İçereği Atla

Cisco ISE(Identity Services Engine)Nedir?

Modern ağ altyapıları, IoT (Nesnelerin İnterneti) cihazlarının, kişisel cihazların (BYOD) ve farklı kullanıcı rollerinin artışıyla birlikte, geleneksel IP adresi tabanlı (Layer 3) güvenlik modellerinin ötesine geçme zorunluluğuyla karşı karşıyadır. Bu ortamda, bir kaynağın ağ erişiminin, sadece IP adresine değil, kimliğine, cihaz türüne ve güvenlik duruşuna bağlı olması hayati önem taşır. Bu makale, kimliğe dayalı erişim kontrolünün temelini oluşturan IEEE 802.1X protokolü ile bu politikaları merkezi olarak uygulayan Cisco Identity Services Engine (ISE) platformunun entegre çalışma mimarisini detaylandırmaktadır.
3 Aralık 2025 yazan
Cisco ISE(Identity Services Engine)Nedir?
Ayşe CAN
 
  1. Cisco Identity Services Engine (ISE) Nedir?

  2. Cisco Identity Services Engine (ISE), ağ erişimini merkezileştiren ve politikaya dayalı kontrol sağlayan bir platformdur. Ağdaki tüm kaynaklar için AAA (Authentication, Authorization, Accounting) hizmetlerini sağlamakla yükümlüdür.

    Fonksiyonları ve Rolü

    1.  Authentication (Kimlik Doğrulama): Ağa bağlanmak isteyen bir cihazın veya kullanıcının kimliğini doğrular (Örn: Active Directory, Sertifika).
    2. Authorization (Yetkilendirme): Doğrulanan kimliğe (rol/cihaz türü) göre ağ içinde hangi kaynaklara, ne zaman ve nasıl erişebileceğine dair kararı verir.
    3.  Accounting (Muhasebeleştirme): Erişim oturumlarını (başlangıç/bitiş zamanı, kullanılan veri) loglayarak denetlenebilirlik sağlar.
  3. Kurumsal ölçekte süreklilik ve performans için ISE, iş yükünü farklı rollere ayırır: Policy Administration Node (PAN) yönetim arayüzünü, Policy Service Node (PSN) ise tüm AAA hizmetlerini sunarak doğrudan ağ cihazlarıyla etkileşim kurar.

  4. Ağ Erişim Kontrolünün Temeli: IEEE 802.1X

  5. ISE'nin ağ erişim kontrolündeki temel dayanağı, Layer 2 erişimini kontrol eden IEEE 802.1X standardıdır. Bu protokol, erişim sürecinde üç temel rol tanımlar:

    1. İstek Sahibi (Supplicant): Ağa bağlanmak isteyen uç cihazdır (kullanıcı bilgisayarı, yazıcı vb.).
    2. Kimlik Doğrulayıcı (Authenticator): Erişim noktasını kontrol eden ağ cihazıdır (Switch veya WLC). Kimlik bilgisi doğrulanana kadar port erişimini kısıtlar.
    3. Kimlik Doğrulama Sunucusu (ISE): Merkezi karar verme mekanizmasıdır.
  6. Dinamik Politika Uygulaması ve Yetkilendirme

ISE'yi geleneksel RADIUS sunucularından ayıran en kritik fark, yalnızca kimlik doğrulamak yerine, bağlama dayalı dinamik yetkilendirme yeteneğidir.

    1. Bağlam (Context) Tabanlı Karar Mekanizmaları

    2.  Cihaz Profilleme: ISE, DHCP, HTTP User-Agent gibi ağ trafiği özniteliklerini analiz ederek bir cihazın türünü (Örn: Cisco IP Telefonu, Linux Sunucu) otomatik olarak belirler ve kararı bu profile göre verir.

       Postür (Posture) Kontrolü: Ağ erişiminden önce cihazın güvenlik uygunluğunu (anti-virüs imzaları, yama seviyeleri) kontrol ederek, yalnızca güvenli cihazların tam ağ erişimine izin verilmesini sağlar.

    3. Dinamik Yetkilendirme Sonuçları

    4. Başarılı kimlik doğrulaması sonrası ISE, ağ cihazına gönderdiği RADIUS Access-Accept mesajı içinde, uygulayacağı dinamik talimatları (Yetkilendirme Profilleri) bildirir:

      VLAN Ataması: Kullanıcının rolüne göre porta dinamik olarak farklı bir VLAN ID atanması.

      dACL Uygulaması: Kullanıcının oturumu için porta Dinamik ACL (dACL) uygulanarak erişim kısıtlamalarının tanımlanması.

      SGT Ataması (TrustSec): Ağ cihazının Layer 3'ten bağımsız, kimliğe dayalı Güvenlik Grubu Etiketi (Security Group Tag) ataması yaparak, rol tabanlı segmentasyona olanak tanıması.

    5. Gerçek Zamanlı Güvenlik (Change of Authorization - CoA)

CoA, ISE'nin reaktif güvenlik yeteneğini temsil eder. Bir cihazın ağdaki durumu (örneğin, Postür kontrolü başarısız oldu veya tehdit algılandı) değiştiğinde, ISE, RADIUS CoA mesajı göndererek ağ cihazına anında oturumu sonlandırma veya yeni, kısıtlayıcı bir yetkilendirme politikası uygulama talimatını verir.

Sonuç

Cisco ISE ve 802.1X entegrasyonu, ağ erişimini pasif bir kontrol noktasından, sürekli doğrulama gerektiren dinamik bir karar noktasına dönüştürmüştür. ISE, her erişim isteğini şüpheli kabul eden ve en az ayrıcalık ilkesini uygulayan Sıfır Güven (Zero Trust) felsefesinin hayata geçirilmesinde temel bir bileşen olarak görev yapar. Bu sayede kurumsal ağlar, yalnızca "Kimsiniz?" sorusunu değil, aynı zamanda "Neredesiniz, cihazınız güvenli mi ve ne yapmaya çalışıyorsunuz?" sorularını da yanıtlayarak güvenlik duruşlarını güçlendirirler.

inç Network
Cisco ISE(Identity Services Engine)Nedir?
Ayşe CAN 3 Aralık 2025
Bu gönderiyi paylaş
Etiketler
Arşivle
Giriş to leave a comment