Professional Documents
Culture Documents
Httpslms.elearning.edu.Sabbcswebdavpid 12255856 Dt Content Rid 85282577 1coursesEHCT INET231 23724 R S4431الوحدة20الثال
Httpslms.elearning.edu.Sabbcswebdavpid 12255856 Dt Content Rid 85282577 1coursesEHCT INET231 23724 R S4431الوحدة20الثال
1
35 .................. ................................ )Server-Based AAA Authentication( AAA مصادقة خادم3.4
35 ................................ (Configuring Server-Based Authentication) تهيئة خادم المصادقة3.4.1
Steps for Configuring Server-Based AAA ( AAA خطوات لتهيئة مصادقة خادم3.4.1.1
35 ................................... ................................ ................................ )Authentication
36 ...................................... )Configuring TACACS+ Servers( TACACS+ تهيئة خوادم3.4.1.2
37 .......................................... )Configuring RADIUS Servers( RADIUS تهيئة خوادم3.4.1.3
)Configure Authentication to Use the AAA Server( AAA تهيئة المصادقة لتستخدم خادم3.4.1.4
38 ......................... ................................ ................................ ................................
Troubleshooting Server-Based AAA ( واصالحهاAAA اكتشاف أخطاء المصادقة لخادم3.4.2
40 ...................................... ................................ ................................ )Authentication
40 ................................... Monitoring Authentication Traffic مراقبة حركة المصادقة3.4.2.1
41 ....................... )Debugging TACACS+ and RADIUS( RADIUS وTACACS+ تصحيح3.4.2.2
Video Demonstration -( RADIUS AAA فيديو ايضاحي – تهيئة موجه سيسكو ليصل إلى خادم3.4.2.3
42 ........................................ )Configure a Cisco Router to Access a AAA RADIUS Server
44 ............. ................................ ................................ المعتمد على الخادمAAA تصريح وتدقيق3.5
44 ......................................... ................................ المعتمد على الخادمAAA تهيئة تصريح3.5.1
44 ................................. ................................ المعتمد على الخادمAAA مقدمة لتصريح3.5.1.1
46 ...................................... )AAA Authorization Configuration( AAA تهيئة تصريح3.5.1.2
47 ............ )Configuring Server-Based AAA Accounting( المعتمد على الخادمAAA تهيئة تدقيق3.5.1
)Introduction to Server-Based AAA Accounting( المعتمد على الخادمAAA مقدمة لتدقيق3.5.1.1
47 ......................... ................................ ................................ ................................
48 ............ ................................ )AAA Accounting Configuration( AAA تهيئة تدقيق3.5.2.2
50 ............................. ................................ )802.1X Authentication( 802.1X مصادقة3.5.3
Security Using 802.1X Port-Based ( المعتمد على المنفذ802.1X األمن باستخدام مصادقة3.5.3.1
50 ................................... ................................ ................................ )Authentication
52 .............................. )802.1X Port Authorization State( 802.1X حالة مصادقة منفذ3.5.3.2
53 ............................... ................................ )configuring 802.1X( 802.1X تهيئة3.5.3.3
55 ................................ ................................ ................................ )Summary( الخالصة3.6
55 ......................... ................................ ................................ )Conclusion( الخاتمة3.6.1
Lab – Securing Administrative ( RADIUS وAAA معمل – الوصول اإلداري اآلمن باستخدام3.6.1.1
55 ............. ................................ ................................ )Access Using AAA and RADIUS
Packet Tracer – Configure ( على موجهات سيسكوAAA – تهيئة مصادقةPacket Tracer 3.6.1.2
56 ................................... ................................ )AAA Authentication on Cisco Routers
57 ........ )Authentication, Authorization, and Accounting( التدقيق، المصادقة والتصريح3.6.1.3
2
الفصل :3المصادقة والتصريح ،التدقيق
3.0مقدمة
3.0.1مرحبا بكم
3.0.1.1الفصل :3المصادقة والتصريح والتدقيق
إلدارة الوصول للشبكة يتم استخدام أوامر كلمات المرور في وضع المستخدم أو وضع االمتيازات
والتي تكون محدودة وال تقاس بشكل جيد .بروتوكول المصادقة ،التصريح ،والتدقيق ()AAA
يوفر إطار العمل الضروري للحصول على وصول آمن متوسع.
