لایسنس سیسکو ISE
فهرست مطالب
لایسنس سیسکو ISE
امروزه سازمان های پیشرفته برای حفظ تجارت و اطلاعات کسب و کار خود اقدام به پیاده سازی تمهیدات امنیتی متفاوت مینمایند تا از دسترسی های غیرمجاز و اقدامات خرابکارانه ی افراد سودجو جلوگیری نمایند. در همین راستا، راهکارهای متفاوت امنیتی از قبیل فایروال ها، تست های نفوذ، تحلیل لاگ ها، مانیتورینگ منابع شبکه و کنترل دسترسی های کارمندان اعمال میگردد.
امروزه با گسترش راهکارهای امنیتی و حفظ اطلاعات، کمپانی های متعدد در این زمینه ورود کرده اند و با ارائه محصولات متفاوت با قابلیت های گوناگون به رقابت باهم میپردازند. از مطرح ترین شرکت های فعال در این حیطه میتوان از سیسکو، فورتینت و اسپلانک نام برد.
در حالیکه سازمان های برای برقراری شبکه امنیت لبه شبکه خود راهکارهای متفاوتی از کمپانی های مطرح پیش رو دارند، برای کنترل دسترسی و احراز هویت کاربران داخلی خود، تنها با گزینه های معدودی از قبیل FortiClient شرکت فورتی نت و نرم افزار ISE شرکت سیسکو، روبرو میباشند.
راهکار NAC چیست؟
امروزه تهدیداتی که میتواند از داخل سازمان، بصورت عمدی یا سهوی، شبکه و منابع حیاتی آن را تهدید کند، بی اهمیت تر از تهدیدات خارجی نیستند. برای مثال، فلش های آلوده ای که کاربران از آن استفاده میکنند، سیستم عامل های قدیمی که در معرض انواع اقسام تهدیدات هستند و به شبکه سازمان متصل می شوند و حتی مهمانانی که بدون نظارت خاصی رایانه های همراه یا گوشی خود را به شبکه شرکت متصل می کنند، نمونه هایی از تهدیداتی هستند که اشخاص، خواسته یا ناخواسته، برای سازمان ایجاد می نمایند.
کنترل دسترسی های درون شبکه (Network Access Control) یا به اختصار NAC، بهترین راهکار برای ایجاد امنیت در شبکه داخلی است. با استفاده از NAC میتوان با دفاع در لایه های مختلف شبکه و محدود کردن دسترسی تنها به دستگاه ها و کاربرانی که دارای مجوز و تأیید اعتبار هستند، به مقابله با هکرها و نفوذگران پرداخت.
با اینکه در حوزه NAC محصولاتی مانند Forescout و FortiNAC وجود دارد، نرم افزار Cisco ISE پیشرفته ترین و مورد توجه ترین راهکار پیاده سازی این تکنولوژی در بستر شبکه میباشد که به مدیران امکان احراز هویت و طبقه بندی دسترسی ها را در سطح شبکه میدهد.
معرفی لایسنس سیسکو ISE
نرم افزار امنیتی Cisco Identity Services برای کنترل و مدیریت اتصال و ورود کاربران شناخته می شود که با استفاده از آن میتوانید سیاستها و محدودیتهای مختلفی را جهت احراز هویت و صدور اجازه دسترسی به شبکه برای هر کلاینت اعمال نمایید.
با قابلیت های این محصول و با استفاده از پروتکل RADIUS، محصولات سیمی و یا وایرلس و حتی ریموت که به شبکه داخلی متصل شده اند مورد بررسی و کنترل دقیق قرار گرفته تا از صلاحیت ورود آنها به شبکه و عدم ایجاد تهدید امنیتی برای سازمان اطمینان حاصل شود.
