใจว่ามีซอฟต์แวร์ระบบปฏิบัติการที่เป็นปัจจุบัน หรือติดตั้งโปรแกรมป้องกันไวรัสและอัปเดตแล้ว และตรวจดูให้แน่ใจว่าอุปกรณ์ไม่ได้มีช่องโหว่ใด ๆ เกิดขึ้น

หากอุปกรณ์ไม่ผ่านการตรวจสอบนี้ สามารถย้ายอุปกรณ์ไปใน Vlan กักกันจนกว่าจะเป็นไปตามข้อกำหนดและสามารถส่งคำแนะนำในการแก้ไขไปยังอุปกรณ์ได้ ให้เราลองเปรียบเทียบกับช่วงก่อนหน้านี้ที่มีมาตรการให้นักท่องเที่ยวกลับมาในประเทศไทย ทางหน่วยงานภาครัฐมีการบังคับให้ชาวต่างประเทศที่เข้ามายังประเทศไทย ต้องตรวจ RT-PCR ก่อน หากผลเป็น Positive ก็เข้าไปกักตัวที่โรงแรมหนึ่งก่อน จนกระทั่งหายดีก่อน จะสามารถเข้าไปยังประเทศไทยได้นั่นเองครับ ^^

5. Guest and Visitor Management
ISE สามารถเปลี่ยนเส้นทางเซสชันเว็บของ Guest ไปยัง Captive Portal ประเภทต่างๆ ซึ่งทั้งหมดได้รับการจัดการจาก ISE โดยขึ้นอยู่กับความต้องการของผู้ใช้งาน

มี Portal 3 ประเภทที่แตกต่างกันที่สามารถกำหนดค่าสำหรับ Guest

5.1 Hostspot Portal – เมื่ออุปกรณ์เชื่อมต่อกับเครือข่ายของ Guest หรือ SSID ของผู้เยี่ยมชม เบราว์เซอร์บนอุปกรณ์จะถูก redirect เส้นทางไปยังพอร์ทัลฮอตสปอตที่โฮสต์โดย ISE โดย Guest จะต้องยอมรับนโยบายการใช้งานและป้อนรหัสเพื่อเข้าถึงอินเทอร์เน็ต พอร์ทัลประเภทนี้คล้ายกับที่ใช้ในร้านกาแฟหรือสนามบิน และไม่ต้องการให้ Guest ให้ข้อมูลส่วนบุคคลใด ๆ

5.2 Sponsored Guest Portal – ข้อมูลประจำตัวเพื่อเข้าถึงผ่านพอร์ทัลประเภทนี้จะถูกสร้างขึ้นล่วงหน้าโดย Sponsor ซึ่งมักจะเป็นผู้ดูแลระบบของบริษัทหรืออาจจะเป็นเจ้าหน้าที่ที่อยู่ Lobby เมื่อ Guest ลงทะเบียนโดยสปอนเซอร์แล้ว ISE สามารถส่งข้อมูลประจำตัวไปยังอีเมลหรือ SMS ที่ Guest ให้มา พอร์ทัลประเภทนี้มักใช้เพื่ออนุญาตให้ผู้ที่เข้ามาติดต่องานเข้าถึงเครือข่ายของบริษัทได้อย่างจำกัด และจำเป็นต้องมีการอนุญาตจากบริษัทก่อนการเข้าใช้งานได้

5.3 Self-Registered Guest Portal – พอร์ทัลประเภทนี้ช่วยให้ Guest สามารถลงทะเบียนด้วยตนเองโดยใช้ที่อยู่อีเมลและข้อมูลส่วนบุคคลอื่น ๆ โดยไม่ต้องได้รับอนุญาตจาก Sponcer หรือพนักงานของบริษัท

หวังว่าทุกท่านจะเห็นภาพ เข้าใจการทำงานของ ISE มากขึ้นกว่าเดิมนะครับ ใครที่เคยได้ทำ ISE อยู่แล้ว หากผมตกหล่นส่วนไหน ก็สามารถแนะนำทางผมมาเพิ่มเติมได้เช่นกันนะครับ เพื่อจะนำไปปรับปรุงแก้ไข และความครบถ้วนของข้อมูลสำหรับเพื่อน ๆ พี่น้อง ที่เข้ามาอ่านครับ ส่วนใน EP2 จะมาดูข้อดี ข้อได้เปรียบจาก ISE ที่ดีกว่าคู่แข่งอย่างไรกับ้างนะครับ ไว้พบกันฉบับหน้าครับ สวัสดีครับ 🙂

ที่มา: https://www.cisco.com/c/en/us/products/collateral/security/identity-services-engine/guide-c07-656177.html