آپ کتنی بار کوئی چیز بے ساختہ خریدتے ہیں، کسی ٹھنڈے اشتہار کے سامنے جھک جاتے ہیں، اور پھر یہ ابتدائی طور پر مطلوبہ شے اگلے موسم بہار کی صفائی یا منتقل ہونے تک الماری، پینٹری یا گیراج میں دھول جمع کرتی ہے؟ نتیجہ ناجائز توقعات اور پیسہ ضائع کرنے کی وجہ سے مایوسی ہے۔ جب یہ کسی کاروبار کے ساتھ ہوتا ہے تو یہ بہت زیادہ خراب ہوتا ہے۔ اکثر، مارکیٹنگ کی چالیں اتنی اچھی ہوتی ہیں کہ کمپنیاں اس کے اطلاق کی مکمل تصویر دیکھے بغیر مہنگا حل خرید لیتی ہیں۔ دریں اثنا، نظام کی آزمائشی جانچ سے یہ سمجھنے میں مدد ملتی ہے کہ انضمام کے لیے بنیادی ڈھانچے کو کس طرح تیار کیا جائے، کون سی فعالیت اور کس حد تک اسے نافذ کیا جانا چاہیے۔ اس طرح آپ "اندھا بندہ" پروڈکٹ کا انتخاب کرنے کی وجہ سے بہت ساری پریشانیوں سے بچ سکتے ہیں۔ اس کے علاوہ، ایک قابل "پائلٹ" کے بعد عمل درآمد انجینئروں کو بہت کم تباہ شدہ اعصابی خلیات اور سفید بال لائے گا۔ آئیے ایک کارپوریٹ نیٹ ورک - سسکو ISE تک رسائی کو کنٹرول کرنے کے لیے ایک مقبول ٹول کی مثال کا استعمال کرتے ہوئے، ایک کامیاب پروجیکٹ کے لیے پائلٹ ٹیسٹنگ اتنا اہم کیوں ہے۔ آئیے اس حل کو استعمال کرنے کے لیے معیاری اور مکمل طور پر غیر معیاری دونوں اختیارات پر غور کریں جس کا ہمیں اپنی مشق میں سامنا ہوا ہے۔
سسکو ISE - "سٹیرائڈز پر رداس سرور"
Cisco Identity Services Engine (ISE) تنظیم کے لوکل ایریا نیٹ ورک کے لیے رسائی کنٹرول سسٹم بنانے کا ایک پلیٹ فارم ہے۔ ماہر برادری میں، پروڈکٹ کو اس کی خصوصیات کے لیے "ریڈیس سرور آن سٹیرائڈز" کا نام دیا گیا تھا۔ ایسا کیوں ہے؟ بنیادی طور پر، حل ایک Radius سرور ہے، جس کے ساتھ اضافی خدمات اور "ٹرکس" کی ایک بڑی تعداد منسلک کی گئی ہے، جس سے آپ کو سیاق و سباق کی ایک بڑی مقدار موصول ہو سکتی ہے اور ڈیٹا کے نتیجے میں سیٹ کو رسائی کی پالیسیوں میں لاگو کیا جا سکتا ہے۔
کسی دوسرے Radius سرور کی طرح، Cisco ISE رسائی کی سطح کے نیٹ ورک کے آلات کے ساتھ تعامل کرتا ہے، کارپوریٹ نیٹ ورک سے جڑنے کی تمام کوششوں کے بارے میں معلومات اکٹھا کرتا ہے اور، تصدیق اور اجازت کی پالیسیوں کی بنیاد پر، صارفین کو LAN کی اجازت دیتا ہے یا انکار کرتا ہے۔ تاہم، پروفائلنگ، پوسٹنگ، اور انفارمیشن سیکیورٹی کے دیگر حلوں کے ساتھ انضمام کا امکان اجازت دینے کی پالیسی کی منطق کو نمایاں طور پر پیچیدہ کرنا اور اس طرح کافی مشکل اور دلچسپ مسائل کو حل کرنا ممکن بناتا ہے۔
