نشرت تحت تصنيف ALL، Wireless - Security

Cisco End-to-End Security Solution


.


دائما ما يطلق مصطلح End-to-End للدلالة علي شمول التقنية أو الحل أو الخدمة المعروضة مثلما بالضبط يستخدم مصطلح 360

و هو هنا للدلالة علي شمول حلول سيسكو للأمن للعمل في البيئة اللاسلكية

فحلول سيسكو للأمن Cisco End-to-End security solution تتكامل مع حلول سيسكو اللاسلكية Unified wireless networking solution لتأمين الشبكة اللاسلكية و ذلك باستخدام عدة منتجات و خدمات

و سنعطي نبذة هنا عن بعض من هذه الحلول علي أمل التفصيل مستقبلا ان شاء الله

استخدام الجدران النارية في الشبكة اللاسلكية


في بعض الشبكات اللاسلكية نحتاج الي تهيئتها لولوج ضيوف guest لهم صلاحيات أقل من المستخدمين عاديين و نستخدم هنا كنترولر خاص بهم نسميه Anchor controller و نحتاج الي عزله في منطقة DMZ و هنا سنحتاج جدران نارية للفصل بين الشبكة الداخلية و DMZ و ايضا بين الشبكة الخارجية و DMZ

لدي سيسكو بشكل خاص جيش من الجدران النارية مثل Cisco ASA 5500 series Adaptive Security Appliances (ASA) و Cisco IOS secure routers و Cisco Firewall Services Module

(FWSM) لسويتشات سيسكو من فئة 6500

طبعا ستحتاج في هذه الجدران النارية الي تمكين البورتات للازمة لعمل الشبكة اللاسلكية مثل UDP 5246 المستخدم من جهة فريمات CAPWAP control و بورت UDP 5247 المستخدم من فريمات CAPWAP data و بورت UDP 16666 المستخدم من mobility messages و intercontroller و بورت 97 الخاص ببروتوكول

Ethernet over IP (EoIP للسماح للإتصال بين الكنترولر Anchor و باقي أجهزة الكنترولر الأخري

بورتات إدارة الشبكة management ports أيضا ستحتاج الي تفعيلها مثل SNMP (UDP 161 , UDP 162) HTTP , HTTPS (TCP 80 , 443), Telnet (TCP 23), SSH (TCP 22), NTP (UDP 123), TFTP (UDP 69), FTP (TCP 20 , 21), syslog (UDP 514).

أجهزة حماية الشبكة


جهاز آخر من سيسكو يستخجم لمنع تدفقات البيانات غير المرغوب فيها و التي يمثلها spam و virusesو غيرها مثل هجمات 802.11 و ذلك يرقع الفجوة الأمنية التي تعاني منها الشبكات اللاسلكية التي لا تستطيع حماية نفسها من فيروسات قادمة من جهات موثوقة

فالكنترولر مثلا يستطيع استخدام بروتوكول HTTPS باستخدام تقنية Transport Layer Security (TLS) و لكنه لا يستطيع منع جهاز ما داخل شبكته من ارسال فيروسات أو برمجيات خبيثة عبره , هنا فقط يستطيع IPS أن يتصرف

سيرفر لإدارة الولوج للشبكة


و هو هنا يمثله سيرفر الأمن Cisco Secure ACS و خصائصه AAA المثالية لتمكين خدمات RADIUS و TACACS+ الخاصة بتوثيق و ترخيص مستخدمي الشبكة اللاسلكية قبل ولوجهم

سيرفر إدارة التواجد بالشبكة


Network Access Control NAC و يسمي قديما ذلك الحل بالولوج النظيف من سيسكو Cisco Clean Access

و رغم أنه مخصص للتحكم في الجلسات الحالية في الشبكة الا أنه مهيء للعمل كسيرفر

و لهذا نجد مصطلحات NAS و CAS لجهة السيرفر Server part و مصطلحات NAM و CAM لجهة الإدارة Manager part

يحتوي NAC علي عدة عناصر

أولا NAC Guest Server (NGS) من الممكن أن يعمل كـ RADIUS server حيث تستطيع عمل حسابات إدارية لمستخدمين لديهم صلاحيات عمل حسابات لمستخدمين آخرين

