Cisco ISE (Identity Services Engine) یکی از تکنولوژیهای پیشرفته و مدرن امنیتی است که به عنوان یک راهکار جامع برای مدیریت دسترسی و احراز هویت شبکه عمل میکند. این سیستم، با ایجاد یک محیط شبکه متمرکز و امن، به سازمانها این امکان را میدهد تا دسترسیها را بر اساس هویت کاربران، دستگاهها و وضعیت امنیتی و دستگاههای متصل به شبکه کنترل کنند. Cisco ISE از قابلیتهایی نظیر احراز هویت چندعاملی، سیاستگذاری و تجزیه و تحلیل تهدیدات برای فراهم آوردن دید کامل به ترافیک شبکه و تقویت امنیت دادهها بهره میبرد. این راهکار نه تنها به کاهش خطر نقض دادهها کمک میکند، بلکه با ارائه ابزارهای قدرتمند برای مدیریت دسترسی و ردیابی ترافیک شبکه، به مدیران IT این امکان را میدهد که به سرعت و به طور مؤثر به تهدیدات امنیتی پاسخ دهند. در ادامه نحوه راه اندازی سیسکو ISE را شرح خواهیم داد.
معرفی تکنولوژی های مدرن امنیتی – راه اندازی سیسکو ISE
روش های احراز هویت در سیسکو ISE
وقتی صحبت از راهاندازی Cisco ISE میشود، موضوع احراز هویت یکی از اصلیترین قسمتها میباشد. Cisco ISE یک مجموعه متنوع از روشهای احراز هویت را ارائه میدهد، که شامل احراز هویت چندعاملی، احراز هویت بر اساس Certificate و حتی احراز هویت براساس مک آدرس (MAC) میباشد. این تنوع اطمینان میدهد که هر سازمانی توانمندی این را داشته باشد که تنظیمات امنیتیاش رو بر اساس نیازهای خاص خودش و با توجه به سطح دسترسی کاربران و دستگاهها انجام بدهد. وقتی Cisco ISE را راهاندازی میکنید، به شما قدرت انتخاب میدهد که چطور میخواهید کاربران و دستگاههایتان احراز هویت شوند، با این قابلیت شما میتونید اطمینان حاصل کنید که تنها افراد و دستگاههای مجاز میتوانند به منابع شبکه دسترسی پیدا کنند.
سرویس دهنده ISE با پشتیبانی از قابلیت Single-Sign On (SSO)، می تواند با Active Directory به صورت یکپارچه عمل نماید. در نتیجه این هماهنگی کاربران فقط یکبار و آن هم در زمان اتصال به شبکه نیازمند وارد کردن نام کاربري و کلمه عبور خود می باشد. همچنین پشتیبانی از قابلیت Mac Authentication Bypass (MAB) باعث می شود دستگاه هایی که نمی توانند از نام کاربري و کلمه عبور براي Authentication، استفاده کنند، نیز احراز هویت گردند.
قابلیت Posture Assessment
این ویژگی یکی از مهمترین قابلیت هایی است که در راستای کنترل سطح دسترسی کاربران باید راه اندازي گردد، مسئولین شبکه با استفاده از قابلیت Posture Assessment میتوانند از سلامت و Clean بودن سیستم ها و دستگاه هاي (End Pointها) اطمینان حاصل نمایند. به طور مثال مسئولین شبکه می توانند چک کنند که اگرAntivirus و یا Antispyware موجود برروي سیستم کاربران به روز نباشد اجازه دسترسی به منابع شبکه را نداشته باشد و یا کاربر را در VLAN و یا شرایطی قرار دهند که ابتدا مشکل سیستم و دستگاه اش را مرتفع کرده و سپس به شبکه دسترسی پیدا کنند. این قابلیت می تواند موارد زیر را چک کند:
- Antivirus
- Antispam & Antispyware
- Firewall
- Registry – Check
- File Check
- Windows Hot Fix
- Windows Service pack
- Application
بر اساس نتیجه بررسی هریک از موارد بالا، می توان سیاست هاي امنیتی ذیل را براي کاربر طراحی نمود:
- قابلیت مدیریت کاربران مهمان (Guest Management) به صورت Built-in
- قابلیت ارایه گزارشات Real-time و جامع از فعالیت کاربران
- ارایه ابزارهای عیب یابی و Troubleshooting
پیاده سازي و راه اندازی سیسکو ISE
براي راهاندازی Cisco ISE نیاز به 3 جز اصلی می باشد:
- ISE Node
- Network Access Device (NAD)
- Authentication Software
نرم افزار Cisco ISE با قابلیت نصب به عنوان یک سرور مجازی بر روی VMware ESXi یا بر روی سرورهای فیزیکی NCS سیسکو، نقشهای متنوعی را در شبکه به عهده میگیرد، از جمله کنترل و مدیریت دسترسیها که اصلیترین وظیفه آن است. علاوه بر این، ISE به عنوان یک ابزار برای ایجاد و تجمیع گزارشات لحظهای درباره فعالیتهای کاربران و روش اتصالشان به شبکه عمل میکند. به علاوه، Network Access Devices (NAD) مانند سوئیچهای کاتالیست 9200 سیسکو در لایه دسترسی، به اجرای سیاستهای امنیتی تدوین شده میپردازند. اجرای موفقیتآمیز Cisco ISE مستلزم داشتن Cisco License است که از قابلیتهای کامل نرمافزار اطمینان حاصل کنند، این مجوزها اطمینان میدهند که کلیه امکانات و ویژگیهای پیشرفتهای که ISE ارائه میدهد، قابل دسترسی و فعال هستند.
