مرکز تماس: 42922-021
صدای مشتری: 88844430-021
پست الکترونیک: info‌@‌mef‌tah‌.c‌om
اخبار/مقالات
دليل استفاده از استاندارد X802.1 در شبکه چیست؟

استفاده از شبکه‌های LAN و آسيب‌پذير بودن امنيت آنها نسبت به حملات مختلف، در لايه 2 باعث شد تا سازمان IEEE به فکر بوجود آوردن پروتکل‌ها و استانداردهاي امنيتي متعددي به منظور امن کردن اين لايه باشد. هرچند استفاده از MAC Address Filtering و Access control list ACL ميتواند موثر باشد اما اين راه کارها براي شبکه های بزرگ که تعداد زيادی کاربر در آن وجود دارد و حتي computer Mobile ها در شبکه های wireless که کنترل آنها بسيار سخت مي باشد تقريبا غير ممکن است. استاندارد IEEE 802.1X شناسايي کاربران را بر اساس پورت متصل شده به شبکه با استفاده از Authentication server هايي مانند:

  • (CISCO ACS (Cisco Secure Access Control Server
  • (NAC (Network Access Control
  • (RADIUS (Remote Authentication Dial in User Service
  • و…


ارائه مي‌دهد و در اين مقاله به توضيح شناسايي هويت کاربران بوسيله اين استاندارد و نحوه اتصال آنها به شبکه مي پردازيم.

منظور از استفاده از احراز هويت مبتنی بر پورت در استاندارد IEEE 802.1X چيست؟

از آنجايي که پورت نقطه‌ی اتصال کاربر به شبکه است، میتوان از آن به عنوان يک مکان منطقی برای کنترل دسترسی کاربران استفاده کرد. بنابراين، با کنترل نقاط اتصال کاربران به شبکه، میتوان محيط شبکه‌ی کاربر، نيازها و مجوزهای دسترسی او را به صورت شخصي بيان کرد. استاندارد IEEE 802.1X از اين مفهوم برای احراز هويت کاربران خود استفاده میکند.

 

نحوه شناسايي کاربران در استاندارد 802.1X

تصور کنيد يک کاربر وارد سازمان ما مي گردد و ميخواهد به شبکه متصل شود به محض اينکه کاربر کابل ارتباطي خود را به سوکت شبکه متصل ميکند اتفاقاتي که رخ مي دهد به بدين صورت مي باشد:

802.1X_wired_protocols

۱- به محض شناسايي يک کاربر جديد روي پورت سوييچ، قبل از اينکه کامپيوتر بتوانند به شبکه متصل گردد حالت شناسايي کاربر فعال شده و پورت به حالت Unauthorized تنظيم مي شود يعني از ورود و خروج ترافيک هاي عمومي مانند DHCP, DNS و … جلوگيري مي کند و فقط اجازه عبور به پروتکل هايي که براي مشخص کردن هويت کار بر مي باشد مي دهد مانند: Extensible Authentication Protocol EAP، را مي دهد البته اين پروتکل EAP به تنهايي نمي‌تواند به عنوان يک پروتکل احراز هويت مورد استفاده قرار گيرد. EAP انواع مختلفي دارد که خصوصيات امنيتي و قدرت رمزنگاري متفاوت در هر کدام از اين روش‌ها، موجب ‌شد تا مديران شبکه بتوانند بر حسب نياز از روش مناسب براي برنامه‌ي کاربردي خود استفاده کنند. متداول ترين انواع پروتکل های زیر هستند:

  • EAP-PEAP
  • EAP-TTLS
  • EAP-TLS
  • EAP-MD5
  • LEAP
  • EAPOL (Extensible Authentication Protocol over LAN)

 لازم به ذکر است در سوييچهاي سيسکو پروتکلهاي  Spanning tree protocol  STP و Cisco discovery protocol CDP نيز در اين حالت فعال مي باشد.

۲- بعد از آنکه پورت به حالت Unauthorized در آمد يک درخواست EPOL با محتواي Username/Password از سوي Authenticator که همان سوييچ يا Access point ما در شبکه مي باشد به کاربر ارسال مي گردد تا کار بر احراز هويت خود را انجام دهد. ضمنا يکي از وظايف اصلي Authenticator اين مي باشد که Encapsulating فريم EAP را بر عهده دارد.