نظام تشغيل المحوالت والموجهات الخاصة بسيسكو ( )IOSيمكن أن يتم تهيئته ليقوم باستخدام
بروتوكول AAAوذلك للوصول الى أسماء المستخدمين وكلمات المرور والموجودة في قاعدة
البيانات المحلية .استخدام قاعدة البيانات المحلية ألسماء المستخدمين وكلمات المرور يوفر أمان
أفضل من كلمات المرور البسيطة .وهي أيضا وسيلة تتميز بتكلفة أقل وبحلول أمنية سهلة التنفيذ
للمنظمات صغيرة الحجم.
المنظمات كبيرة الحجم تتطلب حلول مصادقة أكثر توسعا .نظام تشغيل المحوالت والموجهات
الخاصة بسيسكو ( )IOSيمكن أن يتم تهيئته ليقوم باستخدام بروتوكول AAAليصادق ضد نظام
التحكم بالوصول اآلمن من سيسكو ( .)ACSاستخدام Cisco ACSمنتشر بشكل كبير بسبب أن
3
جميع أجهزة البنية التحتية تتصل بالخادم المركزي .باإلضافة الى أن استخدام Cisco Secure
ACSهو حل قادر على احتمال األخطاء بسبب أنه يمكن تهيئة عدة خوادم لتقدم الخدمة.
شركة سيسكو تقوم بتوفير ) Cisco Identify Services Engine (ISEللتأكد من أن األشخاص
المناسبين فقط ،مع األجهزة المناسبة هم من يملكون الحق بالوصول الى خدمات الشركةISE .
يوفر الرؤية الواضحة عن المستخدمين واألجهزة الذين يستطيعون الوصول للشبكة .الجيل الجديد
من الحلول ال يوفر فقط بروتوكول AAAولكن أيضا يفرض سياسات األمن والوصول على
األجهزة الطرفية المتصلة بمحوالت وموجهات المنظمة .هي أيضا تقوم بتبسيط إدارة األجهزة
المختلفة كما توفر العديد من المميزات مثل تعريف األجهزة ،وتقييم الموقف ،وإدارة الضيف،
والوصول إلى الشبكة على أساس الهوية.
للوصول الى الشبكة المحلية LANالتي يمكن تأمينها يتم باستخدام IEEE 802.1X. 802.1Xوهو
بروتوكول المصادقة والتحكم بالوصول القائم على المنفذ والذي يستخدم للحد من اتصال محطات
العمل الغير مصرح لها بالشبكة المحلية LANمن خالل منافذ التحويل العامة
4
3.1الغرض من AAA
AAA 3.1.1نظرة عامة
3.1.1.1مصادقة بدون AAA
قراصنة الشبكة يحتمل أن يستطيعوا الوصول الى أجهزة وخدمات الشبكة .التحكم بالوصول يحدد
من يستطيع استخدام الموارد المخصصة للشبكة ولماذا .كما أنه يحدد الخدمات أو الخيارات
المتوفرة بعد منح اذن الوصول .هناك العديد من أنواع المصادقة التي يمكن أن تقوم بها أجهزة
سيسكو حيث يقدم كل نوع مستويات متفاوتة من األمن.
SSHهو الطريقة األكثر أمانا من الوصل عن بعد SSH .يتطلب توفير اسم مستخدم وكلمة مرور،
حيث يتم تشفير كالهما أثناء عملية االرسال .طريقة قاعدة البيانات المحلية توفر أمان اضافي
وذلك ألن المهاجم يحتاج لمعرفة اسم المستخدم وكلمة المرور .أيضا SSHيوفر مسؤولية عالية
ألن اسم المستخدم يتم تسجيله عندما يقوم المستخدم بتسجيل الدخول .على الرغم من أن Telnet
يمكن أن يتم تهيئته باستخدام اسم المستخدم وكلمة مرور بحيث كالهما يتم ارساله في كنص عادي
مما يجعله معرضا للهجوم وبالتالي االستيالء عليه واستغالله.
