Posts

مکانیزم (Dynamic ARP Inspection (DAI و نحوی جلوگیری از حملات ARP spoofing و ARP poisoning

پروتکل ARP برای تبدیل آدرس IP به آدرس MAC مورد استفاده قرار می گیرد به طور مثال ، Host B می خواهد اطلاعاتی را برای Host A ارسال کند اما MAC آدرس Host A را ندارد به منظور پیدا کردن MAC آدرس Host A یک بسته Broadcast برای تمام دستگاه های آن broadcast domain ارسال می کند تا MAC آدرس مربوط به IP آدرس Host A را بدست آورد. تمام دستگاه های این broadcast domain این بسته را دریافت می کنند و Host A به آن پاسخ می دهد و MAC آدرس خود را اعلام می کند.
احتمال حمله ARP spoofing و ARP cache poisoning وجود دارد چون این امکان وجود دارد که به جای دستگاه مورد نظر مهاجم پاسخ ARP را با اطلاعات مورد نظر خود ارسال کند یا حتی ARP اجازه ارسال gratuitous ARP را می دهد که در آن MAC آدرس دستگاه اعلام می شود بدون اینکه درخواستی برای آن صادر شده باشد. بعد از این حمله ، تمام ترافیک دستگاهی که به آن حمله شده است از طریق دستگاه مهاجم جریان پیدا می کند یعنی ابتدا ترافیک به دست دستگاه مهاجم می رسد سپس از طریق دستگاه مهاجم به روتر ، دستگاه و … ارسال می شود.
حمله ARP cache poisoning می تواند ARP caches دستگاه های متصل به subnet مثل hosts ، switches و routers را آلوده کند و به این شکل ترافیک به یک دستگاه دیگر در subnet هدایت می شود. در تصویر زیر یک نمونه از این حمله نمایش داده شده است.

Image

Host A و Host B و Host C به اینترفیس های سوئیچ متصل هستند و همه آنها در یک subnet قرار دارند. IP و MAC آدرس آنها در پرانتز مشخص شده است به طور مثال Host A از IP آدرس IA و MAC آدرس MA استفاده می کند. زمانی که Host A بخواهد با Host B در ارتباط برقرار کند یک درخواست ARP برای MAC آدرس مربوط به IP آدرس IB به صورت Broadcast ارسال می کند. زمانی که سوئیچ و Host B این درخواست ARP را دریافت می کنند IP آدرس IA و MAC آدرس MA را به ARP cache خود اضافه می کنند و در اینجا IP آدرس IA به MAC آدرس MA منتسب می شود. زمانی که Host B پاسخ می دهد سوئیچ و Host A به ARP cache خود IP آدرس IB و MAC آدرس MB را اضافه می کنند.
Host C می تواند با ارسال پاسخ ARP جعلی ARP caches سوئیچ را برای Host A و Host B آلوده کند و در این پاسخ IP آدرس IA یا IB به MAC ادرس MC منتسب می شود. دستگاهی که ARP cache آن آلوده شده است از MAC آدرس MC برای ارتباط با IP های IA و IB استفاده می کند. به معناست که Host C جریان ترافیک را تغییر داده است Host C می داند که MAC آدرس مرتبط با IP آدرس های IA و IB چیست و می تواند این ترافیک را به سمت این Host ها با استفاده از MAC آدرس درست هدایت کند. به این شکل Host C خود را در بین جریان ترافیک انتقالی بین Host A و Host B قرار داده است و به عنوان یک حمله man in the middle شناخته می شود.
DAI یک ویژگی امنیتی است که اعتبار بسته های ARP را در شبکه کنترل می کند. DAI بسته های ARP که انتصاب IP به MAC آنها مشکل دارد را drop می کند. این قابلیت باعث می شود که شبکه در برابر برخی از حملات man-in-the-middle محافظت شود.
DAI اعتبار بسته های ARP را براساس دیتابیس خود مورد بررسی قرار می دهد. که این دیتابیس DHCP Snooping می باشد. اگر قابلیت DHCP snooping فعال باشد این دیتابیس تشکیل می شود. اگر بسته ARP روی اینترفیس trusted دریافت شود بدون بررسی آنرا ارسال خواهد کرد اما روی اینترفیس ها untrusted تنها در صورتی که این بسته معتبر باشد ارسال خواهد شد.
در مثال زیر تنظمیات لازم برای اجرای DAI برای کاهش اثرات این حملات نمایش داده شده است.
فعال کردن DAI برای VLAN 10 :

SW(config)#ip arp inspection vlan 10

قرار دادن اینترفیس در حالت trust :

SW(config)#interface fastethernet 0/1
SW(config-if)#ip arp inspection trust

بررسی و کنترل تنظیمات :

SW#show ip arp inspection vlan 10
SW#show ip arp inspection interfaces

پیاده سازی 802.1x – بخش هشتم

در ادامه پیاده سازی 802.1x در خدمت شما دوستان عزیز هستم :

تنظیم RADIUS Server :


در این سناریو از EAP-FAST برای پیاده سازی 802.1x استفاده می شود.EAP-FAST به عنوان یک معماری امنیتی برای حفاظت از مذاکرات EAP به وسیله تانل (Transport Layer Security (TLS می باشد. این تانل به وسیله shared secrect ایجاد می شود و به آن (Protected Access Credentials (PAC گفته می شود.
تنظیم RADIUS Server برای 802.1x شامل چندین مرحله است که به شرح زیر است :

  • تنظیم Authenticator در سرور AAA
  • تنظیم EAP-FAST در سرور AAA
  • مشخص کردن دیتابیس کاربران در سرور AAA
  • (اختیاری) تولید فایل PAC
  • (اختیاری) تنظیم (Network Access Restrictions (NAR برای کاربران 802.1x
  • فعال کردن logging

 

انتخاب بین گزینه های موجود :


قبل از اجرا ، در چند بخش باید انتخاب هایی انجام شود که به شرح زیر است :

  • نیاز به استفاده از (Network Access Restrictions (NAR وجود دارد یا خیر؟ از NAR می توان برای اعمال محدودیت هایی اضافی برای کاربران قبل از اینکه کاربر هویت آن تایید شود استفاده کرد. به طور مثال ، شما می توانید دسترسی به یک محدوده خاص از شبکه را برای کاربران مشخص کنید. زمانی که از NAR استفاده می کنید گزینه های مختلفی برای استفاده وجود دارد.
  • انتخاب نحوی تهیه فایل (Protected Access Credential (PAC از اهمیت ویژه ای برخوردار است. اگر شبکه بین سرور AAA و سوئیچ یک مسیر کاملا امن است می توانید فایل PAC را به صورت خودکار ایجاد کنید. اگر مسیر امن نیست باید فایل PAC به صورت دستی ایجاد گردد.
  • یکی دیگر از انتخاب های مهم محل قرار گیری اطلاعات کاربران می باشد. می توان از دیتابیس داخلی Cisco Secure ACS یا یک دیتابیس خارجی استفاده کرد که ACS برای تایید هویت به آن مراجعه خواهد کرد. استفاده از دیتابیس خارجی مانند اکتیو دایرکتوری باعث سهولت در مدیریت می شود و همچنین ویژگی single sign-on برای کاربر فعال می شود.

