تفاوت و ویژگی های IPS و IDS

شما می توانید سنسور را به یکی از دو روش زیر برای آنالیز ترافیک در شبکه قرار دهید. روش اول استفاده در حالت inline است که در آن ترافیک شبکه باید از سنسور عبور کند که سنسور ترافیک را بررسی و سپس در صورت عدم مشکل آنرا ارسال می کند و به این ترتیب سنسور قادر است جلوی ترافیک مخرب را بگیرد. این روشی است که IPS از آن استفاده می کند. هر زمان که نام IPS را شنیدید بدانید که سنسور در مسیر جریان ترافیک قرار دارد و می تواند جلوی حملات را بگیرد. یک نکته منفی که در رابطه با IPS به خاطر inline بودن وجود دارد این است که اگر سنسور دچار مشکل شود و شما مسیر دیگر برای شبکه نداشته باشید تا زمانی که مشکل برطرف نشود کل شبکه شما دچار مشکل خواهد بود. برحسب نوع پلتفرمی که استفاده می کنید می توان سنسور را در حالت fail open تنظیم کنید که باعث می شود در صورت اینکه سنسور دچار مشکل شود کل ترافیک بدون اینکه بررسی شود شوند عبور داده شوند. همچنین می توانید سنسور را در حالت fail close تنظیم کنید که در این حالت در صورت بروز مشکل برای سنسور هیچ ترافیکی نتواند از دستگاه عبور کند. همچنین در روش inline به خاطر آنالیز ترافیک مقدار کمی تاخیر برای جریان ترافیک به وجود می آید.
حال (intrusion detection system (IDS چیست؟ برای درک IDS ، سنسور را در نظر بگیرید اما بجای اینکه دستگاه را به صورت inline در شبکه قرار دهید یک کپی از بسته های در حال عبور از شبکه را به آن ارسال می کنیم که به این حالت promiscuous گفته می شود در این روش نیز سنسور اقدام به آنالیز ترافیک می کند اما چون اصل ترافیک دست سنسور نیست نمی تواند جلوی ترافیک را بگیرد و تنها می تواند پیغام و هشدار تولید کند. به همین خاطر IDS تنها می تواند حملات را تشخیص دهد و نمی تواند جلوی این حملات را بگیرد. به صورت مختصر تفاوت بین IPS که در حالت inline قرار دارد و IDS که در حالت promiscuous قرار دارد این است که در حالت promiscuous کپی ترافیک مورد بررسی قرار می گیرد. از مزایای IDS می توان به عدم ایجاد تاخیر در ارسال ترافیک اشاره کرد و همچنین اگر برای IDS مشکل بوجود آید بروی عملکرد شبکه تاثیری به وجود نمی آید چون در مسیر ارسال ترافیک قرار ندارد. براساس عملکرد ، IDS نمی تواند اثر حملات را به صورت مستقیم کاهش دهد چون ترافیک اصلی دست آن نیست و نمی تواند مانع ورود ترافیک مخرب به شبکه شود.
تصویر زیر نحوی اجرای IDS در برابر IPS را نمایش می دهد.

Image

توانایی مقایسه و تشخیص این دو روش برای آزمون و همچنین در دنیای واقعی بسیار مهم است.

ویژگی های IDS :


  • محل قرارگیری نسبت به جریان ترافیک : در مسیر مستقیم جریان ترافیک قرار نمی گیرد و کپی ترافیک برای آن ارسال می شود.
  • حالت استقرار : promiscuous
  • تاخیر : چون در مسیر ترافیک اصلی قرار ندارد باعث تاخیر نمی شود.
  • تاثیر روی شبکه در صورت خرابی سنسور : چون اصل ترافیک در دست سنسور نیست مشکلی به وجود نمی آید.
  • توانایی در جلوگیری از ترافیک مخرب : در حالت promiscuous سنسور نمی تواند مانع عبور ترافیک شود چون اصل ترافیک را در اختیار ندارد. امکانی که وجود دارد این است که با کمک یک دستگاه دیگر مانع عبور ترافیک مخرب شود به طور مثال IDS می تواند درخواست بلاک کردن ترافیک را به یک روتر ارسال کند اما تضمینی برای جلوگیری از این حمله وجود ندارد و همینطور حداقل یک بسته از ترافیک مخرب وارد شبکه می شود سپس جلوی جمله گرفته می شود.
  • قابلیت نرمال سازی (Normalization) : چون IDS اصل بسته ها را در اختیار ندارد نمی تواند تغییری روی بسته ها انجام دهد.

 

ویژگی های IPS :


  • محل قرارگیری نسبت به جریان ترافیک : در مسیر مستقیم جریان ترافیک قرار می گیرد و ترافیک از سنسور عبور می کند.
  • حالت استقرار : inline
  • تاخیر : به دلیل اینکه اصل ترافیک را آنالیز می کند با مقدار کمی تاخیر ترافیک را ارسال می کند.
  • تاثیر روی شبکه در صورت خرابی سنسور : اگر سنسور دچار مشکل شود روی جریان ترافیک تاثیر گذاشته و ترافیک نمی تواند از سنسور عبور کند اما می توان سنسور را در حالت fail open تنظیم کرد که تاثیر منفی را کاهش داد.
  • توانایی در جلوگیری از ترافیک مخرب : IPS می تواند جلوی حملات را بگیرد چون اصل بسته ها را در دست دارد و در ابتدا بسته ها را آنالیز می کند و در صورت سالم بودن اقدام به ارسال بسته می کند.
  • قابلیت نرمال سازی (Normalization) : چون IPS اصل بسته ها را در اختیار دارد در نتیجه می تواند بسته ها را تغییر دهد.

پیاده سازی ٨٠٢.١x – بخش نهم

در ادامه بحث پیاده سازی 802.1x در خدمت شما عزیزان هستیم.

تعریف کاربران در Cisco Secure ACS :


مراحل زیر را دنبال کنید که در دیتابیس داخلی Cisco Secure ACS کاربر تعریف کنید.

  • روی گزینه User Setup در منوی سمت چپ کلیک کنید تا پنجره مربوطه باز شود.
  • یک نام منحصر به فرد در کادر User وارد کنید سپس کلید Add/Edit را بزنید تا پنجره مربوط به تنظیمات کاربر ظاهر شود.
  • در این قسمت یک پسورد برای کاربر در نظر بگیرد و همچنین آنرا عضو یک گروه کنید.
  • کلید Submit را بزنید.

در تصویر زیر بخش تنظیمات کاربر نمایش داده شده است :

Image

 

تولید فایل PAC :


این مرحله اختیاری است. اگر مسیر بین Supplicant و سرور AAA یک مسیر کاملا امن نیست پیشنهاد می شود عمل توزیع فایل PAC به صورت دستی انجام گیرد. برای اینکه اینکار به صورت دستی انجام گیرد باید در ابتدا فایل PAC باید تولید شود. در این مرحله نحوی تولید فایل PAC توضیح داده شده است به همین منظور مراحل زیر را دنبال کنید :

  • Command Prompt را در مسیر نصب Cisco Secure ACS با دسترسی Administrator باز کنید. همانند تصویر زیر :
Image

 

  • دستور CSUtil را با سوئیچ های –a و –t اجرا کنید تا فایل PAC تولید شود.
  • فایل تولید شده را روی تمام Supplicant ها کپی کنید.

