Cisco Catalyst 6800 Switch License Part Number

Wiki Article

تکنولوژی های مدرن امنیتی – راه اندازی سیسکو ISE
[caption id="attachment_10383" align="aligncenter" width="700"] معرفی تکنولوژی های مدرن امنیتی – راه اندازی سیسکو ISE[/caption]

 
در قسمت اول از این سری از مطالب درمورد معرفی تکنولوژی های مدرن امنیتی (سیسکو ISE) به تفضیل صحبت کردیم. در این قسمت قصد داریم به قابلیت های دیگر این محصول پرقدرت سیسکو و نحوه راه اندازی آن بپردازیم.

روش های احراز هویت در سیسکو ISE
سرویس دهنده ISE با پشتیبانی از قابلیت Single-Sign On (SSO) ، می تواند با Active Directory به صورت یکپارچه عمل نماید. در نتیجه این هماهنگی کاربران فقط یکبار و آن هم در زمان اتصال به شبکه نیازمند وارد کردن نام کاربري و کلمه عبور خود می باشند. همچنین پشتیبانی از قابلیت Mac Authentication Bypass (MAB) دستگاه هایی که نمی توانند از نام کاربري و کلمه عبور براي Authentication، استفاده کنند ، نیز می توانند احراز هویت گردند.

قابلیت Posture Assessment
این ویژگی یکی از مهمترین قابلیت هایی است که در راستاي کنترل سطح دسترسی کاربران باید راه اندازي گردد، مسئولین شبکه با استفاده از قابلیت Posture Assessment می توانند از سلامت و Clean بودن سیستم ها و  دستگاه هاي (End Point  ها) اطمینان حاصل نمایند. به طور مثال مسئولین شبکه می توانند چک کنند که اگرAntivirus  و یا Antispyware موجود برروي سیستم کاربران به روز نباشد اجازه دسترسی به منابع شبکه را نداشته باشند و یا کاربر را در VLAN و یا شرایطی قرار دهند که ابتدا مشکل سیستم و دستگاه اش را مرتفع کرده و سپس به شبکه دسترسی پیدا کنند. این قابلیت می تواند موارد زیر را چک کند:


Antivirus
Antispam & Antispyware
Firewall
Registry - Check
File Check
Windows Hot Fix
Windows Service pack
Application

بر اساس نتیجه بررسی هریک از موارد بالا ، می توان سیاست هاي امنیتی ذیل را براي کاربر طراحی نمود:


قابلیت مدیریت کاربران مهمان (Guest Management ) به صورت Built-in در این سرویس دهنده تعبیه شده است.
قابلیت ارایه گزارشات Real-time و جامع از فعالیت کاربران.
ارایه ابزارهای عیب یابی و Troubleshooting

پیاده سازي سیسکو ISE
براي پیاده سازي سیسکو ISE نیاز به 3 جز اصلی می باشد :


ISE Node
Network Access Device (NAD)
Authentication Software

نرم افزار ISE به صورت سرور مجازی برروی VMware ESXi و یا سرورهای فیزیکی NCS سیسکو ارایه گردیده است و میتواند نقش هاي متفاوتی را در شبکه ارایه نماید. اصلی ترین نقش ISE، کنترل و مدیریت دسترسی ها می باشد . علاوه بر این، ISE می تواند به عنوان ابزاري براي ارایه و جمع آوري گزارشات لحظه ای در ارتباط با فعالیت کاربران و نحوه اتصال آن ها با شبکه ارایه نماید. بعنوان جزء بعدیNAD ها به نوعی اعمال کننده کلیه سیاست هاي امنیتی تدوین شده می باشند. در این راستا سوییچ هاي کاتالیست 9200 سیسکو در لایه Access بعنوان Network Access Device مورد استفاده قرار میگیرند، همچنین، براي اینکه کاربران بتوانند نام کاربري و کلمات عبور خود را وارد کرده تا بتوانند به شبکه دسترسی پیدا کنند، نیازمند ابزار و یا نرم افزار خاصی می باشند. نرم افزاري که در این زمینه توسط سیسکو ارایه شده است Cisco AnyConnect می باشد. این نرم افزار روي سیستم کاربران نصب شده و بعد از پیکربندي اولیه،  می توانند براي احراز هویت کاربران مورد استفاده قرار گیرند.
براي پیاده سازي ISE مدل هاي متفاوتی وجود دارند ، که مستقیما به تعداد کاربران بستگی دارند . در ادامه مدل هایی که براي بسیاري از شبکه ها مناسب می باشند ، ارایه شده است.


Standalone Deployment
Redundant (Basic) Deployment


برای کسب اطلاعات بیش تر در خصوص لایسنس PLR اینجا کلیک کنید


براي شبکه هایی که تعداد کاربران آن ها کمتر از 5000 می باشد استفاده از Standalone Model پیشنهاد می گردد.

در حالت Redundant دو سرویس دهنده ISE راه اندازي می شود ، که می توانند به صورت Backup یکدیگر عمل نمایند.

با توجه به اینکه سرویس دهنده ISE روي ساختار Virtualized بسیار پایدار و Stable عمل می کند، پیشنهاد می شود که این سرویس بصورت سرور مجازی راه اندازی گردد. پیاده سازي تکنولوژيCisco ISE  قابلیت هاي بسیاري را به همراه خواهد داشت. در ادامه مهمترین این قابلیت ها توضیح داده شده است.
براي پیاده سازي و راه اندازي Cisco ISE مراحل زیر باید صورت گیرد.


