Dot1x
– به منظور Authentication و احراز هویت کاربران شبکه داخلی اعم از Wired و Wireless و VPN صورت میگیرد و بر اساس احراز هویتی که انجام می دهد می توانیم دسترسی های متفاوتی را ارائه دهیم . در واقع به منظور ایجاد یک بستر امن از دید تیم IT که مانع ورود افرادی که Trust شبکه و سازمان نیستند می شود . در این قابلیت که به نام Dot1x نامیده می شود و با ادغام شدن با سرویس اصلی سازمان که Active Directory می باشد میتوانیم کاربرانی که در Domain Control ثبت شده اند را مجاز کنیم و بر اساس گروه های مختلف کاری دسترسی های مشخصی به هر گروه اعمال کنیم
– Profiling
در این راهکار و با استفاده از این Feature ، قابلیت توانایی شناسایی دستگاهایی که کاربران در سازمان با آنها احراز هویت انجام داده اند را می توانیم ارائه دهیم و به منظور Device Context Aware از این راه کار استفاده کنیم و حتی با استفاده از Profiling که در دیتابیس ISE برای اکثر Vendorها وجود دارد پالیسی هایی را بوجود بیاوریم که جدا از کاربرانی باشد که در مرحله Dot1x برای آنها مجوز قرار دادیم و دسترسی های منظمی را بوجود آوریم
– Posture Assessment
به منظور رعایت امنیت بیشتر در سازمان و همچنین ارزیابی کاربران به منظور نصب نرم افزار خاصی که در پالیسی سازمان است تعریف شده است و کاربران می بایست بر سیستم خودشان از آن بهره گیرند مورد استفاده قرار میگیرد . به عوان مثال اگر سازمان مقرر کرده که بر روی سیستم کاربران سازمان می بایست از Agent آنتی ویروس خاصی استفاده گردد و کاربرانی که آن را بر روی سیستم خود دارند می توانند به طور کامل به شبکه دسترسی داشته باشند و حتی برای اینکه سخت گیرانه تر رفتار کنیم می بایست نرم افزار فوق به آخرین آپدیت برسد که در غیر این صورت کاربر فقط به سرور خاصی دسترسی می تواند داشته باشد و پس از نصب و حتی Update نرم افزار و Agent فوق می تواند دسترسی کامل داشته باشد .
DVLAN Assignment
بدلیل اینکه در سازمان ها و شبکه های امروزی Rooming کاربران بسیار زیاد می باشد و احتمال جابجایی در سازمان وجود دارد و به همبن دلیل دسترسی های کاربران که از قبل برای آنها تعریف شده بود دچار مشکل می شود و Admin یک سازمان می بایست به منظور انجام سطح دسترسی تمام تنظمیات را در شبکه مقصد ( اعم ازVLAN و ACL) را دوباره تعریف نماید و خود این موضوع برای کاربران بسیار زیادی اگر اتفاق بیافتد باعث پیچیدگی در پیکربندی دستگاه ها میگردد به همین منظور پلتفرم ISE این مشکل را با استفاده از قابلیتDVLAN Assignment رفع کرده که در آن احتیاج به دخالت Admin شبکه به صورت Manual وجوود ندارد
Sponsor and Guest
از این راهکار برای سازمان زمانی استفاده می شود که بخواهیم در بستر Wired و Wireless برای مهمانان که احتیاج به دسترسی خاصی به عنوان مثال اینترنت داشته باشن استفاده میکنیم . به عنوان مثال هنگامی که یک کاربر مهمان بخواهد اینترنت داشته باشد به یک SSID از قبل تعریف شده متصل می گردد و صفحه به صورت خودکار به سمت سرور ISE هدایت می گردد و پس از وارد نمودن اطلاعات ، درخواست به سمت Sponsor هدایت می شود و پس از بررسی تصمیم گرفته می شود که Sponsor درخواست را Approve و یا Reject کند و پس از موافقت با درخواست ، کاربر می تواند به اینترنت و در بازه های زمانی خاص که توسط Sponsor تعیین می گردد متصل گردد
Device Admin
به منظور سهولت در مدیریت ، کنترل و دسترسی به سوییچ ها و روترها و همچنین فایروال های سازمان ( سیسکو) می توانیم از این راهکار استفاده کنیم و هنگامی که به عنوان مثال یک شخص بخواهد دسترسی خاصی بر روی سوییچ ها و یا هر Device که تحت مدیریت ISE را داشته باشد، کافیست آن را در گروهی که از قبل به منظور دسترسی ایجاد کرده ایم اضافه کنیم . همچنین به منظورایجاد دسترسی خاص برای پیکربندی دستگاه نیز به صورت Command Authorization دستورات را محدود کنیم و اجازه دسترسی در Privilege خاص را به آن فرد دهیم
Trust SEC
از قابلیت های جذاب سرور ISE که یکی از Component های اصلی Cisco SD Access نیز می باشد مفهوم Trust Sec است که در این قابلیت سرور ISE به هر کاربری که Authenticate می شود یک TAG اختصاص می دهد که بر اساس TAG اختصاص داده شده به کاربر دسترسی خاصی از طریق SGACL داده می شود . مزیت این قابلیت در واقع به این گونه است که وابستگی به پارامترهای IP و MAC وجود ندارد و کاربران بر اساس TAG های اختصاص داده شده به آنها در شبکه دیده می شوند و کنترل می شوند و حتی می توانیم از این قابلیت هنگامی که پلتفرم ISE را با Firepower ادغام کردیم استفاده کنیم .
Persian