نوشته‌ها

بررسی ویژگی های Cisco Expressway نسخه‌ی X8.9

ویژگی های Cisco Expressway

سهولت برقراری ارتباط با Cisco Expressway

همکاری با افراد باید به سادگی یک تماس تلفنی باشد که در شرایطی امن صورت می پذیرد، اما در اکثر مواقع اینطور نیست. ابزاری که اشتراک ویدئو و محتوا را ممکن می‌سازند و به تعاملات عمق می‌بخشند، به مکان‌های سازمانی یا به کاربرانی محدود می‌باشند که در شبکه‌ی یکسانی قرار دارند و یا از برنامه کاربردی یا دستگاه یکسانی استفاده می‌نمایند. هنگامی که کارمندان سازمان را ترک می‌کنند یا وقتی می‌خواهند با عرضه‌کنندگان، مشتریان یا همکاران خود تعامل داشته باشند که از سیستم، شبکه یا تجهیزات متفاوتی جهت برقراری ارتباط استفاده می کنند و این امر باعث می گردد که ارتباط قطع شود. این موانع افراد را مجبور می‌کنند که از ابزارهایی مثل تلفن یا ایمیل، که کمتر کاربردی هستند استفاده نمایند. درهمین‌حال، فرصت ارتباطات قوی‌تر، تصمیم‌گیری سریع‌تر و برتری رقابتی که بهترین فرم‌های همکاری به ارمغان می‌آورند را از دست خواهند داد. Cisco Expressway یک گذرکاه ارتباطی پیشرفته است که به این مشکلات پاسخ داده و به جهانی شدن ارتباطات کمک می‌کند. این راهکار برای گسترش خدمات و رساندن آن‌ها به کاربران، در داخل و خارج از فایروال، مورد استفاده قرار می‌گیرد. انواع خدماتی که Expressway گسترش می‌دهد، بستگی دارد به اینکه دستگاه‌ها در کجا ثبت شده‌ باشند؛ برای Expressway نسخه‌ی X8.9، دو گزینه‌ی ثبت وجود دارد:

  • ثبت مستقیم به Expressway: این گزینه در Expressway X8.9 جدید است. ثبت مستقیم کاربران و دستگاه‌ها در Expressway به افراد توانایی گسترش خدمات متمرکز روی ویدئو را می‌دهد. هم ثبت SIP و هم ۳۲۳ با Expressway-C تحت پشتیبانی می‌باشند و ثبت Proxy SIP با Expressway-E تحت پشتیبانی است.
  • ثبت در Cisco Unified Communications Manager از طریق دسترسی از راه دور و Remote: این گزینه توانایی رساندن مجموعه‌ی کاملی از خدمات مبتنی بر همکاری، شامل اشتراک صدا، ویدئو و دسکتاپ، پیام‌رسانی و حضور سریع به کاربران را ‌ممکن می‌سازد و همچنین وقتی به عنوان Call Control، به عنوان بخشی از Cisco Business Edition نسخه‌ی ۹٫۱٫۲ یا جدیدتر، یا به عنوان بخشی از Cisco Hosted Collaboration Solution یا به اختصار HCS نسخه‌ی ۹٫۲٫۱ یا جدید‌تر پیاده‌سازی می‌گردد، از Unified Communications Manager پشتیبانی می‌نماید.

موارد استفاده ی Cisco Expressway

کاربردهای اصلی Cisco Expressway شامل موارد زیر است:

دسترسی موبایل و Remote یا  MRA

با این ویژگی می‌توان قابلیت اتصال دفتر را به کارمندان دفتر خانگی و On-The-Go رساند. Cisco Expressway، با تسهیل تجربه‌ی کاربر نهایی، همکاری را در خارج از سازمان، به سادگی به داخل آن منتقل می‌نماید. کاربران از راه دورِ Cisco Jabber می‌توانند با استفاده از قابلیت دسترسی از راه دور بسیار ایمن مبتنی بر Transport Layer Security یا به اختصار TLS، به تمام بارهای کاری مربوط به همکاری خود، اعم از ویدئو، صدا، محتوا و پیام‌رسانی فوری و همچنین حضور، بدون نیاز به مرحله‌ی اضافه‌ی ایجاد یک VPN دسترسی داشته باشند. Expressway همچنین از قابلیت‌های Single-Sign-On یا به اختصار SSO برای کاربران Cisco Jabber پشتیبانی کرده و مستقیما احراز هویت سازمانی و شیوه‌های حق دسترسی موجود را با هم یکپارچه‌سازی می‌نماید. هر دوی این قابلیت‌ها به ارائه‌ی تجربه‌ی از راه دور، از هر مکانی، روی گستره‌ای از دستگاه‌ها، به مشتریان Cisco Jabber کمک کرده و مکمل Policyهای امنیتی متداول Bring-Your-Own-Device یا به اختصار BYOD بخش IT می‌باشند.

