معرفی ابزار و دوره آموزشی

این محصول امنیتی سیسکو این قابلیت را به شما می دهد که قبل از اتصال کاربر شبکه از هریک از روش های سیمی، بی سیم و یا ارتباط از راه دور کاملا احراز هویت می شود و با توجه به هویت شخص متصل شوند، میزان دسترسی او به شبکه تعیین و کنترل و نهایتا مانیتور می شود.

اسم ویژگی فوق AAA (Authentication, Authorization, Accounting) است.

در این دوره آموزشی روش های PEAP، EAP-FAST، EAP-TLS و EAP-TTLS پیاده سازی می شوند. در روش EAP-TLS هم کاربر و هم سرور باید به certificate مجهز شده باشند که نیازمند پیاده سازی CA سازمانی است. در روش PEAP فقط سرور از certificate استفاده می کند که بستر امنی را برای کاربر فراهم می کند که کاربر نام کاربر و رمز عبور خود را تحت هر یک از روش های احراز هویت مبتنی بر EAP مانند EAP-MSCHAP V2 منتقل نماید. روش EAP-TTLS همانند PEAP است با این تفاوت که کاربر آزاد است حتی از روش های احراز هویت غیر از EAP مانند PAP، CHAP، MS-CHAPV1 و MS-CHAPV2 برای انتقال اطلاعات پسور استفاده نماید. در روش EAP-FAST که مخصوص سیسکو است، سرور به جای استفاده از certificate برای ایجاد تونل امن از PAC فایل استفاده می کند که پیاده سازی را ساده تر می سازد.

ضمنا در اکثر روش هایی که پیاده سازی شده اند هم احراز هویت ماشین و هم احراز هویت کاربر مد نظر قرار گرفته است. بنابراین می توان به ماشین هایی که از خارج از سازمان وارد سازمان می شوند اما از نام کاربری مجاز استفاده می کنند، دسترسی متفاوتی نسبت به ماشین هایی که هم ماشین و هم نام کاربری آن مجاز و تعریف شده می باشد، ارائه نمود.

البته نودهایی از شبکه مانند پرینتر و ip-phone که قابلیت dot1x ندارندف با استفاده از MAC احراز هویت می شوند که اصطلاحا به این روش MAB نیز گفته می شود. هر چند استفاده از این روش به تنهایی به اندازه کافی امن نیست و باید همزمان با روش های دیگر از جمله port-security و ip source guard مورد استفاده قرار گیرد.

نودهایی نیز وجود دارند که نه قابلیت dot1x دارند و نه MAC آنها در سیستم تعریف شده است. مانند مهمان هایی که از خارج از سازمان وارد سازمان می شوند و قصد دارند به صورت موقت از سرویس های سازمان مانند اینترنت بهره مند شوند. روش احراز هویت مبتنی بر وب برای این افراد در نظر گرفته شده است.

در ISE V2.0 علاوه بر Radius که قابلیت پیاده سازی همه روش های dot1x را فراهم می کند، TACACS نیز به مجموعه ویژگی های آن اضافه شده است که قابلیت device access control و command authorization را فراهم می کند و به نوعی ما را از ACS بی نیاز کرده است. در این لوح آموزشی از TACACS نیز برای پیاده سازی ویژگی های فوق استفاده شده است.

یکی دیگر از قابلیت های ISE، profiling است که وظیفه دسته بندی اتوماتیک نودهای شبکه را بر حسب نوع سخت افزار و نوع سیستم عامل بعهده دارد. مثلا اینکه چه نودهایی از نوع لپ تاپ و دارای سیستم عامل ویندوز هستند و یا اینکه چه نودهایی از نوع موبایل و تبلت IOS و Android می باشند. این اطلاعات نه تنها به تنهایی مفید و قابل استفاده هستند، بلکه قابل کنترل دسترسی با توجه به نوع دسترسی نیز وجود دارد.

البته این محصول ویژگی های دیگری هم دارد. از جمله اینکه می توانید کنترل کنید چنانچه سخت افزاری که کاربر از طریق آن به شبکه متصل می شود، پیش نیازهای امنیتی لازم از قبیل فایروال، آنتی ویروس به روز شده، سیستم عامل به روز شده و غیره را نداشته باشد، اجازه دسترسی به کاربر داده نشود تا زمانیکه مشکلات امنیتی فوق برطرف گردد. البته راه حل و لینکهای چگونگی رفع مشکلات امنیتی نیز در اختیار کاربر قرار داده می شود.

به این ویژگی Posture Assessment و remediation گفته می شود.

از دیگر قابلیتی که در این محصول وجود دارد، ایجاد صفحه وب برای مدیریت مهمان و ورود آنها به شبکه سازمان و همچنین تعیین دسترسی مهمان است. از طریق این صفحه، مهمان خودش می تواند برای خودش اکانت بسازد و سخت افزار خود را رجیستر کند. سپس وارد شبکه سازمان شود و از حداقل دسترسی ها مثل اینترنت برخوردار شود.

این ویژگی guest management نامیده می شود.

همچنین با این ابزار می توان به کاربران شبکه اجازه داد تا از سخت افزارهای شخصی خودشان برای اتصال به شبکه و استفاده از منابع سازمان و همچنین پیشبرد اهداف سازمان استفاده کنند بدون آنکه نگران چالش های امنیتی آن باشیم. بدین صورت که اولا نرم افزارهای لازم برای احراز هویت و همچنین کنترل سطوح امنیتی سخت افزار متصل شونده نصب می شود. سپس کاربر می تواند با سخت افزار شخصی خود با انجام مکانیزم احراز هویت و همچنین بعد از کنترل های امنیتی وارد شبکه سازمان شود. بعد از این هم امکان ایجاد دو محیط ایزوله برای داده های سازمان و داده های شخصی کاربر وجود دارد و می توان داده های سازمان را کاملا به صورت رمز شده ذخیره نمود و البته قابلیت های دیگری که سازمان را از نگرانی خارج می کند و بنابراین به کاربر اجازه می دهد تا از دستگاه شخصی خود برای پیشبرد اهداف سازمانی بهره مند شود.

به این قابلیت BYOD که مخفف Bring Your own Device است، گفته می شود.

عنوان کلاستوضیحات کلاسساعتشهریه دوره (تومان)زمان برگزاریرزروی ها
کمپ سه روزه Cisco Identity Services Engine(ISE)
استاد: مهندس فرهاد بهجت
-241,400,000دوشنبه، سه شنبه ،چهارشنبه ساعت 9 الی 17
دوشنبه, 05 فروردين 1398
10ورود به سایت