ثانيا NAC Manager (NAM) يدعي أحيانا CAM تستطيع من خلاله تحديد أي من الأجهزة أو المستخدمين لديهم الصاحيات لولوج الشبكة و مستوي الأمن اللازم لدخولهم مثل نوع نظام تشغيل معين مع حزمة sp معينة أو أنتيفيروس ما مع تحديثاته و سيتم حجب أي جهاز لا يفي بهذه المتطلبات في VLAN خاصة الي أن يقوم باستيفاء هذه المتطلبات

ثالثا NAC Server (NAS) يسمي أيضا CAS و يتواجد في أي مكان في الشبكة يتوقع ولوج المستخدم منها حيث أنه اول مرحلة لولوج المستخدم فيقوم بعمل فحص لبروفايل المستخدم ثم يقوم بالاتصال بـ NAM لاعلامه بأن هذه الجهه قد استوفت متطلبات الأمن للولوج للشبكة

رابعا NAC Agent (NAA) و يسمي ايضا CAA و هو برنامج يوضع علي حاسوب المستخدم للإتصال بـ CAS NAS و يتم الإستعاضة عن البرنامج بصفحة ويب للولوج

جيل جديد بديل من سيسكو


جدير بالذكر أن هناك جيل جديد من أنظمة سيسكو الأمنية تسمي  Cisco Identity Services Engine او اختصارا CISCO ISE  و الذي قام بوراثة قطاعين كبيرين من أجهزة سيسكو الأمنية ليدمجهم في نفسه و هما Cisco Access Control Server ACS و Network Admission Control NACليجمع بين إدارة عمليات الولوج و إدارة مرحلة التواجد في الشبكة في جهاز واحد و تنصح سيسكو بمن يستخدم هذه البرمجيات بالهجرة الي ISE  و قامت بعمل حلول برمجية لهذه الهجرة


تستطيع تحميل نسختك من علي موقع سيسكو الا أن سيسكو لا توفر التحميل المجاني الا للنسخة رقم 1.1.4 و ما قبلها علما بأن أحدث نسخة هي ISE 1.2.1 و تستطيع تشغيلها علي سيرفرات سيسكو UCS أو العمل علي أنظمة تشغيل Vmware


و بذلك يأخذنا بقوة في عالم BYOD و الذي يعني أنك تستطيع أن تقوم بسهولة بالولوج الي شبكة عملك عبر جهازك الشخصي Bring Your Own Device مدعما غالب أجهزة الهواتف و اللابتوب و الأجهزة اللوحية كأجهزة ولوج بالإضافة الي كافة أجهزة سيسك الأساسية مثل الراوترات و السويتشات و الكنترولر و الأكسسبوينت و غيرها

يقوم ISE بعمليات AAA  و التي تعني التحكم في مستخدمي الشبكة السلكية أو اللاسلكية عبر ثلاث مراحل و هي التوثيق Authentication و السماح Autherization و الحساب Accunting مع استخدام كل ما يلزم من السياسات الأمنية لتأمين الشبكة عبر بروتوكولات 802.1X

كذلك يقوم بعمليات المراقبة للأجهزة الموجودة بالشبكة و إدارة المجموعات و البروفايل الخاص بكل مجموعة أو جهاز

كذلك يتضافر هذا البرنامج مع بعض أجهزة سيسكو مخرجا لنا حل أمني رائع يسمي Cisco
TrustSec™


في النهاية لدي سيسكو ما يقرب من عشرات المنتجات و الحلول و المنتجات الأمنية للشبكات عموما و للشبكات اللاسلكية خصوصا تكلمنا عن بعضها و سنتكلم عن الباقي قريبا ان شاء الله تعالي

نادر المنسي


Advertisements

المعلق:

مهندس عربي يطمح و يساعد في الرقي بالمحتوي العربي للتكنولوجيا عبر ترجمة و اعداد مقالات و كتب علمية في مجال الشبكات و الإتصالات السلكية و اللاسلكية

اترك رد

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

شعار وردبرس.كوم

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   /  تغيير )

Google+ photo

أنت تعلق بإستخدام حساب Google+. تسجيل خروج   /  تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   /  تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   /  تغيير )

w

Connecting to %s