Posts

802.1x و IBNS چیست و چگونه امنیت دسترسی به شبکه را فراهم می کند؟ – بخش سوم

در ادامه مباحث 802.1x در خدمت شما دوستان هستیم.

(EAP over LAN (EAPOL :


در بستر LAN ارتباط بین supplicant و authenticator توسط EAPoL انجام می گیرد. EAPoL از رسانای انتقال مختلفی از جمله Ethernet ، Token Ring ، FDDI و WLANs پشتیبانی می کند. EAPoL این قابلیت را فراهم می کند که بسته های EAP توسط ماکنیزم MAC در LAN اداره شوند.
فریم EAPoL نسبتا ساده است که در تصویر زیر نمایش داده شده است. EAP درون یک فریم کپسوله شده است.

Image

MAC Address مبدا و مقصد هر دو یک فیلد 6 بایتی هستند و مشابه همه بسته های نرمال Ethernet مورد استفاده قرار می گیرند. MAC Address مقصد همیشه مقدار 01:80:C2:00:00:03 که مربوط به (Port Access Entity (PAE می باشد را به خود می گیرد.
فیلد PAE Ethernet دو بایتی است و همیشه مقدار 88:8E را دارد.
فیلد Packet Type یک بایتی است و مقدار آن نشان دهنده نوع بسته می باشد که در جدول زیر این مقادیر نمایش داده شده است.

Image

فیلد Packet Body Length یک فیلد دو بایتی است و طول بسته را مشخص می کند. زمانی که نوع بسته یکی از انواع EAP-Packet ، EAPOL-Key و EAPOL-Encapsulated-ASP-Alert باشد این فیلد مورد استفاده قرار می گیرد.

EAP Message Exchange :


تبادل پیام ها و بسته های EAP می تواند برای فهم سخت باشد در تصویر زیر یک نمونه آن نمایش داده شده است. این نکته را همیشه در نظر بگیرد که بسته های EAP به صورت EAPoL کپسوله می شوند و بین supplicant و authenticator تبادل می شوند. بین authenticator و authentication server نحوی کپسوله کردن بسته ها به Radius Server بستگی دارد.

Image

مراحل زیر را دنبال کنید تا متوجه شوید در هر مرحله چه اتفاقی می افتد:

  • مرحله 1 : در اولین مرحله supplicant یک فریم EAPoL-Start به authenticator ارسال می کند تا به آن اعلام کند که آماده تایید هویت است. اگر authenticator شروع کننده این ارتباط باشد هیچ بسته ای تحت عنوان EAPoL-Start ارسال نخواهد شد.
  • مرحله 2 : در اینجا authenticator به محض اینکه تشخیص دهد که لینک فعال شده است یک بسته EAP-Request/Identity به supplicant ارسال می کند. (به طور مثال کلاینت به یک پورت سوئیچ متصل شود)
  • مرحله 3 : در این مرحله supplicant یک بسته EAP-Response/Identity به authenticator ارسال می کند. Authenticator بسته دریافتی را به authentication server ارسال می کند. نحوی انتقال درخواست از supplicant به authentication server به پروتکل مورد استفاده Radius Server بستگی دارد.
  • مرحله 4 : در اینجا authentication server یک challenge مانند token password system به authenticator ارسال می کند. Authenticator آنرا از بسته IP خارج کرده و درون EAPoL کسپوله می کند و آنرا به سمت supplicant ارسال می کند. با توجه به نوع Authentication این پیام ها و تعداد آنها می تواند متفاوت باشد. EAP می تواند از دو حالت Authentication پشتیبانی کند در حالت اول فقط کلاینت توسط authentication server تایید هویت می شود ولی در حالت دوم authentication server کلاینت را تایید هویت می کند و همچنین کلاینت authentication server را تایید هویت می کند. بهتر است که حالت دوم در محیط های وایرلس مورد استفاده قرار گیرد.
  • مرحله 5 : سپس supplicant به challenge پاسخ می دهد که این پاسخ از طریق authenticator به authentication server ارسال می شود.
  • مرحله 6 : اگر هویت supplicant تایید شود authentication server یک پیام تصدیق هویت ارسال می کند که بعد از دریافت توسط authenticator این پیام به supplicant ارسال می شود و از این لحظه authenticator اجازه دسترسی به شبکه را می دهد اما این دسترسی می تواند براساس اطلاعات ارسالی توسط authentication server محدود شود. به طور مثال authenticator باید برای supplicant یک VLAN بسازد و یا برای آن یک ACL در نظر بگیرد.

 

Port State :


زمانی که از 802.1x استفاده می کنید پورت می تواند در یکی از سه وضعیت زیر قرار بگیرد :

  • Auto : در این حالت ، در ابتدا پورت در حالت unauthorized (غیر مجاز) قرار می گیرد و تنها ترافیک EAPOL ، CDP و STP را اجازه عبور می دهد. بعد از اینکه تایید هویت supplicant انجام شد. پورت در حالت authorized (مجاز) قرار می گیرد و اجازه عبور ترافیک را به صورت نرمال می دهد.
  • Forced-Authorized : در این حالت ، 802.1x روی پورت غیر فعال می شود و ترافیک به صورت نرمال و بدون هیچ محدودیتی جریان پیدا می کند. زمانی که 802.1x به صورت globally فعال نشده باشد این حالت پیش فرض می باشد.
  • Forced-Unauthorized : در این حالت ، پورت هیچ ترافیکی را عبور نمی دهد حتی ترافیک مرتبط با تایید هویت را قبول نمی کند.

اگر 802.1x در یک پورت سوئیچ فعال شود پورت در حالت Auto قرار می گیرد. زمانی که پورت در وضعیت Auto قرار گیرد در ابتدا پورت در حالت unauthorized قرار می گیرد و supplicant نیاز به تایید هویت دارد. بعد از اینکه تایید هویت supplicant انجام شد پورت در وضعیت authorized قرار می گیرد و اجازه عبور ترافیک را از کلاینت به منابع شبکه را می دهد. اگر کلاینت از 802.1x پشتیبانی نکند سوئیچ نمی تواند آنرا تایید هویت کند مگر اینکه امکان استفاده از MAB فراهم شده باشد یا guest VLAN تعریف شده باشد.

منتظر قسمت های بعدی باشید. موفق ، پیروز و itpro باشید.