Cisco Identity Services Engine

  • مدیر وب سایت
  • 00:38
  • 173 بازدید

سیسکو آیس – Cisco ISE

(Cisco Identity Services Engine (ISE نسل جدید سیستم شناسایی و کنترل دسترسی است که شبکه را قادر می سازد سرویس دهی را ساده تر انجام دهد و وضعیت امنیت زیرساخت را بهبود ببخشد. معماری منحصر به فرد Cisco ISE این امکان را می دهد که به صورت Real time اطلاعات شبکه ، کاربران و دستگاه ها را جمع آوری کند. سپس مدیر می تواند با استفاده از این اطلاعات برای شناسایی دسترسی به عناصر مختلف شبکه مانند سوئیچ ها ، WLAN ، VPN و … اقدام کند.
Cisco ISE محصولی جدید است که راه حل ها و سرویس های مختلف امنیتی را در یک محصول به صورت یکجا برای ما فراهم می کند. این محصول کنترل دسترسی و راه حل های امنیتی را برای ارتباطات کابلی ، وایرلس و VPN را به صورت ساده و خودکار فراهم می کند.

ویژگی های کلیدی Cisco ISE :

  • AAA protocols : سیسکو ISE برای Authentication ، Authorization و Accounting از پروتکل RADIUS استفاده می کند.
  • Authentication protocols : از پروتکل های تایید هویت مختلفی پشتیبانی می کند که شامل PAP, MS-CHAP, EAP-MD5, PEAP, EAP-FAST, EAP-TLS می باشند.
  • Access control : سیسکو ISE دامنه وسیعی از مکانیزم های کنترل دسترسی را برای ما فراهم می کند مانند URL Redirect ، Vlan Assignment ، downloadable access control lists (dACL) وSGA tagging
  • Posture : سیسکو ISE با استفاده از NAC-client-Agent یا web agent وضعیت دستگاه هایی که به شبکه متصل می شوند را بررسی می کند. یک مدیر شبکه می تواند شرایط مختلفی را برای بررسی تعیین کند مانند آنتی ویروس ، وضعیت سیستم عامل و …
  • Profiling : Profiling برای شناسایی و آنالیز دستگاه های شبکه مورد استفاده قرار می گیرد. این دستگاه ها می تواند هر نوع دستگاهی که می خواهد به شبکه دسترسی پیدا کند مانند iPhone ، iPad ، laptop ، printers و … باشد. ISE به صورت پیش فرض دارای چندین Profiling برای این دستگاه ها می باشد. همچنین ما می توانیم Profiling مورد نظر خود را ایجاد کنیم و برای آن سیاست های خاصی درنظر بگیریم.
  • Policy model : Policy model این امکان را فراهم می کند که با استفاده از ویژگی ها و رول ها ، کنترل دسترسی انعطاف پذیرتری داشته باشیم.
  • Guest lifecycle management : با این قابلیت می توان در ISE یوزر با دسترسی خاص داشته باشیم و از آن برای کنترل کاربران مهمان استفاده کنیم.
  • Platform options : می توان ISE را در دو پلتفرم می توان استفاده کرد. پلتفرم اول به عنوان یک دستگاه متصل می باشد و پلتفرم دوم به عنوان یک دستگاه مجازی قابل استفاده است. ISE را می توان روی VMware نصب کرد.
  • Monitoring ، Troubleshooting و Reporting: در ISE مانیتورینگ ، خطایابی و گزارش گیری به سادگی و با محیط کاربر پسند انجام می شود.

نکته : ISE از پروتکل TACACS+ در حال حاضر پشتیبانی نمی کند و احتمالا در نسخه 2 این پروتکل اضافه خواهد شد.

Identity-Based Network Access :

Cisco ISE در بخش های زیر مدیریت تشخیص هویت را به صورت آگاهانه انجام می دهد :

  • Cisco ISE تعیین می کند که کاربرانی که به شبکه دسترسی دارند توسط یک دستگاه با سیاست های مشخص به شبکه دسترسی پیدا کرده اند.
  • Cisco ISE تاریخچه شناسایی کاربر ، محلی که کاربر از آن به شبکه متصل شده است و همچنین دسترسی های کاربر را نگه داری می کند و از آن برای گزارش گیری می توان استفاده کرد.
  • Cisco ISE می تواند دسترسی کاربر را تنها به یک بخش از شبکه یا سرویس و نرم افزار خاص فراهم کند که اینکار براساس احراز هویت کاربر انجام می شود.
  • Cisco ISE می تواند سرویس دهی به کاربر را براساس شرایط مختلف تعیین کند مانند عضویت در گروه خاص ، نوع دستگاه و …

