Posts

(Cisco Identity Services Engine (ISE نسل جدید سیستم شناسایی و کنترل دسترسی

شبکه های امروزی به سرعت در حالت تغییر هستند بخصوص زمانی که کاربران یا کارمندان متحرک دارید که یک دستگاه یا مکان خاص ندارند و از هر جایی به روش هایی مختلف مانند اینترنت می خواهند به شبکه متصل می شوند و برای این اتصال از دستگاه های مختلف مانند لپ تاپ ، تبلت ، گوشی هوشمند و … استفاده می کنند. این اتصال به شبکه از نقاط مختلف و دسترسی به منابع شبکه باعث افزایش بهره وری می شود اما از سوی دیگر باعث کاهش امنیت و افزایش تهدیدات می شود چون وضعیت امنیتی دستگاه هایی که به شبکه متصل می شوند کنترل نمی شود. نگهداری و ردیابی تمام دستگاه هایی که به شبکه دسترسی پیدا می کند یک کار بزرگ است و هر چه این میزان دسترسی بیشتر شود مدیریت و کنترل آن سخت تر می شود.

Image

(Cisco Identity Services Engine (ISE نسل جدید سیستم شناسایی و کنترل دسترسی است که شبکه را قادر می سازد سرویس دهی را ساده تر انجام دهد و وضعیت امنیت زیرساخت را بهبود ببخشد. معماری منحصر به فرد Cisco ISE این امکان را می دهد که به صورت Real time اطلاعات شبکه ، کاربران و دستگاه ها را جمع آوری کند. سپس مدیر می تواند با استفاده از این اطلاعات برای شناسایی دسترسی به عناصر مختلف شبکه مانند سوئیچ ها ، WLAN ، VPN و … اقدام کند.
Cisco ISE محصولی جدید است که راه حل ها و سرویس های مختلف امنیتی را در یک محصول به صورت یکجا برای ما فراهم می کند. این محصول کنترل دسترسی و راه حل های امنیتی را برای ارتباطات کابلی ، وایرلس و VPN را به صورت ساده و خودکار فراهم می کند.

ویژگی های کلیدی Cisco ISE :


  • AAA protocols : سیسکو ISE برای Authentication ، Authorization و Accounting از پروتکل RADIUS استفاده می کند.
  • Authentication protocols : از پروتکل های تایید هویت مختلفی پشتیبانی می کند که شامل PAP, MS-CHAP, EAP-MD5, PEAP, EAP-FAST, EAP-TLS می باشند.
  • Access control : سیسکو ISE دامنه وسیعی از مکانیزم های کنترل دسترسی را برای ما فراهم می کند مانند URL Redirect ، Vlan Assignment ، downloadable access control lists (dACL) وSGA tagging
  • Posture : سیسکو ISE با استفاده از NAC-client-Agent یا web agent وضعیت دستگاه هایی که به شبکه متصل می شوند را بررسی می کند. یک مدیر شبکه می تواند شرایط مختلفی را برای بررسی تعیین کند مانند آنتی ویروس ، وضعیت سیستم عامل و …
  • Profiling : Profiling برای شناسایی و آنالیز دستگاه های شبکه مورد استفاده قرار می گیرد. این دستگاه ها می تواند هر نوع دستگاهی که می خواهد به شبکه دسترسی پیدا کند مانند iPhone ، iPad ، laptop ، printers و … باشد. ISE به صورت پیش فرض دارای چندین Profiling برای این دستگاه ها می باشد. همچنین ما می توانیم Profiling مورد نظر خود را ایجاد کنیم و برای آن سیاست های خاصی درنظر بگیریم.
  • Policy model : Policy model این امکان را فراهم می کند که با استفاده از ویژگی ها و رول ها ، کنترل دسترسی انعطاف پذیرتری داشته باشیم.
  • Guest lifecycle management : با این قابلیت می توان در ISE یوزر با دسترسی خاص داشته باشیم و از آن برای کنترل کاربران مهمان استفاده کنیم.
  • Platform options : می توان ISE را در دو پلتفرم می توان استفاده کرد. پلتفرم اول به عنوان یک دستگاه متصل می باشد و پلتفرم دوم به عنوان یک دستگاه مجازی قابل استفاده است. ISE را می توان روی VMware نصب کرد.
  • Monitoring ، Troubleshooting و Reporting: در ISE مانیتورینگ ، خطایابی و گزارش گیری به سادگی و با محیط کاربر پسند انجام می شود.

