در مقاله قبلی در مورد مقدمات Cisco ISE و راهکارهای مربوط به آن صجبت کردیم در این مقاله نیز در خصوص ادامه راهکارهای مربوطه مواردی ارائه خواهد شد.
4) ویژگی های Guest Authentication & Guest Enhancement
راهکارهای مربوط به احراز هویت 802.1x device ها و MAB Device ها تشریح شد. حال Guest User ها چگونه Authenticate خواهند شد؟
پروسه احراز هویت wireless Guest User ها با استفاده از SSID که برای دسترسی آنها در نظر گرفته میشود، بسیار اسان است. برای Wired Guest User ها پیچیدگیهایی وجود دارد که با استفاده از ویژگی “Flexible Authentication” ، میتوان بر آنها غلبه کرد. Flexible Authentication میتواند ترتیبی را برای متد احراز هویت روی پورت سوییچ لیست کرده و در صورت Fail شدن متد اول، روشهای بعدی به ترتیب اولویت در پی گرفته شوند. بنابراین، در زمانی که Guest User ها اقدام به ورود به شبکه کرده و پروسه 802.1x را Fail میکنند، مکانیزم MAB برای آنها استارت میخورد و از انجایی که MAC مربوط به Device آنها داخل پایگاه داده ی MAB یافت نمیشود، راهکار ISE به جای Reject کردن دسترسی، نهایتا آنها را به سمت پورتال Guest که به صورت مرکزی از آن میزبانی میکند هدایت کرده تا Guest User ها را نیز Authenticate کند. در مقایسه با روشهایی همچون Guest VLAN، مکانیزم CWA کنترل بیشتری را برای شناسایی User های Guest و تامین دسترسی مجاز آنها میدهد. با Guest VLAN عملا یک دسترسی Authenticate نشده به Guest ها اختصاص میافت. همچنین با این روش میتوان wireless Guest User ها را نیز تحت کنترل قرار داد تا پروسه Authentication مختص به Guest ها به صورت یکپارچه روی هر نوع اتصالی کنترل شود.
اکانت های Guest میتوانند به دو طریق ساخته شوند. روش اول توسط خود Guest و داخل پورتالی است که برای Self-registration تعبیه شده و روش دوم با استفاده از Role خاصی تحت عنوان Sponsor بوده که مسئولیت ساختن اکانت Guest User ها و مدیریت آنها را دارد.
بعد از ساختن Guest Account با استفاده از دو روش ذکر شده، کاربر مورد نظر در طی پروسه CWA (که قبل شرح داده شد) به سمت Guest Portal هدایت شده و در انجا Authenticate می شود. روی Connection های Warless نیز، SSID مربوط به دسترسیهای Guest، پروسه CWA را Trigger کرده و کاربر را به سمت پورتال Guest سوق دهد. در صورت موفقیت امیز بودن پروسه ی احراز هویت Guest داخل پورتال، دسترسی بسیار محدودی مثل دسترسی به اینترنت برای وی فراهم خواهد شد. توجه شود که Guest Portal به صورت کامل قابل Customize کردن است و میتوانید بازتاب دهنده ی کسب و کار سازمان باشد.
همانطور که عنوان شد، یکی از روشهای ساختن Guest Account ها با استفاده از قابلیت Self-registration است. کاربر اطلاعات شخصی خود اعم از شماره موبایل و ادرس ایمیل را داخل self-provisioning portal وارد میکند و در ادامه، اطلاعات کاربری و شناسه دسترسی به ادرس ایمیل فرد ارسال شده یا روی شماره موبایلش SMS شود. بدین وسیله ISE امکان اعتبار سنجی و حصول اطمینان از صحت اطلاعاتی که Guest وارد میکند را خواهد داشت. نهایتا کاربر با استفاده ازین اطلاعات روی صفحه ی وب پورتال Login کرده و دسترس منطبق با سیاستهای Guest را احراز میکند.
باپشتیبانی از ویژگی دیگری تحت عنوان Guest Tracking، امکان تعامل ISE با ASA Firewall به منظور توسعه مدیریت Guest فراهم میگردد. ازین طریق ASA فعالیتهای خاص مرتبط با Gust (مثل دسترسی به وب سایتهای خاص) را ثبت کرده و آنها را به ISE ارسال میکند. سپس ISE این اطلاعات را جمع اوری کرده و آنها را به Guest Session مورد نظر Bind کند. این روند کمک میکند که ISE دید کاملی از فعالیتهایی Gust داشته باشد.
