آشنایی با پروتکل Dot1x و راهکارهای پیاده‌سازی در سیسکو

پروتکل Dot1x که عموماً با نام پروتکل 802.1X شناخته می‌شود، یک پروتکل امنیتی در شبکه‌های کامپیوتری است که برای احراز هویت و کنترل دسترسی به شبکه استفاده می‌شود. این پروتکل به شما اجازه می‌دهد تا تعیین کنید که کدام دستگاه‌ها و کاربران مجاز به ورود به شبکه هستند و مشخص کنید که آیا آن‌ها می‌توانند به منابع شبکه دسترسی داشته باشند یا نه؟ در این مقاله قصد داریم تا به همه سوالات شما عزیزان در خصوص پروتکل Dot1x و چگونگی پیاده سازی آن در سیسکو پاسخ دهیم؛ پس تا انتهای این مقاله با کندو همراه باشید.

نگاهی کلی به پروتکل Dot1X

Dot1X به کاربران و دستگاه‌ها اجازه می‌دهد تا هویت خود را با استفاده از مکانیزم‌های احراز هویت مانند نام کاربری و رمز عبور، گواهی‌نامه‌های دیجیتالی، یا سایر روش‌ها اثبات کنند. پس از احراز هویت موفق، پروتکل 802.1X با توجه سیاست‌های تعیین شده توسط مدیر شبکه، مشخص می‌کند که آیا کاربر یا دستگاه می‌توانند به شبکه دسترسی داشته باشند یا نه. این پروتکل به طور شفاف در شبکه فعالیت دارد و بدون نیاز به تغییرات در برنامه‌ها و سرویس‌های موجود در شبکه، به عنوان یک لایه، در لایه مدل OSI عمل می‌کند.

802.1X معمولاً در شبکه‌های بی‌سیم نیز استفاده می‌شود تا احراز هویت و کنترل دسترسی به کاربران و دستگاه‌های بی‌سیم را پشتیبانی کند. این پروتکل به مدیران شبکه امکان می‌دهد تا به راحتی تنظیمات احراز هویت و کنترل دسترسی را مدیریت و پیکربندی کنند. از جمله پیاده‌سازی‌های معروف Dot1X می‌توان به EAP (Extensible Authentication Protocol) و RADIUS (Remote Authentication Dial-In User Service) اشاره کرد که در احراز هویت کاربران و دستگاه‌ها در شبکه‌های کامپیوتری استفاده می‌شوند.

PPP و EAP چیست؟

برای درک بهتر پروتکل Dot1x بد نیست با دو مفهوم PPP و EAP آشنا شوید. این دو پروتکل مهم در زمینه اتصال به شبکه و احراز هویت در شبکه‌های کامپیوتری فعالیت دارند. هر کدام از آن‌ها به صورت مستقل از یکدیگر عمل می‌کنند.

PPP (Point-to-Point Protocol):

PPP یک پروتکل ارتباطی است که به صورت معمول در اتصالات دستگاه‌های معین به شبکه‌های اینترنتی استفاده می‌شود. این پروتکل از مدل OSI (Open Systems Interconnection) استفاده می‌کند و در لایه دوم (لایه پیوند داده) این مدل قرار دارد.

PPP از مدل اتصال به اینترنت از طریق شماره‌گیری (Dial-up)، DSL (Digital Subscriber Line) و اتصالات معین به شبکه‌های دیگر برای انتقال داده‌ها بهره می‌برد. این پروتکل امکان احراز هویت کاربران از طریق نام کاربری و رمز عبور را فراهم می‌کند.

EAP (Extensible Authentication Protocol):

EAP یک پروتکل احراز هویت است که برای احراز هویت کاربران و دستگاه‌ها در شبکه‌های کامپیوتری استفاده می‌شود. EAP به عنوان یک پروتکل اصطلاحاً «اضافه‌پذیر» شناخته می‌شود، به این معنا که انواع مختلفی از مکانیزم‌های احراز هویت را پشتیبانی می‌کند. EAP معمولاً در اتصالات بی‌سیم (مثل وای‌فای) و VPN‌ها (Virtual Private Networks) به عنوان یک پروتکل احراز هویت و امنیتی مورد استفاده قرار می‌گیرد. این پروتکل به صورت انعطاف‌پذیر می‌تواند از مکانیزم‌های مختلفی مانند EAP-TLS (Transport Layer Security)، EAP-PEAP (Protected Extensible Authentication Protocol)، EAP-TTLS (Tunneled Transport Layer Security) و غیره استفاده کند.

