در این بخش می‌توانید در رابطه با شبکه و کلیه مباحث مربوط به آن بحث و تبادل نظر نمایید
Super Moderator

Super Moderator



نماد کاربر
پست ها

1166

تشکر کرده: 0 مرتبه
تشکر شده: 12 مرتبه
تاريخ عضويت

سه شنبه 3 مرداد 1385 11:49

آرشيو سپاس: 3168 مرتبه در 620 پست

راهکار مديريت اتصال به شبکه بر اساس هويت کاربران

توسط SHAHRAM » پنج شنبه 8 اردیبهشت 1390 20:28

راهکار مديريت اتصال به شبکه بر اساس هويت کاربران


اشاره :
کنترل پورت‌هاي فعال شبکه‌هاي بزرگ به عنوان يک حفره امنيتي ...


مقدمه
هدايت و کنترل ورود انواع کاربران به شبکه بر اساس فاکتورهاي شناسايي، کنترل وضعيت نودهاي (کابلي و بي‌سيم) شبکه‌هاي بزرگ، طراحي و پياده‌سازي
Dynamic VLAN براي لايه‌لايه کردن شبکه و قرار دادن کاربران در شبکه‌هاي مجازي، رمزگذاري اطلاعاتي که در شبکه جابه‌جا مي‌شود، تفکيک کاربران در گروه‌هاي مختلف بسته به نوع سرويسي که دريافت مي‌کنند، همه و همه از مواردي هستند که ذهن فعال مسئولان شبکه‌هاي بزرگ را به خود مشغول کرده و اين افراد همواره دنبال راهکاري هستند تا علاوه بر سرويس‌دهي مناسب، امنيت قابل قبولي را نيز ارايه دهند.
اين روزها که امنيت اطلاعات مورد توجه مسئولان شرکت‌هاي بزرگ قرار گرفته است، بيشتر اوقات هنگامي که به شرکت‌هاي همکار مراجعه مي‌کنيم، با مشکلات عديده‌اي براي اتصال به شبکه و تبادل اطلاعات بر مي‌خوريم و زماني طولاني صرف برقراري ارتباطي ساده براي ارسال يک نسخه پرينت يا فايل مي‌شود. حتي گاهي براي دسترسی به اينترنت هم معضلاتي پيش رو داريم. بنابراين همواره در جستجوي راهکاري هستيم تا علاوه بر رعايت ملاحظات امنيتي و کنترل نودهاي فعال شبکه و مانيتور کردن اتصالات، سرويس‌دهي مناسب‌تري نيز داشته باشيم تا کاربر خيلي ساده‌تر به سرويس‌هاي معمولي دست يابد و کاري نکنيم که مسئولان عالي‌رتبه شرکت از خير سيستم مديريت امنيت اطلاعات (به دليل پايين آمدن درصد دسترس بودن سرويس‌ها) بگذرند!