 

تنظیم Cisco Secure ACS :


کلاینت هایی که پورت های سوئیچ متصل هستند نیاز به تایید هویت دارند. یوزر و پسورد با استفاده EAP-MSCHAPv2 توسط تانل EAP-FAST با سرور AAA تایید هویت انجام می شود. Authenticator که IOS سیسکو را اجرا کرده است و IP آدرس 192.168.1.1 به عنوان Management IP برای آ« مشخص شده است. VLAN 100 برای guest network استفاده می شود و تنها دسترسی به شبکه اینترنت در آن فراهم شده است. از Cisco Secure ACS 4.2 به عنوان RADIUS Server استفاده می شود که روی Windows Server با IP آدرس 10.1.1.1 اجرا شده است.

تنظیم Authenticator در ACS :


برای اینکه Cisco Secure ACS کلاینت های را تایید هویت کند باید Authenticator به عنوان یک AAA Client در ACS تعریف شود. مراحل زیر را برای تعریف یک Authenticator به عنوان AAA Client در ACS دنبال کنید :

  • مرحله 1 : از پنل سمت چپ ACS روی گزینه Network Configuration کلیک کنید.
  • مرحله 2 : روی کلید Add Entry زیر جدول AAA Client کلیک کنید.
  • مرحله 3 : یک نام در کادر AAA Client Hostname برای سوئیچ وارد کنید.
  • مرحله 4 : IP آدرس سوئیچ را در کادر AAA Client IP Address وارد نمایید.
  • مرحله 5 : مقدار کادر Key را برابر مقداری که در سوئیچ به عنوان key برای RADIUS Server در نظر گرفته اید قرار دهید.
  • مرحله 6 : از لیست Authenticate Using گزینه RADIUS (Cisco IOS/PIX) را انتخاب کنید.
  • مرحله 7 : روی کلید Submit + Restart کلیک کنید.

در تصویر زیر یک AAA Client با نام AP و IP آدرس 10.0.0.106 با کلید sharedsecret به Cisco Secure ACS اضافه شده است. نوع ارتباط بین Cisco Secure ACS و سوئیچ را (RADIUS (Cisco IOS/PIX تعیین شده است.
نکته : اگر Authenticator را به عنوان AAA Client در Cisco Secure ACS اضافه نکنید درخواست های تایید هویت که توسط Authenticator به Cisco Secure ACS ارسال شوند پاسخ داده نخواهند شد.

Image

 

تنظیم EAP-FAST در Cisco Secure ACS :


بخش دوم تنظیمات Cisco Secure ACS به فعال کردن EAP-FAST اختصاص دارد. مراحل زیر را برای فعال کردن EAP-FAST در ACS دنبال کنید :

  • مرحله 1 : از پنل سمت چپ ACS گزینه System Configuration را انتخاب کنید.
  • مرحله 2 : روی گزینه Global Authentication Setup کلید کنید.
  • مرحله 3 : روی گزینه EAP-FAST Configuration کلیک کنید و در صفحه باز شده چک باکس Allow EAP-FAST را انتخاب کنید تا EAP-FAST فعال شود.
  • مرحله 4 : در کادر Authority ID Info یک نام منحصربه فرد وارد کنید. در اینجا نام Cisco برای آن در نظر گرفته شده است.
  • مرحله 5 : اگر مسیر برای انتقال فایل PAC امن است چک باکس Allow Anonymous In-band PAC Provisioning را انتخاب کنید در غیر اینصورت این گزینه را انتخاب نکنید و به صورت دستی انتقال فایل PAC را انجام دهید.
  • مرحله 6 : در قسمت Allowed inner methods گزینه EAP-MSCHAPv2 را انتخاب کنید.
  • مرحله 7 : روی کلید Submit + Restart کلیک کنید.
Image

 

پیاده سازی 802.1x – بخش هفتم

در ادامه پیاده سازی 802.1x در خدمت شما دوستان عزیز هستم :

تنظیم Authenticator :


برای اینکه یک سوئیچ یا دستگاه دیگر به عنوان Authenticator عمل کند باید چندین عمل روی آن انجام داد که به شرح زیر است :

  • تنظیم Radius Server و AAA Server در سوئیچ
  • تنظیم سوئیچ جهت استفاده از AAA و Radius برای تایید هویت
  • فعال کردن 802.1x به صورت Globally در سوئیچ
  • تنظیم پورت های Access در سوئیچ که باید تایید هویت کاربران را انجام دهد
  • (اختیاری) تنظیم periodic reauthentication
  • (اختیاری) تنظیم timers and thresholds
  • (اختیاری) تنظیم guest policy در صورت نیاز در سوئیچ

برخی از این عملیات ها اختیاری است که به شرح آنها می پردازیم :
periodic reauthentication : در بعضی مواقع 802.1x جهت تایید هویت در سوئیچی که کلاینت به آن متصل است تنظیم نشده است و تایید هویت توسط سوئیچ بالا دست انجام می شود. تنظیم periodic reauthentication در آن سوئیچ باعث می شود که در بازه های مشخص اقدام به تایید هویت مجدد نماید و از متصل بودن کلاینت اطمینان حاصل کند و پورت را در وضعیت Authorized نگه دارد.
timers and thresholds : تایمر پیش فرض برای تایید هویت در IOS سیسکو بسیار محافظه کارانه تنظیم شده است اگر پروسه تایید هویت شما به دلایل مختلف زمانبر است می توانید این تایمر را براساس نیاز خود تنظیم کنید.
guest policy : ایجاد guest network اختیاری است و برای کلاینت هایی که از 802.1x پشتیبانی نمی کنند یا هویت آنها تایید نشده است مورد استفاده قرار می گیرد. با استفاده از guest network یک دسترسی محدود به کاربر مانند دسترسی به فقط اینترنت داده می شود.

