راهکار مديريت اتصال به شبکه بر اساس هويت کاربران
ارسال شده: پنجشنبه ۸ اردیبهشت ۱۳۹۰, ۹:۲۸ ب.ظ
راهکار مديريت اتصال به شبکه بر اساس هويت کاربران
اشاره :
کنترل پورتهاي فعال شبکههاي بزرگ به عنوان يک حفره امنيتي ...
مقدمه
هدايت و کنترل ورود انواع کاربران به شبکه بر اساس فاکتورهاي شناسايي، کنترل وضعيت نودهاي (کابلي و بيسيم) شبکههاي بزرگ، طراحي و پيادهسازي
Dynamic VLAN براي لايهلايه کردن شبکه و قرار دادن کاربران در شبکههاي مجازي، رمزگذاري اطلاعاتي که در شبکه جابهجا ميشود، تفکيک کاربران در گروههاي مختلف بسته به نوع سرويسي که دريافت ميکنند، همه و همه از مواردي هستند که ذهن فعال مسئولان شبکههاي بزرگ را به خود مشغول کرده و اين افراد همواره دنبال راهکاري هستند تا علاوه بر سرويسدهي مناسب، امنيت قابل قبولي را نيز ارايه دهند.
اين روزها که امنيت اطلاعات مورد توجه مسئولان شرکتهاي بزرگ قرار گرفته است، بيشتر اوقات هنگامي که به شرکتهاي همکار مراجعه ميکنيم، با مشکلات عديدهاي براي اتصال به شبکه و تبادل اطلاعات بر ميخوريم و زماني طولاني صرف برقراري ارتباطي ساده براي ارسال يک نسخه پرينت يا فايل ميشود. حتي گاهي براي دسترسی به اينترنت هم معضلاتي پيش رو داريم. بنابراين همواره در جستجوي راهکاري هستيم تا علاوه بر رعايت ملاحظات امنيتي و کنترل نودهاي فعال شبکه و مانيتور کردن اتصالات، سرويسدهي مناسبتري نيز داشته باشيم تا کاربر خيلي سادهتر به سرويسهاي معمولي دست يابد و کاري نکنيم که مسئولان عاليرتبه شرکت از خير سيستم مديريت امنيت اطلاعات (به دليل پايين آمدن درصد دسترس بودن سرويسها) بگذرند!
IBNS چيست و چگونه کار ميکند؟
همانطور که گفته شد، کنترل نودهاي شبکههاي بزرگ بسيار مشکل است و اگر شبکه بيسيم باشد، مشکلتر هم خواهد شد. حتما اين مورد را مشاهده کردهايد که يک کاربر، کابلي را که به کامپيوتر متصل است، از آن جدا کند و نوتبوک شخصي خود را با همان کابل به شبکه متصل سازد و عليرغم اينکه آن نوتبوک عضو شبکه نيست، با اين وجود از طريق استفاده از نام کاربري و رمز عبور شبکه، اطلاعاتي را که به آن دسترسي دارد از شبکه روي نوتبوک کپي کند. حال اگر شبکه بيسيم داشته باشيم، اين کار سادهتر انجام ميشود و افرادي که انگيزه بيشتري براي دسترسي به شبکه دارند، به راحتي ميتوانند به آن نفوذ کنند. از طرفي در اينگونه شبکهها تنوع کاربران هم وجود دارد و ما موظفيم از طرق ممکن سرويسهاي مورد نظر آنها را فعال کنيم. هر سرويس جديد نيز آسيبپذيريهاي خاص خود را دارد و سرويسهاي خاص نيز مشکلات امنيتي فراواني ايجاد ميکنند. تهديدات هم روز به روز تغيير ميکنند و افزايش مييابند. حالا با توجه به اين موارد، به نظر شما چه بايد کرد؟
راههاي مختلفي براي هر يک از موارد فوق پيشنهاد ميشود که از ميان آنها به نظر ما، بهترين راهکار Identity Base Networking Services يا IBNS است که نه تنها مختص محصولات شرکت خاصي نيست، بلکه با توجه به اينکه در کشورمان اغلب سيستم عامل مايکروسافت و تجهيزات سيسکو راهاندازي ميشود، به راحتي در اين محيط قابل پيادهسازي است. در اين روش کاربران قبل از هرگونه استفاده از منابع شبکه، اعتبارسنجي (Authenticate) ميشوند و سپس با توجه به مشخصات خود وارد شبکه مجازي مشخصي ميشوند که اصطلاحا
(VLAN (Virtual Local Area Network ناميده ميشود. اين VLAN با توجه به اينکه بسته به مشخصات کاربر تغيير ميکند و پوياست، به Dynamic VLAN معروف شده است. در اين مقاله به تشريح اجزا و مکانيسم پيادهسازي IBNS ميپردازيم:
به طور کلي نحوه کارکرد IBNS در سه قسمت اصلي خلاصه ميشود:
«» براساس خط مشي سازمان، سياستهاي کلي را پيادهسازي ميکند.
«» کنترل پورتها و دسترسی به شبکه را انجام ميدهد.
«» فعاليت کاربران در شبکه را مانيتور و پيگيري ميکند.
