IN pastaruoju metu Aktyvūs internautai vis dažniau susiduria su nežinomų programų atsiradimu jų asmeniniuose kompiuteriuose: niekas tyčia tokios programinės įrangos neįdiegė, tačiau programos kažkaip atsidūrė jų darbo kompiuteryje. Ryškus tokios programinės įrangos pavyzdys yra Cisco EAP-FAST Module programa, Cisco LEAP modulis arba Cisco PEAP modulis. Tuo pačiu metu dauguma vartotojų nesupranta, kokia tai programa? ir ar to reikia - o jei ištrynus kitos programos neveiks?
Kas yra Cisco eap greitasis modulis?
Jei anksčiau buvote prisijungę prie tinklo domeno arba, cisco eap sparčiojo modulio programos atsiradimas tarp veikiančios programinės įrangos nenuostabu: ši programa yra autentifikavimo paslauga naudojant saugų tuneliavimą (eap-fast) – tai Cisco eap tipas. .
Ši paslauga leidžia autentifikuoti per pasaulinis tinklas pagal IEEE 802.1X standartą. „eap-fast“ taip pat suteikia apsaugą nuo įvairių tinklo atakų.
Kas tai per programa ir ar ji reikalinga?
Jei niekada anksčiau nenaudojote „Cisco“ produktų arba neprisijungėte prie tinklo domeno, galite jį saugiai ištrinti. Iš pradžių ši programa buvo skirta Cisco belaidei infrastruktūrai.
Paprastai „Cisco eap-fast“ yra aktualus vartotojams ar organizacijoms, kurios negali atitikti saugumo reikalavimų, susijusių su slaptažodžių politika, nenori naudoti skaitmeninių sertifikatų savo darbe arba nepalaiko. įvairių tipų duomenų bazės. Tokiais atvejais „eap-fast“ apsaugos nuo įvairių tinklo atakų, įskaitant „man-in-the-middle“ atakas, autentifikavimo klastojimą, „AirSnort“ atakas, paketų klastojimą (remiantis aukos atsakymais) ir žodyno brutalią jėgą.
Jei organizacija naudoja (pvz., WPA arba WPA2, kuri apima 802.1x standartą autentifikavimo tikslais) ir negali vykdyti slaptažodžių politikos bei nenori naudoti sertifikatų, ji gali lengvai įdiegti greitą greitį, kad sustiprintų bendrą saugumą.
Kas tai per programa ir ar ją galima pašalinti?
Kartais iš naujo įdiegiant belaidžio tinklo adapterio tvarkykles taip pat įjungiamas „Cisco eap-fast“ diegimas, tačiau procesas nevyksta toliau - diegimo programa užšąla, o belaidis tinklas lieka nepasiekiamas. Galimos priežastys toks „elgesys“ slypi neteisingas apibrėžimas dauguma tinklo plokštė arba modelio pavadinimas.
Norint užkirsti kelią tokioms problemoms ir jas pašalinti, patartina periodiškai tikrinti, ar sistemoje nėra virusų naudojant antivirusines programas, pvz. Dr.web CureIt.
Galų gale, kai iš naujo įdiegėte sistemą, galite gauti jau užkrėstų tvarkyklių ir diegimo programų. Tuo pačiu metu standartinės antivirusinės programos, tokios kaip „Kaspersky“, gali tiesiog praleisti užkrėstus failus, pridėdamos juos prie išimčių ir atitinkamai suteikti jiems beveik visišką prieigą prie sistemos.
Jei tvarkyklės buvo įdiegtos naudojant diegimo programą, pirmiausia turite pašalinti šią programą per Valdymo skydą „Programos ir funkcijos“ (skirta „Windows 7“ ir naujesnėms versijoms) arba „Pridėti / šalinti programas“ („Windows XP“) ir dar kartą.
Jei visa kita nepavyksta, turėtumėte pabandyti Everesto programa(dar žinomas kaip AIDA), kad nustatytų teisingą įrenginio identifikatorių, kuris gali būti naudojamas ieškant teisingų tvarkyklių. Tai galima padaryti ir per standartinę Įrenginių tvarkytuvę, nuėjus į įrenginio ypatybes ir pasirinkus Informacija, tačiau tai padaryti bus lengviau ir patogiau su Everest programa.
Kaip pašalinti programą
Norėdami visiškai pašalinti Cisco eap-fast modulį, naudokite valdymo skydelio vedlį Add/Remove Programs. Žingsnis po žingsnio pašalinimo vadovas yra toks:
- - atidarykite pradžios meniu ir eikite į valdymo skydelį;
- - pasirinkite Add/Remove Programs Windows XP arba Programs and Features Windows Vista, 7 ir 10 versijoms;
- - suraskite Cisco eap-fast modulio programą ir spustelėkite ją. Jei naudojate Windows XP, spustelėkite skirtuką Keisti/Pašalinti arba tiesiog spustelėkite mygtuką Pašalinti;
- - Vykdykite pašalinimo instrukcijas, kol procesas bus sėkmingai baigtas.
„Cisco ISE“ yra įrankis, leidžiantis sukurti prieigos kontrolės sistemą įmonės tinkle. Tai yra, mes kontroliuojame, kas, kur ir kaip jungiasi. Galime nustatyti kliento įrenginį, kiek jis atitinka mūsų saugos politiką ir pan. Cisco ISE yra galingas mechanizmas, leidžiantis aiškiai valdyti, kas yra tinkle ir kokius išteklius jie naudoja. Nusprendėme pakalbėti apie įdomiausius mūsų projektus, paremtus Cisco ISE, ir tuo pačiu prisiminti keletą neįprastų sprendimų iš mūsų praktikos.
