امروزه سازمان های پیشرفته برای حفظ تجارت و اطلاعات کسب و کار خود اقدام به پیاده سازی تمهیدات امنیتی متفاوت مینمایند تا از دسترسی های غیرمجاز و اقدامات خرابکارانه ی افراد سودجو جلوگیری نمایند. در همین راستا، راهکارهای متفاوت امنیتی از قبیل فایروال ها، تست های نفوذ، تحلیل لاگ ها، مانیتورینگ منابع شبکه و کنترل دسترسی های کارمندان اعمال میگردد.
امروزه با گسترش راهکارهای امنیتی و حفظ اطلاعات، کمپانی های متعدد در این زمینه ورود کرده اند و با ارائه محصولات متفاوت با قابلیت های گوناگون به رقابت باهم میپردازند. از مطرح ترین شرکت های فعال در این حیطه میتوان از سیسکو، فورتینت و اسپلانک نام برد.
در حالیکه سازمان های برای برقراری شبکه امنیت لبه شبکه خود راهکارهای متفاوتی از کمپانی های مطرح پیش رو دارند، برای کنترل دسترسی و احراز هویت کاربران داخلی خود، تنها با گزینه های معدودی از قبیل FortiClient شرکت فورتی نت و نرم افزار ISE شرکت سیسکو، روبرو میباشند.
راهکار NAC چیست؟
امروزه تهدیداتی که میتواند از داخل سازمان، بصورت عمدی یا سهوی، شبکه و منابع حیاتی آن را تهدید کند، بی اهمیت تر از تهدیدات خارجی نیستند. برای مثال، فلش های آلوده ای که کاربران از آن استفاده میکنند، سیستم عامل های قدیمی که در معرض انواع اقسام تهدیدات هستند و به شبکه سازمان متصل می شوند و حتی مهمانانی که بدون نظارت خاصی رایانه های همراه یا گوشی خود را به شبکه شرکت متصل می کنند، نمونه هایی از تهدیداتی هستند که اشخاص، خواسته یا ناخواسته، برای سازمان ایجاد می نمایند.
کنترل دسترسی های درون شبکه (Network Access Control) یا به اختصار NAC، بهترین راهکار برای ایجاد امنیت در شبکه داخلی است. با استفاده از NAC میتوان با دفاع در لایه های مختلف شبکه و محدود کردن دسترسی تنها به دستگاه ها و کاربرانی که دارای مجوز و تأیید اعتبار هستند، به مقابله با هکرها و نفوذگران پرداخت.
با اینکه در حوزه NAC محصولاتی مانند Forescout و FortiNAC وجود دارد، نرم افزار Cisco ISE پیشرفته ترین و مورد توجه ترین راهکار پیاده سازی این تکنولوژی در بستر شبکه میباشد که به مدیران امکان احراز هویت و طبقه بندی دسترسی ها را در سطح شبکه میدهد.
معرفی ISE
نرم افزار امنیتی Cisco Identity Services برای کنترل و مدیریت اتصال و ورود کاربران شناخته می شود که با استفاده از آن میتوانید سیاستها و محدودیتهای مختلفی را جهت احراز هویت و صدور اجازه دسترسی به شبکه برای هر کلاینت اعمال نمایید.
با قابلیت های این محصول و با استفاده از پروتکل RADIUS، محصولات سیمی و یا وایرلس و حتی ریموت که به شبکه داخلی متصل شده اند مورد بررسی و کنترل دقیق قرار گرفته تا از صلاحیت ورود آنها به شبکه و عدم ایجاد تهدید امنیتی برای سازمان اطمینان حاصل شود.
علاوه بر موارد بالا، با بهره گیری از قابلیت Device Administration و پروتکل TACACS ، لایسنس سیسکو ISE قادر به مدیریت سطح دسترسی و ثبت تمامی تغییرات انجام شده روی تجهیزات زیرساخت شبکه از جمله سوئیچ، روتر و فایروال توسط ادمین های شبکه است.
ویژگی های سیسکو ISE
با بهره گیری از این محصول قدرتمند، مدیران میتوانند از سیاست های قدرتمند و از پیش تعیین شده زیر برای حفاظت از امنیت داخلی سازمان استفاده نمایند:
– احراز هویت کاربران با Authentication Policy
– تعیین سطح دسترسی به خصوص برای کاربران بر اساس Authorization Policy
– تشخیص نوع کلاینت اعم از رایانه رومیزی، لپتاپ، تبلت یا تلفن همراه و همچنین سیستم عامل مورد استفاده اعم از ویندوز، اندروید و IOS را دارا می باشد و اعمال Profiling Policy
– شرایط کلاینت هایی که به شبکه متصل می شوند را با درنظر گیری موارد زیر وبوسیله Posture Policy بررسی می کند:
• سیستمعامل، به روزرسانیها و Patch level ها
• وجود آنتی ویروس و بروز بودن آن روی کلاینتها
• وضعیت پورتهای USB
• بررسی ساختار Registry
– با استفاده از این ویژگی می توان سیاست های خاصی را برای کاربران مهمان و یا کاربرانی که نیاز به دسترسی موقت و به بخش های محدودی از شبکه را دارند، بوسیله Guest Lifecycle Management Policy اعمال کرد.
– ایجاد امکان در اختیار گذاشتن الزامات امنیتی مورد نظر بمنظور ورود مجدد کابران به درون شبکه و با امنیت کامل با استفاده از Remediation Actions Policy
– امکان طراحی صفحات تحت وب برای راهنمایی کاربران غیرمجاز برای رعایت الزامات امنیتی پیش نیاز برای ورد به شبکه با استفاده از Web Redirection Policy