براي سادهسازي و درک روش کار IBNS مراحل کار را با سوالات زير شبيهسازي کردهايم:
احراز هويت يا اعتبارسنجي (Authentication) که مشخص ميکند "که هستي؟"
IBNS از پروتکل IEEE802.1x و يک بانک اطلاعاتي (Radius Server) براي احراز هويت کاربران استفاده ميکند. فاکتورهايي مانند نام کاربري، اثر انگشت، گواهي ديجيتالي و آدرس ايميل مشخص ميکند چه فرد يا ابزاري قصد اتصال به سيستم را دارد و آنها را از هم تفکيک ميکند.
به کدام گروه از شبکه تعلق داري؟
بسته به نتيجه احراز هويت، کاربر در شبکه مجازي خاصي قرار داده ميشود.
چه سطحي از سرويسها را دريافت ميکني؟
نوع و سطح دسترسی کاربران به قسمتهاي مختلف شبکه با روشهاي کنترلي خاص (مانند استفاده از Access Control List) و کيفيت بهرهوري ايشان از شبکه با اولويتبنديهايي که در تنظيمات QoS در شبکه انجام ميشود، مشخص ميگردد.
چه فعاليتهايي در شبکه انجام ميشود؟
با توجه به فاکتورهاي شناسايي و محل قرارگيري کاربر، مانيتورينگ و بازرسی فعاليتهاي کاربر بهتر انجام ميشود.
با استفاده از IBNS ميتوان اطلاعات اتصالات را ثبت کرد. به عنوان مثال کدام کاربر يا کامپيوتر در چه ساعتي و با چه اسم يا آيپيآدرسي به شبکه متصل شده است و در کدام VLAN قرار گرفته است. بنابراين به راحتي ميتوان قوانين بازرسي در شبکه را پيادهسازي و دستگاهها را مانيتور کرد.
درک پروتکل IEEE 802.1x
پروتکل IEEE 802.1X پروتکل استانداردي است که دسترسي به سرويسهاي شبکه را با احراز هويت به صورت کلاينت ـ سرور کنترل ميکند. سروري که مسئوليت احراز هويت را بر عهده دارد، دستگاهي را که به پورت سوئيچ متصل ميشود، قبل از اجازه اتصال به شبکه کنترل ميکند و بر اساس نوع مجوزهاي کاربر، دسترسي آن را برقرار مينمايد. با توجه به اينکه قبل از تکميل مراحل اعتبارسنجي، هنوز اتصال کاربر با شبکه برقرار نشده است، تا آن زمان فقط ترافيک خاصي از روي شبکه عبور خواهد کرد که به اختصار(EAPOL (Extensible Authentication Protocol Over LAN ناميده ميشود و پس از اينکه شناسايي کامل شد، اگر دسترسي وجود داشته باشد ترافيک معمولي از آن پورت عبور خواهد کرد و در غير اين صورت اتصال قطع شده و هيچ ترافيکي عبور نخواهد کرد. با اين راهکار ميتوانيم خط مشي سازمان براي دسترسی کاربران به شبکه را بر اساس انواع کاربران، سرويس گيرندگان يا منابع شبکه پيادهسازي کنيم. در نتيجه به عنوان مثال بر اساس سياست سازمان براي کاربران مهمان، ايشان پس از ورود به شبکه در VLAN خاصي قرار ميگيرند که دسترسیهاي خاص خود را دارند و به همين صورت سياستهاي امنيتي و سرويسدهي پيادهسازي ميشود.
سناريوي IEEE 802.1X به سه بخش عمده تقسيم ميشود و در هر يک از قسمتها هر دستگاه نقش خاص خود را دارد:
قسمت اول: کلاينت يا Supplicant
دستگاهي است که درخواست اتصال به شبکه را براي سوئيچ (رابط ميان درخواست کننده و سرور احراز هويت) ارسال ميکند و همچنين پاسخ درخواستهاي سوئيچ را براي احراز هويت ميدهد. سيستم عامل کلاينت بايد پروتکل IEEE 802.1X را پشتيباني کند. به عنوان مثال سيستم عامل ويندوز XP با سرويسپک يک و بالاتر اين پروتکل را پشتيباني ميکند.
قسمت دوم: Authenticator يا Network Access Devices
اين دستگاه ميتواند اکسسپوينت شبکههاي بيسيم و يا سوئيچ در شبکههاي کابلي باشد و البته RADIUS Client نيز ناميده ميشود. اين قسمت مانند پروکسي عمل کرده و دسترسي فيزيکي به شبکه را بسته به پاسخ سرور اعتبارسنجي تنظيم ميکند و اطلاعات لازم براي احراز هويت را از کلاينت درخواست ميکند و اطلاعاتي را که از سرور اعتبارسنجي دريافت ميشود، تائيد ميکند و پاسخ سرور را به کلاينت Relay (بازپخش) ميکند. در واقع وظيفه اصلي اين قسمت Encapsulate (تلفيق) و Decapsulate کردن فريمهاي EAP است. وقتي که سوئيچ فريمهاي EAPOL را دريافت ميکند، سرستون آن را جدا ساخته و بقيه فريم را به فرمت RADIUS مجددا تلفيق ميکند که در اين حالتها فريم EAP تغييري نخواهد کرد.
