MAB در سوئیچ های سیسکو

در مقاله می خواهیم در مورد  MAC Authentication Bypass یا MAB در سوئیچ های سیسکو  صحبت کنیم .

در محل های مختلف  افراد مختلف نیاز به اینترنت و یا منابع شبکه دارند .

افرادی مثل پیمان کار ها ,  مهمان ها  , مشاوران و ... همانند کارمندان

نیاز به دسترسی به  منابع شبکه از طریق اتصالات LAN دارند

که این احتمال اتصال افراد یا دستگاه غیره مجاز و دسترسی آن ها

به منابع و اطلاعات محرمانه را افزایش می دهد .

در مقاله های قبلی در مورد پروتکل 802.1x صحبت شد.

که روش امنی برای محافظت از شبکه است و نیاز به احراز هویت

مبتنی بر اعتبار سنجی و یا تأیید اعتبار مبتنی بر گواهی است

که یک مشکلی داشت و آن این بود  که دستگاهای نهایی باید از آن پشتیبانی کنند .

که در دستگاه های جدید این مشکل وجود ندارد ولی اگر پرینتر و یا دوربینی

و یا دستگاهی داشته باشید که از پروتکل 802.1x پشتیبانی نکند

امنیت شبکه کاهش پیدا می کند .

در چنین مواردی برای آنکه پورت های سوئیچ تان امن باقی بماند

تکنیک دیگری برای کنترل دسترسی در سوئیچ های سیسکو ارائه شده

به اسم  MAB  که گزینه راحتتر و قابل اجرا برای هردستگاهی است .

نحوه عملکرد MAB

وقتی MAB در سوئیچ های سیسکو فعال می شود .سوئیچ تمام فریم ها

به جز اولین فریم که به سمت سوئیچ ارسال شده را Drop می کند .

با دریافت اولین فریم  , سوئیچ MAC address دستگاه را می خواند .

بعد از عملیات MAC address learning برای اعتبار سنجی

MAC address مورد نظر را برای سرور احراز هویت ( RADIUS Server)ارسال می کند

تا آن را چک کند که آیا دستگاه مورد نظر مجاز است یا خیر  .

MAB از مقادیر پویا از RADIUS Server ساپورت می کند ,

دقیقا مثل 802.1x می توانید از access-list و  مواردی که VLAN  تخصیص داده استفاده کنید .

از  MAB  می توان به دو صورت استفاده کرد .

• به صورت مستقل : از MAB فقط برای احراز هویت استفاده کنید .
• Fall back : از MAB به عنوان Fall back برای 802.1x استفاده کنید .

یعنی سوئیچ ابتدا 802.1x را امتحان می کند و در صورت خرابی از MAB برای احراز هویت استفاده می کند .

مزیت های MAB

قابلیت مشاهده : MAB قابلیت مشاهده  شبکه را فراهم می کند .

زیرا در فرایند احراز هویت دستگاه برای اتصال IP address , Mac address و  port

که دستگاه به سوئیچ وصل می شود را چک کرده

که باعث مشاهده میزان استفاده از شبکه و Network Forensics و  security Audits و عیب یابی می شود .

خدمات مبتنی بر هویت : MAB  خدمات سفارشی بر اساس  MAC address برای دستگاه نهایی فراهم می کند .

به عنوان یک دستگاه ممکن است به صورت پویا برای یک VLAN خاصی مجاز باشد

یا یک access-list خاصی برای دستگاه مشخصی ایجاد شده باشد .

تمام تکنیک های مجوز پویا که 802.1x انجام می شود باMAB  هم میتوان انجام داد .

احراز هویت دستگاه : از MAB  به جای 802.1x برای تایید اعتبار دستگاهی که از  802.1x  پشتیبانی نمی کنند .

MAB  هم امنیت و قابلیت مشاهده از شبکه خوبی ارائه میدهد

که محدودیت های هم دارد که باید در طراحی خود آن ها را درنظر بگیرید :

دیتابیس  MAB : برای استفاده از MAB به عنوان پیش نیاز

به پایگاه داده ای از MAC address  دستگاه های مجاز نیاز است .

که ایجاد و نگهداری  و به روز رسانی این پایگاه داده از سختی ها و چالش های استفاده از MAB  است .

تأخیر یا Delay : وقتی از متد Fall back استفاده می کنید

قبل از تأیید MAC address , MAB زمانی  را منتظر 802.1x می مانند در این وقفه ای که اتفاق می افتد

هیچ دسترسی برای اتصال به شبکه داده نمی شود

که ممکن است برای کاربر ناخوشایند باشد

که برای کاهش این تأخیر باید از تکنیک mitigation استفاده کرد .

عدم تأیید اعتبار کاربر : MAB برای تأیید اعتبار دستگاه نه کاربران استفاده می شود

و در صورت استفاده چند کاربر از یک دستگاه , کاربران دسترسی یکسانی خواهند داشت .

قدرت احراز هویت : بر خلاف MAB  , 802.1x یک روش احراز هویت قوی نیست

و به راحتی میتوان با جعل MAC address یک دستگاه میتوان به شبکه متصل شد .

حالت های MAB

در حالت پیش فرض MAB  فقط از یک MAC address در هر پورت پشتیبانی میکند

و در صورت مشاهده بیش از یک MAC address نقض امنیت به حساب می آورد

به عنوان مثال اگر یک تلفن VOIP به یک پورت سوئیچ متصل باشد

پشت آن یک کامپیوتر متصل باشد دچار چنین مشکلی میشویم .

برای رفع چنین مشکلی Modeهای مختلفی تعریف شده :

حالت Single-Host :

فقط یک MAC address واحد مورد تأیید است

و در صورتی که MAC address دیگری بعد از احراز هویت تشخیص دهد نقض امنیت می شود

که به صورت پیش فرض بر روی Single-Host است .

حالت Multi-domain authentication host  :

در این حالت می توانید دو MAC address را تأیید کنید

یکی درVoice VLAN  و دیگری در Data VLAN . این  حلت برای سناریو هایی مورد استفاده قرار می گیرد

که در آن یک تلفن VOIP و یک کامپیوتر به یک پورت سوئیچ متصل می شود

و MAC address های دیگر نقض امنیت تشخیص داده می شود .

حالت Multi-authentication host mode :

در این حالت چندین MAC address تأیید می شود .

از این حالت برای مواردی استفاده می شود که پورت به سوئیچ دیگر متصل شود

که باعث می شود هر MAC address به طور جداگانه تأیید اعتبار شود .

حالت Multi-host mode :

سوئیچ به چندین MAC address اجازه می دهد

به این صورت که اولین MAC addres تأیید اعتبار می شود

و MAC addressهای دیگر به طور خودکار مجاز می شوند .