 

رخي از راهکارهاي امنيتي قابل پياده سازي مبتني بر سامانه ISE سيسکو به شرح ذيل مي باشند:

  • گسترش دامنه فعاليت سامانه ISE در سطح کاربراني که با استفاده از کابل شبکه، به صورت بي سيم و يا با استفاده از VPN به شبکه متصل مي شوند.
  • تخصيص سطوس دسترسي به کاربران به جهت دسترسي به منابع شبکه
  • راه اندازي راهکارهاي گزارش گيري از History فعاليت هاي کاربران از لحاظ دسترسي به منابع شبکه
  • تعريف Roleها و Groupها و اعمال سياست هاي دسترسي بر اساس Roleها و Groupهاي تعريف شده
  • تدوين سياست هاي امنيتي مطابق با خط مشي هاي کلان امنيتي سازمان ها به جهت راه اندازي راهکار Inline Posture
  • دسته بندي محدوده فيزيکي نقاط ممکن اتصال کاربران به شبکه با استفاده از راهکار Profiler Service
  • راه اندازي راهکارهاي Certificate Authority (CA) با محوريت نقش سامانه ISE
  • استفاده از راهکارهاي AAA در سطح سامانه هاي زيرساختي شبکه با محوريت سامانه ISE و ACS به عنوان Radius Server
  • راه اندازي راهکار Endpoint Protection Service
  • يکپارچه سازي Active Directory و سرويس هاي امنيتي سامانه ISE

سرويس سيسکو ISE داراي 4 عدد Role مي باشد که هر کدام داراي نقش و وظايف خاصي مي باشند و به جهت ارائه سرويس ISE در سطح شبکه، راه اندازي حداقل سه عدد از اين Roleها الزامي است. به طور کلي هر کدام از سامانه هاي ISE که مي توانند به صورت سرورهاي مجازي، فيزيکي و يا Applience راه اندازي گردند، مي توانند يک يا چند عدد از اين Roleها را به خود اختصاص دهند و يا هر Role توسط چند سامانه تحت پوشش قرار گيرد.

در اين راستا، سه مدل پياده سازي وجود دارد که در هر مدل به رابطه بين تناظر ميان سرورهاي سيسکو ISE و Roleهاي موجود، رابطه ميان آن ها و تعداد کاربران تحت پوشش پرداخته مي شود.

Roleهاي موجود به شرح زير مي باشند:

  • Policy Administration Node – PAN: اين نود، وظيفه انجام عمليات Administration را بر روي سامانه ISE سيسکو برعهده دارد.
  • Policy Service Node – PSN: اين نود وظيفه اعمال سياست هاي امنيتي تعريف شده را برعهده دارد.
  • Monitoring – MNT: اين نود وظيفه جمع آوري، نگهداري و ارجاع به اطلاعات مديريتي را در دامنه سامانه ISE سيسکو دارا مي باشد.
  • Inline Posture Node – IPN: اين نود به عنوان يک درگاه براي ارتباطات تحت شبکه عمل مي نمايد.
Cisco ISE

 

مزاياي استفاده از مجموعه سرويس هاي سیسکو ISE:

  • شناسايي و احراز هويت تمامي کاربران در سطح شبکه (مبتني بر ساختار جامع AAA)
  • سازگاري با راهکارهاي مبتني بر Active Directory
  • ايجاد سياست هاي امنيتي دقيق در سطح انواع مختلف کاربران (Business Policy Enforcement)
  • کنترل و ارتقاء سطح امنيت درگاه هاي ارتباطي بي سيم، مبتني بر سيم و از راه دور
  • سازگاري کامل با ساير محصولات امنيتي ارائه شده توسط شرکت Cisco و ساير شرکت ها
  • افزايش آگاهي از فعاليت هاي کاربري
  • مديريت سطوح دسترسي کاربران به شبکه و منابع
  • دسته بندي منطقي کاربران، مبتني بر نيازمندي هاي سازماني و يا سطوح دسترسي آن ها
  • يکپارچه سازي حساب هاي مختلف کاربري (با استفاده از راهکار Single Sign On)

 

آشنایی با ویژگی احراز هویت در سیسکو ISE

در این بخش به این موضوع اشاره می شود که Guest User ها چگونه احراز هویت خواهند شد؟

پروسه احراز هویت wireless Guest User ها با استفاده از SSID که برای دسترسی آنها در نظر گرفته می شود، بسیار آسان است. برای Wired Guest User ها پیچیدگی هایی وجود دارد که با استفاده از ویژگی Flexible Authentication، میتوان بر آنها غلبه کرد.