علاوه بر موارد بالا، با بهره گیری از قابلیت Device Administration و پروتکل TACACS ، لایسنس سیسکو ISE قادر به مدیریت سطح دسترسی و ثبت تمامی تغییرات انجام شده روی تجهیزات زیرساخت شبکه از جمله سوئیچ، روتر و فایروال توسط ادمین های شبکه است.
ویژگی های لایسنس سیسکو ISE
با بهره گیری از این محصول قدرتمند، مدیران میتوانند از سیاست های قدرتمند و از پیش تعیین شده زیر برای حفاظت از امنیت داخلی سازمان استفاده نمایند:
– احراز هویت کاربران با Authentication Policy
– تعیین سطح دسترسی به خصوص برای کاربران بر اساس Authorization Policy
– تشخیص نوع کلاینت اعم از رایانه رومیزی، لپتاپ، تبلت یا تلفن همراه و همچنین سیستم عامل مورد استفاده اعم از ویندوز، اندروید و IOS را دارا می باشد و اعمال Profiling Policy
– شرایط کلاینت هایی که به شبکه متصل می شوند را با درنظر گیری موارد زیر وبوسیله Posture Policy بررسی می کند:
• سیستمعامل، به روزرسانیها و Patch level ها
• وجود آنتی ویروس و بروز بودن آن روی کلاینتها
• وضعیت پورتهای USB
• بررسی ساختار Registry
– با استفاده از این ویژگی می توان سیاست های خاصی را برای کاربران مهمان و یا کاربرانی که نیاز به دسترسی موقت و به بخش های محدودی از شبکه را دارند، بوسیله Guest Lifecycle Management Policy اعمال کرد.
– ایجاد امکان در اختیار گذاشتن الزامات امنیتی مورد نظر بمنظور ورود مجدد کابران به درون شبکه و با امنیت کامل با استفاده از Remediation Actions Policy
– امکان طراحی صفحات تحت وب برای راهنمایی کاربران غیرمجاز برای رعایت الزامات امنیتی پیش نیاز برای ورد به شبکه با استفاده از Web Redirection Policy
قابلیت TrustSec یا SGT
ویژگی سیسکو TrustSec یک راهکار مفید و کارآمد به منظور قسمت بندی هوشمند شبکه است، که بجای روشهای سنتی بخش بندی شبکه با استفاده از VLAN و ACL صورت می گیرد، که درنهایت موجبات آسان تر شدن کنترل لایه Access شبکه می شود. بوسیله TrustSec، میتوان کلاینت ها را بواسطه مولفه های دیگری بجز IP Address، MAC Address و یا شماره پورت سوئیچ کنترل کرد و همین امر موجب افزایش انعطاف پذیری در کنترل شبکه می شود.
از طرف دیگر، با توجه به حذف وابستگی به IP، تعداد Rule های مورد نیاز برای مدیریت Endpointها نیز به مراتب کمتر خواهد شد. در این روش با استفاده از Security Group Tags یا SGT میتوان، با توجه به مولفه های مختلف که هر کلاینت دارا می باشد، یک کد SGT به آن اختصاص داد. در ادامه آن کلاینت در هر بخشی از سازمان یا به وسیله هر بستری اعم از سیمی و بی سیم به شبکه متصل شود به صورت خودکار و پویا در گروه و VLAN مختص خود با دسترسی های از پیش تعیین شده قرار خواهد گرفت.
معماری لایسنس سیسکو ISE
لایسنس ISE با بهره گیری از ساختاری منعطف و مقیاس پذیر از شیوه های مختلف به منظور فراهم سازی High Availability پشتیبانی می کند. برای درک نحوه طراحی و پیاده سازی این نرم افزار، ابتدا بهتر است با مفهوم Persona آشنا شویم. در ساختار Cisco ISE هر Persona عملکرد خاصی را برعهده دارد که به شرح زیر می باشد:
– (PAN) Policy Administration Node: این Persona مهم ترین بخش طراحی و پیاده سازی Cisco ISE می باشد که بواسطه رابط گرافیکی، مدیریت و اعمال سیاست های امنیتی را در شبکه مهیا می کند. همچنین فعال سازی لایسنس سیسکو ISE روی این Persona انجام می پذیرد.
