بروتوكول 802.1X

ما هو 802.1X

نحتاج في الشبكات لتطبيق وظيفة للتحقق (authentication) سواء للمستخدمين (users( أو للأجهزة  )machines( لضمان توفير حماية للشبكات والمصادر والتطبيقات العاملة من خلال الشبكات.

يوفر(802.1X( إطار عمل )framework( لأداء عملية التحقق (authentication) من المستخدم أو الجهاز أو كلاهما قبل الدخول واستخدام الشبكة. يتميز(802.1X( عن غيره من البروتوكولات أو الطرق الأخرى التي تؤدي نفس الوظيفة بأنه يوفر آليات مختلفة يمكن استخدامها كأساليب لعمل التحقق، فيمكنه اداء ذلك عن طريق استخدام آلية ثنائية اسم الاستخدام مع كلمة السر (username/password)، أو عن طريق استخدام الشهادات الرقمية )digital certificates( أو باستخدام كلمة سر لمرة واحد (One Time Password OTP(.

يصنف (802.1X( بأنه )port-based authentication( كونه لا يتيح لجهاز المستخدم من الاتصال بالشبكة والحصول على الاعدادات الرئيسية لاستخدام الشبكة إلا بعد انجاز عملية التحقق (authentication) بنجاح.

يعتبر (802.1X( من الاساليب التي تحكم السيطرة على الاتصال بالشبكة ومصادرها بحيث يكون متاح خيارات أخرى في حال فشلت عملية التحقق )authentication failed( مثل حجر)block( جهاز مستخدم أو تحديد صلاحيات المستخدم وتقييد الوصول لمختلف أجزاء الشبكة بأن نجعل بالامكان الوصول لشبكة الانترنت دون الشبكات والخوادم الداخلية.

عناصر 802.1X

يوجد ثلاثة عناصر رئيسية تشكل عمل (802.1X( وهي:

-         Supplicant: وهو جهاز (client) الذي يريد الاتصال بالشبكة عن طريق الشبكة العادية (wired network( أو الشبكات اللاسلكية )wireless network(

-         Authenticator: وهو جهاز الشبكة )network device( سواء جهاز السويتش )switch) أو جهاز الشبكات اللاسلكية )wireless access point) والذي يشكل نقطة اتصال جهاز المستخدم بالشبكة.

-         Authentication Server: وهو جهاز الخادم الذي يحتوي على قاعدة بيانات المستخدمين وقد يملك ايضاً تعريف الصلاحيات المحددة للمستخدمين )authorization) وقد يشمل ايضاً امكانية تتبع الاحداث التي قام بها المستخدمين (accounting(.

يقوم جهاز (authentication) بارسال طلب اثبات الهوية للمستخدم عند وصل جهاز المستخدم بالشبكة، ليقوم بعدها بارسال بيانات الاثبات المستلمة من المستخدم باتجاه جهاز الخادم. ويتواصل جهاز(authenticator( مع الخادم )authentication server( من خلال بروتوكول )RADIUS(، بينما يستخدم بروتوكول )EAP( للتواصل مع جهاز )supplicant(.

آلية عمل 802.1X

يكون وضعية المنفذ في جهاز الشبكة (authenticator( بوضعية )unauthorized port( أي لا يمكن للمستخدم من الاثصال بالشبكة.

يستخدم بروتوكول )Extensible Authentication Protocol EAP( لغرض إتمام عملية التحقق من المستخدم ويعمل بروتوكول )EAP( بين الطرفين (authenticator( و )supplicant( حيث تغلف البيانات المرسلة بين الطرفين والخاصة ببروتوكول )EAP( مباشرة بغلاف الطبقة الثانية (layer 2 frame( كون جهاز المستخدم لا يملك عنوان للطبقة الثالثة )IP address(.

يستخدم بروتوكول )EAP( العديد من الرسائل التي توفر امكانيات مختلفة منا طلب الدخول للشبكة، ورسالة لاجابة الطلب، ورسالة لطلب الخروج من الشبكة. وجميع هذه الرسائل ترسل بين الطرفين بدون تشفير للبيانات المرسلة (clear text).

يقوم جهاز(authenticator( بنقل البيانات المستلمة من جهاز المستخدم )supplicant( والمتعلقة بعملية (authentication) ويرسلها إلى جهاز الخادم (authentication server) بواسطة بروتوكول (RADIUS) ويكون التراسل بين الطرفين هنا بتغليف كامل (L4-L3-L2(. يقوم جهاز(authenticator( بتغليف رسائل  (EAP)( داخل رسائل  )RADIUS(.

1-     عند وصل جهاز المستخدم بجهاز الشبكة - سواء الشبكة السلكية أو اللاسلكية – يقوم جهاز الشبكة (authenticator( بارسال رسالة (EAP Request/Identity) لجهاز المستخدم)supplicant(

2-     يقوم جهاز المستخدم بارسال الرد (EAP Response/Identity( لجهاز الشبكة (authenticator( للدلالة على أنه يدعم بروتوكول)EAP( وقدرته على التجاوب مع هذه الرسائل.

3-     يقوم جهاز الشبكة بتمرير بيانات الدخول إلى جهاز الخادم لاجراء عملية التحقق من هوية المستخدم بواسطة بروتوكول  )RADIUS(.

4-     يقوم جهاز الخادم بارسال رسالة اختبار (challenge) لجهاز(authenticator( والذي بدوره يمررها لجهاز المستخدم من أجل اثبات هوية المستخدم.

