پرو ہوسٹر > بلاگ > انتظامیہ > سسکو ISE: تعارف، ضروریات، تنصیب۔ حصہ 1

سسکو ISE: تعارف، ضروریات، تنصیب۔ حصہ 1

سسکو ISE: تعارف، ضروریات، تنصیب۔ حصہ 1

1. تعارف

ہر کمپنی، یہاں تک کہ سب سے چھوٹی، کو توثیق، اجازت اور صارف اکاؤنٹنگ (پروٹوکولز کا AAA خاندان) کی ضرورت ہوتی ہے۔ ابتدائی مرحلے پر، AAA کو RADIUS، TACACS+ اور DIAMETER جیسے پروٹوکول کا استعمال کرتے ہوئے کافی اچھی طرح سے لاگو کیا جاتا ہے۔ تاہم، جیسے جیسے صارفین اور کمپنی کی تعداد بڑھتی ہے، کاموں کی تعداد بھی بڑھتی جاتی ہے: میزبانوں اور BYOD آلات کی زیادہ سے زیادہ مرئیت، ملٹی فیکٹر تصدیق، ملٹی لیول رسائی کی پالیسی بنانا اور بہت کچھ۔

اس طرح کے کاموں کے لیے، NAC (Network Access Control) کی کلاس بہترین ہے - نیٹ ورک ایکسیس کنٹرول۔ کے لیے وقف مضامین کی ایک سیریز میں سسکو آئی ایس ای (Identity Services Engine) - اندرونی نیٹ ورک پر صارفین کو سیاق و سباق سے آگاہ رسائی کنٹرول فراہم کرنے کے لیے NAC حل، ہم حل کے فن تعمیر، پروویژننگ، کنفیگریشن اور لائسنسنگ کا تفصیلی جائزہ لیں گے۔

میں آپ کو مختصراً یاد دلاتا ہوں کہ سسکو ISE آپ کو اجازت دیتا ہے:

  • ایک وقف شدہ WLAN پر جلدی اور آسانی سے مہمانوں تک رسائی پیدا کریں۔

  • BYOD ڈیوائسز کا پتہ لگائیں (مثال کے طور پر، ملازمین کے ہوم پی سی جو وہ کام پر لائے ہیں)؛

  • SGT سیکورٹی گروپ لیبلز کا استعمال کرتے ہوئے ڈومین اور غیر ڈومین صارفین کے درمیان سیکورٹی پالیسیوں کو مرکزی بنائیں اور ان کو نافذ کریں۔ TrustSec);

  • کمپیوٹرز کو چیک کریں کہ کچھ سافٹ ویئر انسٹال ہے اور معیارات کی تعمیل ہے (پوسچرنگ)؛

  • درجہ بندی اور پروفائل اینڈ پوائنٹ اور نیٹ ورک ڈیوائسز؛

  • اختتامی نقطہ کی نمائش فراہم کریں؛

  • صارف پر مبنی پالیسی بنانے کے لیے NGFW کو صارفین کے لاگ ان/لاگ آف کے ایونٹ لاگ، ان کے اکاؤنٹس (شناخت) بھیجیں۔

  • سسکو اسٹیلتھ واچ کے ساتھ مقامی طور پر مربوط ہوں اور سیکیورٹی کے واقعات میں ملوث مشکوک میزبانوں کو قرنطینہ میں رکھیں (مزید);

  • اور دیگر خصوصیات AAA سرورز کے لیے معیاری ہیں۔

صنعت میں ساتھیوں نے سسکو ISE کے بارے میں پہلے ہی لکھا ہے، لہذا میں آپ کو پڑھنے کا مشورہ دیتا ہوں: سسکو ISE عمل درآمد کی مشق, سسکو ISE کے نفاذ کے لیے تیاری کیسے کریں۔.

2 فن تعمیر

شناختی خدمات کے انجن کے فن تعمیر میں 4 اداروں (نوڈس) ہیں: ایک مینجمنٹ نوڈ (پالیسی ایڈمنسٹریشن نوڈ)، ایک پالیسی ڈسٹری بیوشن نوڈ (پالیسی سروس نوڈ)، ایک مانیٹرنگ نوڈ (مانیٹرنگ نوڈ) اور ایک PxGrid نوڈ (PxGrid نوڈ)۔ سسکو آئی ایس ای اسٹینڈ لون یا تقسیم شدہ تنصیب میں ہوسکتا ہے۔ اسٹینڈ ایلون ورژن میں، تمام ادارے ایک ورچوئل مشین یا فزیکل سرور (Secure Network Servers - SNS) پر واقع ہوتے ہیں، جبکہ تقسیم شدہ ورژن میں، نوڈس کو مختلف آلات میں تقسیم کیا جاتا ہے۔