۳- کاربر پاسخ را به عنوان جواب به Authenticator متصل به خودش ارسال ميکند در اين زمان که Authenticator فريم EAP را دريافت مي کند، پاسخ را دريافت شده را به Authentication server مربوطه ارسال مي نمايد.

۴- اگر Authentication server نام کاربري و پسورد کامپيوتر مورد نظر را در Data Base خود معتبر ديد پورت را به حالت Authorized تنظيم شده سروسيس هاي ديگر شبکه آزاد مي گردند تا کاربر بتواند از منابع شبکه خود استفاده کند. نکته مهم در اينجا اين است که اگر شبکه ماداراي VLAN هاي مختلفي باشد و ما بخواهيم هر کاربر با توجه به سطح دسترسي تعيين شده به VLAN مشخصي وارد گردد مي توانيم از Authenticator Server هايي مانند CISCO ACS استفاده نماييم تا Mobile User’s بتوانند بدون هيچ محدوديت فيزيکي در سازمان جابجايي داشته باشند و همچنين در VLAN مربوط به خود نيز باشند همچنين براي بالا بردن امنيت بيشتر نيز مي توان از NAC Server استفاده نمود تا در هنگام عمل Authentication کاربر، تنظيمات اضافه امنيتي بيشتري را نيز چک کند مثلا: حتما سيستم کاربر بايد داراي Anti virus مشخصي باشد و يا حتما بايد به تاريخ آن روز Update شده باشد و يا حتي يکسري از policy هاي امنيتي به طور مثال حذف گزينه RUN از روي سيستم متصل شده را داشته باشد تا بتواند به شبکه متصل شود و در صورتي که کار بر بطور مثال Anti virus را بر روي سيستم نداشته باشد بصورت اتوماتيک به File Server مشخصي راهنمايي خواهد شد تا برنامه مورد نظر را نصب کرده و بعد به شبکه مورد نظر Login کند.

۵- و در پايان هنگامي که کاربر سيستم خود را خاموش يا Log off مي کند، يک پيام EAP-Logoff به Authenticator متصل شده بصورت اتوماتيک ارسال ميشود تا Authenticator مورد نظر پورت را به حالت Unauthorized بر مي گرداند و تمام ترافيک هاي غير از EAP ،EAPOL  STP و CDP مسدود مي گردد.

 

IEEE 802.1x MAC Authentication

همانطور که از عنوان آن پيداست در اين حالت براي شناسايي کار بر بجاي Username/Password از MAC Address استفاده مي گردد. شرح انجام اين عمل بدين صورت است که هنگامي که Device به پورت شبکه متصل گرديد Client بجاي ارسال نام کاربري و رمز عبور خود MAC Address خود را به عنوان شناسه عبور براي Authenticator ارسال مي نمايد و Authenticator هم آن را براي Authentication Server خود مي فرستد، اگر MAC Address فرستاده شده در Data Base دستگاه Authentication Server موجود بود نهايتا دستگاه ميتواند به شبکه متصل گردد و فراموش نشود که براي اعمال اين تنظيم بايد در Port مربوطه اعمال گردد. اينگونه از تنظيمات نيز براي دستگاه هاي جانبي شبکه مانند Printer استفاده مي گردد.

 

Web authentication 802.1x

Web authentication حالتي است که در آن کاربر با استفاده از صفحات WEB براي عمل Authenticate از آن استفاده مي نمايند. اين حالت معمولا زماني اتفاق مي افتد که سيستم کار بر قابليت پشتيباني از اين استاندارد را ندارد و مي تواند تا هشت کاربر را بصورت همزمان از يک پورت پشتيباني کند.

 

مدل سوييچ وIOS هايي که اين استاندارد را پشتيباني مي کنند:

  • Cisco Catalyst 2960 Series Switches with Cisco IOS Software Release 12.2(50)SE3
  • Cisco Catalyst 3560 Series Switches with Cisco IOS Software Release 12.2(50)SE3
  • Cisco Catalyst 3750 Series Switches with Cisco IOS Software Release 12.2(50)SE3
  • Cisco Catalyst 4500 Series Switches with Cisco IOS Software Release 12.2(50)SG
  • Cisco Catalyst 6500 Series Switches with Cisco IOS Software Release 12.2(33)SXI
برچسب ها:
١
استاندارد X802.1
١
پورت سوييچ
١
Unauthorized
١
ترافيک هاي عمومي
١
پروتکل EAP
١
سوييچهاي سيسکو
١
Cisco discovery protocol
١
Spanning tree protocol
١
IEEE 802.1x MAC Authentication
١٩
آموزش شبکه
٣
پروتکل شبکه
١
شبکه‌های LAN
٣
لایه های شبکه
١
IEEE
١
MAC Address Filtering
١
Access control list
١
ACL
١
شبکه های wireless
۵
کنترل شبکه
١
IEEE 802.1X
٢
Authentication server
٢
سرور احراز هویت
٨
احراز هویت
١
پورت
١
پورت شبکه
١
پورت نرم افزاری
١
دسترسی کاربران
١
استاندارد 802.1X
١
سوکت شبکه
١
DNS
١
DHCP
١
STP
١
Extensible Authentication Protocol
١
EAP
١
پروتکل احراز هويت
١
EAP-PEAP
١
EAP-TTLS
١
EAP-TLS
١
EAP-MD5
١
LEAP
١
EAPOL
١
Extensible Authentication Protocol over LAN
١
CDP
١
Access point
١
Authenticator
١
Encapsulating
٢
Authentication server
٢
سرور احراز هویت
١
CISCO ACS
١
NAC Server
١
EAP-Logoff
١
Web authentication 802.1x
١
Cisco Catalyst 2960 Series Switches with Cisco IOS Software Release 12.2(50)SE3
١
Cisco Catalyst 3560 Series Switches with Cisco IOS Software Release 12.2(50)SE3
١
Cisco Catalyst 3750 Series Switches with Cisco IOS Software Release 12.2(50)SE3
١
Cisco Catalyst 4500 Series Switches with Cisco IOS Software Release 12.2(50)SG
١
Cisco Catalyst 6500 Series Switches with Cisco IOS Software Release 12.2(33)SXI
١٧
امنیت شبکه
٣
راهکارهای افزایش امنیت شبکه
١
RADIUS
١
Remote Authentication Dial in User Service
١
Cisco Secure Access Control Server
١
Network Access Control
٢٧
خرید تجهیزات شبکه
٢۴
فروش تجهیزات شبکه
٢۴
قیمت تجهیزات شبکه
٢٩
خرید سرور
۴۴
فروش سرور
٢٨
قیمت سرور
١٩
آموزش شبکه
١۵
آموزش فناوری اطلاعات
٣۴
اخبار فناوری اطلاعات
١٨
اخبار IT
۷ مهر ۱۳۹۷     بازدید: ١۶١     دسته بندی: مقالات آموزشی
۴٨
سرورhp
۴۴
فروش سرور
٣٧
مجله فناوری
٣۴
اخبار فناوری اطلاعات
٢٩
خرید سرور
٢٨
قیمت سرور
٢٧
خرید تجهیزات شبکه
٢۴
قیمت تجهیزات شبکه
٢۴
فروش تجهیزات شبکه
٢٣
سرورDL380G9
١٩
خرید تجهیزات ذخیره سازی
١٩
قیمت دیتا سنتر
١٩
هک
١٩
آموزش شبکه
١٨
اخبار IT
١٧
امنیت
١٧
امنیت شبکه
١۵
فروش تجهیزات ذخیره سازی
١۵
شبکه
١۵
آموزش فناوری اطلاعات
١۵
امنیت اطلاعات
١۴
سرور
١٢
آموزش سرور
١١
هکر
١٠
دیتاسنتر
٩
hpe
٩
فروش سرورHP
٩
HPE
٨
مجازی سازی
٨
احراز هویت
تمامی حقوق برای شرکت مفتاح رایانه افزار (سهامی خاص) محفوظ میباشد.
کاربر مهمان
پشتیبان آفلاین
ثبت نام
ورود
نام:
نام خانوادگی:
نام سازمان:
ایمیل:
موبایل:
رمز عبور:
تکرار رمز:
ایمیل/موبایل:
رمز عبور:
قبلاً در سایت عضو نشده اید؟
رمز عبور خود را فراموش کردید؟

ساعات برقراری ارتباط با پشتیبان آنلاین، روزهای کاری 9:30 تا 16:00 و پنجشنبه ها 9:30 تا 12:00 میباشد. در مواقعِ برخط نبودنِ پشتیبان آنلاین، میتوانید فرم تماس سریع را پر کنید؛ ما در اسرع وقت پاسخ میدهیم:

نام کامل:
آدرس ایمیل:
متن پیام:
5 پیام جدید!
خانه خدمات آموزش اخبار و مقالات چندرسانه‌ای درباره ما تماس با ما
رسانه مفتاح