در اواسط سال 2004، با ارائه راهکار NAC، امکان محدود ساختن دسترسی Device هایی که با policy های سازمان و کسب و کار همخوانی نداشتند (Non-compliant Device)، فراهم شد. در آن زمان بخش اعظم Endpoint های شبکه از سیستم عامل ویندوز بهره می برند و Policy های NAC مواردی از قبیل نصب بودن انتی ویروسها و قرار گیری Updated Patch ها را چک میکرد. نهایتا منطبق نبودن سیستمها با این سیاستها، منجر به محدود شدن دسترسی آنها میشد. همچنین با کمک برخی تکنولوژیهای Posture، امکان فیکس کردن مشکلات سیستمها، به صورت اتوماتیک، وجود داشت.
اما امروزه با رشد گسترده ی استفاده از تجهیزات موبایل در شبکه ها، وظیفه تکنولوژیهای Posture یا همان Compliance technology ها فراتر از چک کردن انتی ویروسها و آپدیت کردن Patch File ها بوده و تمرکز تکنولوژی های Posture روی Detect کردن وضعیت این نوع Device ها پیش از دسترسی به منابع شبکه است. مقیاس شبکه های LAN به حدی گسترش یافته است که از سال 2015 تعداد Device های موبایل به بیش از 15 میلیارد رسیده است. از اینرو نیاز است با کمک Element ها ی مختلف شبکه Context های مختلفی را حاصل کرد و با کمک این Context ها، Policy های دقییقتری را ایجاد نمود. یک مثال ساده از Context ها میتواند Location مختص به Endpoint باشد و لذا، در صورتی که Device داخل Location خاصی باشد میتوان این Context را share کرده و آن را به عنوان یه شرط برای احراز Policy لحاظ کرد. این موضوع یکی از محدودیتهایی بود که Cisco ACS با آن مواجه بود و قابلیت برقراری ارتباط با Context ها را نداشت. به عنوان نمونه نمیتوانست با IP Address Range ها، مستقل از نوع Connection یا متد دسترسی به شبکه (Wired، Wireless یا VPN) رفتار کند. همچنین Policy های ACS به گروه ها تعلق میگرفتند و بنابراین امکان تعریف Policy های Flexible تر وجود نداشت. حال با ISE، در زمانی که Endpoint ها قصد دسترسی به شبکه را دارند، میتوان با استفاده و استخراج Attribute های مختلف، Policyها را روی Context های گوناگون بنا کرد. با تعریف چنین ساختاری، میتوان سیاستهای کاملتر و دقیقتری را بر اساس موارد کاربردی مختلف داخل شبکه، اعمال کرد. کارکنان داخل سازمان، Non-Authenticating Device ها (Device هایی که هیچ آگاهی از 802.1x ندارند مثل پرینترها) ، Guest User ها و همچنین VPN User ها نمونه ای از این Use case ها هستند. ازینرو، ISE ابزار کاملی را برای رسیدن به اهداف کسب و کار فراهم میکند تا با بکارگیری آن بتوان تشخیص داد که چه کاربری، با استفاده از چه Device ای و از کجا به شبکه متصل میشود. سپس این شرایط در Access solution مختص به ISE لحاظ میشود تا فارغ از اینکه متد دسترسی چه چیزی بوده (Wired، Wireless یا VPN)، بتوان Policy ها را اعمال کرد.
گذری بر ISE و تکنولوژی های وابسته به آن
با بهره گیری از ISE، تمامی تکنولوژیهای که پیشتر توسط Appliance های ACS وNAC ارائه میشد، درقالب یک راهکار Standalone پوشش داده می شود. به عبارت دیگر، نه تنها سیستمی برای کنترل دسترسی ها به صورت امن فراهم می شود، بلکه پیاده سازی مکانیزم های Posture Assessment، Device Profiling ،Guest Management، Mobile Device Management و … نیز تحت کنترل ISE است. از سویی دیگر میتوان ISE رابه عنوان یک CA Server داخل سازمانها بکار گرفته و علاوه بر اعطای Certificate به Endpoint ها، مدیریت و کنترل آنها را نیز در دست گرفت. یکی از محدودیتهای ISE، عدم پوشش پروتکل TACACS+ بود که با معرفی ISE 2.0 این نقیصه نیز مرتفع گردید، تا سیستمی یکپارچه به منظور احراز هویت و کنترل دسترسی به تجهیزات شبکه و همچنین سرویسها و Application ها، با بهره برداری همزمان از پروتکلهای RADIUS و TACACS+ حاصل شود.
با توجه به توضیحات عنوان شده میتوان گفت، ISE محدودیتهای موجود در ACS و NAC را رفع کرده و علاوه بر آن، با معرفی تکنولوژیهای نوین، ساختاری جدیدی را برای تعریف و اعمال Policy ها ارائه میدهد. راهکار ISE مجموعه ای از تکنولوژی ها را برای توسعه امن سازی شبکه های ارائه میدهد که در ادامه به تشریح آنها خواهیم پرداخت.
