مستخدم:Mohammad2391990/IEEE 802.1X

IEEE 802.1X هو معيار IEEE للتحكم في الوصول إلى الشبكة المستند إلى المنفذ (PNAC). وهو جزء من مجموعة بروتوكولات الشبكات IEEE 802.1. وهو يوفر آلية مصادقة للأجهزة التي ترغب في الاتصال بشبكة LAN أو شبكة WLAN.

dحدد بروتوكول IEEE 802.1X تغليف بروتوكول المصادقة الموسعة (EAP) عبر شبكات IEEE 802 السلكية[3] وعبر الشبكات اللاسلكية 802.11،[4] وهو ما يعرف باسم "EAP عبر الشبكة المحلية" أو EAPOL.[5] تم تحديد EAPOL في الأصل لشبكة IEEE 802.3 Ethernet و IEEE 802.5 Token Ring و FDDI (ANSI X3T9.5/X3T12 و ISO 9314) في 802. 1X-2001،[6] ولكن تم توسيعه ليناسب تقنيات IEEE 802 LAN الأخرى مثل IEEE 802.11 اللاسلكية في 802.1X-2004.[7] كما تم تعديل EAPOL للاستخدام مع IEEE 802.1AE ("MACsec") و IEEE 802.1AR (هوية الجهاز الآمن، DevID) في 802.1X-2010[8][9] لدعم تحديد الخدمة والتشفير الاختياري من نقطة إلى نقطة عبر مقطع الشبكة المحلية الداخلية.

يحدد IEEE 802.1X تغليف بروتوكول المصادقة القابل للتوسيع (EAP) عبر شبكات IEEE 802 السلكية وعبر شبكات 802.11 اللاسلكية، والذي يُعرف باسم "EAP عبر شبكة LAN" أو EAPOL. ^[1] تم تحديد EAPOL في الأصل لـ IEEE 802.3 Ethernet و IEEE 802.5 Token Ring و FDDI (ANSI X3T9.5/X3T12 وISO 9314) في 802.1X-2001، ^[2] ولكن تم توسيعه ليناسب تقنيات IEEE 802 LAN الأخرى مثل IEEE 802.11 اللاسلكية في 802.1X-2004. ^[3] تم تعديل EAPOL أيضًا للاستخدام مع IEEE 802.1AE ("MACsec") و IEEE 802.1AR (هوية الجهاز الآمنة، DevID) في 802.1X-2010 ^[4] ^[5] لدعم تحديد الخدمة والتشفير الاختياري من نقطة إلى نقطة عبر شريحة LAN الداخلية.

ملخص

يتم تغليف بيانات EAP أولاً في إطارات EAPOL بين Supplicant وAuthenticator، ثم يتم إعادة تغليفها بين Authenticator وخادم المصادقة باستخدام RADIUS أو Diameter .

تشتمل مصادقة 802.1X على ثلاثة أطراف: مقدم طلب، ومصادقة، وخادم مصادقة. مقدم الطلب هو جهاز العميل (مثل الكمبيوتر المحمول) الذي يرغب في الاتصال بالشبكة المحلية/الشبكة المحلية اللاسلكية. يستخدم مصطلح "مقدم الطلب" أيضاً بالتبادل للإشارة إلى البرنامج الذي يعمل على العميل الذي يوفر بيانات الاعتماد للمصادقة. المصادق هو جهاز شبكة يوفر رابط بيانات بين العميل والشبكة ويمكنه السماح بحركة مرور الشبكة أو منعها بين الاثنين، مثل محول إيثرنت أو نقطة وصول لاسلكية؛ وعادةً ما يكون خادم المصادقة خادمًا موثوقًا يمكنه استقبال طلبات الوصول إلى الشبكة والاستجابة لها، ويمكنه إخبار المصادق بما إذا كان يجب السماح بالاتصال، والإعدادات المختلفة التي يجب أن تنطبق على اتصال ذلك العميل أو إعداداته. تقوم خوادم المصادقة عادةً بتشغيل برنامج يدعم بروتوكولي RADIUS و EAP.

في بعض الحالات، قد يتم تشغيل برنامج خادم المصادقة على أجهزة المصادقة.

