Cisco ISE (Identity Services Engine) یکی از تکنولوژیهای پیشرفته و مدرن امنیتی است که به عنوان یک راهکار جامع برای مدیریت دسترسی و احراز هویت شبکه عمل میکند. این سیستم، با ایجاد یک محیط شبکه متمرکز و امن، به سازمانها این امکان را میدهد تا دسترسیها را بر اساس هویت کاربران، دستگاهها و وضعیت امنیتی و دستگاههای متصل به شبکه کنترل کنند. راه اندازی سیسکو ISE به سازمانها این امکان را میدهد تا با استفاده از قابلیتهایی نظیر احراز هویت چندعاملی، سیاستگذاری و تجزیه و تحلیل تهدیدات، دید کامل به ترافیک شبکه داشته باشند و امنیت دادهها را تقویت کنند.
برای راه اندازی Cisco ISE، مدیران IT میتوانند از ابزارهای پیشرفتهای که این پلتفرم ارائه میدهد برای مدیریت دسترسی و ردیابی ترافیک شبکه استفاده کنند. علاوه بر این، فرآیند فعالسازی سیسکو ISE نه تنها به کاهش خطر نقض دادهها کمک میکند، بلکه به مدیران این امکان را میدهد که به سرعت و به طور مؤثر به تهدیدات امنیتی پاسخ دهند. در ادامه، نحوه راه اندازی سیسکو ISE را شرح خواهیم داد.
معرفی تکنولوژی های مدرن امنیتی – راه اندازی سیسکو ISE
روش های احراز هویت در سیسکو ISE
وقتی صحبت از راهاندازی Cisco ISE میشود، موضوع احراز هویت یکی از اصلیترین قسمتها میباشد. Cisco ISE یک مجموعه متنوع از روشهای احراز هویت را ارائه میدهد، که شامل احراز هویت چندعاملی، احراز هویت بر اساس Certificate و حتی احراز هویت براساس مک آدرس (MAC) میباشد.
این تنوع اطمینان میدهد که هر سازمانی توانمندی این را داشته باشد که تنظیمات امنیتیاش رو بر اساس نیازهای خاص خودش و با توجه به سطح دسترسی کاربران و دستگاهها انجام بدهد. پس از راه اندازی سیسکو ISE این امکان را به شما میدهد که چطور میخواهید کاربران و دستگاههایتان احراز هویت شوند، با این قابلیت شما میتونید اطمینان حاصل کنید که تنها افراد و دستگاههای مجاز میتوانند به منابع شبکه دسترسی پیدا کنند.
سرویسدهنده ISE با پشتیبانی از قابلیت Single-Sign On (SSO)، میتواند با Active Directory به صورت یکپارچه عمل نماید. در نتیجه این هماهنگی، کاربران فقط یکبار و آن هم در زمان اتصال به شبکه نیازمند وارد کردن نام کاربری و کلمه عبور خود میباشند. همچنین پشتیبانی از قابلیت Mac Authentication Bypass (MAB) باعث میشود دستگاههایی که نمیتوانند از نام کاربری و کلمه عبور برای Authentication استفاده کنند، نیز احراز هویت گردند. این قابلیتها تحت لایسنس سیسکو ISE قابل دسترسی هستند و به سازمانها کمک میکنند تا فرآیندهای احراز هویت را به شکلی مؤثر و امن مدیریت کنند.
قابلیت Posture Assessment
این ویژگی یکی از مهمترین قابلیتهایی است که در راستای کنترل سطح دسترسی کاربران باید فعالسازی سیسکو ISE گردد. مسئولین شبکه با استفاده از قابلیت Posture Assessment میتوانند از سلامت و Clean بودن سیستمها و دستگاههای (End Pointها) اطمینان حاصل نمایند. به طور مثال، مسئولین شبکه میتوانند چک کنند که اگر Antivirus و یا Antispyware موجود بر روی سیستم کاربران به روز نباشد، اجازه دسترسی به منابع شبکه را نداشته باشند و یا کاربر را در VLAN و یا شرایطی قرار دهند که ابتدا مشکل سیستم و دستگاهش را مرتفع کرده و سپس به شبکه دسترسی پیدا کنند. این قابلیت میتواند موارد زیر را چک کند:
- Antivirus
- Antispam & Antispyware
- Firewall
- Registry – Check
- File Check
- Windows Hot Fix
- Windows Service pack
- Application
بر اساس نتیجه بررسی هریک از موارد بالا، می توان سیاست هاي امنیتی ذیل را براي کاربر طراحی نمود:
- قابلیت مدیریت کاربران مهمان (Guest Management) به صورت Built-in
- قابلیت ارایه گزارشات Real-time و جامع از فعالیت کاربران
- ارایه ابزارهای عیب یابی و Troubleshooting
پیاده سازي و راه اندازی سیسکو ISE
براي راه اندازی سیسکو ISE نیاز به 3 جز اصلی می باشد:
- ISE Node
- Network Access Device (NAD)
- Authentication Software
نرم افزار Cisco ISE با قابلیت نصب به عنوان یک سرور مجازی بر روی VMware ESXi یا بر روی سرورهای فیزیکی NCS سیسکو، نقشهای متنوعی را در شبکه به عهده میگیرد، از جمله کنترل و مدیریت دسترسیها که اصلیترین وظیفه آن است. علاوه بر این، ISE به عنوان یک ابزار برای ایجاد و تجمیع گزارشات لحظهای درباره فعالیتهای کاربران و روش اتصالشان به شبکه عمل میکند.