عمل درآمد کو پائلٹ نہیں کیا جا سکتا: آپ کو جانچ کی ضرورت کیوں ہے؟
پائلٹ ٹیسٹنگ کی قدر کسی مخصوص تنظیم کے مخصوص انفراسٹرکچر میں سسٹم کی تمام صلاحیتوں کو ظاہر کرنا ہے۔ مجھے یقین ہے کہ عمل درآمد سے پہلے Cisco ISE کو پائلٹ کرنے سے پروجیکٹ میں شامل ہر فرد کو فائدہ ہوتا ہے، اور اس کی وجہ یہ ہے۔
اس سے انٹیگریٹرز کو گاہک کی توقعات کا واضح اندازہ ملتا ہے اور ایک درست تکنیکی تفصیلات بنانے میں مدد ملتی ہے جس میں عام جملے سے کہیں زیادہ تفصیل ہوتی ہے "یقینی بنائیں کہ سب کچھ ٹھیک ہے۔" "پائلٹ" ہمیں گاہک کے تمام درد کو محسوس کرنے کی اجازت دیتا ہے، یہ سمجھنے کے لیے کہ کون سے کام اس کے لیے ترجیح ہیں اور کون سے ثانوی ہیں۔ ہمارے لیے، یہ پہلے سے معلوم کرنے کا ایک بہترین موقع ہے کہ تنظیم میں کون سا سامان استعمال ہوتا ہے، عمل درآمد کیسے ہوگا، کن سائٹوں پر، وہ کہاں واقع ہیں، وغیرہ۔
پائلٹ ٹیسٹنگ کے دوران، صارفین حقیقی نظام کو عملی شکل میں دیکھتے ہیں، اس کے انٹرفیس سے واقف ہوتے ہیں، یہ جانچ سکتے ہیں کہ آیا یہ ان کے موجودہ ہارڈ ویئر کے ساتھ مطابقت رکھتا ہے، اور اس بات کی مکمل سمجھ حاصل کر سکتے ہیں کہ مکمل نفاذ کے بعد حل کیسے کام کرے گا۔ "پائلٹ" وہ لمحہ ہے جب آپ ان تمام خرابیوں کو دیکھ سکتے ہیں جن کا سامنا آپ کو انضمام کے دوران کرنا پڑے گا، اور فیصلہ کر سکتے ہیں کہ آپ کو کتنے لائسنس خریدنے کی ضرورت ہے۔
"پائلٹ" کے دوران کیا "پاپ اپ" ہوسکتا ہے
تو، آپ Cisco ISE کو لاگو کرنے کے لیے صحیح طریقے سے تیاری کیسے کرتے ہیں؟ اپنے تجربے سے، ہم نے 4 اہم نکات کو شمار کیا ہے جن پر سسٹم کے پائلٹ ٹیسٹنگ کے دوران غور کرنا ضروری ہے۔
فارم عنصر
سب سے پہلے، آپ کو یہ فیصلہ کرنے کی ضرورت ہے کہ سسٹم کو کس شکل میں نافذ کیا جائے گا: فزیکل یا ورچوئل اپ لائن۔ ہر آپشن کے فوائد اور نقصانات ہیں۔ مثال کے طور پر، فزیکل اپ لائن کی مضبوطی اس کی قابل پیشن گوئی کارکردگی ہے، لیکن ہمیں یہ نہیں بھولنا چاہیے کہ ایسے آلات وقت کے ساتھ ساتھ متروک ہو جاتے ہیں۔ ورچوئل اپ لائنز کا اندازہ کم ہے کیونکہ... اس ہارڈ ویئر پر منحصر ہے جس پر ورچوئلائزیشن ماحول تعینات کیا گیا ہے، لیکن ان کا ایک سنگین فائدہ ہے: اگر سپورٹ دستیاب ہے، تو وہ ہمیشہ تازہ ترین ورژن میں اپ ڈیٹ ہو سکتے ہیں۔
کیا آپ کے نیٹ ورک کا سامان Cisco ISE کے ساتھ مطابقت رکھتا ہے؟