تعمل أداة المصادقة كحارس أمن لشبكة محمية. لا يُسمح لمقدم الطلب (أي جهاز العميل) بالوصول من خلال أداة المصادقة إلى الجانب المحمي من الشبكة حتى يتم التحقق من هوية مقدم الطلب والمصادقة عليه. مع المصادقة المستندة إلى المنفذ 802.1X، يجب على مقدم الطلب في البداية تقديم بيانات الاعتماد المطلوبة إلى أداة المصادقة - سيتم تحديدها مسبقاً من قبل مسؤول الشبكة ويمكن أن تتضمن اسم المستخدم/كلمة المرور أو شهادة رقمية مسموح بها. يقوم المصادق بإعادة توجيه بيانات الاعتماد هذه إلى خادم المصادقة ليقرر ما إذا كان سيتم منح الوصول أم لا. إذا قرر مخدّم المصادقة أن بيانات الاعتماد صالحة، فإنه يقوم بإبلاغ المصادق، والذي بدوره يسمح للمقدم (جهاز العميل) بالوصول إلى الموارد الموجودة على الجانب المحمي من الشبكة.[10]

تشغيل البروتوكول

يعمل EAPOL عبر طبقة ارتباط البيانات، وفي بروتوكول تأطير Ethernet II له قيمة EtherType 0x888E.

كيانات المنافذ

يحدد 802.1X-2001 كيانين منطقيين لمنفذ مصادق عليه - "المنفذ المتحكم فيه" و"المنفذ غير المتحكم فيه". يتم التعامل مع المنفذ المتحكم به بواسطة 802.1X PAE (كيان الوصول إلى المنفذ) للسماح (في الحالة المصرح بها) أو منع (في الحالة غير المصرح بها) دخول وخروج حركة مرور الشبكة من/إلى المنفذ المتحكم به. يتم استخدام المنفذ غير المتحكم به بواسطة 802.1X PAE لإرسال واستقبال إطارات EAPOL.

يعرّف 802.1X-2004 كيانات المنافذ المكافئة للمُقدِّم؛ لذا يمكن للمُقدِّم الذي يطبق 802.1X-2004 أن يمنع استخدام بروتوكولات المستوى الأعلى إذا لم يكن مقتنعاً بأن المصادقة قد اكتملت بنجاح. يكون هذا مفيداً بشكل خاص عند استخدام أسلوب EAP الذي يوفر مصادقة متبادلة، حيث يمكن للمُثبِت منع تسرب البيانات عند الاتصال بشبكة غير مصرح بها.

تقدم المصادقة النموذجي

يتكون إجراء المصادقة النموذجي من:

مخطط تسلسلي لتسلسل تقدم 802.1X

التهيئة عند اكتشاف مقدم طلب جديد، يتم تمكين المنفذ الموجود على المحول (المصادق) وتعيينه إلى حالة "غير مصرح به". في هذه الحالة، لا يُسمح إلا بحركة مرور 802.1X؛ ويتم إسقاط حركة المرور الأخرى، مثل بروتوكول الإنترنت (ومعها بروتوكول TCP و UDP).
Initiation To initiate authentication the authenticator will periodically transmit EAP-Request Identity frames to a special Layer 2 address (01:80:C2:00:00:03) on the local network segment. The supplicant listens at this address, and on receipt of the EAP-Request Identity frame, it responds with an EAP-Response Identity frame containing an identifier for the supplicant such as a User ID. The authenticator then encapsulates this Identity response in a RADIUS Access-Request packet and forwards it on to the authentication server. The supplicant may also initiate or restart authentication by sending an EAPOL-Start frame to the authenticator, which will then reply with an EAP-Request Identity frame.
التفاوض (تفاوض EAP تقنياً) يرسل خادم المصادقة رداً (مغلفاً في حزمة تحدي وصول RADIUS) إلى المصادق، يحتوي على طلب EAP يحدد أسلوب EAP (نوع المصادقة القائمة على EAP الذي يرغب في أن يقوم به المستند إلى EAP). تقوم أداة المصادقة بتغليف طلب EAP في إطار EAPOL وإرساله إلى المُدعِم. عند هذه النقطة، يمكن أن يبدأ مقدم الطلب في استخدام أسلوب EAP المطلوب، أو أن يقوم ب NAK ("إقرار سلبي") ويستجيب بأساليب EAP التي يرغب في تنفيذها.
المصادقة إذا اتفق خادم المصادقة والمقدم على أسلوب EAP، يتم إرسال طلبات EAP واستجابات EAP بين مقدم الطلب وخادم المصادقة (يتم ترجمتها بواسطة المصادق) حتى يستجيب خادم المصادقة إما برسالة EAP-نجاح (مغلفة في حزمة قبول وصول RADIUS)، أو رسالة فشل EAP (مغلفة في حزمة رفض وصول RADIUS). في حالة نجاح المصادقة، تقوم أداة المصادقة بتعيين المنفذ إلى الحالة "مخوّل" ويتم السماح بحركة المرور العادية، وفي حالة عدم نجاح المصادقة، يظل المنفذ في الحالة "غير مخوّل". عندما يقوم مقدم الطلب بتسجيل الخروج، يقوم بإرسال رسالة EAPOL-logoff إلى المصادق، ثم يقوم المصادق بتعيين المنفذ إلى الحالة "غير مصرح به"، ويقوم مرة أخرى بحظر كل حركة مرور غير EAP.