سناریو :


سناریوی که قرار است باهم پیاده سازی کنیم در تصویر زیر مشاهده می کنیم. این سناریوی شامل بخش های زیر است :

  • کاربران داخلی سازمان برای اتصال از 802.1x استفاده می کنند و همچنین کاربرانی guest وجود دارد.
  • سوئیچ به عنوان authenticator عمل می کند.
  • VLAN 100 برای quest network مورد استفاده قرار می گیرد و تنها دسترسی به اینترنت را فراهم می کند.
  • از Cisco Secure ACS 4.2 به عنوان AAA Server استفاده می کنیم که در windows server اجرا می شود و برای 802.1x به عنوان Radius عمل می کند.
Image

 

تنظیم RADIUS Server :


اولین عمل برای فعال کردن Authenticator تنظیم RADIUS server است :

  • مرحله 1 : دستور radius-server host به همراه آدرس IP سرور Radius را استفاده می کنیم. سوئیچ برای تایید هویت با این سرور ارتباط برقرار می کند. همچنین با استفاده از کلمه key می توانیم از این ارتباط حفاظت کنیم.
  • مرحله 2 : (اختیاری) شما می توانید پورت های پیش فرض authentication و accounting را تغییر دهید.

نکته : می توانید دو RADIUS server تعریف کنید که برای AAA Server افزونگی (Redundant) فراهم می کند. استفاده از کلید پیچیده و همچنین کلید های متفاوت برای هر سوئیچ برای افزایش امنیت پیشنهاد می شود.
نکته : قبل از استفاده از این دستور باید AAA فعال شده باشد.
در دستورات زیر Radius server با آدرس 10.1.1.1 و پورت های استاندارد UDP 1812 , 1813 و کلید rad123 تنظیم شده است :

SW(config)#radius-server host 10.1.1.1 auth-port 1812 acct-port 1813 key rad123

 

فعال کردن AAA و استفاده از RADIUS برای Authentication :


در این مرحله AAA فعال می شود و برای Authentication استفاده از RADIUS تعیین می شود.

  • مرحله 1 : AAA را به صورت globally با استفاده از دستور aaa new-model فعال می کنیم.
  • مرحله 2 : در اینجا مشخص می کنیم که aaa authentication برای تایید هویت از RADIUS Server استفاده کند.

در دستورات زیر فعال کردن AAA و همچنین تعیین RADIUS Server برای AAA Authentication برای تایید هویت کلاینت ها نشان داده شده است :

SW(config)#aaa new-model
SW(config)#aaa authentication dot1x default group radius none

 

فعال کردن 802.1X به صورت Globally و در User Ports :


در این مرحله 802.1x به صورت globally فعال می شود و سپس 802.1x در پورت های access سوئیچ فعال می گردد.

  • مرحله 1 : 802.1x با استفاده از دستور system-auth-control به صورت globally فعال می شود.
  • مرحله 2 : در پورت هایی که باید 802.1x authentication در آنها فعال گردد مطمئن شوید که پورت در حالت access قرار دارد برای اینکه پورت را در حالت access قرار دهیم از دستور switchport mode access در اینترفیس مربوطه استفاده می کنیم.
  • مرحله 3 : اینترفیس را در vlan مناسب قرار دهید که با استفاده از دستور switchport access vlan vlan-id انجام می شود.
  • مرحله 4 : 802.1x را در اینترفیس مورد نظر با استفاده از دستور authentication port-control فعال می کنیم.

در دستورات زیر فعال کردن 802.1x به صورت globally و همچنین قرار دادن اینترفیس در حالت access و تعیین vlan و در نهایت فعال کردن 802.1x در اینترفیس نمایش داده شده است.

SW(config)#dot1x system-auth-control
SW(config)#interface fastethernet 0/1
SW(config-if)#switchport mode access
SW(config-if)#switchport access vlan 90
SW(config-if)#authentication port-control auto

 

تنظیم Periodic Reauthentication :


تنظیم این مرحله اختیاری می باشد و می توانید آنرا روی یک یا چند اینترفیس تنظیم کنید. به صورت پیش reauthentication فعال نیست و این می تواند در برخی از شبکه ها که روی همه سوئیچ 802.1x فعال نیست باعث بروز مشکل شود. به طور مثال اگر 802.1x در لایه distribution فعال باشد این سوئیچ ها از قطع شدن ارتباط کلاینت باخبر نمی شود. Periodic reauthentication در بازه های زمانی مشخص اقدام به تایید هویت مجدد کلاینت ها می کند که باعث می شود این مشکل از بین برود.
جهت فعال کردن این ویژگی مراحل زیر را باید طی کنیم :

  • مرحله 1 : با استفاده از دستور authentication periodic در اینترفیس مورد نظر این قابلیت فعال می شود.
  • مرحله 2 : با استفاده از دستور authentication timer reauthenticate می توانیم بازه زمانی برای تایید هویت مجدد را مشخص کنیم. به صورت پیش فرض مقدار آن برابر 3600 ثانیه یعنی هر یک ساعت یکبار می باشد. کم کردن این زمان به لحاظ امنیتی مفید است اما از سوی دیگر می تواند بار بیشتری متوجه RADIUS Server کند. در نتیجه مقدار آنرا طوری باید انتخاب کرد که هر دو بحث امنیت و بار تحمیلی به سرور در آن در نظر گرفته شود.

در دستورات زیر فعال کردن periodic reauthentication نمایش داده شده است :

SW(config)#interface fastethernet 0/1
SW(config-if)#authentication periodic
SW(config-if)#authentication timer reauthenticate 600

 

تنظیم Timers and Thresholds :


تنظیم این مرحله اختیاری است شما می توانید با تنظیم تایمر EAPOL عملیات تایید هویت 802.1x و تبادل بین supplicant و authenticatorرا بهینه کنید.
در تصویر زیر بسته هایی که بین supplicant و authenticator و authentication server تبادل می شود نمایش داده شده است.