5-     يقوم جهاز المستخدم بارسال بيانات الدخول والمعرفة مسبقاً – إن وجدت.

6-     يقوم جهاز الخادم بالرد إلى جهاز الشبكة والذي يتضمن القبول أو الرفض، وكذلك الاعدادات المرتبطة بنتيجة الرد ومنها على سبيل انشاء (dynamic ACL) تحكم وصول المستخدم للشبكة في حال قبول المستخدم وعدم حجبه عن الشبكة. عند قبول السمتخدم يتحول وضعية المنفذ إلى )authorized port(.

عند خروج المستخدم من الشبكة يقوم جهاز المستخدم بارسال رسالة (EAP logoff) حيث يعود وضعية المدخل )unauthorized port).

محاور Control Plane و Data Plane

الواجبات التي تؤديها أجهزة الشبكة

تؤدي أجهزة الشبكات المختلفة العديد من المهام  tasks التي تتطلبها لاداء وظائفها في الشبكة، فمثلا جهاز الراوتر يقوم بتمرير البيانات forwarding data باتجاه الجهاز المرسل إليه Destination، ولاداء هذه المهمة فإنه يلزمه معرفة عناوين الشبكات وهذا يتطلب اداء مهمة أخرى وهي عملية بناء  routing table. مثال آخر جهاز السويتش يقوم ايضا بتمرير البيانات باسلوب مختلف عن اسلوب الراوتر لكنه يحتاج القيام بالعديد من المهام لتحقيق وظيفته ومنها بناء switch table وتشغيل بروتوكول spanning tree وغيرها من المهام الأخرى. هنالك بيانات يتم تبادلها بين أجهزة الشبكات لاتمام مثل هذه المهام.

اذا نظرنا لطبيعة البيانات المرسلة عبر الشبكة، ستكون تصنيفها ضمن ثلاث فئات:

•   Control Plane
•  Data Plane
•   Management Plane

الصنف الأول control plane هي بيانات ترسل بين أجهزة الشبكات والتي لها علاقة ببناء المعرفة لجهاز الشبكة لكي يؤدي وظيفته. وهي بالعادة البيانات الموجهة إلى جهاز الشبكة من أجل المحافظة على عمل الشبكة بشكل سليم. ومن هذه المهام التي تصنف ضمن هذا المحور routing protocols، ARP، Spanning Tree Protocol فعلى سبيل المثال رسالة التحديث Update Packet التي يرسلها بروتوكول EIGRP من راوتر إلى راوتر آخر هي من نوع رسائل Control Plane.

الصنف الثاني data plane وهذا المحور يهتم بالمهام التي لها علاقة بتمرير البيانات المارة عبرأجهزة الشبكة والمرسلة بين الأجهزة الطرفية التي تستخدم الشبكة لنقل البيانات. والمهام في هذا المحور تستخدم المعلومات التي أنتجتها المهام العاملة في الصنف الأول. فمثلا يقوم الراوتر بتمرير البيانات المتجهة لجهاز طرفي (data plane traffic) بعد معرفة MAC Address لهذا الجهاز عن طريق استخدام رسائل يروتوكول ARP.

الصنف الثالث Management plane وهي الرسائل (البيانات) التي ترسل إلى جهاز الشبكة أو من جهاز الشبكة والتي تهدف لاتمام عملية ادارة ومراقبة عمل جهاز الشبكة  من البيانات مرسلة من قبل جهاز الشبكة أو إلى جهاز الشبكة. ومن أمثلة المهام والبروتوكولات لهذا المحور Telnet/SSH، SNMP، NTP، Syslog

الغاية من ايجاد هذه المحاور 

من خلال تقسيم المهام التي يؤديها جهاز الشبكة فإنه يسهل تصميم وبناء الجهاز يتصف بأدائه العالي والقدرة على تمرير حجم كبير جدا من البيانات، وذلك عن طريق معالج processor يؤدي مهام الصنف الأول والثالث، ومعالج آخر يؤدي مهام المحور الثاني كون هذه المهام تشكل عبء كبير على المعالج. بل أنه يمكن تنفيذ مهام المحور الثاني من خلال استخدام رقائق الكترونية ASIC Chips أو معالجات خاصة NPUs بدلا من المعالج العام CPU المخصص للـ data plane لتحقيق اداء أعلى لجهاز الشبكة.

ومن الفوائد الأخرى لايجاد المحاور الثلاث سهولة تطبيق سياسات أمنية تضمن حماية البيانات المارة بجهاز الشبكة وأخرى تضمن حماية الجهاز نفسه وحماية المهام التي يؤديها.

ومن الجدير بالذكر ان تصنيف البيانات المرسلة في الشبكة ضمن ثلاثة أصناف يسهل مهمة تصنيف المهام التي تؤديها |أجهزة الشبكة وايضا فتح الباب لتكنولوجيا Software Defined Network (SDN)

برنامج Packet Tracer

برنامج Cisco Packet Tracer

Cisco Packet Tracer من البرامج المييزة والتي تتيح للمتدرب انشاء بيئة مبسطة ومماثلة للشبكات من أجل التدريب على المباددئ التي اكتسبها  للعديد من البروتوكولات.

لتحميل البرنامج اضغط على الرابط التالي:

http://www.4shared.com/file/Do6u51D7ce/Cisco_Packet_Tracer_62_for_Win.html