آموزش تصویری Cisco SISAS 300-208 مبتنی بر ISE V 2.0
مهمترین بحث این دوره پیاده سازی انواع راه حل های 802.1x است که کاربر را در زمان ورود به شبکه Ethernet، احراز هویت می کند و با توجه به خروجی احراز هویت سطح دسترسی آن را نیز مشخص می کند.
در این لوح آموزشی روش های PEAP، EAP-FAST، EAP-TLS و EAP-TTLS پیاده سازی شده اند. در روش EAP-TLS هم کاربر و هم سرور باید به certificate مجهز شده باشند که نیازمند پیاده سازی CA سازمانی است. در روش PEAP فقط سرور از certificate استفاده می کند که بستر امنی را برای کاربر فراهم می کند که کاربر نام کاربر و رمز عبور خود را تحت هر یک از روش های احراز هویت مبتنی بر EAP مانند EAP-MSCHAP V2 منتقل نماید. روش EAP-TTLS همانند PEAP است با این تفاوت که کاربر آزاد است حتی از روش های احراز هویت غیر از EAP مانند PAP، CHAP، MS-CHAPV1 و MS-CHAPV2 برای انتقال اطلاعات پسور استفاده نماید. در روش EAP-FAST که مخصوص سیسکو است، سرور به جای استفاده از certificate برای ایجاد تونل امن از PAC فایل استفاده می کند که پیاده سازی را ساده تر می سازد.
ضمنا در اکثر روش هایی که پیاده سازی شده اند هم احراز هویت ماشین و هم احراز هویت کاربر مد نظر قرار گرفته است. بنابراین می توان به ماشین هایی که از خارج از سازمان وارد سازمان می شوند اما از نام کاربری مجاز استفاده می کنند، دسترسی متفاوتی نسبت به ماشین هایی که هم ماشین و هم نام کاربری آن مجاز و تعریف شده می باشد، ارائه نمود.
البته نودهایی از شبکه مانند پرینتر و ip-phone که قابلیت dot1x ندارندف با استفاده از MAC احراز هویت می شوند که اصطلاحا به این روش MAB نیز گفته می شود. هر چند استفاده از این روش به تنهایی به اندازه کافی امن نیست و باید همزمان با روش های دیگر از جمله port-security و ip source guard مورد استفاده قرار گیرد.
نودهایی نیز وجود دارند که نه قابلیت dot1x دارند و نه MAC آنها در سیستم تعریف شده است. مانند مهمان هایی که از خارج از سازمان وارد سازمان می شوند و قصد دارند به صورت موقت از سرویس های سازمان مانند اینترنت بهره مند شوند. روش احراز هویت مبتنی بر وب برای این افراد در نظر گرفته شده است.
در ISE V2.0 علاوه بر Radius که قابلیت پیاده سازی همه روش های dot1x را فراهم می کند، TACACS نیز به مجموعه ویژگی های آن اضافه شده است که قابلیت device access control و command authorization را فراهم می کند و به نوعی ما را از ACS بی نیاز کرده است. در این لوح آموزشی از TACACS نیز برای پیاده سازی ویژگی های فوق استفاده شده است.
یکی دیگر از قابلیت های ISE، profiling است که وظیفه دسته بندی اتوماتیک نودهای شبکه را بر حسب نوع سخت افزار و نوع سیستم عامل بعهده دارد. مثلا اینکه چه نودهایی از نوع لپ تاپ و دارای سیستم عامل ویندوز هستند و یا اینکه چه نودهایی از نوع موبایل و تبلت IOS و Android می باشند. این اطلاعات نه تنها به تنهایی مفید و قابل استفاده هستند، بلکه قابل کنترل دسترسی با توجه به نوع دسترسی نیز وجود دارد.
Posture assessment یکی از ویژگی های بسیار بارز راه حل ISE است. بدین معنی که نه تنها کاربر را در زمان ورود به شبکه کنترل می کند بلکه نودی که کاربر از طریق آن به شبکه متصل می شود را نیز تحت نظر قرار می گیرد و چنانچه پارامترهای امنیتی آن از جمله آنتی ویروس و یا فایروال آن فعال و به روز نباشد، اجازه عبور نود به شبکه داده نمی شود بلکه کاربر را به صفحه ای هدایت می کند که بتواند فایل های مورد نیاز برای رفع مشکلات امنیتی را دریافت و نصب نماید و بعد از روش مشکل مجددا به شبکه متصل گردد.
BYOD بدین معنی است که کاربران تجهیزات شخصی خود را وارد سازمان کنند و بتوانند از آن برای پیشبرد اهداف سازمان نیز استفاده نمایند اما از طرفی نگران امنیت داده ها و اطلاعات سازمان نباشیم. مثلا اینکه بتواند نود خود را در شبکه رجیستر نماید و نرم افزارهای مورد نیاز برای احراز هویت و posture assessment را به صورت اتوماتیک نصب نماید و راه کاربر را برای ورودهای بعدی و امن به شبکه فراهم نماید.
سرفصل مطالب:
1. AAA theory
2. ISE features Overview
3. Device Access Authentication with TACACS
4. Device Access Authorization with TACACS
5. Joine ISE to Active Directory
6. ISE Certificate Enrollment to Microsoft CA
7. Switch or AAA _Client Configuration
8. EAP-based Authentication methods
9. PEAP Authentication
10. dot1x Authorization
11. cisco anyconnect nam configuration
12. dot1x Authentication with EAP-FAST
13. dot1x Authentication with EAP-TTLS
14. user and machine authetication with PEAP
15. user and machine authetication with EAP-TLS Part1
15.1. user and machine authetication with EAP-TLS Part2
16. user and machine authetication with EAP-FAST Chaining
17. MAB
18. Web based Authentication
19. Profiling
20. Guest Management Part1
20.1. Guest Management Part2
21. Client Provisioning and Posture Assessment Part1
21.1. Client Provisioning and Posture Assessment Part2
22. BYOD
23. TrustSec
Theory