آموزش CCNAآموزش شبکهسیسکو

آموزش CCNA : معرفی استاندارد ۸۰۲٫۱X

استاندارد IEEE 802.1X استانداردی است برای شبکه های مبتنی بر پورت PNAC – port-based Network Access Control و بخشی ازگروه پروتکل های استاندارد IEEE 802.1 را که از پروتکل های شبکه است را تشکیل می دهد و هدف از ارائه این استاندارد بهبود شبکه امنیت میباشد و اساس کار آن شناسایی کاربرانی می باشد که قصد اتصال به شبکه های محلی از نوع LAN Local Area Network و WLAN Wireless Local Area Network را دارند.

دلیل استفاده از استاندارد ۸۰۲٫۱X در شبکه؟

802.1x port control
802.1x port control

استفاده از شبکه‌های LAN و آسیب‌پذیر بودن امنیت آنها نسبت به حملات مختلف، در لایه ۲ باعث شد تا سازمان IEEE به فکر بوجود آوردن پروتکل‌ها و استانداردهای امنیتی متعددی به منظور امن کردن این لایه باشد. هرچند استفاده از MAC Address Filtering و Access control list ACL میتواند موثر باشد اما این راه کارها برای شبکه های بزرگ که تعداد زیادی کاربر در آن وجود دارد و حتی computer Mobile ها در شبکه های wireless که کنترل آنها بسیار سخت می باشد تقریبا غیر ممکن است. استاندارد IEEE 802.1X شناسایی کاربران را بر اساس پورت متصل شده به شبکه با استفاده از Authentication server هایی مانند:

  • (CISCO ACS (Cisco Secure Access Control Server
  • (NAC (Network Access Control
  • (RADIUS (Remote Authentication Dial in User Service
  • و…

ارائه می‌دهد و در این مقاله به توضیح شناسایی هویت کاربران بوسیله این استاندارد و نحوه اتصال آنها به شبکه می پردازیم.

منظور از استفاده از احراز هویت مبتنی بر پورت در استاندارد IEEE 802.1X چیست؟

از آنجایی که پورت نقطه‌ی اتصال کاربر به شبکه است، می‌توان از آن به عنوان یک مکان منطقی برای کنترل دسترسی کاربران استفاده کرد. بنابراین، با کنترل نقاط اتصال کاربران به شبکه، می‌توان محیط شبکه‌ی کاربر، نیازها و مجوزهای دسترسی او را به صورت شخصی بیان کرد. استاندارد IEEE 802.1X از این مفهوم برای احراز هویت کاربران خود استفاده می‌کند.

نحوه شناسایی کاربران در استاندارد ۸۰۲٫۱X

تصور کنید یک کاربر وارد سازمان ما می گردد و میخواهد به شبکه متصل شود به محض اینکه کاربر کابل ارتباطی خود را به سوکت شبکه متصل میکند اتفاقاتی که رخ می دهد به بدین صورت می باشد:

802.1X wired protocols - آموزش CCNA : معرفی استاندارد 802.1X

۱- به محض شناسایی یک کاربر جدید روی پورت سوییچ، قبل از اینکه کامپیوتر بتوانند به شبکه متصل گردد حالت شناسایی کاربر فعال شده و پورت به حالت Unauthorized تنظیم می شود یعنی از ورود و خروج ترافیک های عمومی مانند DHCP, DNS و … جلوگیری می کند و فقط اجازه عبور به پروتکل هایی که برای مشخص کردن هویت کار بر می باشد می دهد مانند: Extensible Authentication Protocol EAP، را می دهد البته این پروتکل EAP به تنهایی نمی‌تواند به عنوان یک پروتکل احراز هویت مورد استفاده قرار گیرد. EAP انواع مختلفی دارد که خصوصیات امنیتی و قدرت رمزنگاری متفاوت در هر کدام از این روش‌ها، موجب ‌شد تا مدیران شبکه بتوانند بر حسب نیاز از روش مناسب برای برنامه‌ی کاربردی خود استفاده کنند. متداول ترین انواع پروتکل های زیر هستند:

  • EAP-PEAP
  • EAP-TTLS
  • EAP-TLS
  • EAP-MD5
  • LEAP
  • EAPOL (Extensible Authentication Protocol over LAN)

لازم به ذکر است در سوییچهای سیسکو پروتکلهای Spanning tree protocol STP و Cisco discovery protocol CDP نیز در این حالت فعال می باشد.