قسمت سوم: Authentication Server يا AAA RADIUS Server
دستگاهي که عمل احراز هويت را انجام ميدهد و به سوئيچ اعلام ميکند که کلاينت مجاز براي دسترسي به سرويسهاي شبکه هست يا نه؟ در اين حالت سوئيچ به عنوان پروکسي عمل کرده، IAS که احراز هويت EAP را پشتيباني ميکند به عنوان پشتيبان سرور DC خواهد بود. ميتوان به جاي سرويس مايکروسافتي IAS از Cisco Secure ACS هم به عنوان يک سرويس RADIUS استفاده کرد. IAS مخفف Internet Authentication Service سرويس مايکروسافتي که عمل اعتبارسنجي را به صورت محلي و يا با هماهنگي با Active Directory Service انجام ميدهد. اين قسمتها در شکل 1 نمايش داده شدهاند.
شکل 1: عملکرد کلي پروتکل IEEE802.1x
مراحل درخواست اعتبارسنجي تا زمان برقراري ارتباط
سوئيچ به عنوان RADIUS Client يا Supplicant از طرف کاربر درخواست اعتبارسنجي را ايجاد ميکند. هنگامي که روي يک پورت سوئيچ، اعتبارسنجي را فعال ميکنيم (از طريق اجراي دستور dot1x port-control auto)، درخواست اعتبارسنجي توسط سوئيچ ارسال ميشود و سوئيچ بر اساس تصميم نهايي Up يا Down ميشود. در اين حالت سوئيچ براي کلاينت فريم EAP-request / identity را ارسال ميکند و از کلاينت ميخواهد تا هويت خود را اعلام کند و کلاينت فريم EAP-response / identity را براي سوئيچ ارسال ميکند و پاسخ ميدهد. حالا اگر کلاينت هنگام روشن شدن فريم درخواست را از سوئيچ دريافت نکند، خودش با ارسال فريم EAPOL-start مراحل احراز هويت را آغاز ميکند و از سوئيچ ميخواهد تا فريم EAP-request/identity را ارسال و درخواست اعتبارسنجي کند.
توجه: دقت کنيد 802.1x به صورت پيشفرض روي تجهيزات شبکه فعال نيست و ما بايد آن را فعال کنيم. اگر802.1X روي سوئيچ فعال نشود يا تجهيزات شبکه آن را پشتيباني نکنند (مثلا IOS سوئيچ آن را پشتيباني نکند) درخواستهاي EAPOL کلاينت که براي سوئيچ ارسال ميشود، حذف ميشوند. چنانچه کلاينت سه بار پيغام Start را براي سوئيچ ارسال کند و پاسخي دريافت نکند، فريمها را مشابه حالتي که پورت سوئيچ در حالت مجاز است، ارسال ميکند. حالت مجاز سوئيچ يعني حالتي که کلاينت شناسايي شده و امکان تبادل فريمهاي شبکه وجود دارد.
وقتي کلاينت هويت خود را اعلام ميکند، سوئيچ نقش ميانجيگري خود را آغاز ميکند و فريمهايي که سرور و کلاينت براي تصميمگيري در مورد احراز هويت تبادل ميکنند (فريمهاي EAP) را انتقال ميدهد. نوع فريمهايي که تبادل ميشوند، بستگي به روش اعتبارسنجي دارد.
حالتهاي مختلف پورتهاي سوئيچ
حالت پورت سوئيچ (Authorized/Unauthorized) مشخص ميسازد که کلاينت به شبکه متصل شود يا خير. وقتي کابل به پورت سوئيچ متصل ميشود، پورت سوئيچ از حالت Unauthorized آغاز ميکند. اين حالتي است که اتصال با شبکه برقرار نميشود و پورت به فريمهاي غير 802.1x اجازه داخل و خارج شدن نميدهد. هنگامي که کلاينت شناسايي شد و ارتباط با شبکه به صورت نرمال برقرار گرديد، زماني است که پورت به حالت Authorized تغيير حالت داده است.
توجه: دقت کنيد در حالتي که 802.1x روي سوئيچ فعال شده است، اگر کلاينت 802.1x را پشتيباني نکند (مثلا سيستم عامل XP بدون سرويس پک باشد) کلاينت فريمهايي را که سوئيچ براي احراز هويت ارسال ميکند، نميفهمد. بنابراين پاسخي نميدهد و سوئيچ به حالت Authorized نخواهد رفت و در نهايت اتصال برقرار نميشود. به همين ترتيب، اگر 802.1x روي سوئيچ فعال نشده باشد اما تنظيمات کلاينت انجام شده باشد، سوئيچ فريمهاي کلاينت را پاسخ نميدهد و کلاينت پس از مدت زمان مشخص ترافيک نرمال را ارسال ميکند و بنابراين اتصال برقرار ميشود.
براي اينکه وضعيت پورت سوئيچ را کنترل کنيد، از دستور dot1x port-control در مود تنظيمات اينترفيس استفاده کنيد که حالتهاي مختلف زير را در پي خواهد داشت:
Force-authorized ؛ حالتي است که 802.1x غيرفعال ميشود و هيچ تبادل اطلاعاتي براي احراز هويت انجام نميشود و در هر شرايطي پورت در حالت Authorized قرار دارد و اتصال همواره برقرار ميشود.
