در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آموزش راه اندازی 802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 7

در ادامه پیاده سازی 802.1x در خدمت شما دوستان عزیز هستم :

تنظیم Authenticator :

برای اینکه یک سوئیچ یا دستگاه دیگر به عنوان Authenticator عمل کند باید چندین عمل روی آن انجام داد که به شرح زیر است :

  • تنظیم Radius Server و AAA Server در سوئیچ
  • تنظیم سوئیچ جهت استفاده از AAA و Radius برای تایید هویت
  • فعال کردن 802.1x به صورت Globally در سوئیچ
  • تنظیم پورت های Access در سوئیچ که باید تایید هویت کاربران را انجام دهد
  • (اختیاری) تنظیم periodic reauthentication
  • (اختیاری) تنظیم timers and thresholds
  • (اختیاری) تنظیم guest policy در صورت نیاز در سوئیچ

برخی از این عملیات ها اختیاری است که به شرح آنها می پردازیم :

periodic reauthentication : در بعضی مواقع 802.1x جهت تایید هویت در سوئیچی که کلاینت به آن متصل است تنظیم نشده است و تایید هویت توسط سوئیچ بالا دست انجام می شود. تنظیم periodic reauthentication در آن سوئیچ باعث می شود که در بازه های مشخص اقدام به تایید هویت مجدد نماید و از متصل بودن کلاینت اطمینان حاصل کند و پورت را در وضعیت Authorized نگه دارد.

timers and thresholds : تایمر پیش فرض برای تایید هویت در IOS سیسکو بسیار محافظه کارانه تنظیم شده است اگر پروسه تایید هویت شما به دلایل مختلف زمانبر است می توانید این تایمر را براساس نیاز خود تنظیم کنید.

guest policy : ایجاد guest network اختیاری است و برای کلاینت هایی که از 802.1x پشتیبانی نمی کنند یا هویت آنها تایید نشده است مورد استفاده قرار می گیرد. با استفاده از guest network یک دسترسی محدود به کاربر مانند دسترسی به فقط اینترنت داده می شود.

سناریو :

سناریوی که قرار است باهم پیاده سازی کنیم در تصویر زیر مشاهده می کنیم. این سناریوی شامل بخش های زیر است :

  • کاربران داخلی سازمان برای اتصال از 802.1x استفاده می کنند و همچنین کاربرانی guest وجود دارد.
  • سوئیچ به عنوان authenticator عمل می کند.
  • VLAN 100 برای quest network مورد استفاده قرار می گیرد و تنها دسترسی به اینترنت را فراهم می کند.
  • از Cisco Secure ACS 4.2 به عنوان AAA Server استفاده می کنیم که در windows server اجرا می شود و برای 802.1x به عنوان Radius عمل می کند.

آموزش راه اندازی  802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 7

تنظیم RADIUS Server :

اولین عمل برای فعال کردن Authenticator تنظیم RADIUS server است :

  • مرحله 1 : دستور radius-server host به همراه آدرس IP سرور Radius را استفاده می کنیم. سوئیچ برای تایید هویت با این سرور ارتباط برقرار می کند. همچنین با استفاده از کلمه key می توانیم از این ارتباط حفاظت کنیم.
  • مرحله 2 : (اختیاری) شما می توانید پورت های پیش فرض authentication و accounting را تغییر دهید.

نکته : می توانید دو RADIUS server تعریف کنید که برای AAA Server افزونگی (Redundant) فراهم می کند. استفاده از کلید پیچیده و همچنین کلید های متفاوت برای هر سوئیچ برای افزایش امنیت پیشنهاد می شود.

نکته : قبل از استفاده از این دستور باید AAA فعال شده باشد.

در دستورات زیر Radius server با آدرس 10.1.1.1 و پورت های استاندارد UDP 1812 , 1813 و کلید rad123 تنظیم شده است :

SW(config)#radius-server host 10.1.1.1 auth-port 1812 acct-port 1813 key rad123

فعال کردن AAA و استفاده از RADIUS برای Authentication :

در این مرحله AAA فعال می شود و برای Authentication استفاده از RADIUS تعیین می شود.