به علاوه، Expressway استفاده از Endpointهای Cisco، از جمله سری‌های Cisco TelePresence EX، MX و SX؛ سری‌های Cisco TelePresence Integrator C و سری‌های Cisco DX، را برای Teleworkerها تسهیل می‌نماید. کارمندان از آماده‌سازی، پیکربندی و ثبت تسهیل‌شده‌ی این دستگاه‌ها و همچنین قابلیت اتصال از دفترِ Home بدون نیاز به اتصال VPN، بهره می‌برند.

ثبت‌های Telepresence

برای مشتریانی طراحی شده است که می‌خواهند Expressway را به عنوان یک راهکار کنترل تماس ویدئویی Native، بدون نیاز به Unified Communications Manager، پیاده‌سازی کنند.

همکاری Business-To-Consumer یا به اختصار B2C

Cisco Expressway با Cisco Jabber Guest به کاربر این توانایی را می‌دهد تا از طریق اینترنت، ارتباط کامل و بدون نقصی را برای مشتریان بالقوه، عرضه‌کنندگان و مشتریان فراهم نماید. می‌توان با استفاده از روش Point-and-Click ساده، به سادگی و ایمنی بیشتر، اتصالات رسانه‌ای کامل‌تری از جمله پیام‌رسانی، صدا و تصویر فوری را برای Guestهایی که از وب‌سایت یا برنامه کاربردی وارد می‌شوند فراهم نمود؛ چه این افراد مشتری باشند، چه سازمان‌های دیگر و چه کارمندان موقتی.

همکاری Business-To-Business یا به اختصار B2B

با این ویژگی می‌توان خدمات همکاری را با شرکای کسب‌و‌کار به اشتراک گذاشت. Cisco Expressway همکاری B2B را که شامل Federation پیام‌رسانی و حضور فوری یا به اختصار IM&P می‌باشد، تسهیل می‌نماید. سازمان‌ها با استفاده از تماس URI می‌توانند با ایمنی بیشتری با شرکا و عرضه‌کنندگان همکاری کنند، درست طوری که گویی در یک دفتر هستند و به هیچ پیش‌تنظیمی هم نیاز نیست.

Cisco Collaboration Meeting Rooms Hybrid

می‌توان از طریق Expressway، زیرساخت On-Premises مربوط به Cisco TelePresence Server را به خدمات Cloud متعلق به Cisco WebEx متصل نمود تا تجربه‌ی کنفرانس یکپارچه‌ای هم برای Endpointهای Telepresence و هم مشترکین Cisco WebEx، همگی در یک جلسه‌ی واحد، فراهم گردد.

Cisco Spark Hybrid Services

Expressway قابلیت‌های زیر را برای کاربر ممکن می‌سازد:

  • اتصال On-Premises Cisco Unified Communications Manager به Cisco Spark در Cisco Collaboration Cloud برای ارائه‌ی تجربه‌های تماس یکپارچه.
  • اتصال On-Premises Microsoft Exchange به کاربران Cisco Spark در Cisco Collaboration Cloud، که برنامه‌ریزی و ملحق شدن به جلسات را، به خصوص وقتی از راه دور باشند، تسهیل می‌نماید.

تعامل‏ پذیری و کارکرد متقابل

با Expressway می‌توان به Endpointهای ویدئویی دیگر و پروتکل‌های متفاوت متصل شد. این راهکار می‌تواند هر Endpoint مبتنی بر استانداردها را، از جمله Scalable Video Coding یا به اختصار SVC، Advanced Video Coding یا به اختصار AVC، ۳۲۳، Session Initiation Protocol یا به اختصار SIP و Binary Floor Control Protocol یا به اختصار BFCP متصل نماید. با Expressway می‌توان به استفاده از Endpointهای ویدئویی قدیمی، چه از Cisco باشند، چه ارائه‌دهندگان دیگر، ادامه داد. این امر انعطاف‌پذیری بسیار زیادی را در استفاده از Endpointها موجود در حال حاضر و ارتقای آن‌ها به Endpointهای جدید، در آینده فراهم می‌نماید. Cisco Expressway همچنین از مشتریان Microsoft Lync و Skype for Business، حتی با استفاده از Remote Desktop Protocol یا به اختصار RDP اختصاصی، پشتیبانی می‌کند.

