شرکت افزارپرداز هوشمند سورنا

دسته بندی محصولات

شرکت افزارپرداز هوشمند سورنا

دسته بندی محصولات

معرفی تکنولوژی های مدرن امنیتی – راه اندازی سیسکو ISE

در قسمت اول از این سری از مطالب درمورد معرفی تکنولوژی های مدرن امنیتی (سیسکو ISE) به تفضیل صحبت کردیم. در این قسمت قصد داریم به قابلیت های دیگر این محصول پرقدرت سیسکو و نحوه راه اندازی آن بپردازیم.

راه اندازی سیسکو ISE_لایسنس ISE

معرفی تکنولوژی های مدرن امنیتی – راه اندازی سیسکو ISE

روش های احراز هویت در سیسکو ISE

سرویس دهنده ISE با پشتیبانی از قابلیت Single-Sign On (SSO)، می تواند با Active Directory به صورت یکپارچه عمل نماید. در نتیجه این هماهنگی کاربران فقط یکبار و آن هم در زمان اتصال به شبکه نیازمند وارد کردن نام کاربري و کلمه عبور خود می باشند. همچنین پشتیبانی از قابلیت Mac Authentication Bypass (MAB) دستگاه هایی که نمی توانند از نام کاربري و کلمه عبور براي Authentication، استفاده کنند ، نیز می توانند احراز هویت گردند.

قابلیت Posture Assessment

این ویژگی یکی از مهمترین قابلیت هایی است که در راستاي کنترل سطح دسترسی کاربران باید راه اندازي گردد، مسئولین شبکه با استفاده از قابلیت Posture Assessment می توانند از سلامت و Clean بودن سیستم ها و  دستگاه هاي (End Point  ها) اطمینان حاصل نمایند. به طور مثال مسئولین شبکه می توانند چک کنند که اگرAntivirus  و یا Antispyware موجود برروي سیستم کاربران به روز نباشد اجازه دسترسی به منابع شبکه را نداشته باشند و یا کاربر را در VLAN و یا شرایطی قرار دهند که ابتدا مشکل سیستم و دستگاه اش را مرتفع کرده و سپس به شبکه دسترسی پیدا کنند. این قابلیت می تواند موارد زیر را چک کند:

  • Antivirus
  • Antispam & Antispyware
  • Firewall
  • Registry – Check
  • File Check
  • Windows Hot Fix
  • Windows Service pack
  • Application

بر اساس نتیجه بررسی هریک از موارد بالا، می توان سیاست هاي امنیتی ذیل را براي کاربر طراحی نمود:

  • قابلیت مدیریت کاربران مهمان (Guest Management ) به صورت Built-in در این سرویس دهنده تعبیه شده است.
  • قابلیت ارایه گزارشات Real-time و جامع از فعالیت کاربران.
  • ارایه ابزارهای عیب یابی و Troubleshooting

پیاده سازي سیسکو ISE

براي پیاده سازي سیسکو ISE نیاز به 3 جز اصلی می باشد:

  • ISE Node
  • Network Access Device (NAD)
  • Authentication Software

نرم افزار ISE به صورت سرور مجازی برروی VMware ESXi و یا سرورهای فیزیکی NCS سیسکو ارایه گردیده است و میتواند نقش هاي متفاوتی را در شبکه ارایه نماید. اصلی ترین نقش ISE، کنترل و مدیریت دسترسی ها می باشد . علاوه بر این، ISE می تواند به عنوان ابزاري براي ارایه و جمع آوري گزارشات لحظه ای در ارتباط با فعالیت کاربران و نحوه اتصال آن ها با شبکه ارایه نماید. بعنوان جزء بعدیNAD ها به نوعی اعمال کننده کلیه سیاست هاي امنیتی تدوین شده می باشند. در این راستا سوییچ هاي کاتالیست 9200 سیسکو در لایه Access بعنوان Network Access Device مورد استفاده قرار میگیرند.

همچنین، براي اینکه کاربران بتوانند نام کاربري و کلمات عبور خود را وارد کرده تا بتوانند به شبکه دسترسی پیدا کنند، نیازمند ابزار و یا نرم افزار خاصی می باشند. نرم افزاري که در این زمینه توسط سیسکو ارایه شده است Cisco AnyConnect می باشد. این نرم افزار روي سیستم کاربران نصب شده و بعد از پیکربندي اولیه،  می توانند براي احراز هویت کاربران مورد استفاده قرار گیرند. براي پیاده سازي ISE مدل هاي متفاوتی وجود دارند، که مستقیما به تعداد کاربران بستگی دارند. در ادامه مدل هایی که براي بسیاري از شبکه ها مناسب می باشند، ارایه شده است.

  • Standalone Deployment
  • Redundant (Basic) Deployment

براي شبکه هایی که تعداد کاربران آن ها کمتر از 5000 می باشد استفاده از Standalone Model پیشنهاد می گردد.

راه اندازی سیسکو ISE_لایسنس سیسکو ISE

معرفی تکنولوژی های مدرن امنیتی – راه اندازی سیسکو ISE

در حالت Redundant دو سرویس دهنده ISE راه اندازي می شود، که می توانند به صورت Backup یکدیگر عمل نمایند.