نکته : اگر PAC فایل به صورت خودکار به Supplicant ها ارسال می شود این کار در طی اولین تایید هویت EAP-FAST انجام می گیرد.

تنظیم (Network Access Restrictions (NAR برای کاربران 802.1x :


این مرحله اختیاری است. اگر بخواهیم کاربر را برای تایید هویت تنها به یک RADIUS Clients محدود کنیم می توانیم از (Network Access Restrictions (NAR استفاده کنیم. در این مرحله نحوی تنظیم NAR نمایش داده شده است. برای اینکار مراحل زیر را دنبال کنید :

  • روی گزینه Group Setup از منوی سمت چپ کلیک کنید تا پنجره مربوطه باز شود.
  • گروهی که حاوی کاربر 802.1x است که می خواهیم آنرا محدود کنیم را انتخاب کنید سپس کلید Edit Settings را بزنید تا پنجره مربوطه باز شود.
  • در پنجره تنظیمات گروه به بخش Network Access Restrictions و چک باکس Define CLI/DNIS-based Access Restrictions را انتخاب کنید. در کادر AAA Client نام دستگاهی که می خواهید تایید هویت را انجام دهد را انتخاب کنید و مقدار کادر های Port ، CLI و DNIS را برابر * قرار دهید سپس کلید enter را کلیک کنید تا به لیست اضافه گردد.
  • کلید Submit + Restart را کلیک کنید.

در تصویر زیر این بخش نمایش داده شده است :

Image

 

فعال کردن logging :


Cisco Secure ACS می تواند تایید هویت های موفق را نیز همانند تایید هویت های ناموفق برای کاربر را log گیری کند. Log گیری برای تایید هویت های موفق به صورت پیش فرض غیرفعال است. برای فعال کردن آن مراحل زیر را طی کنید:

  • روی کلید Network Configuration از منوی سمت چپ کلید کنید.
  • گزینه logging را انتخاب کنید تا صفحه مربوط به تنظیمات logging نمایش داده شود.
  • در جدول ACS Report روی گزینه Configure از ستون CSV و ردیف Passed Authentication کلیک کنید.
Image

 

  • در این صفحه چک باکس Log to CSV Passed Authentication Report را انتخاب کنید و کلید Submit را بزنید.

در تصویر زیر این بخش نمایش داده شده است :

Image

تنظیم Cisco Secure ACS به اتمام رسیده است و در مرحله بعدی باید Supplicant تنظیم شود.

تنظیم Cisco Secure Service Client به عنوان Supplicant :


برای اینکه کلاینت برای تایید هویت از EAP-FAST استفاده کند باید (Cisco Secure Services Client (CSSC روی کلاینت نصب و تنظیم گردد. این به طور کلی شامل مراحل زیر است :

  • ساخت پروفایل CSSC Configuration با استفاده از CSSC Management Utility
  • ساخت پروفایل و Policy برای تایید هویت
  • تنظیم تایمرهای 802.1x
  • انتخاب متد تایید هویت (یوزر ، دستگاه یا هردو)
  • انتخاب متد EAP
  • ساخت پکیچ نصب CSSC حاوی Configuration Profile
  • نصب پکیچ CSSC در کلاینت

 

ساخت پروفایل CSSC Configuration با استفاده از CSSC Management Utility :


اولین مرحله ساخت پروفایل با استفاده از CSSC Management Utility است. خروجی CSSC Management Utility یک فایل XML است که شامل تنظیمات لازم برای Supplicant است. مراحل زیر را برای تنظیم پروفایل دنبال کنید :

  • CSSC Management Utility را دانلود کنید و از حالت فشرده خارج کنید سپس فایل sscManagementUtility را اجرا کنید که صفحه اصلی ظاهر شود.
  • گزینه Create New Configuration Profile را در صفحه اصلی انتخاب کنید.
Image

 

  • نسخه CSSC که می خواهید استفاده کنید را انتخاب کنید. که در اینجا ما از نسخه 5.1 استفاده می کنیم.

 

ساخت پروفایل و Policy برای تایید هویت :


در مرحله بعد یک پروفایل مربوط به شبکه کابلی در پروفایل CSSC Configuration ایجاد می کنیم. مراحل زیر را دنبال کنید :

  • اگر فقط گزینه Allow Wired انتخاب شود نیاز به لایسنس ندارد اما اگر بخواهید هر دو شبکه کابلی و وایرلس را استفاده کنید باید لایسنس را در کادر provide license وارد کنید.
  • گزینه Attempt Connection After User Login را در بخش Connection Setting انتخاب کنید.
  • گزینه Allow Wired Media را انتخاب کنید سپس کلید Next را بزنید.
Image

 

  • در صفحه Authentication Policy گزینه EAP FAST را در قسمت Allowed Authentication Modes انتخاب کنید و کلید Next را بزنید.
Image

 

  • در صفجه Network کلید Add Network را بزنید.
Image

 

  • تنظیمات مربوط به صفحه Network Media را بدون تغییر Next بزنید.
  • یک نام برای پروفایل جدید در صفحه Wired Network Settings در نظر بگیرید. در بخش Security Level گزینه authenticating network را انتخاب کنید سپس کلید Next را بزنید.
Image

مکانیزم (Dynamic ARP Inspection (DAI و نحوی جلوگیری از حملات ARP spoofing و ARP poisoning

پروتکل ARP برای تبدیل آدرس IP به آدرس MAC مورد استفاده قرار می گیرد به طور مثال ، Host B می خواهد اطلاعاتی را برای Host A ارسال کند اما MAC آدرس Host A را ندارد به منظور پیدا کردن MAC آدرس Host A یک بسته Broadcast برای تمام دستگاه های آن broadcast domain ارسال می کند تا MAC آدرس مربوط به IP آدرس Host A را بدست آورد. تمام دستگاه های این broadcast domain این بسته را دریافت می کنند و Host A به آن پاسخ می دهد و MAC آدرس خود را اعلام می کند.
احتمال حمله ARP spoofing و ARP cache poisoning وجود دارد چون این امکان وجود دارد که به جای دستگاه مورد نظر مهاجم پاسخ ARP را با اطلاعات مورد نظر خود ارسال کند یا حتی ARP اجازه ارسال gratuitous ARP را می دهد که در آن MAC آدرس دستگاه اعلام می شود بدون اینکه درخواستی برای آن صادر شده باشد. بعد از این حمله ، تمام ترافیک دستگاهی که به آن حمله شده است از طریق دستگاه مهاجم جریان پیدا می کند یعنی ابتدا ترافیک به دست دستگاه مهاجم می رسد سپس از طریق دستگاه مهاجم به روتر ، دستگاه و … ارسال می شود.
حمله ARP cache poisoning می تواند ARP caches دستگاه های متصل به subnet مثل hosts ، switches و routers را آلوده کند و به این شکل ترافیک به یک دستگاه دیگر در subnet هدایت می شود. در تصویر زیر یک نمونه از این حمله نمایش داده شده است.