پالیسی ایڈمنسٹریشن نوڈ (PAN) ایک مطلوبہ نوڈ ہے جو آپ کو Cisco ISE پر تمام انتظامی کارروائیاں کرنے کی اجازت دیتا ہے۔ یہ AAA سے متعلق تمام سسٹم کنفیگریشنز کو ہینڈل کرتا ہے۔ تقسیم شدہ کنفیگریشن میں (نوڈس کو الگ ورچوئل مشینوں کے طور پر انسٹال کیا جا سکتا ہے)، آپ کے پاس زیادہ سے زیادہ دو PAN ہو سکتے ہیں فالٹ ٹولرنس کے لیے - ایکٹو/اسٹینڈ بائی موڈ۔

پالیسی سروس نوڈ (PSN) ایک لازمی نوڈ ہے جو نیٹ ورک تک رسائی، ریاست، مہمانوں تک رسائی، کلائنٹ سروس کی فراہمی، اور پروفائلنگ فراہم کرتا ہے۔ PSN پالیسی کا جائزہ لیتا ہے اور اسے لاگو کرتا ہے۔ عام طور پر، ایک سے زیادہ PSNs انسٹال کیے جاتے ہیں، خاص طور پر تقسیم شدہ ترتیب میں، زیادہ بے کار اور تقسیم شدہ آپریشن کے لیے۔ بلاشبہ، وہ ان نوڈس کو مختلف حصوں میں انسٹال کرنے کی کوشش کرتے ہیں تاکہ ایک سیکنڈ کے لیے مستند اور مجاز رسائی فراہم کرنے کی صلاحیت سے محروم نہ ہوں۔

مانیٹرنگ نوڈ (MnT) ایک لازمی نوڈ ہے جو نیٹ ورک پر ایونٹ لاگ، دوسرے نوڈس کے لاگز اور پالیسیوں کو محفوظ کرتا ہے۔ MnT نوڈ مانیٹرنگ اور ٹربل شوٹنگ کے لیے جدید ٹولز مہیا کرتا ہے، مختلف ڈیٹا اکٹھا کرتا ہے اور اس سے منسلک ہوتا ہے، اور بامعنی رپورٹس بھی فراہم کرتا ہے۔ Cisco ISE آپ کو زیادہ سے زیادہ دو MnT نوڈس رکھنے کی اجازت دیتا ہے، اس طرح فالٹ ٹولرنس پیدا ہوتا ہے - ایکٹو/اسٹینڈ بائی موڈ۔ تاہم، لاگز دونوں نوڈس کے ذریعے اکٹھے کیے جاتے ہیں، دونوں فعال اور غیر فعال۔

PxGrid Node (PXG) ایک نوڈ ہے جو PxGrid پروٹوکول کا استعمال کرتا ہے اور PxGrid کو سپورٹ کرنے والے دیگر آلات کے درمیان رابطے کی اجازت دیتا ہے۔

PxGrid  - ایک پروٹوکول جو مختلف دکانداروں سے IT اور انفارمیشن سیکیورٹی کے بنیادی ڈھانچے کی مصنوعات کے انضمام کو یقینی بناتا ہے: نگرانی کے نظام، دخل اندازی کا پتہ لگانے اور روک تھام کے نظام، سیکیورٹی پالیسی کے انتظام کے پلیٹ فارم اور بہت سے دوسرے حل۔ Cisco PxGrid آپ کو APIs کی ضرورت کے بغیر متعدد پلیٹ فارمز کے ساتھ یک سمت یا دو طرفہ انداز میں سیاق و سباق کا اشتراک کرنے کی اجازت دیتا ہے، اس طرح ٹیکنالوجی کو فعال بناتا ہے۔ TrustSec (SGT ٹیگز)، ANC (اڈاپٹیو نیٹ ورک کنٹرول) پالیسی کو تبدیل اور لاگو کریں، نیز پروفائلنگ انجام دیں - ڈیوائس کے ماڈل، OS، مقام اور مزید کا تعین کریں۔

اعلی دستیابی کی ترتیب میں، PxGrid نوڈس PAN پر نوڈس کے درمیان معلومات کی نقل تیار کرتے ہیں۔ اگر PAN غیر فعال ہے، تو PxGrid نوڈ صارفین کی تصدیق، اجازت اور اکاؤنٹنگ روک دیتا ہے۔ 