Cisco Expressway از دو جزء تشکیل شده است، Expressway-C و Expressway-E؛ این دو جزء با هم کار می‌کنند تا لینک پیمایش ایمنی را ایجاد کرده و خدمات همکاری را شامل ویدئو، صدا، محتوا، پیام‌رسانی فوری و حضور برای کاربران، هم در داخل و هم خارج از فایروال فراهم نماید. این کار از طریق تکمیل ابزار و Policyهای امنیتی موجود، با کمترین پیکربندی فایروال، صورت می‌گیرد؛ ترافیک Expressway، بر خلاف بسیاری از Session Border Controllerها یا به اختصار SBCها که نیازمند Firewall Bypass هستند، از فایروال‌های محدودشده عبور می‌کند.

 

  • Expressway-C درون شبکه قرار دارد و برای فراهم نمودن ثبت‌های Endpoint به صورت Native هم برای دستگاه‌های SIP و هم ۳۲۳، به علاوه‌ی کارکرد متقابل Endpointهای Cisco TelePresence با سیستم‌های ویدئویی دیگری همچون H.323، H.264 SVC و SIP تطبیق‌پذیر با استانداردها و همچنین مشتریان Microsoft Lync و Skype for Business مورد استفاده قرار می‌گیرد.
  • Expressway-E در Perimeter شبکه قرار دارد و خدمات پیمایشی را که اتصال بدون VPNرا با کاربران Remote و Home، شرکای کسب‌و‌کار و مشتریان و همچنین ثبت SIP Endpoint ممکن می‌سازند، فراهم می‌کند.
  • Cisco Expressway از گزینه‌های پیاده‌سازی منعطف پشتیبانی می‌کند. می‌توان آن را روی Cisco Expressway CE1100 Appliance یا به عنوان یک برنامه کاربردی مجازی‌سازی‌شده برای VMware پیاده‌سازی نمود.

    مزایای استفاده از Cisco Expressway

    از مزایای Cisco Expressway می توان به موارد زیر اشاره نمود:

    افزایش رقابت‌: Expressway با ارائه‌ی همکاری فراتر از فایروال مبتنی بر ویدئو، صدا و محتوا، پیام‌رسانی فوری و حضور، به سازمان‌ها کمک می‌کند به تصمیم‌گیری و فرایندهای تجارت خود سرعت ببخشند.

    بهبود تحرک‌پذیری نیروی کار: Expressway از تحرک‌پذیری و ازدیاد دستگاه‌ها استقبال می‌کند. این راهکار دسترسی ساده و بسیار ایمنی را برای گستره‌ای از مشتریان ارتباطات یکپارچه‌ی Cisco Jabber، با قابلیت‌های Single-Sign-On و بدون نیاز به یک VPN Client جداگانه فراهم می‌نماید. در نتیجه، مکمل استراتژی‌های BYOD متداول است.

    بهبود چابکی و بهره‌وری: Expressway به افراد این قدرت را می‌دهد که با همکاران، مشتریان و شرکا به شیوه‌ی کارآمدتر و با صرف زمان کمتر، همکاری نموده و درهمین‌حال، هزینه‌های انتقال را کاهش دهند.

    تعامل‏پذیری: Expressway با پشتیبانی از استانداردهای باز و فراهم نمودن کارکرد متقابل بین سیستم‌ها و پروتکل‌های جدا از هم، موانع را از بین می‌برد. این امر به بهبود ارزش سرمایه‌گذاری‌های کنونی کمک کرده و تعداد شرکت‌کنندگانی را که می‌توان به آن‌ها متصل شد افزایش می‌دهد. استانداردهای تحت پشتیبانی شامل IPv4 تا IPv6، ۳۲۳ تا SIP و محیط‌های مایکروسافت، شامل Microsoft RDP می‌گردد که اشتراک محتوا با کاربران Lync و Skype for Business را ممکن می‌سازد.

    انعطاف‌پذیری: Expressway از کسب‌و‌کار‌ها با اندازه‌های مختلف به عنوان بخشی از راهکارهای Cisco Business Edition یا پیاده‌سازی‌های سازمانی Cisco Unified Communications Manager پشتیبانی می‌نماید. خدمات این راهکار را می‌توان همچنین از طریق یک Cloud با استفاده از Cisco Hosted Collaboration Solution ممکن ساخت.

    تسهیل لایسنیسگ: دسترسی از مکان‌های متغیر و Remote با استفاده از Expressway، به عنوان بخشی از Cisco Unified Workspace Licensing یا به اختصار UWL که یا Standard و یا Pro است و Cisco User Connect Licensing یا به اختصار UCL که یا Enhanced و یا Enhanced Plus است، ارائه شده و برای پیاده‌سازی‌های Hosted Collaboration Solution، در بسته‌های لایسنس Hosted Collaboration Solution Foundation و Standard گنجانده شده است.