عمليات التنفيذ

An open-source project named Open1X produces a client, Xsupplicant. This client is currently available for both Linux and Windows. The main drawbacks of the Open1X client are that it does not provide comprehensible and extensive user documentation and that most Linux vendors do not provide a package for it. The more general wpa_supplicant can be used for 802.11 wireless networks and wired networks. Both support a very wide range of EAP types.^[6]

يدعم كل من iPhone وiPod Touch 802.1X منذ إصدار iOS 2.0. يدعم نظام أندرويد 802.1X منذ إصدار 1.6 دونات. يدعم نظام التشغيل ChromeOS 802.1X منذ منتصف عام 2011.[12].

يقدم macOS دعمًا أصليًا منذ الإصدار 10.3[13].

توفر شركة Avenda Systems برنامجًا مساعدًا لأنظمة ويندوز ولينكس وماك. كما أن لديهم أيضًا مكونًا إضافيًا لإطار عمل Microsoft NAP.[14] كما تقدم Avenda أيضًا وكلاء التحقق من الصحة.

ويندوز

يقوم Windows بشكل افتراضي بعدم الاستجابة لطلبات المصادقة 802.1X لمدة 20 دقيقة بعد فشل المصادقة. يمكن أن يتسبب ذلك في تعطيل كبير للعملاء.

يمكن تكوين فترة الحظر باستخدام قيمة HKEY_LOCAL_MACHINE\SOFTWARE\SOFTWARE\Microsoft\Dot3svc\BlockTime[15] DWORD (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\wlansvc\BlockTime للشبكات اللاسلكية) في السجل (يتم إدخالها بالدقائق). هناك حاجة إلى إصلاح سريع لنظامي التشغيل Windows XP SP3 وWindows Vista SP2 لجعل الفترة قابلة للتكوين.[16]

لا يدعم EAPHost، وهو مكون Windows الذي يوفر دعم EAP في نظام التشغيل، شهادات خادم أحرف البدل [17].

ويندوز XP

يعاني نظام التشغيل ويندوز XP من مشاكل كبيرة في تعامله مع تغييرات عنوان IP الناتجة عن المصادقة المستندة إلى المستخدم 802.1X التي تغير الشبكة المحلية الافتراضية وبالتالي الشبكة الفرعية للعملاء.[18] وقد صرحت مايكروسوفت أنها لن تعيد نقل ميزة SSO من نظام التشغيل Vista التي تحل هذه المشاكل.[19]

إذا لم يقم المستخدمون بتسجيل الدخول باستخدام ملفات تعريف التجوال، فيجب تنزيل إصلاح سريع وتثبيته في حالة المصادقة عبر PEAP باستخدام PEAP-MSCHAP-MSCHAPv2[20].

ويندوز Vista

قد لا تتم المصادقة على أجهزة الكمبيوتر المستندة إلى نظام التشغيل Windows Vista المتصلة عبر هاتف IP كما هو متوقع، ونتيجة لذلك، يمكن وضع العميل في شبكة محلية ظاهرية خاطئة. يتوفر إصلاح سريع لتصحيح هذا الأمر.[21].

ويندوز 7

قد لا تتم المصادقة على أجهزة الكمبيوتر المستندة إلى Windows 7 المتصلة عبر هاتف IP كما هو متوقع، وبالتالي يمكن وضع العميل في شبكة محلية ظاهرية خاطئة. يتوفر إصلاح سريع لتصحيح هذا الأمر.[21].

لا يستجيب Windows 7 لطلبات المصادقة 802.1X بعد فشل المصادقة الأولية 802.1X. قد يتسبب ذلك في حدوث خلل كبير للعملاء. يتوفر إصلاح سريع لتصحيح هذا الأمر.[22].