Force-unauthorized ؛ حالتي است که پورت همواره در حالت Unauthorized قرار دارد و اگرچه هيچ تبادل اطلاعاتي براي احراز هويت انجام نميشود، اما اجازه اتصال به شبکه نيز داده نميشود.
Auto ؛ حالتي است که 802.1x فعال شده و فرآيند احراز هويت انجام ميشود تا در صورت مجاز بودن کاربر يا کلاينت، پس از طي مراحلي که قبلا گفته شد، پورت از حالت Unauthorized به حالت Authorized تغيير وضعيت دهد.
توجه: هرگاه کلاينت Logoff کند، يک پيغام EAPOL-Logoff براي سوئيچ ارسال ميکند و پورت مجددا به حالت Unauthorized تغيير وضعيت ميدهد تا در مراحل ورود به شبکه بعدي مجددا کلاينت شناسايي شود.
کجا ميتوان اين راهکار را پياده کرد؟
اين راهکار قابل پيادهسازي در دو توپولوژي مختلف است:
توپولوژي point-to-point
در توپولوژي پوينت تو پوينت، فقط يک کلاينت ميتواند به پورت سوئيچي که 802.1x روي آن فعال شده است، متصل شود. وقتي کلاينت متصل ميشود، پورت سوئيچ مشخصات آن را ميشناسد و چنانچه کلاينت تغيير داده شود و دستگاه ديگري به پورت سوئيچ متصل گردد، وضعيت پورت سوئيچ به حالت Unauthorized تغيير کرده و اصطلاحا پورت Down ميشود. در اين حالت اگر مجددا کلاينت قبلي را به همان پورت متصل کنيد، به شبکه متصل نخواهد شد، زيرا پورت سوئيچ که به دلايل امنيتي به وضعيت Unauthorized تغيير کرده است، بايد توسط مسئول شبکه Up شود تا بتواند مجددا فريمهاي EAPOL را براي احراز هويت به سرور اعتبارسنجي ارسال و دريافت کند. در اين شرايط بايد با دستور Shutdown و no shutdown پورت مذکور را Down و سپس Up کنيد.
توپولوژي Wireless LAN
در اين توپولوژي که يک اکسس پوينت رابط ميان کلاينتها و پورت ترانک شده سوئيچ است، هرگاه دستگاهي به اکسس پوينت متصل شود و در واقع عمليات احراز هويت تکميل و پورت در حالت Authorized قرار گيرد، ديگر دستگاهها هم ميتوانند متصل شوند و چنانچه يک دستگاه Logoff کند و پيغام EAPOL-Logoff را ارسال کند، پورت سوئيچ به حالت Unauthorized ميرود و بقيه دستگاهها نيز Disconnect ميشوند. بنابراين در اين توپولوژي، اکسس پوينت است که عمل احراز هويت را به کمک IAS انجام ميدهد.
شکل2
نيازمنديهاي راهاندازي IBNS
اين راهکار به تجهيز يا محصول خاصي وابسته نيست، اما سناريويي که اينجا در نظر گرفته شده است با در نظر گرفتن پيشنيازهاي ذيل قابل اجراست:
• در شبکه کابلي يا بيسيم، وجود سوئيچي که 802.1x را پشتيباني کند.
• در شبکه بدون سيم، وجود Access Pointاي که 802.1x را پشتيباني کند.
• سرور Radius که ميتواند Cisco Secure ACS يا سرويس Microsoft IAS باشد.
• سرور دامين کنترلر يا DC که براي عمل احراز هويت به IAS سرويس دهد.
• سرويسدهنده DHCP که محدوده آيپيها را براي VLANها مشخص کند.
• کلاينتها با سيستم عاملي که 802.1x را پشتيباني کند، مانند ويندوز XP SP2 و بالاتر.
• در صورتي که شناسايي کاربر با گواهي ديجيتالي انجام ميشود، سروري که گواهي ديجيتالي صادر کند که اين سرور ميتواند Certificate Authority مايکروسافتي باشد.
خلاصه
در نتيجه آنچه گفته شد، با پيادهسازي IBNS و فناوريهاي تکميلي، به نتايج با ارزش زير دست خواهيم يافت:
ـ از اينکه افراد مجاز از دسترسیهاي مجاز بهرهبرداري ميکنند، اطمينان مييابيم.
ـ بدون قرباني کردن ملاحظات امنيتي، ميتوانيم تعداد و انواع بيشتري از کاربران را پوشش دهيم.
ـ بدون قرباني کردن بازدهي و کارآيي شبکه و کاربران، دسترسی به منابع را محدود به بايدها و نيازهاي کاري ميکنيم.
ـ دسترسی کاربران را براساس لايههاي مختلف و به صورت خودکار تنظيم ميکنيم.
ـ مانيتورينگ و بازرسي دقيقتري بر دسترسی کاربران به شبکه خواهيم داشت.
و به عنوان نمونه عملي مطالب فوق؛ کاربراني که از نوتبوک شخصي خود در اداره يا شرکت استفاده ميکنند، بدون هيچ ملاحظهاي در قسمتي از شبکه محبوس ميکنيم.
