۸۰۲.۱x چیست؟
استاندارد IEEE 802.1X چگونگی تأیید اعتبار و یا احراز هویت را برای کلیه سیستم هایی که سعی در برقراری ارتباط با شبکه کابلی و یا شبکه بی سیم دارند را تعریف می کند.اما برای درک بیشتر استاندارد Dot1x و شیوه کارکرد و استفاده آن باید به سه مفهوم PPP ، EAP و ۸۰۲.۱X اشاره کنیم.
PPP و EAP
بیشتر افراد با پروتکل PPP – Point-to-Point آشنا هستند. PPP بیشتر برای دسترسی به اینترنت از طریق شماره گیری استفاده می شود. PPP همچنین توسط برخی از ISP ها برای احراز هویت مودم DSL و کابل ، به صورت PPP از طریق اترنت استفاده می شود. PPP بخشی از پروتکل Tunneling Layer 2 است که بخش اصلی راه حل دسترسی از راه دور ایمن مایکروسافت برای ویندوز ۲۰۰۰ و سیستم های بعد از آن است.
PPP چیست؟
PPP فراتر از کاربرد اصلی خود فقط به عنوان یک روش دسترسی dial-up تکامل یافته است و اکنون در سراسر اینترنت استفاده می شود. از کارهای PPP تعریف یک مکانیسم تأیید اعتبار است. به عنوان مثال برایدسترسی به اینترنت با شماره گیری، کنترل نام کاربری و رمز عبوری توسط PPP انجام می شود.
EAP چیست؟
اکثر شرکت ها می خواهند برای امنیت بیشتر از نام های کاربری و کلمه های عبور برای دسترسی بیشتر استفاده کنند ، بنابراین یک پروتکل احراز هویت جدید با نام پروتکل تأیید اعتبار گسترده Extensible Authentication Protocol (EAP) طراحی شده است. EAP درون پروتکل احراز هویت PPP قرار دارد و چارچوبی کلی برای چندین روش مختلف تأیید اعتبار ارائه می دهد. EAP قرار است سیستم های تأیید هویت اختصاصی را کنار بگذارد و اجازه دهد همه چیز از رمزهای عبور گرفته تا توکن ها ، challenge-response و گواهی های زیرساخت های کلید عمومی همه بی نقص کار کنند.
با استفاده از EAP قابلیت همکاری و سازگاری روشهای تأیید اعتبار ساده تر می شود. به عنوان مثال ، هنگامی که شما یک سرور با دسترسی از راه دور را شماره گیری می کنید و از EAP به عنوان بخشی از اتصال PPP خود استفاده می کنید ، RAS نیازی به دانستن هیچ یک از جزئیات سیستم تأیید اعتبار شما ندارد. فقط شما و سرور تأیید اعتبار باید باهم هماهنگ شوید. با پشتیبانی از احراز هویت EAP ، یک سرور RAS از فعالیت در نقش شخصیت میانی خارج می شود و بسته های EAP را فقط بسته و بسته بندی می کنید تا به یک سرور RADIUS دست یابید تا تایید اعتبار واقعی را انجام دهد.
این قضیه ما را به سمت استفاده از استاندارد IEEE 802.1X سوق می دهد ، که یک استاندارد برای احراز هویت EAP از طریق شبکه سیمی یا بی سیم است. با ۸۰۲.۱X پیام های EAP را در قاب های اترنت بسته بندی می کنید و از PPP استفاده نمی کنید.
۸۰۲.۱X از سه اصطلاح استفاده می کند که باید با آنها آشنا باشید :
supplicant کاربر یا سیستم مورد درخواست دهنده برای تایید اعتبار است.
authentication server : سرور واقعی که احراز هویت را انجام می دهد ، به عنوان مثال سرور RADIUS ، سرور تأیید اعتبار نامیده می شود.
Authenticator: دستگاهی مثل سوئیچ و یاAccess Point تأیید کننده نامیده می شود.
۸۰۲.۱x چگونه کار می کند؟
- authenticator درخواست EAP-Request/Identity را به supplicant ارسال می کند.
- supplicant در خواست EAP-Response/Identity را به authenticator ارسال می کند.
- authentication server پاسخ authenticator را ارسال می کند.
- supplicant پاسخ را به سرور تأیید اعتبار منتقل ارسال می کند.
- در صورت صحیح بودن اطلاعات دسترسی authentication server اجازه دسترسی را با یک پیام موفقیت آمیز به supplicant ارسال می کند تا اجازه دسترسی داده شود.
۸۰۲.۱X چگونه به امنیت شبکه بی سیم کمک می کند؟
پروتکل قدیمی Wired Equivalent Privacy (WEP) به حدی بی اعتبار شده است که قابلیت احراز هویت و رمزگذاری آن برای استفاده در شبکه های سازمانی کافی نیست. در پاسخ به ضعف این سیستم بسیاری از فروشندگان تجهیزات شبکه بیسیم پشتیبانی از استاندارد IEEE 802.1X را به تجهیزات خود اضافه کرده اند تا به امنیت شبکه بی سیم و سیمی کمک کنند.
احراز هویت ۸۰۲.۱X به کاهش بسیاری از خطرات ناشی از استفاده از WEP کمک می کند. به عنوان مثال ، یکی از بزرگترین مشکلات WEP ، عمر طولانی کلیدها و واقعیت عدم اشتراک آنها در بسیاری از کاربران است و به خوبی شناخته شده است. با ۸۰۲.۱X ، هر ایستگاه می تواند یک کلید WEP منحصر به فرد برای هر جلسه داشته باشد. Authenticator (نقطه دسترسی بی سیم) همچنین می تواند خیلی سریع کلید WEP را تغییر دهد ، مانند یک بار در هر ۱۰ دقیقه یا هر ۱۰۰۰ فریم یکبار . به عنوان مثال ، یک authenticator ممکن است هیچگاه کلید دستی را برای هر متقاضی تغییر ندهد. یا ممکن است مدیر شبکه یک روش تأیید اعتبار را انتخاب کند که امکان توزیع کلیدهای WEP را ندارد. ۸۰۲.۱X ، با این وجود ، به مدیر شبکه آگاه امکان طراحی و پیاده سازی WLAN امن تر را می دهد.
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.