استاندارد 802.1x یا Dot1x

0
2531

استاندارد 802.1X (Dot1x) که توسط سازمان IEEE ارائه شده، به منظور برقراری امنیت در لایه2 شبکه می‌باشد. این استاندارد با بکارگیری قابلیت access control و authentication یا احرازهویت، از دسترسی‌های غیرمجاز به شبکه جلوگیری می‌کند.

از روش‌های ایمن‌سازی شبکه، انجام اقدامات لازم در لایه2 شبکه است. پیش‌تر در خصوص port security در این لایه صحبت کردیم. روش کار به این صورت بود که MAC به صورت static و یا sticky (اولین MAC ارسال کننده ترافیک) بروی پورت تنظیم می شد. اگر نفر دیگری به پورت متصل می شد بر اساس این که violation چه چیزی تنظیم شده است (shutdown – restrict – protect) اجازه کار به سیستم غیرمجاز داده نمی‌شد.

این روش یکسری ضعف دارد. اگر MAC سیستمی که مجوز عبور دارد، بروی سیستم غیرمجاز تنظیم شود، اجازه عبور ترافیک به این سیستم داده می‌شود. برای تغییر MAC کافی است به مسیر زیر بروید

از دیگر مشکلات این روش، جابجایی‌هایی کاربرانی که از وسایلی مانند لپ‌تاپ استفاده می‌کنند، یا جابجایی‌های درون سازمانی است. در این حالت، کارشناسان بایستی مدام، در حال تغییر آدرس‌های فیزیکی بروی پورت‌های سوئیچ‌های لایه اکسس خود باشند.

برای امنیت در لایه2 یکسری متدهای قوی تر وجود دارند.

Port base Authentication

در این روش به ازای پورتی که متصل شده است احراز هویت انجام شود. زمانی که سیستمی به پورتی از سوئیچ متصل می‌شود، سوئیچ credential (مبنای احراز هویت) سیستم را سوال می‌کند. یکی از این مبناها می‌تواند username-password باشد. با توجه به این که در تعداد بالا credentialها برای مدیریت سریع‌تر و بهینه‌ترشان، وجود یک سرور مرکزی مورد نیاز است، در این حالت نیز یک سیستم مرکزی به نام AAA server قرار داده می‌شود که 3 کار انجام می‌دهد:

  1. احراز هویت
  2. تعیین سطح دسترسی
  3. حسابرسی.

ارتباط با AAA server از طریق دو پروتکل انجام می‌شود:

  1. RADIUS (Remote Access Dial-in Service)
  2. TACACS+(Cisco)

علت وجود این دو پروتکل به علت مهم بودن این اطلاعات است که بایستی مدیریت و امن شود. این دو پروتکل تفاوت‌هایی دارند:

RADIUS استاندارد و TACACS پروتکل سیسکو است – RADIUS با TCPو TACACS با UDP کار می‌کند – RADIUS فقط password را رمزنگاری می‌کند، TACACS کل بسته را رمزنگاری می‌کند.

در پروتکل dot1x پروتکلی که اطلاعات username/password ها را رمزنگاری کرده و به سوئیچ می رساند EAP (Extensible Authentication Protocol) نام دارد که نمونه های مختلفی مانند EAP TLS، NTNT و … .

برای راه‌اندازی این ویژگی در سیستم عامل های مایکروسافت بایستی سرویس زیر که برای wire و wireless هستند فعال شود.

پس از راه‌اندازی این سرویس و disable – enable کردن کارت شبکه، Authentication tab به تنظیمات کارت شبکه اضافه می‌شود.

برای dot1x نمی‌توان از TACACS استفاده نمود، TACACSیکسری محدودیت هایی دارد که یکی از آن‌ها کار با پروتکل dot1x است.

به AAA سروری که با RADIUS کار می‌کند RADIUS سرور نیز گفته می‌شود.

نمونه های AAA serverها

  1. Cisco Secure ACS
  2. Cisco ISE
  3. MPS
  4. Free RADIUS

انجام تنظیمات

برای فعال کردن dot1x از دستورات زیر استفاده می‌کنیم.