منبع:computernews
اشاره :
کنترل پورتهاي فعال شبکههاي بزرگ به عنوان يک حفره امنيتي ...
مقدمه
هدايت و کنترل ورود انواع کاربران به شبکه بر اساس فاکتورهاي شناسايي، کنترل وضعيت نودهاي (کابلي و بيسيم) شبکههاي بزرگ، طراحي و پيادهسازي
Dynamic VLAN براي لايهلايه کردن شبکه و قرار دادن کاربران در شبکههاي مجازي، رمزگذاري اطلاعاتي که در شبکه جابهجا ميشود، تفکيک کاربران در گروههاي مختلف بسته به نوع سرويسي که دريافت ميکنند، همه و همه از مواردي هستند که ذهن فعال مسئولان شبکههاي بزرگ را به خود مشغول کرده و اين افراد همواره دنبال راهکاري هستند تا علاوه بر سرويسدهي مناسب، امنيت قابل قبولي را نيز ارايه دهند.
اين روزها که امنيت اطلاعات مورد توجه مسئولان شرکتهاي بزرگ قرار گرفته است، بيشتر اوقات هنگامي که به شرکتهاي همکار مراجعه ميکنيم، با مشکلات عديدهاي براي اتصال به شبکه و تبادل اطلاعات بر ميخوريم و زماني طولاني صرف برقراري ارتباطي ساده براي ارسال يک نسخه پرينت يا فايل ميشود. حتي گاهي براي دسترسی به اينترنت هم معضلاتي پيش رو داريم. بنابراين همواره در جستجوي راهکاري هستيم تا علاوه بر رعايت ملاحظات امنيتي و کنترل نودهاي فعال شبکه و مانيتور کردن اتصالات، سرويسدهي مناسبتري نيز داشته باشيم تا کاربر خيلي سادهتر به سرويسهاي معمولي دست يابد و کاري نکنيم که مسئولان عاليرتبه شرکت از خير سيستم مديريت امنيت اطلاعات (به دليل پايين آمدن درصد دسترس بودن سرويسها) بگذرند!
IBNS چيست و چگونه کار ميکند؟
همانطور که گفته شد، کنترل نودهاي شبکههاي بزرگ بسيار مشکل است و اگر شبکه بيسيم باشد، مشکلتر هم خواهد شد. حتما اين مورد را مشاهده کردهايد که يک کاربر، کابلي را که به کامپيوتر متصل است، از آن جدا کند و نوتبوک شخصي خود را با همان کابل به شبکه متصل سازد و عليرغم اينکه آن نوتبوک عضو شبکه نيست، با اين وجود از طريق استفاده از نام کاربري و رمز عبور شبکه، اطلاعاتي را که به آن دسترسي دارد از شبکه روي نوتبوک کپي کند. حال اگر شبکه بيسيم داشته باشيم، اين کار سادهتر انجام ميشود و افرادي که انگيزه بيشتري براي دسترسي به شبکه دارند، به راحتي ميتوانند به آن نفوذ کنند. از طرفي در اينگونه شبکهها تنوع کاربران هم وجود دارد و ما موظفيم از طرق ممکن سرويسهاي مورد نظر آنها را فعال کنيم. هر سرويس جديد نيز آسيبپذيريهاي خاص خود را دارد و سرويسهاي خاص نيز مشکلات امنيتي فراواني ايجاد ميکنند. تهديدات هم روز به روز تغيير ميکنند و افزايش مييابند. حالا با توجه به اين موارد، به نظر شما چه بايد کرد؟
راههاي مختلفي براي هر يک از موارد فوق پيشنهاد ميشود که از ميان آنها به نظر ما، بهترين راهکار Identity Base Networking Services يا IBNS است که نه تنها مختص محصولات شرکت خاصي نيست، بلکه با توجه به اينکه در کشورمان اغلب سيستم عامل مايکروسافت و تجهيزات سيسکو راهاندازي ميشود، به راحتي در اين محيط قابل پيادهسازي است. در اين روش کاربران قبل از هرگونه استفاده از منابع شبکه، اعتبارسنجي (Authenticate) ميشوند و سپس با توجه به مشخصات خود وارد شبکه مجازي مشخصي ميشوند که اصطلاحا
(VLAN (Virtual Local Area Network ناميده ميشود. اين VLAN با توجه به اينکه بسته به مشخصات کاربر تغيير ميکند و پوياست، به Dynamic VLAN معروف شده است. در اين مقاله به تشريح اجزا و مکانيسم پيادهسازي IBNS ميپردازيم:
به طور کلي نحوه کارکرد IBNS در سه قسمت اصلي خلاصه ميشود:
«» براساس خط مشي سازمان، سياستهاي کلي را پيادهسازي ميکند.
«» کنترل پورتها و دسترسی به شبکه را انجام ميدهد.
«» فعاليت کاربران در شبکه را مانيتور و پيگيري ميکند.