نکته : ISE از پروتکل TACACS+ در حال حاضر پشتیبانی نمی کند و احتمالا در نسخه 2 این پروتکل اضافه خواهد شد.

Image

 

Identity-Based Network Access :


Cisco ISE در بخش های زیر مدیریت تشخیص هویت را به صورت آگاهانه انجام می دهد :

  • Cisco ISE تعیین می کند که کاربرانی که به شبکه دسترسی دارند توسط یک دستگاه با سیاست های مشخص به شبکه دسترسی پیدا کرده اند.
  • Cisco ISE تاریخچه شناسایی کاربر ، محلی که کاربر از آن به شبکه متصل شده است و همچنین دسترسی های کاربر را نگه داری می کند و از آن برای گزارش گیری می توان استفاده کرد.
  • Cisco ISE می تواند دسترسی کاربر را تنها به یک بخش از شبکه یا سرویس و نرم افزار خاص فراهم کند که اینکار براساس احراز هویت کاربر انجام می شود.
  • Cisco ISE می تواند سرویس دهی به کاربر را براساس شرایط مختلف تعیین کند مانند عضویت در گروه خاص ، نوع دستگاه و …
Image

AAA چیست و چگونه در تجهیزات سیسکو پیدا سازی می شود؟

به عنوان مدیر شبکه شما باید دسترسی به شبکه را برای کاربران فراهم کنید و همچنین شبکه را در برابر دسترسی های غیرمجاز محافظت کنید. مدل AAA که از Authentication ، Authorization ، Accounting تشکیل شده است به شما کمک می کند که دسترسی به شبکه را مدیریت کنید این مدیریت شامل ، چه کسی ، به کجای شبکه و چه زمانی دسترسی داشته باشد. AAA برای یکسری خدمات امنیتی شبکه ارائه شده است تا از آن برای NAC) Network Access Control) استفاده شود. در این مقاله می خواهیم با مدل AAA آشنا شویم و نحوی راه اندازی آنرا فرا گیریم.

Image

مهاجمان تلاش می کنند به منابع حساس شبکه به صورت غیر مجاز دسترسی پیدا کنند. معماری AAA سیسکو به عنوان ابزاری برای جلوگیری از این تهدیدات و افزایش امنیت دسترسی مورد استفاده قرار می گیرد. در یک شبکه علاوه بر کاربران عادی و مهاجمین ، مدیران شبکه نیز برای دسترسی به منابع شبکه تلاش می کنند. AAA این دسترسی را به صورت امن فراهم می کند.
در محیط های سیسکو دسترسی به شبکه از طریق اینترنت ، Dialup و یا campus توسط سه بخش Authentication ، Authorization و Accounting انجام می شود.

  • Authentication : این بخش وظیفه تایید هویت را دارد و مشخص می کند کاربر اجازه دسترسی به شبکه را دارد یا خیر. در این بخش از مکانیزم های مختلفی مانند یوزر و پسورد یا Token Cards می توان استفاده کرد.
  • Authorization : بعد از اینکه تایید هویت توسط بخش Authentication ، بخش Authorization برای مشخص کردن سطح دسترسی به کار می رود. در واقع در این بخش مشخص می شود که کاربر اجازه دارد به چه منابعی دسترسی پیدا کند و چه کارهایی انجام دهد.
  • Accounting : بعد از انجام شدن Authentication و Authorization ، کاربر به شبکه دسترسی پیدا می کند و شروع به استفاده از منابع می کند. این بخش وظیفه دارد که عملکرد کاربر را ضبط کند اینکه کاربر چه کاری انجام داده و به کجا و به چه مدت متصل بوده است.

 

نقش ها در AAA :


• AAA Client : این نقش درخواست تایید هویت را به AAA Server ارسال می کند و براساس پاسخ سرور به کاربر اجازه یا عدم اجازه ورود می دهد. این نقش توسط تجهیزاتی مانند روتر ، اکسس پوینت و … انجام می شود.
• AAA Server : این نقش درخواست ارسال شده توسط AAA Client را با دیتابیس خود بررسی و نتیجه را به AAA Client اعلام می کند. این نقش توسط سخت افزار یا نرم افزار می تواند انجام گردد.