Image

نکته : EAPOL بین supplicant و authenticatorمورد استفاده قرار می گیرد و بین authenticator و authentication server از RADIUS استفاده می شود.
Authenticator انتظار دریافت فریم EAP-Response-Identity را در پاسخ به فریم EAP-Request-Identity دارد. اگر در زمان تعیین شده فریمی دریافت نکند مجدد اقدام به ارسال فریم EAP-Request-Identity می کند. زمان پیش فرض 30 ثانیه می باشد. شما می توانید این زمان را برای پاسخگویی بهتر تغییر دهید که پروسه تایید هویت سریع تر انجام شود. برای تغییر این زمان از دستور dot1x timeout txperiod در اینترفیس مورد نظر می توانید استفاده کنید.
اگر تایید هویت کلاینت به دلایلی مانند اشتباه وارد کردن پسورد با شکست مواجه شود Authenticator یک بازه زمانی صبر می کند سپس برای تایید هویت اقدام می کند که این بازه زمانی به صورت پیش فرض 60 ثانیه می باشد. شما می توانید با کم کردن این زمان پروسه تایید هویت را سریع انجام دهید. برای تغییر این بازه زمانی می توانید از دستور dot1x timeout quiet-period در اینترفیس مورد نظر استفاده کنید.
در دستورات زیر تنظیم این زمان ها نمایش داده شده است :

SW(config-if)#interface fastethernet 0/1
SW(config-if)#dot1x timeout tx-period 10
SW(config-if)#dot1x timeout quiet-period 10

 

تنظیم guest policy :


این مرحله نیز اختیاری است در این مرحله یک VLAN برای کلاینت هایی که تایید هویت آنها با شکست مواجه شده است یا از 802.1x پشتیبانی نمی کنند در نظر گرفته می شود. به این معنی که کلاینت هایی که تایید هویت نمی شوند در این VLAN قرار می گیرند. این VLAN باید از قبل در سوئیچ وجود داشته باشد.
در حالتی که تایید هویت با شکست مواجه شود شما باید مشخص کنید بعد از چند بار که تایید هویت با شکست مواجه شد کلاینت را در این VLAN قرار دهد. از دستور authentication event fail retry number action authorize vlan در حالت تایید نشدن هویت استفاده می شود و برای حالت عدم پشتیبانی از 802.1x از دستور authentication event no-response action authorize VLAN استفاده می شود.
در دستورات زیر تعیین Guest VLAN نمایش داده شده است :

SW(config-if)#interface fastethernet 0/1
SW(config-if)#authentication event fail retry 2 action authorize vlan 100
SW(config-if)#authentication event no-response action authorize vlan 100

 

بررسی و خطایابی در Authenticator :


در صورت بروز مشکل در Authenticator برای تایید هویت می تواند عملکرد شبکه را تحت تاثیر خود قرار دهد و باعث شود بخشی از شبکه از دسترس خارج شود.
دستور show dot1x وضعیت 802.1x را به نمایش می دهد همانند تصویر زیر :

Image

دستور show dot1x all summary که در تصویر زیر می بینید وضعیت هر پورت که را که در آن 802.1x فعال شده باشد را به ما نشان می دهد:

Image

در قسمت بعد نحوی تنظیم ACS را فرا خواهیم گرفت. موفق ، پیروز و itpro باشید.

802.1x و IBNS چیست و چگونه امنیت دسترسی به شبکه را فراهم می کند؟ – بخش پنجم

در ادامه مباحث 802.1x در خدمت شما دوستان هستیم.

EAP–Transport Layer Security :


EAP-TLS یک استاندارد است که توسط مایکروسافت توسعه یافت و توسط (Internet Engineering Task Force (IETF پذیرفته شد. این پروتکل بر پایه پروتکل (Transport Layer Security (TLS می باشد. همانند متد Cisco LEAP در EAP-TLS نیز هر دو کلاینت و سرور یکدیگر را تایید هویت می کنند. هرچند که در این روش پسورد مورد استفاده قرار نمی گیرد و بجای آن از RSA استفاده می شود. EAP-TLS از Certificate برای تایید هویت کلاینت و سرور استفاده می کند.
در فاز اول Radius Server برای کلاینت Certificate خود را ارسال میکند و کلاینت برای بررسی صحت Certificate ارسالی توسط Radius server محتوای Certificate را با صادر کننده آن یعنی (certificate authority (CA چک می کند. بعد از اینکه این مرحله با موفقیت انجام شد. در فاز دو کلاینت Certificate خود را برای Radius Server ارسال می کند Radius Server نیز محتوای Certificate دریافتی را با صادر کننده آن بررسی می کند. بعد از اینکه این مرحله نیز با موفقیت به اتمام رسید یک پیام EAP-Success به کلاینت ارسال می کند.
مزیت EAP-TLS امنیت بالای آن بخاطر استفاده از یکی از قویترین روش های تایید هویت حال حاضر است. مشکل آن پیچیده گی زیاد آن در راه اندازی است چون نیاز به اجزای بیشتری مانند (certificate authority (CA دارد و همچنین نیاز به پردازش بالاتری نسبت به سایر روش ها در هر دو سمت سرور و کلاینت دارد.
در تصویر زیر یک نمونه آن نمایش داده شده است :

Image

 

EAP–Tunneled Transport Layer Security :


EAP-TTLS یک توسعه برای EAP-TLS می باشد و به لحاظ عملکرد شبیه PEAP می باشد و دارای دو فاز است. EAP-TTLS همانند EAP-TLS از TLS برای ایجاد یک تانل بین authentication server و supplicant مورد استفاده قرار می گیرد که فاز یک را تشکیل می دهد. EAP-TTLS همانند PEAP از تانل TLS برای کپسوله کردن استفاده می کند اما تفاوت آن با PEAP پشتیبانی از روش هایی غیر از متدهای EAP مانند (PPP Authentication Protocol (PAP و (PPP Challenge Handshake Authentication Protocol (CHAP می باشد. EAP-TTLS بر خلاف EAP-TLS نیاز به تایید هویت هر دو سمت یعنی کلاینت و سرور ندارد که باعث می شود تنظیمات ساده تر شود.
در تصویر زیر نمونه آنرا می بینید :

Image

 

EAP–Flexible Authentication via Secure Tunneling :


(EAP–Flexible Authentication via Secure Tunneling (EAP-FAST توسط سیسکو ارائه شده است. سیسکو EAP-FAST را برای پشتیبانی از مشتریان که نیاز به سیاست های قوی در زمینه پسورد دارند و نیاز به راه اندازی Certificate ندارند ارائه کرده است. EAP-FAST حفاظت در برابر حملات مختلف را برای ما به ارمغان می آورد شامل حملاتی مانند man-in-themiddle و replay و dictionary attacks
فاز 1 یک تانل امن ایجاد می کند که کلاینت و سرور با استفاده (Protected Access Credential (PAC یکدیگر را تایید هویت کرده و این تانل امن را برقرار می کنند.
فاز 2 تایید هویت کلاینت را در تانل ایجاد شده انجام می دهد کلاینت یوزر و پسورد خود را برای تایید هویت ارسال می کند. در EAP-FAST برقراری تانل متکی به PAC و توسط authentication server مدیریت می گردد.
در تصویر زیر نمونه آنرا می بینید :

Image

دوستان مفاهیم و مباحث تئوری به اتمام رسیده و از قسمت بعد وارد مباحث پیاده سازی 802.1x خواهیم شد.