مزایای استفاده از Cisco ACI در رفع مشکلات امنیتی

Cisco Application Centric Infrastructure  یا به اختصار  Cisco ACI، معماری جدید و خلاقانه‌ای است که به طور کلی موجب تسهیل، بهینه‌سازی و تسریع چرخه پیاده‌سازی برنامه می‌گردد.

Cisco ACI  از یک رویکرد جامع مبتنی بر سیستم استفاده نموده که دارای ویژگی‌هایی مانند یکپارچه ‏سازی کامل میان اجزاء فیزیکی و مجازی، مدل Open Ecosystem  و نوآوری جدید  ICهای خاص برنامه‌های کاربردی تحت عنوان ASIC ، سخت‌افزار و نرم‌افزار جدید می‌باشد. این رویکرد منحصربفرد از مدل عملیاتی مبتنی بر Policy مشترک در سراسر شبکه و اجزاء امنیتی‌ای که از Cisco ACI و همچنین اجزاء Computing و Storage در آینده نزدیک پشتیبانی می‌کنند، استفاده نماید، علاوه بر آن موجب تسلط بر Siloهای IT و کاهش قابل ملاحظه هزینه‌ها و پیچیدگی فرایند، می‌گردد.

مزایای استفاده از Cisco ACI در رفع مشکلات امنیتی

Cisco ACI  به چالش‌های امنیتی و تطبیق‏ پذیری دیتاسنترهای نسل بعدی (Next-Generation Data Center) و محیط‌های Cloud می‌پردازد. درواقع با انتقال سازمان‌ها به نسل جدید دیتاسنترها و محیط‌های  Cloud، خودکارسازی  Policyهای امنیتی مستلزم پشتیبانی از شرایط آماده‌سازی برحسب تقاضا و مقیاس‌پذیری دینامیکِ برنامه‌های کاربردی می‌باشد و از طرفی مدیریت امنیت بصورت دستی و مبتنی بر تجهیزات، مستعد بروز خطا و ناامنی است. هنگامی که حجم کاری برنامه در یک محیط دیتاسنتری اضافه، اصلاح و یا جابجا می‌شوند، Policyهای امنیت می‌بایست با  Endpointهای برنامه‌کاربردی تطابق یابند زیرا ایجاد و حذف  Policyهای پویا برای تضمین ترافیک سراسری و کنترل تحرک‌پذیری (Mobility) برنامه‌کاربردی ضروری می‌باشد. اصولا قابلیت دید نسبت به ترافیک، به منظور شناسایی و کاهش حملات پیشرفته‌ی هدفمند و ایمن‌سازی Tenantها، بسیار مهم می‌باشد.

Cisco ACI Security  برای نسل جدید  دیتاسنترها و Cloud

Cisco ACI  جهت رفع نیازهای امنیتی  Data Centerهای نسل بعدی و محیط‌های Cloud از یک رویکرد جامع مبتنی بر سیستم استفاده می‌نماید که برخلاف راهکارهای جایگزین امنیتی شبکه‌های مجازی‌سازی شده مبتنی بر Overlay ، که قابلیت دید و مقیاس‌پذیری محدودی ارائه می‌دهند و نیازمند مدیریت جداگانه تجهیزات شبکه Underlay (زیرلایه) و Overlay (هم‌پوشانی) و Policyهای امنیت می‌باشد. راهکار امنیتی Cisco ACI علاوه بر تطابق‌پذیری، کاهش خطر منافذ امنیتی را تضمین می‌نماید و با استفاده از یک رویکرد برنامه‌محور و مدل مشترک عملیاتی مبتنی بر Policy، بطور ویژه‌ای نیازهای امنیتی  Data Centerهای نسل بعدی را برآورده می‌نماید.

فراهم نمودن امکان مدیریت یکپارچه امنیت  Policy  توسط  Cisco ACI Security، از طریق به اجرا درآوردن پالیسی‌ها در هر جایی از دیتاسنتر و بر روی تمامی   WorkLoadهای واقعی و مجازی ایجاد شده است. این راهکار، روند خودکارسازیِ کاملی را از لایه ۴ تا ۷ پالیسی‌های امنیت ارائه داده و همزمان با فراهم نمودن قابلیت دید عمیق، تطابق خودکار Policy و تشخیص سریع و کاهش تهدیدات، از استراتژی Defense-In-Depth نیز پشتیبانی می‌نماید. Cisco ACI تنها رویکردی است که با ارائه بخش‏بندی که Dynamic بوده و برنامه‌محور می‌باشد، بر برنامه‌کاربردی تمرکز دارد.

