در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 1

استاندارد 802.1x توسط IEEE ارائه شده است و به عنوان یک پروتکل لایه data link (لایه دوم) برای کنترل دسترسی طراحی شده است. این پروتکل به صورت port-based عمل authentication (احراز هویت) را برای کابران و دستگاه ها انجام می دهد. به این سرویس port-level authentication نیز گفته می شود.

802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 1

در محیط شبکه های امروزی و بخصوص شبکه های بزرگ در محیط خود VLAN ، WLAN ، DHCP و سایر پروتکل های داینامیک را پیاده سازی کرده اند تا امکان دسترسی انعطاف پذیر را به کاربران متحرک و ... را فراهم کنند. هرچند این ویژگی ها باعث می شود که به نظر کاربر شبکه دسترس پذیرتر و راحت تر شده است اما از سوی دیگر شبکه سازمان را در برابر دسترسی های غیر مجاز آسیب پذیر می کند. برای یک هکر کار کردن در یک محیط نا امن برای ایجاد حملاتی مانند denial of service (DoS)، hijack و ... بسیار راحت تر از یک محیط ایمن شده است.

(Cisco Identity-Based Networking Services (IBNS تکنولوژی است که بر پایه 802.1x عمل می کند و باعث افزایش امنیت شبکه با استفاده از authentication کاربران براساس مشخصاتی مانند یوزر و پسورد و برای دستگاه ها از MAC Address و IP Address استفاده می کند. IBNS کنترل می کند که چه کسی و چه چیزی در شبکه وجود دارد ، کاربران خارجی را از طریق Authentication و Authorization بررسی می کند و با استفاده از Accounting عملکرد کاربرانی که وارد شبکه شده اند را نظاره می کند و به طور کلی نظارت بر شبکه افزایش پیدا می کند.

IBNS همچنین یک فریم ورک تعیین کرده است که در سه حالت زیر برای بخش های مختلف قابل اجرا است :

  • Monitor Mode : دسترسی به شبکه را قابل مشاهده می کند و محدودیتی برای دسترسی به شبکه وجود ندارد.
  • Low-Impact Mode : در این حالت در صورت عدم تایید هویت و یا عدم پاسخگویی توسط پروتکل در زمان تعیین شده امکان دسترسی محدود فراهم می شود که برای آن از (downloadable access control lists (dACL استفاده می شود.
  • High-Security Mode : بالاترین سطح امنیت برای دسترسی به شبکه را فراهم می کند به صورتی که تنها در صورت تایید هویت ، امکان دسترسی به شبکه وجود دارد.

توسعه ها و ویژگی های اضافه شده به 802.1x توسط IBNS :

چندین ویژگی و بهبود توسط IBNS برای پروتکل 802.1x استاندارد ارائه شده است که به شرح زیر هستند :

  • VLAN assignments : در 802.1x استاندارد کاربری که هویت او تایید شود در vlan که از قبل برای آن پورت در نظر گرفته شده است قرار می گیرد. اما در IBNS اختصاص VLAN براساس کاربر یا دستگاه انجام می گیرد و وابسته به پورت نیست. که اینکار با استفاده از تنظیمات از قبل انجام شده در Radius Server انجام می گیرد. زمانی که تایید هویت کاربر به درستی انجام گرفت Radius Server اطلاعات مربوط به VLAN را برای سوئیچ ارسال می کند و سوئیچ براساس اطلاعات دریافتی پورت را به صورت دینامیک به VLAN مورد نظر اختصاص می دهد.
  • 802.1x guest VLAN : یکی از نکته های مهم در محیط شبکه این است که برخی از کلاینت ها از پروتکل 802.1x پشتیبانی نمی کنند و باید بتوان از این کلاینت ها در کنار سایر دستگاه استفاده کرد. با استفاده از این ویژگی این امکان فراهم می شود که کاربران یا دستگاه هایی که از پروتکل 802.1x پشتیبانی نمی کنند توسط guest VLAN به منابع شبکه دسترسی پیدا کنند. یک guest VLAN به طور معمول یک دسترسی محدود به منابع عمومی شبکه ایجاد می کند به طور مثال دسترسی به اینترنت توسط آن فراهم می شود.
  • Restricted VLAN : این ویژگی این امکان را برای کلاینت هایی که از پروتکل 802.1x پشتیبانی می کنند فراهم می کند که حتی در صورت تایید نشدن هویت آنها یک دسترسی محدود داشته باشند. در صورتی که یک کلاینت سه بار هویت آن تایید نشوند بدون اینکه هویت آن تایید شود به صورت خودکار در Restricted VLAN قرار می گیرد و پورت مربوطه به عنوان Restricted VLAN شناخته می شود. بعد از اینکه کلاینت در Restricted VLAN قرار گرفت یک پیام جعلی مبنی بر اینکه تایید هویت آن به درستی انجام شده است به کلاینت ارسال می شود تا دست از تلاش برای تایید هویت بر دارد. سطح دسترسی که به این کاربر یا دستگاه داده می شود بستگی به سیاست های سازمان دارد و توسط آنها تنظیم می شود و احتمالا اینکه سطح دسترسی برای guest VLAN و Restricted VLAN یکسان در نظر گرفته شود وجود دارد.
  • Port security : در 802.1x امکان فعال کردن port security را در پورت های سوئیچ فراهم می کند. در صورت فعال شدن این قابلیت باعث می شود تنها MAC Address های خاص اجازه دسترسی به شبکه را داشته باشند.این قابلیت جهت جلوگیری از اتصال دستگاه های غیر مجاز و همچنین امکان مشخص کردن تعداد دستگاه قابل اتصال به پورت مفید است.
  • Voice VLAN ID : این قابلیت این امکان را به مدیر شبکه می دهد که برای (Voice over Internet Protocol (VoIP یک شماره VLAN در نظر بگیرد.

