در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 4

در ادامه مباحث 802.1x در خدمت شما دوستان هستیم.

Port Authentication Host Modes :

802.1x برای port authentication از چند host mode مختلف پشتیبانی می کند که این mode ها به شرح زیر است :

  • Single-Host Only : در این حالت برای هر پورت تنها یک host می تواند تایید هویت شود و اگر بیشتر از یک host برای تایید هویت تلاش کند یک پیغام خطا تولید می شود.
  • Multi-Host : در این حالت یک میزبان تایید هویت می شود و سایر میزبان ها بدون نیاز به تایید هویت می توانند از پورت استفاده کنند. اگر میزبانی که تایید هویت شده ارتباط خود را قطع کند پورت در وضعیت unauthorized قرار می گیرد و سایر میزبان ها نمی توانند دیگر از پورت استفاده کنند مگر اینکه یکی از آنها اقدام به تایید هویت کند.
  • Multi-Domain : این امکان را فراهم می کند تایید هویت برای دو دامین data و voice انجام گیرد. این حالت زمانی استفاده می شود که به یک پورت یک IP Phone و یک Computer متصل باشد.
  • Multi-Auth : در این حالت کامپیوترهایی که به یک پورت متصل هستند هر کدام به صورت مستقل تایید هویت می شوند. در این حالت همه کامپیوترهای متصل به این پورت در یک زمان واحد در یک VLAN قرار می گیرند و VLAN براساس اولین کامپیوتری که به پورت متصل شود تعیین می گردد. برای در نظر گرفتن مسائل امنیتی در این حالت بهترین راه استفاده از ACL می باشد.
  • Open : در این حالت هیچ محدودیتی برای دسترسی به شبکه وجود ندارد.

EAP Type Selection :

چندین روش مختلف برای تایید هویت به وسیله EAP برای شبکه های سیمی و بیسیم وجود دارد. که پرکاربرد ترین روش های آن به شرح زیر است :

  • EAP-MD5
  • PEAPv0-MSCHAPv2
  • LEAP
  • EAP-TLS
  • EAP-TTLS
  • EAP-FAST

در ادامه این روش های را مورد بررسی قرار می دهیم.

EAP–Message Digest Algorithm 5 :

EAP-MD5 براساس (message digest algorithm 5 (MD5 تایید هویت را انجام می دهد. در این روش هویت کلاینت به صورت hash شده روی شبکه ارسال می شود. در این روش سرور یک رشته به صورت تصادفی تولید می کند و آنرا به کلاینت ارسال می کند کلاینت رشته دریافتی را با استفاده از پسورد خود که به عنوان کلید در نظر گرفته می شود hash کرده و به سرور ارسال می کند. سرور نیز رشته ای که تولید کرده را با پسورد مربوط به کلاینت که از قبل در دیتابیس خود داشته hash می کند سپس hash خود را با hash ارسالی توسط کلاینت مقایسه می کند.این روش به خوبی پشتیبانی می شود و یک مکانیزم تایید هویت ساده را با استفاده از یوزر و پسورد فراهم می کند. همچنین این روش بار پردازشی زیادی به سرور یا کلاینت تحمیل نمی کند چون پردازش آن ساده و راحت است.نقطه ضعف این روش به عملکرد MD5 برمی گردد که باید پسورد تمام کاربران را به صورت clear-text در authentication server ذخیره گردد.

نکته : این روش یک مکانیزم استاندارد است و در ویندوز XP این مکانیزم را داریم اما در ویندوز 7 و بعد از آن این روش حذف شده است.

نکته : در این روش احراز هویت به صورت یکطرفه انجام می گیرد و فقط authentication server امکان احراز هویت کلاینت را دارد و کلاینت نمی تواند authentication server را احراز هویت کند.

در تصویر زیر نمونه آن نمایش داده شده است :

802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 4

Protected EAP w/MS-CHAPv2 :

(Protected EAP (PEAP به صورت مشترک توسط Cisco Systems ، Microsoft و RSA Security ارائه شده است و از روش های مختلف کپسوله کردن EAP به همراه تانل (Transport Layer Security (TLS پشتیبانی می کند.