مزایای اصلی  Cisco ACI Security

در ادامه به بررسی بیشتر ویژگی‌ها و مزایای اصلی Cisco ACI Security می‌پردازیم:

  • ارائه مدل Policy برنامه‌محور

فراهم نمودن دیدکلی سطح بالا توسط  Cisco ACI، با استفاده از گروه‌های Endpoint یا به اختصار EPG صورت می‌گیرد و برای انجامPolicy های ساده‌تر، نسبت به توپولوژی شبکه باید از زبان برنامه‌های کاربردی بیشتری استفاده نماید. رویکرد Policy  مبتنی بر Whitelist   در Cisco ACI  مسدود نمودن ترافیک میان  EPGها از مدل Zero-Trust پشتیبانی می‌نماید مگر اینکه یک Policy دقیقا اجازه ترافیک میان EPGها را صادر نماید.

  • یکپارچه‌سازی مدیریت Policy امنیتی لایه‌های ۴ تا ۷

Cisco ACI، پالیسی‌های امنیتی لایه‌های ۴ تا ۷ را در ساختار یک برنامه‌کاربردی، بصورت مرکزی مدیریت و خودکارسازی می‌نماید و این کار را با استفاده از یک مدل Policy مبتنی بر برنامه‌ و بصورت یکپارچه و از طریق مرزهای واقعی و مجازی و همچنین تجهیزات Third-Party، انجام می‌دهد. این رویکرد موجب کاهش پیچیدگی عملیاتی و افزایش چابکی IT، بدون ایجاد تهدیدات امنیتی می‌شود.

  • بخش‌بندی مبتنی بر Policy

Cisco ACI   بخش‌بندی (Segmentation) دقیق و منعطف  Endpointهای فیزیکی و مجازی را براساس  Policy Groupها  فراهم نموده و در نتیجه موجب کاهش محدوده‌ی تطبیق‌پذیری و خطرات امنیتی می‌گردد.

  • تطبیق‌پذیری خودکار

Cisco ACI   تضمین می‌نماید که پیکربندی در این ساختار همیشه با Policyهای امنیتی مطابقت داشته باشد و Cisco APIها بتوانند برای استخراج Policy و Audit Logها از Application Policy Infrastructure Controller یا به اختصار APIC استفاده نموده و گزارشات تطبیق‏پذیری را ایجاد نمایند که به عنوان مثال می‌توان به گزارش تطبیق‏پذیری PCI اشاره نمود. این ویژگی موجب ارزیابی ریسک در IT به صورت Real-Time شده و خطر عدم تطابق‌پذیری برای سازمان‌ها را کاهش می‌دهد.

  • امنیت یکپارچه در لایه ۴ برای ترافیک‌های درون دیتاسنتر بین سرورها

ساختار Cisco ACI  شامل یک فایروال Stateless لایه ۴ توزیعی به صورت Built-In می‌باشد تا ترافیک بین سرورها رادرون یک دیتاسنتر میان اجزاء برنامه کاربردی و تمامی  Tenantها در یک دیتاسنتر ایمن نماید.

  • چارچوب Open Security

Cisco ACI   به منظور پشتیبانی از درج سرویس‌های پیشرفته برای خدمات امنیتی لایه‌های حساس ۴ تا ۷ در جریان ترافیکی برنامه‌کاربردی، صرف‌نظر از مکان آن‌ها در دیتاسنتر، چارچوب Open Security (شامل APIs و پروتکل OpFlex) ارائه می‌دهد.

این سرویس‌ها شامل موارد زیر می‌باشد:

  • Intrusion Detection Systems یا به اختصار IDS
  • Intrusion Prevention Systems یا به اختصار IPS
  • سرویس‌های فایروال نسل بعدی یا به اختصار NGFW مانند Cisco Adaptive Security Virtual Appliance یا به اختصار ASAv،Cisco ASA 5585-X Adaptive Security Appliance  و تجهیزات امنیت Third-Party می‌باشند.

لازم به ذکر است این ویژگی موجب استراتژی امنیتی Defense-In-Depth و حفاظت از سرمایه‌گذاری خواهد شد.

  • قابلیت دید عمیق و تشخیص سریع حملات

با استفاده از این قابیلت Cisco ACI می‌تواند داده‌های زمان بروز ترافیک شبکه را جمع‌آوری نمود و از شمارنده‌های اتمی به منظور ارائه هوشمندی در شبکه به صورت Real-Time و فراهم نمودن قابلیت دید عمیق به تمامی مرزهای فیزیکی و مجازی شبکه، پشتیبانی می‌نماید. این ویژگی موجب تشخیص سریع حملات در اوایل چرخه حمله می‌شود.

  • پاسخ خودکار به مشکلات

Cisco ACI   از قابلیت پاسخ‌گویی خودکار به تهدیدات شناسایی شده در شبکه پشتیبانی می‌نماید و این کار را با استفاده از Northbound APIها انجام می‌دهد که امکان ادغام با پلتفرم‌های امنیتی را فراهم می‌سازد.