Kas yra Cisco ISE
„Cisco Identity Services Engine“ (ISE) yra kontekstą suvokiantis sprendimas, skirtas įmonės tinklo prieigos kontrolei. Sprendimas apjungia autentifikavimo, autorizacijos ir įvykių apskaitos (AAA), sveikatos vertinimo, profiliavimo ir svečių prieigos valdymo paslaugas vienoje platformoje. „Cisco ISE“ automatiškai identifikuoja ir klasifikuoja galinius taškus, suteikia reikiamo lygio prieigą, autentifikuodamas vartotojus ir įrenginius, ir užtikrina, kad galiniai taškai atitiktų įmonės saugos politiką, įvertindama jų saugos padėtį prieš suteikdama prieigą prie įmonės IT infrastruktūros. Platforma palaiko lanksčius prieigos kontrolės mechanizmus, įskaitant saugos grupes (SG), saugos grupių žymas (SGT) ir saugos grupių prieigos kontrolės sąrašus (SGACL). Apie tai kalbėsime žemiau.Kai kurie mūsų statistiniai duomenys
90% mūsų diegimų apima belaidį saugumą. Mūsų klientai labai skirtingi. Kai kurie žmonės perka naują aukščiausios klasės Cisco įrangą, o kiti naudojasi tuo, ką turi, nes jų biudžetas ribotas. Bet saugiai laidinei prieigai labiausiai paprasti modeliai netinka, reikia tam tikrų jungiklių. Tačiau ne visi juos turi. Belaidžius valdiklius, jei jie sukurti remiantis Cisco sprendimais, paprastai reikia tik atnaujinti, kad būtų palaikoma Cisco ISE.Belaidei prieigai paprastai naudojamas vienas valdiklis ir krūva taškų. O kadangi imamės belaidės prieigos, didžioji dalis klientų – apie 80% – nori įdiegti svečio prieigą, nes patogu naudotis ta pačia infrastruktūra tiek vartotojo, tiek svečio prieigai.
Nors pramonė juda link virtualizacijos, pusė mūsų klientų renkasi techninės įrangos sprendimus, kad nebūtų priklausomi nuo virtualizacijos aplinkos ir išteklių aprūpinimo. Prietaisai jau subalansuoti, turi reikiamą kiekį RAM ir procesoriai. Klientams nereikia rūpintis virtualių išteklių paskirstymu, daugelis vis tiek nori užimti vietą stove, tačiau tuo pat metu būkite tikri, kad sprendimas yra optimizuotas būtent šiam aparatūros diegimui.
Mūsų standartinis projektas
Koks yra mūsų tipiškas projektas? Greičiausiai tai yra belaidis saugumas ir svečių prieiga. Mums visiems patinka į darbą atsinešti savo įrenginius ir iš jų prisijungti prie interneto. Tačiau net ir šiandien ne visos programėlės turi GSM modulius. Kad nesumažėtų saugumas dėl asmeninių įrenginių prijungimo prie įmonės tinklo, yra numatyta BYOD infrastruktūra, leidžianti automatiškai arba pusiau automatiškai registruoti asmeninį įrenginį. Sistema supras, kad tai jūsų, o ne įmonės programėlė, ir suteiks jums tik prieigą prie interneto.Kaip čia daroma? Jei atsinešite telefoną ir prisijungsite per „Wi-Fi“, galėsite prisijungti tik prie interneto. Jei darbinį nešiojamąjį kompiuterį prijungsite per „Wi-Fi“, jis taip pat bus leidžiamas į biuro tinklą ir visus išteklius. Tai BYOD technologija.
Dažnai, norėdami apsisaugoti nuo atneštų įrenginių, diegiame ir EAP-chaining technologiją, kuri leidžia autentifikuoti ne tik vartotojus, bet ir darbo vietas. Tai reiškia, kad galime nustatyti, ar domeno nešiojamasis kompiuteris, ar kieno nors asmeninis jungiasi prie tinklo, ir, atsižvelgdami į tai, taikyti tam tikras taisykles.
Tai yra, be „autentifikuota / neautentifikuota“, atsiranda kriterijų „domenas / ne domenas“. Remiantis keturių kriterijų sankirta, galima nustatyti skirtingas strategijas. Pavyzdžiui, domeno mašina, bet ne domeno vartotojas: tai reiškia, kad administratorius atėjo ko nors sukonfigūruoti vietoje. Greičiausiai jam reikės specialių teisių tinkle. Jei tai yra domeno mašina ir domeno vartotojas, suteikiame standartinę prieigą pagal privilegijas. Ir jei domeno vartotojas, bet ne domeno mašina, šis asmuo atsinešė savo asmeninį nešiojamąjį kompiuterį ir jo prieigos teisės turi būti apribotos.
