پروتکل 802.1x چیست

در این مبحث می خواهیم در مورد اینکه پروتکل 802.1x چیست به طور کامل صحبت کنیم .

این پروتکل امنیتی در بعضی از  مدل های سوئیچ های سیسکو مثل سری Catalyst1000 استفاده می شود .

در یک سازمان بزرگ برای افزایش امنیت و کنترل اتصال دستگاه هایی که به شبکه متصل می شوند

نیاز به کنترل دارد . در واقع دستگاه هایی که می خواهند به LAN یا  WLAN متصل شوند نیاز به احراز هویت دارند .

پروتکل IEEE802.1x استانداردی برای کنترل دسترسی شبکه

مبتنی بر پورت (PNAC یا Port-Based Network Access Control) است ,

که فراهم کردن دسترسی امن به شبکه احراز هویت محافظت شده ای  انجام می دهد .

تفاوت عمده IEEE802.1x این است که یک سرور احراز هویت به نام RADIUS Server وجود دارد .

که اعتبار کاربران توسط این سرور چک می شود  که کاربر مورد نظر در سازمان فعال است یا خیر

و بر اساس خط و مشی های شبکه و محدودیت ها و دسترسی هایی که برای کاربران تنظیم شده

سطح دسترسی های مختلفی از شبکه به کاربران اعطا می شود .

اعتبار سنجی کاربران توسط RADIUS Server به وسیله یک رمز عبور شبکه

که به راحتی قابل سرقت است انجام نمی شود

بلکه به وسیله اعتبارنامه(credentials ) یا گواهی نامه های(certificates) منحصر به فرد به ازای هر کاربر انجام می شود .

طریقه کار پروتکل IEEE802.1x

همانطور که گفته شد 802.1x یک پروتکل احراز هویت شبکه است

که بعد از تأیید هویت یک کاربر یک پورت برای دسترسی به شبکه باز می کند

و آن کاربر را برای دسترسی به شبکه مجاز می کند .

هویت کاربر براساس اعتبارنامه یا گواهی وی تعیین می شود

که تأیید آن به وسله RADIUS Server انجام می گیرد .

RADIUS Server میتواند برای انجام تأیید کاربرها با فهرست سازمان ارتباط برقراری کند

که معمولا با پروتکل LDAP , SAML انجام می شود .

802.1x EAP Security

پروتکل 802.1x تحت عنوان 802.1x EAP توسعه داده شده

تا از این پروتکل هم در شبکه های  بی سیم و هم شبکه سیمی مورد استفاده قرار بگیرد.

به این صورت که یک Tunnel رمزگذاری شده EAP فراهم میکند

که از رهگیری و سرقت اطلاعات کاربران جلوگیری می کند .

و پروتکل EAP می تواند برای اعتبار  EAP-TTLS/PAP و PEAP-MCSCHAPv2

و گواهی دیجیتال (EAP-TLS) احراز هویت پیکربندی شود که یک روش بسیار امن برای محافظت از فرایند احراز هویت است .

موارد استفاده از 802.1x

پروتکل 802.1x برای تأیید اعتبار شبکه مورد استفاده قرار میگیرد .

اگر سازمانی دارید که دارای اطلاعات بسیار مهم و حساس و ارزشمندی است

و به روشی ایمن برای انتقال اطلاعات نیاز دارید .

پروتکل 802.1x برای اتصال دستگاه ها به صورت امن به روتر های سازمان مورد استفاده قرار می گیرد  .

در ابتدا در سازمان های بزرگ و حساس مثل بنگاه های , دانشگاه ها  , بیمارستان ها

مورد استفاده قرا می گرفت ولی امروزه به دلیل افزایش تهدیدات امنیت سایبری

حتی مشاغل کوچک هم آن را  پذیرفته اند و از شان استفاده می کنند .

از   802.1x به عنوان WPA2-Enterprise یاد می شود .

لازم به  ذکر است که WPA2-Personal برای امنیت شبکه در منازل استفاده می شود .

امنیتی که WPA2-Personal  ایجاد می کند برای سازمان ها با اطلاعات حساس و ارزشمند

مناسب و کافی نبوده و برای حفاظت در مقابل  جرائم سایبری  کافی نیست .

میزان امنیت  802.1x

802.1x استاندارد بسیار امنی برای احراز هویت شبکه است .

802.1x می تواند از حملات و سرقت اعتبار در ارتباطات بی سیم اتفاق می افتد

مثل Man-in-the-Middle و  پروکسی های  Evil Twin جلوگیری کند .

امنیت 802.1x بسیار بیشتر از  شبکه های Per-Shared Keyاست

که معمولا در شبکه های شخصی از آن استفاده می شود .

در استفاده از  802.1x دو عامل در امنیت این استاندارد تاثیر گذار است  که باید به آن توجه کرد.

1) در پیکربندی دستی اگر مرحله ای نادرست و به خوبی پیکربندی نشود

کاربران در معرض سرقت اعتبارنامه قرار میگیرند پس نباید این کار توسط کابران نهایی انجام شود

چراکه نیاز به سطح بالایی از دانش IT دارد .

بهتر است از نرم افزار های مخصوص پردازش 802.1x استفاده شود .

2) عامل دوم استفاده از احراز هویت مبتنی بر اعتبار سنجی (credential-based authentication )

یا تأیید اعتبار  مبتنی بر گواهی(certificate-based authentication) .

EAP-TLS مبتنی بر گواهی به صورت قابل توجهی از به سرقت رفتن اعتبارنامه  کاهش می دهد

و ایمن ترین راه استفاده  از  802.1x است .

نه تنها ارسال مدارک از طریق هوا ( از طریق سیگنال و بی سیم)که سرقت در آن به راحتی اتفاق می افتد را  متوقف می کند

بلکه کاربران را مجبور می کند فرایند ثبت نام / پردازش را انجام دهند

که باعث می شود از پیکربندی صحیح  دستگاه ها کاربران اطمینان حاصل کند .

اجزای 802.1x

برای راه اندازی و استفاده از این پروتکل مؤلفه های کمی لازم است .

برای داشتن یک ارتباط  وایرلس  از نظر سخت افزاری نیاز به  کمی فضای خالی در سرور و access point  دارید .

حتی در خیلی موارد نیاز به سرو ندارید و برخی access point

با  نرم افزار های داخلی است که می توانند  802.1x را راه اندازی کنند .

و کاملا به طراحی خود شما بستگی دارد که راه حل های حرفه را خریداری کنید

یا از ابزار open source استفاده کنید  که استفاده از هرکدام بر کیفیت و سهولت به کار انداختن 802.1x تأثیرگذار است .