 

 

 

گزارش Gartner برای تجهیزات UTM

گزارش Gartner در سال ۲۰۱۷ برای تجهیزات UTM منتشر گردیده است و باز هم طبق معمول و برای هشتمین سال متوالی Fortigate در جایگاه نخست قرار گرفت.
اما آنچه در این گزارش قابل توجه است نقطه ضعف های سایر vendor ها می باشد . نکته دیگر پایین آمدن جایگاه برخی محصولات مانند Juniper است. اما آیا همه چیز درست نوشته شده است :
در مورد محصول Cisco ، بزرگترین ایراد عدم وجود راه کار مناسب Antivirus می باشد. البته این موضوع کاملا درست است. راه کار فعلی ارائه AMP می باشد که در این راه کار Hash مربوط به فایل ها برای سرور AMP فرستاده می شود تا بررسی شوند و راه کار مبتنی بر signature و یا heuristic در این محصول وجود ندارد. شرکت سیسکو هم اصلا استراتژی در این مورد ندارد. مشکل دیگر این است که Cisco امکان اسکن ترافیک web را فقط دارد و سایر ترافیک ها مانند SMTP در آن دیده نشده است که باز هم ایراد درستی می باشد. نکته دیگر کاهش ظرفیت پردازش و توان تجهیزات است که در محصولات Cisco نسبت هزینه به کارآمدی پایین است. هر چند اعداد اعلام شده توسط فورتی نت کاملا درست نمی باشد اما تا حدی این مقایسه صحیح است. یکی از نقاط مثبت محصول سیسکو هم مدیریت آن می باشد و در محصول FireSight انجام می شود . این مزیت نسبت به سایر رقبا واقعا قابل توجه است. البته یکی دیگر از نقاط این محصول قابلیت Integration آن با سایر محصولات سیسکو و غیر سیسکو می باشد.
محصول بعدی که با کاهش رتبه شدیدی روبرو شده است ، سری SRX شرکت Juniper Networks می باشد. بزرگترین و مهم ترین مشکل این محصول سهولت در کاربری می باشد. رابط کاربری این محصول بسیار ضعیف است و انجام تنظیمات از طریق دستور کمی سخت است. در طی این چند سال شرکت Juniper محصولاتی مانند Junos Security Director را ارائه کرده است تا این مشکل برطرف شود اما متاسفانه موفق نبوده است و دلیل مهم آن پرداخت هزینه مجزا است. دیگر مشکل آن عدم وجود تنوع در سری SMB و Mid-Size اعلام شده است که خوب به تازگی این شرکت سری جدید از محصولات SRX مانند سری ۳۰۰ را ارائه کرده است. به علاوه ، integration این محصولات با سایر محصولات ضعیف است و شرکت juniper نیز تعدد محصول زیادی در حوزه امنیت ندارد و این استراتژی کاملا برخلاف سیسکو و فورتی نت است. یکی دیگر از مشکلات این محصول برخورد ضعیف با End Point می باشد. محصولات AMP و FortiClient در محصولات Cisco و Fortinet توانسته اند این نیاز را پوشش دهند.

اما بازار این محصولات در ایران چگونه خواهد بود ؟

استفاده از سرویس های cloud-based در ایران یکی از مشکلات قابل توجه است. در چنین وضعیتی محصولاتی مانند Cisco که بخش های مهمی از عملکرد محصول خود را در این راستا ایجاد کرده اند با مشکل مواجه خواهند شد. بویژه این مشکل خود را در شبکه های ایزوله و air-gap نمایان خواهد کرد. ساختار جدید Licesing شرکت سیسکو تحت عنوان Smart Licensing نیز مشکل دیگر برای رقابت محصولات سیسکو در ایران محسوب حواهد شد.
محصول SRX شرکت جونیپر همچنان محبوبیت حود را داراست . البته در شبکه های بزرگ و با سیاست های امنیتی متعدد کمتر شاهد حضور این محصول هستیم. مشکل بروزرسانی و اتصال به cloud این شرکت مانند سایر محصولات منجر به block شدن نمی شود و خوب این یک مزیت امنیتی قابل توجه است.
و ظاهرا محصول شرکت Fortinet نیز همچنان محبوب ترین محصول در ایران می باشد

دستورات مهم برای افزایش امنیت تجهیزات سیسکو

ایجاد امنیت در تجهیزات سیسکو در این مقاله سعی شده است با یک بیان خیلی ساده ۱۰ دستور ابتدایی سیسکو جهت بالابردن امنیت تجهیزات cisco را به شما معرفی کنیم . این نکته را فراموش نکنید این دستورات درعین سادگی خیلی مهم هستند و عدم رعایت این موارد ممکن است باعث صدمات بسیار جدی به شبکه شما شود.

