Posts

(Cisco Identity Services Engine (ISE نسل جدید سیستم شناسایی و کنترل دسترسی

شبکه های امروزی به سرعت در حالت تغییر هستند بخصوص زمانی که کاربران یا کارمندان متحرک دارید که یک دستگاه یا مکان خاص ندارند و از هر جایی به روش هایی مختلف مانند اینترنت می خواهند به شبکه متصل می شوند و برای این اتصال از دستگاه های مختلف مانند لپ تاپ ، تبلت ، گوشی هوشمند و … استفاده می کنند. این اتصال به شبکه از نقاط مختلف و دسترسی به منابع شبکه باعث افزایش بهره وری می شود اما از سوی دیگر باعث کاهش امنیت و افزایش تهدیدات می شود چون وضعیت امنیتی دستگاه هایی که به شبکه متصل می شوند کنترل نمی شود. نگهداری و ردیابی تمام دستگاه هایی که به شبکه دسترسی پیدا می کند یک کار بزرگ است و هر چه این میزان دسترسی بیشتر شود مدیریت و کنترل آن سخت تر می شود.

Image

(Cisco Identity Services Engine (ISE نسل جدید سیستم شناسایی و کنترل دسترسی است که شبکه را قادر می سازد سرویس دهی را ساده تر انجام دهد و وضعیت امنیت زیرساخت را بهبود ببخشد. معماری منحصر به فرد Cisco ISE این امکان را می دهد که به صورت Real time اطلاعات شبکه ، کاربران و دستگاه ها را جمع آوری کند. سپس مدیر می تواند با استفاده از این اطلاعات برای شناسایی دسترسی به عناصر مختلف شبکه مانند سوئیچ ها ، WLAN ، VPN و … اقدام کند.
Cisco ISE محصولی جدید است که راه حل ها و سرویس های مختلف امنیتی را در یک محصول به صورت یکجا برای ما فراهم می کند. این محصول کنترل دسترسی و راه حل های امنیتی را برای ارتباطات کابلی ، وایرلس و VPN را به صورت ساده و خودکار فراهم می کند.

ویژگی های کلیدی Cisco ISE :


  • AAA protocols : سیسکو ISE برای Authentication ، Authorization و Accounting از پروتکل RADIUS استفاده می کند.
  • Authentication protocols : از پروتکل های تایید هویت مختلفی پشتیبانی می کند که شامل PAP, MS-CHAP, EAP-MD5, PEAP, EAP-FAST, EAP-TLS می باشند.
  • Access control : سیسکو ISE دامنه وسیعی از مکانیزم های کنترل دسترسی را برای ما فراهم می کند مانند URL Redirect ، Vlan Assignment ، downloadable access control lists (dACL) وSGA tagging
  • Posture : سیسکو ISE با استفاده از NAC-client-Agent یا web agent وضعیت دستگاه هایی که به شبکه متصل می شوند را بررسی می کند. یک مدیر شبکه می تواند شرایط مختلفی را برای بررسی تعیین کند مانند آنتی ویروس ، وضعیت سیستم عامل و …
  • Profiling : Profiling برای شناسایی و آنالیز دستگاه های شبکه مورد استفاده قرار می گیرد. این دستگاه ها می تواند هر نوع دستگاهی که می خواهد به شبکه دسترسی پیدا کند مانند iPhone ، iPad ، laptop ، printers و … باشد. ISE به صورت پیش فرض دارای چندین Profiling برای این دستگاه ها می باشد. همچنین ما می توانیم Profiling مورد نظر خود را ایجاد کنیم و برای آن سیاست های خاصی درنظر بگیریم.
  • Policy model : Policy model این امکان را فراهم می کند که با استفاده از ویژگی ها و رول ها ، کنترل دسترسی انعطاف پذیرتری داشته باشیم.
  • Guest lifecycle management : با این قابلیت می توان در ISE یوزر با دسترسی خاص داشته باشیم و از آن برای کنترل کاربران مهمان استفاده کنیم.
  • Platform options : می توان ISE را در دو پلتفرم می توان استفاده کرد. پلتفرم اول به عنوان یک دستگاه متصل می باشد و پلتفرم دوم به عنوان یک دستگاه مجازی قابل استفاده است. ISE را می توان روی VMware نصب کرد.
  • Monitoring ، Troubleshooting و Reporting: در ISE مانیتورینگ ، خطایابی و گزارش گیری به سادگی و با محیط کاربر پسند انجام می شود.

نکته : ISE از پروتکل TACACS+ در حال حاضر پشتیبانی نمی کند و احتمالا در نسخه 2 این پروتکل اضافه خواهد شد.

Image

 

Identity-Based Network Access :


Cisco ISE در بخش های زیر مدیریت تشخیص هویت را به صورت آگاهانه انجام می دهد :

  • Cisco ISE تعیین می کند که کاربرانی که به شبکه دسترسی دارند توسط یک دستگاه با سیاست های مشخص به شبکه دسترسی پیدا کرده اند.
  • Cisco ISE تاریخچه شناسایی کاربر ، محلی که کاربر از آن به شبکه متصل شده است و همچنین دسترسی های کاربر را نگه داری می کند و از آن برای گزارش گیری می توان استفاده کرد.
  • Cisco ISE می تواند دسترسی کاربر را تنها به یک بخش از شبکه یا سرویس و نرم افزار خاص فراهم کند که اینکار براساس احراز هویت کاربر انجام می شود.
  • Cisco ISE می تواند سرویس دهی به کاربر را براساس شرایط مختلف تعیین کند مانند عضویت در گروه خاص ، نوع دستگاه و …
Image