بلاشبہ، مثالی منظر نامہ یہ ہوگا کہ تمام آلات کو ایک ہی وقت میں سسٹم سے جوڑ دیا جائے۔ تاہم، یہ ہمیشہ ممکن نہیں ہے کیونکہ بہت سی تنظیمیں اب بھی غیر منظم سوئچز یا سوئچ استعمال کرتی ہیں جو سسکو ISE چلانے والی کچھ ٹیکنالوجیز کو سپورٹ نہیں کرتی ہیں۔ ویسے، ہم صرف سوئچ کے بارے میں بات نہیں کر رہے ہیں، یہ وائرلیس نیٹ ورک کنٹرولرز، VPN کنسنٹریٹرز اور کوئی دوسرا سامان بھی ہو سکتا ہے جس سے صارفین جڑتے ہیں۔ میری پریکٹس میں، ایسے معاملات ہوئے ہیں جب، مکمل نفاذ کے لیے سسٹم کا مظاہرہ کرنے کے بعد، گاہک نے رسائی کی سطح کے تقریباً پورے بیڑے کو جدید سسکو آلات میں اپ گریڈ کیا۔ ناخوشگوار حیرت سے بچنے کے لئے، یہ پہلے سے غیر تعاون یافتہ سامان کے تناسب کو تلاش کرنے کے قابل ہے.
کیا آپ کے تمام آلات معیاری ہیں؟
کسی بھی نیٹ ورک میں عام آلات ہوتے ہیں جن سے جڑنا مشکل نہیں ہونا چاہیے: ورک سٹیشنز، آئی پی فونز، وائی فائی رسائی پوائنٹس، ویڈیو کیمرے وغیرہ۔ لیکن ایسا بھی ہوتا ہے کہ غیر معیاری آلات کو LAN سے منسلک کرنے کی ضرورت ہوتی ہے، مثال کے طور پر، RS232/Ethernet بس سگنل کنورٹرز، بلاتعطل پاور سپلائی انٹرفیس، مختلف تکنیکی آلات وغیرہ۔ ایسے آلات کی فہرست کا پہلے سے تعین کرنا ضروری ہے۔ ، تاکہ نفاذ کے مرحلے پر آپ کو پہلے سے ہی یہ سمجھ آ جائے کہ وہ کس طرح تکنیکی طور پر Cisco ISE کے ساتھ کام کریں گے۔
آئی ٹی ماہرین کے ساتھ تعمیری مکالمہ
سسکو آئی ایس ای کے صارفین اکثر سیکورٹی کے محکمے ہوتے ہیں، جبکہ آئی ٹی کے محکمے عام طور پر ایکسیس لیئر سوئچز اور ایکٹو ڈائریکٹری کو ترتیب دینے کے ذمہ دار ہوتے ہیں۔ لہذا، سیکورٹی ماہرین اور آئی ٹی ماہرین کے درمیان نتیجہ خیز تعامل نظام کے بغیر درد کے نفاذ کے لیے ایک اہم شرط ہے۔ اگر مؤخر الذکر دشمنی کے ساتھ انضمام کو سمجھتے ہیں، تو یہ ان کو سمجھانے کے قابل ہے کہ یہ حل آئی ٹی ڈیپارٹمنٹ کے لیے کس طرح مفید ہوگا۔
سرفہرست 5 سسکو ISE استعمال کے کیسز
ہمارے تجربے میں، نظام کی مطلوبہ فعالیت کی بھی پائلٹ جانچ کے مرحلے پر شناخت کی جاتی ہے۔ ذیل میں حل کے لیے سب سے زیادہ مقبول اور کم عام استعمال کے معاملات ہیں۔
EAP-TLS کے ساتھ تار پر LAN تک رسائی کو محفوظ کریں۔
