- StarSecCommander
- امنیت سیسکو, امنیت شبکه
- 0 نظر
- 4194 بازدید
تصور کنید شما مدیر یک هتل لوکس هستید. نمیخواهید هر کسی به اتاقهای مهمانان دسترسی داشته باشد، درست است؟ سیسکو ISE دقیقاً نقش نگهبان ورودی را برای شبکه شما انجام میدهد. Cisco ISE یا Cisco Identity Services Engine مثل یک دربان هوشمند و همهفنحریف عمل میکند که نه تنها افراد را چک میکند، بلکه حتی به شما میگوید که آیا آنها باید به سالن اصلی دعوت شوند یا فقط به لابی دسترسی داشته باشند. این سیستم به شما کمک میکند تا هر کسی که قصد ورود به شبکه را دارد، بررسی کرده و تصمیم بگیرید که آیا اجازه ورود دارد یا نه.
این پلتفرم پیشرفته نه تنها مانع ورود افراد ناشناس میشود، بلکه به شما اجازه میدهد سیاستهای امنیتی خود را به راحتی پیادهسازی کنید و تجربه کاربری امن و مطمئنی برای مهمانان شبکه فراهم کنید.
در ادامه، به شما نشان خواهیم داد که Cisco ISE چگونه کار میکند و چرا میتواند بهترین انتخاب برای محافظت از شبکه شما باشد. اینجا جای هیجان و اکتشاف است، آیا آمادهاید که بیشتر با این دربان هوشمند آشنا شوید؟ پس با ما همراه باشید!
در شبکههای امروزی، تغییر و تحول با سرعت زیادی اتفاق میافتد. این وضعیت به ویژه زمانی چالشبرانگیزتر میشود که کاربران یا کارمندان شما محدود به مکان شرکت شما نباشند. این افراد ممکن است از موقعیت های مکانی مختلف و به روشهای مختلف، مثلاً از طریق اینترنت، به شبکه متصل شوند و از دستگاههای متنوعی مانند لپتاپ، تبلت، گوشی هوشمند و … استفاده کنند. این نوع دسترسی چندگانه از نقاط مختلف، بهرهوری را افزایش میدهد، اما از سوی دیگر میتواند امنیت را به خطر بیندازد و تهدیدات را بیشتر کند؛ چرا که وضعیت امنیتی دستگاههایی که به شبکه وصل میشوند، به خوبی کنترل نمیشود.
مدیریت و نظارت بر تمام دستگاههایی که به شبکه دسترسی پیدا میکنند، کاری بزرگ و پیچیده است. هرچه تعداد این دستگاهها و نقاط دسترسی بیشتر شود، کنترل و مدیریت آنها نیز دشوارتر خواهد شد.
CISCO ISE چیست ؟
آیس سیسکو Cisco Identity Services Engine (ISE) یک نسل جدید از سیستمهای شناسایی و کنترل دسترسی است که به شبکهها این امکان را میدهد که به سادگی سرویسدهی کرده و وضعیت امنیتی زیرساخت خود را ارتقا دهند. معماری منحصربهفرد Cisco ISE به آن اجازه میدهد تا به صورت Real-time اطلاعات مربوط به شبکه، کاربران و دستگاهها را جمعآوری کند. این اطلاعات به مدیران کمک میکند تا دسترسی به اجزای مختلف شبکه مانند سوئیچها، شبکههای بیسیم (WLAN)، ارتباطات VPN و … را بهطور دقیق کنترل کنند.
Cisco ISE به عنوان یک محصول جدید، طیف وسیعی از راهحلها و خدمات امنیتی را در یک مجموعه یکپارچه ارائه میدهد. این محصول کنترل دسترسی و راهحلهای امنیتی را برای ارتباطات کابلی، بیسیم و VPN به شکلی ساده و خودکار فراهم میکند. به این ترتیب، شبکهها میتوانند با استفاده از این ابزار قدرتمند، امنیت و کارایی را به صورت همزمان افزایش دهند.
