سیستمها و سرویسهای مختلفی هستند که میتوانند به مدیریت دقیقتر و اصولیتر کسب و کارها کمک کنند. البته که شیوه و روشهای راهاندازی آنها متفاوت است که در این مقاله به معرفیشان میپردازیم. از طرفی در مورد شیوههای راه اندازی HA برای سرویس Cisco ISE توضیحاتی را در اختیارتان قرار میدهیم. چنانچه نیازمند کسب اطلاعات در این زمینه هستید، تا انتها ما را در آموزشگاه کندو همراهی کنید.
تعریفی کامل از سرویس Cisco ISE
قبل از هر چیز بهتر است که یک تعریف دقیق در مورد این سیستمها داشته باشیم. در واقع آنها نسل جدید سیستمهای مربوط به شناسایی و کنترل دسترسی کاربران هستند که باعث میشوند شبکه؛ سطح سرویس دهی را خیلی سادهتر انجام دهد. با استفاده از این سرویس؛ امنیت زیرساخت تا حد زیادی ارتقا پیدا میکند. معماری و زیر ساخت منحصر به فردی هم که وجود دارد؛ باعث میشود تا شما بتوانید بعنوان یک کاربر؛ در زمان حقیقی اطلاعات مربوط به شبکه کاربران و دستگاهها را جمع آوری کنید.
روشهای احراز هویت در سیسکو ISE
روشهای مختلفی برای احراز هویت در راه اندازی HA برای سرویس Cisco ISE وجود دارد. هر کدام از این روشها قابلیتهای خودشان را دارند. اولین مرحلهای هم که باید انجام دهید تا بتوانید وارد این سیستمها شوید، احراز هویت است. سرویس Cisco ISE از قابلیتی پشتیبانی میکند که به آن Single-Sign On گفته میشود.
شما میتوانید با استفاده از این قابلیت، دایرکتوری فعال و کاملاً یکپارچه و هماهنگ برای اجرای کار را در دست بگیرید. در واقع این هماهنگی طوری طراحی شده که شما به عنوان کاربر فقط یک بار و آن هم قبل از اینکه به شبکه اتصال پیدا کنید، نام کاربری و کلمه عبور را وارد کنید و بعد ادامه کار را در پیش بگیرید.
این برنامه از قابلیتی تحت عنوان Mac Authentication Bypass (MAB) نیز بهرهمند است. در حقیقت این قابلیتها به گونهای هستند که باعث میشود دستگاه به هر فردی اجازه ورود ندهد و همه چیز شخصیسازی شده تا مرحله احراز هویت به درستی انجام شود.
تعریفی از قابلیت Posture Assessment
یکی از قابلیتهایی که برای سرویس Cisco ISE باید به آن اشاره کرد، قابلیتی تحت عنوان قابلیت Posture Assessment است و به این معناست که شما میتوانید سطح دسترسی کاربر را تحت کنترل بگیرید که برای راهاندازی و اجرای کار هم اهمیت بسیار زیادی دارد. در واقع به عنوان مسئول شبکه میتوانید از این قابلیت استفاده کنید تا مطمئن شوید که سیستمها کاملاً سالم هستند و میتوانید اجرای کار را در دست بگیرید.
افرادی که به عنوان مسئول شبکه فعالیت میکنند، میتوانند وضعیت به روز رسانی آنتی ویروسها را از طریق این قابلیت روی دستگاه بررسی کنند تا مطمئن شوند که اجازه دسترسی به منابع شبکه وجود ندارد. یا اینکه کاربران را در شرایطی قرار دهند که بتواند مشکل را پیش بینی کرده و در صورت نیاز به شبکه دسترسی پیدا کنند تا مشکل را برطرف نمایند. این قابلیتی که به شما توضیح داده شد؛ به تست یا چک کردن موارد زیر کمک خواهد کرد:
- Antivirus
- Antispam & Antispyware
- Firewall
- Registry – Check
- File Check
- Windows Hot Fix
- Windows Service pack
- Application
بعد از اینکه موارد بالا بررسی شده و هر کدام چک شدند، سیاستهای امنیتی برای هر کدام از آنها طراحی میشود. این سیاستهای امنیتی شامل موارد زیر هستند:
- قابلیت مدیریت توسط کاربران مهمان را ارائه میدهند که معمولاً به صورت Built-in داخل دستگاهها طراحی میشود.