در کل، PPP به عنوان یک پروتکل اتصال به شبکه به کار می‌رود و EAP به عنوان یک پروتکل احراز هویت در اتصالات شبکه مورد استفاده قرار می‌گیرد تا اطمینان حاصل شود که کاربران و دستگاه‌ها مجاز به ورود به شبکه هستند.

اهمیت استفاده از پروتکل Dot1x

استفاده از پروتکل Dot1x نقش مهمی در افزایش امنیت و مدیریت شبکه‌های کامپیوتری ایفا می‌کند. پروتکل 802.1X اساسی برای افزایش امنیت و مدیریت شبکه‌های کامپیوتری در سازمان‌ها و شرکت‌ها است و به وسیله احراز هویت کاربران و دستگاه‌ها و کنترل دقیق دسترسی به شبکه به این اهداف کمک می‌کند. این پروتکل برای چند دلیل از اهمیت ویژه‌ای برخوردار است:

• 802.1X به شبکه امکان می‌دهد تا کاربران و دستگاه‌ها را با دقت احراز هویت کنند. این به معنای اطمینان از هویت واقعی کاربران و دستگاه‌ها و جلوگیری از دسترسی غیرمجاز به شبکه است.
• از طریق 802.1X می‌توانید کنترل دقیقی بر روی دسترسی کاربران و دستگاه‌ها به شبکه داشته باشید. می‌توانید تعیین کنید که چه کاربرانی به چه منابعی در شبکه دسترسی داشته باشند و چه کاربرانی نداشته باشند.
• با استفاده از این پروتکل، کاربران به شبکه قبل از احراز هویت دسترسی نخواهند داشت. این مزیت به معنای جلوگیری از حملات نفوذی و دسترسی غیرمجاز به شبکه است.
• پروتکل Dot1x به مدیران شبکه امکان می‌دهد تا مدیریت امنیت شبکه را بهبود ببخشند و از مشکلات امنیتی مانند دسترسی غیرمجاز و نفوذ جلوگیری کنند.
• این پروتکل از انعطاف‌پذیری بالایی برخوردار است و می‌تواند با مکانیزم‌های مختلف احراز هویت (مانند EAP-TLS، EAP-PEAP و …) استفاده شود، بنابراین می‌توان آن را به تنظیمات امنیتی خاص سازمان تطبیق داد.
• با کنترل دسترسی به شبکه، می‌توان ترافیک شبکه را مدیریت کرده و منابع شبکه را به بهترین شکل تخصیص داد.

پروتکل Dot1x چگونه کار می‌کند؟

گفتیم که پروتکل Dot1x به عنوان یک پروتکل احراز هویت و کنترل دسترسی به شبکه عمل می‌کند و به کمک مراحل مختلفی کار می‌کند تا مطمئن شود که دستگاه یا کاربری که به شبکه دسترسی می‌پذیرد، مجاز به انجام این کار است. در ادامه، مراحل کارکرد 802.1X توضیح داده شده‌اند اما قبل از آن باید سه اصطلاح به کار رفته در این قسمت را تعریف نماییم:

• Supplicant: کاربر یا سیستمی است که برای تأیید اعتبار درخواست می‌دهد.
• authentication server: سرور واقعی است که احراز هویت Supplicant را بر عهده دارد.
• Authenticator: دستگاهی مانند سوئیچ و یا Access Point است که اعتبار Supplicant را تأیید می‌کند.

تعریف سیاست احراز هویت:

ابتدا مدیر شبکه سیاست‌ها و قوانین مرتبط با احراز هویت را تعریف می‌کند. این سیاست‌ها شامل نوع مکانیزم احراز هویت (مانند EAP-TLS یا EAP-PEAP)، میزان اطلاعات مورد نیاز (نام کاربری و رمز عبور، گواهی‌نامه دیجیتال و …) و سایر تنظیمات مرتبط با احراز هویت می‌شوند.

شروع احراز هویت:

وقتی یک دستگاه یا کاربر به شبکه متصل می‌شود، Authenticator (معمولاً یک سوئیچ شبکه) پورت مربوط به دستگاه را در وضعیت «تأیید نشده» قرار می‌دهد. این به معنای عدم انجام انتقال داده‌های واقعی است.

احراز هویت توسط Supplicant

 Supplicant اطلاعات احراز هویت را ارسال می‌کند. این اطلاعات معمولاً شامل نام کاربری و رمز عبور یا دیگر اطلاعات احراز هویت می‌شود.

ارسال اطلاعات احراز هویت به Authentication Server

Authenticator اطلاعات احراز هویت Supplicant را به Authentication Server ارسال می‌کند.