براي سادهسازي و درک روش کار IBNS مراحل کار را با سوالات زير شبيهسازي کردهايم:
احراز هويت يا اعتبارسنجي (Authentication) که مشخص ميکند "که هستي؟"
IBNS از پروتکل IEEE802.1x و يک بانک اطلاعاتي (Radius Server) براي احراز هويت کاربران استفاده ميکند. فاکتورهايي مانند نام کاربري، اثر انگشت، گواهي ديجيتالي و آدرس ايميل مشخص ميکند چه فرد يا ابزاري قصد اتصال به سيستم را دارد و آنها را از هم تفکيک ميکند.
به کدام گروه از شبکه تعلق داري؟
بسته به نتيجه احراز هويت، کاربر در شبکه مجازي خاصي قرار داده ميشود.
چه سطحي از سرويسها را دريافت ميکني؟
نوع و سطح دسترسی کاربران به قسمتهاي مختلف شبکه با روشهاي کنترلي خاص (مانند استفاده از Access Control List) و کيفيت بهرهوري ايشان از شبکه با اولويتبنديهايي که در تنظيمات QoS در شبکه انجام ميشود، مشخص ميگردد.
چه فعاليتهايي در شبکه انجام ميشود؟
با توجه به فاکتورهاي شناسايي و محل قرارگيري کاربر، مانيتورينگ و بازرسی فعاليتهاي کاربر بهتر انجام ميشود.
با استفاده از IBNS ميتوان اطلاعات اتصالات را ثبت کرد. به عنوان مثال کدام کاربر يا کامپيوتر در چه ساعتي و با چه اسم يا آيپيآدرسي به شبکه متصل شده است و در کدام VLAN قرار گرفته است. بنابراين به راحتي ميتوان قوانين بازرسي در شبکه را پيادهسازي و دستگاهها را مانيتور کرد.
درک پروتکل IEEE 802.1x
پروتکل IEEE 802.1X پروتکل استانداردي است که دسترسي به سرويسهاي شبکه را با احراز هويت به صورت کلاينت ـ سرور کنترل ميکند. سروري که مسئوليت احراز هويت را بر عهده دارد، دستگاهي را که به پورت سوئيچ متصل ميشود، قبل از اجازه اتصال به شبکه کنترل ميکند و بر اساس نوع مجوزهاي کاربر، دسترسي آن را برقرار مينمايد. با توجه به اينکه قبل از تکميل مراحل اعتبارسنجي، هنوز اتصال کاربر با شبکه برقرار نشده است، تا آن زمان فقط ترافيک خاصي از روي شبکه عبور خواهد کرد که به اختصار(EAPOL (Extensible Authentication Protocol Over LAN ناميده ميشود و پس از اينکه شناسايي کامل شد، اگر دسترسي وجود داشته باشد ترافيک معمولي از آن پورت عبور خواهد کرد و در غير اين صورت اتصال قطع شده و هيچ ترافيکي عبور نخواهد کرد. با اين راهکار ميتوانيم خط مشي سازمان براي دسترسی کاربران به شبکه را بر اساس انواع کاربران، سرويس گيرندگان يا منابع شبکه پيادهسازي کنيم. در نتيجه به عنوان مثال بر اساس سياست سازمان براي کاربران مهمان، ايشان پس از ورود به شبکه در VLAN خاصي قرار ميگيرند که دسترسیهاي خاص خود را دارند و به همين صورت سياستهاي امنيتي و سرويسدهي پيادهسازي ميشود.
سناريوي IEEE 802.1X به سه بخش عمده تقسيم ميشود و در هر يک از قسمتها هر دستگاه نقش خاص خود را دارد:
قسمت اول: کلاينت يا Supplicant
دستگاهي است که درخواست اتصال به شبکه را براي سوئيچ (رابط ميان درخواست کننده و سرور احراز هويت) ارسال ميکند و همچنين پاسخ درخواستهاي سوئيچ را براي احراز هويت ميدهد. سيستم عامل کلاينت بايد پروتکل IEEE 802.1X را پشتيباني کند. به عنوان مثال سيستم عامل ويندوز XP با سرويسپک يک و بالاتر اين پروتکل را پشتيباني ميکند.
قسمت دوم: Authenticator يا Network Access Devices
اين دستگاه ميتواند اکسسپوينت شبکههاي بيسيم و يا سوئيچ در شبکههاي کابلي باشد و البته RADIUS Client نيز ناميده ميشود. اين قسمت مانند پروکسي عمل کرده و دسترسي فيزيکي به شبکه را بسته به پاسخ سرور اعتبارسنجي تنظيم ميکند و اطلاعات لازم براي احراز هويت را از کلاينت درخواست ميکند و اطلاعاتي را که از سرور اعتبارسنجي دريافت ميشود، تائيد ميکند و پاسخ سرور را به کلاينت Relay (بازپخش) ميکند. در واقع وظيفه اصلي اين قسمت Encapsulate (تلفيق) و Decapsulate کردن فريمهاي EAP است. وقتي که سوئيچ فريمهاي EAPOL را دريافت ميکند، سرستون آن را جدا ساخته و بقيه فريم را به فرمت RADIUS مجددا تلفيق ميکند که در اين حالتها فريم EAP تغييري نخواهد کرد.