به علاوه، Network Access Devices (NAD) مانند سوئیچهای کاتالیست 9200 سیسکو در لایه دسترسی، به اجرای سیاستهای امنیتی تدوین شده میپردازند. اجرای راه اندازی Cisco ISE مستلزم داشتن Cisco License است که از قابلیتهای کامل نرمافزار اطمینان حاصل کنند، این مجوزها اطمینان میدهند که کلیه امکانات و ویژگیهای پیشرفتهای که ISE ارائه میدهد، قابل دسترسی و فعال هستند.
همچنین، براي اینکه کاربران بتوانند نام کاربري و کلمات عبور خود را وارد کرده تا بتوانند به شبکه دسترسی پیدا کنند، نیازمند ابزار و یا نرم افزار خاصی می باشد. نرم افزاري که در این زمینه توسط سیسکو ارایه شده است Cisco AnyConnect می باشد. این نرم افزار روي سیستم کاربران نصب شده و بعد از پیکربندي اولیه، می تواند براي احراز هویت کاربران مورد استفاده قرار گیرد. براي فعالسازی سیسکو ISE مدل هاي متفاوتی وجود دارد که مستقیما به تعداد کاربران بستگی دارد. در ادامه مدل هایی که براي بسیاري از شبکه ها مناسب می باشد، ارائه شده است.
- Standalone Deployment
- Redundant (Basic) Deployment
براي شبکه هایی که تعداد کاربران آن ها کمتر از 5000 می باشد استفاده از Standalone Model پیشنهاد می گردد.
در حالت Redundant دو سرویس دهنده ISE راه اندازي می شود، که می توانند به صورت Backup یکدیگر عمل نمایند.
با توجه به اینکه سرویس دهنده ISE روي ساختار Virtualized بسیار پایدار و Stable عمل می کند، پیشنهاد می شود که این سرویس بصورت سرور مجازی راه اندازی گردد. راه اندازی سیسکو ISE قابلیت هاي بسیاري را به همراه خواهد داشت. در ادامه مهمترین این قابلیت ها توضیح داده شده است. براي پیاده سازي و راه اندازي Cisco ISE مراحل زیر باید صورت گیرد. همچنین شما میتوانید جهت کسب اطلاعات بیشتر و پاسخ به سوال ISE چیست؟ به صفحه مربوط به آن مراجعه کنید و یا با کارشناسان شرکت افزار پرداز هوشمند سورنا تماس حاصل فرمایید.
- آماده سازي سوئیچ ها جهت پشتیبانی از پروتکل 1X (به روز رسانی IOS ها)
- نصب و راه اندازي ISE Node و نقش هاي متفاوت در صورت استفاده از ساختار ESXi
- آماده سازي سیستم عامل کاربران شبکه جهت پشتیبانی از نرم افزارهاي مربوط به Authentication و Posture مانند Cisco AnyConnect. همچنین برای اجرای کامل این مرحله، انجام موارد زیر الزامی است:
- راه اندازي مکانیزم هاي provisioning (نصب خودکار) نرم افزارهاي مرتبط با Posture Assessment
- انجام پیکربندي روي سوئیچ ها جهت همکاري با سرویس دهنده ISE
- انجام پیکربندي هاي اولیه جهت برقراري ارتباط بین ISE و سوییچ هاي شبکه
- در نظر گرفتن Identity Store جهت احراز هویت کاربران (براي راه اندازي قابلیت SSO)
- ایجاد یکپارچکی (Integration) بین External Identity Store و Cisco ISE
- پیکربندي سوئیچ ها جهت پشتیبانی از پروتکل 1X در حالت Open Mode (در فاز اولیه پیاده سازي پیشنهاد می شود که 802.1X در این حالت اجرا گردد تا کمترین اشکال را براي کاربران و کارشناسان Help-desk ایجاد نماید. در این حالت می توان مانیتورینگ کاملی در نحوه ارتباطات و مشکلات احتمالی کاربران انجام داد تا قبل از پیاده سازی فازهاي بعدي کلیه مشکلات کاربران در احراز هویت مشخص گردد)
- تدوین و پیاده سازي سیاست هاي امنیتی مورد نیاز (Dynamic VLAN Assignment)
در جدول زیر به مدل هاي مختلف این محصول و تعداد کاربرانی که توسط هر مدل پشتیبانی می شوند، اشاره شده است:
| Cisco Identity Services Engine Appliances | ||