IBNS چيست و چگونه کار مي‌کند؟
همانطور که گفته شد، کنترل نودهاي شبکه‌هاي بزرگ بسيار مشکل است و اگر شبکه بي‌سيم باشد، مشکل‌تر هم خواهد شد. حتما اين مورد را مشاهده کرده‌ايد که يک کاربر، کابلي را که به کامپيوتر متصل است، از آن جدا کند و نوت‌بوک شخصي خود را با همان کابل به شبکه متصل سازد و علي‌رغم اينکه آن نوت‌بوک عضو شبکه نيست، با اين وجود از طريق استفاده از نام کاربري و رمز عبور شبکه، اطلاعاتي را که به آن دسترسي دارد از شبکه روي نوت‌بوک کپي کند. حال اگر شبکه بي‌سيم داشته باشيم، اين کار ساده‌تر انجام مي‌شود و افرادي که انگيزه بيشتري براي دسترسي به شبکه دارند، به راحتي مي‌توانند به آن نفوذ کنند. از طرفي در اين‌گونه شبکه‌ها تنوع کاربران هم وجود دارد و ما موظفيم از طرق ممکن سرويس‌هاي مورد نظر آنها را فعال کنيم. هر سرويس جديد نيز آسيب‌پذيري‌هاي خاص خود را دارد و سرويس‌هاي خاص نيز مشکلات امنيتي فراواني ايجاد مي‌کنند. تهديدات هم روز به روز تغيير مي‌کنند و افزايش مي‌يابند. حالا با توجه به اين موارد، به نظر شما چه بايد کرد؟
راه‌هاي مختلفي براي هر يک از موارد فوق پيشنهاد مي‌شود که از ميان آنها به نظر ما، بهترين راهکار Identity Base Networking Services يا IBNS است که نه تنها مختص محصولات شرکت خاصي نيست، بلکه با توجه به اينکه در کشورمان اغلب سيستم عامل‌ مايکروسافت و تجهيزات سيسکو راه‌اندازي مي‌شود، به راحتي در اين محيط قابل پياده‌سازي است. در اين روش کاربران قبل از هرگونه استفاده از منابع شبکه، اعتبارسنجي (Authenticate) مي‌شوند و سپس با توجه به مشخصات خود وارد شبکه مجازي مشخصي مي‌شوند که اصطلاحا
(VLAN (Virtual Local Area Network ناميده مي‌شود. اين VLAN با توجه به اينکه بسته به مشخصات کاربر تغيير مي‌کند و پوياست، به Dynamic VLAN معروف شده است. در اين مقاله به تشريح اجزا و مکانيسم پياده‌سازي IBNS مي‌پردازيم:

به طور کلي نحوه کارکرد IBNS در سه قسمت اصلي خلاصه مي‌شود:
«» براساس خط مشي سازمان، سياست‌هاي کلي را پياده‌سازي مي‌کند.
«» کنترل پورت‌ها و دسترسی به شبکه را انجام مي‌دهد.
«» فعاليت کاربران در شبکه را مانيتور و پيگيري مي‌کند.

براي ساده‌سازي و درک روش کار IBNS مراحل کار را با سوالات زير شبيه‌سازي کرده‌ايم:

احراز هويت يا اعتبارسنجي (Authentication) که مشخص مي‌کند "که هستي؟"
IBNS از پروتکل IEEE802.1x و يک بانک اطلاعاتي (Radius Server) براي احراز هويت کاربران استفاده مي‌کند. فاکتورهايي مانند نام کاربري، اثر انگشت، گواهي ديجيتالي و آدرس ايميل مشخص مي‌کند چه فرد يا ابزاري قصد اتصال به سيستم را دارد و آنها را از هم تفکيک مي‌کند.

به کدام گروه از شبکه تعلق داري؟
بسته به نتيجه احراز هويت، کاربر در شبکه مجازي خاصي قرار داده مي‌شود.

چه سطحي از سرويس‌ها را دريافت مي‌کني؟
نوع و سطح دسترسی کاربران به قسمت‌هاي مختلف شبکه با روش‌هاي کنترلي خاص (مانند استفاده از Access Control List‌) و کيفيت بهره‌وري ايشان از شبکه با اولويت‌بندي‌هايي که در تنظيمات QoS در شبکه انجام مي‌شود، مشخص مي‌گردد.

چه فعاليت‌هايي در شبکه انجام مي‌شود؟
با توجه به فاکتورهاي شناسايي و محل قرارگيري کاربر، مانيتورينگ و بازرسی فعاليت‌هاي کاربر بهتر انجام مي‌شود.

با استفاده از IBNS مي‌توان اطلاعات اتصالات را ثبت کرد. به عنوان مثال کدام کاربر يا کامپيوتر در چه ساعتي و با چه اسم يا آيپي‌آدرسي به شبکه متصل شده است و در کدام VLAN قرار گرفته است. بنابراين به راحتي مي‌توان قوانين بازرسي در شبکه را پياده‌سازي و دستگاه‌ها را مانيتور کرد.

