شرکت افزارپرداز هوشمند سورنا

دسته بندی محصولات

شرکت افزارپرداز هوشمند سورنا

دسته بندی محصولات

معرفی تکنولوژی های مدرن امنیتی (راه اندازی سیسکو ISE)

Cisco ISE (Identity Services Engine) یکی از تکنولوژی‌های پیشرفته و مدرن امنیتی است که به عنوان یک راهکار جامع برای مدیریت دسترسی و احراز هویت شبکه عمل می‌کند. این سیستم، با ایجاد یک محیط شبکه متمرکز و امن، به سازمان‌ها امکان می‌دهد تا دسترسی‌ها را بر اساس هویت کاربران، دستگاه‌ها و وضعیت امنیتی دستگاه‌های متصل به شبکه کنترل کنند. Cisco ISE از قابلیت‌هایی نظیر احراز هویت چندعاملی، سیاست‌گذاری و تجزیه و تحلیل تهدیدات برای فراهم آوردن دید کامل به ترافیک شبکه و تقویت امنیت داده‌ها بهره می‌برد. این راهکار نه تنها به کاهش خطر نقض داده‌ها کمک می‌کند، بلکه با ارائه ابزارهای قدرتمند برای مدیریت دسترسی و ردیابی ترافیک شبکه، به مدیران IT این امکان را می‌دهد که به سرعت و به طور مؤثر به تهدیدات امنیتی پاسخ دهند. در ادامه نحوه راه اندازی سیسکو ISE را شرح خواهیم داد.

راه اندازی سیسکو ISE_لایسنس ISE

معرفی تکنولوژی های مدرن امنیتی – راه اندازی سیسکو ISE

روش های احراز هویت در سیسکو ISE

وقتی صحبت از راه‌اندازی Cisco ISE می‌شود، موضوع احراز هویت یکی از اصلی‌ترین قسمت‌‌ها می‌باشد. Cisco ISE یه مجموعه متنوع از روش‌های احراز هویت را ارائه می‌دهد، که شامل احراز هویت چندعاملی، احراز هویت بر اساس Certificate، و حتی احراز هویت براساس مک آدرس (MAC) می‌باشد. این تنوع اطمینان می‌دهد که هر سازمانی توانمندی این را داشته باشد که تنظیمات امنیتی‌اش رو بر اساس نیازهای خاص خودش و با توجه به سطح دسترسی کاربران و دستگاه‌ها انجام بدهد. وقتی Cisco ISE را راه‌اندازی می‌کنید، به شما قدرت انتخاب می‌دهد که چطور می‌خواهید کاربران و دستگاه‌هایتان احراز هویت شوند، با این قابلیت شما می‌تونید اطمینان حاصل کنید که تنها افراد و دستگاه‌های مجاز می‌توانند به منابع شبکه دسترسی پیدا کنند.

سرویس دهنده ISE با پشتیبانی از قابلیت Single-Sign On (SSO)، می تواند با Active Directory به صورت یکپارچه عمل نماید. در نتیجه این هماهنگی کاربران فقط یکبار و آن هم در زمان اتصال به شبکه نیازمند وارد کردن نام کاربري و کلمه عبور خود می باشند. همچنین پشتیبانی از قابلیت Mac Authentication Bypass (MAB) دستگاه هایی که نمی توانند از نام کاربري و کلمه عبور براي Authentication، استفاده کنند، نیز می توانند احراز هویت گردند.

قابلیت Posture Assessment

این ویژگی یکی از مهمترین قابلیت هایی است که در راستای کنترل سطح دسترسی کاربران باید راه اندازي گردد، مسئولین شبکه با استفاده از قابلیت Posture Assessment می‌توانند از سلامت و Clean بودن سیستم ها و دستگاه هاي (End Pointها) اطمینان حاصل نمایند. به طور مثال مسئولین شبکه می توانند چک کنند که اگرAntivirus و یا Antispyware موجود برروي سیستم کاربران به روز نباشد اجازه دسترسی به منابع شبکه را نداشته باشند و یا کاربر را در VLAN و یا شرایطی قرار دهند که ابتدا مشکل سیستم و دستگاه اش را مرتفع کرده و سپس به شبکه دسترسی پیدا کنند. این قابلیت می تواند موارد زیر را چک کند:

  • Antivirus
  • Antispam & Antispyware
  • Firewall
  • Registry – Check
  • File Check
  • Windows Hot Fix
  • Windows Service pack
  • Application

بر اساس نتیجه بررسی هریک از موارد بالا، می توان سیاست هاي امنیتی ذیل را براي کاربر طراحی نمود:

  • قابلیت مدیریت کاربران مهمان (Guest Management ) به صورت Built-in در این سرویس دهنده تعبیه شده است.
  • قابلیت ارایه گزارشات Real-time و جامع از فعالیت کاربران.
  • ارایه ابزارهای عیب یابی و Troubleshooting

پیاده سازي و راه اندازی سیسکو ISE

برايراه‌اندازی Cisco ISE نیاز به 3 جز اصلی می باشد:

  • ISE Node
  • Network Access Device (NAD)
  • Authentication Software

نرم افزار Cisco ISE با قابلیت نصب به عنوان یک سرور مجازی بر روی VMware ESXi یا بر سرورهای فیزیکی NCS سیسکو، نقش‌های متنوعی را در شبکه به عهده می‌گیرد، از جمله کنترل و مدیریت دسترسی‌ها که اصلی‌ترین وظیفه آن است. علاوه بر این، ISE به عنوان یک ابزار برای ایجاد و تجمیع گزارشات لحظه‌ای درباره فعالیت‌های کاربران و روش اتصالشان به شبکه عمل می‌کند. به علاوه، Network Access Devices (NAD) مانند سوئیچ‌های کاتالیست 9200 سیسکو در لایه دسترسی، به اجرای سیاست‌های امنیتی تدوین شده می‌پردازند. اجرای موفقیت‌آمیز Cisco ISE مستلزم داشتن Cisco License است که از قابلیت‌های کامل نرم‌افزار اطمینان حاصل کنند، این مجوزها اطمینان می‌دهند که کلیه امکانات و ویژگی‌های پیشرفته‌ای که ISE ارائه می‌دهد، قابل دسترس و فعال هستند.

همچنین، براي اینکه کاربران بتوانند نام کاربري و کلمات عبور خود را وارد کرده تا بتوانند به شبکه دسترسی پیدا کنند، نیازمند ابزار و یا نرم افزار خاصی می باشند. نرم افزاري که در این زمینه توسط سیسکو ارایه شده است Cisco AnyConnect می باشد. این نرم افزار روي سیستم کاربران نصب شده و بعد از پیکربندي اولیه،  می توانند براي احراز هویت کاربران مورد استفاده قرار گیرند. براي راه اندازی سیسکو ISE مدل هاي متفاوتی وجود دارند، که مستقیما به تعداد کاربران بستگی دارند. در ادامه مدل هایی که براي بسیاري از شبکه ها مناسب می باشند، ارایه شده است.

  • Standalone Deployment
  • Redundant (Basic) Deployment

براي شبکه هایی که تعداد کاربران آن ها کمتر از 5000 می باشد استفاده از Standalone Model پیشنهاد می گردد.

پیاده سازي و راه‌اندازی Cisco ISE

در حالت Redundant دو سرویس دهنده ISE راه اندازي می شود، که می توانند به صورت Backup یکدیگر عمل نمایند.

نحوه‌ی راه اندازی سیسکو ISE

با توجه به اینکه سرویس دهنده ISE روي ساختار Virtualized بسیار پایدار و Stable عمل می کند، پیشنهاد می شود که این سرویس بصورت سرور مجازی راه اندازی گردد. پیاده سازي تکنولوژی Cisco ISE قابلیت هاي بسیاري را به همراه خواهد داشت. در ادامه مهمترین این قابلیت ها توضیح داده شده است. براي پیاده سازي و راه اندازي Cisco ISE مراحل زیر باید صورت گیرد. به علاوه جهت کسب اطلاعات بیشتر و پاسخ به سوال ISE چیست؟ می‌توانید به صفحه مربوط به آن مراجعه کنید و یا با کارشناسان شرکت افزار پرداز هوشمند سورنا تماس حاصل فرمایید.

  • آماده سازي سوییچ ها جهت پشتیبانی از پروتکل 1X. (به روز رسانی IOS ها)
  • نصب و راه اندازي ISE Node و نقش هاي متفاوت در صورت استفاده از ساختار ESXi
  • آماده سازي سیستم عامل کاربران شبکه جهت پشتیبانی از نرم افزارهاي مربوط به Authentication و Posture مانند Cisco AnyConnect. همچنین برای اجرای کامل این مرحله، انجام موارد زیر الزامی است:

راه اندازي مکانیزم هاي provisioning (نصب خودکار) نرم افزارهاي مرتبط با Posture Assessment.