قسمت سوم: Authentication Server يا AAA RADIUS Server
دستگاهي که عمل احراز هويت را انجام ميدهد و به سوئيچ اعلام ميکند که کلاينت مجاز براي دسترسي به سرويسهاي شبکه هست يا نه؟ در اين حالت سوئيچ به عنوان پروکسي عمل کرده، IAS که احراز هويت EAP را پشتيباني ميکند به عنوان پشتيبان سرور DC خواهد بود. ميتوان به جاي سرويس مايکروسافتي IAS از Cisco Secure ACS هم به عنوان يک سرويس RADIUS استفاده کرد. IAS مخفف Internet Authentication Service سرويس مايکروسافتي که عمل اعتبارسنجي را به صورت محلي و يا با هماهنگي با Active Directory Service انجام ميدهد. اين قسمتها در شکل 1 نمايش داده شدهاند.
شکل 1: عملکرد کلي پروتکل IEEE802.1x
مراحل درخواست اعتبارسنجي تا زمان برقراري ارتباط
سوئيچ به عنوان RADIUS Client يا Supplicant از طرف کاربر درخواست اعتبارسنجي را ايجاد ميکند. هنگامي که روي يک پورت سوئيچ، اعتبارسنجي را فعال ميکنيم (از طريق اجراي دستور dot1x port-control auto)، درخواست اعتبارسنجي توسط سوئيچ ارسال ميشود و سوئيچ بر اساس تصميم نهايي Up يا Down ميشود. در اين حالت سوئيچ براي کلاينت فريم EAP-request / identity را ارسال ميکند و از کلاينت ميخواهد تا هويت خود را اعلام کند و کلاينت فريم EAP-response / identity را براي سوئيچ ارسال ميکند و پاسخ ميدهد. حالا اگر کلاينت هنگام روشن شدن فريم درخواست را از سوئيچ دريافت نکند، خودش با ارسال فريم EAPOL-start مراحل احراز هويت را آغاز ميکند و از سوئيچ ميخواهد تا فريم EAP-request/identity را ارسال و درخواست اعتبارسنجي کند.
توجه: دقت کنيد 802.1x به صورت پيشفرض روي تجهيزات شبکه فعال نيست و ما بايد آن را فعال کنيم. اگر802.1X روي سوئيچ فعال نشود يا تجهيزات شبکه آن را پشتيباني نکنند (مثلا IOS سوئيچ آن را پشتيباني نکند) درخواستهاي EAPOL کلاينت که براي سوئيچ ارسال ميشود، حذف ميشوند. چنانچه کلاينت سه بار پيغام Start را براي سوئيچ ارسال کند و پاسخي دريافت نکند، فريمها را مشابه حالتي که پورت سوئيچ در حالت مجاز است، ارسال ميکند. حالت مجاز سوئيچ يعني حالتي که کلاينت شناسايي شده و امکان تبادل فريمهاي شبکه وجود دارد.
وقتي کلاينت هويت خود را اعلام ميکند، سوئيچ نقش ميانجيگري خود را آغاز ميکند و فريمهايي که سرور و کلاينت براي تصميمگيري در مورد احراز هويت تبادل ميکنند (فريمهاي EAP) را انتقال ميدهد. نوع فريمهايي که تبادل ميشوند، بستگي به روش اعتبارسنجي دارد.
حالتهاي مختلف پورتهاي سوئيچ
حالت پورت سوئيچ (Authorized/Unauthorized) مشخص ميسازد که کلاينت به شبکه متصل شود يا خير. وقتي کابل به پورت سوئيچ متصل ميشود، پورت سوئيچ از حالت Unauthorized آغاز ميکند. اين حالتي است که اتصال با شبکه برقرار نميشود و پورت به فريمهاي غير 802.1x اجازه داخل و خارج شدن نميدهد. هنگامي که کلاينت شناسايي شد و ارتباط با شبکه به صورت نرمال برقرار گرديد، زماني است که پورت به حالت Authorized تغيير حالت داده است.
توجه: دقت کنيد در حالتي که 802.1x روي سوئيچ فعال شده است، اگر کلاينت 802.1x را پشتيباني نکند (مثلا سيستم عامل XP بدون سرويس پک باشد) کلاينت فريمهايي را که سوئيچ براي احراز هويت ارسال ميکند، نميفهمد. بنابراين پاسخي نميدهد و سوئيچ به حالت Authorized نخواهد رفت و در نهايت اتصال برقرار نميشود. به همين ترتيب، اگر 802.1x روي سوئيچ فعال نشده باشد اما تنظيمات کلاينت انجام شده باشد، سوئيچ فريمهاي کلاينت را پاسخ نميدهد و کلاينت پس از مدت زمان مشخص ترافيک نرمال را ارسال ميکند و بنابراين اتصال برقرار ميشود.
براي اينکه وضعيت پورت سوئيچ را کنترل کنيد، از دستور dot1x port-control در مود تنظيمات اينترفيس استفاده کنيد که حالتهاي مختلف زير را در پي خواهد داشت:
Force-authorized ؛ حالتي است که 802.1x غيرفعال ميشود و هيچ تبادل اطلاعاتي براي احراز هويت انجام نميشود و در هر شرايطي پورت در حالت Authorized قرار دارد و اتصال همواره برقرار ميشود.