Image

Host A و Host B و Host C به اینترفیس های سوئیچ متصل هستند و همه آنها در یک subnet قرار دارند. IP و MAC آدرس آنها در پرانتز مشخص شده است به طور مثال Host A از IP آدرس IA و MAC آدرس MA استفاده می کند. زمانی که Host A بخواهد با Host B در ارتباط برقرار کند یک درخواست ARP برای MAC آدرس مربوط به IP آدرس IB به صورت Broadcast ارسال می کند. زمانی که سوئیچ و Host B این درخواست ARP را دریافت می کنند IP آدرس IA و MAC آدرس MA را به ARP cache خود اضافه می کنند و در اینجا IP آدرس IA به MAC آدرس MA منتسب می شود. زمانی که Host B پاسخ می دهد سوئیچ و Host A به ARP cache خود IP آدرس IB و MAC آدرس MB را اضافه می کنند.
Host C می تواند با ارسال پاسخ ARP جعلی ARP caches سوئیچ را برای Host A و Host B آلوده کند و در این پاسخ IP آدرس IA یا IB به MAC ادرس MC منتسب می شود. دستگاهی که ARP cache آن آلوده شده است از MAC آدرس MC برای ارتباط با IP های IA و IB استفاده می کند. به معناست که Host C جریان ترافیک را تغییر داده است Host C می داند که MAC آدرس مرتبط با IP آدرس های IA و IB چیست و می تواند این ترافیک را به سمت این Host ها با استفاده از MAC آدرس درست هدایت کند. به این شکل Host C خود را در بین جریان ترافیک انتقالی بین Host A و Host B قرار داده است و به عنوان یک حمله man in the middle شناخته می شود.
DAI یک ویژگی امنیتی است که اعتبار بسته های ARP را در شبکه کنترل می کند. DAI بسته های ARP که انتصاب IP به MAC آنها مشکل دارد را drop می کند. این قابلیت باعث می شود که شبکه در برابر برخی از حملات man-in-the-middle محافظت شود.
DAI اعتبار بسته های ARP را براساس دیتابیس خود مورد بررسی قرار می دهد. که این دیتابیس DHCP Snooping می باشد. اگر قابلیت DHCP snooping فعال باشد این دیتابیس تشکیل می شود. اگر بسته ARP روی اینترفیس trusted دریافت شود بدون بررسی آنرا ارسال خواهد کرد اما روی اینترفیس ها untrusted تنها در صورتی که این بسته معتبر باشد ارسال خواهد شد.
در مثال زیر تنظمیات لازم برای اجرای DAI برای کاهش اثرات این حملات نمایش داده شده است.
فعال کردن DAI برای VLAN 10 :

SW(config)#ip arp inspection vlan 10

قرار دادن اینترفیس در حالت trust :

SW(config)#interface fastethernet 0/1
SW(config-if)#ip arp inspection trust

بررسی و کنترل تنظیمات :

SW#show ip arp inspection vlan 10
SW#show ip arp inspection interfaces

پیاده سازی 802.1x – بخش هشتم

در ادامه پیاده سازی 802.1x در خدمت شما دوستان عزیز هستم :

تنظیم RADIUS Server :


در این سناریو از EAP-FAST برای پیاده سازی 802.1x استفاده می شود.EAP-FAST به عنوان یک معماری امنیتی برای حفاظت از مذاکرات EAP به وسیله تانل (Transport Layer Security (TLS می باشد. این تانل به وسیله shared secrect ایجاد می شود و به آن (Protected Access Credentials (PAC گفته می شود.
تنظیم RADIUS Server برای 802.1x شامل چندین مرحله است که به شرح زیر است :

  • تنظیم Authenticator در سرور AAA
  • تنظیم EAP-FAST در سرور AAA
  • مشخص کردن دیتابیس کاربران در سرور AAA
  • (اختیاری) تولید فایل PAC
  • (اختیاری) تنظیم (Network Access Restrictions (NAR برای کاربران 802.1x
  • فعال کردن logging

 

انتخاب بین گزینه های موجود :


قبل از اجرا ، در چند بخش باید انتخاب هایی انجام شود که به شرح زیر است :

  • نیاز به استفاده از (Network Access Restrictions (NAR وجود دارد یا خیر؟ از NAR می توان برای اعمال محدودیت هایی اضافی برای کاربران قبل از اینکه کاربر هویت آن تایید شود استفاده کرد. به طور مثال ، شما می توانید دسترسی به یک محدوده خاص از شبکه را برای کاربران مشخص کنید. زمانی که از NAR استفاده می کنید گزینه های مختلفی برای استفاده وجود دارد.
  • انتخاب نحوی تهیه فایل (Protected Access Credential (PAC از اهمیت ویژه ای برخوردار است. اگر شبکه بین سرور AAA و سوئیچ یک مسیر کاملا امن است می توانید فایل PAC را به صورت خودکار ایجاد کنید. اگر مسیر امن نیست باید فایل PAC به صورت دستی ایجاد گردد.
  • یکی دیگر از انتخاب های مهم محل قرار گیری اطلاعات کاربران می باشد. می توان از دیتابیس داخلی Cisco Secure ACS یا یک دیتابیس خارجی استفاده کرد که ACS برای تایید هویت به آن مراجعه خواهد کرد. استفاده از دیتابیس خارجی مانند اکتیو دایرکتوری باعث سهولت در مدیریت می شود و همچنین ویژگی single sign-on برای کاربر فعال می شود.

 

تنظیم Cisco Secure ACS :


کلاینت هایی که پورت های سوئیچ متصل هستند نیاز به تایید هویت دارند. یوزر و پسورد با استفاده EAP-MSCHAPv2 توسط تانل EAP-FAST با سرور AAA تایید هویت انجام می شود. Authenticator که IOS سیسکو را اجرا کرده است و IP آدرس 192.168.1.1 به عنوان Management IP برای آ« مشخص شده است. VLAN 100 برای guest network استفاده می شود و تنها دسترسی به شبکه اینترنت در آن فراهم شده است. از Cisco Secure ACS 4.2 به عنوان RADIUS Server استفاده می شود که روی Windows Server با IP آدرس 10.1.1.1 اجرا شده است.

تنظیم Authenticator در ACS :


برای اینکه Cisco Secure ACS کلاینت های را تایید هویت کند باید Authenticator به عنوان یک AAA Client در ACS تعریف شود. مراحل زیر را برای تعریف یک Authenticator به عنوان AAA Client در ACS دنبال کنید :

  • مرحله 1 : از پنل سمت چپ ACS روی گزینه Network Configuration کلیک کنید.
  • مرحله 2 : روی کلید Add Entry زیر جدول AAA Client کلیک کنید.
  • مرحله 3 : یک نام در کادر AAA Client Hostname برای سوئیچ وارد کنید.
  • مرحله 4 : IP آدرس سوئیچ را در کادر AAA Client IP Address وارد نمایید.
  • مرحله 5 : مقدار کادر Key را برابر مقداری که در سوئیچ به عنوان key برای RADIUS Server در نظر گرفته اید قرار دهید.
  • مرحله 6 : از لیست Authenticate Using گزینه RADIUS (Cisco IOS/PIX) را انتخاب کنید.
  • مرحله 7 : روی کلید Submit + Restart کلیک کنید.

