به آی تی سابنت سایت ارائه دهنده خدمات تخصصی شبکه خوش آمدید.

Live Chat
×

به آی تی سابنت سایت ارائه دهنده خدمات تخصصی شبکه خوش آمدید.

خدمات و سریسهای ما
مقالات و لینکهای ارتباطی

پیاده سازی مکانیزم Mac Authentication از طریق DOT1x برروی میکروتیک

  • Home
  •   »  
    • Mikrotik
  •   »  
  • پیاده سازی مکانیزم Mac Authentication از طریق DOT1x برروی میکروتیک

پیاده سازی مکانیزم Mac Authentication از طریق DOT1x برروی میکروتیک

پیش از شروع سناریو با DOT1x آشنا شویم

DOT1x یک پروتکل امنیتی است که از سیستم عامل ورژن 6.45.1 به روترهای میکروتیک افزوده شده است.

عملکرد DOT1x به چه صورت است

به صورت ساده DOT1x پروتکلی است که امکان Authentication و فیچر های امنیتی را برروی دستگاه هایی که در شبکه LAN قرار دارند مانند لپ تاپ یا PC که از طریق یکی از پورتهای سوئیج به شبکه متصل می شود فراهم می کند. بنابراین قبل از اینکه دستگاهی به صورت موفق به شبکه متصل شود اطلاعات username و Password  پرسیده خواهد شد. بنابراین بر خلاف یک شبکه عادی که امکان اتصال مستقیم دستگاه ها مانند لپ تاپ یا PC به سوئیچ وجود دارد، در صورت استفاده از Dot1x ابتدا لازم است برای اتصال دستگاه Authentication یا احراز هویت صورت بگیرد.

در حقیقت Dot1x یکی از پروتکلهای خانواده 802.1x از استاندارد IEEE محسوب می شود و برای کنترل دسترسی های شبکه بر مبنای پورت (Port-Based Network Access Control) تعریف شده است. این استاندارد از متد احراز هویت در لایه دو از مدل OSI برای قانونی بودن دسترسی کاربران به شبکه LAN استفاده می شود. قبل از احراز هویت یک Device امنیتی فقط به پیغام 802.1x اجازه عبور از پورت داده می شود و بعد از احراز هویت تمامی ترافیک سرویسهای نرمال شبکه اجازه عبور از پورت را خواهد داشت.

پروتکل DOT1x از روش Authentication که تقریبا مشابه با EAP در وایرلس است استفاده می کند. در شبکه های وایرلس مکانیزم امنیتی جدیدی موسوم به EAP وجود دارد در DOT1x نیز متد امنیتی EAP اعمال می شود. بنابراین ممکن است DOT1x اصطلاحا EAP Over LAN یا  EAPOL نیز نامیده شود.  همچنین Dot1x امنیتی معادل با EAP TLS برروی شبکه های وایرلس را نیز پیاده سازی می کند. EAP TLS، EAP TTLS و PEAP برخی از مکانیزمهای امنیتی هستند که در DOT1x پشتیبانی می شوند.

در پروتکل DOT1x اصطلاحات مهیج و در خور توجهی دیده می شود. به طور کلی لازم است که با 3 اصطلاح در این ویژگی آشنا شوید. اولین اصطلاح Authenticator است  Authenticator به دستگاهی اطلاق می شود که پروتکل Dot1x برروی آن اجرا می شود.

دومین اصطلاح Supplicant است که به دستگاهی اشاره می کند که در نقش کلاینت قرار گرفته است مانند لپ تاپ یا PC که به Authenticator یا سوئیچ متصل شده است. بنابراین لپ تاپ یا PC اصطلاحا Supplicant نامیده می شود.

سومین اصطلاح، Authentication Server است عملکرد DOT1x به این صورت است که علاوه بر سوئیچ یا Authenticator لازم است پروسه Authentication برروی Client از طریق یک Authentication Server صورت گیرد که برای این موضوع از دستگاهی که RADIUS Server است استفاده می کنیم بنابراین اصطلاحات مربوط به DOT1x شامل Authenticator، Supplicant و Authentication Server می باشند.

به صورت خلاصه دیاگرام معماری 802.1x به صورت زیر می باشد:

همانطور که در تصویر زیر می بینید برای پروسه Authentication بین Supplicant، Authenticator و Authentication Server، روند خاصی وجود دارد.