آماده سازي سوییچ ها جهت پشتیبانی از پروتکل 1X. ( به روز رسانی IOS ها )
نصب و راه اندازي ISE Node و نقش هاي متفاوت در صورت استفاده از ساختار ESXi
آماده سازي سیستم عامل کاربران شبکه جهت پشتیبانی از نرم افزارهاي مربوط به Authentication و Posture مانند Cisco AnyConnect. همچنین برای اجرای کامل این مرحله، انجام موارد زیر الزامی است:

راه اندازي مکانیزم هاي provisioning( نصب خودکار) نرم افزارهاي مرتبط با Posture Assessment.


انجام پیکربندي هاي روي سوییچ ها جهت همکاري با سرویس دهنده ISE.
انجام پیکربندي هاي اولیه جهت برقراري ارتباط بین ISE و سوییچ هاي شبکه.
در نظر گرفتن Identity Store جهت احراز هویت کاربران. ( براي راه اندازي قابلیت SSO)
ایجاد یکپارچکی ( Integration ) بین External Identity Store وCisco ISE
پیکربندي سوییچ ها جهت پشتیبانی از پروتکل 1X در حالت Open Mode. ( در فاز اولیه پیاده سازي پیشنهاد می شود که 802.1X در این حالت اجرا گردد تا کمترین اشکال را براي کاربران و کارشناسان Help-desk ایجاد نماید. در این حالت می توان مانیتورینگ کاملی در نحوه ارتباطات و مشکلات احتمالی کاربران انجام داد تا golicense ir قبل از پیاده سازي فازهاي بعدي کلیه مشکلات کاربران در احراز هویت مشخص گردد.)
تدوین و پیاده سازي سیاست هاي امنیتی مورد نیاز (Dynamic VLAN Assignment )

در ادامه به مدل هاي مختلف این محصول و تعداد کاربرانی که توسط هر مدل پشتیبانی می شود در جدول زیر اشاره شده است.




Cisco Identity Services Engine Appliances


Cisco Identity Services Engine Appliances and Servers
Product Number
Endpoints Supported


Cisco Secure Network Server 3415
SNS-3415-K9
5,000


Cisco Secure Network Server 3495
SNS-3495-K9
20,000


Cisco Identity Services Engine 3315 Appliance
ISE-3315-K9
3,000


Cisco Identity Services Engine 3355 Appliance
ISE-3355-K9
5,000


Cisco Identity Services Engine 3395 Appliance
ISE-3395-K9
10,000


Cisco Identity Services Engine Virtual Appliance
ISE-VM-K9=
-


Bundle of 5 Cisco Identity Services Engine Virtual Appliances
ISE-5VM-K9=
-


Bundle of 10 Cisco Identity Services Engine Virtual Appliances
ISE-10VM-K9=
L-ISE-10VM-K9=



با توجه به نقش کلیدي این محصول در شبکه ها و براي جلوگیري ازSingle Point Of Failure  می توانید از چندین ISE به صورت توزیع شده و یا Centralized براي Redundancy و بالا بردن Availability استفاده نمایید.
با توجه به توضیحات و مزایایی که در ارتباط با سرویس دهنده ISE ارایه گردید.  نحوه قرار گیري و ارتباط دستگاه هاي مختلف با یکدیگر در توپولوژي Logical زیر ارایه شده است.

سرویس دهنده ISE باید در بخش Server-Farm فایروال قرار گیرد و همچنین براي افزایش High-availability دو سرویس دهنده با نقش هاي Primary وSecondary  پیشنهاد می گردد.
روي کلیه سوییچ ها نیز باید قابلیت 802.1x پیکربندي گردد. تا بتوانند با Cisco ISE ارتباط برقرار نمایند. همانطور که در تصویر مشخص می باشد کلیه کاربران براي احزار هویت با Cisco ISE ارتباط برقرار می کنند.

لایسنس سیسکو ISE
براي فعال کردن قابلیت هاي ذکر شده ، Cisco ISE داراي License هاي مختلفی می باشد . به طور کلی این لیسانس ها در 3 پکیچ ارایه شده است. در شکل زیر قابلیت هایی که با نصب هر لیسانس فعال می شود ، ارایه شده است.

لازم بذکر است بر اساس اطلاعات موجود در جدول فوق ، براي فعال کردن قابلیت هاي ارزشمند Security Group Access و Posture Assessment، سرویس دهنده ISE نیاز به نصب لیسانس Premier خواهد داشت. همچنین نحوه Licensing این سرویس دهنده بر اساس تعداد کاربران همزمان می باشد.
علاوه بر موارد بالا، مشتریان میتوانند با استفاده از لایسنس PLR سیسکو ISE از تمامی قابلیت های Primier و فول این نرم افزار بهره مند شوند. همچنین این لایسنس شامل لایسنس Device Admin سیسکو ISE و لایسنس VM سیسکو ISE نیز خواهد شد. لایسنس های PLR سیسکو به راهکار Licensing آفلاین و دائمی این شرکت گفته میشود.