802.1x و IBNS چیست و چگونه امنیت دسترسی به شبکه را فراهم می کند؟ – بخش چهارم

در ادامه مباحث 802.1x در خدمت شما دوستان هستیم.

Port Authentication Host Modes :


802.1x برای port authentication از چند host mode مختلف پشتیبانی می کند که این mode ها به شرح زیر است :

  • Single-Host Only : در این حالت برای هر پورت تنها یک host می تواند تایید هویت شود و اگر بیشتر از یک host برای تایید هویت تلاش کند یک پیغام خطا تولید می شود.
  • Multi-Host : در این حالت یک میزبان تایید هویت می شود و سایر میزبان ها بدون نیاز به تایید هویت می توانند از پورت استفاده کنند. اگر میزبانی که تایید هویت شده ارتباط خود را قطع کند پورت در وضعیت unauthorized قرار می گیرد و سایر میزبان ها نمی توانند دیگر از پورت استفاده کنند مگر اینکه یکی از آنها اقدام به تایید هویت کند.
  • Multi-Domain : این امکان را فراهم می کند تایید هویت برای دو دامین data و voice انجام گیرد. این حالت زمانی استفاده می شود که به یک پورت یک IP Phone و یک Computer متصل باشد.
  • Multi-Auth : در این حالت کامپیوترهایی که به یک پورت متصل هستند هر کدام به صورت مستقل تایید هویت می شوند. در این حالت همه کامپیوترهای متصل به این پورت در یک زمان واحد در یک VLAN قرار می گیرند و VLAN براساس اولین کامپیوتری که به پورت متصل شود تعیین می گردد. برای در نظر گرفتن مسائل امنیتی در این حالت بهترین راه استفاده از ACL می باشد.
  • Open : در این حالت هیچ محدودیتی برای دسترسی به شبکه وجود ندارد.

 

EAP Type Selection :


چندین روش مختلف برای تایید هویت به وسیله EAP برای شبکه های سیمی و بیسیم وجود دارد. که پرکاربرد ترین روش های آن به شرح زیر است :

  • EAP-MD5
  • PEAPv0-MSCHAPv2
  • LEAP
  • EAP-TLS
  • EAP-TTLS
  • EAP-FAST

در ادامه این روش های را مورد بررسی قرار می دهیم.

EAP–Message Digest Algorithm 5 :


EAP-MD5 براساس (message digest algorithm 5 (MD5 تایید هویت را انجام می دهد. در این روش هویت کلاینت به صورت hash شده روی شبکه ارسال می شود. در این روش سرور یک رشته به صورت تصادفی تولید می کند و آنرا به کلاینت ارسال می کند کلاینت رشته دریافتی را با استفاده از پسورد خود که به عنوان کلید در نظر گرفته می شود hash کرده و به سرور ارسال می کند. سرور نیز رشته ای که تولید کرده را با پسورد مربوط به کلاینت که از قبل در دیتابیس خود داشته hash می کند سپس hash خود را با hash ارسالی توسط کلاینت مقایسه می کند.
این روش به خوبی پشتیبانی می شود و یک مکانیزم تایید هویت ساده را با استفاده از یوزر و پسورد فراهم می کند. همچنین این روش بار پردازشی زیادی به سرور یا کلاینت تحمیل نمی کند چون پردازش آن ساده و راحت است.
نقطه ضعف این روش به عملکرد MD5 برمی گردد که باید پسورد تمام کاربران را به صورت clear-text در authentication server ذخیره گردد.
نکته : این روش یک مکانیزم استاندارد است و در ویندوز XP این مکانیزم را داریم اما در ویندوز 7 و بعد از آن این روش حذف شده است.
نکته : در این روش احراز هویت به صورت یکطرفه انجام می گیرد و فقط authentication server امکان احراز هویت کلاینت را دارد و کلاینت نمی تواند authentication server را احراز هویت کند.
در تصویر زیر نمونه آن نمایش داده شده است :

Image

 

Protected EAP w/MS-CHAPv2 :


(Protected EAP (PEAP به صورت مشترک توسط Cisco Systems ، Microsoft و RSA Security ارائه شده است و از روش های مختلف کپسوله کردن EAP به همراه تانل (Transport Layer Security (TLS پشتیبانی می کند.
PEAP از مجموعه از روش های تایید هویت کاربران پشتیبانی می کند. در سمت سرور از Certificate برای تایید هویت استفاده می شود که بر پایه (public-key infrastructure (PKI می باشد. PEAP میتواند برای تایید هویت از یوزر و پسورد های ویندوزی استفاده کند که این یوزر و پسوردها می توانند دامینی یا به صورت local باشد.
PEAP برای عملکرد خود از دو فاز استفاده می کند :

  • فاز 1 : در این فاز یک تانل امن توسط سرور ایجاد می گردد. که این تانل برای حمل بسته های تایید هویت EAP بین کاربر و Radius Server مورد استفاده قرار می گیرد.
  • فاز 2 : Radius Server کلاینت را به وسیله MS-CHAP version 2 از طریق تانل امنی که ایجاد شده تایید هویت می کند.

نکته : در این روش احراز هویت به صورت دو طرفه انجام می گیرد که کلاینت با استفاده از Cetificate سرور را تایید هویت می کند. در ابتدا کلاینت سرور را تایید هویت می کند.
نکته : در این روش Radius Server ما نیاز به Certificate دارد. نرم افزار ACS سیسکو قابلیت ایجاد Certificate به صورت Self-sign را دارد.
در تصویر زیر نمونه آن نمایش داده می شود :

Image

 

Cisco Lightweight EAP :


(Cisco Lightweight EAP (LEAP توسط سیسکو ارائه شده است و مکانیزم آن شبیه EAP-MD5 است با این تفاوت که کلاینت و سرور هر دو یکدیگر را تایید هویت می کند. کلاینت برای تایید هویت از shared secret استفاده می کند و سرور از پسورد کاربر برای این کار بهره می گیرد. در اینجا سرور یک رشته تولید و برای کلاینت ارسال می کند و این رشته به وسیله پسورد کاربر توسط کلاینت hash می شود و به سرور ارسال می شود سرور رشته را با پسورد مربوط به کاربر که در دیتابیس خود دارد hash می کند و این دو hash را با یکدیگر مقایسه می کند. بعد از اینکه تایید هویت کاربر توسط سرور انجام شد اینبار کلاینت هویت سرور مورد بررسی قرار می دهد به اینصورت که یک رشته تولید می کند و برای سرور ارسال می کند و سرور رشته را با shared secret خود hash می کند و برای کلاینت ارسال می کند. کلاینت نیز رشته ای که تولید کرده را به وسیله shared secret که از قبل برای آن مشخص کرده اند hash می کند و دو hash را با هم مقایسه می کند و به اینصورت سرور توسط کلاینت تایید هویت می شود.