برای مثال Supplicant، می خواهد به شبکه متصل شود اما قبل از اتصال لازم است ابتدا به Authenticator متصل شود در این مرحله EAP Request و EAP Response بررسی خواهد شد. سپس Authenticator، این درخواست را بهAuthentication Server فوروارد خواهد کرد تا بررسی شود که شناسه امنیتی وارد شده با یکی از شناسه های امنیتی Authentication Server مطابقت دارد یا خیر. در صورت مطابقت پردازش صورت گرفته و کلاینت یا Supplicant قادر به اتصال به شبکه خواهد بود اما اگر اطلاعات امنیتی وارد شده با Authentication Server، مطابقت نداشته باشد اتصال Reject می شود.

در این سناریو از Mac Authentication برای پروسه احراز هویت استفاده خواهیم کرد. توپولوژی استفاده شده در این سناریو به صورت زیر است:

برای Supplicant از لپ تاپ به عنوان کلاینت استفاده خواهیم کرد. برای Switch Authenticator میتوانید از سری های CRS یا هر مدل روتری که پورتهای معادل با تعداد نودهای شبکه را دارد استفاده کنید.

برای Authentication Server، از User Manager V7 که در نقش Radius Server است استفاده می کنیم. به دلیل اینکه پروتکل Dot1x برروی Radius Server فقط در User Manager V7 پشتیبانی می شود. توجه داشته باشید که  نسخه های User Manager ورژن 6 هنوز نمی توانند به عنوان Authentication Server برروی Dot1x عمل کنند بنابراین باید از User Manager ورژن 7 استفاده کنید  برای این کار لازم است سیستم عامل روتری را که در نقش Authentication Server است به نسخه 7 به روز رسانی کرده و پکیج user manager را برروی آن نصب کنید. در این حالت در فهرست امکانات روتر قسمتی به نام User Manager اضافه خواهد شد.

نحوه فعال سازی تنظیمات DOT1x به ترتیب زیر است:

در ابتدا تنظیمات Authenticator یا دستگاهی که نقش سوئیچ را دارد انجام خواهیم داد. پورتهایی که قرار است از طریق احراز هویت امنیتی با DOT1x فعال شوند مشخص کنید در حالتی که بیش از یک پورت داریم یک اینترفیس Bridge ایجاد کنید و تمامی این پورتها را به زیرمجموعه پورت بریدج اضافه کنید.

زمانی که تعداد پورتها زیاد است می توانیم به جای اضافه کردن تک به تک پورتها به اینترفیس Bridgr ابتدا از مسیر Interfaces و تب Interface List با استفاده از کلید List یک لیست با نام دلخواه ایجاد کنیم

پس از تعریف نام لیست که اینجا نام Dot1x را در نظر گرفته ایم برروی کلید + از تب Interface List  کلیک کرده و از قسمت List نامی که در مرحله قبل در نظر گرفتیم انتخاب می کنیم و از منوی Interface اینترفیس را مشخص می کنیم در این مرحله برای افزودن سایر اینترفیسها باید هر بار کلید + را زده و اینترفیسهای بعدی را انتخاب کنیم.

سپس برروی اینترفیس بریدج که به شبکه LAN منتهی می شود  IP Addressو تنظیمات مربوط به DHCP Server و اتصال به اینترنت را نیز بروی دیوایس Authenticator انجام دهید. سپس فیچر DOT1x را با استفاده از منوی DOT1x که زیر New Terminal قرار گرفته است برروی اترنتهای مورد نظر فعال می کنیم.

در صورتی که منوی DOT1x را مشاهده نکردید اطمینان حاصل کنید که حداقل از Router OS نسخه 6.45.1 استفاده می کنید. ساده ترین راه آپدیت روتر به آخرین ورژن می باشد. در حال حاضر آخرین نسخه سیستم عامل 6.48.4 می باشد. چون این دیوایس برای Authenticator Dot1x استفاده می شود بنابراین تب Server  را تنظیم خواهیم کرد. تب Client برای تنظیمات مربوط به Supplicant یا کلاینت می باشد بنابراین هردو Function در حال حاضر توسط میکروتیم پشتیبانی می شود.

با اینترفیس لیستی که با نام Dot1x در مراحل قبل ایجاد کرده ایم به راحتی می توانیم به جای اضافه کردن تک به تک اینترفیسها با یک مرحله لیستی که شامل اینترفیسهای مورد نظر بوده است را انتخاب کنیم ایجاد اینترفیس لیست به روند انجام تنظیمات سرعت می دهد.

هماطور که مشاهده می کنید دو نوع Authentication Type را می توانیم انتخاب کنیم: dot1x و mac auth . در این سناریو می خواهیم از روش Mac Authentication استفاده کنیم بنابراین گزینه mac auth را انتخاب می کینم.