در تصویر زیر یک AAA Client با نام AP و IP آدرس 10.0.0.106 با کلید sharedsecret به Cisco Secure ACS اضافه شده است. نوع ارتباط بین Cisco Secure ACS و سوئیچ را (RADIUS (Cisco IOS/PIX تعیین شده است.
نکته : اگر Authenticator را به عنوان AAA Client در Cisco Secure ACS اضافه نکنید درخواست های تایید هویت که توسط Authenticator به Cisco Secure ACS ارسال شوند پاسخ داده نخواهند شد.

Image

 

تنظیم EAP-FAST در Cisco Secure ACS :


بخش دوم تنظیمات Cisco Secure ACS به فعال کردن EAP-FAST اختصاص دارد. مراحل زیر را برای فعال کردن EAP-FAST در ACS دنبال کنید :

  • مرحله 1 : از پنل سمت چپ ACS گزینه System Configuration را انتخاب کنید.
  • مرحله 2 : روی گزینه Global Authentication Setup کلید کنید.
  • مرحله 3 : روی گزینه EAP-FAST Configuration کلیک کنید و در صفحه باز شده چک باکس Allow EAP-FAST را انتخاب کنید تا EAP-FAST فعال شود.
  • مرحله 4 : در کادر Authority ID Info یک نام منحصربه فرد وارد کنید. در اینجا نام Cisco برای آن در نظر گرفته شده است.
  • مرحله 5 : اگر مسیر برای انتقال فایل PAC امن است چک باکس Allow Anonymous In-band PAC Provisioning را انتخاب کنید در غیر اینصورت این گزینه را انتخاب نکنید و به صورت دستی انتقال فایل PAC را انجام دهید.
  • مرحله 6 : در قسمت Allowed inner methods گزینه EAP-MSCHAPv2 را انتخاب کنید.
  • مرحله 7 : روی کلید Submit + Restart کلیک کنید.
Image

 

استفاده از (Network Foundation Protection (NFP برای امن کردن شبکه

اهمیت زیرساخت شبکه


شبکه از قطعات و بخش های مختلفی تشکیل شده است و اگر یک بخش کوچک آن درست عمل نکند می تواند در عملکرد کل شبکه اخلال ایجاد کند. اگر شبکه به درستی کار نکند روی درآمد و بهره وری تاثیر منفی می گذارد. به طور کلی ، اگر یک آسیب پذیری مانند پسورد ضعیف ، آسیب پذیری نرم افزاری یا تنظیم نادرست در دستگاه وجود داشته باشد باعث باز گذاشتن یک در ورود برای مهاجم می گردد. تاثیرات قطع شدن شبکه خیلی زیاد است و به طور معمول روی نیروی انسانی و دیگر سیستم ها و مشتریان که با شبکه در ارتباط هستند تاثیر می گذارد. NFP به این منظور طراحی شده است که به شما در گروه بندی منطقی توابع مختلف موجود در شبکه کمک کند و همچنین بر روی اقدامات امنیتی که شما می توانید برای هر یک از این توابع درنظر بگیرد متمرکز می شود.

(Network Foundation Protection (NFP


برای IOS روترها و سوئیچ های سیسکو (Network Foundation Protection (NFP به سه قسمت اصلی تقسیم می شود. این سه قسمت به شرح زیر می باشند :

  • Management plane : این بخش شامل پروتکل ها و ترافیک هایی می باشد که از آنها برای یک ارتباط مدیریتی با روتر یا سوئیچ استفاده می شود. یک نمونه آن استفاده از پروتکل های مدیریت از راه دور مانند (Secure Shell (SSH برای تنظیم روتر یا سوئیچ می باشد. اگر خطایی در Management plane رخ دهد نتیجه آن می تواند از دسترس خارج شدن و عدم توانایی در مدیریت دستگاه گردد.
  • Control plane : شامل پروتکل ها و ترافیک هایی می باشد که توسط دستگاه های شبکه و بدون دسترسی مستقیم مدیر مورد استفاده قرار می گیرد. نمونه آن ، پروتکل های مسیریابی می باشند. یک پروتکل مسیریابی می تواند به صورت خودکار اطلاعات مسیریابی را فرا گیرد و آنها را به اشتراک بگذارد و روتر از این اطلاعات برای بروزرسانی جدول مسیریابی خود استفاده کند. اگر خطایی در Control plane رخ دهد روتر توانایی خود را در فراگرفتن و به اشتراک گذاشتن صحیح اطلاعات مسیریابی از دست می دهد و در نتیجه نمی تواند به صورت هوشمندانه برای شبکه مسیریابی را انجام دهد.
  • Data plane : شامل ترافیکی می باشد که از طریق شبکه ارسال می شود. یک نمونه آن ترافیک ارسالی توسط یک کاربر از یک قسمت شبکه به سمت یک سرور در قسمت دیگری از شبکه است. Data plane نشان دهنده ترافیکی است که توسط دستگاه های شبکه در حال ارسال یا سوئیچ شدن بین کلاینت ها و سرورها می باشد. نتیجه خطا در بخش Data plane عدم ارسال ترافیک کاربر خواهد بود اما در زمانی هایی براساس سیاست های موجود شاید شما بخواهد جلوی عبور برخی از ترافیک های Data plane که در حال عبور را بگیرید.
Image

 

وابستگی


برخی وابستگی ها بین این سه بخش وجود دارد. به طور مثال ، اگر control plane دچار خطا شود و روتر ندادند که چگونه ترافیک را ارسال کند در این حالت روی data plane نیز تاثیر می گذارد چون ترافیک کاربران ارسال نخواهد شد. یک مثال دیگر خطا در management plane است که به یک مهاجم اجازه می دهد دستگاه را تنظیم کند که نتیجه آن می تواند خطا در هر دو بخش control plane و data plane رخ دهد.
همانطور که شما ممکن است متوجه شده باشید NFP یک ویژگی تنها نیست بلکه یک رویکرد جامع می باشد که سه بخش زیرساخت ارتباطی را پوشش می دهد و با استفاده از مجموعه از ویژگی ها که توصیه می شود در سرتاسر شبکه اجرا شود هر یک از این بخش ها را حفاظت می کند.

