Cisco ISE (Identity Service Engine) : Pengertian

No comments
cisco ise

Menggunakan.id – Jumpa lagi dengan kami dari blog menggunakan.id, kali ini kita akan membahas pengertian tentang Cisco ISE. Bagi yang belum tahu apa itu Cisco ISE (Identity Service Engine) ?

Pengertian Cisco ISE (Identity Service Engine)

cisco ise

Merupakan Sebuah solusi yang cocok untuk bagi perusahaan enterprise dalam menegakkan peraturan , meningkatkan keamanan infrastruktur, dan merampingkan operasi layanan karena memiliki kemampuan mengumpulkan informasi secara real-time dan secara proaktif menegakkan kebijakan security dalam infrastruktur . Secara umum, Cisco ISE menggabungkan layanan AAA (Authentication, Authorization, dan Accounting), posture, profilling dan layanan manajemen guest dalam suatu platform tunggal. Administrator dapat secara terpusat membuat dan mengatur kebijakan akses kontrol terhadap pengguna dan perangkat jaringan. Selain itu, Cisco ISE dapat secara otomatis mengenali dan mengklasifikasi perangkat, hak akses user berdasarkan profile-nya dan kebijakan security yang harus dipenuhi oleh perangkat yang bersangkutan.

Fitur – fitur yang dimiliki Cisco ISE

Cisco ISE Appliance mempunyai fitur-fitur sebagai berikut:

  • Otentikasi dan Otorisasi terhadap pengguna endpoint sesuai dengan group-nya.
  • Posture Assessment adalah melakukan validasi endpoint terhadap sistem operasi yang digunakan service pack, hotfixes, versi antivirus, software security lain, registry, termasuk proses-proses yang boleh atau tidak boleh berjalan pada endpoint. Aturan-aturan dalam melakukan posture assessment bisa berbeda antara 1 group dengan group yang lainnya. Aturan untuk posture assessment, seperti hotfixes, service pack, versi antivirus, dapat diperbaharui secara otomatis dan reguler dari pihak Cisco.
  • Quarantine adalah aturan sementara yang diberikan pada endpoint yang tidak memenuhi aturan kebijakan keamanan jaringan pada saat dilakukan posture assessment.
  • Automatic remediation adalah kemampuan memberikan layanan penyembuhan secara otomatis terhadap endpoint yang tidak memenuhi aturan kebijakan keamanan jaringan yang ditetapkan, sebagai contoh pengguna endpoint dapat dibimbing langkah demi langkah agar dapat memenuhi kriteria posture assessment tanpa perlu membutuhkan pengetahuan khusus.
Baca juga :  Pengertian Firewall : Jenis, Fungsi, dan Cara Kerja

Cisco ISE Technologies

Cisco ISE ini menggunakan 802.1x authentication untuk menjalankan fungsi seperti di bawah ini :

  • Guest Access : Untuk membedakan Guest dan Production ketika user terkoneksi dengan jaringan baik menggunakan wired maupun wireless.
  • Profiler : Sebagai identity network sesuai dengan perangkat yang digunakan. BYOD (Bring Your Own Device) service.
  • Posture : Digunakan sebagai security di setiap perangkat yang telah terdaftar dengan network (Trusted Device) agar tidak di salah gunakan. Contoh nya perangkat PC inventaris kantor tidak bisa mengakses – server tertentu.
  • MACsec : Untuk mengEnkripsi informasi pada layer 2 seperti Mac Address.
  • Security Group Access (SGA) : Agar lebih mudah enfore policy ke beberapa orang. Contohya Grouping User.
  • IdentityBased Firewall : Untuk mengintegrasikan Firewall Policy kedalam / Machine.

Cisco ISE Encrypted Communication

Komunikasi Cisco ISE menggunakan EAP (Extensible Authentication Protocol). Lebih tepatnya EAPOL (EAP over LAN, soalnya EAP sendiri bukan protocol, it’s a framework) yang digunakan oleh 802.1x.

EAPOL (EAP over LAN) sendiri memiliki protocol yang isinya 3 personel yaitu :

  • Supplicant
  • Authenticator
  • Authentication Server

Cisco ISE Service

Service dari Cisco ISE dibagi menjadi 3 bagian, yaitu :

  • Administrasi : Untuk melakukan Configurasi Policy.
  • Policy Services : Untuk menentukan policy yang cocok untuk diterapkan ke user/machine (berdasarkan parameter – parametet tentunya).
  • Monitoring : Untuk memonitoring services dan syslog server.
Baca juga :  Jaringan Komputer Global: 4 Manfaat dan Beberapa Cara Kerjanya!