همچنین، براي اینکه کاربران بتوانند نام کاربري و کلمات عبور خود را وارد کرده تا بتوانند به شبکه دسترسی پیدا کنند، نیازمند ابزار و یا نرم افزار خاصی می باشد. نرم افزاري که در این زمینه توسط سیسکو ارایه شده است Cisco AnyConnect می باشد. این نرم افزار روي سیستم کاربران نصب شده و بعد از پیکربندي اولیه، می تواند براي احراز هویت کاربران مورد استفاده قرار گیرد. براي راه اندازی سیسکو ISE مدل هاي متفاوتی وجود دارد که مستقیما به تعداد کاربران بستگی دارد. در ادامه مدل هایی که براي بسیاري از شبکه ها مناسب می باشد، ارائه شده است.
- Standalone Deployment
- Redundant (Basic) Deployment
براي شبکه هایی که تعداد کاربران آن ها کمتر از 5000 می باشد استفاده از Standalone Model پیشنهاد می گردد.
در حالت Redundant دو سرویس دهنده ISE راه اندازي می شود، که می توانند به صورت Backup یکدیگر عمل نمایند.
با توجه به اینکه سرویس دهنده ISE روي ساختار Virtualized بسیار پایدار و Stable عمل می کند، پیشنهاد می شود که این سرویس بصورت سرور مجازی راه اندازی گردد. پیاده سازي تکنولوژی Cisco ISE قابلیت هاي بسیاري را به همراه خواهد داشت. در ادامه مهمترین این قابلیت ها توضیح داده شده است. براي پیاده سازي و راه اندازي Cisco ISE مراحل زیر باید صورت گیرد. به علاوه جهت کسب اطلاعات بیشتر و پاسخ به سوال ISE چیست؟ میتوانید به صفحه مربوط به آن مراجعه کنید و یا با کارشناسان شرکت افزار پرداز هوشمند سورنا تماس حاصل فرمایید.