5
طريقة قاعدة البيانات المحلية لديها بعض
القيود .حسابات المستخدمين يجب أن يتم
تهيئتها محليا على كل جهاز ،الصورة رقم
2توضح اعدادات .SSHفي بيئة الشركات
الكبيرة التي لديها العديد من أجهزة التوجيه
والتحويل إلداراتها ،قد يستغرق تنفيذ وتغيير
قواعد البيانات المحلية على كل جهاز وقتا
طويال .باإلضافة الى ذلك ،تهيئة قواعد
البيانات المحلية ال توفر طريقة للتراجع عن
المصادقة .على سبيل المثال ،ماذا لو مدير النظام لم يتذكر اسم المستخدم وكلمة المرور لذلك
الجهاز؟ مع عدم توفر طريقة للنسخ االحتياطي خاصة بالمصادقة ،يصبح استعادة كلمة المرور
هو الخيار الوحيد.
الحل األفضل هو أن تكون جميع األجهزة تشير إلى نفس قاعدة البيانات من أسماء المستخدمين
وكلمات المرور من الخادم المركزي .هذه الوحدة سوف تستكشف الطرق المختلفة لتأمين الوصول
للشبكة باستخدام بروتوكول المصادقة والتصريح والتدقيق ( )AAAلتأمين أجهزة توجيه سيسكو.
6
3.1.1.2مكونات AAA
مكونات AAA
خدمات أمن الشبكات AAAتوفر إطار العمل األولي لضبط التحكم بالوصول الى جهاز الشبكة.
AAAهو وسيلة للتحكم بمن يتم السماح له بالوصول الى الشبكة (مصادقة) ،وما الذي يستطيعون
القيام به أثناء وجودهم داخل الشبكة (اإلذن) ،ولتدقيق ومراجعة اإلجراءات التي يؤدونها أثناء
الوصول إلى الشبكة (التدقيق)
بروتوكول األمن AAAاالداري والشبكة في بيئة سيسكو تملك ثالثة عناصر وظيفية:
المصادقة – Authenticationالمستخدمون والمدراء يجب أن يثبتوا بأنهم هم
األشخاص الذين يريدون الوصول للشبكة وليسوا آخرين .المصادقة يمكن أن تبدأ باستخدام
مزيج من اسم المستخدم وكلمة المرور ،أسئلة التحدي واالستجابة ،بطاقات الرموز،
وطرق أخرى .على سبيل المثال" :انا المستخدم ’ ‘studentوأنا اعرف كلمة المرور
التي تثبت ذلك".
التصريح – Authorizationبعد أن تتم المصادقة ،خدمات التصريح تحدد ما هي
الموارد التي يستطيع المستخدم الوصول لها وما هي العمليات المسموح للمستخدم بعملها.
كمثال على ذلك "المستخدم ’ ‘studentيستطيع الوصول للمضيف serverXYZ
باستخدام SSHفقط".
التدقيق والمراجعة – Accounting and auditingالتدقيق يسجل ما يقوم به
المستخدم ،بما في ذلك ما تم الوصول إليه ،مقدار الوقت للوصول الى المورد ،وماهي
التغيرات التي تم عملها ،التدقيق يقوم بتتبع كيف يتم استخدام مصادر الشبكة .وكمثال
على ذلك " المستخدم ' 'studentقام بالدخول على المضيف serverXYZباستخدام
SSHلمدة 15دقيقة".
