سیسکو ISE

سیسکو ISE، به عنوان راهکاری جامع و گسترده برای کنترل و مدیریت اتصال و ورود کلاینت ها به شبکه محلی (LAN) شناخته می شود به کمک این نرم افزار، مدیران شبکه قادر خواهند بود سیاستها و محدودیتهای مختلفی را جهت احراز هویت و صدور اجازه دسترسی به شبکه برای هر کلاینت اعمال نمایند و تجهیزاتی که به صورت سیمی، بی سیم و از راه دور به شبکه داخلی متصل شده اند مورد بررسی و کنترل دقیق قرار داده تا از صلاحیت ورود آنها به شبکه و عدم ایجاد تهدید امنیتی برای سازمان مطمئن شوند. همچنین نرم افزار Cisco ISE قادر به مدیریت سطح دسترسی و ثبت تمامی تغییرات انجام شده روی زیرساخت شبکه و تجهیزات سیسکو  از جمله سوئیچ، روتر و فایروال توسط ادمین های شبکه است. این نرم افزار، با استفاده از پروتکل های TACACS و RADIUS، امکان تعریف سطح دسترسی های مختلف برای کارشناس شبکه را فراهم نموده و همزمان تمامی تغییرات و تنظیمات انجام شده روی هر یک از تجهیزات توسط هر یک از کارشناسان را با جزئیات کامل ثبت و آرشیو می نماید. دو قابلیت اصلی و مهم نرم افزار Cisco ISE بدین شرح است:

• Device Administration: سطح دسترسی مدیران و کارشناسان شبکه به تجهیزات زیرساختی از قبیل سوئیچ، روترو، فایروال و غیره… مدیریت، طبقه بندی، نظارت و ثبت دقیق می شود.
• Network Access (NAC): اجازه دسترسی کاربران و کلاینت های مختلف به شبکه مدیریت و کنترل می شود.

این محصول بصورت سرور فیزیکی Cisco SNS یا بصورت ماشین مجازی در VMware ،KVM و Hyper-V قابل راه اندازی است و در شبکه های سازمانها و شرکتهای کوچک تا سازمانهای بسیار بزرگ و بانک ها  قابل استفاده می باشد.

کاربردهای سیسکو ISE

با در اختیار داشتن نرم افزار ISE سیسکو، میتوان از سیاست های قدرتمند و از پیش تعیین شده برای حفاظت از امنیت داخلی سازمان استفاده کرد. مهمترین این سیاست ها شامل موارد زیر میشود:

• : Authentication تنها کلاینت هایی که احراز هویت و صلاحیت شده اند اجازه ورود به شبکه را خواهند داشت
• Authorization: پس از احراز هویت و ورود هر کلاینت به شبکه، سطح دسترسی به خصوصی بر اساس
  ویژگی های زیر برای آن اعمال می شود:

• Profiling Policy: این ویژگی توانایی تشخیص نوع کلاینت اعم از رایانه رومیزی، لپتاپ، تبلت یا تلفن همراه و همچنین سیستم عامل مورد استفاده اعم از ویندوز، اندروید و IOS را دارا می باشد و میتوان سیاست های از پیش تعیین شده ای را برای اجازه دسترسی به بخش ها مختلف شبکه به آن کلاینت اختصاص داد.
• Posture Policy: سیسکو ISE شرایط کلاینت هایی که به شبکه متصل می شوند را با درنظر گیری مواردی از قبیل سیستم‌عامل، به روزرسانی‌ها و Patch level ها، وجود آنتی ویروس و بروز بودن آن روی کلاینتها، وضعیت پورت‌های USB و ساختار Registry بررسی نماید.

• Guest Lifecycle Management Policy: با استفاده از این ویژگی می توان سیاست های خاصی را برای کاربران مهمان و یا کاربرانی که نیاز به دسترسی موقت و به بخش های محدودی از شبکه را دارند اعمال کرد.
• Remediation Actions Policy: با استفاده از این قابلیت با درنظر گرفتن علت عدم اجازه ورود به شبکه برای یک کلاینت بخصوص، می توان بر اساس سیاست های از پیش تعریف شده اقدامات لازم مانند آپدیت ویندوز و یا نصب آنتی ویروس را بصورت خودکار انجام داد تا امکان ورود آنها نیز به درون شبکه و با امنیت کامل فراهم شود.

• Web Redirection Policy: در این روش با تعریف شرایط خاص و برای کاربرانی که موفق به ورود خودکار به شبکه نشده اند، Web Provisioning Portal نمایش داده می شود تا آنها بتوانند در صورت رعایت موارد امنیتی، از طریق نام کاربری و رمز عبور اختصاصی وارد شبکه شوند و سیاست های بخصوصی برای آنها در نظر گرفته شود.