802.1x و IBNS چیست و چگونه امنیت دسترسی به شبکه را فراهم می کند؟ – بخش سوم

در ادامه مباحث 802.1x در خدمت شما دوستان هستیم.

(EAP over LAN (EAPOL :


در بستر LAN ارتباط بین supplicant و authenticator توسط EAPoL انجام می گیرد. EAPoL از رسانای انتقال مختلفی از جمله Ethernet ، Token Ring ، FDDI و WLANs پشتیبانی می کند. EAPoL این قابلیت را فراهم می کند که بسته های EAP توسط ماکنیزم MAC در LAN اداره شوند.
فریم EAPoL نسبتا ساده است که در تصویر زیر نمایش داده شده است. EAP درون یک فریم کپسوله شده است.

Image

MAC Address مبدا و مقصد هر دو یک فیلد 6 بایتی هستند و مشابه همه بسته های نرمال Ethernet مورد استفاده قرار می گیرند. MAC Address مقصد همیشه مقدار 01:80:C2:00:00:03 که مربوط به (Port Access Entity (PAE می باشد را به خود می گیرد.
فیلد PAE Ethernet دو بایتی است و همیشه مقدار 88:8E را دارد.
فیلد Packet Type یک بایتی است و مقدار آن نشان دهنده نوع بسته می باشد که در جدول زیر این مقادیر نمایش داده شده است.

Image

فیلد Packet Body Length یک فیلد دو بایتی است و طول بسته را مشخص می کند. زمانی که نوع بسته یکی از انواع EAP-Packet ، EAPOL-Key و EAPOL-Encapsulated-ASP-Alert باشد این فیلد مورد استفاده قرار می گیرد.

EAP Message Exchange :


تبادل پیام ها و بسته های EAP می تواند برای فهم سخت باشد در تصویر زیر یک نمونه آن نمایش داده شده است. این نکته را همیشه در نظر بگیرد که بسته های EAP به صورت EAPoL کپسوله می شوند و بین supplicant و authenticator تبادل می شوند. بین authenticator و authentication server نحوی کپسوله کردن بسته ها به Radius Server بستگی دارد.

Image

مراحل زیر را دنبال کنید تا متوجه شوید در هر مرحله چه اتفاقی می افتد:

  • مرحله 1 : در اولین مرحله supplicant یک فریم EAPoL-Start به authenticator ارسال می کند تا به آن اعلام کند که آماده تایید هویت است. اگر authenticator شروع کننده این ارتباط باشد هیچ بسته ای تحت عنوان EAPoL-Start ارسال نخواهد شد.
  • مرحله 2 : در اینجا authenticator به محض اینکه تشخیص دهد که لینک فعال شده است یک بسته EAP-Request/Identity به supplicant ارسال می کند. (به طور مثال کلاینت به یک پورت سوئیچ متصل شود)
  • مرحله 3 : در این مرحله supplicant یک بسته EAP-Response/Identity به authenticator ارسال می کند. Authenticator بسته دریافتی را به authentication server ارسال می کند. نحوی انتقال درخواست از supplicant به authentication server به پروتکل مورد استفاده Radius Server بستگی دارد.
  • مرحله 4 : در اینجا authentication server یک challenge مانند token password system به authenticator ارسال می کند. Authenticator آنرا از بسته IP خارج کرده و درون EAPoL کسپوله می کند و آنرا به سمت supplicant ارسال می کند. با توجه به نوع Authentication این پیام ها و تعداد آنها می تواند متفاوت باشد. EAP می تواند از دو حالت Authentication پشتیبانی کند در حالت اول فقط کلاینت توسط authentication server تایید هویت می شود ولی در حالت دوم authentication server کلاینت را تایید هویت می کند و همچنین کلاینت authentication server را تایید هویت می کند. بهتر است که حالت دوم در محیط های وایرلس مورد استفاده قرار گیرد.
  • مرحله 5 : سپس supplicant به challenge پاسخ می دهد که این پاسخ از طریق authenticator به authentication server ارسال می شود.
  • مرحله 6 : اگر هویت supplicant تایید شود authentication server یک پیام تصدیق هویت ارسال می کند که بعد از دریافت توسط authenticator این پیام به supplicant ارسال می شود و از این لحظه authenticator اجازه دسترسی به شبکه را می دهد اما این دسترسی می تواند براساس اطلاعات ارسالی توسط authentication server محدود شود. به طور مثال authenticator باید برای supplicant یک VLAN بسازد و یا برای آن یک ACL در نظر بگیرد.

 

Port State :


زمانی که از 802.1x استفاده می کنید پورت می تواند در یکی از سه وضعیت زیر قرار بگیرد :

  • Auto : در این حالت ، در ابتدا پورت در حالت unauthorized (غیر مجاز) قرار می گیرد و تنها ترافیک EAPOL ، CDP و STP را اجازه عبور می دهد. بعد از اینکه تایید هویت supplicant انجام شد. پورت در حالت authorized (مجاز) قرار می گیرد و اجازه عبور ترافیک را به صورت نرمال می دهد.
  • Forced-Authorized : در این حالت ، 802.1x روی پورت غیر فعال می شود و ترافیک به صورت نرمال و بدون هیچ محدودیتی جریان پیدا می کند. زمانی که 802.1x به صورت globally فعال نشده باشد این حالت پیش فرض می باشد.
  • Forced-Unauthorized : در این حالت ، پورت هیچ ترافیکی را عبور نمی دهد حتی ترافیک مرتبط با تایید هویت را قبول نمی کند.