اعتبارسنجی اطلاعات احراز هویت

 Authentication Server اطلاعات احراز هویت را بررسی کرده و اعتبارسنجی می‌کند. این کار شامل بررسی نام کاربری و رمز عبور، گواهی‌نامه دیجیتال، یا دیگر مکانیزم‌های احراز هویت مورد استفاده می‌شود.

تأیید یا عدم تأیید احراز هویت

 Authentication Server نتیجه اعتبارسنجی را به Authenticator اعلام می‌کند. اگر احراز هویت موفقیت‌آمیز باشد، Authenticator پورت را به حالت «تأیید شده» تغییر می‌دهد و دستگاه یا کاربر به شبکه دسترسی پیدا می‌کند. در غیر این صورت، پورت به حالت «عدم تأیید» باقی می‌ماند و دسترسی رد می‌شود.

انجام احراز هویت پویا

در صورتی که احراز هویت با موفقیت انجام شود، احراز هویت پویا به اجرا درمی‌آید. این به معنای این است که در طول اتصال، احراز هویت ممکن است مجدداً برای انجام تراکنش‌های امنیتی و احراز هویت مجدد تکرار شود.

راهکارهای پیاده‌سازی پروتکل Dot1x در سیسکو

پیاده‌سازی پروتکل Dot1x در تجهیزات سیسکو معمولاً با استفاده از مکانیزم‌های مختلفی انجام می‌شود. این مکانیزم‌ها برای احراز هویت کاربران و کنترل دسترسی به شبکه استفاده می‌شوند. در ادامه چند مرحله اصلی برای پیاده‌سازی 802.1X در تجهیزات سیسکو را بررسی خواهیم کرد:

تنظیمات پورت (Port Configuration):

برای شروع، پورتی که به شبکه وصل است باید به عنوان یک پورت معمولی تنظیم شود. از دستورات مربوط به پورت‌ها مانند “switchport mode access” برای تعریف پورت به عنوان یک پورت دسترسی استفاده می‌شود.

تعیین Dot1X برای پورت (Assign Dot1X to the Port):

با استفاده از دستور “dot1x port-control”، پورت به عنوان یک پورت Dot1X تنظیم می‌شود. این دستور به پورت می‌گوید که از پروتکل 802.1X برای احراز هویت کاربران استفاده کند.

تنظیم سرور RADIUS (Configure RADIUS Server):

برای احراز هویت کاربران، تنظیمات سرور RADIUS مورد نیاز است. این تنظیمات شامل IP سرور RADIUS، کلید مشترک و سایر اطلاعات مرتبط با سرور RADIUS می‌شود. از دستور “radius-server” برای تنظیم این اطلاعات استفاده می‌شود.

تنظیم Dot1X از طریق VLAN (Configure Dot1X Through VLAN):

یکی از روش‌های معمول برای پیاده‌سازی 802.1X این است که پورت‌های نامعتبر را به یک VLAN محدود کنید تا دسترسی آن‌ها به شبکه متوقف شود. از دستورات مرتبط با VLAN مانند “dot1x vlan” برای تنظیم این عملکرد استفاده می‌شود.

تنظیم سیاست‌های دسترسی (Access Policies Configuration):

شما می‌توانید سیاست‌های دسترسی برای کاربران مختلف تنظیم کنید. این سیاست‌ها مشخص می‌کنند که کدام کاربران به کدام منابع شبکه دسترسی دارند. از دستورات مانند “aaa new-model” و “aaa authentication” برای تنظیم سیاست‌های دسترسی استفاده می‌شود.

تست و راه‌اندازی (Testing and Verification):

پس از تنظیم پورت‌ها و سرور RADIUS، شما باید عملکرد احراز هویت را تست کنید. این شامل تست احراز هویت کاربران و اطمینان از کارکرد صحیح پورت‌های Dot1X می‌شود. با پیاده‌سازی مراحل فوق، تجهیزات سیسکو می‌توانند احراز هویت کاربران و کنترل دسترسی به شبکه را مدیریت کنند و از این طریق امنیت شبکه را افزایش دهند.

کلام آخر

در این مطلب به معرفی پروتکل Dot1x و راهکارهای پیاده‌سازی آن در دوره سیسکو پرداختیم. با توجه به تهدیدات امنیتی که هر لحظه امنیت سرورها را به خطر می‌اندازد، استفاده از پروتکل‌های احراز هویتی همچون پروتکل Dot1x اهمیت بسیار زیادی دارد. در سیسکو با چند دستور ساده می‌توان، امکان استفاده از پروتکل را فراهم کرد و به امنیت بیشتر سرورها کمک کرد.