7
3.1.2خصائص AAA
3.1.2.1أوضاع المصادقة
أوضاع المصادقة
8
مالحظة :في هذا المقرر ،التركيز سوف يكون على تطبيق أمن الشبكات مع IPv4على أجهزة
سيسكو من موجهات ،routersمحوالت ،switchesوأجهزة األمن Adaptive Security
.Appliancesفي بعض األحيان ،ستتم اإلشارة إلى تقنيات وبروتوكوالت معينة من اإلصدار
IPv6
9
3.1.2.2التصريح Authorization
التصريح Authorization
التصريح عادة يتم تطبيقه باستخدام طريقة الحل AAAالمستند لخادم (.)AAA server-based
التصريح يستخدم مجموعة من العناصر التي تصف وصول المستخدمين للشبكة .هذه العناصر
تتم مقارنتها مع المعلومات المخزنة في قاعدة بيانات ،AAAومع القيود المحددة لهذا المستخدم
والتي عملت من أجل الموجه المحلي الذي يتصل به المستخدم.
التصريح يكون تلقائي كما ال يتطلب من المستخدمين أي خطوات اضافية بعد المصادقة .يتم
تطبيق التصريح مباشرة بعد المصادقة على المستخدم
10
3.1.2.3التدقيق Accounting
التدقيق Accounting
التدقيق AAAيقوم بجمع البيانات المستخدمة وإنشاء تقرير عنها .هذه البيانات يمكن أن تستخدم
ألغراض عدة مثل تدقيق الحسابات أو اصدار الفواتير .البيانات المجمعة قد تتضمن بداية ونهاية
االتصال ،األوامر المنفذة ،عدد حزم البيانات ،وعدد البايتات.
التدقيق يتم تطبيقه باستخدام طريقة الحل AAAالمستند لخادم ( .)AAA server-basedهذه
الخدمة تقدم تقريرا عن احصائيات االستخدام بالرجوع الى خادم .AAAتلك االحصائيات يتم
استخراجها إلنشاء تقارير مفصلة حول تهيئة وإعدادات الشبكة.
11
تدقيق – EXECتدقيق EXECيلتقط المعلومات حول جلسات عمل محطة EXECالخاصة
بالمستخدم ( (user shellsعلى خادم الوصول الى الشبكة بما في ذلك اسم المستخدم،
التاريخ ،وقت البدء واالنتهاء ،وعنوان IPالخاص بخادم الوصول.
12
3.1.2.4نشاط – التعرف على خصائص AAA
13
3.2مصادقة AAAالمحلية
3.2.1تهيئة مصادقة AAAالمحلية مع سطر األوامر CLI
3.2.1.1الوصول اإلداري للمصادقة Authenticating Administrative Access
مصادقة AAAالمحلية يجب أن يتم تهيئتها لتكون شبكات أصغر .هذه الشبكات األصغر حجما
هي تلك الشبكات التي تملك واحد أو اثنين من أجهزة التوجيه التي توفر الوصول لعدد محدود من
المستخدمين .هذه الطريقة تستخدم أسماء المستخدمين وكلمات المرور المحلية المخزنة في
الموجه .مدير النظام مسؤول عن تعبئة قاعدة بيانات األمان المحلية باستخدام الملفات الشخصية
لكل مستخدم (تحتوي على اسم المستخدم وكلمة المرور) ممكن أي يسجل الدخول على الموجه.
طريقة مصادقة AAAالمحلية تشبه استخدام األمر login localمع استثناء واحد AAA .يوفر
أيضا وسيلة لتهيئة طرق نسخ احتياطية للمصادقة.
تهيئة خدمات AAAالمحلية لمصادقة وصول المدير تتطلب القيام ببضع الخطوات األساسية:
14
يشار اليها بالكلمة local-caseوهو ما يعني أن كال من كلمة المرور واسم المستخدم سيكون
حساسا لحالة األحرف.
15
3.2.1.2طرق المصادقة
طرق المصادقة
لتمكين ،AAAيجب أوال أن يتم اعداد أمر تهيئة عام .aaa new-modelلتعطيل ،AAAيتم
استخدام الشكل noمن أشكال هذا األمر.
مالحظة :ال تتوفر أوامر AAAأخرى حتى يتم إدخال هذا األمر.