Taip pat tikrai rekomenduojame visiems naudoti profiliavimą IP telefonams ir spausdintuvams. Profiliavimas – tai netiesioginių įrodymų nustatymas, koks įrenginys prijungtas prie tinklo. Kodėl tai svarbu? Paimkime spausdintuvą. Paprastai jis yra koridoriuje, tai yra, šalia yra lizdas, kuris dažnai nėra matomas stebėjimo kamerai. Pentestuotojai ir užpuolikai dažnai tuo naudojasi: prijungia nedidelį įrenginį su keliais prievadais prie elektros lizdo, pastato už spausdintuvo ir įrenginys gali mėnesį naršyti tinkle, rinkti duomenis ir gauti prieigą. Be to, spausdintuvai ne visada riboja teises geriausiu atvejuįmestas į kitą VLAN. Tai dažnai sukelia saugumo pavojų. Jei nustatysime profiliavimą, tai kai tik šis įrenginys pateks į tinklą, mes apie tai sužinosime, atvažiuosime, ištrauksime iš lizdo ir išsiaiškinsime, kas jį čia paliko.
Galiausiai, reguliariai naudojame pozavimą – tikriname, ar vartotojai laikosi informacijos saugumas. Paprastai tai taikome nuotoliniams vartotojams. Pavyzdžiui, kažkas prisijungė per VPN iš namų ar verslo kelionės. Dažnai jam reikia kritinės prieigos. Tačiau mums labai sunku suprasti, ar jam gerai sekasi asmeninės informacijos saugumas, ar mobilusis įrenginys. O postringavimas leidžia patikrinti, pavyzdžiui, ar vartotojas turi atnaujintą antivirusinę programą, ar ji veikia, ar turi atnaujinimų. Tokiu būdu jei ne pašalinkite, tai bent jau sumažinkite riziką.
Sudėtinga užduotis
Dabar pakalbėkime apie įdomų projektą. Vienas iš mūsų klientų nusipirko Cisco ISE prieš daugelį metų. Įmonės informacijos saugumo politika labai griežta: reglamentuojama viskas, kas įmanoma, jungti kitų žmonių įrenginius prie tinklo neleidžiama, tai yra jokio BYOD jums. Jei vartotojas atjungia kompiuterį nuo vieno lizdo ir įkiša jį į gretimą, tai jau yra informacijos saugumo incidentas. Antivirusinė programa su maksimaliu euristikos lygiu, vietinė ugniasienė draudžia bet kokius įeinančius ryšius.Klientas labai norėjo gauti informaciją apie tai, kokie įmonės įrenginiai yra prijungti prie tinklo, kokia tai OS versija ir pan. Tuo remdamasis jis suformavo saugumo politiką. Mūsų sistemai reikėjo įvairių netiesioginių duomenų įrenginiams identifikuoti. Geriausias pasirinkimas yra DHCP zondai: tam turime gauti DHCP srauto kopiją arba DNS srauto kopiją. Tačiau klientas kategoriškai atsisakė perduoti srautą iš savo tinklo mums. Tačiau jo infrastruktūroje nebuvo kitų veiksmingų bandymų. Pradėjome galvoti, kaip galėtume nustatyti darbo vietas, kuriose buvo įdiegta ugniasienė. Negalime nuskaityti lauke.
Galiausiai jie nusprendė panaudoti LLDP protokolą – Cisco CDP protokolo analogą, per kurį tinklo įrenginiai keičiasi informacija apie save. Pavyzdžiui, jungiklis siunčia pranešimą kitam jungikliui: „Aš esu jungiklis, turiu 24 prievadus, tai yra VLAN, tai yra nustatymai“.
Suradome tinkamą agentą, įdiegėme jį į darbo vietą ir jis į mūsų komutatorius siuntė duomenis apie prijungtus kompiuterius, jų OS ir įrangos sudėtį. Tuo pačiu metu mums labai pasisekė, kad ISE leido mums sukurti tinkintą profiliavimo politiką pagal gautus duomenis.
Tas pats klientas taip pat patyrė ne tokią malonią patirtį. Įmonė turėjo Polycom konferencijų stotį, kuri dažniausiai įrengiama posėdžių salėse. „Cisco“ paskelbė apie „Polycom“ įrangos palaikymą prieš kelerius metus, todėl stotis turėjo būti sutvarkyta iš „Cisco“ ISE. ISE jį matė ir palaikė, tačiau kliento stotis buvo profiliuota neteisingai: ji buvo apibrėžta kaip IP telefonas, nenurodant konkretaus modelio. O klientas norėjo nustatyti, kurioje konferencijų salėje koks modelis buvo sumontuotas.
Pradėjome išsiaiškinti. Pagrindinis įrenginio profiliavimas atliekamas pagal MAC adresą. Kaip žinote, pirmieji šeši MAC skaitmenys yra unikalūs kiekvienai įmonei ir yra rezervuoti bloke. Profiliuodami šią konferencijos stotį įjungėme derinimo režimą ir žurnale pamatėme labai paprastą įvykį: ISE paėmė MAC ir pasakė, kad tai Polycom, o ne Cisco, todėl CDP ir LLDP apklausų nedarysiu.
Rašėme pardavėjui. Jie paėmė MAC adresą iš kitos šios konferencijos stoties egzemplioriaus, kuris nuo mūsiškio skyrėsi tik keliais skaitmenimis – buvo profiliuotas teisingai. Paaiškėjo, kad mums tiesiog nepasisekė šios konkrečios stoties adreso, ir dėl to Cisco vos neišleido jai pataisos, po kurios klientas taip pat pradėjo teisingai profiliuoti.