ويندوز PE

بالنسبة لمعظم الشركات التي تقوم بنشر أنظمة التشغيل وطرحها عن بُعد، تجدر الإشارة إلى أن Windows PE لا يحتوي على دعم أصلي ل 802.1X. ومع ذلك، يمكن إضافة الدعم إلى نظامي WinPE 2.1[23] و WinPE 3.0[24] من خلال الإصلاحات العاجلة المتوفرة من Microsoft. على الرغم من أن الوثائق الكاملة غير متوفرة بعد، إلا أن الوثائق الأولية لاستخدام هذه الإصلاحات العاجلة متوفرة عبر مدونة Microsoft[25].

لينكس

تدعم معظم توزيعات Linux معيار 802.1X عبر wpa_supplicant والتكامل مع سطح المكتب مثل NetworkManager .

أجهزة آبل

اعتبارًا من iOS 17 و macOS 14 ، تدعم أجهزة Apple الاتصال بشبكات 802.1X باستخدام EAP-TLS مع TLS 1.3 (EAP-TLS 1.3). بالإضافة إلى ذلك، تدعم الأجهزة التي تعمل بنظام iOS/iPadOS/tvOS 17 أو الإصدارات الأحدث شبكات 802.1X السلكية. ^[7] ^[8]

الاتحادات

تتطلب خدمة التجوال الدولي ( eduroam ) استخدام مصادقة 802.1X عند توفير الوصول إلى الشبكة للضيوف الزائرين من مؤسسات أخرى تدعم خدمة eduroam. ^[9]

تستخدم شركة BT (British Telecom, PLC) اتحاد الهوية للمصادقة في الخدمات المقدمة لمجموعة واسعة من الصناعات والحكومات[29].

ملحقات الملكية

MAB (تجاوز مصادقة MAC)

لا تدعم جميع الأجهزة مصادقة 802.1X. تتضمن الأمثلة طابعات الشبكة والأجهزة الإلكترونية القائمة على الإيثرنت مثل أجهزة الاستشعار البيئية والكاميرات والهواتف اللاسلكية. لكي يتم استخدام هذه الأجهزة في بيئة شبكة محمية، يجب توفير آليات بديلة للمصادقة عليها.

يتمثل أحد الخيارات في تعطيل 802.1X على هذا المنفذ، ولكن هذا يترك هذا المنفذ غير محمي ومفتوحاً لإساءة الاستخدام. خيار آخر أكثر موثوقية قليلاً هو استخدام خيار MAB. عندما يتم تكوين MAB على أحد المنافذ، سيحاول هذا المنفذ أولاً التحقق مما إذا كان الجهاز المتصل متوافقاً مع 802.1X، وإذا لم يتم تلقي أي رد فعل من الجهاز المتصل، فسيحاول المصادقة مع خادم AAA باستخدام عنوان MAC الخاص بالجهاز المتصل كاسم مستخدم وكلمة مرور. يجب على مسؤول الشبكة بعد ذلك وضع أحكام على خادم RADIUS للمصادقة على عناوين MAC هذه، إما بإضافتها كمستخدمين عاديين أو تنفيذ منطق إضافي لحلها في قاعدة بيانات مخزون الشبكة.

تقدم العديد من محولات الإيثرنت المُدارة[30] خيارات لهذا الغرض.

الثغرات في 802.1X-2001 و802.1X-2004

الوسائط المشتركة

في صيف عام 2005، نشر ستيف رايلي من مايكروسوفت مقالاً (استناداً إلى البحث الأصلي الذي أجراه سفياتوسلاف بيدغورني من مايكروسوفت) يشرح بالتفصيل ثغرة خطيرة في بروتوكول 802.1X، تتضمن هجوماً من رجل في الوسط. باختصار، ينبع الخلل من حقيقة أن 802.1X يصادق فقط في بداية الاتصال، ولكن بعد هذه المصادقة، من الممكن للمهاجم استخدام المنفذ المصادق عليه إذا كان لديه القدرة على إدخال نفسه فعليًا (ربما باستخدام محور مجموعة عمل) بين الكمبيوتر المصادق عليه والمنفذ. يقترح رايلي أنه بالنسبة للشبكات السلكية، فإن استخدام IPsec أو مزيج من IPsec و802.1X سيكون أكثر أماناً[31].