Force-unauthorized ؛ حالتي است که پورت همواره در حالت Unauthorized قرار دارد و اگرچه هيچ تبادل اطلاعاتي براي احراز هويت انجام نميشود، اما اجازه اتصال به شبکه نيز داده نميشود.
Auto ؛ حالتي است که 802.1x فعال شده و فرآيند احراز هويت انجام ميشود تا در صورت مجاز بودن کاربر يا کلاينت، پس از طي مراحلي که قبلا گفته شد، پورت از حالت Unauthorized به حالت Authorized تغيير وضعيت دهد.
توجه: هرگاه کلاينت Logoff کند، يک پيغام EAPOL-Logoff براي سوئيچ ارسال ميکند و پورت مجددا به حالت Unauthorized تغيير وضعيت ميدهد تا در مراحل ورود به شبکه بعدي مجددا کلاينت شناسايي شود.
کجا ميتوان اين راهکار را پياده کرد؟
اين راهکار قابل پيادهسازي در دو توپولوژي مختلف است:
توپولوژي point-to-point
در توپولوژي پوينت تو پوينت، فقط يک کلاينت ميتواند به پورت سوئيچي که 802.1x روي آن فعال شده است، متصل شود. وقتي کلاينت متصل ميشود، پورت سوئيچ مشخصات آن را ميشناسد و چنانچه کلاينت تغيير داده شود و دستگاه ديگري به پورت سوئيچ متصل گردد، وضعيت پورت سوئيچ به حالت Unauthorized تغيير کرده و اصطلاحا پورت Down ميشود. در اين حالت اگر مجددا کلاينت قبلي را به همان پورت متصل کنيد، به شبکه متصل نخواهد شد، زيرا پورت سوئيچ که به دلايل امنيتي به وضعيت Unauthorized تغيير کرده است، بايد توسط مسئول شبکه Up شود تا بتواند مجددا فريمهاي EAPOL را براي احراز هويت به سرور اعتبارسنجي ارسال و دريافت کند. در اين شرايط بايد با دستور Shutdown و no shutdown پورت مذکور را Down و سپس Up کنيد.
توپولوژي Wireless LAN
در اين توپولوژي که يک اکسس پوينت رابط ميان کلاينتها و پورت ترانک شده سوئيچ است، هرگاه دستگاهي به اکسس پوينت متصل شود و در واقع عمليات احراز هويت تکميل و پورت در حالت Authorized قرار گيرد، ديگر دستگاهها هم ميتوانند متصل شوند و چنانچه يک دستگاه Logoff کند و پيغام EAPOL-Logoff را ارسال کند، پورت سوئيچ به حالت Unauthorized ميرود و بقيه دستگاهها نيز Disconnect ميشوند. بنابراين در اين توپولوژي، اکسس پوينت است که عمل احراز هويت را به کمک IAS انجام ميدهد.
شکل2
نيازمنديهاي راهاندازي IBNS
اين راهکار به تجهيز يا محصول خاصي وابسته نيست، اما سناريويي که اينجا در نظر گرفته شده است با در نظر گرفتن پيشنيازهاي ذيل قابل اجراست:
• در شبکه کابلي يا بيسيم، وجود سوئيچي که 802.1x را پشتيباني کند.
• در شبکه بدون سيم، وجود Access Pointاي که 802.1x را پشتيباني کند.
• سرور Radius که ميتواند Cisco Secure ACS يا سرويس Microsoft IAS باشد.
• سرور دامين کنترلر يا DC که براي عمل احراز هويت به IAS سرويس دهد.
• سرويسدهنده DHCP که محدوده آيپيها را براي VLANها مشخص کند.
• کلاينتها با سيستم عاملي که 802.1x را پشتيباني کند، مانند ويندوز XP SP2 و بالاتر.
• در صورتي که شناسايي کاربر با گواهي ديجيتالي انجام ميشود، سروري که گواهي ديجيتالي صادر کند که اين سرور ميتواند Certificate Authority مايکروسافتي باشد.
خلاصه
در نتيجه آنچه گفته شد، با پيادهسازي IBNS و فناوريهاي تکميلي، به نتايج با ارزش زير دست خواهيم يافت:
ـ از اينکه افراد مجاز از دسترسیهاي مجاز بهرهبرداري ميکنند، اطمينان مييابيم.
ـ بدون قرباني کردن ملاحظات امنيتي، ميتوانيم تعداد و انواع بيشتري از کاربران را پوشش دهيم.
ـ بدون قرباني کردن بازدهي و کارآيي شبکه و کاربران، دسترسی به منابع را محدود به بايدها و نيازهاي کاري ميکنيم.
ـ دسترسی کاربران را براساس لايههاي مختلف و به صورت خودکار تنظيم ميکنيم.
ـ مانيتورينگ و بازرسي دقيقتري بر دسترسی کاربران به شبکه خواهيم داشت.
و به عنوان نمونه عملي مطالب فوق؛ کاربراني که از نوتبوک شخصي خود در اداره يا شرکت استفاده ميکنند، بدون هيچ ملاحظهاي در قسمتي از شبکه محبوس ميکنيم.
منبع:computernews