پیاده سازی 802.1x – بخش هفتم

در ادامه پیاده سازی 802.1x در خدمت شما دوستان عزیز هستم :

تنظیم Authenticator :


برای اینکه یک سوئیچ یا دستگاه دیگر به عنوان Authenticator عمل کند باید چندین عمل روی آن انجام داد که به شرح زیر است :

  • تنظیم Radius Server و AAA Server در سوئیچ
  • تنظیم سوئیچ جهت استفاده از AAA و Radius برای تایید هویت
  • فعال کردن 802.1x به صورت Globally در سوئیچ
  • تنظیم پورت های Access در سوئیچ که باید تایید هویت کاربران را انجام دهد
  • (اختیاری) تنظیم periodic reauthentication
  • (اختیاری) تنظیم timers and thresholds
  • (اختیاری) تنظیم guest policy در صورت نیاز در سوئیچ

برخی از این عملیات ها اختیاری است که به شرح آنها می پردازیم :
periodic reauthentication : در بعضی مواقع 802.1x جهت تایید هویت در سوئیچی که کلاینت به آن متصل است تنظیم نشده است و تایید هویت توسط سوئیچ بالا دست انجام می شود. تنظیم periodic reauthentication در آن سوئیچ باعث می شود که در بازه های مشخص اقدام به تایید هویت مجدد نماید و از متصل بودن کلاینت اطمینان حاصل کند و پورت را در وضعیت Authorized نگه دارد.
timers and thresholds : تایمر پیش فرض برای تایید هویت در IOS سیسکو بسیار محافظه کارانه تنظیم شده است اگر پروسه تایید هویت شما به دلایل مختلف زمانبر است می توانید این تایمر را براساس نیاز خود تنظیم کنید.
guest policy : ایجاد guest network اختیاری است و برای کلاینت هایی که از 802.1x پشتیبانی نمی کنند یا هویت آنها تایید نشده است مورد استفاده قرار می گیرد. با استفاده از guest network یک دسترسی محدود به کاربر مانند دسترسی به فقط اینترنت داده می شود.

سناریو :


سناریوی که قرار است باهم پیاده سازی کنیم در تصویر زیر مشاهده می کنیم. این سناریوی شامل بخش های زیر است :

  • کاربران داخلی سازمان برای اتصال از 802.1x استفاده می کنند و همچنین کاربرانی guest وجود دارد.
  • سوئیچ به عنوان authenticator عمل می کند.
  • VLAN 100 برای quest network مورد استفاده قرار می گیرد و تنها دسترسی به اینترنت را فراهم می کند.
  • از Cisco Secure ACS 4.2 به عنوان AAA Server استفاده می کنیم که در windows server اجرا می شود و برای 802.1x به عنوان Radius عمل می کند.
Image

 

تنظیم RADIUS Server :


اولین عمل برای فعال کردن Authenticator تنظیم RADIUS server است :

  • مرحله 1 : دستور radius-server host به همراه آدرس IP سرور Radius را استفاده می کنیم. سوئیچ برای تایید هویت با این سرور ارتباط برقرار می کند. همچنین با استفاده از کلمه key می توانیم از این ارتباط حفاظت کنیم.
  • مرحله 2 : (اختیاری) شما می توانید پورت های پیش فرض authentication و accounting را تغییر دهید.

نکته : می توانید دو RADIUS server تعریف کنید که برای AAA Server افزونگی (Redundant) فراهم می کند. استفاده از کلید پیچیده و همچنین کلید های متفاوت برای هر سوئیچ برای افزایش امنیت پیشنهاد می شود.
نکته : قبل از استفاده از این دستور باید AAA فعال شده باشد.
در دستورات زیر Radius server با آدرس 10.1.1.1 و پورت های استاندارد UDP 1812 , 1813 و کلید rad123 تنظیم شده است :

SW(config)#radius-server host 10.1.1.1 auth-port 1812 acct-port 1813 key rad123

 

فعال کردن AAA و استفاده از RADIUS برای Authentication :


در این مرحله AAA فعال می شود و برای Authentication استفاده از RADIUS تعیین می شود.

  • مرحله 1 : AAA را به صورت globally با استفاده از دستور aaa new-model فعال می کنیم.
  • مرحله 2 : در اینجا مشخص می کنیم که aaa authentication برای تایید هویت از RADIUS Server استفاده کند.

در دستورات زیر فعال کردن AAA و همچنین تعیین RADIUS Server برای AAA Authentication برای تایید هویت کلاینت ها نشان داده شده است :

SW(config)#aaa new-model
SW(config)#aaa authentication dot1x default group radius none

 

فعال کردن 802.1X به صورت Globally و در User Ports :


در این مرحله 802.1x به صورت globally فعال می شود و سپس 802.1x در پورت های access سوئیچ فعال می گردد.

  • مرحله 1 : 802.1x با استفاده از دستور system-auth-control به صورت globally فعال می شود.
  • مرحله 2 : در پورت هایی که باید 802.1x authentication در آنها فعال گردد مطمئن شوید که پورت در حالت access قرار دارد برای اینکه پورت را در حالت access قرار دهیم از دستور switchport mode access در اینترفیس مربوطه استفاده می کنیم.
  • مرحله 3 : اینترفیس را در vlan مناسب قرار دهید که با استفاده از دستور switchport access vlan vlan-id انجام می شود.
  • مرحله 4 : 802.1x را در اینترفیس مورد نظر با استفاده از دستور authentication port-control فعال می کنیم.

در دستورات زیر فعال کردن 802.1x به صورت globally و همچنین قرار دادن اینترفیس در حالت access و تعیین vlan و در نهایت فعال کردن 802.1x در اینترفیس نمایش داده شده است.

SW(config)#dot1x system-auth-control
SW(config)#interface fastethernet 0/1
SW(config-if)#switchport mode access
SW(config-if)#switchport access vlan 90
SW(config-if)#authentication port-control auto

 

تنظیم Periodic Reauthentication :


تنظیم این مرحله اختیاری می باشد و می توانید آنرا روی یک یا چند اینترفیس تنظیم کنید. به صورت پیش reauthentication فعال نیست و این می تواند در برخی از شبکه ها که روی همه سوئیچ 802.1x فعال نیست باعث بروز مشکل شود. به طور مثال اگر 802.1x در لایه distribution فعال باشد این سوئیچ ها از قطع شدن ارتباط کلاینت باخبر نمی شود. Periodic reauthentication در بازه های زمانی مشخص اقدام به تایید هویت مجدد کلاینت ها می کند که باعث می شود این مشکل از بین برود.
جهت فعال کردن این ویژگی مراحل زیر را باید طی کنیم :

  • مرحله 1 : با استفاده از دستور authentication periodic در اینترفیس مورد نظر این قابلیت فعال می شود.
  • مرحله 2 : با استفاده از دستور authentication timer reauthenticate می توانیم بازه زمانی برای تایید هویت مجدد را مشخص کنیم. به صورت پیش فرض مقدار آن برابر 3600 ثانیه یعنی هر یک ساعت یکبار می باشد. کم کردن این زمان به لحاظ امنیتی مفید است اما از سوی دیگر می تواند بار بیشتری متوجه RADIUS Server کند. در نتیجه مقدار آنرا طوری باید انتخاب کرد که هر دو بحث امنیت و بار تحمیلی به سرور در آن در نظر گرفته شود.

