۸۰۲٫۱x و IBNS چیست و چگونه امنیت دسترسی به شبکه را فراهم می کند؟
EAP Type Selection :
چندین روش مختلف برای تایید هویت به وسیله EAP برای شبکه های سیمی و بیسیم وجود دارد. که پرکاربرد ترین روش های آن به شرح زیر است :
- EAP-MD5
- PEAPv0-MSCHAPv2
- LEAP
- EAP-TLS
- EAP-TTLS
- EAP-FAST
EAP–Message Digest Algorithm 5 :
EAP-MD5 براساس (message digest algorithm 5 (MD5 تایید هویت را انجام می دهد. در این روش هویت کلاینت به صورت hash شده روی شبکه ارسال می شود. در این روش سرور یک رشته به صورت تصادفی تولید می کند و آنرا به کلاینت ارسال می کند کلاینت رشته دریافتی را با استفاده از پسورد خود که به عنوان کلید در نظر گرفته می شود hash کرده و به سرور ارسال می کند. سرور نیز رشته ای که تولید کرده را با پسورد مربوط به کلاینت که از قبل در دیتابیس خود داشته hash می کند سپس hash خود را با hash ارسالی توسط کلاینت مقایسه می کند.
این روش به خوبی پشتیبانی می شود و یک مکانیزم تایید هویت ساده را با استفاده از یوزر و پسورد فراهم می کند. همچنین این روش بار پردازشی زیادی به سرور یا کلاینت تحمیل نمی کند چون پردازش آن ساده و راحت است.
نقطه ضعف این روش به عملکرد MD5 برمی گردد که باید پسورد تمام کاربران را به صورت clear-text در authentication server ذخیره گردد.
نکته : این روش یک مکانیزم استاندارد است و در ویندوز XP این مکانیزم را داریم اما در ویندوز ۷ و بعد از آن این روش حذف شده است.
نکته : در این روش احراز هویت به صورت یکطرفه انجام می گیرد و فقط authentication server امکان احراز هویت کلاینت را دارد و کلاینت نمی تواند authentication server را احراز هویت کند.
در تصویر زیر نمونه آن نمایش داده شده است :
Protected EAP w/MS-CHAPv2 :
(Protected EAP (PEAP به صورت مشترک توسط Cisco Systems ، Microsoft و RSA Security ارائه شده است و از روش های مختلف کپسوله کردن EAP به همراه تانل (Transport Layer Security (TLS پشتیبانی می کند.
PEAP از مجموعه از روش های تایید هویت کاربران پشتیبانی می کند. در سمت سرور از Certificate برای تایید هویت استفاده می شود که بر پایه (public-key infrastructure (PKI می باشد. PEAP میتواند برای تایید هویت از یوزر و پسورد های ویندوزی استفاده کند که این یوزر و پسوردها می توانند دامینی یا به صورت local باشد.
PEAP برای عملکرد خود از دو فاز استفاده می کند :
- فاز ۱ : در این فاز یک تانل امن توسط سرور ایجاد می گردد. که این تانل برای حمل بسته های تایید هویت EAP بین کاربر و Radius Server مورد استفاده قرار می گیرد.
- فاز ۲ : Radius Server کلاینت را به وسیله MS-CHAP version 2 از طریق تانل امنی که ایجاد شده تایید هویت می کند.
نکته : در این روش احراز هویت به صورت دو طرفه انجام می گیرد که کلاینت با استفاده از Cetificate سرور را تایید هویت می کند. در ابتدا کلاینت سرور را تایید هویت می کند.
نکته : در این روش Radius Server ما نیاز به Certificate دارد. نرم افزار ACS سیسکو قابلیت ایجاد Certificate به صورت Self-sign را دارد.
در تصویر زیر نمونه آن نمایش داده می شود :
Cisco Lightweight EAP :
(Cisco Lightweight EAP (LEAP توسط سیسکو ارائه شده است و مکانیزم آن شبیه EAP-MD5 است با این تفاوت که کلاینت و سرور هر دو یکدیگر را تایید هویت می کند. کلاینت برای تایید هویت از shared secret استفاده می کند و سرور از پسورد کاربر برای این کار بهره می گیرد. در اینجا سرور یک رشته تولید و برای کلاینت ارسال می کند و این رشته به وسیله پسورد کاربر توسط کلاینت hash می شود و به سرور ارسال می شود سرور رشته را با پسورد مربوط به کاربر که در دیتابیس خود دارد hash می کند و این دو hash را با یکدیگر مقایسه می کند. بعد از اینکه تایید هویت کاربر توسط سرور انجام شد اینبار کلاینت هویت سرور مورد بررسی قرار می دهد به اینصورت که یک رشته تولید می کند و برای سرور ارسال می کند و سرور رشته را با shared secret خود hash می کند و برای کلاینت ارسال می کند. کلاینت نیز رشته ای که تولید کرده را به وسیله shared secret که از قبل برای آن مشخص کرده اند hash می کند و دو hash را با هم مقایسه می کند و به اینصورت سرور توسط کلاینت تایید هویت می شود.