SGT
Ir pabaigai norėčiau papasakoti apie vieną iš labiausiai įdomių projektų paskutiniais laikais. Tačiau pirmiausia turime priminti apie technologiją, vadinamą SGT (Security Group Tag).Apsaugos grupės žymų technologija
Klasikinis tinklo ekranavimo metodas yra pagrįstas pagrindinio kompiuterio ir jų prievadų šaltinio ir paskirties IP adresais. Tačiau šios informacijos yra per mažai, o tuo pačiu ji yra griežtai susieta su VLAN. „Cisco“ sugalvojo labai paprastą gera mintis: leiskite mums priskirti SGT žymas visiems mūsų įrangos siuntėjams ir gavėjams ir taikyti filtravimo įrenginių politiką, pagal kurią, naudodami A, B ir C protokolus, galite keistis duomenimis tarp etikečių 11 ir 10 bei tarp 11 ir 20, ir nuo 10 iki 20 – tai draudžiama. Tai yra, gaunama leidžiamų ir draudžiamų duomenų mainų kelių matrica. Be to, šioje matricoje galime naudoti paprastus prieigos sąrašus. Neturėsime jokių IP adresų, tik prievadus. Tai leidžia vykdyti atomiškesnę, smulkesnę politiką.
SGT architektūra susideda iš keturių komponentų.
- Žymos. Visų pirma, turime priskirti SGT žymas. Tai galima padaryti keturiais būdais.
- Remiantis IP adresais. Sakome, kad toks ir toks tinklas yra vidinis, o tada pagal konkrečius IP adresus galime nurodyti: pavyzdžiui, tinklas 10.31.10.0/24 yra serverio segmentas, jam galioja tos pačios taisyklės. Šiame serverių segmente turime serverį, atsakingą už PCI DSS – jam taikome griežtesnes taisykles. Tokiu atveju serverio pašalinti iš segmento nereikia.
Kodėl tai naudinga? Kai norime kur nors įdiegti ugniasienę, nustatyti griežtesnes taisykles, turime talpinti serverį į kliento infrastruktūrą, kuri dažnai nesivysto visiškai kontroliuojamai. Niekas negalvojo, kad serveris neturėtų bendrauti su gretimu serveriu, kad būtų geriau jį atskirti į atskirą segmentą. O kai įdiegiame ugniasienę, didžioji dalis laiko praleidžiama serverių perkėlimui pagal mūsų rekomendacijas iš vieno segmento į kitą. Tačiau SGT atveju to nereikia.
- VLAN pagrindu. Galite nurodyti, kad VLAN1 yra 1 etiketė, VLAN10 yra 10 etiketė ir pan.
- Remiantis perjungimo prievadais. Tą patį galima padaryti ir su prievadais: pavyzdžiui, visi duomenys, gaunami iš 24 jungiklio prievado, turėtų būti pažymėti 10 etikete.
- Ir paskutinis, įdomiausias būdas - dinaminis žymėjimas naudojant ISE. Tai yra, Cisco ISE gali ne tik priskirti ACL, siųsti peradresavimą ir pan., bet ir priskirti SGT žymą. Dėl to galime dinamiškai nustatyti: šis vartotojas atėjo iš šio segmento, šiuo metu jis turi tokią domeno paskyrą, tokį IP adresą. Ir pagal šiuos duomenis priskiriame etiketę.
- Remiantis IP adresais. Sakome, kad toks ir toks tinklas yra vidinis, o tada pagal konkrečius IP adresus galime nurodyti: pavyzdžiui, tinklas 10.31.10.0/24 yra serverio segmentas, jam galioja tos pačios taisyklės. Šiame serverių segmente turime serverį, atsakingą už PCI DSS – jam taikome griežtesnes taisykles. Tokiu atveju serverio pašalinti iš segmento nereikia.
- Žymų keitimas. Turime perkelti priskirtas etiketes ten, kur jos bus naudojamos. Tam naudojamas SXP protokolas.
- SGT politika. Tai yra matrica, apie kurią kalbėjome aukščiau, joje nurodoma, kurios sąveikos gali būti naudojamos, o kurios ne.
- SGT vykdymas. Štai ką daro jungikliai.
Kokią naudą gavo klientas?
Dabar jam prieinama atominė politika. Taip atsitinka, kad viename iš tinklų administratoriai per klaidą diegia serverį iš kito tinklo. Pavyzdžiui, kūrimo tinkle pasiklydo pagrindinis kompiuteris iš gamybos. Dėl to jūs turite perkelti serverį, pakeisti IP ir patikrinti, ar nenutrūko ryšiai su kaimyniniais serveriais. Tačiau dabar galite tiesiog mikrosegmentuoti „svetimą“ serverį: paskelbti jį gamybos dalimi ir taikyti jam kitokias taisykles, skirtingai nei likusio tinklo dalyviams. Ir tuo pačiu metu šeimininkas bus apsaugotas.
Be to, klientas dabar gali saugoti ir valdyti politiką centralizuotai ir gedimams atspariu būdu.
Tačiau būtų tikrai šaunu naudoti ISE dinamiškai priskirti etiketes vartotojams. Tai galėsime padaryti ne tik pagal IP adresą, bet ir priklausomai nuo laiko, vartotojo vietos, jo domeno ir paskyros. Galime teigti, kad jei šis vartotojas sėdi centrinėje būstinėje, tai jis turi tik privilegijas ir teises, o jei atvyksta į filialą, tai jis jau yra komandiruotėje ir turi ribotas teises.