5) چک کردن سازگاری Endpoint با سیاستهای امنیتی – ویژگی Posture
همانطور که گفته شد رشد تجهیزات موبایل از عدد پانزده بیلیون داخل LAN ها فراتر رفته است. بنابراین Compliancy Checking حجم زیادی از این قبیل Endpoint ها، آنهم به صورت Manual، تقریبا غیر ممکن است. راهکار ISE، امکان Posture Status Compliancy checking را به صورت اتوماتیک فراهم میکند. به بیان ساده تر، این قابلیت نصب بودن و بروز بودن کامپوننتهای امنیتی، از جمله انتی ویروسها، Patch ها و مواردی از این قبیل را بر اساس سیاستهای کسب و کار چک کرده و منطبق بودن یا نبودن وضعیت Endpoint با Policy های ذکر شده، نقشی تاثیر گذار را در تعیین سطح دسترسی آنها به منابع شبکه ایفا خواهد کرد.
این پروسه با Authentication شروع شده و اگر کاربر به صورت موفقیت امیز احراز هویت شد، نقش خاصی به وی اعطا میشود. این Role به الزامات خاصی اطلاق میگرددکه براورده شدن آن، دسترسی کامل تعیین شده برای کاربر را در پی خواهد داشت. در غیر این صورت Endpoint قرنطینه شده و سپس میتواند پروسه ی Remediation را برای احیای وضعیت خود طی کند. با پشت سر گذاشتن Remediation و رفع نواقص Compliancy، پروسه احراز هویت از سر گرفته می شود تا از این طریق، سیاستهای دسترسی جدید اعمال شده که در برگیرنده ی دسترسی کامل براساس Role کاربر است.
قابلیت Posture Assessment علاوه بر مواردی از قبیل اپدیتهای مایکروسافت (Service Pack ها، Hotfix ها و ورژن OS و Browser) ، Anti-Virus و Anti-Spyware، فعال بودن یا نبودن Personal Firewall روی Endpoint، میتواند وجود یا عدم وجود فایل خاص، Run بودن یا نبودن سرویس خاص و موارد مشابه این را نیز روی سیستم عامل چک کند. همچنین Posture Policy ها میتوانند چک کردن مواردی همچون Application Process ها و Registry Key ها را نیزدر برگیرند. بنابراین با توجه به رنج گسترده ای از پارامترهای عنوان شده، میتوان Requirement های مختلفی را داخل Policy ها گنجاند و بر اساس آنها Connection ها را Allow یا Deny کرد.
همانطور که گفته شد، بعد از همخوانی نداشتن Requirement ها، پروسه Remediation برای اصلاح کردن نقصها و اپدیت کردن ایتمهای Out-Of-Date شروع میشود. در این مرحله یکسری لینکها برای دانلود و اپدیت ایتمهای مختلف، در کنار راهنماییهایی که برای فیکس کردن نقص ها قابل توصیه است، ارائه خواهد شد.
اطلاعات مربوط به Endpoint، از طریق Agent ای که رویش نصب میشود تحویل ISE داده خواهد شده و پروسه Posture Assessment آغاز میگردد. نقش این Agent اغلب توسط NAC Agent ایفا میشد. با معرفی Cisco AnyConnect 4.0، ماژولی تحت عنوان Posture Module قابلیت Posture Assessment را در برمی گیرد. این Agent ها ازطریق Redirect کردن کلاینت به سمت پورتالی تحت عنوان Client Provisioning Portal نصب می شوند.
از انجایی که NAC Agent نمیتواند برای Guest User ها Deploy شود، یکی دیگر از چالشهای پیش رو پوشش دادن این دسته از کاربران است. در همین راستا با ارائه ی WEB Agent Software Module ، قابلیت بررسی کردن Status مختص به Guest Endpoint ها نیز فراهم شد.
با پیاده سازی ASA Firewall 9.2 و ورژنهای بعد از آن ، در صورتی که کاربر با بهره گیری از AnyConnect VPN به ASA متصل شود، ASA میتواند Session را Terminate کرده و در تعامل با ISE، کاربر را احراز هویت کند. در ادامه برای بررسی کردن Posture Status، نرم افزار AnyConnect دانلود شده و پروسه Remediation کلید میخورد. نهایتا VPN User فرایند احراز هویت مجدد را در پی گرفته تا با دریافت کردن Policy جدید، دسترسی را حاصل کند. از طریق این مشارکت (بین ASA و ISE)، کاربران VPN نیز میتوانند به شبکه ای که با ISE کنترل میشود Connect شوند. تا قبل از ASA 9.2 وادار به استفاده از ISE Inline Posture Node برای Reauthenticate کردن کلاینت، در چنین سناریوهایی بودیم.