درک پروتکل IEEE 802.1x
پروتکل IEEE 802.1X پروتکل استانداردي است که دسترسي به سرويس‌هاي شبکه را با احراز هويت به صورت کلاينت ـ سرور کنترل مي‌کند. سروري که مسئوليت احراز هويت را بر عهده دارد، دستگاهي را که به پورت سوئيچ متصل مي‌شود، قبل از اجازه اتصال به شبکه کنترل مي‌کند و بر اساس نوع مجوزهاي کاربر، دسترسي آن را برقرار مي‌نمايد. با توجه به اينکه قبل از تکميل مراحل اعتبارسنجي، هنوز اتصال کاربر با شبکه برقرار نشده است، تا آن زمان فقط ترافيک خاصي از روي شبکه عبور خواهد کرد که به اختصار(EAPOL (Extensible Authentication Protocol Over LAN ناميده مي‌شود و پس از اينکه شناسايي کامل شد، اگر دسترسي وجود داشته باشد ترافيک معمولي از آن پورت عبور خواهد کرد و در غير اين صورت اتصال قطع شده و هيچ ترافيکي عبور نخواهد کرد. با اين راهکار مي‌توانيم خط مشي سازمان براي دسترسی کاربران به شبکه را بر اساس انواع کاربران، سرويس گيرندگان يا منابع شبکه پياده‌سازي کنيم. در نتيجه به عنوان مثال بر اساس سياست سازمان براي کاربران مهمان، ايشان پس از ورود به شبکه در VLAN خاصي قرار مي‌گيرند که دسترسی‌هاي خاص خود را دارند و به همين صورت سياست‌هاي امنيتي و سرويس‌دهي پياده‌سازي مي‌شود.
سناريوي IEEE 802.1X به سه بخش عمده تقسيم مي‌‌شود و در هر يک از قسمت‌ها هر دستگاه نقش خاص خود را دارد:

قسمت اول: کلاينت يا Supplicant
دستگاهي است که درخواست اتصال به شبکه را براي سوئيچ (رابط ميان درخواست کننده و سرور احراز هويت) ارسال مي‌کند و همچنين پاسخ درخواست‌هاي سوئيچ را براي احراز هويت مي‌دهد. سيستم عامل کلاينت بايد پروتکل IEEE 802.1X را پشتيباني کند. به عنوان مثال سيستم عامل ويندوز XP با سرويس‌پک يک و بالاتر اين پروتکل را پشتيباني مي‌کند.

قسمت دوم:‌ Authenticator يا Network Access Devices
اين دستگاه مي‌تواند اکسس‌پوينت شبکه‌هاي بي‌سيم و يا سوئيچ در شبکه‌هاي کابلي باشد و البته RADIUS Client نيز ناميده مي‌شود. اين قسمت مانند پروکسي عمل کرده و دسترسي فيزيکي به شبکه را بسته به پاسخ سرور اعتبارسنجي تنظيم مي‌کند و اطلاعات لازم براي احراز هويت را از کلاينت درخواست مي‌کند و اطلاعاتي را که از سرور اعتبارسنجي دريافت مي‌شود، تائيد مي‌کند و پاسخ سرور را به کلاينت Relay (بازپخش) مي‌کند. در واقع وظيفه اصلي اين قسمت Encapsulate (تلفيق) و Decapsulate کردن فريم‌هاي EAP است. وقتي که سوئيچ فريم‌هاي EAPOL را دريافت مي‌کند، سرستون آن را جدا ساخته و بقيه فريم را به فرمت RADIUS مجددا تلفيق مي‌کند که در اين حالت‌ها فريم EAP تغييري نخواهد کرد.