Taip pat norėčiau pažvelgti į pačios ISE žurnalus. Dabar, kai naudojate keturias Nexus ir ISE kaip centralizuotą saugyklą, turite pasiekti patį jungiklį, kad galėtumėte peržiūrėti žurnalus, įvesti užklausas į konsolę ir filtruoti atsakymus. Jei naudosime dinaminį atvaizdavimą, ISE pradės rinkti žurnalus ir galėsime centralizuotai matyti, kodėl tam tikras vartotojas nebuvo įtrauktas į tam tikrą struktūrą.
Tačiau kol kas šios galimybės neįdiegtos, nes klientas nusprendė apsaugoti tik duomenų centrą. Atitinkamai, vartotojai ateina iš išorės ir nėra prisijungę prie ISE.
Cisco ISE kūrimo istorija
Sertifikavimo centrasŠi svarbi naujovė pasirodė 1.3 versijoje 2013 m. spalio mėn. Pavyzdžiui, vienas iš mūsų klientų turėjo spausdintuvus, kurie veikė tik su sertifikatais, tai yra, jie galėjo autentifikuotis ne naudodami slaptažodį, o tik naudodami sertifikatą tinkle. Klientas buvo nusiminęs, kad negalėjo prijungti įrenginių, nes trūko CA, ir jis nenorėjo jos įdiegti dėl penkių spausdintuvų. Tada, naudodami integruotą API, galėjome standartiniu būdu išduoti sertifikatus ir prijungti spausdintuvus.
„Cisco ASA“ įgaliojimo pakeitimo (CoA) palaikymas
Nuo tada, kai Cisco ASA įdiegė CoA palaikymą, galime stebėti ne tik vartotojus, kurie ateina į biurą ir prisijungia prie tinklo, bet ir nuotolinius vartotojus. Žinoma, galėjome tai padaryti ir anksčiau, tačiau tam reikėjo atskiro IPN mazgo įrenginio, kad būtų pritaikytos autorizacijos strategijos, kurios perduoda srautą tarpiniu serveriu. Tai yra, be to, kad turime ugniasienę, kuri nutraukia VPN, turėjome naudoti kitą įrenginį, kad galėtume taikyti „Cisco ISE“ taisykles. Tai buvo brangu ir nepatogu.
2014 m. gruodžio mėn. 9.2.1 versijoje pardavėjas pagaliau pridėjo Cisco ASA prieigos teisės keitimo palaikymą, todėl buvo pradėtos palaikyti visos Cisco ISE funkcijos. Keletas mūsų klientų atsiduso iš džiaugsmo ir galėjo panaudoti atlaisvintą IPN mazgą, kad gautų daugiau naudos nei tiesiog nutrauktų VPN srautą.
TACACS+
Visi labai ilgai laukėme šio protokolo įgyvendinimo. TACACS+ leidžia autentifikuoti administratorius ir registruoti jų veiksmus. Šios galimybės labai dažnai reikalingos PCI DSS projektuose, kad būtų galima stebėti administratorius. Anksčiau tam buvo skirtas atskiras produktas – Cisco ACS, kuris pamažu nyko, kol galiausiai Cisco ISE perėmė jo funkcionalumą.
AnyConnect laikysena
Šios funkcijos atsiradimas „AnyConnect“ tapo viena iš „Cisco ISE“ proveržio savybių. Ypatingumą galima pamatyti toliau pateiktame paveikslėlyje. Kaip atrodo fiksavimo procesas: vartotojas autentifikuojamas (prisijungus, slaptažodžiu, sertifikatu arba MAC), o atsakant į Cisco ISE gauna politiką su prieigos taisyklėmis.
Jei reikia patikrinti, ar vartotojas atitinka, jam siunčiamas peradresavimas – speciali nuoroda, nukreipianti visą ar dalį vartotojo srauto į konkretų adresą. Šiuo metu klientas turi specialų postringavimo agentą, kuris karts nuo karto prisijungia ir laukia. Jei jis nukreipiamas į ISE serverį, jis paims politiką iš ten, naudos ją, kad patikrintų, ar darbo stotis atitinka, ir padarys tam tikras išvadas.
Anksčiau agentas eidavo ir tikrindavo URL kartą per penkias minutes. Jis buvo ilgas, nepatogus ir tuo pačiu užgriozdino tinklą tuščiu srautu. Galiausiai šis mechanizmas buvo įtrauktas į „AnyConnect“. Jis tinklo lygmeniu supranta, kad jai kažkas atsitiko. Tarkime, kad prisijungėme arba vėl prisijungėme prie tinklo, prisijungėme prie „Wi-Fi“ arba sukūrėme VPN – „AnyConnect“ sužinos apie visus šiuos įvykius ir veiks kaip agento paleidiklis. Dėl šios priežasties laikymosi pradžios laikas pasikeitė nuo 4–5 minučių iki 15 sekundžių.
Savybės išnykimas
Buvo įdomus atvejis su funkcionalumu, kuris iš pradžių išnyko vienoje iš versijų, o po kurio laiko buvo grąžintas.Cisco ISE turi svečio prieigos paskyras: tinklą, kuriame net sekretoriai gali išduoti slaptažodžius. Ir yra labai patogi funkcija, kai sistemos administratorius gali susikurti krūvą svečių paskyrų, užklijuoti jas į vokus ir atiduoti atsakingam asmeniui. Šios sąskaitos veiks griežtai tam tikrą laiką. Pavyzdžiui, mūsų įmonėje tai yra savaitė nuo pirmojo prisijungimo momento. Vartotojui duodamas vokas, jis jį atspausdina, įeina ir skaitiklis pradeda tiksėti. Patogu ir praktiška.