۲- بعد از آنکه پورت به حالت Unauthorized در آمد یک درخواست EPOL با محتوای Username/Password از سوی Authenticator که همان سوییچ یا Access point ما در شبکه می باشد به کاربر ارسال می گردد تا کار بر احراز هویت خود را انجام دهد. ضمنا یکی از وظایف اصلی Authenticator این می باشد که Encapsulating فریم EAP را بر عهده دارد.

۳- کاربر پاسخ را به عنوان جواب به Authenticator متصل به خودش ارسال میکند در این زمان که Authenticator فریم EAP را دریافت می کند، پاسخ را دریافت شده را به Authentication server مربوطه ارسال می نماید.

۴- اگر Authentication server نام کاربری و پسورد کامپیوتر مورد نظر را در Data Base خود معتبر دید پورت را به حالت Authorized تنظیم شده سروسیس های دیگر شبکه آزاد می گردند تا کاربر بتواند از منابع شبکه خود استفاده کند. نکته مهم در اینجا این است که اگر شبکه مادارای VLAN های مختلفی باشد و ما بخواهیم هر کاربر با توجه به سطح دسترسی تعیین شده به VLAN مشخصی وارد گردد می توانیم از Authenticator Server هایی مانند CISCO ACS استفاده نماییم تا Mobile User’s بتوانند بدون هیچ محدودیت فیزیکی در سازمان جابجایی داشته باشند و همچنین در VLAN مربوط به خود نیز باشند همچنین برای بالا بردن امنیت بیشتر نیز می توان از NAC Server استفاده نمود تا در هنگام عمل Authentication کاربر، تنظیمات اضافه امنیتی بیشتری را نیز چک کند مثلا: حتما سیستم کاربر باید دارای Anti virus مشخصی باشد و یا حتما باید به تاریخ آن روز Update شده باشد و یا حتی یکسری از policy های امنیتی به طور مثال حذف گزینه RUN از روی سیستم متصل شده را داشته باشد تا بتواند به شبکه متصل شود و در صورتی که کار بر بطور مثال Anti virus را بر روی سیستم نداشته باشد بصورت اتوماتیک به File Server مشخصی راهنمایی خواهد شد تا برنامه مورد نظر را نصب کرده و بعد به شبکه مورد نظر Login کند.

۵- و در پایان هنگامی که کاربر سیستم خود را خاموش یا Log off می کند، یک پیام EAP-Logoff به Authenticator متصل شده بصورت اتوماتیک ارسال میشود تا Authenticator مورد نظر پورت را به حالت Unauthorized بر می گرداند و تمام ترافیک های غیر از EAP ،EAPOL STP و CDP مسدود می گردد.

IEEE 802.1x MAC Authentication

همانطور که از عنوان آن پیداست در این حالت برای شناسایی کار بر بجای Username/Password از MAC Address استفاده می گردد. شرح انجام این عمل بدین صورت است که هنگامی که Device به پورت شبکه متصل گردید Client بجای ارسال نام کاربری و رمز عبور خود MAC Address خود را به عنوان شناسه عبور برای Authenticator ارسال می نماید و Authenticator هم آن را برای Authentication Server خود می فرستد، اگر MAC Address فرستاده شده در Data Base دستگاه Authentication Server موجود بود نهایتا دستگاه میتواند به شبکه متصل گردد و فراموش نشود که برای اعمال این تنظیم باید در Port مربوطه اعمال گردد. اینگونه از تنظیمات نیز برای دستگاه های جانبی شبکه مانند Printer استفاده می گردد.

Web authentication 802.1x

Web authentication حالتی است که در آن کاربر با استفاده از صفحات WEB برای عمل Authenticate از آن استفاده می نمایند. این حالت معمولا زمانی اتفاق می افتد که سیستم کار بر قابلیت پشتیبانی از این استاندارد را ندارد و می تواند تا هشت کاربر را بصورت همزمان از یک پورت پشتیبانی کند.

مدل سوییچ وIOS هایی که این استاندارد را پشتیبانی می کنند:

  • Cisco Catalyst 2960 Series Switches with Cisco IOS Software Release 12.2(50)SE3
  • Cisco Catalyst 3560 Series Switches with Cisco IOS Software Release 12.2(50)SE3
  • Cisco Catalyst 3750 Series Switches with Cisco IOS Software Release 12.2(50)SE3
  • Cisco Catalyst 4500 Series Switches with Cisco IOS Software Release 12.2(50)SG
  • Cisco Catalyst 6500 Series Switches with Cisco IOS Software Release 12.2(33)SXI
دانلود نسخه PDF
برچسب ها

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا
بستن
بستن