​

 سيسكو ISE

سيسكو ISE ،  به عنوان راهكاري جامع و گسترده براي كنترل و مديريت اتصال و ورود كلاينت ها به شبكه محلي (LAN) شناخته مي شود به كمك اين نرم افزار، مديران شبكه قادر خواهند بود سياستها و محدوديتهاي مختلفي را جهت احراز هويت و صدور اجازه دسترسي به شبكه براي هر كلاينت اعمال نمايند و تجهيزاتي كه به صورت سيمي، بي سيم و از راه دور به شبكه داخلي متصل شده اند مورد بررسي و كنترل دقيق قرار داده تا از صلاحيت ورود آنها به شبكه و عدم ايجاد تهديد امنيتي براي سازمان مطمئن شوند. همچنين نرم افزار Cisco ISE قادر به مديريت سطح دسترسي و ثبت تمامي تغييرات انجام شده روي تجهيزات زيرساخت شبكه از جمله سوئيچ، روتر و فايروال توسط ادمين هاي شبكه است. اين نرم افزار، با استفاده از پروتكل هاي TACACS و RADIUS، امكان تعريف سطح دسترسي هاي مختلف براي كارشناس شبكه را فراهم نموده و همزمان تمامي تغييرات و تنظيمات انجام شده روي هر يك از تجهيزات توسط هر يك از كارشناسان را با جزئيات كامل ثبت و آرشيو مي نمايد. دو قابليت اصلي و مهم نرم افزار Cisco ISE بدين شرح است:

• Device Administration: سطح دسترسي مديران و كارشناسان شبكه به تجهيزات زيرساختي از قبيل سوئيچ، روترو، فايروال و غيره… مديريت، طبقه بندي، نظارت و ثبت دقيق مي شود.
• Network Access (NAC): اجازه دسترسي كاربران و كلاينت هاي مختلف به شبكه مديريت و كنترل مي شود.

​

اين محصول بصورت سرور فيزيكي Cisco SNS يا بصورت ماشين مجازي در VMware ،KVM و Hyper-V قابل راه اندازي است و در شبكه هاي سازمانها و شركتهاي كوچك تا سازمانهاي بسيار بزرگ و بانك ها  قابل استفاده مي باشد.

كاربردهاي سيسكو ISE

با در اختيار داشتن نرم افزار ISE سيسكو، ميتوان از سياست هاي قدرتمند و از پيش تعيين شده براي حفاظت از امنيت داخلي سازمان استفاده كرد. مهمترين اين سياست ها شامل موارد زير ميشود:

• : Authentication تنها كلاينت هايي كه احراز هويت و صلاحيت شده اند اجازه ورود به شبكه را خواهند داشت
• Authorization: پس از احراز هويت و ورود هر كلاينت به شبكه، سطح دسترسي به خصوصي بر اساس
  ويژگي هاي زير براي آن اعمال مي شود:

• Profiling Policy: اين ويژگي توانايي تشخيص نوع كلاينت اعم از رايانه روميزي، لپتاپ، تبلت يا تلفن همراه و همچنين سيستم عامل مورد استفاده اعم از ويندوز، اندرويد و IOS را دارا مي باشد و ميتوان سياست هاي از پيش تعيين شده اي را براي اجازه دسترسي به بخش ها مختلف شبكه به آن كلاينت اختصاص داد.
• Posture Policy: سيسكو ISE شرايط كلاينت هايي كه به شبكه متصل مي شوند را با درنظر گيري مواردي از قبيل سيستم‌عامل، به روزرساني‌ها و Patch level ها، وجود آنتي ويروس و بروز بودن آن روي كلاينتها، وضعيت پورت‌هاي USB و ساختار Registry بررسي نمايد.

• Guest Lifecycle Management Policy: با استفاده از اين ويژگي مي توان سياست هاي خاصي را براي كاربران مهمان و يا كاربراني كه نياز به دسترسي موقت و به بخش هاي محدودي از شبكه را دارند اعمال كرد.
• Remediation Actions Policy: با استفاده از اين قابليت با درنظر گرفتن علت عدم اجازه ورود به شبكه براي يك كلاينت بخصوص، مي توان بر اساس سياست هاي از پيش تعريف شده اقدامات لازم مانند آپديت ويندوز و يا نصب آنتي ويروس را بصورت خودكار انجام داد تا امكان ورود آنها نيز به درون شبكه و با امنيت كامل فراهم شود.

• Web Redirection Policy: در اين روش با تعريف شرايط خاص و براي كاربراني كه موفق به ورود خودكار به شبكه نشده اند، Web Provisioning Portal نمايش داده مي شود تا آنها بتوانند در صورت رعايت موارد امنيتي، از طريق نام كاربري و رمز عبور اختصاصي وارد شبكه شوند و سياست هاي بخصوصي براي آنها در نظر گرفته شود.