مالحظة :من المهم معرفة أنه عندما تم ادخال aaa new-modelألول مرة ،أن المصادقة
االفتراضية " "defaultباستخدام قاعدة البيانات المحلية سيتم تطبيقها تلقائيا على جميع الخطوط
باستثناء وحدة التحكم .لهذا السبب ،دائما يتم تهيئة مدخالت قاعدة البيانات المحلية قبل تمكين
.AAA
16
لتمكين المصادقة المحلية باستخدام قاعدة بيانات محلية معدة مسبقا ،تستخدم الطريقة localأو
.local-caseالفرق بين الخيارين هو أن الخيار localيقبل اسم المستخدم بغض النظر عن حالة
األحرف ،في حين أن الخيار local-caseحساس لحالة األحرف .على سبيل المثال ،إذا تمت
تهيئة مدخالت قاعدة البيانات المحلية مع اسم المستخدم ،ADMINفإن الطريقة localسوف تقبل
المدخالت ،Admin ،ADMINأو حتى .adminلمن إذا تم تحديد الطريقة ،local-caseفإن
كلمة ADMINهي المقبولة فقط.
تستخدم الكلمة enableلتحديد آلية المصادقة على المستخدم بتمكين كلمة المرور .لضمان أن
المصادقة ستنجح حتى لو كانت كل الطرق ترجع رسالة خطأ ،يتم تحديد noneكآخر طريقة.
مالحظة :ألغراض أمنية ،تستخدم كلمة noneفقط أثناء اختبار تهيئة .AAAوال ينبغي أبدا أن
تطبق على الشبكة الفعلية.
17
3.2.1.3الطرق االفتراضية والمحددة Default and Named Methods
لمزيد من المرونة ،هناك العديد من القوائم الطرق المختلفة التي يمكن تطبيقها على الواجهات
والخطوط المختلفة وذلك باستخدام األمر .aaa authentication login list-name
الحظ أن القائمة المحددة البد أن يتم تمكينها بشكل صريح على الخط من قبل أمر تهيئة الخط
.login authenticationإذا كان الخط يملك قائمة مخصصة بطريقة المصادقة المطبقة عليه،
فإن قائمة الطريقة تلك ستتجاوز قائمة الطريقة االفتراضية defaultلتلك الواجهة.
عندما يتم تطبيق قائمة طريقة المصادقة المخصصة على الواجهة ،فمن الممكن أن تتم العودة إلى
قائمة الطريقة االفتراضية باستخدام األمر .no authentication login
18
3.2.1.4تهيئة المصادقة بشكل دقيق Fine-Tuning the Authentication Configuration
على عكس األمر login delayالذي يستحدث التأخير بين محاوالت الدخول الفاشلة دون أن
يقفل الحساب ،فإن األمر aaa local authentication attempts max-failيقوم بقفل حساب
المستخدم إذا فشلت المصادقة .حساب المستخدم المقفل يبقى مقفال حتى يتم مسحه يدويا من قبل
مدير النظام وذلك باستخدام األمر clear aaa local user lockoutفي وضع االمتياز .EXEC
لعرض الخصائص التي تم جمعها خالل جلسة AAAواحدة ،يستخدم األمر show aaa user
في وضع االمتياز .EXECهذا األمر ال يوفر المعلومات لكافة المستخدمين الذين قاموا بتسجيل
الدخول إلى الجهاز ،ولكن فقط ألولئك الذين تم المصادقة عليهم أو تم اعطاؤهم التصريح باستخدام
،AAAأو ألولئك الذين تم فتح جلسات العمل لحساباتهم باستخدام .AAA
19
األمر show aaa sessionsيستخدم
لعرض معرف المستخدمين الفريدة الخاصة
بالجلسة الحالية ،كما هو موضح في الشكل رقم 3
20
3.2.2استكشاف أخطاء مصادقة AAAالمحلية وإصالحها
3.2.2.1خيارات التصحيح debug options
من المهام تحليل مخرجات أمر التصحيح debugعندما يكون كل شيء يعمل بشكل صحيح.
معرفة كيف يتم عرض مخرجات أمر التصحيح debugعندما يكون كل شيء يعمل بشكل
صحيح يساعد على تحديد المشاكل عندما ال تعمل األشياء بشكل صحيح .يجب توخي الحذر عند
استخدام أي من أوامر التصحيح debugفي بيئة اإلنتاج بسبب أن هذه األوامر سيتم تفسيرها
باستخدام مستوى التحكم؛ وبالتالي ،فإنها تضع حمل ملحوظ على موارد الموجهات ويمكن أن
تؤثر سلبا على أداء الشبكة.
