منابع ارائه دهنده اطلاعات هویتی و متنی برای ISE

داشتن آگاهی از هویت یک موجودیت در شبکه به معنی تعیین و تایید فردیت کاربر یا گروهی از کاربران می‌باشد که قصد دسترسی به شبکه را دارند. فردیت کاربر می‌تواند شامل ترکیبی از نام کاربری و سایر ویژگی‌های آن باشد. برای مثال کاربر Iranshell از طریق مجوز اکتیو دایرکتوری خود می‌تواند در شبکه احراز هویت شود. همچنین کاربر Iranshell عضو گروه کاربری admin نیز می‌باشد. بنابراین ما یک هویت کاربری داریم که با استفاده از آن می‌توانیم تصمیم بگیریم که ISE باید چه دسترسی‌هایی به آن اختصاص دهد.

ISE می تواند با استفاده از چندین روش مختلف، اطلاعات هویتی موجودیت‌های شبکه را بدست آورد و صحت آن‌ها را با استفاده از چندین متد مختلف ازجمله Acitve Directory تأیید کند. این اطلاعات می‌تواند مبتنی بر اطلاعات کاربری، اطلاعات نقطه پایانی یا هر دو باشد. سیسکو ISE می‌تواند از منابع زیر اطلاعات هویتی مربوط به کاربران و نقاط شبکه را دریافت نماید.

802.1x

802.1x یک استاندارد IEEE برای کنترل دسترسی لایه 2 به شبکه کابلی و وایرلس می‌باشد. در شبکه‌های وایرلس از متد احراز هویت WPA Enterprise به همراه پروتکل 802.1x EAP برای احراز هویت استفاده می‌شود. 802.1x هیچنین می‌تواند از اطلاعات هویتی کاربران و نقاط پایانی یا هر دوی آنها برای احراز هویت استفاده نماید. علاوه‌براین پروتکل 802.1x قابلیت‌هایی نیز برای صدور و عدم صدور مجوز ارتباطات شبکه‌ای لایه 2، اختصاص شماره VLAN و همچنین امکان اعمال سایر سیاست‌های شبکه‌ای را ارائه می‌دهد.

هدایت به یک پرتال وب

مروگر وب کاربران، به صورت اتوماتیک به یک پرتال وب هدایت می‌شود که آنها می‌توانند اطلاعات کاربری خود را وارد کنند.

دسترسی کاربران مهمان

ISE می‌تواند با استفاده از متدهای مختلفی یک کاربر را به عنوان کاربر مهمان شناسایی کند. عدم استفاده از هیچ متد احراز هویت، استفاده از یک عبارت یا مجوز موقت یا استفاده از مجوزهای شبکه‌های ‌اجتماعی، از جمله متدهای شناسایی کاربران مهمان می‌باشد. همچنین کاربران مهمان می‌توانند براساس اطلاعات شبکه‌ای که به آن متصل هستند نیز شناسایی شوند. برای مثال کاربری که به یک شبکه عمومی وایرلس با SSID مشخص متصل شود به عنوان کاربر مهمان شناسایی می‌شود.

احراز هویت VPN

کاربران قبل از اینکه ترافیکی داخل تونل VPN ارسال شود، اطلاعات کاربری خود را وارد می‌کنند.

Easy connect

ISE از طریق سیاست‌های خود به کاربران اجازه می‌دهد تا از PCهای عضو دامین خود در اکتیو دایرکتوری لاگین کنند. سپس ISE سیاست‌هایی براساس اطلاعات کاربری و گروه‌های کاربری به آنها اختصاص می‌دهد.

MAB(MAC address authentication bypass)

ISE همچنین می‌تواند از آدرس MAC سخت افزاری کارت شبکه نقطه پایانی برای کنترل دسترسی آن استفاده کند. این متد MAC address authentication bypass نام دارد. به خاطر سهولت جعل آدرس MAC، معمولا توصیه می‌شود از راهکارهای اضافه‌تر مانند اطلاعات پروفایل مشخصات دستگاه برای اطمینان از اصالت نقطه پایانی استفاده شود.