CISCO ISE چگونه کار می کند؟
هنگامی که یک دستگاه به شبکه متصل میشود، CISCO ISE هویت کاربر را، به همراه نوع دستگاهی که استفاده میکند، زمان و مکان درخواست کاربر و روش دسترسی مورد استفاده را بررسی میکند. پس از اینکه Cisco ISE تأیید کرد که درخواست مشروع است، دسترسی به شبکه برای کاربر فراهم میشود.
ویژگی های کلیدی CISCO ISE
☑️ AAA Protocols
Cisco ISE برای مدیریت Authentication،Authorizationو Accounting از پروتکل RADIUS استفاده میکند. این پروتکل به ISE اجازه میدهد تا تمامی فرآیندهای تأیید هویت، مجوزدهی و حسابداری را به شکلی متمرکز و امن مدیریت کند.
☑️ Authentication Protocols
سیسکو ISE از پروتکلهای متنوعی برای تأیید هویت پشتیبانی میکند. این پروتکلها شامل PAP، MS-CHAP، EAP-MD5، PEAP، EAP-FAST و EAP-TLSمیباشند، که هر کدام برای سناریوها و نیازهای امنیتی مختلف قابل استفاده هستند.
☑️ Access Control
ISE مجموعه گستردهای از مکانیزمهای کنترل دسترسی را ارائه میدهد. این مکانیزمها شامل URL Redirect، VLAN Assignment،Assignment ، downloadable access control lists (dACL) وSGA tagging میشوند. این امکانات به مدیران اجازه میدهند تا دسترسی کاربران به منابع شبکه را به صورت دقیق و سفارشی مدیریت کنند.
☑️ Posture
با استفاده از NAC-Client-Agentیا Web Agent، Cisco ISE وضعیت دستگاههایی که به شبکه متصل میشوند را بررسی میکند. مدیران شبکه میتوانند معیارهای مختلفی مانند وضعیت آنتیویروس، بهروزرسانی سیستم عامل و دیگر معیارهای امنیتی را برای این بررسیها تعیین کنند.
☑️ Profiling
Profilingبرای شناسایی و تحلیل دستگاههای متصل به شبکه استفاده میشود. این دستگاهها میتوانند انواع مختلفی داشته باشند مانند دستگاه های دارای سیستم عامل IOS، لپتاپها، پرینترها و غیره. ISE به صورت پیشفرض شامل چندین پروفایل برای این دستگاهها است، اما امکان ایجاد پروفایلهای سفارشی و تعریف سیاستهای خاص برای آنها نیز وجود دارد.
☑️ Policy Model
مدل سیاستهای ISE این امکان را فراهم میکند که با استفاده از ویژگیها و قوانین مختلف، کنترل دسترسی انعطافپذیرتری داشته باشیم. این سیستم به مدیران اجازه میدهد تا به صورت دقیقتر و سفارشیتر، دسترسیها را مدیریت کنند.
☑️ Guest Lifecycle Management
این ویژگی به شما اجازه میدهد تا در Cisco ISE کاربران با دسترسی محدود ایجاد کنید و از آنها برای مدیریت کاربران مهمان استفاده نمایید. این قابلیت به خصوص در محیطهایی با تردد زیاد کاربران مهمان بسیار مفید است.
بیشتر بخوانید: CISCO FIREPOWER چیست؟
☑️ Platform Options
Cisco ISE در دو نوع پلتفرم قابل استفاده است: به عنوان یک دستگاه فیزیکی یا به عنوان یک ماشین مجازی. نسخه مجازی آن را میتوان روی VMware نصب و اجرا کرد، که انعطافپذیری بیشتری برای پیادهسازی و مدیریت ارائه میدهد.
☑️ Monitoring, Troubleshooting, and Reporting
سیسکو ISE با ارائه ابزارهای جامع مانیتورینگ، خطایابی و گزارشگیری، امکان مدیریت آسان و کاربرپسند شبکه را فراهم میکند. این امکانات به مدیران کمک میکند تا به سادگی عملکرد و امنیت شبکه را نظارت و بهینهسازی کنند.
