یکی از محصولات پر طرفدار شرکت سیسکو راهکار Cisco ISE می باشد. استفاده از این محصول برای شرکت و سازمان ها بسیار حائز اهمیت هست چرا که میتونیم مواردی مثل AAA ، Posture و Profiler رو با هم و در یک راهکار به صورت یکپارچه داشته باشیم.
Cisco ISE یک زیرساخت لایه دسترسی (Access) و کنترل پذیرش (Network Admission) شبکه است که در آن افراد از طریق دستگاه های مختلف مثل لپتاپ و موبایل و … به شبکه متصل می شوند و ما مشخص می کنیم که آیا آنها مورد اعتماد هستند یا نه؟ و سپس سطح دسترسی مناسب به منابع شبکه را به آنها می دهیم. Cisco ISE یک سرویس تعیین کننده خط مشی می باشد که زیرساخت لایه Access را مدیریت می کند.
Cisco ISE چه کارایی ای دارد؟
ISE می تواند همه چیز را در شبکه های سیمی، بی سیم و VPN احراز هویت کند. بنابراین، این اطمینان را فراهم می کند که تمام دستگاه های موجود در شبکه اعم از End-Point, Printer, IP Phone, Camera و … احراز هویت می گردند. علاوه بر این، نرمافزارهای در حال اجرا و نصب شده در نقاط انتهایی (End-Point) شبکه را شناسایی کرده و دید (Visibility) و کنترل دسترسی روی شبکه Access، اجرای سیاست و احراز هویت را امکانپذیر میکند.
Cisco ISE در زیرساخت شبکه شما کار می کند و می تواند به عنوان سرور Radius یا Tacacs+ پیاده سازی شود و برای احراز هویت دستگاههای مختلف از طریق استاندارد Dot1x به همراه پروتکلهای مختلف مانند EAP استفاده گردد.
مزایای Cisco ISE چیست؟
ISE برای تصمیم گیری در مورد اینکه آیا نقطه پایانی باید به شبکه دسترسی داشته باشد یا دسترسی محدود به شبکه داشته باشد یا خیر استفاده می گردد و برای این منظور، ISE با راهکارهای احراز هویت مانند Microsoft Active Directory ادغام می شود. ISE میتواند از تمام ساختار دایرکتوری موجود برای تصمیمگیری در مورد اینکه چه دستگاههایی باید در شبکه مجاز باشند و چه سطحی از دسترسی باید به آن داده شود، استفاده کند.
علاوه بر این، از قابلیتهای اجرایی پیشرفته از جمله TrustSec از طریق استفاده از برچسبهای گروه امنیتی (SGT) استفاده میکند و از مقیاسپذیری بالا برای پشتیبانی از سناریوهای استقرار متفاوت از محیطهای اداری کوچک گرفته تا محیطهای سازمانی بزرگ پشتیبانی میکند. Cisco ISE را می توان بر روی سرور فیزیکی Cisco SNS و محیط های مجازی مانند VMware و Hyper-V مستقر کرد.
طراحی Cisco ISE
مطابق با استاندارد معماری ISE شرکت سیسکو بر روی هر سرور ISE که به آن Node ISE می گوییم سرویس هایی فعال است که در اصطلاح به آنها Persona گفته میشود. به صورت کلی 3 نوع Persona به شرح زیر وجود داشته و برخی از آنها
می توانند همزمان بر روی چند نود فعال گردند، همچنین برخی از آنها نیز تنها بر روی یک نود قابل فعال سازی میباشند. در ادامه به توضیح Persona خواهیم پرداخت.
Administration Persona
این سرویس در آن واحد فقط بر روی یکی از نود ها فعال بوده و وظیفه آن مدیریت سرویس از راه دور توسط ادمین میباشد. این سرویس می تواند بر روی یک نود مجزا یا نود Primary در کلاستر فعال باشد. به نود ISE ای که این سرویس بر روی آن فعال می باشد PAN یا Policy Administration Node می گوییم.
Policy Service
این سرویس یکی از مهم ترین سرویس های ISE بودهکه وظیفه کنترل دسترسی و احراز هویت را عهده دار میباشد. با توجه به اینکه این سرویس مهمترین سرویس ISE میباشد امکان فعال بودن همزمان آن بر روی چند نود امکانپذیر میباشد. به نود ISE ای که این سرویس بر روی آن فعال می باشد PSN یا Policy Service Node می گوییم.
