جستجو در فروشگاه سپیتام
loading icon
top rated search results icon
جستجو های برتر
search history icon
تاریخچه جستجو
delete search history icon حذف
تومان
fa-IR Persian
0
سبد خرید شما خالیست!
میتواند برای مشاهده محصولات بیشتر به صفحات زیر بروید
خانه
تخفیف های شگفتانه

ایجاد سیستم احراز هویت به کمک پروتکل 802.1x

ایجاد سیستم احراز هویت به کمک پروتکل 802.1x

فهرست مطالب

  • نحوه عملکرد ، مزایا ، چالشها و کاربردهای پروتکل 802.1x با ذکر مثال

  • نحوه کانفیگ پروتکل روی سوییچ

  • نحوه پیکربندی سرور RADIUS روی سوییچ

  • نحوه ایجاد سرور RADIUS

  • راهنمای نصب سرویس ها

  • فعال کردن پروتکل IEEE802.1x روی کلاینت

 لطفاً مقاله "دستگاه های امنیت شبکه" را مطالعه بفرمایید.

در ادامه با ذکر مثالی نحوه عملکرد ، مزایا ، چالشها و کاربردها و نحوه پیاده سازی پروتکل 802.1x خواهم پرداخت:

با توجه به افزایش حملات سایبری و ارزش بالای اطلاعات مدیر سیستمی قصد دارد هر سیستمی که می خواهد به شبکه داخلی آن توسط سوئیچ شبکه متصل شود را احرازهویت کرده و سپس اجازه دسترسی دهد.برای این کار می تواند از یک سوئیچ مدیریتی با قابلیت پشتیبانی از پروتکل IEEE 802.1x استفاده کند.

یکی از مشکلات سازمانها در دنیای امروز امنیت در لایه 2 و کاربرانی هستند که احتیاج به جابجایی مدام در سازمان دارند. و این نیاز مطرح است که چه کسی می خواهد به یک پورت مشخص دسترسی پیدا کند. پس جهت کنترل دسترسی یک پروتکل لایه دو توسط IEEE به نام 802.1X طراحی شده است.

استاندارد IEEE 802.1x یک پروتکل کنترل دسترسی و تایید اعتبار (احراز هویت) مبتنی بر سرور را تعریف می کند و به صورت port-base اتصال کلایت های غیر مجاز را به شبکه از طریق پورت های قابل دسترس سوئیچ شبکه سپیتام محدود می کند.

تا زمانی که کلاینت احراز هویت نشود کنترل دسترسی 802.1x فقط پروتکل احراز هویت را از طریق ترافیک (EAPOL) LAN از طریق پورتی که کلاینتی به آن متصل است، مجاز می داند. پس از موفقیت در احرازهویت، ترافیک عادی می تواند از طریق پورت عبور کند.

این پروتکل متشکل از:

1- Supplicant: کاربران و کلاینت های متصل به پورت

2- Authenticator: سوئیچ سپیتام (سوئیچ شبکه ای که قابلیت پشتیبانی از پروتکل 802.1x را دارد.)

3- Authentication server: سرور احراز هویت بسته به نوع کار متنوع میباشند همانند RADIUS ، CISCO ACS ، NAC و …

ایجاد سرور RADIUS

یک سرور RADIUS جهت احراز هویت کاربران مورد نیاز است.که در اینجا از server windows بر روی یک کامپیوتر به عنوان سرور RADIUS استفاده میکنیم.

برای پیکربندی پروتکل 802.1x در ویندوز سرور و راه اندازی سرور RADIUS، نیاز است تا ابزارها و سرویسهایی زیر اضافه شوند:

  •    Active Directory Certificate Services

برای تشخیص هویت به کار گرفته می شود. به شما اجازه می دهد تا بتوانید certificate ها را مدیریت کنید و کلید عمومی خودتان را بسازید.

  • Active Directory Domain Services

مکانیزمی برای احراز هویت و تعیین سطح دسترسی کاربران به منابع شبکه‌ را فراهم می‌کند.

  • Network Policy and Access Services

به مدیران اجازه می دهد تا دسترسی به شبکه محلی و راه دور را فراهم کنند. همچنین به مدیران اجازه می دهد دستگاه هایی را برای احراز هویت دسترسی به شبکه تعریف و اجرا کنند.

راهنمای نصب سرویس ها

Manage > Add Roles and Features > Pole- based or feature-based installation > Next > سروری که می‌خواهید نصب اکتیو دایرکتوری روی آن انجام شود را از لیست انتخاب کرده > Next >انتخاب سرویس ها و قابلیت های مورد> Next > Next > Next > Install

پس از اینکه مراحل فوق را انجام دادید، پروسه نصب Active Directory Doman Services به پایان می‌رسد. حالا باید اکتیو دایرکتوری فعال را به حالت Domain Controller ارتقاء دهید. برای انجام این کار کافیست دوباره به صفحه اصلی و قسمت Dashboard برنامه مدیریت سرور (Server Manager) بروید. مشاهده خواهید کرد که یک پیغام اخطار زرد رنگ در گوشه فوقانی بخش مدیریت سرور و قسمت Manage ظاهر می‌شود. روی این پیغام کلیک کنید و گزینه Promote this server to a domain controller را انتخاب نمایید و مراحل را طی کنید.