جمع‌آوری اطلاعات متنی کاربران و نقاط پایانی

بعد از آگاهی و تایید هویت نقطه پایانی، نوبت جمع‌آوری بلادرنگ اطلاعات متنی درمورد کاربران، شبکه و نقاط پایانی می‌باشد. سیسکو ISE از چندین متد مختلف برای جمع‌آوری اطلاعات متنی در مورد کاربران و نقاط پایانی استفاده می‌کند. موارد زیر از معمول‌ترین منابع برای جمع‌آوری اطلاعات متنی می‌باشند.

• مشخصه‌های مجوزهای کاربران که از منابع دارای هویت‌های کاربری مانند LDAP, Active directory, Radius و دیتابیس داخلی ISE بدست می‌آید.
• مشخصه‌های دستگاه‌های مورد استفاده در نقاط پایانی از طریق پرس‌و‌جوی اطلاعات اکانت ماشینی از LDAP.
• استفاده از یک موتور Device Profiling یکپارچه که به صورت اکتیو و یا پسیو دستگاه مورد استفاده در نقطه پایانی را اسکن یا از طریق مانیتور کردن رفتار شبکه‌ای آن، نوع دستگاه را مشخص می‌کند که چیست. به عنوان مثال اگر دستگاهی دارای آدرس MAC متعلق به شرکت اپل باشد و رشته مربوط به Agent مرورگر آن شامل کلمات “Apple iPad” باشد، موتور کلاس‌بندی آن را به عنوان Apple iPad طبقه‌بندی می‌کند.
• اطلاعات موقعیت مکانی مانند مکان فیزیکی، نوع دسترسی شبکه (سیمی، بی سیم، VPN)، موقعیت GPS و موقعیت پورت سوئیچ متصل به نقطه پایانی.
• ماژول Device posture که اطلاعات وضعیت امنیتی را از نقاط پایانی جمع‌آوری و به سیسکو ISE ارسال می‌کند. اطلاعات گزارش شده به سیسکو ISE می‌تواند شامل نوع و ورژن و لیست پچ‌های امنیتی سیستم عامل، نرم‌افزارهای امنیتی، برنامه‌های کاربردی، لیست پردازه‌های سیستم عامل، کلیدهای رجیستری، گواهی‌های دیجیتال و موارد دیگر باشد.
• اطلاعات متنی جمع‌آوری شده از سایر اهکارهای امنیتی سیسکو از جمله AMP, Stealthwatch, FTD و اسکنرهای آسیب‌پذیری مانند Qualys. این اطلاعات متنی می‌تواند شامل لیست آسیب‌پذیری‌های هاست، اطلاعات بدافزار اجرا شده بر روی هاست، اتصالات هاست به محتوای مخرب و سایر اطلاعات متنی تهدید محور باشد.

به نمایش گذاشتن قدرت واقعی ISE از طریق سیاست‌های امنیتی متمرکز شده

مرحله آخر، بکارگیری اطلاعات هویتی و متنی برای کار با فریمورک مربوط به سیاست‌های سیسکو ISE می‌باشد. سیسکو ISE یک کنسول مدیریتی متمرکز برای مدیریت بیش از 500 هزار نقطه پایانی را بدون در نظر گرفتن نوع شبکه‌ای که متصل هستند، فراهم می‌کند. ISE همپچنین از دستگاه‌های تولید کنندگان مختلف نیز پشتیبانی می‌کند. در اصل سیسکو ISE از طریق سیاست‌های امنیتی تعریف شده میزان تطابق نقطه پایانی با سیاست‌ها و قوانین امنیتی سازمان را مشخص می‌کند. در صورت عدم تطابق آنها با سیاست‌های امنیتی، ISE می‌تواند به صورت اتوماتیک نقاط پایانی را قرنطینه و موارد امنیتی آن را اصلاح نماید. برای مثال اگر AMP بدافزاری در نقطه پایانی شناسایی کند، می‌تواند به ISE دستور دهد که ارتباطات این هاست را از شبکه قطع کرده و آن را قرنطینه کند. در واقع از طریق ISE می‌توانیم به یک امنیت پایدار و دید شفاف از شبکه خود برسیم.