ذیل میں کارپوریٹ نیٹ ورک میں مختلف Cisco ISE اداروں کے آپریشن کی منصوبہ بندی کی نمائندگی ہے۔

سسکو ISE: تعارف، ضروریات، تنصیب۔ حصہ 1چترا 1. سسکو آئی ایس ای آرکیٹیکچر

3 تقاضے

Cisco ISE کو لاگو کیا جا سکتا ہے، جیسے کہ زیادہ تر جدید حل، عملی طور پر یا جسمانی طور پر ایک علیحدہ سرور کے طور پر۔ 

سسکو ISE سافٹ ویئر چلانے والے جسمانی آلات کو SNS (Secure Network Server) کہا جاتا ہے۔ وہ تین ماڈلز میں آتے ہیں: SNS-3615، SNS-3655 اور SNS-3695 چھوٹے، درمیانے اور بڑے کاروبار کے لیے۔ جدول 1 سے معلومات دکھاتا ہے۔ ڈیٹا شیٹ ایس این ایس۔

جدول 1. مختلف پیمانوں کے لیے SNS کا موازنہ جدول

پیرامیٹر

SNS 3615 (چھوٹا)

SNS 3655 (میڈیم)

SNS 3695 (بڑا)

اسٹینڈ تنہا تنصیب میں معاون اختتامی پوائنٹس کی تعداد

10000

25000

50000

فی PSN معاون اختتامی پوائنٹس کی تعداد

10000

25000

100000

CPU (Intel Xeon 2.10 GHz)

8 کور

12 کور

12 کور

RAM 

32 جی بی (2 x 16 جی بی)

96 جی بی (6 x 16 جی بی)

256 جی بی (16 x 16 جی بی)

کوائف نامہ

1 x 600 GB

4 x 600 GB

8 x 600 GB

ہارڈ ویئر RAID

کوئی

RAID 10، RAID کنٹرولر کی موجودگی

RAID 10، RAID کنٹرولر کی موجودگی

نیٹ ورک انٹرفیس

2 x 10Gbase-T

4 x 1Gbase-T 

2 x 10Gbase-T

4 x 1Gbase-T 

2 x 10Gbase-T

4 x 1Gbase-T

مجازی نفاذ کے حوالے سے، تعاون یافتہ ہائپر وائزرز VMware ESXi (ESXi 11 کے لیے کم از کم VMware ورژن 6.0 تجویز کیا جاتا ہے)، Microsoft Hyper-V اور Linux KVM (RHEL 7.0) ہیں۔ وسائل تقریباً وہی ہونے چاہئیں جو اوپر دیے گئے جدول میں ہیں، یا اس سے زیادہ۔ تاہم، چھوٹے کاروباری ورچوئل مشین کے لیے کم از کم تقاضے ہیں: 2 سی پی یو 2.0 GHz اور اس سے زیادہ کی فریکوئنسی کے ساتھ، 16 جی بی ریم и 200 GB ایچ ڈی ڈی۔ 

سسکو ISE کی تعیناتی کی دیگر تفصیلات کے لیے، براہ کرم رابطہ کریں۔ ہمارے پاس یا وسیلہ نمبر 1, وسیلہ نمبر 2.

4. تنصیب

سسکو کی دیگر مصنوعات کی طرح، ISE کو کئی طریقوں سے جانچا جا سکتا ہے:

  • dcloud - پہلے سے نصب شدہ لیبارٹری لے آؤٹ کی کلاؤڈ سروس (سسکو اکاؤنٹ درکار ہے)؛

  • GVE کی درخواست - سے درخواست سائٹ کچھ سافٹ ویئر کا سسکو (شراکت داروں کے لیے طریقہ)۔ آپ مندرجہ ذیل عام وضاحت کے ساتھ ایک کیس بناتے ہیں: پروڈکٹ کی قسم [ISE]، ISE سافٹ ویئر [ise-2.7.0.356.SPA.x8664]، ISE پیچ [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664]؛

  • پائلٹ پروجیکٹ - مفت پائلٹ پروجیکٹ کرنے کے لیے کسی بھی مجاز پارٹنر سے رابطہ کریں۔

1) ورچوئل مشین بنانے کے بعد، اگر آپ نے ISO فائل کی درخواست کی ہے نہ کہ OVA ٹیمپلیٹ، تو ایک ونڈو پاپ اپ ہوگی جس میں ISE آپ سے انسٹالیشن کو منتخب کرنے کا مطالبہ کرے گا۔ ایسا کرنے کے لیے آپ کو اپنے لاگ ان اور پاس ورڈ کے بجائے لکھنا چاہیے "سیٹ اپ"!