سرویس دهنده ISE_لایسنس ISE

معرفی تکنولوژی های مدرن امنیتی – راه اندازی سیسکو ISE

با توجه به اینکه سرویس دهنده ISE روي ساختار Virtualized بسیار پایدار و Stable عمل می کند، پیشنهاد می شود که این سرویس بصورت سرور مجازی راه اندازی گردد. پیاده سازي تکنولوژيCisco ISE  قابلیت هاي بسیاري را به همراه خواهد داشت. در ادامه مهمترین این قابلیت ها توضیح داده شده است. براي پیاده سازي و راه اندازي Cisco ISE مراحل زیر باید صورت گیرد:

  • آماده سازي سوییچ ها جهت پشتیبانی از پروتکل 1X. ( به روز رسانی IOS ها )
  • نصب و راه اندازي ISE Node و نقش هاي متفاوت در صورت استفاده از ساختار ESXi
  • آماده سازي سیستم عامل کاربران شبکه جهت پشتیبانی از نرم افزارهاي مربوط به Authentication و Posture مانند Cisco AnyConnect. همچنین برای اجرای کامل این مرحله، انجام موارد زیر الزامی است:

راه اندازي مکانیزم هاي provisioning( نصب خودکار) نرم افزارهاي مرتبط با Posture Assessment.

  • انجام پیکربندي هاي روي سوییچ ها جهت همکاري با سرویس دهنده ISE.
  • انجام پیکربندي هاي اولیه جهت برقراري ارتباط بین ISE و سوییچ هاي شبکه.
  • در نظر گرفتن Identity Store جهت احراز هویت کاربران. ( براي راه اندازي قابلیت SSO)
  • ایجاد یکپارچکی ( Integration ) بین External Identity Store وCisco ISE
  • پیکربندي سوییچ ها جهت پشتیبانی از پروتکل 1X در حالت Open Mode. ( در فاز اولیه پیاده سازي پیشنهاد می شود که 802.1X در این حالت اجرا گردد تا کمترین اشکال را براي کاربران و کارشناسان Help-desk ایجاد نماید. در این حالت می توان مانیتورینگ کاملی در نحوه ارتباطات و مشکلات احتمالی کاربران انجام داد تا قبل از پیاده سازي فازهاي بعدي کلیه مشکلات کاربران در احراز هویت مشخص گردد.)
  • تدوین و پیاده سازي سیاست هاي امنیتی مورد نیاز (Dynamic VLAN Assignment)

در ادامه به مدل هاي مختلف این محصول و تعداد کاربرانی که توسط هر مدل پشتیبانی می شود در جدول زیر اشاره شده است.

Cisco Identity Services Engine Appliances
Cisco Identity Services Engine Appliances and Servers Product Number Endpoints Supported
Cisco Secure Network Server 3415 SNS-3415-K9 5,000
Cisco Secure Network Server 3495 SNS-3495-K9 20,000
Cisco Identity Services Engine 3315 Appliance ISE-3315-K9 3,000
Cisco Identity Services Engine 3355 Appliance ISE-3355-K9 5,000
Cisco Identity Services Engine 3395 Appliance ISE-3395-K9 10,000
Cisco Identity Services Engine Virtual Appliance ISE-VM-K9=
Bundle of 5 Cisco Identity Services Engine Virtual Appliances ISE-5VM-K9=
Bundle of 10 Cisco Identity Services Engine Virtual Appliances ISE-10VM-K9= L-ISE-10VM-K9=

 

 

 

 

 

 

 

 

با توجه به نقش کلیدي این محصول در شبکه ها و براي جلوگیري ازSingle Point Of Failure  می توانید از چندین ISE به صورت توزیع شده و یا Centralized براي Redundancy و بالا بردن Availability استفاده نمایید. با توجه به توضیحات و مزایایی که در ارتباط با سرویس دهنده ISE ارایه گردید.  نحوه قرار گیري و ارتباط دستگاه هاي مختلف با یکدیگر در توپولوژي Logical زیر ارایه شده است.

توپولوژي Logical_لایسنس سیسکو ISE

معرفی تکنولوژی های مدرن امنیتی – راه اندازی سیسکو ISE

سرویس دهنده ISE باید در بخش Server-Farm فایروال قرار گیرد و همچنین براي افزایش High-availability دو سرویس دهنده با نقش هاي Primary وSecondary  پیشنهاد می گردد. روي کلیه سوییچ ها نیز باید قابلیت 802.1x پیکربندي گردد. تا بتوانند با Cisco ISE ارتباط برقرار نمایند. همانطور که در تصویر مشخص می باشد کلیه کاربران براي احزار هویت با Cisco ISE ارتباط برقرار می کنند.

 

لایسنس سیسکو ISE

براي فعال کردن قابلیت هاي ذکر شده، Cisco ISE داراي License هاي مختلفی می باشد. به طور کلی این لیسانس ها در 3 پکیچ ارایه شده است. در شکل زیر قابلیت هایی که با نصب هر لیسانس فعال می شود، ارایه شده است.

Cisco ISE_Introducing modern security technologies - launching Cisco ISE_لایسنس ISE

معرفی تکنولوژی های مدرن امنیتی – راه اندازی سیسکو ISE

لازم بذکر است بر اساس اطلاعات موجود در جدول فوق، براي فعال کردن قابلیت هاي ارزشمند Security Group Access و Posture Assessment، سرویس دهنده ISE نیاز به نصب لیسانس Premier خواهد داشت. همچنین نحوه Licensing این سرویس دهنده بر اساس تعداد کاربران همزمان می باشد.

علاوه بر موارد بالا، مشتریان میتوانند با استفاده از لایسنس PLR سیسکو ISE از تمامی قابلیت های Primier و فول این نرم افزار بهره مند شوند. همچنین این لایسنس شامل لایسنس Device Admin سیسکو ISE و لایسنس VM سیسکو ISE نیز خواهد شد. لایسنس های PLR سیسکو به راهکار Licensing آفلاین و دائمی این شرکت گفته میشود.

PHP Code Snippets Powered By : XYZScripts.com
Golicense
سبد خرید

هیچ محصولی در سبد خرید نیست.