Cisco ISE ini Support Internal Authentication (di Server ISE itu sendiri) dan External Authentication (sync dengan ActiveDirectory maupun LDAP)

*untuk ActiveDirectory, perbedaan waktu antara dia dan ISE maximum 5 menit (NTP Server is a must), tidak support NAT (Network Address Translation), dan beberapa harus dibuka (disisi FIREWALL-nya), dan ActiveDir juga bisa diakses secara LDAP (bukan )

*konsekuensinya : Slower performance, attribute untuk sync sedikit, tapi bisa join multiple directories (kalau native cuma 1 single directory dan searchnya bisa up and down the directory tree).

Policy Elements dalam Cisco ISE

Terdapat 3 bagian Policy Elements diantara lain :

  • Condition
    • Simple Condition : [DICTIONARY][OPERAND][VALUE]

      “Contoh: [device type=android] [EQUALS] [WIRELESS] = RESULT [apply web authentication]”

    • Compound Condition : 2 simple condition atau lebih yang digabung dengan OPERAND [AND atau OR]
  • Dictionary : Berisi list apa saja yang mau di authentication, author, dan accounting.
  • Results : Efek dari condition yang match, bisa di setujui / allow masuk ke dalam jaringan, dapat diberikan ACL, atau bisa enforce end device untuk instalasi agent seperti Cisco AnyConnect.

Cisco ISE with TrustSec

Apa sih Cisco TrustSec itu? Sebuah cara dari Cisco agar setiap traffic diberi TAG (stempel), jadi setiap NAD (Network Access Devices) dapat menentukan ACL mana yang akan dipakai secara appropriate.

System Cisco TrustSec itu mengubah security jaringan menjadi Role-Based. Contoh : Marketing hanya bisa akses marketing data, Engineer bisa akses semua.

Key dari TrustSec itu ada 3 yaitu :

  • SGT (Security Group Tag) : begitu traffic masuk (ingress) ke dalam port switch (yang bisa 802.1x), traffic itu akan diberikan tag ( Tag, bedanya ini untuk security ACL)
  • SGACL (Security Group ACL) : SGT yang masuk ke switch (contoh SGT dengan TAG value 3) akan meneruskan ke Radius Server (ISE), berdasarkan tag yang ada di server, TAG nomor 3 dimapping dengan SGACL nomor 3. Contoh : hanya di permit untuk masuk marketing server), nanti di push itu dACL ke dalam switch.
  • 802.1AE (MACsec) : Untuk mencegah hacker intercept data di layer 2 (termasuk ngakalin SGT nya), maka traffic antar switch di enkripsi.
Baca juga :  DoodStream Search Engine: 3 Cara Mudah Menemukan dan Menonton Video Online

Cisco ISE Posture and Profile Services

Cisco ISE bisa mendeteksi “posture” client sebagai berikut :

  • Deteksi OS apa yang dipakai
  • Deteksi Anti-Virus apa yang dipakai
  • Deteksi akses jaringan mana yang dipakai (wire/wireless)
  • Deteksi “health” dari end device kita (recently updated OS/Anti-Virus or not)
  • Dan lain -lain.

Nah, berdasarkan posture ini kita bisa nyuruh ISE untuk enfore policy ke client/user, seperti :

sory, user dengan WinXP tidak boleh masuk ke jaringan” (banyak bug)

anti-virusnya tolong update dulu…baru bisa masuk ke jaringan

tolong pake AnyConnect untuk masuk ke jaringan

dilarang pake Internet Explorer untuk browsing ke ISE atau ke Web2 tertentu

“Dan lain – lain.”

Nah, kalau aturan – aturan tersebut match/compliant, grant access, Kalau non-compliant, Enforce security policy.

Dari sini kita bisa mengambil kesimpulan bahwa di Cisco ISE kita bisa membuat Parent Profiling, contohnya : Apple Device, check apakah mac address/OUI dari device ini benar – benar dari Apple) dan membuat Child Profiling, contoh : berdasarkan Parent profile bernama “Apple Device”, kita pengen lebih specific seperti mengetahuin jenis detail arsitektur perangkat.

Also Read

Bagikan:

Leave a Comment