نوٹ: اگر آپ نے OVA ٹیمپلیٹ سے ISE تعینات کیا ہے، تو لاگ ان کی تفصیلات admin/MyIseYPass2 (یہ اور بہت کچھ سرکاری میں اشارہ کیا گیا ہے۔ رہنما).

سسکو ISE: تعارف، ضروریات، تنصیب۔ حصہ 1تصویر 2. سسکو ISE انسٹال کرنا

2) پھر آپ کو مطلوبہ فیلڈز جیسے کہ IP ایڈریس، DNS، NTP اور دیگر کو پُر کرنا چاہیے۔

سسکو ISE: تعارف، ضروریات، تنصیب۔ حصہ 1شکل 3. سسکو ISE شروع کرنا

3) اس کے بعد، آلہ ریبوٹ ہو جائے گا، اور آپ پہلے سے مخصوص IP ایڈریس کا استعمال کرتے ہوئے ویب انٹرفیس کے ذریعے رابطہ قائم کر سکیں گے۔

سسکو ISE: تعارف، ضروریات، تنصیب۔ حصہ 1شکل 4. سسکو ISE ویب انٹرفیس

4) ٹیب میں انتظامیہ > سسٹم > تعیناتی۔ آپ منتخب کر سکتے ہیں کہ کسی خاص ڈیوائس پر کون سے نوڈس (اینٹی) فعال ہیں۔ PxGrid نوڈ یہاں فعال ہے۔

سسکو ISE: تعارف، ضروریات، تنصیب۔ حصہ 1شکل 5. سسکو ISE ہستی کا انتظام

5) پھر ٹیب میں ایڈمنسٹریشن> سسٹم> ایڈمن تک رسائی> کی توثیق میں پاس ورڈ کی پالیسی، تصدیق کا طریقہ (سرٹیفکیٹ یا پاس ورڈ)، اکاؤنٹ کی میعاد ختم ہونے کی تاریخ، اور دیگر ترتیبات ترتیب دینے کی تجویز کرتا ہوں۔

سسکو ISE: تعارف، ضروریات، تنصیب۔ حصہ 1تصویر 6۔ تصدیق کی قسم کی ترتیبسسکو ISE: تعارف، ضروریات، تنصیب۔ حصہ 1شکل 7۔ پاس ورڈ پالیسی کی ترتیباتسسکو ISE: تعارف، ضروریات، تنصیب۔ حصہ 1شکل 8۔ وقت ختم ہونے کے بعد اکاؤنٹ بند کرناسسکو ISE: تعارف، ضروریات، تنصیب۔ حصہ 1شکل 9. اکاؤنٹ لاکنگ کو ترتیب دینا

6) ٹیب میں ایڈمنسٹریشن> سسٹم> ایڈمن تک رسائی> ایڈمنسٹریٹرز> ایڈمن صارفین> شامل کریں۔ آپ ایک نیا ایڈمنسٹریٹر بنا سکتے ہیں۔

سسکو ISE: تعارف، ضروریات، تنصیب۔ حصہ 1شکل 10. ایک مقامی سسکو ISE ایڈمنسٹریٹر بنانا

7) نئے ایڈمنسٹریٹر کو نئے گروپ یا پہلے سے طے شدہ گروپس کا حصہ بنایا جا سکتا ہے۔ ایڈمنسٹریٹر گروپس کا انتظام ٹیب میں ایک ہی پینل میں کیا جاتا ہے۔ ایڈمن گروپس۔ جدول 2 ISE منتظمین، ان کے حقوق اور کردار کے بارے میں معلومات کا خلاصہ کرتا ہے۔