در دستورات زیر فعال کردن periodic reauthentication نمایش داده شده است :

SW(config)#interface fastethernet 0/1
SW(config-if)#authentication periodic
SW(config-if)#authentication timer reauthenticate 600

 

تنظیم Timers and Thresholds :


تنظیم این مرحله اختیاری است شما می توانید با تنظیم تایمر EAPOL عملیات تایید هویت 802.1x و تبادل بین supplicant و authenticatorرا بهینه کنید.
در تصویر زیر بسته هایی که بین supplicant و authenticator و authentication server تبادل می شود نمایش داده شده است.

Image

نکته : EAPOL بین supplicant و authenticatorمورد استفاده قرار می گیرد و بین authenticator و authentication server از RADIUS استفاده می شود.
Authenticator انتظار دریافت فریم EAP-Response-Identity را در پاسخ به فریم EAP-Request-Identity دارد. اگر در زمان تعیین شده فریمی دریافت نکند مجدد اقدام به ارسال فریم EAP-Request-Identity می کند. زمان پیش فرض 30 ثانیه می باشد. شما می توانید این زمان را برای پاسخگویی بهتر تغییر دهید که پروسه تایید هویت سریع تر انجام شود. برای تغییر این زمان از دستور dot1x timeout txperiod در اینترفیس مورد نظر می توانید استفاده کنید.
اگر تایید هویت کلاینت به دلایلی مانند اشتباه وارد کردن پسورد با شکست مواجه شود Authenticator یک بازه زمانی صبر می کند سپس برای تایید هویت اقدام می کند که این بازه زمانی به صورت پیش فرض 60 ثانیه می باشد. شما می توانید با کم کردن این زمان پروسه تایید هویت را سریع انجام دهید. برای تغییر این بازه زمانی می توانید از دستور dot1x timeout quiet-period در اینترفیس مورد نظر استفاده کنید.
در دستورات زیر تنظیم این زمان ها نمایش داده شده است :

SW(config-if)#interface fastethernet 0/1
SW(config-if)#dot1x timeout tx-period 10
SW(config-if)#dot1x timeout quiet-period 10

 

تنظیم guest policy :


این مرحله نیز اختیاری است در این مرحله یک VLAN برای کلاینت هایی که تایید هویت آنها با شکست مواجه شده است یا از 802.1x پشتیبانی نمی کنند در نظر گرفته می شود. به این معنی که کلاینت هایی که تایید هویت نمی شوند در این VLAN قرار می گیرند. این VLAN باید از قبل در سوئیچ وجود داشته باشد.
در حالتی که تایید هویت با شکست مواجه شود شما باید مشخص کنید بعد از چند بار که تایید هویت با شکست مواجه شد کلاینت را در این VLAN قرار دهد. از دستور authentication event fail retry number action authorize vlan در حالت تایید نشدن هویت استفاده می شود و برای حالت عدم پشتیبانی از 802.1x از دستور authentication event no-response action authorize VLAN استفاده می شود.
در دستورات زیر تعیین Guest VLAN نمایش داده شده است :

SW(config-if)#interface fastethernet 0/1
SW(config-if)#authentication event fail retry 2 action authorize vlan 100
SW(config-if)#authentication event no-response action authorize vlan 100

 

بررسی و خطایابی در Authenticator :


در صورت بروز مشکل در Authenticator برای تایید هویت می تواند عملکرد شبکه را تحت تاثیر خود قرار دهد و باعث شود بخشی از شبکه از دسترس خارج شود.
دستور show dot1x وضعیت 802.1x را به نمایش می دهد همانند تصویر زیر :

Image

دستور show dot1x all summary که در تصویر زیر می بینید وضعیت هر پورت که را که در آن 802.1x فعال شده باشد را به ما نشان می دهد:

Image

در قسمت بعد نحوی تنظیم ACS را فرا خواهیم گرفت. موفق ، پیروز و itpro باشید.

حمله Man in the Middle چیست ؟

حمله man-in-the-middle (که با نام های MITM ، MitM ، MIM یا MITMA نیز شناخته می شود) یکی از خطرناکترین حملات در شبکه های کامپیوتری می باشد. دلیل این میزان اهمیت این حمله این است که در اکثر مواقع کاربر متوجه نمی شود که مورد حمله قرار گرفته است و اطلاعات او مورد سواستفاده قرار گرفته است. Man-in-the-Middle حمله ای است که مهاجم در بین راه ارتباط دو دستگاه با مقاصدی مانند جمع آوری اطلاعات ، دستکاری اطلاعاتی که بین این دو دستگاه در حال مبادله است و … قرار می گیرد. این حمله می تواند در لایه دو یا سه اتفاق بیافتد. هدف اصلی این حملات استراق سمع است بنابراین مهاجم می تواند کل ترافیک در حال انتقال را ببیند.اگر در لایه دو اتفاق بیافتد مهاجم آدرس MAC در لایه دو را جعل می کند و سعی می کند دستگاه های موجود در شبکه LAN باور کنند که آدرس لایه دو مهاجم ، آدرس لایه دو default gateway است. به این عمل ARP poisoning گفته می شود. فریم هایی که قرار است به default gateway ارسال شوند توسط سوئیچ براساس آدرس لایه دو به مهاجم به جای default gateway ارسال می شوند. بعد از اینکه فریم ها دست مهاجم رسید و استفاده خود را از آنها کرد مهاجم می تواند فریم ها را به مقصد درست آنها ارسال کند درنتیجه کلاینت ارتباط مورد نظر خودش را با مقصد دارد و در این میان مهاجم کل اطلاعات مبادله شده بین کلاینت و مقصدش را می بینید بدون اینکه کلاینت از این اتفاق باخبر شود. برای کاهش این Risk باید از تکنیک هایی مانند (dynamic Address Resolution Protocol (ARP) inspection (DAI در سوئیچ استفاده کنید تا جلوی جعل آدرس لایه دو گرفته شود.

Image

همچنین مهاجم می تواند با قرار دادن یک سوئیچ در شبکه و تنظیم (Spanning Tree Protocol (STP در آن باعث شود که این سوئیچ تبدیل root switch شود و به این صورت تمام ترافیک هایی که نیاز به عبور از root switch را دارند را ببیند و به این شکل یک حمله را پایه ریزی کند. شما می توانید این Risk را با تکنیک هایی مانند root guard و سایر روش های کنترلی spanning-tree که در فصل های بعدی مورد بحث قرار خواهد گرفت.حمله man-in-the-middle می تواند در لایه سه با قرار دادن یک روتر غیرمجاز در شبکه و فریب دادن سایر روترها که این یک روتر جدید است و دارای بهترین مسیر است انجام شود. این باعث می شود ترافیک شبکه از طریق این روتر غیر مجاز جریان پیدا کند و این اجازه به مهاجم داده می شود که دیتا شبکه را سرقت کند. شما می توانید با استفاده از تکنیک های مختلفی مانند استفاده از authentication برای پروتکل های مسیریابی یا استفاده از فیلترینگ برای جلوگیری از ارسال یا دریافت update های مرتبط با مسیریابی روی اینترفیس های خاص ، این حملات را کاهش دهید.

