شبکه
آلیاسیس آرتباط
بدون دیدگاه

(ISE) Cisco Identity Services Engine چیست؟

Cisco Identity Services Engine یا ISE، نوعی راه حل کنترل دسترسی به شبکه است که از تصمیم‌گیری مبتنی بر سیاست برای این کار استفاده می‌کند. تعیین اینکه آیا دستگاهی اجازه دسترسی به شبکه را داشته باشد یا نه و در صورت مجاز بودن، چه سطح دسترسی به این دستگاه داده شود به عهده ISE است. Cisco ISE یک برنامه امنیتی پیچیده و پر از ویژگی است که دسترسی به شبکه را با استفاده از پروتکل ۸۰۲٫۱x و EAPoL کنترل می‌کند. ISE همچنین احراز هویت، مجوز و حسابداری (AAA) را از طریق پروتکل RADIUS فراهم می‌کند و مدیریت دستگاه را می‌توان با استفاده از سرویس TACACS+ کنترل کرد.

احراز هویت کاربران و دستگاه‌ها با ISE

پروتکل ۸۰۲٫۱x

پروتکل ۸۰۲٫۱x معمولا به عنوان Dot1x شناخته می‌شود و از پروتکل احراز هویت توسعه‌پذیر EAP و RADIUS برای ارائه احراز هویت دستگاه‌ها برای تعیین سطح دسترسی‌شان به شبکه استفاده می‌کند. فرآیند Dot1x از سه بخش تشکیل شده که عبارتند از Supplicant، Authenticator و Authentication server:

  • Supplicant بخشی از نرم‌افزار است که اجازه می‌دهد دستگاه از پروتکل EAP برای برقراری ارتباط استفاده کند.
  • Authenticator یک دستگاه زیرساخت شبکه است و مانند یک سوئیچ سیسکو به عنوان واسطه‌ای بین طرف درخواست‌کننده و Authentication Server عمل می‌کند.
  • Authentication Server، سرور AAA است که با پروتکل RADIUS کار می‌کند و بخشی از ISE است.

Cisco ISE

MAC Authentication Bypass

MAC Authentication Bypass یا MAB می‌تواند برای احراز هویت دستگاه‌هایی که قادر به استفاده از پروتکل EAP نیستند استفاده شود. بسیاری از دستگاه‌های قدیمی دارای Supplicant داخلی نیستند و نمی‌توانند با استفاده از EAP احراز هویت شوند؛ بنابراین لازم است از روشی برای ارسال آدرس MAC دستگاه متصل به ISE استفاده کنند. مک‌آدرس‌های مجاز توسطISE ذخیره می‌شوند و آدرس مک دریافتی با آدرس‌های ذخیره شده مقایسه می‌شود. در صورت مطابقت، دستگاه احراز هویت می‌شود.

Microsoft Active Directory

Cisco ISE اغلب همراه با Microsoft Active Directory برای تایید هویت کاربر استفاده می‌شود. برای تعداد کمی از کاربران، این امکان وجود دارد که به صورت دستی ورودی‌های فردی را در ISE ایجاد کنند. برای سازمان‌های بزرگ‌تر با کاربران زیاد، این کار عملا غیرممکن است؛ بنابراین پروتکل Lightweight Directory Access Protocol (LDAP) برای اجازه دادن به ISE برای برقراری ارتباط با زیرساخت‌های Active Directory موجود استفاده می‌شود.

احراز هویت از طریق وب

برای دستگاه‌های مهمان و بازدیدکننده، افزودن دستی این دستگاه‌ها یا کاربران کار ساده‌ای نیست. برای احراز هویت مهمان‌ها، این کاربران به یک پورتال وب captive هدایت می‌شوند، جایی که می‌توانند اعتبار کاربری یا یک رمز عبور را برای دسترسی مهمان به شبکه ارائه کنند. احراز هویت از طریق وب می‌تواند در سیسکو WLC یا از طریق پورتالی که توسط ISE میزبانی می‌شود انجام شود.

مقاله پیشنهادی“بررسی اجمالی راه حل Cisco DNA Center”

ISE چگونه استفاده می‌شود؟

ISE دارای ویژگی‌های زیادی است و اینکه از کدام ویژگی‌ها و خدمات استفاده شود، تا حد زیادی به نوع شبکه و موارد استفاده تجاری یا سطح مجوز بستگی دارد. اجازه دهید به‌طور خلاصه، چند مورد استفاده رایج از ISE را مورد بحث قرار دهیم.

TACACS+ و مدیریت دستگاه

ISE می‌تواند برای کنترل دسترسی به دستگاه‌های زیرساخت شبکه مانند روترها و سوئیچ‌ها استفاده شود. با استفاده از TACACS+، نوع دستوراتی که اجازه اجرا در این دستگاه‌ها را دارند، می‌تواند توسط مدیران تنظیم یا محدود شود. هنگامی که یک کاربر وارد سیستم می‌شود و تغییراتی در آن ایجاد می‌کند، TACACS+ گزارش‌هایی از افرادی که وارد سیستم شده‌اند و تغییراتی که ایجاد کرده‌اند تولید می‌کند.