Ši funkcija iš pradžių buvo naudojama nuo Cisco ISE įvedimo, bet išnyko 1.4 versijoje. Ir po kelerių metų 2.1 versijoje jis buvo grąžintas. Dėl svečių prieigos trūkumo daugiau nei dvejus metus net neatnaujinome Cisco ISE versijos savo įmonėje, nes nebuvome pasiruošę tam pertvarkyti savo verslo procesų.
Juokinga klaida
Atsisveikindamas prisiminiau juokinga istorija. Prisimenate, kaip kalbėjome apie klientą su labai griežta saugumo politika? Jis įjungtas Tolimieji Rytai, ir vieną dieną ten pasikeitė laiko juosta – vietoj GMT+10 tapo GMT+11. O kadangi klientas ką tik sukonfigūravo „Asia/Sachalin“, jis kreipėsi į mus, kad įdiegtume tikslų laiko rodymą.Parašėme Cisco, jie atsakė, kad artimiausiu metu neatnaujins laiko juostų, nes tai užtrunka per ilgai. Jie pasiūlė naudoti standartinę GMT+11 zoną. Mes jį nustatėme ir pasirodė, kad Cisco nepakankamai išbandė savo gaminį: diržas tapo GMT-11. Tai yra, kliento laikas baigėsi 12 valandų. Juokingiausia, kad GMT+11 yra Kamčiatka ir Sachalinas, o GMT-11 – dvi Amerikos salos. Tai yra, „Cisco“ tiesiog nemanė, kad kas nors iš šių laiko juostų pirks produktą iš jų, ir neatliko bandymų. Jie praleido nemažai laiko taisydami šią klaidą ir atsiprašydami.
Stanislav Kalabin, Jet Infosystems inžinerinio palaikymo ir informacijos saugos paslaugų skyriaus ekspertas
„Cisco“ įspėja savo UC (Unified Communications) produktų vartotojus, kad jie neturėtų laukti „Windows 7“ palaikymo, kol bus išleisti 8.0 versijos produktai, kurie pasirodys 2010 m. pirmąjį ketvirtį. Dešimtys kitų produktų gaus tik „Windows 7“ palaikymą, kai 2010 m. trečiąjį ketvirtį bus išleista 8.5 versija, o tik 32 bitų „Windows 7“ versija.
Tik trys UC produktai iš 50 „Cisco“ arsenale bus palaikomi 64 bitų „Windows 7“ versijoms ir net tada naudojant 32 bitų emuliatorių. Šie trys produktai apima „Cisco UC Integration“, skirtą „Microsoft Office Communicator“, „Cisco IP Communicator“ ir „Cisco Unified Personal Communicator“. „Communicator“ produktai yra kliento daugialypės terpės programos, naudojamos su „Cisco Unified Communications“ serverio produktais.
Vienas Cisco vartotojas, norėjęs likti anonimiškas, yra nusiminęs dėl vėlavimo. Jis teigė, kad „Cisco“ tapo „Windows“ tiekėju, kai sukūrė darbalaukio UC programas, tokias kaip „Unified Attendant Console“, tačiau „Cisco“ nežada, kad ši priemonė veiktų 64 bitų „Windows 7“. Jis mano, kad bendrovė nepalaiko 64 bitų operacinės sistemos. versijos Windows atgraso įmones, norinčias atnaujinti savo parką į Windows 7, nuo Cisco UC produktų naudojimo.
Kitas vartotojas komentavo tinklaraštį, sakydamas, kad, jei pageidaujama, šiandien galima paleisti Cisco UC produktus. Kitas anoniminis vartotojas rašė: „Suprantu, kad daugelis UC produktų greičiausiai veiks 32 bitų Windows 7 versijoje. Man labiau rūpi, kaip jie veiks su 64 bitų Windows 7 versija. 64 bitų OS tapo atsirado atsiradus „Windows XP“, nors 64 bitų procesoriai plačiajai visuomenei tapo prieinami tik m pastaraisiais metais. Tačiau dauguma stalinių ir nešiojamų kompiuterių, įsigytų per pastaruosius 2–3 metus, buvo aprūpinti 64 bitų procesoriais. „Cisco“ dabar kuria programas ir staliniams kompiuteriams, todėl įmonė yra atsakinga už stalinių kompiuterių OS, naudojamų įmonės aplinkoje, palaikymą!
„Microsoft“ išsiuntė „Windows 7“ spaudai liepos 22 d. Nuo tada „Windows“ programų kūrėjai turi prieigą prie jų naujausia versija OS programos kodas. Keista, kad nuo to momento Cisco nesivargino užtikrinti savo produktų palaikymo naujoje OS.
Remiantis informacija iš Windows 7 suderinamumo centro, keturios Cisco darbalaukio programos buvo sertifikuotos Windows 7, būtent: Cisco VPN Client v5, Cisco EAP-FAST modulis, Cisco LEAP modulis, Cisco PEAP modulis. Šie moduliai skirti perduoti autentifikavimo kredencialus ir naudojami kartu su VPN.