  • مرحله 1 : AAA را به صورت globally با استفاده از دستور aaa new-model فعال می کنیم.
  • مرحله 2 : در اینجا مشخص می کنیم که aaa authentication برای تایید هویت از RADIUS Server استفاده کند.

در دستورات زیر فعال کردن AAA و همچنین تعیین RADIUS Server برای AAA Authentication برای تایید هویت کلاینت ها نشان داده شده است :

SW(config)#aaa new-model
SW(config)#aaa authentication dot1x default group radius none

فعال کردن 802.1X به صورت Globally و در User Ports :

در این مرحله 802.1x به صورت globally فعال می شود و سپس 802.1x در پورت های access سوئیچ فعال می گردد.

  • مرحله 1 : 802.1x با استفاده از دستور system-auth-control به صورت globally فعال می شود.
  • مرحله 2 : در پورت هایی که باید 802.1x authentication در آنها فعال گردد مطمئن شوید که پورت در حالت access قرار دارد برای اینکه پورت را در حالت access قرار دهیم از دستور switchport mode access در اینترفیس مربوطه استفاده می کنیم.
  • مرحله 3 : اینترفیس را در vlan مناسب قرار دهید که با استفاده از دستور switchport access vlan vlan-id انجام می شود.
  • مرحله 4 : 802.1x را در اینترفیس مورد نظر با استفاده از دستور authentication port-control فعال می کنیم.

در دستورات زیر فعال کردن 802.1x به صورت globally و همچنین قرار دادن اینترفیس در حالت access و تعیین vlan و در نهایت فعال کردن 802.1x در اینترفیس نمایش داده شده است.

SW(config)#dot1x system-auth-control
SW(config)#interface fastethernet 0/1
SW(config-if)#switchport mode access
SW(config-if)#switchport access vlan 90
SW(config-if)#authentication port-control auto

تنظیم Periodic Reauthentication :

تنظیم این مرحله اختیاری می باشد و می توانید آنرا روی یک یا چند اینترفیس تنظیم کنید. به صورت پیش reauthentication فعال نیست و این می تواند در برخی از شبکه ها که روی همه سوئیچ 802.1x فعال نیست باعث بروز مشکل شود. به طور مثال اگر 802.1x در لایه distribution فعال باشد این سوئیچ ها از قطع شدن ارتباط کلاینت باخبر نمی شود. Periodic reauthentication در بازه های زمانی مشخص اقدام به تایید هویت مجدد کلاینت ها می کند که باعث می شود این مشکل از بین برود.

جهت فعال کردن این ویژگی مراحل زیر را باید طی کنیم :

  • مرحله 1 : با استفاده از دستور authentication periodic در اینترفیس مورد نظر این قابلیت فعال می شود.
  • مرحله 2 : با استفاده از دستور authentication timer reauthenticate می توانیم بازه زمانی برای تایید هویت مجدد را مشخص کنیم. به صورت پیش فرض مقدار آن برابر 3600 ثانیه یعنی هر یک ساعت یکبار می باشد. کم کردن این زمان به لحاظ امنیتی مفید است اما از سوی دیگر می تواند بار بیشتری متوجه RADIUS Server کند. در نتیجه مقدار آنرا طوری باید انتخاب کرد که هر دو بحث امنیت و بار تحمیلی به سرور در آن در نظر گرفته شود.

در دستورات زیر فعال کردن periodic reauthentication نمایش داده شده است :

SW(config)#interface fastethernet 0/1
SW(config-if)#authentication periodic
SW(config-if)#authentication timer reauthenticate 600

تنظیم Timers and Thresholds :

تنظیم این مرحله اختیاری است شما می توانید با تنظیم تایمر EAPOL عملیات تایید هویت 802.1x و تبادل بین supplicant و authenticatorرا بهینه کنید.

در تصویر زیر بسته هایی که بین supplicant و authenticator و authentication server تبادل می شود نمایش داده شده است.

آموزش راه اندازی  802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 7

نکته : EAPOL بین supplicant و authenticatorمورد استفاده قرار می گیرد و بین authenticator و authentication server از RADIUS استفاده می شود.