 

۱- تعیین طول پسورد

با استفاده از دستور زیر شما می توانید طول پسوردهای ورودی در سیسکو را مدیریت کنید. این نکته لازم به ذکر است که سعی کنید حداقل از طول ۸ کارکتر جهت بالا بردن امنیت تجهیزات خود استفاده نمایید.

(Router (config) #security passwords min-length 8 ( Minimum length of all user/enable passwords

طول پسورد را می توان از صفر تا ۱۶ کاراکتر مشخص کرد.

۲- استفاده از دستور Enable Secret

همانظور که می دانید یکی از دستوراتی که خیلی در پیکربندی تجهیزات سیسکو استفاده می شود دستور  enable password  است اما به علت مشکل امنیتی و عدم کد گذاری پسورد پیشنهاد می شود از دستور Enable Secret  استفاده کنید.

*Router (config) #enable secret cisco123

 

۳- قراردادن پسورد درراه های دسترسی به تجهیزات

ما جهت دسترسی به تجهیزات سیسکو روش های مختلفی از قبیل vty , Comsole , aux … داریم که برای بالا بردن امنیت تجهیزات سیسکو خود می بایست پسورد مناسبی جهت دسترسی به آن ها قرار دهیم تا از دسترسی افراد سودجو به تجهیزات جلوگیری کنیم.

۴- فعال سازی سرویس کدگذاری پسوردها

با استفاده از سرویس password encryption  به صورت خودکار تمام رمزهای مشخص شده کد گذاری می شوند.

Router (config) #service password-encryption

 

۵- غیرفعال کردن Password Recovery

همانطور که می دانید امکان Password Recovery در محیط Rommon در تجهیزات سیسکو وجود دارد که این قابلیت در محیط های که تجهیزات در محیط های امنی از لحاظ فیزیکی وجود ندارند می تواند بسیار خطرناک باشد زیرا هکر به راحتی می تواند با استفاده از این قابلیت به تجهیزات ما دسترسی پیدا کند. با استفاده از دستور زیر می توانید این قابلیت را غیر فعال کنید.

 

Router (config) # no Service Password Recovery

 

۶- محدودیت در تعداد دفعات وارد کردن پسورد

یکی از روشهای هک استفاده از حملات کرکینگ است که در این روش هکر به صورت مکرر از یک دیکشنری جهت وارد کردن پسورد استفاده می کنند از این رو ما باید برای ورود پسوردها محدودیت ایجاد کنیم برای این امر از دستور زیر استفاده می کنیم.

 

Router (config) # Security authentication failure rate 5  

 

با توجه به دستور بالا اگر ۵ بار پسورد اشتباه زده شود ۱۵ ثانیه وقفه در دادن پسورد ایجاد می شود.

 

۷- محدودیت زمان کار نکردن کاربر با تجهیزات

(Router (config) #line console 0 (Vty or Aux 

(Router (config-line) #exec-timeout 2 (Min) 30 (Sec

 

با توجه به دستور بالا در صورتی که کاربر ۲ دقیقه ۳۰ ثانیه کانفیگی انجام ندهد ارتباط قطع می شود و باید مجددا متصل شویم.

 

۸- محدودیت تعداد دفعات لاگین اشتباه در یه بازده زمانی خاص

Router (config) #login block-for 30 attempts 5 within 10

 

در کد بالا اگر کاربری در ۱۰ ثانیه ۵ بار اشتباه پسورد را وارد کند به مدت ۳۰ ثانیه بلاک می شود.

 

۹- مخفی کردن فایل Boot

جهت بالابردن امنیت تجهیزات سیسکو ، فایل boot خود را با استفاده از دستور بالا می توانید مخفی کنید.

 

Router(config)#secure boot-image

 

۱۰- ایجاد پشتیبان مخفی از کانفیگ تجهیزات

Router(config)#secure boot-config

 

جهت نمایش فایل های مخفی می توانیم از دستور زیر استفاده کنیم.

 

Router # show secure bootset

 

 

منبع : nooran.com

 

 

سیسکو pxGrid

pxGridسیسکو

 یکپارچگی تکنولوژی های امنیتی با pxGride

 

با استفاده از پلتفرم Cisco pxGrid  یا Platform Exchange Grid ، محصولات امنیتی مختلف شما به راحتی قادر هستند که با یکدیگر تبادل اطلاعات نمایند و اطلاعات را به اشتراک بگذارند. Cisco pxGride پلتفرم باز، مقیاس‌پذیر و بر اساس استاندارهای IETF می‌باشد که دارای قابلیت کنترل تهدیدات و اشتراک‌گذاری داده‌ها است. این پلتفرم بستری را فراهم می‌نماید عملیات امنیتی نیز می‌توانند از قابلیت خودکار‌سازی بهره گیرند تا سریع‌تر به پاسخ‌ها دست یافته و از تهدیدات جلوگیری کنند.