چرا به AAA نیاز داریم؟

استفاده از authentication ، authorization و accounting (به اختصار AAA) به منظور بررسی هویت کاربر و اینکه کاربر می تواند چه کاری انجام دهد یک راه بسیار عالی برای امن کردن management plane در تجهیزات محسوب می شود. در بسیاری از سازمان تعداد بسیاری زیادی دستگاه وجود دارد. اگر برای این دستگاه ها از دیتابیس لوکال دستگاه ها استفاده شود مدیریت کاربران برای این دستگاه ها سخت خواهد بود. به طور مثال اگر بخواهید به یک کاربر دسترسی به 10 دستگاه را بدهید باید برای این کاربر روی هر 10 دستگاه یوزر و پسورد تعریف کنید یا اگر بخواهید پسورد این کاربر را در این 10 دستگاه تغییر بدهید باید اینکار رو روی تمام این دستگاه ها انجام دهید. این روش در شبکه های بزرگ با دستگاه های زیاد و همچنین تعداد زیادی کاربر روش درستی نیست.
راه حل مناسب برای اینکار استفاده از یک دیتابیس مرکزی است که برای همه یوزر و پسورد ها برای تایید هویت و همچنین اینکه هر کاربر اجازه دارد چه کاری انجام دهد استفاده شود. این در درجه اول کاری است که (Access Control Server (ACS می تواند برای ما انجام دهد. اولین قسمت کانفیگ مربوط به سرور ACS می شود که در آن باید یوزر و پسورد ها و همچنین کاری که آنها اجازه دارند انجام دهند مشخص می شود. قسمت دوم کانفیگ این است که برای دستگاه مشخص کنیم که هنگامی که درخواست authentication یا authorization داشت از سرور ACS استفاده کند و با آن ارتباط برقرار کند.
از سرور ACS می توان برای مدیریت کاربران که می خواد از طریق دستگاه مثل روتر یا فایروال به شبکه دسترسی پیدا کنند استفاده کرد به طور مثال برخی از کاربران می خواهند از طریق VPN به شبکه متصل شوند در نتیجه نیاز به تایید هویت و کنترل دسترسی وجود دارد که اینکار توسط ACS به صورت متمرکز امکان پذیر است. همچنین از سرور ACS می توان برای ضبط اتفاقات (Accounting) استفاده کرد که در اینجا مشخص می شود که کاربر چه زمانی به تجهیزات متصل شده است و چه کاری انجام داده است.

Image

 

چرا از Cisco ACS استفاده می کنیم؟


بسیاری از سازمان های از تجهیزات سیسکو استفاده می کنند همچنین قصد استفاده از سرور ACS دارند بنابراین آنها می توانند کاربران خود را به صورت متمرکز مدیریت و کنترل کنند. با تعریف کاربران در سرور ACS ، تمام این دستگاه های سازمان به عنوان کلاینت برای سرور ACS عمل می کنند در نتیجه می توانید از سرور ACS به عنوان نقطه مرکزی برای تایید هویت استفاده کنید. به این صورت یکبار یک یوزر در سرور ACS ساخته می شود و دستگاه ها برای تایید هویت توسط ACS تنظیم می شوند در نتیجه از این به بعد تایید هویت به وسیله سرور ACS انجام می گیرد و به راحتی امکان اضافه کردن و تغییر کاربر وجود دارد و دیگر نیاز به مراجعه به تک تک دستگاه های برای تعریف و تغییر کاربران نیست و خیلی راحت و ساده می توانیم آنها را از طریق سرور ACS به صورت متمرکز مدیریت کنیم.
در بسیاری از سازمان ها کاربران زیادی برای تعریف در سرور ACS وجود دارد که این کاربران می تواند جهت دسترسی به شبکه یا تجهیزات باشند اما تعریف تعداد زیادی کاربر در دیتابیس لوکال ACS می تواند زمان بر باشد یک ویژگی که در ACS در نظر گرفته شده است استفاده از یک دیتابیس خارجی است که حاوی این کاربران و پسورد آنها می باشد یک نمونه از این دیتابیس خارجی Microsoft Active Directory است که حاوی اطلاعات کاربران و پسورد آنها است و می تواند به عنوان دیتابیس خارجی برای ACS عمل کند.
زنجیره ای از این رخدادها و اتفاقات می تواند شبیه این مثال باشد : یک کاربر به یک روتر متصل می شود و روتر به او پیغام تایید هویت می دهد در این مثال فرض بر این می شود که یک کاربر admin است که می خواد دسترسی CLI به روتر پیدا کند. روتر برای استفاده از ACS تنظیم شده است بعد از اینکه روتر یوزر و پسورد را از کاربر دریافت کرد این اطلاعات را برای سرور AAA خود یعنی سرور ACS ارسال می کند و منتظر پاسخ می ماند. در سرور ACS اگر از دیتابیس خارجی مانند Microsoft Active Directory استفاده شده باشد سرور ACS یک درخواست به Active Directory برای تایید اعتبار یوزر و پسورد ارسال می کند. اگر اطلاعات ارسالی توسط Active Directory تایید شد ACS صحت تایید هویت را به روتر اطلاع می دهد و روتر اجازه دسترسی به کاربر را می دهد اما اگر اطلاعات در Active Directory وجود نداشت براساس تنظیمات صورت گرفته برای ACS می توان دیتابیس لوکال خود را بررسی کند. در کل می توان این نکته را برداشت کرد که ACS می تواند از چند دیتابیس که شامل چند دیتابیس خارجی و دیتابیس لوکال برای بررسی صحت یوزر و پسورد استفاده کند.