ہمارے پینٹسٹرز کے تحقیقی شو کے نتائج کے مطابق، اکثر کمپنی کے نیٹ ورک میں گھسنے کے لیے، حملہ آور عام ساکٹ استعمال کرتے ہیں جن سے پرنٹرز، فونز، آئی پی کیمرے، وائی فائی پوائنٹس اور دیگر غیر ذاتی نیٹ ورک ڈیوائسز منسلک ہوتے ہیں۔ لہذا، یہاں تک کہ اگر نیٹ ورک تک رسائی dot1x ٹیکنالوجی پر مبنی ہے، لیکن متبادل پروٹوکول صارف کے تصدیقی سرٹیفکیٹ استعمال کیے بغیر استعمال کیے جاتے ہیں، سیشن میں مداخلت اور بروٹ فورس پاس ورڈز کے ساتھ کامیاب حملے کا بہت زیادہ امکان ہے۔ Cisco ISE کے معاملے میں، سرٹیفکیٹ چوری کرنا بہت زیادہ مشکل ہوگا - اس کے لیے، ہیکرز کو بہت زیادہ کمپیوٹنگ پاور کی ضرورت ہوگی، اس لیے یہ کیس بہت موثر ہے۔
دوہری SSID وائرلیس رسائی
اس منظر نامے کا نچوڑ 2 نیٹ ورک شناخت کنندگان (SSIDs) کا استعمال کرنا ہے۔ ان میں سے ایک کو مشروط طور پر "مہمان" کہا جا سکتا ہے۔ اس کے ذریعے، مہمان اور کمپنی کے ملازمین دونوں وائرلیس نیٹ ورک تک رسائی حاصل کر سکتے ہیں۔ جب وہ رابطہ قائم کرنے کی کوشش کرتے ہیں، تو مؤخر الذکر کو ایک خاص پورٹل پر بھیج دیا جاتا ہے جہاں فراہمی ہوتی ہے۔ یعنی، صارف کو ایک سرٹیفکیٹ جاری کیا جاتا ہے اور اس کے ذاتی آلے کو خود بخود دوسرے SSID سے دوبارہ جوڑنے کے لیے ترتیب دیا جاتا ہے، جو پہلے کیس کے تمام فوائد کے ساتھ EAP-TLS استعمال کرتا ہے۔
MAC توثیق بائی پاس اور پروفائلنگ
ایک اور مقبول استعمال کا معاملہ خود بخود اس آلہ کی قسم کا پتہ لگانا ہے جو منسلک ہو رہا ہے اور اس پر صحیح پابندیاں لگانا ہے۔ وہ کیوں دلچسپ ہے؟ حقیقت یہ ہے کہ ابھی بھی بہت سارے آلات موجود ہیں جو 802.1X پروٹوکول کا استعمال کرتے ہوئے تصدیق کی حمایت نہیں کرتے ہیں۔ لہذا، اس طرح کے آلات کو نیٹ ورک پر ایک MAC ایڈریس کا استعمال کرتے ہوئے اجازت دی جانی چاہئے، جو جعلی کرنا کافی آسان ہے۔ یہ وہ جگہ ہے جہاں سسکو ISE بچاؤ کے لیے آتا ہے: سسٹم کی مدد سے، آپ دیکھ سکتے ہیں کہ نیٹ ورک پر کوئی ڈیوائس کیسا برتاؤ کرتا ہے، اس کا پروفائل بناتا ہے اور اسے دوسرے آلات کے گروپ کو تفویض کرتا ہے، مثال کے طور پر، ایک IP فون اور ایک ورک سٹیشن . اگر کوئی حملہ آور MAC ایڈریس کو جعلی بنانے اور نیٹ ورک سے جڑنے کی کوشش کرتا ہے، تو سسٹم دیکھے گا کہ ڈیوائس کا پروفائل تبدیل ہو گیا ہے، مشکوک رویے کا اشارہ دے گا اور مشکوک صارف کو نیٹ ورک میں جانے کی اجازت نہیں دے گا۔
EAP-چیننگ