ویژگی احراز هویت انعطاف پذیر می تواند ترتیبی را برای متد احراز هویت روی پورت سوییچ لیست کرده و در صورت شکست خوردن متد اول، روش های بعدی به ترتیب اولویت در پی گرفته شوند. بنابراین، در زمانی که Guest User ها اقدام به ورود به شبکه کرده و پروسه 802.1x را Fail می کنند، مکانیزم MAB برای آنها استارت می خورد و از انجایی که MAC مربوط به Device آنها داخل پایگاه داده ی MAB یافت نمی شود، راهکار Cisco ISE به جای Reject  کردن دسترسی، نهایتا در تعامل با سوییچ یا Warless LAN Controller آنها را به سمت Guest Portal ای که به صورت مرکزی از آن میزبانی می کند هدایت کرده تا Guest User ها را نیز Authenticate کند.

آشنایی با Cisco ISE و تکنولوژی های وابسته به آن و معرفی راهکارهای مربوط به احراز هویت دستگاه های 802.1x و MAB در سیسکو و ویژگی های Authentication & Enhancement

مقایسه مکانیزم CWA با سایر راهکارهای تایید هویت

در مقایسه با دیگر راهکارهای احراز هویت همچون Guest VLAN، مکانیزم CWA کنترل بیشتری را برای شناسایی User های Guest و تامین دسترسی مجاز آنها می دهد. با Guest VLAN عملا یک دسترسی احراز هویت نشده به Guest ها اختصاص میافت. همچنین با این روش میتوان wireless Guest User ها را نیز تحت کنترل قرار داد تا پروسه Authentication مختص به Guest ها به صورت یکپارچه روی هر نوع اتصالی کنترل شود.

اکانت های Guest می توانند به دو طریق ساخته شوند. روش اول توسط خود Guest و داخل پورتالی است که برای Self-registration تعبیه شده و روش دوم با استفاده از Role خاصی تحت عنوان Sponsor بوده که مسئولیت ساختن اکانت Guest User ها و مدیریت آنها را دارد.

بعد از ساختن Guest Account با استفاده از دو روش ذکر شده، کاربر مورد نظر در طی پروسه CWA به سمت Guest Portal هدایت  شده و در آنجا احراز هویت می شود. روی Connection های Warless نیز، SSID مربوط به دسترسیهای Guest، پروسه CWA را Trigger کرده و کاربر را به سمت پورتال Guest سوق دهد. در صورت موفقیت امیز بودن پروسه احراز هویت Guest داخل پورتال، دسترسی بسیار محدودی مثل دسترسی به اینترنت برای وی فراهم خواهد شد. توجه شود که Guest Portal  به صورت کامل قابل Customize کردن است و می توانید بازتاب دهنده ی کسب و کار سازمان باشد.

روش های ایجاد اکانت های GUEST در CISCO ISE

یکی از شیوه های ساخت اکانت های Guest با استفاده از قابلیت Self-registration می باشد. کاربر اطلاعات شخصی خود اعم از شماره موبایل و آدرس ایمیل را داخل self-provisioning portal وارد میکند و در ادامه، اطلاعات کاربری و شناسه دسترسی به ادرس ایمیل فرد ارسال شده یا روی شماره موبایلش SMS شود. بدین وسیله سیسکو ISE امکان اعتبار سنجی و حصول اطمینان از صحت اطلاعاتی که Guest وارد می کند را خواهد داشت. نهایتا کاربر با استفاده ازین اطلاعات روی صفحه ی وب پورتال Login کرده و دسترس منطبق با سیاست های Guest را احراز میکند.

با پشتیبانی از ویژگی دیگری تحت عنوان Guest Tracking، امکان تعامل ISE با ASA Firewall به منظور توسعه مدیریت Guest فراهم می گردد. ازین طریق ASA فعالیتهای خاص مرتبط با Gust (مثل دسترسی به وب سایتهای خاص) را ثبت کرده و آنها را به Cisco ISE ارسال میکند. سپس ISE این اطلاعات را جمع اوری کرده و آنها را به Guest Session مورد نظر Bind کند. این روند کمک میکند که Cisco ISE دید کاملی از فعالیت هایی Gust داشته باشد.

 

جهت دریافت لیست کامل لایسنسهای Cisco ISE سیسکو کلیک کنید.