ویژگی ها و مزایای CISCO ISE
ویژگی | مزایا | ||
Centralized information (اطلاعات متمرکز) | دادهها را از منابع مختلف احراز هویت جمعآوری میکند و نیاز به ارتباط هر سیستم با هر منبع احراز هویت را از بین میبرد. | ||
عملکرد بهبود یافته | با استفاده از یک سیستم واحد که دادهها را برای سایر مصرفکنندگان دادههای احراز هویت ذخیره میکند، بار اضافی را از زیرساختهایی که اغلب بیش از حد استفاده میشوند، حذف میکند. | ||
پشتیبانی از سرور Syslog | دادههای احراز هویت را از سیستمهایی که ازSyslog پشتیبانی میکنند، جمعآوری میکند. | ||
پشتیبانی از Active Directory | دادههای احراز هویت را از Active Directory از طریق Microsoft Windows Management Interface (WMI) جمعآوری میکند. | ||
پشتیبانی از Kerberos SPAN | دادههای احراز هویت Active Directory را از سوئیچهای پشتیبانیکننده Kerberos SPAN جمعآوری میکند. | ||
| متوجه میشود که چه زمانی دستگاهها از سیستم خارج میشوند. | ||
| دادههای احراز هویت را از حداکثر ۱۰ کنترلر دامنه Microsoft Active Directory جمعآوری میکند. | ||
پشتیبانی از APIهای سفارشی | دادههای احراز هویت را از سیستمهایی که از رابطهای سفارشی پشتیبانی میکنند، جمعآوری میکند. | ||
پشتیبانی از Citrix Terminal Server | دادههای احراز هویت را از Citrix Terminal Server جمعآوری میکند. | ||
| پشتیبانی از active/passive redundancy | ||
| مشتریان میتوانند از Cisco ISE Passive به Cisco ISE Connector ارتقا یابند و نود Passive Identity Connector را به Cisco ISE اضافه کنند. | ||
پشتیبانی از Virtual machine | پشتیبانی از KVM، VMware و Hyper-V. | ||
مقیاسپذیری | برای سازمانهای مختلف با پشتیبانی از ۳۰۰۰ تا ۳۰۰,۰۰۰ جلسه طراحی شده است. |
سیسکو ISE از چه پروتکلهایی استفاده میکند؟
سیسکو ISE از نسخههای PEAP نسخه 0 (PEAPv0) و PEAP نسخه 1 (PEAPv1) با روشهای داخلی EAP-MS-CHAP ، EAP-GTC و EAP-TLS پشتیبانی میکند.
آیا Cisco ISE یک راهحل NAC است؟
سختافزارهای سیسکو در حوزه شبکههای سازمانی نسبتاً محبوب هستند و به همین دلیل راهحل سیسکو یکی از پیشروان در فضای کنترل دسترسی به شبکه (NAC) به شمار میرود.
بیشتر بخوانید: خرید لایسنس اسپلانک
لایسنسهای Cisco ISE
Cisco ISEبه صورت اشتراکی با دورههای یک، سه و پنج ساله لایسنس میشود و در پایان دوره بهطور خودکار تمدید میشود.
Cisco سه نوع لایسنس اصلی ارائه میدهد: Premier ،Advantage و Essentials
Essentials پایهایترین بسته است و Premier بالاترین سطح را دارد. این بستهها به صورت لایهای هستند، به این معنا که تمامی ویژگیهای موجود در نسخه Essentials در هر دو نسخه Advantage و Premier نیز وجود دارند و تمامی ویژگیهای نسخه Advantage در نسخه Premier نیز موجود هستند.
لایسنس Premier
لایسنس شامل موارد زیر است:
– mobile device management (مشاهده و اجرای مدیریت دستگاههای همراه)
– posture visibility and enforcement
– threat-centric NAC visibility and enforcement
لایسنس Advantage
لایسنس Advantage بیشترین ویژگیها را ارائه میدهد و شامل موارد زیر است:
– AI endpoint analytics visibility and enforcement
– BYOD support
– context sharing
– group-based policy (TrustSec)
– profiling visibility and enforcement
– real-time communications
– user-defined networks
لایسنس Essentials
لایسنس Essentials شامل موارد زیر است:
– authentication, authorization and accounting (AAA), and 802.1x
– easy connect PassiveID
– پشتیبانی از guest hotspot, self-registration and sponsored.