- آماده سازي سوئیچ ها جهت پشتیبانی از پروتکل 1X (به روز رسانی IOS ها)
- نصب و راه اندازي ISE Node و نقش هاي متفاوت در صورت استفاده از ساختار ESXi
- آماده سازي سیستم عامل کاربران شبکه جهت پشتیبانی از نرم افزارهاي مربوط به Authentication و Posture مانند Cisco AnyConnect. همچنین برای اجرای کامل این مرحله، انجام موارد زیر الزامی است:
- راه اندازي مکانیزم هاي provisioning (نصب خودکار) نرم افزارهاي مرتبط با Posture Assessment
- انجام پیکربندي روي سوئیچ ها جهت همکاري با سرویس دهنده ISE
- انجام پیکربندي هاي اولیه جهت برقراري ارتباط بین ISE و سوییچ هاي شبکه
- در نظر گرفتن Identity Store جهت احراز هویت کاربران (براي راه اندازي قابلیت SSO)
- ایجاد یکپارچکی (Integration) بین External Identity Store و Cisco ISE
- پیکربندي سوئیچ ها جهت پشتیبانی از پروتکل 1X در حالت Open Mode (در فاز اولیه پیاده سازي پیشنهاد می شود که 802.1X در این حالت اجرا گردد تا کمترین اشکال را براي کاربران و کارشناسان Help-desk ایجاد نماید. در این حالت می توان مانیتورینگ کاملی در نحوه ارتباطات و مشکلات احتمالی کاربران انجام داد تا قبل از پیاده سازی فازهاي بعدي کلیه مشکلات کاربران در احراز هویت مشخص گردد)
- تدوین و پیاده سازي سیاست هاي امنیتی مورد نیاز (Dynamic VLAN Assignment)
در جدول زیر به مدل هاي مختلف این محصول و تعداد کاربرانی که توسط هر مدل پشتیبانی می شوند، اشاره شده است:
Cisco Identity Services Engine Appliances | ||
Cisco Identity Services Engine Appliances and Servers | Product Number | Endpoints Supported |
Cisco Secure Network Server 3415 | SNS-3415-K9 | 5,000 |
Cisco Secure Network Server 3495 | SNS-3495-K9 | 20,000 |
Cisco Identity Services Engine 3315 Appliance | ISE-3315-K9 | 3,000 |
Cisco Identity Services Engine 3355 Appliance | ISE-3355-K9 | 5,000 |
Cisco Identity Services Engine 3395 Appliance | ISE-3395-K9 | 10,000 |
Cisco Identity Services Engine Virtual Appliance | ISE-VM-K9= | – |
Bundle of 5 Cisco Identity Services Engine Virtual Appliances | ISE-5VM-K9= | – |
Bundle of 10 Cisco Identity Services Engine Virtual Appliances | ISE-10VM-K9= | L-ISE-10VM-K9= |
با توجه به نقش کلیدي این محصول در شبکه ها و برای جلوگیري از Single Point Of Failure می توانید از چندین ISE به صورت توزیع شده و یا Centralized براي Redundancy و بالا بردن Availability استفاده نمایید. با توجه به توضیحات و مزایایی که در ارتباط با سرویس دهنده ISE ارائه گردید، نحوه قرار گیری و ارتباط دستگاه هاي مختلف با یکدیگر در توپولوژی Logical زیر ارائه شده است.
برای راه اندازی سیسکو ISE، این محصول باید در بخش Server-Farm فایروال قرار گیرد و همچنین براي افزایش High-availability دو سرویس دهنده با نقش هاي Primary وSecondary پیشنهاد می گردد. روي کلیه سوئیچ ها نیز باید قابلیت 802.1x پیکربندي گردد. تا بتوانند با Cisco ISE ارتباط برقرار نمایند. همانطور که در تصویر مشخص می باشد کلیه کاربران براي احزار هویت با Cisco ISE ارتباط برقرار می کنند.
لایسنس سیسکو ISE
براي فعال کردن قابلیت هاي ذکر شده، Cisco ISE داراي License هاي مختلفی می باشد. به طور کلی این لایسنس ها در 3 پکیچ ارایه شده است. در شکل زیر قابلیت هایی که با نصب هر لایسنس فعال می شود، ارائه شده است.
لازم بذکر است بر اساس اطلاعات موجود در جدول فوق، براي فعال کردن قابلیت هاي ارزشمند Security Group Access و Posture Assessment، راه اندازی سیسکو ISE نیاز به نصب لایسنس Premier خواهد داشت. همچنین نحوه Licensing این سرویس دهنده بر اساس تعداد کاربران همزمان می باشد. علاوه بر موارد بالا، مشتریان میتوانند با استفاده از لایسنس PLR سیسکو ISE از تمامی قابلیت های Primier و فول این نرم افزار بهره مند شوند. همچنین این لایسنس شامل لایسنس Device Admin سیسکو ISE و لایسنس VM سیسکو ISE نیز خواهد شد. لایسنس های PLR سیسکو به راهکار Licensing آفلاین و دائمی این شرکت گفته میشود.
جمع بندی
سیسکو ISE Cisco Identity Services Engine (ISE) یک پلتفرم جامع و یکپارچه برای مدیریت و امنیت شبکههای کامپیوتری است که به سازمانها کمک میکند تا دسترسیهای کاربران را به صورت متمرکز مدیریت کرده و امنیت شبکههای خود را ارتقاء دهند. این لایسنس شامل ویژگی های گزارشدهی و تحلیل، ارزیابی و پایش سلامت دستگاه، یکپارچگی با سایر محصولات سیسکو، مدیریت هویت و دستگاه، کنترل دسترسی مبتنی بر نقش (RBAC) می باشد.