ٹیبل 2. سسکو ISE ایڈمنسٹریٹر گروپس، رسائی کی سطح، اجازتیں، اور پابندیاں

ایڈمنسٹریٹر گروپ کا نام

اجازت

پابندیاں

حسب ضرورت ایڈمن

مہمان اور کفالت کے پورٹلز کا قیام، انتظامیہ اور حسب ضرورت

پالیسیوں کو تبدیل کرنے یا رپورٹس دیکھنے میں ناکامی۔

ہیلپ ڈیسک ایڈمن

مین ڈیش بورڈ، تمام رپورٹس، لامز اور ٹربل شوٹنگ اسٹریمز دیکھنے کی اہلیت

آپ رپورٹس، الارم اور تصدیقی لاگز کو تبدیل، تخلیق یا حذف نہیں کر سکتے

شناختی ایڈمن

صارفین، مراعات اور کرداروں کا انتظام، لاگز، رپورٹس اور الارم دیکھنے کی صلاحیت

آپ OS کی سطح پر پالیسیاں تبدیل یا کام انجام نہیں دے سکتے

ایم این ٹی ایڈمن

مکمل نگرانی، رپورٹس، الارم، نوشتہ جات اور ان کا انتظام

کسی بھی پالیسی کو تبدیل کرنے سے قاصر ہے۔

نیٹ ورک ڈیوائس ایڈمن

ISE آبجیکٹ بنانے اور تبدیل کرنے، لاگز، رپورٹس، مین ڈیش بورڈ دیکھنے کے حقوق

آپ OS کی سطح پر پالیسیاں تبدیل یا کام انجام نہیں دے سکتے

پالیسی ایڈمن

تمام پالیسیوں کا مکمل انتظام، پروفائلز، سیٹنگز، دیکھنے کی رپورٹس کو تبدیل کرنا

اسناد، ISE اشیاء کے ساتھ ترتیبات کو انجام دینے میں ناکامی۔

آر بی اے سی ایڈمن

آپریشنز ٹیب میں تمام ترتیبات، ANC پالیسی کی ترتیبات، رپورٹنگ مینجمنٹ

آپ ANC کے علاوہ پالیسیاں تبدیل نہیں کر سکتے یا OS کی سطح پر کام نہیں کر سکتے

سپر ایڈمن

تمام ترتیبات، رپورٹنگ اور انتظام کے حقوق، منتظم کی اسناد کو حذف اور تبدیل کر سکتے ہیں۔

تبدیل نہیں کیا جا سکتا، سپر ایڈمن گروپ سے دوسرا پروفائل حذف کر دیں۔

سسٹم ایڈمن

آپریشنز ٹیب میں تمام ترتیبات، نظام کی ترتیبات کا انتظام، ANC پالیسی، رپورٹیں دیکھنا

آپ ANC کے علاوہ پالیسیاں تبدیل نہیں کر سکتے یا OS کی سطح پر کام نہیں کر سکتے

بیرونی آرام دہ خدمات (ERS) ایڈمن

Cisco ISE REST API تک مکمل رسائی

صرف اجازت، مقامی صارفین، میزبانوں اور سیکیورٹی گروپس (SG) کے انتظام کے لیے

بیرونی آرام دہ خدمات (ERS) آپریٹر

سسکو ISE REST API پڑھنے کی اجازت

صرف اجازت، مقامی صارفین، میزبانوں اور سیکیورٹی گروپس (SG) کے انتظام کے لیے

سسکو ISE: تعارف، ضروریات، تنصیب۔ حصہ 1شکل 11. پہلے سے طے شدہ سسکو ISE ایڈمنسٹریٹر گروپس

8) ٹیب میں اضافی چیزیں اجازت > اجازت > RBAC پالیسی آپ پہلے سے طے شدہ منتظمین کے حقوق میں ترمیم کر سکتے ہیں۔

سسکو ISE: تعارف، ضروریات، تنصیب۔ حصہ 1تصویر 12. سسکو ISE ایڈمنسٹریٹر پیش سیٹ پروفائل رائٹس مینجمنٹ

9) ٹیب میں ایڈمنسٹریشن> سسٹم> سیٹنگز سسٹم کی تمام ترتیبات دستیاب ہیں (DNS، NTP، SMTP اور دیگر)۔ آپ انہیں یہاں پُر کر سکتے ہیں اگر آپ نے ابتدائی ڈیوائس کے آغاز کے دوران ان کو کھو دیا ہے۔

5. نتیجہ

یہ پہلا مضمون ختم کرتا ہے۔ ہم نے Cisco ISE NAC حل کی تاثیر، اس کے فن تعمیر، کم از کم ضروریات اور تعیناتی کے اختیارات، اور ابتدائی تنصیب پر تبادلہ خیال کیا۔

اگلے مضمون میں، ہم اکاؤنٹس بنانے، مائیکروسافٹ ایکٹو ڈائرکٹری کے ساتھ انضمام، اور مہمانوں تک رسائی بنانے پر غور کریں گے۔

اگر آپ کے پاس اس موضوع کے بارے میں سوالات ہیں یا مصنوعات کی جانچ میں مدد کی ضرورت ہے، تو براہ کرم رابطہ کریں۔ لنک.

اپ ڈیٹس کے لیے ہمارے چینلز کو فالو کریں (تارفیس بکVKٹی ایس حل بلاگیینڈیکس زین۔).

ماخذ: www.habr.com

نیا تبصرہ شامل کریں