PEAP از مجموعه از روش های تایید هویت کاربران پشتیبانی می کند. در سمت سرور از Certificate برای تایید هویت استفاده می شود که بر پایه (public-key infrastructure (PKI می باشد. PEAP میتواند برای تایید هویت از یوزر و پسورد های ویندوزی استفاده کند که این یوزر و پسوردها می توانند دامینی یا به صورت local باشد.

PEAP برای عملکرد خود از دو فاز استفاده می کند :

  • فاز 1 : در این فاز یک تانل امن توسط سرور ایجاد می گردد. که این تانل برای حمل بسته های تایید هویت EAP بین کاربر و Radius Server مورد استفاده قرار می گیرد.
  • فاز 2 : Radius Server کلاینت را به وسیله MS-CHAP version 2 از طریق تانل امنی که ایجاد شده تایید هویت می کند.

نکته : در این روش احراز هویت به صورت دو طرفه انجام می گیرد که کلاینت با استفاده از Cetificate سرور را تایید هویت می کند. در ابتدا کلاینت سرور را تایید هویت می کند.

نکته : در این روش Radius Server ما نیاز به Certificate دارد. نرم افزار ACS سیسکو قابلیت ایجاد Certificate به صورت Self-sign را دارد.

در تصویر زیر نمونه آن نمایش داده می شود :

802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 4

Cisco Lightweight EAP :

(Cisco Lightweight EAP (LEAP توسط سیسکو ارائه شده است و مکانیزم آن شبیه EAP-MD5 است با این تفاوت که کلاینت و سرور هر دو یکدیگر را تایید هویت می کند. کلاینت برای تایید هویت از shared secret استفاده می کند و سرور از پسورد کاربر برای این کار بهره می گیرد. در اینجا سرور یک رشته تولید و برای کلاینت ارسال می کند و این رشته به وسیله پسورد کاربر توسط کلاینت hash می شود و به سرور ارسال می شود سرور رشته را با پسورد مربوط به کاربر که در دیتابیس خود دارد hash می کند و این دو hash را با یکدیگر مقایسه می کند. بعد از اینکه تایید هویت کاربر توسط سرور انجام شد اینبار کلاینت هویت سرور مورد بررسی قرار می دهد به اینصورت که یک رشته تولید می کند و برای سرور ارسال می کند و سرور رشته را با shared secret خود hash می کند و برای کلاینت ارسال می کند. کلاینت نیز رشته ای که تولید کرده را به وسیله shared secret که از قبل برای آن مشخص کرده اند hash می کند و دو hash را با هم مقایسه می کند و به اینصورت سرور توسط کلاینت تایید هویت می شود.

منتظر قسمت های بعدی باشید. موفق ، پیروز و itpro باشید.

نویسنده : جعفر قنبری شوهانی

منبع : جزیره سیسکو وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

#روش_های_مختلف_تایید_هویت_در_802.1x #leap_چیست #peap_چیست #انواع_host_mode_در_802.1x #802.1x_چیست #امن_کردن_شبکه #کنترل_دسترسی_به_شبکه #eap-md5_چیست
عنوان
1 802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 1 رایگان
2 802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 2 رایگان
3 802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 3 رایگان
4 802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 4 رایگان
5 802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 5 رایگان
6 آموزش راه اندازی 802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 6 رایگان
7 آموزش راه اندازی 802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 7 رایگان
8 آموزش راه اندازی 802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 8 رایگان
9 آموزش راه اندازی 802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 9 رایگان
10 آموزش راه اندازی 802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 10 رایگان
زمان و قیمت کل 0″ 0
2 نظر
میثم رضوان دوست

تشکر

موفق ، پیروز

saadatyar

سلام مجدد

ببخشید طول پسورد EAP-MD5 چقدر باید باشد؟ حداقل و حداکثر؟

هرچقدر توی RFC3748 و مقاله ها گشتم چیزی پیدا نکردم متاسفانه

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....