قسمت سوم: Authentication Server يا AAA RADIUS Server
دستگاهي که عمل احراز هويت را انجام مي‌دهد و به سوئيچ اعلام مي‌کند که کلاينت مجاز براي دسترسي به سرويس‌هاي شبکه هست يا نه؟ در اين حالت سوئيچ به عنوان پروکسي عمل کرده، IAS که احراز هويت EAP را پشتيباني مي‌کند به عنوان پشتيبان سرور DC خواهد بود. مي‌توان به جاي سرويس مايکروسافتي IAS از Cisco Secure ACS هم به عنوان يک سرويس RADIUS استفاده کرد. IAS مخفف Internet Authentication Service سرويس مايکروسافتي که عمل اعتبارسنجي را به صورت محلي و يا با هماهنگي با Active Directory Service انجام مي‌دهد. اين قسمت‌ها در شکل 1 نمايش داده شده‌اند.


شکل 1: عملکرد کلي پروتکل IEEE802.1x

مراحل درخواست اعتبارسنجي تا زمان برقراري ارتباط
سوئيچ به عنوان RADIUS Client يا Supplicant از طرف کاربر درخواست اعتبارسنجي را ايجاد مي‌کند. هنگامي که روي يک پورت سوئيچ، اعتبارسنجي را فعال مي‌کنيم (از طريق اجراي دستور dot1x port-control auto)، درخواست اعتبارسنجي توسط سوئيچ ارسال ‌مي‌شود و سوئيچ بر اساس تصميم نهايي Up يا Down مي‌شود. در اين حالت سوئيچ براي کلاينت فريم EAP-request / identity را ارسال مي‌کند و از کلاينت مي‌خواهد تا هويت خود را اعلام کند و کلاينت فريم EAP-response / identity را براي سوئيچ ارسال مي‌کند و پاسخ مي‌دهد. حالا اگر کلاينت هنگام روشن شدن فريم درخواست را از سوئيچ دريافت نکند، خودش با ارسال فريم EAPOL-start مراحل احراز هويت را آغاز مي‌کند و از سوئيچ مي‌خواهد تا فريم EAP-request/identity را ارسال و درخواست اعتبارسنجي کند.

توجه: دقت کنيد 802.1x به صورت پيش‌فرض روي تجهيزات شبکه فعال نيست و ما بايد آن را فعال کنيم. اگر802.1X روي سوئيچ فعال نشود يا تجهيزات شبکه آن را پشتيباني نکنند (مثلا IOS سوئيچ آن را پشتيباني نکند) درخواست‌هاي EAPOL کلاينت که براي سوئيچ ارسال مي‌شود، حذف مي‌شوند. چنانچه کلاينت سه بار پيغام Start را براي سوئيچ ارسال کند و پاسخي دريافت نکند، فريم‌ها را مشابه حالتي که پورت سوئيچ در حالت مجاز است، ارسال مي‌کند. حالت مجاز سوئيچ يعني حالتي که کلاينت شناسايي شده و امکان تبادل فريم‌هاي شبکه وجود دارد.
وقتي کلاينت هويت خود را اعلام مي‌کند، سوئيچ نقش ميانجي‌گري خود را آغاز مي‌کند و فريم‌هايي که سرور و کلاينت براي تصميم‌گيري در مورد احراز هويت تبادل مي‌کنند (فريم‌هاي EAP) را انتقال مي‌دهد. نوع فريم‌هايي که تبادل مي‌شوند، بستگي به روش اعتبارسنجي دارد.

حالت‌هاي مختلف پورت‌هاي سوئيچ
حالت پورت سوئيچ (Authorized/Unauthorized) مشخص مي‌سازد که کلاينت به شبکه متصل شود يا خير. وقتي کابل به پورت سوئيچ متصل مي‌شود، پورت سوئيچ از حالت Unauthorized آغاز مي‌کند. اين حالتي است که اتصال با شبکه برقرار نمي‌شود و پورت به فريم‌هاي غير 802.1x اجازه داخل و خارج شدن نمي‌دهد. هنگامي که کلاينت شناسايي شد و ارتباط با شبکه به صورت نرمال برقرار گرديد، زماني است که پورت به حالت Authorized تغيير حالت داده است.