استفاده از دستگاه‌های شخصی

در دوران مدرن، عادی است که کارمندان دستگاه‌های خود مانند تلفن، تبلت و غیره را به محل کار بیاورند. اغلب از این دستگاه‌ها برای دسترسی به منابعی که دستگاه‌های محلی به آن‌ها متصل هستند استفاده می‌شود. Cisco ISE به کارمندان این امکان را می‌دهد که دستگاه‌های خود را در شبکه ثبت کنند و از پروتکل‌های dot1x، EAP-TLS یا PEAP برای رمزگذاری و محافظت از اتصال خود به شبکه، درست مثل یک دستگاه محلی استفاده کنند. ISE اجازه می‌دهد تا تعداد دستگاه‌هایی که یک کارمند می‌تواند ثبت کند، محدود شود.

ارزیابی وضعیت دستگاه

ISE می‌تواند برای اعمال خط‌مشی شرکت برای دستگاه‌هایی که به شبکه شرکتی متصل شده‌اند استفاده شود. با مجوز Apex، ISE می‌تواند یک ارزیابی از وضعیت امنیتی دستگاه‌ها انجام دهد و بررسی کند که آیا دستگاه قبل از ورود به شبکه، معیارهای امنیتی خاصی دارد یا خیر؛ به عنوان مثال، یک دستگاه را می‌توان بررسی کرد تا مطمئن شد که سیستم عامل آن به‌روز است یا آنتی‌ویروس روی آن نصب شده است یا نه؟ اگر دستگاهی در این بررسی شکست بخورد، می‌توان آن را تا زمانی که دستورالعمل‌های اصلاح را رعایت کند قرنطینه کرد.

مدیریت مهمان

ISE می‌تواند مهمانان و بازدیدکنندگان را به انواع مختلفی از پورتال‌ها هدایت کند تا بسته به آنچه مورد نیاز است، همه در سرور ISE مدیریت و میزبانی شوند. سه نوع پورتال مختلف وجود دارد که می‌توانند برای دسترسی مهمان و بازدیدکننده پیکربندی شوند.

  • Hotspot: هنگامی که دستگاهی به‌صورت مهمان به شبکه متصل می‌شود، به پورتال Hotspot که توسط ISE میزبانی می‌شود هدایت می‌شود. سپس مهمان باید با قوانین موافقت کند و یک کد برای دسترسی به اینترنت وارد کند.
  • Sponsored: اعتبار برای دسترسی از طریق این نوع پورتال، توسط یک حامی که معمولا شخصی است که برای شرکت کار می‌کند ایجاد می‌شود. این نوع پورتال اغلب برای اجازه دادن به پیمانکاران برای دسترسی محدود به شبکه شرکت استفاده می‌شود.
  • Self-Registered: این نوع پورتال به مهمانان اجازه می‌دهد تا با استفاده از آدرس ایمیل و سایر اطلاعات شخصی، بدون نیاز به دریافت مجوز از حامی یا کارمند شرکت ثبت نام کنند.

برخی از مزایای Cisco ISE

دید عالی

تمامی دستگاه‌ها و کاربران، به راحتی در ISE قابل مشاهده یا جستجو هستند. بسیاری از اطلاعات مانند نوع اتصال آن‌ها به شبکه و اینکه کدام خط‌مشی‌ها را رعایت می‌کنند را می‌توان از نمای زنده لاگ در ISE مشاهده کرد. با وجود دید عالی، شناسایی دستگاه‌هایی که در احراز هویت مشکل دارند یا با خط‌مشی‌های سازمان مطابقت ندارند بسیار راحت می‌شود.

کاهش SSIDهای مورد نیاز

استفاده از SSIDهای متعدد برای جدا کردن دستگاه‌ها به VLANها یا بخش‌های مختلف می‌تواند تاثیر مخربی بر عملکرد شبکه بی‌سیم داشته باشد؛ مهم‌ترین آن‌ها هم کاهش سرعت شبکه بی‌سیم است. با استفاده از Cisco ISE می‌توان از تنها یک SSID برای اتصال همه دستگاه‌ها به شبکه استفاده کرد و آن‌ها را بر اساس نوع دستگاه یا نوع کاربر به VLAN‌های مختلف تقسیم کرد.

به‌روزرسانی پویای لیست‌های دسترسی

DACL یا فهرست‌های کنترل دسترسی پویا، به سوییچ‌ها منتقل می‌شوند و به‌طور خودکار بر اساس پروفایل‌های خط‌مشی و مجوز، بر روی رابط‌های صحیح اعمال می‌شوند. لیست‌های دسترسی را می‌توان به جای سوئیچ‌های مجزا، در یک مکان مرکزی مدیریت کرد.