اگر 802.1x در یک پورت سوئیچ فعال شود پورت در حالت Auto قرار می گیرد. زمانی که پورت در وضعیت Auto قرار گیرد در ابتدا پورت در حالت unauthorized قرار می گیرد و supplicant نیاز به تایید هویت دارد. بعد از اینکه تایید هویت supplicant انجام شد پورت در وضعیت authorized قرار می گیرد و اجازه عبور ترافیک را از کلاینت به منابع شبکه را می دهد. اگر کلاینت از 802.1x پشتیبانی نکند سوئیچ نمی تواند آنرا تایید هویت کند مگر اینکه امکان استفاده از MAB فراهم شده باشد یا guest VLAN تعریف شده باشد.

منتظر قسمت های بعدی باشید. موفق ، پیروز و itpro باشید.

802.1x و IBNS چیست و چگونه امنیت دسترسی به شبکه را فراهم می کند؟ – بخش دوم

در ادامه بحث 802.1x در خدمت شما دوستان هستیم.

  • Access control list (ACL) assignment :توسط 802.1x این امکان وجود دارد که اختصاص ACL به صورت دینامیک انجام شود. این ویژگی به مدیر این توانایی را می دهد که دسترسی کاربر را به منابع خاص شبکه محدود کند. می تواند اینکار را بدون در نظر گرفتن موقعیت استقرار کاربر انجام دهد و این ویژگی برای کاربرانی که در حال حرکت هستند بسیار مفید است.
  • Inaccessible Authentication Bypass : این ویژگی این امکان را می دهد که دستگاه هایی که از حساسیت خاصی در شبکه برخوردار هستند حتی در صورتی که RADIUS Server از سرویس دهی خارج شده باشد اجازه عبور ترافیک خود را داشته باشند و زمانی که RADIUS Server به سرویس دهی بازگشت به صورت خودکار تایید هویت را انجام دهد.
  • (MAC Authentication Bypass (MAB : اگر از این ویژگی استفاده شود می توانید دستگاه هایی را که از 802.1x پشتیبانی نمی کنند را تایید هویت کنید. اینکار با استفاده از MAC Address و تطبیق آن با اطلاعات RADIUS Server انجام می گیرد. این ویژگی بعد از اینکه از سمت کلاینت برای 802.1x درخواستی ارسال نشود انجام می گیرد.
  • Network Admission Control Layer 2 Validation : این ویژگی امکان بررسی وضعیت کلاینت را قبل از اینکه به آن اجازه دسترسی به شبکه را بدهد فراهم می کند. از این ویژگی برای بررسی آیتم هایی مانند فایروال ، آنتی ویروس و … می توان بهره برد.
  • (Web Authentication (WebAuth : این ویژگی این امکان را فراهم میکند که کاربر بتواند از طریق مرورگر احراز هویت شود. این ویژگی برای دستگاه هایی که از 802.1x پشتیبانی نمی کنند مناسب است.
  • (Flexible Authentication Sequencing (FlexAuth : این امکان را فراهم می آورد که چند روش برای تایید هویت در نظر بگیریم که در مرحله اول احراز هویت توسط 802.1x انجام می شود و در صورتی که تایید هویت انجام نشد روش بعدی یعنی MAB انجام می گیرد و در صورتی که این روش انجام نشد WebAuth فعال می گردد. امکان تغییر این ترتیب وجود دارد.
  • Open Access : این ویژگی باعث می شود حتی در صورت Fail شدن احراز هویت ، امکان دسترسی نرمال داده شود و معمولا در زمان پیاده سازی پروتکل 802.1x و خطایابی مورد استفاده قرار می گیرد.
  • Multi-Domain Authentication : زمانی که از این پورت در حالت Host استفاده شود به دستگاه اجازه می دهد که برای هر دو Domain یعنی Data و Voice عمل احراز هویت را انجام دهد.
  • (Multiple Authentications (MultiAuth : زمانی که پورت را در این حالت استفاده کنیم به پورت اجازه می دهیم که تمام دستگاه های متصل به این پورت را به صورت جداگانه تایید هویت کند به صورت پیش فرض اولین کاربر عمل احراز هویت را انجام می دهد و دیگران نیاز به احراز هویت برای استفاده از آن پورت را ندارند.
  • Remote Site IEEE 802.1x Local Authentication Service : زمانی که ما یک Remote Site داریم و امکان قطع شدن ارتباط آن و در نتیجه عدم دسترسی به RADIUS Server وجود دارد. این قابلیت این امکان را فراهم می کند که یک دستگاه به عنوان local RADIUS Server مشخص شود که در صورت قطع شدن ارتباط این دستگاه به عنوان Backup عمل می کند و مشکلی بابت سرویس دهی به وجود نمی آید.

 

اجزای تشکیل دهنده 802.1x :


IEEE در مکانیزم کاری 802.1x سه جزء را مشخص کرده است. که این سه جزء به شرح زیر هستند :

  • Supplicant : نقطه آغاز درخواست دسترسی به شبکه می باشد که می تواند یک کاربر ، دستگاه ، IP Phone و … باشد.
  • Authenticator : دستگاهی که بین Supplicant و Authentication server قرار دارد و درخواست تایید هویت کاربر را به سمت RADIUS Server ارسال می کند و براساس پاسخ RADIUS Server به کاربر یا دستگاه اجازه یا عدم اجازه دسترسی به شبکه را می دهد. به طور معمول کلاینت ها به صورت مستقیم به Authenticator متصل می شوند. دستگاه هایی مانند Switch و Access Point به عنوان Authenticator نقش ایفا می کنند.
  • Authentication server : سروری که تایید هویت Supplicant را انجام دهد نحوی ایجاد دسترسی یا عدم دسترسی Supplicant را به Authenticator می دهد. به طور مثال یک RADIUS Server مانند ACS می تواند به عنوان Authentication server سرویس دهی کند.

در تصویر زیر اجزای مختلف 802.1x را می بینید :

Image

نکته : قبل از اینکه Supplicant تایید هویت شود روی آن پورت تنها ترافیک (EAPOL ، Cisco Discovery Protocol (CDP و (Spanning Tree Protocol (STP اجازه عبور دارند. اما بعد ازاینکه تایید هویت به درستی انجام شد ترافیک به صورت نرمال روی پورت جریان پیدا می کند.

(Extensible Authentication Protocol (EAP :


EAP یک مکانیزم انتقال است که در 802.1x برای تایید هویت بین supplicants و Authenticator مورد استفاده قرار می گیرد. در 802.1x امکان تایید هویت توسط پروتکل های دیگر مانند (Password Authentication Protocol (PAP یا (Challenge Handshake Authentication Protocol (CHAP وجود ندارد. تصویر زیر فرمت بسته EAP نمایش داده شده است.