Tinklaraštininkas Jamesas Heary teigia, kad „Cisco“ yra pirmasis didelis VPN tiekėjas, teikiantis „Windows 7“ palaikymą. „Windows 7“ VPN palaikymas apima IPSEC ir SSLVPN klientų programas. Tiesą sakant, Cisco Anyconnect 2.4 SSLVPN klientas palaiko ir 32 bitų, ir 64 bitų Windows 7 versijas. O, pasak Microsoft, Cisco VPN klientas 5.0.6 palaiko tik 32 bitų Windows 7 versiją.
Kadangi esate šioje svetainėje ir skaitote šias eilutes, jums nebus sunku atsakyti, kas yra „Cisco“?
Tiesa, „Cisco“ yra tinklo įrangos įmonė. Be to, tai viena didžiausių įmonių. Pati „Cisco“ laiko save „pasaulio tinklo technologijų lydere“. Kodėl gi ne.
Sąvoka „tinklo įranga“ reiškia įrenginius ir gaminius, tokius kaip: maršrutizatoriai, jungikliai, ugniasienės, „Wi-Fi“ prieigos taškai, įvairūs modemai, kompleksinius sprendimus skirta IP telefonijai ir vaizdo konferencijoms, DSL, serveriams, vaizdo stebėjimo sistemoms, programinei įrangai ir kt. ir tt
Kaip ir Graikijoje, ten visko yra)))
Kaip jus sieja su Tsiska? O gal vis dar susiduriate su pasirinkimu užmegzti ryšį su ja?
Į šį klausimą pasistengsiu atsakyti aiškiai ir aiškiai.
Cisco tinklų akademija
„Cisco Networking Academy“ yra pasaulinė edukacinę programą, mokydami studentus kurti, kurti, derinti ir apsaugoti kompiuterių tinklai. Tinklų akademija teikia internetinius kursus, interaktyvius įrankius ir laboratorinę praktiką, kad padėtų žmonėms pasiruošti išlaikyti egzaminus ir siekti savo tinklų karjeros beveik bet kokio tipo pramonėje.
Egzaminai Akademijoje laikomi Cisco sertifikatui gauti. Cisco sertifikatas yra mokymosi proceso metu įgytų žinių matavimo priemonė.
Visi Cisco sertifikatai yra suskirstyti į tris lygius (kai kurie pabrėžia ketvirtąjį, patį pagrindinį):
- Specialistas (asocijuotas): CCNA, CCDA sertifikatai
- Profesionalus: CCNP, CCDP sertifikatai
- Ekspertas: CCIE sertifikatai
- (Kaip minėjau aukščiau, taip pat yra pradinio lygio: CCENT sertifikatai)
Jei nuspręsite gauti Cisco sertifikatą, pradėkite nuo CCNA. „Cisco Certified Network Associate“ (CCNA) patvirtina galimybę įdiegti, konfigūruoti, valdyti ir šalinti triktis. Programa CCNA apima saugos rizikos mažinimą, supažindinimą su belaidžių sistemų sąvokomis ir terminologija bei įgūdžius praktiniai užsiėmimai. CCNA taip pat apima protokolų naudojimą: IP, patobulinto vidinio šliuzo maršruto protokolo (EIGRP), nuosekliosios linijos sąsajos protokolo rėmelio perdavimo, maršruto informacijos protokolo 2 versija (RIPv2), OSPF, VLAN, Ethernet, prieigos kontrolės sąrašų (ACL) ir daug kitų. daugiau kitų.
CCNA iš tikrųjų yra įdomi programa, ir jei norite sužinoti daugiau informacijos ar gauti atsakymą į savo klausimą, likite svetainėje ir rašykite man laiškus;)
Gavus CCNA pažymą, visi keliai į įdomus darbas arba tęsti mokymus, o po to gauti kito lygio sertifikatą, o tai reiškia pakelti savo lygį iš specialisto į profesionalą. Esant tokiam tempui, tai nėra toli nuo eksperto.
Apie svetainės svetainę
Galbūt jūs jau susipažinote su mokymu ir jums tai buvo gana sunku, bet Tam ir buvo sukurta ši svetainė padėti visiems, kurie neįvaldė visos medžiagos su pareigūnų pagalba mokymo priemonės, nespėjo „kramtyti“ jokio protokolo ypatybių, nesuprato laboratorijos, interaktyvus darbas, nesupratau, kurį atsakymą pasirinkti testuojant. Daug daugiau galimų problemų galima rasti bet kurio mokymo procese, tačiau esu tikras, kad šios svetainės pagalba galėsite papildyti savo žinias, prisiminti, ką pamiršote, žvilgtelėti į atsakymą ir įsitikinti, kad jūsų pasirinkimas yra teisingas.
Kartu su jumis nepraleisime nei vienos detalės, kuri galėtų mus paveikti, o taip pat rusiškai išanalizuosime visus testavimui reikalingus aspektus ir komentarus.
Nešiojamame kompiuteryje iš anksto įdiegtos programos. Kodėl jie? Ką jie veikia?
HP nešiojamasis kompiuteris buvo su iš anksto įdiegta CISCO programine įranga:
Cisco LEAP modulis Cisco PEAP modulis Cisco EAP-FAST modulis
Kokios programos? Kodėl mums reikia Cisco modulio? Ar įmanoma juos pašalinti?