توجه: دقت کنيد در حالتي که 802.1x روي سوئيچ فعال شده است، اگر کلاينت 802.1x را پشتيباني نکند (مثلا سيستم عامل XP بدون سرويس پک باشد) کلاينت فريم‌هايي را که سوئيچ براي احراز هويت ارسال مي‌کند، نمي‌فهمد. بنابراين پاسخي نمي‌دهد و سوئيچ به حالت Authorized نخواهد رفت و در نهايت اتصال برقرار نمي‌شود. به همين ترتيب، اگر 802.1x روي سوئيچ فعال نشده باشد اما تنظيمات کلاينت انجام شده باشد، سوئيچ فريم‌هاي کلاينت را پاسخ نمي‌دهد و کلاينت پس از مدت زمان مشخص ترافيک نرمال را ارسال مي‌کند و بنابراين اتصال برقرار مي‌شود.
براي اينکه وضعيت پورت سوئيچ را کنترل کنيد، از دستور dot1x port-control در مود تنظيمات اينترفيس استفاده کنيد که حالت‌هاي مختلف زير را در پي خواهد داشت:
Force-authorized ؛ حالتي است که 802.1x غيرفعال مي‌شود و هيچ تبادل اطلاعاتي براي احراز هويت انجام نمي‌شود و در هر شرايطي پورت در حالت Authorized قرار دارد و اتصال همواره برقرار مي‌شود.
Force-unauthorized ؛ حالتي است که پورت همواره در حالت Unauthorized قرار دارد و اگرچه هيچ تبادل اطلاعاتي براي احراز هويت انجام نمي‌شود، اما اجازه اتصال به شبکه نيز داده نمي‌شود.
Auto ؛ حالتي است که 802.1x فعال شده و فرآيند احراز هويت انجام مي‌شود تا در صورت مجاز بودن کاربر يا کلاينت، پس از طي مراحلي که قبلا گفته شد، پورت از حالت Unauthorized به حالت Authorized تغيير وضعيت دهد.

توجه: هرگاه کلاينت Logoff کند، يک پيغام EAPOL-Logoff براي سوئيچ ارسال مي‌کند و پورت مجددا به حالت Unauthorized تغيير وضعيت مي‌دهد تا در مراحل ورود به شبکه بعدي مجددا کلاينت شناسايي شود.

کجا مي‌توان اين راهکار را پياده کرد؟
اين راهکار قابل پياده‌سازي در دو توپولوژي مختلف است:

توپولوژي point-to-point
در توپولوژي پوينت تو پوينت، فقط يک کلاينت مي‌تواند به پورت سوئيچي که 802.1x روي آن فعال شده است، متصل شود. وقتي کلاينت متصل مي‌شود، پورت سوئيچ مشخصات آن را مي‌شناسد و چنانچه کلاينت تغيير داده شود و دستگاه ديگري به پورت سوئيچ متصل گردد، وضعيت پورت سوئيچ به حالت Unauthorized تغيير کرده و اصطلاحا پورت Down مي‌شود. در اين حالت اگر مجددا کلاينت قبلي را به همان پورت متصل کنيد، به شبکه متصل نخواهد شد، زيرا پورت سوئيچ که به دلايل امنيتي به وضعيت Unauthorized تغيير کرده است، بايد توسط مسئول شبکه Up شود تا بتواند مجددا فريم‌هاي EAPOL را براي احراز هويت به سرور اعتبارسنجي ارسال و دريافت کند. در اين شرايط بايد با دستور Shutdown و no shutdown پورت مذکور را Down و سپس Up کنيد.