AAA Protocol :


AAA برای ارتباط خود با AAA Server از دو نوع پروتکل می تواند استفاده کند که به تشریح آنها می پردازیم :
• Radius : یک پروتکل عمومی است. ارتباط آن از نوع UDP و از شماره پورت های 1645 و 1812 برای Authentication و Authorization و از شماره پورت های 1646 و 1813 برای Accounting استفاده می کند. فقط پسورد را رمز می کند. Authentication و Authorization را به عنوان یک سرویس در هم ادغام می کند و فقط جهت کنترل دسترسی کاربران مورد استفاده قرار می گیرد.
• TACACS+ : توسط شرکت سیسکو ارائه شده و به عنوان یک استاندارد عمومی انتشار یافته است. ارتباط آن از نوع TCP و از شماره پورت 49 استفاده می کند. این پروتکل کل بسته را رمزنگاری می کند. سه بخش AAA را به صورت جداگانه انجام می دهد و همچنین می توان برای کنترل دستورات در تجهیزات از آن استفاده کرد.
در جدول زیر این دو پروتکل با یکدیگر مقایسه شده اند.

Image

 

AAA در سیسکو :


سیسکو برای اجرای AAA سه روش را فراهم کرده است :
Cisco Secure ACS Solution Engine : در این روش ، AAA روی دستگاهی مانند روتر که به عنوان دروازه ورود به شبکه برای دسترسی به منابع شبکه محسوب می شود فعال می گردد و برای تایید و کنترل دسترسی با Cisco Secure ACS Solution Engine ارتباط برقرار می کند. Cisco Secure ACS SE یک دستگاه (Appliance) مستقل می باشد که CSA روی آن قرار گرفته است. نصب و راه اندازی Cisco Secure ACS SE روی یک دستگاه مانند PC امکان پذیر است اما نصب و راه اندازی این روش نیاز به خرید سخت افزار ، تهیه یک سیستم عامل و نصب CSA روی این سخت افزار و مسائل مربوط به License دارد و این مراحل بسیار پیچیده و سخت و زمانبر می باشد.به همین خاطر استفاده از این Appliance برای بسیاری از سازمان ها ساده تر می باشد. در تصویر زیر این Appliance نمایش داده شده است.

Image

• Cisco Secure Access Control Server (ACS) For Windows Server : در این روش ، AAA همانند روش قبل روی دستگاهی مانند روتر که به عنوان دروازه ورود به شبکه برای دسترسی به منابع شبکه محسوب می شود فعال می گردد و برای تایید و کنترل دسترسی با نرم افزار ACS که روی یک سرور ویندوزی نصب شده است ارتباط برقرار می کند.
• Self-Contained AAA : در این روش تایید و کنترل کاربران توسط خود دستگاه مانند روتر انجام می گیرد. در این حالت روی خود دستگاه کاربران تعریف و استفاده می شوند. به این روش Local Authentication نیز گفته می شود.

نکته : غیر از روش هایی که توسط سیسکو ارائه شده است می توان از سایر نرم افزار هایی که به عنوان AAA Server شناخته می شوند برای تایید و احراز هویت استفاده کرد. از Active Directory ویندوز نیز به عنوان AAA Server می توان استفاده کرد.
نکته : از پرکاربردترین مصارف AAA می توان تایید و کنترل دسترسی به شبکه از راه دور مانند VPN و Dialup را نام برد.
نکته : از حالت Local Authentication برای ایجاد گروه کوچکی از کاربران برای یک دستگاه جهت دسترسی به شبکه استفاده می شود برای ایجاد کاربران به صورت local از دستور username itpro password 123 استفاده می شود.
نکته : برای ایجاد دسترسی برای تعداد زیادی یوزر و استفاده توسط دستگاه های مختلف از یک دیتابیس خارجی مانند نرم افزار ACS استفاده می شود و توسط AAA به اطلاعات این دیتابیس دسترسی پیدا می کند.