Monitoring
وظیفه این سرویس جمع آوری لاگ های دو سرویس قبلی و همچنین عیب یابی سیستم میباشد. این سرویس می تواند بر روی یک نود مجزا یا نود Secondary در کلاستر فعال میباشد. به نود ISE ای که این سرویس بر روی آن فعال می باشد MnT یا Monitoring Node می گوییم. پیاده سازی ISE منوط به داشتن Plan مناسب با توجه به نیازهای سازمان شما می باشد.
حالت های مختلف Deployment سرور ISE
به صورت کلی سرورهای ISE می توانند برای سرویس Dot1x (احراز هویت و کنترل نقاط انتهایی شبکه) و Device Administration (کنترل نحوه دسترسی کاربران به تجهیزات شبکه) استفاده گردند. حالت اول با استفاده از پروتکل RADIUS و حالت دوم با استفاده از TACACS+ پیاده سازی می گردند. طراحی Deployment سرورهای ISE می تواند به یکی از حالت های زیر انجام پذیرد.
Dedicated Deployment
در این حالت سرورهای ISE به صورت اختصاصی فقط برای یکی از سرویس های RADIUS یا TACACS+ استفاده می گردند.
مزایا و معایب پیاده سازی به روش Dedicated Deployment
مزایا:
جداسازی کامل Policy ها و Operation های Device Administration و Network Access
معایب:
نیاز به Deployment جداگانه سرورهای ISE برای هر سناریو (TACACS+ و RADIUS)
هزینه و زمان بیشتر برای نصب و راه اندازی سرورهای PAN و MnT برای Second Deployment
Dedicated PSN
در این حالت سرورهای ISE که بر روی آنها سرویس PSN فعال می باشد به صورت اختصاصی برای هر یک از حالت های RADIUS و TACACS+ نصب و راه اندازی می گردند ولی نود های PAN و MnT برای هر دو حالت به صورت مشترک استفاده می گردند.
مزایا و معایب پیاده سازی Dedicated PSN
مزایا:
مدیریت متمرکز Policyها و مانیتورینگ متمرکز
توسعه و گسترش Device Administration و Network Access به صورت مستقل و جداگانه از یکدیگر
معایب:
ممکن است PSN هایی که فقط برای یک سرویس (TACACS+ یا RADIUS) استفاده می گردند Utilization پایینی داشته باشند و از تمام ظرفیت آنها استفاده نگردد.
برای راه اندازی حالت Distributed و بالابردن سطح دسترسی نیاز به نصب و راه اندازی نودهای PSN بیشتری می باشد.
Integrated Deployment
در این حالت تمامی نودها به صورت همزمان هم برای RADIUS و هم TACACS+ استفاده می گردند.
مزایا و معایب پیاده سازی Integrated Deployment
مزایا:
- مدیریت متمرکز Policyها و مانیتورینگ متمرکز
- Shared PSNs
- توسعه و گسترش تمام نیازمندی های AAA شامل Device Administration و Network Access با اضافه کردن نودهای PSN جدید در زمان نیاز
معایب:
ممکن است در شرایطی که مدیریت دستگاه و مدیریت Dot1x توسط دپارتمان های مختلف سازمان انجام می گیرد، نیاز به تنظیمات سطح دسترسی مختلف برای هر دپارتمان باشیم.
در پایان باید اشاره داشت که سیاستهای احراز هویت کاربر در Cisco ISE شما را قادر میسازد تا با استفاده از انواع پروتکلهای احراز هویت استاندارد از جمله پروتکل های PAP، CHAP، PEAP و EAP، احراز هویت را برای ورود به سیستم کاربر فراهم کنید. Cisco ISE همچنین از طریق Dot1x، MAC Authentication Bypass (MAB) و ورود به سیستم احراز هویت مبتنی بر مرورگر وب (Web Authentication) برای احراز هویت کاربر و دسترسی شبکه های سیمی و بی سیم پشتیبانی می کند. برای استفاده از این ویژگی ها، ابتدا باید لایسنس های سیسکو ISE را خریداری و نصب کنید.