آموزش تصویری Cisco SISAS 300-208 مبتنی بر ISE V 2.0

تولید کننده: مهندس مجید اسدپور
ناشر : اندیشه گستر رایکا *** شماره مجوز : 50/708
مهمترین بحث این دوره پیاده سازی انواع راه حل های 802.1x است که کاربر را در زمان ورود به شبکه Ethernet، احراز هویت می کند و با توجه به خروجی احراز هویت سطح دسترسی آن را نیز مشخص می کند.
قیمت محصول: 3,300,000 ﷼
بسته بندی Tooltip

سرفصل مطالب و دموی محصول

در این لوح آموزشی روش های PEAP، EAP-FAST، EAP-TLS و EAP-TTLS پیاده سازی شده اند. در روش EAP-TLS هم کاربر و هم سرور باید به certificate مجهز شده باشند که نیازمند پیاده سازی CA سازمانی است. در روش PEAP فقط سرور از certificate استفاده می کند که بستر امنی را برای کاربر فراهم می کند که کاربر نام کاربر و رمز عبور خود را تحت هر یک از روش های احراز هویت مبتنی بر EAP مانند EAP-MSCHAP V2 منتقل نماید. روش EAP-TTLS همانند PEAP است با این تفاوت که کاربر آزاد است حتی از روش های احراز هویت غیر از EAP مانند PAP، CHAP، MS-CHAPV1 و MS-CHAPV2 برای انتقال اطلاعات پسور استفاده نماید. در روش EAP-FAST که مخصوص سیسکو است، سرور به جای استفاده از certificate برای ایجاد تونل امن از PAC فایل استفاده می کند که پیاده سازی را ساده تر می سازد.

ضمنا در اکثر روش هایی که پیاده سازی شده اند هم احراز هویت ماشین و هم احراز هویت کاربر مد نظر قرار گرفته است. بنابراین می توان به ماشین هایی که از خارج از سازمان وارد سازمان می شوند اما از نام کاربری مجاز استفاده می کنند، دسترسی متفاوتی نسبت به ماشین هایی که هم ماشین و هم نام کاربری آن مجاز و تعریف شده می باشد، ارائه نمود.

البته نودهایی از شبکه مانند پرینتر و ip-phone که قابلیت dot1x ندارندف با استفاده از MAC احراز هویت می شوند که اصطلاحا به این روش MAB نیز گفته می شود. هر چند استفاده از این روش به تنهایی به اندازه کافی امن نیست و باید همزمان با روش های دیگر از جمله port-security و ip source guard مورد استفاده قرار گیرد.

نودهایی نیز وجود دارند که نه قابلیت dot1x دارند و نه MAC آنها در سیستم تعریف شده است. مانند مهمان هایی که از خارج از سازمان وارد سازمان می شوند و قصد دارند به صورت موقت از سرویس های سازمان مانند اینترنت بهره مند شوند. روش احراز هویت مبتنی بر وب برای این افراد در نظر گرفته شده است.

در ISE V2.0 علاوه بر Radius که قابلیت پیاده سازی همه روش های dot1x را فراهم می کند، TACACS نیز به مجموعه ویژگی های آن اضافه شده است که قابلیت device access control و command authorization را فراهم می کند و به نوعی ما را از ACS بی نیاز کرده است. در این لوح آموزشی از TACACS نیز برای پیاده سازی ویژگی های فوق استفاده شده است.

یکی دیگر از قابلیت های ISE، profiling است که وظیفه دسته بندی اتوماتیک نودهای شبکه را بر حسب نوع سخت افزار و نوع سیستم عامل بعهده دارد. مثلا اینکه چه نودهایی از نوع لپ تاپ و دارای سیستم عامل ویندوز هستند و یا اینکه چه نودهایی از نوع موبایل و تبلت IOS و Android می باشند. این اطلاعات نه تنها به تنهایی مفید و قابل استفاده هستند، بلکه قابل کنترل دسترسی با توجه به نوع دسترسی نیز وجود دارد.

Posture assessment یکی از ویژگی های بسیار بارز راه حل ISE است. بدین معنی که نه تنها کاربر را در زمان ورود به شبکه کنترل می کند بلکه نودی که کاربر از طریق آن به شبکه متصل می شود را نیز تحت نظر قرار می گیرد و چنانچه پارامترهای امنیتی آن از جمله آنتی ویروس و یا فایروال آن فعال و به روز نباشد، اجازه عبور نود به شبکه داده نمی شود بلکه کاربر را به صفحه ای هدایت می کند که بتواند فایل های مورد نیاز برای رفع مشکلات امنیتی را دریافت و نصب نماید و بعد از روش مشکل مجددا به شبکه متصل گردد.

BYOD بدین معنی است که کاربران تجهیزات شخصی خود را وارد سازمان کنند و بتوانند از آن برای پیشبرد اهداف سازمان نیز استفاده نمایند اما از طرفی نگران امنیت داده ها و اطلاعات سازمان نباشیم. مثلا اینکه بتواند نود خود را در شبکه رجیستر نماید و نرم افزارهای مورد نیاز برای احراز هویت و posture assessment را به صورت اتوماتیک نصب نماید و راه کاربر را برای ورودهای بعدی و امن به شبکه فراهم نماید.

سرفصل مطالب:

1. AAA theory

2. ISE features Overview

3. Device Access Authentication with TACACS

4. Device Access Authorization with TACACS

5. Joine ISE to Active Directory

6. ISE Certificate Enrollment to Microsoft CA

7. Switch or AAA _Client Configuration

8. EAP-based Authentication methods

9. PEAP Authentication

10. dot1x Authorization

11. cisco anyconnect nam configuration

12. dot1x Authentication with EAP-FAST

13. dot1x Authentication with EAP-TTLS

14. user and machine authetication with PEAP

15. user and machine authetication with EAP-TLS Part1

15.1. user and machine authetication with EAP-TLS Part2

16. user and machine authetication with EAP-FAST Chaining

17. MAB

18. Web based Authentication

19. Profiling

20. Guest Management Part1

20.1. Guest Management Part2

21. Client Provisioning and Posture Assessment Part1

21.1. Client Provisioning and Posture Assessment Part2

22. BYOD

23. TrustSec

Theory

مشاهده دمو

بازنگری ها

جمعه, 12 آذر 1395
عالی بود .مثالهای متعدد مزیت رقابتی این محصول می باشد .تشکر.
mohammad yaghoubi