معماري سيسكو ISE

سيسكو ISE به عنوان يكي از راهكارهاي Cisco Security با بهره گيري از ساختاري منعطف و مقياس پذير از شيوه هاي مختلف به منظور فراهم سازي High Availability پشتيباني مي كند. براي درك نحوه طراحي و پياده سازي اين نرم افزار، ابتدا بهتر است با مفهوم Persona آشنا شويم. در ساختار Cisco ISE هر Persona عملكرد خاصي را برعهده دارد كه به شرح زير مي باشد:

• (PAN) Policy Administration Node: اين Persona مهم ترين بخش طراحي و پياده سازي Cisco ISE مي باشد كه بواسطه رابط گرافيكي، مديريت و اعمال سياست هاي امنيتي را در شبكه مهيا مي كند. همچنين فعال سازي لايسنسهاي سيسكو ISE روي اين Persona انجام مي پذيرد.
• (PSN) Policy Service Node: اين Persona تمامي تنظيمات اعمال شده در PAN را تحويل گرفته و روي تمامي كلاينت ها و تجهيزات اعمال مي كند. با توجه به ميزان كاربران و گسترده بودن شبكه، راه اندازي PSN هاي متعدد و بصورت Redundant امكان پذير مي باشد.
• (MnT) Monitoring and Troubleshooting Node: اين Persona وظيفه ارائه و به اشتراك گذاري لاگ ها و گزارش هاي مربوطه از طريق جداول گوناگون را به مديران شبكه ارائه را دارد.

مشتريان ميتوانند براي اطلاع از نحوه سفارش گذاري و تهيه انواع لايسنس سيسكو با كارشناسان بازرگاني شركت افزار پرداز هوشمند سورنا ارتباط برقرار كنند.

راه اندازي و پياده سازي سيسكو ISE

درون هر شبكه اي و براساس نيازهاي آن حالت زير براي راه اندازي Cisco ISE رايج مي باشد :

• Single Node: در اين روش تمامي Persona ها روي يك نسخه از سيسكو ISE راه اندازي مي شود.
• Fully Distributed: در اين روش كه تعداد نسخه هاي سيسكو ISE بيش از 4 عدد و بصورت پخش شده در نقاط مختلف مي باشد، دو نسخه بصورت Primary PAN و Secondary PAN و MnT عمل كرده و مابقي نسخه هاي نصبي وظيفه PSN را برعهده ميگيرند.

انواع لايسنس سيسكو ISE

شركت سيسكو به منظور فعال سازي قابليت هاي مختلف روي اين نرم افزار قدرتمند، لايسنس هاي آنلاين زير را ارائه مي دهد. تمامي اين لايسنس ها در بازه هاي زماني يك ساله، سه ساله و پنج ساله در روي اسمارت اكانت مشتري فعال مي گردد.

• Essentials License (User Visibility and Enforcement): براي استفاده از ابتدايي ترين قابليتهاي سيسكو ISE از جمله قابليت هاي نظارتي مانند AAA و Dot1x كاربرد دارد.
• Advantage License (Context): علاوه بر قابليت هاي ذكر شده در مدل Essential، امكانات پيشرفته بيشتري را فعال ميكند. از مهم ترين اين قابليت ها ميتوان به Device Profiling, TrustSec و BYOD اشاره كرد.
• Premier License (Full Stack): اين مدل علاوه بر داراي بودن تمامي قابليتهاي مدلهاي Essential و Advantage امكانات ديگري را فعال نموده و ميتوان از مدل Premier به عنوان فولترين لايسنس سيسكو ISE نام برد، مهم ترين اين قابليت ها، ويژگي Posture Compliance and Remediation مي باشد اين قابليت امكان بررسي و مطابقت وضعيت كلاينت ها با قوانين سازماني را مهيا كرده و امكان انجام اقدامات پيش فرض براي رفع هرگونه ناسازگاري را فراهم مي كند.
• VM License: نسخه مجازي سيسكو ISE به يك لايسنس جهت فعال سازي ماشين مجازي نياز داشته كه بنا به تعداد كلاينت ها و تجهيزات موجود در شبكه اين لايسنس در سه حالت Small, Medium, Large ارائه مي گردد.
• TACACS License: اين مدل قابليتهاي مديريت دسترسي به تجهيزات زيرساخت شبكه را براي كارشناسان و مديران شبكه فراهم مي كند، براي فعال سازي اين قابليت بايد لايسنس مدل Essential به تعداد تجهيزات به همراه لايسنس TACACS و لايسنس VM تهيه شود.

همچنين جهت بررسي قابليتها و امكانات سيسكو ISE ميتوان از لايسنس 90 روزه رايگان استفاده كرد.

لايسنس PLR سيسكو ISE

​

شايان ذكر است از نسخه 3 به بعد، نرم افزار سيسكو ISE فقط از حالت اسمارت لايسنس پشتيباني نموده و امكان نصب لايسنس هاي كلاسيك يا كرك هاي موجود در اينترنت روي اين نسخه وجود ندارد. همچنين از نسخه 3.1 به بعد امكان استفاده از لايسنس اسمارت آفلاين  (PLR) روي نرم افزار سيسكو ISE فعال شده است. با توجه شرايط موجود در ايران و مشكلات متعدد استفاده از لايسنس اسمارت آنلاين روي اسمارت اكانت يا ويرچوال اكانت، استفاده از حالت PLR كاملا مناسب بوده و از نظر هزينه اي نيز بسيار مقرون به صرفه مي باشد، همچنين در صورت استفاده از لايسنس PLR تمامي قابليتهاي نرم افزار سيسكو ISE به صورت فول، نامحدود و دائمي فعال مي گردد.

​