| Cisco Identity Services Engine Appliances and Servers | Product Number | Endpoints Supported |
| Cisco Secure Network Server 3415 | SNS-3415-K9 | 5,000 |
| Cisco Secure Network Server 3495 | SNS-3495-K9 | 20,000 |
| Cisco Identity Services Engine 3315 Appliance | ISE-3315-K9 | 3,000 |
| Cisco Identity Services Engine 3355 Appliance | ISE-3355-K9 | 5,000 |
| Cisco Identity Services Engine 3395 Appliance | ISE-3395-K9 | 10,000 |
| Cisco Identity Services Engine Virtual Appliance | ISE-VM-K9= | – |
| Bundle of 5 Cisco Identity Services Engine Virtual Appliances | ISE-5VM-K9= | – |
| Bundle of 10 Cisco Identity Services Engine Virtual Appliances | ISE-10VM-K9= | L-ISE-10VM-K9= |
با توجه به نقش کلیدی این محصول در شبکهها و برای جلوگیری از Single Point of Failure، میتوانید از چندین ISE به صورت توزیعشده و یا Centralized برای Redundancy و بالا بردن Availability استفاده نمایید. در این راستا، پس از فعالسازی سیسکو ISE، میتوان توپولوژی شبکه را به گونهای تنظیم کرد که قابلیتهای مقیاسپذیری و پایداری بهبود یابد. با توجه به توضیحات و مزایایی که در ارتباط با سرویسدهنده ISE ارائه گردید، نحوه قرارگیری و ارتباط دستگاههای مختلف با یکدیگر در توپولوژی Logical زیر ارائه شده است.
برای راه اندازی سیسکو ISE، این محصول باید در بخش Server-Farm فایروال قرار گیرد و همچنین براي افزایش High-availability دو سرویس دهنده با نقش هاي Primary وSecondary پیشنهاد می گردد. روي کلیه سوئیچ ها نیز باید قابلیت 802.1x پیکربندي گردد. تا بتوانند با Cisco ISE ارتباط برقرار نمایند. همانطور که در تصویر مشخص می باشد کلیه کاربران براي احزار هویت با Cisco ISE ارتباط برقرار می کنند.
لایسنس سیسکو ISE
برای فعالسازی قابلیتهای ذکر شده، لایسنس سیسکو ISE در انواع مختلفی ارائه میشود. به طور کلی، این لایسنسها در سه پکیج مختلف قابل دسترسی هستند. در شکل زیر، قابلیتهایی که با نصب هر یک از لایسنسهای سیسکو فعال میشوند، نمایش داده شده است.
لازم بذکر است بر اساس اطلاعات موجود در جدول فوق، براي فعال کردن قابلیت هاي ارزشمند Security Group Access و Posture Assessment، راه اندازی سیسکو ISE نیاز به نصب لایسنس Premier خواهد داشت. همچنین نحوه Licensing این سرویس دهنده بر اساس تعداد کاربران همزمان می باشد. علاوه بر موارد بالا، مشتریان میتوانند با استفاده از لایسنس PLR سیسکو ISE از تمامی قابلیت های Primier و فول این نرم افزار بهره مند شوند. همچنین این لایسنس شامل لایسنس Device Admin سیسکو ISE و لایسنس VM سیسکو ISE نیز خواهد شد. لایسنس های PLR سیسکو به راهکار Licensing آفلاین و دائمی این شرکت گفته میشود.
جمع بندی
سیسکو ISE Cisco Identity Services Engine (ISE) یک پلتفرم جامع و یکپارچه برای مدیریت و امنیت شبکههای کامپیوتری است که به سازمانها کمک میکند تا دسترسیهای کاربران را به صورت متمرکز مدیریت کرده و امنیت شبکههای خود را ارتقاء دهند. راه اندازی سیسکو ISE به سازمانها این امکان را میدهد تا از ویژگیهای پیشرفتهای مانند گزارشدهی و تحلیل، ارزیابی و پایش سلامت دستگاهها و فعالسازی سیسکو ISE برای تقویت یکپارچگی با سایر محصولات سیسکو بهرهمند شوند. علاوه بر این، این پلتفرم با قابلیت راه اندازی Cisco ISE امکان مدیریت هویت و دستگاهها و کنترل دسترسی مبتنی بر نقش (RBAC) را به شیوهای کارآمد فراهم میکند.