در صورت انتخاب dot1x زمانی که لپ تاپ به شبکه متصل می شود، برای پروسه Authentication لازم است نام کاربری و رمز عبور وارد شود. اما با انتخاب گرینه mac auth لپ تاپ تا زمانی که مک آدرس لپ تاپ روی Authentication Server  یا  Radius Server ثبت شده باشد با احراز هویت از روی مک آدرس مستقیما می تواند به شبکه متصل شود.

با انتخاب گزینه mac auth دو پارامتربه نام MAC Auth Mode و RADIUS MAC Format فعال خواهد شد که امکان انتخاب دو گزینه mac as username و mac as username and password را را می دهد. می توانیم یکی از این دو گزینه را انتخاب کنیم برای سادگی بیشتر گرینه mac as username and password را انتخاب می کنیم و سپس روی Radius Server مک آدرس لپ تاپ را به عنوان User name و Password اضافه می کنیم.

فراموش نکنید که حتما فرمت نوشتن مک آدرس برروی Radius Server را از قسمت RADIUS MAS Format انتخاب کنید

فرمت پیش فرض استفاده از جداکننده (-) و استفاده از حروف بزرگ در مک آدرس است. در صورتی که در فرمت نوشتن مک آدرس کلاینت روی Radius Server خطایی اتفاق بیفتد، Supplicant یا کلاینت نمی تواند به شبکه متصل شود. مابقی پارامترها می توانند به صورت دیفالت باقی بمانند.

سپس ما برای پروسه Authentication نیاز به Authentication Server داریم. بنابراین برروی دستگاه Authenticator Server یا سوئیچ لازم است تنظیمات Radius Server  را انجام دهیم

توجه داشته باشید که با انجام تنظیمات ردیوس ارتباط با روتر قطع می شود.چون لپ تاپ به پورتی متصل بوده که قابلیت dot1x برروی آن فعال شده و برای اتصال به روتر لازم است احراز هویت صورت گیرد. بنابراین برای اتصل مجدد به روتر می توانید از طریق پورتهای دیگری که در لیست اینترفیسهای dot1x نبود مجددا به روتر متصل شوید.

برای تنظیمات Radius Server آدرس Authentication Server یا Radius Server را وارد می کنیم از بین سرویسهایی که قرار است از طریق Radius Server احراز هویت شوند گزینه dot1x را انتخاب می کنیم و در قسمت Address آدرس آی پی روتر یا سیستم ردیوس سرور را مشخص می کنیم و یک secret در نظر می گیریم.

سپس برای تنظیمات User Manager  یا Radius Server به دیوایسی که در نقش Authentication Server است متصل می شویم.

چک مارک گزینه enable در تب Sessions را فعال کنید

از قسمت Usermanager و تب Routers  اطلاعات مربوط یه Shared Secret و آی پی آدرس سوئیچ Authenticator را وارد می کنیم. دقت داشته باشید که پارامتر Shared Secret باید دقیقا مشابه با پارامتر Shared Secret باشد که در Authenticator وارد کردیم.

سپس در تب Users، مک آدرس لپ تاپ مورد نظر را در قسمت Username  و Password وارد می کنیم.توجه داشته باشید که فرمت مک آدرس وارد شده باید دقیقا معادل فرمت مک آدرس انتخاب شده در Authenticator باشد.

بعد از اتمام تنظیمات Authenticator و Authentication Server پروسه Mac Authentication روی dot1x را با اتصال لپ تاپ به یکی از پورتهای سوئیچ که با روش dot1x احراز هویت می شوند بررسی می کنیم.

همانطور که مشاهده می کنید کارت شبکه لپ تاپ بعد از احراز هویت با مک آدرس از DHCP Server آی پی دریافت کرده است.

در بررسی اجرای پروسه mac authentication با dot1x به dot1x Authenticator یا سوئیچ متصل می شویم

همانطور که مشاهده می کنید وضعیت اینترفیس در حالت موفق بودن پروسه authentication در حالت Authorized قرار می گیرد. در غیر این صورت وضعیت اینترفیس un-authorized نمایش داده می شود.

در تب Active، می توانید Username و mac address سیستم authenticate شده را مشاهده کنید

همچنین Authentication Method  مورد استفاده با روش dot1x یا mac auth از ستون Auth Info نیز قابل مشاهده می باشد.

در صورت غیر فعال کردن مک آدرس تعریف شده دستگاه اجاره اتصال به شبکه دریافت آی پی از dhcp server را نخواهد داشت.

برچسب‌ها:,

Leave a Reply

Your email address will not be published.