1) شناسایی و کنترل دقیق تر Endpoint ها با Profiling
تعیین کردن نوع Device ای که به شبکه متصل میشود، یکی از مهمترین Context ها برای ساختن Policy ها روی ISE است. این کار به صورت اتوماتیک از طریق تکنولوژی Profiling صورت می پذیرد. تحت این ویژگی، ISE در قالب پروسه ای داینامیک، به صورت مداوم و با استفاده از Profiling Protocol ها، Attribute هایی مختلفی را از Device ها جمع اوری کرده و آنها را در قالب Device Type های صحیح طبقه بندی میکند. بعد از اینکه نوع Device بر اساس پروسه Profiling تعیین شد، حال میتوان دسترسی ها را بر اساس نوع Device پروفایل شده و کاربری که از آن بهره می برد، متمایز کرد. به عنوان مثال، میتوان احراز سطح دسترسی را به یک کاربر خاص، در زمانی که از Device شخصی بهره میبرد، در مقایسه با زمانی که از Device تحت مالکیت سازمان استفاده می کند، متفاوت در نظر گرفت.
2) پوشش عملکردهای AAA
راهکار ISE تمامی Function های یک AAA سرور را با پشتیبانی کامل از پروتکلهای Radius ، EAP ، 802.1x ، فراهم کرده و میتوان آن را در سناریوهای احراز هویت ارتباطات Wireless، Wired و VPN بکار گرفت. همچنین، پشتیبانی از پروتکل TACACS+ نیز با معرفی ISE 2.0 محقق گردید.
امکان بهره برداری از Context ها دقیقا بعد از پروسه Authentication، مطرح می شود. چرا که در این زمان میتوان شروطی را بر اساس نوع و وضعیت Device، در قالب Authorization Policy انعکاس داد و بر اساس Authorization Rule ها، دسترسی های متفاوتی را به Endpoint های مختلف اعطاء کرد.
سیستم Accounting قدرتمند ISE، میتواند با نگهداری Log ها در طی پروسه ی Authentication، اطلاعات کاملی را در خصوص Fail Authentication ها و همچنین Authentication های موفقیت آمیز در اختیار ما قرار دهد. همچنین شرح کامل فعالیتهایی که Endpoint بعد از Authenticate شدن، بر اساس دسترسی احراز شده انجام میدهد نیز در دسترس است. فرایند احراز هویت بر اساس Session ID ها طبقه بندی شده و ازینرو، گرداوری کلیه Log های هر Session به راحتی امکان پذیر است.
از دیگر ویژگیهای مهم ISE میتوان به Radius Proxy اشاره کرد. این ویژگی قابلیت Migrate کردن سیستمی را که قبلا بر اساس ACS پایه ریزی شده بود را به سمت پیکربندی های ISE فراهم میکند.
3) پشتیبانی از Endpoint های interactive و non- interactive با 802.1x & MAB
استقرار 802.1x مخصوصا داخل Enterprise Network ها همواره با چالشهایی مواجه بوده است. مشکلاتی که با Supplicant ها و همچنین non-Authenticating Device ها (Endpoint هایی که توانمندی طی کردن پروسه 802.1x را ندارند، مثل پرینترها یا IP Camera ها( به وجود میاید، عملا شبکه را از سرویس دهی معمولی خارج میکند. لذا ISE با پشتیبانی از پروسه ای تحت عنوان Phase Deployment، پروسه Live Migration شبکه به سمت Deployment های 802.1x را بدون به بار آوردن تلفات و متوقف کردن سرویس دهی شبکه، تکمیل میکند.
نحوه Authenticate کردن Endpoint هایی که توانمندی تعامل با پروسه 802.1x را ندارند و به عبارت دیگر بدون وارد کردن اطلاعات کاربری وارد شبکه می شوند نیز از طریق MAB رخ میدهد. این پروسه با استفاده از چک کردن MAC Address مختص به Device، با MAB Database ذخیره شده روی ISE، انجام میگیرد. این پایگاه داده آدرس لایه دو تجهیزاتی از قبیل پرینترها و IP Phone را نگه میدارد. یکی از قابلیتهای مهم ISE، پر کردن اطلاعات این پایگاه داده به صورت داینامیک و با استفاده از تکنولوژی Profiling است. بدون پشتیبانی از این قابلیت مهم که با ISE فراهم شده است، اطلاعات این دیتا بیس باید به صورت دستی وارد شود که خود پروسه ای طاقت فرسا و پراشتباه میتواند باشد. چالش دیگر، امکان جعل کردن یا Spoof کردن ادرسهای MAC و بهره برداری از دسترسی تخصیص یافته شده به آنهاست. از انجایی که پروسه Profiling به صورت مداوم و بر اساس جمع اوری اطلاعات از روی ترافیک ارسالی Endpoint هاست، رفتارهای نامتعارف Endpoint های پروفایل شده شناسایی و با Reprofile کردن آنها، دسترسیهای غیرمجاز منع می گردد.
ادامه این مقاله در بخش بعدی ارائه شده است.