توپولوژي Wireless LAN
در اين توپولوژي که يک اکسس پوينت رابط ميان کلاينت‌ها و پورت ترانک شده سوئيچ است، هرگاه دستگاهي به اکسس پوينت متصل شود و در واقع عمليات احراز هويت تکميل و پورت در حالت Authorized قرار گيرد، ديگر دستگاه‌ها هم مي‌توانند متصل شوند و چنانچه يک دستگاه Logoff کند و پيغام EAPOL-Logoff را ارسال کند، پورت سوئيچ به حالت Unauthorized مي‌رود و بقيه دستگاه‌ها نيز Disconnect مي‌شوند. بنابراين در اين توپولوژي، اکسس پوينت است که عمل احراز هويت را به کمک IAS انجام مي‌دهد.


شکل2

نيازمندي‌هاي راه‌اندازي IBNS
اين راهکار به تجهيز يا محصول خاصي وابسته نيست، اما سناريويي که اينجا در نظر گرفته شده است با در نظر گرفتن پيش‌نيازهاي ذيل قابل اجراست:
•‌ در شبکه کابلي يا بي‌سيم، وجود سوئيچي که 802.1x را پشتيباني کند.
•‌ در شبکه بدون سيم، وجود Access Pointاي که 802.1x را پشتيباني کند.
•‌ سرور Radius که مي‌تواند Cisco Secure ACS يا سرويس Microsoft IAS باشد.
•‌ سرور دامين کنترلر يا DC که براي عمل احراز هويت به IAS سرويس ‌دهد.
•‌ سرويس‌دهنده DHCP که محدوده آيپي‌ها را براي VLAN‌ها مشخص کند.
•‌ کلاينت‌ها با سيستم عاملي که 802.1x را پشتيباني کند، مانند ويندوز XP SP2 و بالاتر.
•‌ در صورتي که شناسايي کاربر با گواهي ديجيتالي انجام مي‌شود، سروري که گواهي ديجيتالي صادر کند که اين سرور مي‌تواند Certificate Authority مايکروسافتي باشد.

خلاصه
در نتيجه آنچه گفته شد، با پياده‌سازي IBNS و فناوري‌هاي تکميلي، به نتايج با ارزش زير دست خواهيم يافت:
ـ‌ از اينکه افراد مجاز از دسترسی‌هاي مجاز بهره‌برداري مي‌کنند، اطمينان مي‌يابيم.
ـ‌ بدون قرباني کردن ملاحظات امنيتي، مي‌توانيم تعداد و انواع بيشتري از کاربران را پوشش دهيم.
ـ‌ بدون قرباني کردن بازدهي و کارآيي شبکه و کاربران، دسترسی به منابع را محدود به بايد‌ها و نيازهاي کاري مي‌کنيم.
ـ‌ دسترسی کاربران را براساس لايه‌هاي مختلف و به صورت خودکار تنظيم مي‌کنيم.
ـ‌ ‌مانيتورينگ و بازرسي دقيق‌تري بر دسترسی کاربران به شبکه خواهيم داشت.

و به عنوان نمونه عملي مطالب فوق؛ کاربراني که از نوت‌بوک شخصي خود در اداره يا شرکت استفاده مي‌کنند، بدون هيچ ملاحظه‌اي در قسمتي از شبکه محبوس مي‌کنيم.

منبع:computernews
"هرکس از راه رسید نانش دهید و از ایمانش مپرسید . چه ، آنکس که به درگاه باریتعالی به جان ارزد ، قطعا بر سفره بوالحسن به نان ارزد "
( شیخ ابوالحسن خرقانی )

کاربران زیر از شما کاربر محترم جناب SHAHRAM تشکر کرده اند:
Mr.Amirhessam, noora, HORLIKAN, CAPTAIN PILOT, oweiys

 


  • موضوعات مشابه
    پاسخ ها
    بازديدها
    آخرين پست

چه کسي حاضر است ؟

کاربران حاضر در اين انجمن: بدون كاربران آنلاين و 0 مهمان