Image

توضیح این فیلدها به شرح زیر است :

  • Code : این فیلد یک بایتی نشان دهنده نوع بسته می باشد که انواع آن در جدول زیر نمایش داده شده است :
Image

 

  • Identifier : یک فیلد یک بایتی می باشد و به تطبیق پاسخ و درخواست کمک می کند.
  • Length : این فیلد دو بایتی طول بسته را مشخص می کند.
  • Data : این فیلد می تواند صفر یا چند بایت باشد و به وسیله فیلد Code فرمت آن مشخص می شود.

802.1x و IBNS چیست و چگونه امنیت دسترسی به شبکه را فراهم می کند؟ – بخش اول

استاندارد 802.1x توسط IEEE ارائه شده است و به عنوان یک پروتکل لایه data link (لایه دوم) برای کنترل دسترسی طراحی شده است. این پروتکل به صورت port-based عمل authentication(احراز هویت) را برای کابران و دستگاه ها انجام می دهد. به این سرویس port-level authentication نیز گفته می شود.

Image

در محیط شبکه های امروزی و بخصوص شبکه های بزرگ در محیط خود VLAN ، WLAN ، DHCPو سایر پروتکل های داینامیک را پیاده سازی کرده اند تا امکان دسترسی انعطاف پذیر را به کاربران متحرک و … را فراهم کنند. هرچند این ویژگی ها باعث می شود که به نظر کاربر شبکه دسترس پذیرتر و راحت تر شده است اما از سوی دیگر شبکه سازمان را در برابر دسترسی های غیر مجاز آسیب پذیر می کند. برای یک هکر کار کردن در یک محیط نا امن برای ایجاد حملاتی مانند denial of service (DoS)، hijack و … بسیار راحت تر از یک محیط ایمن شده است.
(Cisco Identity-Based Networking Services (IBNS تکنولوژی است که بر پایه 802.1x عمل می کند و باعث افزایش امنیت شبکه با استفاده از authentication کاربران براساس مشخصاتی مانند یوزر و پسورد و برای دستگاه ها از MAC Address و IP Address استفاده می کند. IBNS کنترل می کند که چه کسی و چه چیزی در شبکه وجود دارد ، کاربران خارجی را از طریق Authentication و Authorization بررسی می کند و با استفاده از Accounting عملکرد کاربرانی که وارد شبکه شده اند را نظاره می کند و به طور کلی نظارت بر شبکه افزایش پیدا می کند.
IBNS همچنین یک فریم ورک تعیین کرده است که در سه حالت زیر برای بخش های مختلف قابل اجرا است :

  • Monitor Mode : دسترسی به شبکه را قابل مشاهده می کند و محدودیتی برای دسترسی به شبکه وجود ندارد.
  • Low-Impact Mode : در این حالت در صورت عدم تایید هویت و یا عدم پاسخگویی توسط پروتکل در زمان تعیین شده امکان دسترسی محدود فراهم می شود که برای آن از (downloadable access control lists (dACL استفاده می شود.
  • High-Security Mode : بالاترین سطح امنیت برای دسترسی به شبکه را فراهم می کند به صورتی که تنها در صورت تایید هویت ، امکان دسترسی به شبکه وجود دارد.

 

توسعه ها و ویژگی های اضافه شده به 802.1x توسط IBNS :


چندین ویژگی و بهبود توسط IBNS برای پروتکل 802.1x استاندارد ارائه شده است که به شرح زیر هستند :

  • VLAN assignments : در 802.1x استاندارد کاربری که هویت او تایید شود در vlan که از قبل برای آن پورت در نظر گرفته شده است قرار می گیرد. اما در IBNS اختصاص VLAN براساس کاربر یا دستگاه انجام می گیرد و وابسته به پورت نیست. که اینکار با استفاده از تنظیمات از قبل انجام شده در Radius Server انجام می گیرد. زمانی که تایید هویت کاربر به درستی انجام گرفت Radius Server اطلاعات مربوط به VLAN را برای سوئیچ ارسال می کند و سوئیچ براساس اطلاعات دریافتی پورت را به صورت دینامیک به VLAN مورد نظر اختصاص می دهد.
  • 802.1x guest VLAN : یکی از نکته های مهم در محیط شبکه این است که برخی از کلاینت ها از پروتکل 802.1x پشتیبانی نمی کنند و باید بتوان از این کلاینت ها در کنار سایر دستگاه استفاده کرد. با استفاده از این ویژگی این امکان فراهم می شود که کاربران یا دستگاه هایی که از پروتکل 802.1x پشتیبانی نمی کنند توسط guest VLAN به منابع شبکه دسترسی پیدا کنند. یک guest VLAN به طور معمول یک دسترسی محدود به منابع عمومی شبکه ایجاد می کند به طور مثال دسترسی به اینترنت توسط آن فراهم می شود.
  • Restricted VLAN : این ویژگی این امکان را برای کلاینت هایی که از پروتکل 802.1x پشتیبانی می کنند فراهم می کند که حتی در صورت تایید نشدن هویت آنها یک دسترسی محدود داشته باشند. در صورتی که یک کلاینت سه بار هویت آن تایید نشوند بدون اینکه هویت آن تایید شود به صورت خودکار در Restricted VLAN قرار می گیرد و پورت مربوطه به عنوان Restricted VLAN شناخته می شود. بعد از اینکه کلاینت در Restricted VLAN قرار گرفت یک پیام جعلی مبنی بر اینکه تایید هویت آن به درستی انجام شده است به کلاینت ارسال می شود تا دست از تلاش برای تایید هویت بر دارد. سطح دسترسی که به این کاربر یا دستگاه داده می شود بستگی به سیاست های سازمان دارد و توسط آنها تنظیم می شود و احتمالا اینکه سطح دسترسی برای guest VLAN و Restricted VLAN یکسان در نظر گرفته شود وجود دارد.
  • Port security : در 802.1x امکان فعال کردن port security را در پورت های سوئیچ فراهم می کند. در صورت فعال شدن این قابلیت باعث می شود تنها MAC Address های خاص اجازه دسترسی به شبکه را داشته باشند.این قابلیت جهت جلوگیری از اتصال دستگاه های غیر مجاز و همچنین امکان مشخص کردن تعداد دستگاه قابل اتصال به پورت مفید است.
  • Voice VLAN ID : این قابلیت این امکان را به مدیر شبکه می دهد که برای (Voice over Internet Protocol (VoIP یک شماره VLAN در نظر بگیرد.