تُرسَل إطارات EAPOL-Logoff المرسلة من قبل مقدم الطلب 802.1X بشكل واضح ولا تحتوي على بيانات مستمدة من تبادل بيانات الاعتماد التي صادقت العميل في البداية.[32] وبالتالي من السهل جدًا انتحال هذه الإطارات على الوسائط المشتركة ويمكن استخدامها كجزء من هجمات موجهة، سواءً على الشبكات المحلية السلكية أو اللاسلكية. في هجوم EAPOL-Logoff، يرسل طرف ثالث خبيث لديه إمكانية الوصول إلى الوسيط المتصل به المصادق، إطارات EAPOL-Logoff مزورة بشكل متكرر من عنوان MAC الخاص بالجهاز المستهدف. يقوم المصادق (معتقداً أن الجهاز المستهدف يرغب في إنهاء جلسة المصادقة الخاصة به) بإغلاق جلسة مصادقة الهدف، مما يؤدي إلى منع حركة المرور الداخلة من الهدف، ويمنعه من الوصول إلى الشبكة.

تعالج مواصفات 802.1X-2010، التي بدأت باسم 802.1af، نقاط الضعف في مواصفات 802.1X السابقة، باستخدام MACsec IEEE 802.1AE لتشفير البيانات بين المنافذ المنطقية (التي تعمل فوق منفذ فعلي) وأجهزة مصادقة IEEE 802.1AR (هوية الجهاز الآمنة/ DevID).[8][9][33][34].

وكحل مؤقت، وإلى أن يتم تنفيذ هذه التحسينات على نطاق واسع، قام بعض البائعين بتوسيع نطاق بروتوكول 802.1X-2001 و802.1X-2004، مما يسمح بإجراء جلسات مصادقة متزامنة متعددة على منفذ واحد. في حين أن هذا يمنع حركة المرور من الأجهزة ذات عناوين MAC غير المصادق عليها من الدخول على منفذ مصادق عليه 802.1X، إلا أنه لن يمنع أي جهاز ضار من التطفل على حركة المرور من جهاز مصادق عليه ولا يوفر أي حماية ضد انتحال MAC أو هجمات EAPOL-Logoff.

البدائل

البديل المدعوم من IETF هو بروتوكول حمل المصادقة للوصول إلى الشبكة (PANA)، والذي يحمل أيضًا بروتوكول EAP، على الرغم من أنه يعمل في الطبقة 3، باستخدام UDP، وبالتالي لا يرتبط بالبنية التحتية 802.[35]

انظر أيضاً

نظام AEGIS SecureConnect IEEE 802.11i-2004

المراجع

^ IEEE 802.1X-2001, § 7
^ IEEE 802.1X-2001, § 7.1 and 7.2
^ IEEE 802.1X-2004, § 7.6.4
^ IEEE 802.1X-2010, page iv
^ IEEE 802.1X-2010, § 5
^ "eap_testing.txt from wpa_supplicant". اطلع عليه بتاريخ 2010-02-10.
^ "iOS 17 beta 4 developer release notes". Apple Developer. 25 يوليو 2023. اطلع عليه بتاريخ 2023-07-25.
^ "macOS 14 beta 4 developer release notes". Apple Developer. 25 يوليو 2023. اطلع عليه بتاريخ 2023-07-25.
^ "How does eduroam work?". eduroam. اطلع عليه بتاريخ 2022-07-03.

الروابط الخارجية

[[تصنيف:أمن شبكات الحاسوب]] [[تصنيف:بروتوكولات التحكم بالوصول للحاسوب]] [[تصنيف:معايير الشبكات]]

[1] IEEE 802.1X-2001, § 7

[2] IEEE 802.1X-2001, § 7.1 and 7.2

[3] IEEE 802.1X-2004, § 7.6.4

[802.1X-2010_seciv-4] IEEE 802.1X-2010, page iv

[802.1X-2010_sec5-5] IEEE 802.1X-2010, § 5

[6] "eap_testing.txt from wpa_supplicant". اطلع عليه بتاريخ 2010-02-10.

[7] "iOS 17 beta 4 developer release notes". Apple Developer. 25 يوليو 2023. اطلع عليه بتاريخ 2023-07-25.

[8] "macOS 14 beta 4 developer release notes". Apple Developer. 25 يوليو 2023. اطلع عليه بتاريخ 2023-07-25.

[9] "How does eduroam work?". eduroam. اطلع عليه بتاريخ 2022-07-03.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]