EAP-chaining ٹیکنالوجی میں کام کرنے والے PC اور صارف اکاؤنٹ کی ترتیب وار تصدیق شامل ہے۔ یہ معاملہ اس لیے پھیل چکا ہے کیونکہ... بہت سی کمپنیاں اب بھی ملازمین کے ذاتی گیجٹس کو کارپوریٹ LAN سے منسلک کرنے کی حوصلہ افزائی نہیں کرتی ہیں۔ تصدیق کے لیے اس نقطہ نظر کو استعمال کرتے ہوئے، یہ جانچنا ممکن ہے کہ آیا کوئی خاص ورک سٹیشن ڈومین کا رکن ہے، اور اگر نتیجہ منفی ہے، تو صارف کو یا تو نیٹ ورک میں داخل ہونے کی اجازت نہیں دی جائے گی، یا داخل ہونے کے قابل ہو جائے گا، لیکن یقینی طور پر۔ پابندیاں
پوسچرنگ
یہ معاملہ انفارمیشن سیکیورٹی کے تقاضوں کے ساتھ ورک سٹیشن سافٹ ویئر کی تعمیل کا جائزہ لینے کے بارے میں ہے۔ اس ٹیکنالوجی کا استعمال کرتے ہوئے، آپ چیک کر سکتے ہیں کہ آیا ورک سٹیشن پر موجود سافٹ ویئر اپ ڈیٹ ہے، آیا اس پر حفاظتی اقدامات نصب ہیں، آیا ہوسٹ فائر وال کنفیگر ہے یا نہیں، وغیرہ۔ دلچسپ بات یہ ہے کہ یہ ٹیکنالوجی آپ کو دوسرے کاموں کو بھی حل کرنے کی اجازت دیتی ہے جو سیکیورٹی سے متعلق نہیں ہیں، مثال کے طور پر ضروری فائلوں کی موجودگی کو چیک کرنا یا سسٹم وائیڈ سافٹ ویئر انسٹال کرنا۔
Cisco ISE کے استعمال کے کم عام معاملات میں اینڈ ٹو اینڈ ڈومین تصدیق (Passive ID) کے ساتھ رسائی کنٹرول، SGT پر مبنی مائیکرو سیگمنٹیشن اور فلٹرنگ کے ساتھ ساتھ موبائل ڈیوائس مینجمنٹ (MDM) سسٹمز اور Vulnerability سکینرز کے ساتھ انضمام شامل ہیں۔
غیر معیاری پروجیکٹس: آپ کو سسکو ISE کی ضرورت کیوں پڑ سکتی ہے، یا ہماری پریکٹس سے 3 نادر کیسز
لینکس پر مبنی سرورز تک رسائی کا کنٹرول
ایک بار جب ہم ان صارفین میں سے ایک کے لئے ایک غیر معمولی معاملہ حل کر رہے تھے جن کے پاس پہلے سے ہی سسکو ISE سسٹم نافذ تھا: ہمیں لینکس انسٹال والے سرورز پر صارف کے اعمال (زیادہ تر منتظمین) کو کنٹرول کرنے کا طریقہ تلاش کرنے کی ضرورت تھی۔ جواب کی تلاش میں، ہمیں مفت PAM Radius Module سافٹ ویئر استعمال کرنے کا خیال آیا، جو آپ کو ایک بیرونی ریڈیئس سرور پر تصدیق کے ساتھ لینکس چلانے والے سرورز میں لاگ ان کرنے کی اجازت دیتا ہے۔ اس سلسلے میں سب کچھ اچھا ہو گا، اگر کسی ایک کے لیے نہیں تو "لیکن": رداس سرور، تصدیق کی درخواست کا جواب بھیجتا ہے، صرف اکاؤنٹ کا نام اور نتیجہ دیتا ہے - قبول شدہ یا مسترد ہونے کا اندازہ لگاتا ہے۔ دریں اثنا، لینکس میں اجازت کے لیے، آپ کو کم از کم ایک اور پیرامیٹر - ہوم ڈائریکٹری تفویض کرنے کی ضرورت ہے، تاکہ صارف کم از کم کہیں پہنچ جائے۔ ہمیں اسے رداس کی خصوصیت کے طور پر دینے کا کوئی طریقہ نہیں ملا، لہذا ہم نے ایک نیم خودکار موڈ میں میزبانوں پر دور سے اکاؤنٹس بنانے کے لیے ایک خصوصی اسکرپٹ لکھا۔ یہ کام کافی قابل عمل تھا، کیونکہ ہم ایڈمنسٹریٹر اکاؤنٹس کے ساتھ کام کر رہے تھے، جن کی تعداد اتنی زیادہ نہیں تھی۔ اس کے بعد، صارفین نے مطلوبہ ڈیوائس پر لاگ ان کیا، جس کے بعد انہیں ضروری رسائی تفویض کر دی گئی۔ ایک معقول سوال پیدا ہوتا ہے: کیا ایسے معاملات میں Cisco ISE استعمال کرنا ضروری ہے؟ اصل میں، نہیں - کوئی بھی رداس سرور کرے گا، لیکن چونکہ گاہک کے پاس یہ سسٹم پہلے سے موجود تھا، اس لیے ہم نے اس میں ایک نئی خصوصیت شامل کی۔
LAN پر ہارڈ ویئر اور سافٹ ویئر کی انوینٹری
ہم نے ایک بار کسی ابتدائی "پائلٹ" کے بغیر ایک صارف کو Cisco ISE کی فراہمی کے منصوبے پر کام کیا تھا۔ حل کے لیے کوئی واضح تقاضے نہیں تھے، نیز ہم ایک فلیٹ، غیر منقسم نیٹ ورک کے ساتھ کام کر رہے تھے، جس نے ہمارے کام کو پیچیدہ بنا دیا۔ پروجیکٹ کے دوران، ہم نے پروفائلنگ کے تمام ممکنہ طریقے ترتیب دیے جن کی نیٹ ورک سپورٹ کرتا ہے: NetFlow، DHCP، SNMP، AD انٹیگریشن، وغیرہ۔ نتیجے کے طور پر، MAR رسائی کو نیٹ ورک میں لاگ ان کرنے کی اہلیت کے ساتھ ترتیب دیا گیا تھا اگر تصدیق ناکام ہو جاتی ہے۔ یعنی، اگر توثیق کامیاب نہ ہو، تب بھی سسٹم صارف کو نیٹ ورک میں جانے، اس کے بارے میں معلومات اکٹھا کرنے اور اسے ISE ڈیٹا بیس میں ریکارڈ کرنے کی اجازت دے گا۔ کئی ہفتوں کے دوران اس نیٹ ورک کی نگرانی نے ہمیں منسلک نظاموں اور غیر ذاتی آلات کی شناخت کرنے اور ان کو تقسیم کرنے کے لیے ایک نقطہ نظر تیار کرنے میں مدد کی۔ اس کے بعد، ہم نے ایجنٹ کو ورک سٹیشن پر انسٹال کرنے کے لیے پوسٹنگ کو بھی ترتیب دیا تاکہ ان پر نصب سافٹ ویئر کے بارے میں معلومات اکٹھی کی جا سکیں۔ نتیجہ کیا نکلا؟ ہم نیٹ ورک کو تقسیم کرنے اور سافٹ ویئر کی فہرست کا تعین کرنے کے قابل تھے جنہیں ورک سٹیشنوں سے ہٹانے کی ضرورت تھی۔ میں یہ نہیں چھپاؤں گا کہ صارفین کو ڈومین گروپس میں تقسیم کرنے اور رسائی کے حقوق کی وضاحت کرنے کے مزید کاموں میں ہمیں کافی وقت لگا، لیکن اس طرح ہمیں اس بات کی مکمل تصویر مل گئی کہ صارف کے پاس نیٹ ورک پر کیا ہارڈ ویئر ہے۔ ویسے پروفائلنگ آؤٹ آف دی باکس کے اچھے کام کی وجہ سے یہ مشکل نہیں تھا۔ ٹھیک ہے، جہاں پروفائلنگ سے کوئی فائدہ نہیں ہوا، ہم نے خود کو دیکھا، اس سوئچ پورٹ کو نمایاں کیا جس سے سامان منسلک تھا۔
ورک سٹیشن پر سافٹ ویئر کی ریموٹ انسٹالیشن
