ما
هو 802.1X
نحتاج في الشبكات لتطبيق وظيفة للتحقق (authentication) سواء
للمستخدمين (users( أو
للأجهزة )machines( لضمان
توفير حماية للشبكات والمصادر والتطبيقات العاملة من خلال الشبكات.
يوفر(802.1X( إطار عمل )framework( لأداء عملية التحقق (authentication) من المستخدم أو الجهاز أو كلاهما قبل الدخول واستخدام الشبكة.
يتميز(802.1X( عن غيره من البروتوكولات أو الطرق الأخرى التي تؤدي نفس الوظيفة بأنه
يوفر آليات مختلفة يمكن استخدامها كأساليب لعمل التحقق، فيمكنه اداء ذلك عن
طريق استخدام آلية ثنائية اسم الاستخدام مع كلمة السر (username/password)، أو عن
طريق استخدام الشهادات الرقمية )digital certificates( أو باستخدام كلمة سر لمرة واحد (One Time Password OTP(.
يصنف (802.1X( بأنه )port-based authentication( كونه لا يتيح لجهاز المستخدم من الاتصال
بالشبكة والحصول على الاعدادات الرئيسية لاستخدام الشبكة إلا بعد انجاز عملية
التحقق (authentication) بنجاح.
يعتبر (802.1X( من
الاساليب التي تحكم السيطرة على الاتصال بالشبكة ومصادرها بحيث يكون متاح خيارات
أخرى في حال فشلت عملية التحقق )authentication failed( مثل حجر)block( جهاز مستخدم أو تحديد صلاحيات المستخدم وتقييد الوصول لمختلف أجزاء
الشبكة بأن نجعل بالامكان الوصول لشبكة الانترنت دون الشبكات والخوادم الداخلية.
عناصر
802.1X
يوجد ثلاثة عناصر
رئيسية تشكل عمل (802.1X( وهي:
-
Supplicant: وهو جهاز (client) الذي يريد الاتصال بالشبكة عن
طريق الشبكة العادية (wired network( أو الشبكات اللاسلكية )wireless network(
-
Authenticator: وهو جهاز
الشبكة )network device( سواء جهاز السويتش )switch) أو جهاز الشبكات اللاسلكية )wireless access
point) والذي يشكل نقطة اتصال جهاز المستخدم بالشبكة.
-
Authentication Server: وهو جهاز الخادم
الذي يحتوي على قاعدة بيانات المستخدمين وقد يملك ايضاً تعريف الصلاحيات المحددة
للمستخدمين )authorization) وقد يشمل ايضاً امكانية تتبع الاحداث التي قام بها المستخدمين (accounting(.
يقوم جهاز (authentication) بارسال
طلب اثبات الهوية للمستخدم عند وصل جهاز المستخدم بالشبكة، ليقوم بعدها بارسال
بيانات الاثبات المستلمة من المستخدم باتجاه جهاز الخادم. ويتواصل جهاز(authenticator( مع الخادم )authentication server( من خلال
بروتوكول )RADIUS(، بينما
يستخدم بروتوكول )EAP( للتواصل
مع جهاز )supplicant(.
آلية
عمل 802.1X
يكون وضعية المنفذ في جهاز الشبكة (authenticator( بوضعية )unauthorized
port( أي لا يمكن للمستخدم من الاثصال بالشبكة.
يستخدم بروتوكول )Extensible Authentication Protocol
EAP( لغرض إتمام عملية التحقق من المستخدم ويعمل
بروتوكول )EAP( بين الطرفين (authenticator( و )supplicant( حيث تغلف
البيانات المرسلة بين الطرفين والخاصة
ببروتوكول )EAP( مباشرة
بغلاف الطبقة الثانية (layer 2 frame( كون جهاز المستخدم لا يملك عنوان للطبقة
الثالثة )IP address(.
يستخدم
بروتوكول )EAP( العديد
من الرسائل التي توفر امكانيات مختلفة منا طلب الدخول للشبكة، ورسالة لاجابة
الطلب، ورسالة لطلب الخروج من الشبكة. وجميع هذه الرسائل ترسل بين الطرفين بدون
تشفير للبيانات المرسلة (clear text).
يقوم جهاز(authenticator( بنقل
البيانات المستلمة من جهاز المستخدم )supplicant( والمتعلقة بعملية (authentication) ويرسلها إلى جهاز الخادم (authentication
server) بواسطة
بروتوكول (RADIUS) ويكون التراسل بين الطرفين هنا بتغليف كامل (L4-L3-L2(. يقوم جهاز(authenticator( بتغليف
رسائل (EAP)( داخل رسائل )RADIUS(.
1-
عند وصل جهاز المستخدم بجهاز الشبكة - سواء الشبكة
السلكية أو اللاسلكية – يقوم جهاز الشبكة (authenticator( بارسال
رسالة (EAP Request/Identity) لجهاز
المستخدم)supplicant(
2-
يقوم جهاز المستخدم بارسال الرد (EAP
Response/Identity( لجهاز الشبكة (authenticator( للدلالة على أنه يدعم
بروتوكول)EAP( وقدرته
على التجاوب مع هذه الرسائل.
3- يقوم جهاز الشبكة بتمرير بيانات الدخول إلى جهاز الخادم لاجراء عملية التحقق من هوية المستخدم بواسطة بروتوكول )RADIUS(.
4- يقوم جهاز الخادم بارسال
رسالة اختبار (challenge) لجهاز(authenticator( والذي بدوره يمررها لجهاز المستخدم من أجل اثبات هوية المستخدم.
6- يقوم جهاز الخادم بالرد
إلى جهاز الشبكة والذي يتضمن القبول أو الرفض، وكذلك الاعدادات المرتبطة بنتيجة
الرد ومنها على سبيل انشاء (dynamic ACL) تحكم وصول المستخدم للشبكة في حال قبول المستخدم وعدم حجبه عن
الشبكة. عند قبول السمتخدم يتحول وضعية المنفذ إلى )authorized port(.
عند خروج المستخدم من الشبكة يقوم
جهاز المستخدم بارسال رسالة (EAP logoff) حيث يعود وضعية المدخل )unauthorized
port).