معرفی ابزار و دوره آموزشی

این محصول امنیتی سیسکو این قابلیت را به شما می دهد که قبل از اتصال کاربر شبکه از هریک از روش های سیمی، بی سیم و یا ارتباط از راه دور کاملا احراز هویت می شود و با توجه به هویت شخص متصل شوند، میزان دسترسی او به شبکه تعیین و کنترل و نهایتا مانیتور می شود.

اسم ویژگی فوق AAA (Authentication, Authorization, Accounting) است.

در این دوره آموزشی روش های PEAP، EAP-FAST، EAP-TLS و EAP-TTLS پیاده سازی می شوند. در روش EAP-TLS هم کاربر و هم سرور باید به certificate مجهز شده باشند که نیازمند پیاده سازی CA سازمانی است. در روش PEAP فقط سرور از certificate استفاده می کند که بستر امنی را برای کاربر فراهم می کند که کاربر نام کاربر و رمز عبور خود را تحت هر یک از روش های احراز هویت مبتنی بر EAP مانند EAP-MSCHAP V2 منتقل نماید. روش EAP-TTLS همانند PEAP است با این تفاوت که کاربر آزاد است حتی از روش های احراز هویت غیر از EAP مانند PAP، CHAP، MS-CHAPV1 و MS-CHAPV2 برای انتقال اطلاعات پسور استفاده نماید. در روش EAP-FAST که مخصوص سیسکو است، سرور به جای استفاده از certificate برای ایجاد تونل امن از PAC فایل استفاده می کند که پیاده سازی را ساده تر می سازد.

ضمنا در اکثر روش هایی که پیاده سازی شده اند هم احراز هویت ماشین و هم احراز هویت کاربر مد نظر قرار گرفته است. بنابراین می توان به ماشین هایی که از خارج از سازمان وارد سازمان می شوند اما از نام کاربری مجاز استفاده می کنند، دسترسی متفاوتی نسبت به ماشین هایی که هم ماشین و هم نام کاربری آن مجاز و تعریف شده می باشد، ارائه نمود.

البته نودهایی از شبکه مانند پرینتر و ip-phone که قابلیت dot1x ندارندف با استفاده از MAC احراز هویت می شوند که اصطلاحا به این روش MAB نیز گفته می شود. هر چند استفاده از این روش به تنهایی به اندازه کافی امن نیست و باید همزمان با روش های دیگر از جمله port-security و ip source guard مورد استفاده قرار گیرد.

نودهایی نیز وجود دارند که نه قابلیت dot1x دارند و نه MAC آنها در سیستم تعریف شده است. مانند مهمان هایی که از خارج از سازمان وارد سازمان می شوند و قصد دارند به صورت موقت از سرویس های سازمان مانند اینترنت بهره مند شوند. روش احراز هویت مبتنی بر وب برای این افراد در نظر گرفته شده است.

در ISE V2.0 علاوه بر Radius که قابلیت پیاده سازی همه روش های dot1x را فراهم می کند، TACACS نیز به مجموعه ویژگی های آن اضافه شده است که قابلیت device access control و command authorization را فراهم می کند و به نوعی ما را از ACS بی نیاز کرده است. در این لوح آموزشی از TACACS نیز برای پیاده سازی ویژگی های فوق استفاده شده است.

یکی دیگر از قابلیت های ISE، profiling است که وظیفه دسته بندی اتوماتیک نودهای شبکه را بر حسب نوع سخت افزار و نوع سیستم عامل بعهده دارد. مثلا اینکه چه نودهایی از نوع لپ تاپ و دارای سیستم عامل ویندوز هستند و یا اینکه چه نودهایی از نوع موبایل و تبلت IOS و Android می باشند. این اطلاعات نه تنها به تنهایی مفید و قابل استفاده هستند، بلکه قابل کنترل دسترسی با توجه به نوع دسترسی نیز وجود دارد.

البته این محصول ویژگی های دیگری هم دارد. از جمله اینکه می توانید کنترل کنید چنانچه سخت افزاری که کاربر از طریق آن به شبکه متصل می شود، پیش نیازهای امنیتی لازم از قبیل فایروال، آنتی ویروس به روز شده، سیستم عامل به روز شده و غیره را نداشته باشد، اجازه دسترسی به کاربر داده نشود تا زمانیکه مشکلات امنیتی فوق برطرف گردد. البته راه حل و لینکهای چگونگی رفع مشکلات امنیتی نیز در اختیار کاربر قرار داده می شود.

به این ویژگی Posture Assessment و remediation گفته می شود.

از دیگر قابلیتی که در این محصول وجود دارد، ایجاد صفحه وب برای مدیریت مهمان و ورود آنها به شبکه سازمان و همچنین تعیین دسترسی مهمان است. از طریق این صفحه، مهمان خودش می تواند برای خودش اکانت بسازد و سخت افزار خود را رجیستر کند. سپس وارد شبکه سازمان شود و از حداقل دسترسی ها مثل اینترنت برخوردار شود.

این ویژگی guest management نامیده می شود.

همچنین با این ابزار می توان به کاربران شبکه اجازه داد تا از سخت افزارهای شخصی خودشان برای اتصال به شبکه و استفاده از منابع سازمان و همچنین پیشبرد اهداف سازمان استفاده کنند بدون آنکه نگران چالش های امنیتی آن باشیم. بدین صورت که اولا نرم افزارهای لازم برای احراز هویت و همچنین کنترل سطوح امنیتی سخت افزار متصل شونده نصب می شود. سپس کاربر می تواند با سخت افزار شخصی خود با انجام مکانیزم احراز هویت و همچنین بعد از کنترل های امنیتی وارد شبکه سازمان شود. بعد از این هم امکان ایجاد دو محیط ایزوله برای داده های سازمان و داده های شخصی کاربر وجود دارد و می توان داده های سازمان را کاملا به صورت رمز شده ذخیره نمود و البته قابلیت های دیگری که سازمان را از نگرانی خارج می کند و بنابراین به کاربر اجازه می دهد تا از دستگاه شخصی خود برای پیشبرد اهداف سازمانی بهره مند شود.

به این قابلیت BYOD که مخفف Bring Your own Device است، گفته می شود.

عنوان کلاستوضیحات کلاسساعتشهریه دوره (تومان)زمان برگزاریرزروی ها
CCNP Security SISAS
استاد: مهندس فرهاد بهجت
Access Security251,100,000دوشنبه ساعت 17:30 تا 20:30
دوشنبه, 01 بهمن 1397
0ورود به سایت

1. AAA theory

2. ISE features Overview

3. Device Access Authentication with TACACS

4. Device Access Authorization with TACACS

5. Joine ISE to Active Directory

6. ISE Certificate Enrollment to Microsoft CA

7. Switch or AAA _Client Configuration

8. EAP-based Authentication methods

9. PEAP Authentication

10. dot1x Authorization

11. cisco anyconnect nam configuration

12. dot1x Authentication with EAP-FAST

13. dot1x Authentication with EAP-TTLS

14. user and machine authetication with PEAP

15. user and machine authetication with EAP-TLS Part1

15.1. user and machine authetication with EAP-TLS Part2

16. user and machine authetication with EAP-FAST Chaining

17. MAB

18. Web based Authentication

19. Profiling

20. Guest Management Part1

20.1. Guest Management Part2

21. Client Provisioning and Posture Assessment Part1

21.1. Client Provisioning and Posture Assessment Part2

22. BYOD

23. TrustSec