- همچنین قابلیت ارائه گزارشات در زمان واقعی را دارند؛ در واقع میتوانند فعالیت کاربران را به خوبی مدیریت کرده و عملکرد آنها را گزارش کنند.
- قابلیت ارائه ابزارهای عیب یابی و حل مشکلات هم توسط این سرویس وجود دارد.
چگونگیِ راه اندازی سیسکو ISE
برای راهاندازی این سیستم شما باید به سه جزء اصلی دسترسی پیدا کنید که شامل موارد زیر هستند:
- ISE Node
- Network Access Device (NAD)
- Authentication Software
این نرمافزار به گونهای طراحی شده است که به عنوان یک سرور مجازی مورد استفاده قرار میگیرد و آن را روی VMware ESXi و یا سرورهای فیزیکی NCS سیسکو به اجرا در میآورند. وجود آنها میتواند عاملی برای ایجاد نقشهای متفاوت در شبکه باشد. اصلیترین نقشی که برای این سیستم در نظر گرفته شده است، مربوط به کنترل و مدیریت دسترسیها است. همچنین از آنها برای جمع آوری و ارائه گزارشات لحظهای استفاده میشود که مربوط به فعالیت کاربران و نحوه اتصال آنها با شبکه است، چراکه به عنوان اعمال کننده سیاستهای امنیتی تدوین شده به کار میگیرند.
اگر هم کاربران بخواهند از این سیستمها استفاده کنند، میتوانند با وارد کردن نام کاربری و کلمه عبور خیلی راحت به شبکه دسترسی یابند. البته که گاهی اوقات نیازمند ابزار یا یک سری نرمافزارهای خاص هستند. نرمافزارهایی که در این زمینه ارائه میشود و بیشتر از همه معروف است، نرمافزار Cisco AnyConnect است که آن را روی سیستم نصب میکنند.
پیکربندی اولیه روی این برنامه انجام میشود و احراز هویت را پشت سر میگذارند. برای اجرا و راهاندازی آن هم مدلهای متفاوتی وجود دارد. استفاده از هر کدام از این مدلها بستگی به تعداد کاربرانی دارد که قرار است این نرمافزار را اجرایی نمایند.
پیاده سازی و راه اندازی Cisco ISE از جهت استفاده از تکنولوژی های مدرن امنیتی اهمیت زیادی دارد. راه اندازی سیسکو ISE را در آموزش cisco کندو، یاد میگیرید. اساتید کندو در دوره های آموزشی سیسکو به شما برای نصب ISE و آشنایی با محیط CLI کمک خواهند کرد.
دو مورد از مدلهایی که در این شبکهها استفاده میشوند، شامل موارد زیر هستند:
- Standalone Deployment
- Redundant (Basic) Deployment
** چنانچه تعداد کاربران داخل یک شبکه از ۵۰۰۰ نفر کمتر باشد، معمولا به سراغ استفاده از Standalone Model میروند. **
سخن پایانی
استفاده از سیستمهای مختلف مانند ISE عاملی برای ساماندهی سریعتر و سادهتر است و شما از طریق آنها میتوانید کاربرانی که وارد شبکه میشوند را مدیریت کرده و آنها را تحت کنترل بگیرید. ما در این مبحث به طور کامل راجع به این سیستمها صحبت کردیم و در مورد نحوه راه اندازی HA برای سرویس Cisco ISE اطلاعات کافی را در اختیارتان قرار دادیم.
برخی از سوالات متداول
در این بخش به تعدادی از سوالات رایج شما در مورد سرویس Cisco ISE پاسخ داده شده است.
مهمترین نرمافزاری که برای سرویس Cisco ISE استفاده میکنند، کدام است؟
مهمترین نرمافزار که بیشتر از همه هم معروف شده است؛ AnyConnect نام دارد.
اولین جزء پیاده سازی سیسکو ISE کدام است؟
اولین جزء برای راهاندازی و پیادهسازی سیسکو،ISE Node است.