در بخش بعدی سایر ویژگی را مورد بررسی قرار می دهیم. موفق ، پیروز و itpro باشید.

نویسنده : جعفر قنبری شوهانی

منبع : جزیره سیسکو وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

#ibns_چیست #802.1x_guest_vlan_چیست #voice_vlan_id_چیست #802.1x_چیست #امن_کردن_شبکه #کنترل_دسترسی_به_شبکه #restricted_vlan_چیست #vlan_assignments_چیست
عنوان
1 802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 1 رایگان
2 802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 2 رایگان
3 802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 3 رایگان
4 802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 4 رایگان
5 802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 5 رایگان
6 آموزش راه اندازی 802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 6 رایگان
7 آموزش راه اندازی 802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 7 رایگان
8 آموزش راه اندازی 802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 8 رایگان
9 آموزش راه اندازی 802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 9 رایگان
10 آموزش راه اندازی 802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 10 رایگان
زمان و قیمت کل 0″ 0
13 نظر
میثم رضوان دوست

ممنون مهندس

استفاده کردیم

AZARAKHSH

سلام

واقعا عالی و بی نظیر بود

مهسا مصلح

ممنون خیلی خوب بود

در ابتدا گفته شد که IBNS بر پایه 802.1x عمل میکنه که در لایه دوم از مدل osi هست

بعدش گفتین که احراز هویت دستگاهها رو از طریق MAC یا IP انجام میده

توی لایه دوم که IP نمیشه تعریف کرد!

جعفر قنبری شوهانی

براساس تعاریف این تکنولوژی یک تکنولوژی لایه دو هست و مکانیزم کاریش و تبادل اطلاعات بین دستگاه مثل سوئیچ و کلاینت در لایه دو اتفاق می افته و از پروتکل EAP که یک پروتکل لایه دویی هست استفاده می کنه اما برای احراز هویت از پارامترهای مختلفی میشه استفاده کرد مثلا از یوزر و پسورد های اکتیودایرکتوری که یک سرویس لایه هفت محسوب میشه می تونه استفاده کنه

مهسا مصلح

متوجه شدم

ممنون

saadatyar

این سرویس فقط برای شبکه های محلی هست؟ فرض کنیم یک شرکت در دوشهر تهران و مشهد شعبه دارد (که ارتباط این دو شرکت با اینترنت است)و سرور شبکه که ردیوس بر روی آن نصب است در تهران باشد، حالا آیا از این پروتکل احراز هویت می شود برای کارمندان مشهد هم استفاده شود یا فقط برای کارمندان شرکت واقع در تهران است ؟

saadatyar

سوال دیگر اینکه وقتی احراز هویت انجام شد و پورت باز شد، آیا از این به بعد

بسته های EAP درون فریم ها که همان فریم اترنت هستند همراه فیلم و اطلاعات دیگر منتقل نمی شود؟ یا همچنان منتقل می شوند؟

saadatyar

فیلد ورژن جا مونده است و توضیح نداده اید.

ممنون

saadatyar

سوال بعدی بنده این است که آدرس مک سوئیچ در کدام مرحله برای کاربر مشخص می شود تا در مک آدرس آدرس مقصد را قرار دهد؟

جعفر قنبری شوهانی

منظورتون رو متوجه نشدم

saadatyar

بنده سه سوال پرسیدم، کدام یک از سه سوال را متوجه نشدید؟

جعفر قنبری شوهانی

سوال اول:

ارتباط بین سوئیچ و سرور از طریق IP انجام میشه درنتیجه می تونه سرور در یک شبکه دیگه قرار بگیره و محدودیتی نداره فقط باید اینو در نظر بگیرید که اگه ارتباط بین این شبکه قطع بشه احراز هویت کاربران انجام نمیشه

سوال دوم:

اگه Periodic Reauthentication رو تنظیم کرده باشید باعث میشه براساس زمان مشخص شده پروسه احراز هویت مجدد تکرار بشه اما اگه تنظیم نشه پورت که باز بشه دیگه عملکردش مثل پورت های معمول سوئیچ میشه

سوال سوم:

منظورتون رو متوجه نشدم

saadatyar

با عرض درود و تکشر فراوان بابت پاسخ دو سوال اول،

سوال سوم اشتباه درک کرده بودم که درست شد و دیگر سوال نیست برام.

با تشکر فراوان

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....