یہ کیس میری پریکٹس میں سب سے عجیب میں سے ایک ہے۔ ایک دن، ایک گاہک مدد کے لیے پکار کر ہمارے پاس آیا - سسکو ISE کو لاگو کرتے وقت کچھ غلط ہو گیا، سب کچھ ٹوٹ گیا، اور کوئی اور نیٹ ورک تک رسائی حاصل نہیں کر سکا۔ ہم نے اس کا جائزہ لینا شروع کیا اور درج ذیل کا پتہ چلا۔ کمپنی کے پاس 2000 کمپیوٹر تھے، جو ڈومین کنٹرولر کی غیر موجودگی میں، ایک ایڈمنسٹریٹر اکاؤنٹ کے تحت چلائے جاتے تھے۔ پیئرنگ کے مقصد کے لیے، تنظیم نے Cisco ISE کو لاگو کیا۔ کسی نہ کسی طرح یہ سمجھنا ضروری تھا کہ آیا موجودہ پی سیز پر اینٹی وائرس انسٹال ہوا ہے یا نہیں، سافٹ ویئر ماحول کو اپ ڈیٹ کیا گیا ہے، وغیرہ۔ اور چونکہ آئی ٹی ایڈمنسٹریٹرز نے سسٹم میں نیٹ ورک کا سامان نصب کیا ہے، اس لیے یہ منطقی ہے کہ انہیں اس تک رسائی حاصل تھی۔ یہ دیکھنے کے بعد کہ یہ کس طرح کام کرتا ہے اور اپنے پی سی کو آگے بڑھاتا ہے، منتظمین کو ذاتی دوروں کے بغیر ملازمین کے ورک سٹیشن پر سافٹ ویئر کو دور سے انسٹال کرنے کا خیال آیا۔ ذرا تصور کریں کہ اس طرح آپ روزانہ کتنے قدم بچا سکتے ہیں! منتظمین نے C:Program Files ڈائرکٹری میں ایک مخصوص فائل کی موجودگی کے لیے ورک سٹیشن کی کئی جانچیں کیں، اور اگر یہ غیر موجود تھی تو، انسٹالیشن .exe فائل میں فائل اسٹوریج کی طرف لے جانے والے لنک پر عمل کرتے ہوئے خودکار تدارک کا آغاز کیا گیا۔ اس سے عام صارفین کو فائل شیئر پر جانے اور وہاں سے ضروری سافٹ ویئر ڈاؤن لوڈ کرنے کا موقع ملا۔ بدقسمتی سے، منتظم ISE سسٹم کو اچھی طرح نہیں جانتا تھا اور اس نے پوسٹنگ کے طریقہ کار کو نقصان پہنچایا - اس نے پالیسی کو غلط لکھا، جس کی وجہ سے ایک مسئلہ پیدا ہوا جسے حل کرنے میں ہم شامل تھے۔ ذاتی طور پر، میں اس طرح کے تخلیقی انداز سے حیران ہوں، کیونکہ ڈومین کنٹرولر بنانا بہت سستا اور کم محنت والا ہوگا۔ لیکن تصور کے ثبوت کے طور پر اس نے کام کیا۔
میرے ساتھی کے مضمون میں سسکو ISE کو لاگو کرتے وقت پیدا ہونے والی تکنیکی باریکیوں کے بارے میں مزید پڑھیں .
آرٹیم بوبریکوف، جیٹ انفو سسٹم کے انفارمیشن سیکیورٹی سینٹر کے ڈیزائن انجینئر
بعد میں:
اس حقیقت کے باوجود کہ یہ پوسٹ Cisco ISE سسٹم کے بارے میں بتاتی ہے، بیان کردہ مسائل NAC کے حل کی پوری کلاس کے لیے متعلقہ ہیں۔ یہ اتنا اہم نہیں ہے کہ کون سا وینڈر کے حل کو لاگو کرنے کی منصوبہ بندی کی گئی ہے - مندرجہ بالا میں سے زیادہ تر لاگو رہیں گے۔
ماخذ: www.habr.com