بعد از نصب Active Directory Certificate Services دو سرویس دیگر را هم مشابه اکتیو دایرکتوری نصب کرد.

پس از اضافه کردن و پیکربندی این سرویسها، با ورود به ابزار Active Directory Users and Computersمیتوان کاربرانی با نام کاربری و کلمه عبور از مسیر زیر تعریف کرد تا بر اساس آن سرور RADIUS احراز هویت را انجام دهد.

Tools > Active Directory Users and Computers > Create a new user in the current > انتخاب نام کاربری > Next > انتخاب پسورد> Next > Finish

در ادامه به پیکربندی سرور RADIUS و پروتکل802.1x در سوییچ میپردازیم.

نحوه کانفیگ پروتکل 802.1x روی سوئیچ سپیتام

نحوه کانفیگ از طریق محیط وب:

  • پیکربندی سرور RADIUS

از منوی Configure Security و از مسیر AAA وارد RADIUS میشویم.

در جدول Global Configuration، کلید(Key) تعریف شده در سرور RADIUS را در بخش Key و آدرس IP سوییچ را در بخش NAS-IP-Address وارد میکنیم.

در جدول Server Configuration نیز آدرس IP سرور RADIUS در بخش Hostname و کلید تعریف شده را در قسمت Key وارد میکنیم.

جهت پیکربندی 802.1x از منوی Configure Security وارد 802.1x شده و وضعیت را به حالت Enabled تغییر داده و برای پورتی که میخواهیم پروتکل را فعال کنیم وضعیت single 802.1x را انتخاب میکنیم. به طور مثال در شکل زیر، برای پورت سه، 802.1x فعال شده است.

نحوه کانفیگ از طریق CLI:

در صورتی که از محیط CLI برای پیکربندی سوییچ استفاده میشود، میبایست از دستورات زیر استفاده کرد.

  • پیکربندی سرور RADIUS

اگر از طریق پورت کنسول به سوییچ وصل میشوید، جهت فعال سازی احراز هویت AAA به کمک سرور از دستور زیر استفاده کنید. علت اضافه کردن local به دستور این است که امکان دیگری جز سرور RADIUS برای ورود به سوییچ وجود نداشته باشد.

(config)# aaa authentication login console radius local

در صورتی که از طریق SSH به سوییچ وصل میشوید، از دستور زیر برای فعال سازی احراز هویت AAA به کمک RADIUS استفاده کنید.

(config)# aaa authentication login ssh radius local

برای برقراری ارتباط بین سوییچ و سرور RADIUS دستور زیر را وارد کنید.

(config)# radius-server host <IP address of RADIUS server> auth-port 1812 key<The key set on the RADIUS server>

  • فعال کردن 802.1x

جهت پیکربندی و فعال سازی پروتکلبرای یک پورت مشخص (به طور مثال پورت سه) از دستورات زیر استفاده کنید.

(config)# dot1x system-auth-control

(config)# interface GigabitEthernet 1/1

(config-if)# dot1x port-control single

فعال کردن پروتکل IEEE802.1x روی کلاینت

در انتها برای احراز هویت یک کامپیوتر که از طریق سوییچ به سرور RADIUS وصل شده است بایستیIEEE 802.1x بر روی سیستم عامل آن (بطور مثال ویندوز) فعال شود.

در صورت استفاده از ویندوز، مطابق مسیر میتوانیدx 802.1 در کلاینت فعال کنید.

ابتدا در بخش Services ویندوز در تبStandard ، AutoConfig Wired را فعال کرده و با ورود به Properties شبکه هایی که کامپیتور از طریق سوییچ به آن وصل است و در تب Authentication احراز هویت IEEE 802.1x را فعال کنید. دقت شود که روش احراز هویت PEAP انتخاب شود.

در پایان با فعال شدن 802.1x ویندوز، پنجره Sign in باز میشود که با وارد کردن نام کاربری و کلمه عبور تعریف شده در سرور RADIUS میتوان به سوییچ وصل و به شبکه دسترسی داشت.

 لطفاً مقاله "امنیت اطلاعات در مراکز دولتی و غیردولتی" را مطالعه بفرمایید.

توجه:

در پایان به این نکته مهم بایستی اشاره کرد که در حال حاضر با وجود عدم محدودیت در تعریف کاربر در سرور RADIUS ، سوییچ توانایی احراز هویت یک کامپیوتر متصل به یک پورت خاص را دارد و در حال حاضر امکان احراز هویت چند کامپیوتر به طور همزمان در یک پورت وجود ندارد اما بهبود و ارتقا این پروتکل در سوییچ در فرایند توسعه قرار دارد.