  • انجام پیکربندي هاي روي سوییچ ها جهت همکاري با سرویس دهنده ISE.
  • انجام پیکربندي هاي اولیه جهت برقراري ارتباط بین ISE و سوییچ هاي شبکه.
  • در نظر گرفتن Identity Store جهت احراز هویت کاربران. ( براي راه اندازي قابلیت SSO)
  • ایجاد یکپارچکی ( Integration ) بین External Identity Store وCisco ISE
  • پیکربندي سوییچ ها جهت پشتیبانی از پروتکل 1X در حالت Open Mode. (در فاز اولیه پیاده سازي پیشنهاد می شود که 802.1X در این حالت اجرا گردد تا کمترین اشکال را براي کاربران و کارشناسان Help-desk ایجاد نماید. در این حالت می توان مانیتورینگ کاملی در نحوه ارتباطات و مشکلات احتمالی کاربران انجام داد تا قبل از پیاده سازی فازهاي بعدي کلیه مشکلات کاربران در احراز هویت مشخص گردد.)
  • تدوین و پیاده سازي سیاست هاي امنیتی مورد نیاز (Dynamic VLAN Assignment)

در ادامه به مدل هاي مختلف این محصول و تعداد کاربرانی که توسط هر مدل پشتیبانی می شود در جدول زیر اشاره شده است.

Cisco Identity Services Engine Appliances
Cisco Identity Services Engine Appliances and Servers Product Number Endpoints Supported
Cisco Secure Network Server 3415 SNS-3415-K9 5,000
Cisco Secure Network Server 3495 SNS-3495-K9 20,000
Cisco Identity Services Engine 3315 Appliance ISE-3315-K9 3,000
Cisco Identity Services Engine 3355 Appliance ISE-3355-K9 5,000
Cisco Identity Services Engine 3395 Appliance ISE-3395-K9 10,000
Cisco Identity Services Engine Virtual Appliance ISE-VM-K9=
Bundle of 5 Cisco Identity Services Engine Virtual Appliances ISE-5VM-K9=
Bundle of 10 Cisco Identity Services Engine Virtual Appliances ISE-10VM-K9= L-ISE-10VM-K9=

 

 

 

 

 

 

 

 

با توجه به نقش کلیدي این محصول در شبکه ها و برای جلوگیري ازSingle Point Of Failure  می توانید از چندین ISE به صورت توزیع شده و یا Centralized براي Redundancy و بالا بردن Availability استفاده نمایید. با توجه به توضیحات و مزایایی که در ارتباط با سرویس دهنده ISE ارایه گردید. نحوه قرار گیری و ارتباط دستگاه هاي مختلف با یکدیگر در توپولوژی Logical زیر ارایه شده است.

توپولوژی Logical در سیسکو ISE

برای راه اندازی سیسکو ISE، این محصول باید در بخش Server-Farm فایروال قرار گیرد و همچنین براي افزایش High-availability دو سرویس دهنده با نقش هاي Primary وSecondary  پیشنهاد می گردد. روي کلیه سوییچ ها نیز باید قابلیت 802.1x پیکربندي گردد. تا بتوانند با Cisco ISE ارتباط برقرار نمایند. همانطور که در تصویر مشخص می باشد کلیه کاربران براي احزار هویت با Cisco ISE ارتباط برقرار می کنند.

لایسنس سیسکو ISE

براي فعال کردن قابلیت هاي ذکر شده، Cisco ISE داراي License هاي مختلفی می باشد. به طور کلی این لیسانس ها در 3 پکیچ ارایه شده است. در شکل زیر قابلیت هایی که با نصب هر لیسانس فعال می شود، ارایه شده است.

Cisco ISE_Introducing modern security technologies - launching Cisco ISE_لایسنس ISE

لازم بذکر است بر اساس اطلاعات موجود در جدول فوق، براي فعال کردن قابلیت هاي ارزشمند Security Group Access و Posture Assessment، راه اندازی سیسکو ISE نیاز به نصب لیسانس Premier خواهد داشت. همچنین نحوه Licensing این سرویس دهنده بر اساس تعداد کاربران همزمان می باشد. علاوه بر موارد بالا، مشتریان میتوانند با استفاده از لایسنس PLR سیسکو ISE از تمامی قابلیت های Primier و فول این نرم افزار بهره مند شوند. همچنین این لایسنس شامل لایسنس Device Admin سیسکو ISE و لایسنس VM سیسکو ISE نیز خواهد شد. لایسنس های PLR سیسکو به راهکار Licensing آفلاین و دائمی این شرکت گفته میشود.

PHP Code Snippets Powered By : XYZScripts.com
Golicense
سبد خرید

هیچ محصولی در سبد خرید نیست.