– (PSN) Policy Service Node: این Persona تمامی تنظیمات اعمال شده در PAN را تحویل گرفته و روی تمامی کلاینت ها و تجهیزات اعمال می کند. با توجه به میزان کاربران و گسترده بودن شبکه، راه اندازی PSN های متعدد و بصورت Redundant امکان پذیر می باشد.
– (MnT) Monitoring and Troubleshooting Node: این Persona وظیفه ارائه و به اشتراک گذاری لاگ ها و گزارش های مربوطه از طریق جداول گوناگون را به مدیران شبکه ارائه را دارد.
پیاده سازی Cisco ISE
درون هر شبکه ای و براساس نیازهای آن حالت زیر برای راه اندازی Cisco ISE رایج می باشد :
– حالت Single Node: در این روش تمامی Persona ها روی یک نسخه از سیسکو ISE راه اندازی می شود.
– حالت Distributed: در این روش وظایف پرسوناهای مختلف برروی بیش از 2 نود از سیسکو ISE نوزیع میگردد.
خرید لایسنس سیسکو ISE
از نسخه 3 به بعد، نرم افزار سیسکو ISE فقط از حالت اسمارت لایسنس پشتیبانی نموده و امکان نصب لایسنس های کلاسیک یا کرک های موجود در اینترنت روی این نسخه وجود ندارد.
همچنین از نسخه 3.1 به بعد امکان استفاده از لایسنس اسمارت آفلاین (PLR) روی نرم افزار سیسکو ISE فعال شده است. با توجه شرایط موجود در ایران و مشکلات متعدد استفاده از لایسنس اسمارت آنلاین روی اسمارت اکانت یا ویرچوال اکانت، استفاده از حالت PLR کاملا مناسب بوده و از نظر هزینه ای نیز بسیار مقرون به صرفه می باشد، همچنین در صورت استفاده از لایسنس PLR تمامی قابلیتهای نرم افزار سیسکو ISE به صورت فول، نامحدود و دائمی فعال می گردد و هیچگونه نیازی به ارتباط با اینترنت و لایسنس از Satellite Server یا SSMS یا CSSM وجود نخواهد داشت. شرکت سورنا امکان تامین لایسنس PLR با بهترین قیمت و در کمترین زمان ممکن را داراست.
Cisco ISE License
If you are looking for a comprehensive and scalable solution to secure your network access, you might want to consider Cisco ISE. Cisco ISE stands for Identity Services Engine, and it is a platform that provides identity-based access control, policy enforcement, and threat mitigation. Cisco ISE can help you to:
- Simplify and automate the management of users, devices, and policies across your network
- Enhance the visibility and security of your network traffic and endpoints
- Integrate with other Cisco and third-party security solutions to provide a holistic defense
- Reduce operational costs and complexity with a single pane of glass
Currently, Cisco ISE 3.2 is the latest version of Cisco ISE, and it comes with many new features and improvements, such as:
- Support for ISE PLR License, which allows you to deploy Cisco ISE in offline or air-gapped environments without requiring internet connectivity
- Enhanced user experience and performance with a redesigned web interface and faster policy evaluation
- Improved integration with Cisco DNA Center, Cisco SD-Access, and Cisco Secure Firewall
- New capabilities for endpoint posture assessment, device profiling, and guest access
Cisco ISE offers different models to suit your network size and requirements. Some of the models are:
- ISE 3655: Supports up to 10,000 concurrent sessions and 100,000 active endpoints
- ISE 3695: Supports up to 20,000 concurrent sessions and 200,000 active endpoints
- ISE Virtual Appliance: Supports up to 2,000 concurrent sessions and 20,000 active endpoints per instance
دیدگاهتان را بنویسید