حذف دستگاه‌های غیر مجاز

اگر رفتار دستگاهی غیرعادی تشخیص داده شود یا گزارش شود که به سرقت رفته، مجوز دسترسی‌اش به شبکه را می‌توان با یک کلیک لغو کرد. کاربران می‌توانند از طریق پورتال my devices، دسترسی آن دستگاه به شبکه را لغو کنند یا گزارش سرقت آن را ثبت کنند.

مدل TrustSec

TrustSec یک مدل امنیتی است که دارایی‌ها را از طریق استفاده از تگ‌های گروه امنیتی (SGT) شناسایی می‌کند. این تگ‌ها هنگام اتصال دستگاه به شبکه اعمال و برای تشخیص اینکه ترافیک دستگاه از بین تمام شبکه، به کدام گروه تعلق دارد استفاده می‌شوند. SGT‌ها را می‌توان برای تفکیک دستگاه‌ها به بخش‌های مختلفی مثل فروش یا امور مالی مورد استفاده قرار داد و برای برقراری امنیت، قوانینی را روی آن‌ها اعمال کرد.

Cisco ISE

مدل‌های استقرار

معماری ISE سیسکو شامل مسئولیت‌های مختلفی است که به سیستم‌های متفاوتی اختصاص داده می‌شود. در مجموع ۴ مسئولیت اصلی وجود دارد و آن‌ها را می‌توان به روش‌های مختلف مستقر کرد.

  • یک گره ISE (سرور) می‌تواند هر ۴ مسئولیت را به تنهایی اجرا کند، اما در استقرارهای بزرگ معمولا این وظایف در سرورهای مختلف ISE توزیع می‌شوند و هر کدام یک مسئولیت را به عهده می‌گیرد.
  • با استقرار دو گره‌ای، افزونگی ایجاد می‌شود. در این معماری،‌ دو گره ISE وجود دارد که یکی فعال و دیگری آماده به کار هستند. همه تراکنش‌ها در هر دو گره تکرار می‌شوند تا امکان بازیابی در صورت بروز شکست وجود داشته باشد.
  • برای سازمان‌های بزرگ اغلب از استقرار توزیع‌شده استفاده می‌شود. در این نوع استقرار هر مسئولیت به عهده یک گره ISE مجزا خواهد بود. افزونگی و Failover در استقرار توزیع‌شده به‌صورت خودکار انجام می‌شود.

چهار مسئولیتی که از آن‌ها صحبت کردیم از این قرارند:

  • مدیریت: سروری که در آن مدیر می‌تواند ISE را پیکربندی کند و تغییراتی در خط‌مشی‌های امنیتی ایجاد کند.
  • مانیتورینگ: این گره به عنوان یک سرور متمرکز برای خدمات مانیتورینگ و ثبت گزارش عمل می‌کند. عیب‌یابی استقرار ISE یا دستگاه‌های متصل نیز توسط این سرور ISE انجام می‌شود.
  • گره سرویس خط‌مشی: بزرگ‌ترین مسئولیت ISE به عهده همین سرور است؛ اجرای خط مشی‌ها و رسیدگی به تمام درخواست‌های احراز هویت RADIUS و مسئول میزبانی همه پورتال‌های مختلف وب.
  • گره pxGrid: می‌تواند برای تبادل سیاست و داده‌های پیکربندی بین گره‌ها مانند اشتراک‌گذاری برچسب‌ها و خط‌مشی‌ها بین Cisco ISE و فروشندگان شخص ثالث استفاده شود.

منبع    

شناسه مطلب: ۳۸۷۲
منبع:
وبلاگ تخصصی آلیاسیس
1.73
22
38
فیسبوک توییتر گوگل + لینکداین تلگرام واتس اپ کلوب
آلیاسیس آرتباط

مطالب مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

هسته اصلی شرکت آلیاسیس ارتباط از سال 1383 تاکنون در زمینه فن آوری اطلاعات و ارتباطات ( ICT) فعالیت می نماید. شرکت آلیاسیس ارتباط با تجربه ای بالغ بر یک دهه حضور در صنعت فناوری اطلاعات و ارتباطات از تامین و توزیع تا ارائه خدمات مهندسی و خدمات پس از فروش به مجموعه کسب و کارهای بزرگ ، متوسط و کوچک در سه حوزه تجهیز تخصصی سخت افزارهای شبکه - ارائه خدمات مشاوره ، طراحی ، پیاده سازی ، پشتیبانی ، آموزش و خدمات پس از فروش در شبکه های محلی و گسترده ، امنیت شبکه ، مراکز داده و ارتباطات یکپارچه - ارائه راهکارهای جامع مبتنی بر شبکه های رایانه ایی ارائه خدمت می نماید.

دسترسی سریع