معماری سیسکو ISE

سیسکو ISE به عنوان یکی از راهکارهای سیسکو Security با بهره گیری از ساختاری منعطف و مقیاس پذیر از شیوه های مختلف به منظور فراهم سازی High Availability پشتیبانی می کند. برای درک نحوه طراحی و پیاده سازی این نرم افزار، ابتدا بهتر است با مفهوم Persona آشنا شویم. در ساختار Cisco ISE هر Persona عملکرد خاصی را برعهده دارد که به شرح زیر می باشد:

• (PAN) Policy Administration Node: این Persona مهم ترین بخش طراحی و پیاده سازی Cisco ISE می باشد که بواسطه رابط گرافیکی، مدیریت و اعمال سیاست های امنیتی را در شبکه مهیا می کند. همچنین فعال سازی لایسنسهای سیسکو ISE روی این Persona انجام می پذیرد.
• (PSN) Policy Service Node: این Persona تمامی تنظیمات اعمال شده در PAN را تحویل گرفته و روی تمامی کلاینت ها و تجهیزات اعمال می کند. با توجه به میزان کاربران و گسترده بودن شبکه، راه اندازی PSN های متعدد و بصورت Redundant امکان پذیر می باشد.
• (MnT) Monitoring and Troubleshooting Node: این Persona وظیفه ارائه و به اشتراک گذاری لاگ ها و گزارش های مربوطه از طریق جداول گوناگون را به مدیران شبکه ارائه را دارد.

راه اندازی و پیاده سازی سیسکو ISE

درون هر شبکه ای و براساس نیازهای آن حالت زیر برای راه اندازی Cisco ISE رایج می باشد :

• Single Node: در این روش تمامی Persona ها روی یک نسخه از سیسکو ISE راه اندازی می شود.
• Fully Distributed: در این روش که تعداد نسخه های سیسکو ISE بیش از 4 عدد و بصورت پخش شده در نقاط مختلف می باشد، دو نسخه بصورت Primary PAN و Secondary PAN و MnT عمل کرده و مابقی نسخه های نصبی وظیفه PSN را برعهده میگیرند.

انواع لایسنس سیسکو ISE

شرکت سیسکو به منظور فعال سازی قابلیت های مختلف روی این نرم افزار قدرتمند، لایسنس های آنلاین زیر را ارائه می دهد. تمامی این لایسنس ها در بازه های زمانی یک ساله، سه ساله و پنج ساله در روی اسمارت اکانت مشتری فعال می گردد.

• Essentials License (User Visibility and Enforcement): برای استفاده از ابتدایی ترین قابلیتهای سیسکو ISE از جمله قابلیت های نظارتی مانند AAA و Dot1x کاربرد دارد.
• Advantage License (Context): علاوه بر قابلیت های ذکر شده در مدل Essential، امکانات پیشرفته بیشتری را فعال میکند. از مهم ترین این قابلیت ها میتوان به Device Profiling, TrustSec و BYOD اشاره کرد.
• Premier License (Full Stack): این مدل علاوه بر دارای بودن تمامی قابلیتهای مدلهای Essential و Advantage امکانات دیگری را فعال نموده و میتوان از مدل Premier به عنوان فولترین لایسنس سیسکو ISE نام برد، مهم ترین این قابلیت ها، ویژگی Posture Compliance and Remediation می باشد این قابلیت امکان بررسی و مطابقت وضعیت کلاینت ها با قوانین سازمانی را مهیا کرده و امکان انجام اقدامات پیش فرض برای رفع هرگونه ناسازگاری را فراهم می کند.
• VM License: نسخه مجازی سیسکو ISE به یک لایسنس جهت فعال سازی ماشین مجازی نیاز داشته که بنا به تعداد کلاینت ها و تجهیزات موجود در شبکه این لایسنس در سه حالت Small, Medium, Large ارائه می گردد.
• TACACS License: این مدل قابلیتهای مدیریت دسترسی به تجهیزات زیرساخت شبکه را برای کارشناسان و مدیران شبکه فراهم می کند، برای فعال سازی این قابلیت باید لایسنس مدل Essential به تعداد تجهیزات به همراه لایسنس TACACS و لایسنس VM تهیه شود.

همچنین جهت بررسی قابلیتها و امکانات سیسکو ISE میتوان از لایسنس 90 روزه رایگان استفاده کرد.

لایسنس PLR سیسکو ISE

شایان ذکر است از نسخه 3 به بعد، نرم افزار سیسکو ISE فقط از حالت اسمارت لایسنس پشتیبانی نموده و امکان نصب لایسنس های کلاسیک یا کرک های موجود در اینترنت روی این نسخه وجود ندارد. همچنین از نسخه 3.1 به بعد امکان استفاده از لایسنس اسمارت آفلاین  (PLR) روی نرم افزار سیسکو ISE فعال شده است. با توجه شرایط موجود در ایران و مشکلات متعدد استفاده از لایسنس اسمارت آنلاین روی اسمارت اکانت یا ویرچوال اکانت، استفاده از حالت PLR کاملا مناسب بوده و از نظر هزینه ای نیز بسیار مقرون به صرفه می باشد، همچنین در صورت استفاده از لایسنس PLR تمامی قابلیتهای نرم افزار سیسکو ISE به صورت فول، نامحدود و دائمی فعال می گردد.