یکی از بهترین کارهایی که برای حفاظت از اطلاعات در حال انتقال می توان انجام داد استفاده از رمزنگاری برای حفظ محرمانگی اطلاعات در زمان انتقال است. اگر از پروتکل های plaintext مانند Telnet یا HTTP استفاده شود و یک مهاجم تدارک یک حمله man-in-the-middle را ببیند چون ترافیک در حال انتقال به صورت cleartext است درنتیجه مهاجم می تواند به اطلاعات موجود در بسته ها دسترسی پیدا کند درنتیجه هر اطلاعاتی از ما ، که از که طریق دستگاه مهاجم عبور کند توسط او دیده خواهد شد که این اطلاعات می تواند شامل یوزر و پسوردهای ما باشد. راه حل استفاده از پروتکل هایی است که دارای مکانیزم های رمزنگاری هستند مانند (Secure Shell (SSH و (Hypertext Transfer Protocol Secure (HTTPS و همچنین می توان از VPN برای محافظت از دیتا حساس که به صورت cleartext هستند استفاده کرد.

حمله (Denial-of-Service (DoS و (Distributed Denial-of-Service (DDoS

حمله (Denial-of service (DoS و (distributed denial-of-service (DDoS مدتها وجود داشته اند اما در چند سال اخیر بسیار مورد توجه قرار گرفته اند و دلیل این توجه ، افزایش حملات از این قبیل می باشد. حمله (Denial-of-service (DoS و حمله (distributed denial-of-service (DDoS حملاتی هستند که به منظور از سرویس خارج کردن و از کار انداختن دستگاه ها و سرورها استفاده می شوند. به طور مثال می توان استفاده از botnet برای حمله به یک سیستم را از این جمله برشمرد. اگر حمله از طریق یک دستگاه به منظور آسیب رساندن به یک asset (دارایی) صورت گیرد به عنوان یک حمله DoS شناخته می شود اما اگر حمله از طریق چندین دستگاه صورت گیرد به عنوان DDoS شناخته می شود. هدف هر دو نوع حمله یکسان می باشد و تفاوت DoS و DDoS تنها به اینکه در این حمله از چند دستگاه استفاده شده است باز می گردد.

حملات DDoS را می توان به سه دسته عمومی تقسیم کرد


  • Direct : حمله Direct DDoS زمانی اتفاق می افتد که مبدا حمله ، بسته ها را تولید کند بدون در نظر گرفتن پروتکل ، برنامه و … آنها به صورت مستقیم به قربانی حمله ارسال می شوند.
  • Reflected : حمله (reflected DDoS (RDDoS یکی از پیشرفته ترین و محبوبترین نوع از DDoS می باشد. حمله Reflected DDoS زمانی رخ می دهد که مبدا حمله ، بسته هایی Spoof (جعلی) ارسال می کند که به ظاهر نشان داده می شود که توسط قربانی حمله ارسال شده است و سپس مقصد پاسخ را برای قربانی ارسال می کند و ناخواسته در این حمله شرکت می کند. اغلب از UDP به عنوان مکانیزم انتقال استفاده می شود چون به دلیل عدم وجود three-way handshake ، راحت تر Spoof می شود. به طور مثال ، اگر مهاجم A قصد حمله به قربانی V را داشته باشد او بسته هایی را به مقصد S با مبدا V ارسال می کند (به طور مثال درخواست [Network Time Protocol [NTP ) حال سیستم S پاسخ را برای V ارسال می کند و V اصلا انتظار این بسته ها ندارد.
Image

 

  • Amplification : حمله Amplification نوعی از حمله reflected است که در آن ترافیک پاسخ داده شده از ترافیک ارسالی توسط مهاجم بسیار بزرگتر است. به طور مثال ، زمانی که یک درخواست DNS ارسال می شود پاسخ آن بسیار بزرگ تر از بسته درخواستی است. در نتیجه قربانی با طغیانی از بسته های بزرگ مواجه می شود که اصلا درخواست آنها را نداده است.

پیاده سازی 802.1x – بخش ششم

در سری مقالات قبلی 802.1x شما با مفاهیم و کلیات این تکنولوژی آشنا شدید و از این قسمت به بعد می خواهیم وارد مباحث پیاده سازی این تکنولوژی شویم. با ما همراه باشید.

پیاده سازی 802.1x :


802.1x توسط IEEE به عنوان یک استاندارد ارائه شده است که به وسیله آن می توانیم دستگاه های متصل به شبکه را تایید هویت کنیم و دسترسی آنها را کنترل کنیم و همچنین از دسترسی دستگاه هایی که هویت آنها تایید نشود جلوگیری کنیم. برای تایید هویت و کنترل دسترسی ما نیاز به Supplicant (کلاینت) ، یک authenticator (مانند روتر و سوئیچ) و یک authentication server داریم. در این بخش نحوی طراحی و پیاده سازی 802.1x را مورد بررسی قرار خواهیم داد.
در تصویر زیر اجزای مورد نیاز برای پیاده سازی 802.1x نمایش داده شده است :

Image

این تایید هویت و کنترل دسترسی باعث می شود قبل از دریافت هرگونه سرویسی روی پورت هر کلاینت باید تایید هویت شود. قبل از اینکه پورت در وضعیت authorized قرار گیرد 802.1x تنها اجازه عبور ترافیک (Extensible Authentication Protocol over LAN (EAPOL) ، Cisco Discovery Protocol (CDP و (Spanning Tree Protocol (STP را روی پورت می دهد.
فعال کردن 802.1x روی پورت های لایه 2 از نوع Access و همچنین پورت های لایه 3 امکان پذیر است اما امکان فعال کردن 802.1x روی پورت های dynamic یا trunk و همچنین روی پورت های که در حالت (Switched Port Analyzer (SPAN یا (Remote SPAN (RSPAN قرار دارند وجود ندارد.

پیش نیاز های پیاده سازی 802.1x :


در این بخش پیاده سازی 802.1x را به صورت ساده بررسی می کنیم. نحوی تایید هویت کاربر جهت دسترسی به شبکه را مورد بررسی قرار می دهیم. تایید هویت Supplicant براساس کاربر انجام خواهد گرفت. تایید هویت براساس کامپیوتر را در بخش های بعدی پیاده سازی خواهیم کرد. در این بخش نحوی انتخاب بین گزینه موجود در بخش های مختلف را مورد بررسی قرار می دهیم . در این بررسی به ابزار های زیر نیاز خواهیم داشت :

  • یک Authenticator مانند یک سوئیچ Catalyst
  • یک Authentication Server مانند Cisco Secure ACS
  • یک Supplicant مانند (Cisco Secure Services Client (CSSC

با توجه به اینکه پیاده سازی 802.1x نیاز دارد که چند بخش و تکنولوژی در کنار یکدیگر کار کنند. قبل از پیاده سازی جمع آوری اطلاعات مهم در این زمینه به پیاده سازی درست و موفقیت آمیز آن کمک زیادی می کند. برخی از این اطلاعات به شرح زیر هستند :