EAP-FAST (Extensible Authentication Protocol – Flexible Authentication via Secure Tunneling) yra CISCO IEEE 802.1X EAP, užtikrinantis apsaugą nuo išorinių tinklo atakų.
LEAP (Lightweight Extensible Authentication Protocol)
PEAP (apsaugotas išplėstinis autentifikavimo protokolas)
Tai yra nustatyti protokolai, skirti išplėstiniam (išplečiamam) autentifikavimui Wi-Fi tinkluose iš CISCO. Jei „namų“ naudojimui skirtas kompiuteris neprijungtas prie domeno ir nenaudojamas norint pasiekti „gudrius“ WiFi prieigos taškus (RADIUS serveris, leidžiantis nustatyti kiekvienam...
0 0
Turite klausimą: "Cisco - kas tai?" Tai įmonė, gaminanti tinklo įrangą, tokią kaip komunikatoriai, maršrutizatoriai, ekranai, modemai, maršrutizatoriai, serveriai ir daug daugiau. Tai taip pat pagrindinis kompiuterių ir tinklų technologijų gamintojas ir lyderis.
Cisco
Tai Amerikos kompanija, kuri kuria ir parduoda tinklo įrangą. Pagrindinis įmonės šūkis – suteikti galimybę visą tinklo įrangą įsigyti tik iš Cisco Systems. Be gamybos įrangos, bendrovė yra didžiausia įmonė pasaulyje aukštųjų technologijų. Jūs taip pat klausiate: "Cisco - kas tai?" Savo veiklos pradžioje įmonė gamino tik maršrutizatorius. Dabar ji yra didžiausia interneto technologijų plėtros lyderė. Sukūrė daugiadisciplininę tinklo specialistų sertifikavimo sistemą. Cisco profesionalūs sertifikatai yra labai vertingi ekspertų lygiu (CCIE) ir yra labai gerbiami kompiuterių pasaulyje.
Pats Cisco pavadinimas kilęs iš...
0 0
„Cisco LEAP modulis – kas tai per programa? - užklausa, kuri identifikuoja jus kaip asmenį, kuris aktyviai naudojasi tinklo įranga. Šiuo konkrečiu atveju turime omenyje Cisco produktus. Be to, tai nebūtinai geležis. Galbūt jūs ką tik įdiegėte tam tikrą šios konkrečios įmonės pateiktą programinę įrangą.
„Cisco“ yra įmonė, kurios aiški specializacija yra tinklo įranga. Jį 1984 m. įkūrė susituokusi pora: Leonardas Bosakas ir Sandra Lerner. Viskas prasidėjo nuo tinklo maršrutizatorių gamybos. Neįmanoma įmonės pavadinti pramonės pradininke. Tačiau verta paminėti, kad „Cisco“ yra pirmoji įmonė, kuri sugebėjo komerciškai sėkmingą kelių vartotojų maršrutizatorių.
Rimti pokyčiai kompaniją aplenkė 1990 m. Investuotojai vadžias perėmė į savo rankas, o po to įmonės įkūrėjai ją paliko. Už tai Bosakas ir Lerneris gavo 170 mln. Jų vietoje...
0 0
Jūs užduodate klausimą: "Cisco - kas tai?" Tai įmonė, gaminanti tokią ribotą įrangą kaip komunikatoriai, maršrutizatoriai, ekranai, modemai, maršrutizatoriai, serveriai ir daug daugiau. Jis taip pat yra pagrindinis kompiuterių ir krašto technologijų kūrėjas ir lyderis.
Cisco
Tai amerikiečių įmonė, kuri išmontuoja ir parduoda turtą. Pagrindinis įmonės šūkis – turėti galimybę įsigyti visą reikalingą įrangą iš Cisco Systems. Be pažangių galimybių, bendrovė turi didžiausią pasaulyje aukštųjų technologijų įmonę. Jūs vis dar sakote: "Cisco - kas tai?" Įmonė savo veiklos pradžioje gamino tik maršrutizatorius. Dabar esame didžiausias interneto prijungimo technologijų plėtros lyderis. Ji sukūrė fakivtsevo kelių profilių sertifikavimo sistemą. „Cisco“ profesionalūs sertifikatai yra dar vertingesni už ekspertų (CCIE) sertifikatus kompiuterių pasaulyje.
Pats Cisco pavadinimas kilęs iš San Francisko miesto Kalifornijos valstijoje. Logotipas yra tilto kopija...
0 0
„Cisco“ įspėja savo UC (Unified Communications) produktų vartotojus nelaukti palaikymo, skirto „Windows 7“, kol bus išleisti 8.0 versijos produktai, kurie pasirodys 2010 m. pirmąjį ketvirtį. Dešimtys kitų produktų gaus tik „Windows 7“ palaikymą, kai 2010 m. trečiąjį ketvirtį bus išleista 8.5 versija, o tik 32 bitų „Windows 7“ versija.
Tik trys UC produktai gaus 64 bitų „Windows 7“ versijų palaikymą ir net naudojant 32 bitų emuliatorių. Šie trys produktai yra „Cisco UC Integration“, skirta „Microsoft Office Communicator“, „Cisco IP Communicator“ ir „Cisco Unified Personal Communicator“. „Communicator“ produktai yra kliento daugialypės terpės programos, naudojamos su „Cisco Unified Communications“ serverio produktais.
0 0