برای برقراری ارتباط سوئیچ با AAA server است. اگر این دستور زده نشود هیچ دستور دیگر AAA کار نخواهد کرد.

سپس به تعریف سرور می‌پردازیم

بروی سرور نیز بایستی کلاینت مشخص شود. سرور و کلاینت بین همدیگر یک کلید مشترک تعریف می‌کنند تا سوئیچ تقلبی خود را به عنوان سوئیچ معرفی نکند.

در مرحله بعدی برای سرور مشخص می‌کنیم که برای احراز هویت در dot1x از هر interface ایی (default) که آمد برای گروه radius بفرست. گروه RADIUS تعریف می‌شود.

سپس dot1x را بروی سوئیچ فعال می‌کنیم

و در مرحه آخر بروی interface ایی که می‌خواهیم پورت را کنترل کند دستور کنترل را وارد می‌کنیم.

دستور force-authorized بروی interface، وضعیت پورت را به صورت authorized تنظیم می‌کند و اجازه عبور ترافیک بدون احرازهویت را می‌دهد. ازکاربردهای این دستور، برای مواقعی است که شبکه در حال کار کردن است و می‌خواهیم بدون اعمال قطعی به کاربران تنظیمات Dot1X را راه‌اندازی کنیم. برعکس، دستور force-unauthorized وضعیت پورت را unauthorized تنظیم کرده و اجازه عبور ترافیک را نمی‌دهد.

در صورتیکه بخواهیم بروی یک پورت، اجازه ورود چندین کاربر را بدهیم، از دستور زیر استفاده می‌کنیم. این روش، انعطاف شبکه را در جابجایی‌هایی درون واحد بدون نیاز به هماهنگی با واحد فنآوری اطلاعات بالا می‌برد.

روش‌های جایگزین user-pass

به طور کلی احراز هویت در حال خارج شدن از قالب user/pass است. استفاده از user-pass به دلیل قابل حدس بودنشان، سخت بودن کار برای کاربر به دلیل زیاد شدن کلمه‌های عبور، در حال منسوخ شدن هستند. از روش‌های جایگزین می‌توان به استفاده از:

  • به عنوان مثال finger print یا face ID که بروی گوشی‌های هوشمند استفاده می‌شود.
  • استفاده از رمزهای یکبار مصرف
  • ورود دو مرحله مانند استفاده از موارد بایومتریک (finger print – face ID – …) بعلاوه ارسال پیامک تایید در مرحله دوم ورود.
  • اسکن قرنیه
  • smart cardها
  • توکن ها
  • گواهینامه‌ها یا certificate ها. این گواهی ها مانند ارائه کارت ملی در بانک برای برداشت پول از حساب است. می‌توان با digital certificate، احرازهویت dot1x را راه‌اندازی نمود. حال اگر certificate یک سیستمی بروی سیستم دیگر قرار بگیرد کار نمی‌کند، چون نمی‌توان با در اختیار داشتن کارت ملی شخص دیگری از حسابش پول خارج کرد.

روش‌های جدید پرداخت

از موارد جدید در روش‌های پرداخت، سیستم‌هایی به نام MVNO است. روش کار این سیستم که اپراتورهای مجازی هستند، به این صورت است که برای پرداخت‌های پایانه‌های POS که اطلاعات کارت بانکی به گوشی داده می‌شود و از طریق ارتباط NFS با دستگاه POS پس از زدن کلمه عبور بروی گوشی پرداخت انجام می‌شود. یعنی احراز هویت در چند مرحله انجام می‌شود. در مرحله اول بایستی کارت در گوشی ثبت شود، در مرحله بعدی باید گوشی در دسترس باشد، در مرحله بعدی، باید کلمه عبور گوشی وجود داشته باشد و در مرحله آخر باید کلمه عبور بانکی در گوشی برای تایید نهایی پرداخت ثبت شود.

ارسال یک پاسخ

لطفا دیدگاه خود را وارد کنید!
لطفا نام خود را در اینجا وارد کنید