  • مشخص کردن اینکه روی کدام سوئیچ ها می خواهیم 802.1x را پیدا سازی کنیم.
  • مشخص کردن اینکه از چه دیتابیسی برای تایید هویت کاربران استفاده شود مانند Windows Active Directory ، ACS و …
  • مشخص کردن اینکه چه نوع کلاینت هایی ( پلتفرم و سیستم عامل) می خواهند از شبکه استفاده کنند.
  • مشخص کردن اینکه مسیر ارتباطی بین Suppliant و Authentication Server یک مسیر امن و مطمئن است یا خیر؟

 

انتخاب بین گزینه های موجود :


براساس اطلاعات جمع آوری شده در پیاده سازی 802.1x شما می توانید انتخاب هایی داشته باشید. برخی از این انتخاب ها به شرح زیر هستند :

  • انتخاب روش EAP : چندین روش EAP برای انتخاب وجود دارد. که براساس نیاز شما و ویژگی های این روش ها که قبلا توضیح داده شد می توانید یک روش که مناسب شرایط و نیاز های شما است را انتخاب کنید. به طور مثال اگه می خواهید از پسورد های ساده استفاده کنید می توانید روش EAP-FAST را انتخاب کنید یا اگر بخواهید از نرم افزارهای جانبی استفاده نکنید و از امکانات سیستم عامل استفاده کنید می توانید از PEAP استفاده کنید که توسط سیستم عامل ویندوز 7 پشتیبانی می شود استفاده کنید و یا اینکه اگر بخواهید هر دو کلاینت و سرور یکدیگر را تایید هویت کند می توانید از روش هایی مانند LEAP یا PEAP استفاده کرد. همانطور که دیدید براساس شرایط و نیازهای ما می توان از بین روش های EAP یک روش را برای شبکه خود در نظر گرفت.
  • انتخاب Supplicant : شما می توانید از supplicant هایی که توسط سیستم عامل یا به وسیله نرم افزار های جانبی فراهم شده اند استفاده کنید. به طور مثال PEAP توسط ویندوز 7 ارائه می شود و یا نرم افزار (Cisco Secure Services Client (CSSC به عنوان یک نرم افزار Supplicant ارائه شده است.

 

مراحل کلی پیاده سازی :


پیاده سازی 802.1x شامل مراحل زیر است :

  • مرحله اول : در این مرحله دستگاه هایی مانند سوئیچ یا Access Point به عنوان authenticator تنظیم می شود.
  • مرحله دوم : تعریف guest VLAN و restricated VLAN (این مرحله اختیاری می باشد)
  • مرحله سوم : فعال کردن روش EAP مانند EAP-FAST در Authentication Server مانند Cisco Secure ACS و همچنین تعریف کاربران در آن
  • مرحله چهارم : تنظیم 802.1x در Supplicant مانند (Cisco Secure Services Client (CSSC در کلاینت

802.1x و IBNS چیست و چگونه امنیت دسترسی به شبکه را فراهم می کند؟ – بخش پنجم

در ادامه مباحث 802.1x در خدمت شما دوستان هستیم.

EAP–Transport Layer Security :


EAP-TLS یک استاندارد است که توسط مایکروسافت توسعه یافت و توسط (Internet Engineering Task Force (IETF پذیرفته شد. این پروتکل بر پایه پروتکل (Transport Layer Security (TLS می باشد. همانند متد Cisco LEAP در EAP-TLS نیز هر دو کلاینت و سرور یکدیگر را تایید هویت می کنند. هرچند که در این روش پسورد مورد استفاده قرار نمی گیرد و بجای آن از RSA استفاده می شود. EAP-TLS از Certificate برای تایید هویت کلاینت و سرور استفاده می کند.
در فاز اول Radius Server برای کلاینت Certificate خود را ارسال میکند و کلاینت برای بررسی صحت Certificate ارسالی توسط Radius server محتوای Certificate را با صادر کننده آن یعنی (certificate authority (CA چک می کند. بعد از اینکه این مرحله با موفقیت انجام شد. در فاز دو کلاینت Certificate خود را برای Radius Server ارسال می کند Radius Server نیز محتوای Certificate دریافتی را با صادر کننده آن بررسی می کند. بعد از اینکه این مرحله نیز با موفقیت به اتمام رسید یک پیام EAP-Success به کلاینت ارسال می کند.
مزیت EAP-TLS امنیت بالای آن بخاطر استفاده از یکی از قویترین روش های تایید هویت حال حاضر است. مشکل آن پیچیده گی زیاد آن در راه اندازی است چون نیاز به اجزای بیشتری مانند (certificate authority (CA دارد و همچنین نیاز به پردازش بالاتری نسبت به سایر روش ها در هر دو سمت سرور و کلاینت دارد.
در تصویر زیر یک نمونه آن نمایش داده شده است :

Image

 

EAP–Tunneled Transport Layer Security :


EAP-TTLS یک توسعه برای EAP-TLS می باشد و به لحاظ عملکرد شبیه PEAP می باشد و دارای دو فاز است. EAP-TTLS همانند EAP-TLS از TLS برای ایجاد یک تانل بین authentication server و supplicant مورد استفاده قرار می گیرد که فاز یک را تشکیل می دهد. EAP-TTLS همانند PEAP از تانل TLS برای کپسوله کردن استفاده می کند اما تفاوت آن با PEAP پشتیبانی از روش هایی غیر از متدهای EAP مانند (PPP Authentication Protocol (PAP و (PPP Challenge Handshake Authentication Protocol (CHAP می باشد. EAP-TTLS بر خلاف EAP-TLS نیاز به تایید هویت هر دو سمت یعنی کلاینت و سرور ندارد که باعث می شود تنظیمات ساده تر شود.
در تصویر زیر نمونه آنرا می بینید :

Image

 

EAP–Flexible Authentication via Secure Tunneling :


(EAP–Flexible Authentication via Secure Tunneling (EAP-FAST توسط سیسکو ارائه شده است. سیسکو EAP-FAST را برای پشتیبانی از مشتریان که نیاز به سیاست های قوی در زمینه پسورد دارند و نیاز به راه اندازی Certificate ندارند ارائه کرده است. EAP-FAST حفاظت در برابر حملات مختلف را برای ما به ارمغان می آورد شامل حملاتی مانند man-in-themiddle و replay و dictionary attacks
فاز 1 یک تانل امن ایجاد می کند که کلاینت و سرور با استفاده (Protected Access Credential (PAC یکدیگر را تایید هویت کرده و این تانل امن را برقرار می کنند.
فاز 2 تایید هویت کلاینت را در تانل ایجاد شده انجام می دهد کلاینت یوزر و پسورد خود را برای تایید هویت ارسال می کند. در EAP-FAST برقراری تانل متکی به PAC و توسط authentication server مدیریت می گردد.
در تصویر زیر نمونه آنرا می بینید :

Image

دوستان مفاهیم و مباحث تئوری به اتمام رسیده و از قسمت بعد وارد مباحث پیاده سازی 802.1x خواهیم شد.