ISE ( Cisco Identity Services Engine ) چیست؟

به احتمال  زیاد اسم ACS یا Access Control Server به گوشتان خورده که یکی از محصولات سیسکو است و هم دستگاه سخت افزاری و هم نرم افزاری آن به صورت مجازی وجود داشته که البته در حال حاضر محصولی منسوخ شده است و در آگوست 2018 به EOS (End Of Support) رسیده!

کار اصلی ACS همونطور که از اسمش مشخصه سروری هست برای کنترل دسترسی که از طریق AAA انجام میشه AAA که شامل سه مکانیزم Authentication, Authorization, Accounting هست وظیفه مدیریت و کنترل دسترسی به شبکه رو به عهده داره که به تعریف هر کدام می پردازیم:

Authentication : وظیفه احراز هویت کاربران را دارد و اولین موردیست که بررسی میشود.

Authorization : به معنای مجوز است و در این مورد تعیین میکند که کاربر پس از احراز هویت به چه منابعی دسترسی دارد و یا برای مثال این کاربر در این شبکه به چه سرور هایی نیاز است دسترسی داشته باشد؟

Accounting : این مکانیزم کل فعالیت های کاربر را از لحظه ورود تا لحظه خروج از شبکه را Log میکند.

پروتکل هایی که در ACS و حالا در ISE استفاده میشوند شامل: TACACS+ و RADIUS است.

پروتکل TACACS+ که یک پروتکل Cisco Primary است و روی پورت 49 TCP کار میکنه و متعلق به شرکت سیسکو است مثل پروتکل CDP که در مقاله قبلی دربارش توضیح دادم .

و پروتکل RADIUS یک پروتکل استاندارد است.

پروتکل TACACS+ عمل Authorization را بعد از Authentication انجام میدهد و کل Packet را رمزنگاری میکند، ولی در RADIUS این دو عمل با هم انجام میشود و فقط پسورد کاربران رمزنگاری میشود.

و اما مزیت های ISE :

  • ‌ّْAsset Visibility : این قابلیت که میتوان گفت امروزه به دلیل خطرناک تر شدن و افزایش حملات یکی از مهمترین هاست چونکه در ISE شما میتوانید همه چیز را مشاهده کنید برای مثال چه کسی با چه دستگاهی چگونه در چه زمانی در چه مکانی ب چه برنامه ای به چه چیزی دسترسی دارد یا ندارد! که شرکت سیسکو یک معرفی نامه کوتاه در این باره منتشر کرده است که از این لینک میتوانید دریافت کنید.

  • Guest and secure wireless access : در ISE شما میتوانید بدون هیچ نگرانی به کاربران مهمان دسترسی بی سیم بدهید و از ایمن بودن آن مطمئن باشید.

  • Secure wired access : امروزه با توجه به اینکه اکثر دستگاه ها قابل حمل شده اند و قطعا مورد نفوذ پذیرتر توجهات سمت ارتباطات بی سیم است ولی فراموش نکنید که دسترسی سیمی هنوز جای خودش است و میتواند مشکلات خود را داشته باشد برای مثال اگر شخصی به سوییچ های فیزیکی شما دسترسی پیدا کند اولین مرحله ی نقض و از دست دادن داده های شما است. ISE این مورد را نیز فراموش نکرده و از نفوذ از طریق دسترسی فیزیکی نیز جلوگیری میکند.

  • BYOD (Bring Your Own Device)  : یکی از قابلیتهایی که بخش اهم گستردگی و توسعه پذیری ISE را شامل میشود همین قابلیت است که اجازه میدهد شما با دستگاه شخصی خود (تلفن همراه، لپتاپ و یا کامپیوتر) به انجام کار هایتان در شرکت، اداره یا سازمان بپردازید.  برای مثال شما در حال انجام کاری هستید و منتظر جوابی از طرف مقابل برای ادامه روند انجام کار هستید و در همین حین وقت استراحت شما میرسد شما به راحتی میتوانید موقع استراحت با تلفن یا رایانه شخصی خودتان به ادامه کار خود بپردازید!