 

قابلیت ها و مزایا

یکپارچه‌سازی ساده‌تر

این پروفایل از یک API برای باز نمودن، اشتراک‌گذاری داده‌ها و کنترل بیش از ۵۰ محصول امنیتی استفاده می‌نماید.
Cisco pxGrid کمک می‌نماید تا یک اکوسیستم کامل از تکنولوژی‌هایِ سازگار و مطابق با استانداردهای غیرمشابه IETF در کنار هم کار کنند. بنابراین کاربر می‌تواند به جای مجموعه‌ای از APIهای غیرمرتبط صرفا از یک واسط کاربری واحد استفاده نموده و آن را حفظ نماید.

قابلیت دید سریع برای بهروری بالاتر

کلیه داده‌های ساختاری و مرتبط را در یک صفحه واحد ارائه می‌نماید. ضمن اینکه علاوه بر امکان سفارشی‌‌سازیِ نحوه اشتراک و نمایش داده‌های امنیتی، می‌توان وضعیت امنیتی از جمله رویدادهای آتی را با وضوح و دقت بیشتری مشاهده نمود و کارایی کارکنان را بهبود بخشید.

مهار سریع تهدید

با استفاده از Cisco pxGrid، تحلیل کاملی بر روی سیستم جهت دستیابی به پاسخ‌‌های سریع اجرا می‌گردد. هوشِ امنیتی را می‌توان به صورت خودکار بین همه تکنولوژی‌های یکپارچه‌سازی شده‌ی pxGrid به صورت مجازی به اشتراک گذاشت. ضمن اینکه ضرورتی برای بررسی‌های طولانی مدت توسط کاربر وجود ندارد و می‌توان عملیات‌های امنیتی را در زمان کمتری به نتیجه رساند.

 

دستیابی به پاسخ‌های سریع‌تر

با pxGrid امکان توقف سریع تهدیدات با استفاده از بستر شبکه فراهم می‌گردد.  به هر یک از تکنولوژی‌های یکپارچه و دارای قابلیت بر روی Instanceهای خود اجازه می‌‌دهد تا Cisco Identity Services Engine یا به اختصار ISE را برای دربرگرفتن تهدیدات هدایت نماید تا بدین ترتیب بتوان هر نوع حمله‌ای در شبکه را متوقف نمود.

تکنولوژی‌های مبتنی بر استانداردهای صنعتی

Cisco به عنوان یکی از اعضای گروه IETF متعهد شده است تا هوشمندی سیستم به اشتراک گذاری را به صورت ایمن، باز و مقیاس‌پذیر به تولید کند. pxGrid و تکنولوژی‌های آن مطابق با استانداردهای مورد نظر می‌باشند.
Cisco همواره در IETF ، SACM (Secure Automation and Continuous Monitoring) ، MILE (Managed Incident Lightweight Exchange) شرکت میکند.

اجزای Cisco pcGrid

ناظر pxGrid

این ناظر می‌تواند اتصالات بین پلتفرم‌ها را تنظیم نماید. ضمن اینکه اطلاعات متنیِ قابل اشتراک بین این پلتفرم‌ها را نیز تعیین می کند. این عملکرد کنترل از طریق Cisco ISE ارائه می‌گردد.

عامل اتصال در pxGrid

این عمل در پلتفرم ادغام می‌شود تا با ناظر pxGrid مرتبط گردد. پلتفرم Cisco pxGrid به تنظیم اطلاعات قابل اشتراک و تعیین سایر پلتفرم‌های امنیتی می‌پردازد.

تکنولوژی های Cisco

در میان API های چندگانه بیش از ۱۰ محصول Cisco از فرایند یکپارچه‌سازی با محصولات دیگر سیسکو و تکنولوژی‌های مرتبط پشتیبانی می نمایند

Cisco DevNet

توسعه دهندگان سرویس‌های سیسکو به تسهیل فرایند یکپارچه‌سازی محصولات با کیفیت، از قبیل اعتبارسنجی و صدور گواهینامه با این پلتفرم می‌پردازند.

پشتیبانی فنی

سرویس‌های پشتیبانی سیسکو به سایر شرکای امنیتی سازمان‌ها در رفع چالش‌های مربوط به یکپارچه‌سازی کمک می‌نماید.

امروز اقدام به یکپارچه سازی و افزایش امنیت سازمان خود کنید

برخی از محصولات امنیتی قابلیت ادغام با Cisco pxGrid را دارند، که جهت شناسایی آنها می‌توان به وبسایت Cisco مراجعه نمود.