Authenticator انتظار دریافت فریم EAP-Response-Identity را در پاسخ به فریم EAP-Request-Identity دارد. اگر در زمان تعیین شده فریمی دریافت نکند مجدد اقدام به ارسال فریم EAP-Request-Identity می کند. زمان پیش فرض 30 ثانیه می باشد. شما می توانید این زمان را برای پاسخگویی بهتر تغییر دهید که پروسه تایید هویت سریع تر انجام شود. برای تغییر این زمان از دستور dot1x timeout txperiod در اینترفیس مورد نظر می توانید استفاده کنید.

اگر تایید هویت کلاینت به دلایلی مانند اشتباه وارد کردن پسورد با شکست مواجه شود Authenticator یک بازه زمانی صبر می کند سپس برای تایید هویت اقدام می کند که این بازه زمانی به صورت پیش فرض 60 ثانیه می باشد. شما می توانید با کم کردن این زمان پروسه تایید هویت را سریع انجام دهید. برای تغییر این بازه زمانی می توانید از دستور dot1x timeout quiet-period در اینترفیس مورد نظر استفاده کنید.

در دستورات زیر تنظیم این زمان ها نمایش داده شده است :

SW(config-if)#interface fastethernet 0/1
SW(config-if)#dot1x timeout tx-period 10
SW(config-if)#dot1x timeout quiet-period 10

تنظیم guest policy :

این مرحله نیز اختیاری است در این مرحله یک VLAN برای کلاینت هایی که تایید هویت آنها با شکست مواجه شده است یا از 802.1x پشتیبانی نمی کنند در نظر گرفته می شود. به این معنی که کلاینت هایی که تایید هویت نمی شوند در این VLAN قرار می گیرند. این VLAN باید از قبل در سوئیچ وجود داشته باشد.

در حالتی که تایید هویت با شکست مواجه شود شما باید مشخص کنید بعد از چند بار که تایید هویت با شکست مواجه شد کلاینت را در این VLAN قرار دهد. از دستور authentication event fail retry number action authorize vlan در حالت تایید نشدن هویت استفاده می شود و برای حالت عدم پشتیبانی از 802.1x از دستور authentication event no-response action authorize VLAN استفاده می شود.

در دستورات زیر تعیین Guest VLAN نمایش داده شده است :

SW(config-if)#interface fastethernet 0/1
SW(config-if)#authentication event fail retry 2 action authorize vlan 100
SW(config-if)#authentication event no-response action authorize vlan 100

بررسی و خطایابی در Authenticator :

در صورت بروز مشکل در Authenticator برای تایید هویت می تواند عملکرد شبکه را تحت تاثیر خود قرار دهد و باعث شود بخشی از شبکه از دسترس خارج شود.

دستور show dot1x وضعیت 802.1x را به نمایش می دهد همانند تصویر زیر :

آموزش راه اندازی  802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 7

دستور show dot1x all summary که در تصویر زیر می بینید وضعیت هر پورت که را که در آن 802.1x فعال شده باشد را به ما نشان می دهد:

آموزش راه اندازی  802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 7

در قسمت بعد نحوی تنظیم ACS را فرا خواهیم گرفت. موفق ، پیروز و itpro باشید.

نویسنده : جعفر قنبری شوهانی

منبع : جزیره سیسکو وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

#مراحل_پیاده_سازی_802.1x #timers_and_thresholds_چیست #پیاده_سازی_802.1x #تعریف_guest_policy #periodic_reauthentication_چیست #تنظیم_authenticator #802.1x_چیست #سناریو_802.1x
عنوان
1 802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 1 رایگان
2 802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 2 رایگان
3 802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 3 رایگان
4 802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 4 رایگان
5 802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 5 رایگان
6 آموزش راه اندازی 802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 6 رایگان
7 آموزش راه اندازی 802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 7 رایگان
8 آموزش راه اندازی 802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 8 رایگان
9 آموزش راه اندازی 802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 9 رایگان
10 آموزش راه اندازی 802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 10 رایگان
زمان و قیمت کل 0″ 0
1 نظر
میثم رضوان دوست

سلام مهندس

خیلی عالی بود

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....