21
3.2.2.2تصحيح مصادقة AAA
22
3.3خادم (Server-Based AAA) AAA
3.3.1خصائص خادم (Server-Based AAA Characteristics) AAA
3.3.1.1مقارنة تطبيق AAAالمحلية وتطبيق خادم AAA
التطبيقات المحلية من AAAمقبولة في الشبكات الصغيرة جدا .ومع ذلك ،المصادقة المحلية ال
تعد مقياس جيد.
معظم بيئات الشركات لديها موجهات ،محوالت ،وأجهزة البنية التحتية األخرى من سيسكو .كم
يوجد لديها العديد من مدراء التوجيه ،ومئات أو آالف من المستخدمين الذين يحتاجون إلى الوصول
إلى الشبكة المحلية للشركة .الحفاظ على قاعدة البيانات المحلية على كل جهاز لهذا الحجم من
الشبكة ليس عمليا.
23
3.3.1.2تقديم )Cisco Secure Access Control System (ACS
نظام التحكم في الوصول اآلمن من سيسكو ( )ACSهو الحل المركزي الذي يقوم بربط سياسة
الوصول للشبكة الخاص بالمؤسسة واستراتيجية مطابقة الهوية.
عائلة Cisco ACSمن المنتجات تشمل تدرجية عالية ،خوادم تحكم بالوصول عالية األداء .تلك
الخوادم يمكن االستعانة بها لمراقبة وصول المدير واعدادات التهيئة لجميع أجهزة الشبكة في
الشبكة التي تدعم RADIUSأو TACACS+أو كليهما.
24
3.3.2بروتوكوالت االتصاالت خادم )Server-Based AAA Communications Protocols( AAA
3.3.2.1تقديم TACACS+ and RADIUS
من المهم جدا فهم االختالفات العديدة بين بروتوكول TACACS+وبروتوكول RADIUS
هنالك ثالثة عوامل حاسمة لبروتوكول TACACS+وهي:
فصل المصادقة عن التصريح.
تشفير جميع االتصاالت.
استخدام منفذ TCPرقم .49
بينما كال البروتوكولين ممكن استخدامهما للقيام بعملية االتصال بين الموجه وخوادم ،AAAفإن
بروتوكول TACACS+يعد األكثر أمانا .وذلك ألنه يتم تشفير كل عمليات التبادل لبروتوكول
.TACACS+بروتوكول RADIUSال يشفر أسماء المستخدمين ،معلومات الحساب ،أو أي
معلومات أخرى تم نقلها في رسالة .RADIUS
25
3.3.2.2مصادقة )TACACS+ Authentication( TACACS+
بروتوكول TACACS+يوفر خدمات AAAبشكل منفصل .هذا الفصل للخدمات يوفر المرونة في
التطبيق وذلك ألنه من المحتمل أن يتم استخدام بروتوكول TACACS+للمصادقة والتدقيق بينما
يتم استخدام وسيلة أخرى للتصاريح.
ملحقات بروتوكول TACACS+توفر أنواع من طلبات المصادقة ومن رموز االستجابة أكثر من
مواصفات بروتوكول TACACSاألصلي .بروتوكول TACACS+يقدم الدعم للعديد من
البروتوكوالت ،مثل بروتوكول االنترنت IPوبروتوكول AppleTalkالقديم .العملية العادية
لبروتوكول TACACS+هي تشفير كل محتويات الحزمة للحصول على اتصاالت آمنة ،واستخدام
منفذ TCPرقم .49الشكل التالي يوضح عملية مصادقة TACACS+
26
3.3.2.3مصادقة )RADIUS Authentication( RADIUS
مصادقة RADIUS
بروتوكول RADIUSيقوم بإخفاء كلمات المرور خالل عملية النقل ،حتى مع وجود بروتوكول
مصادقة كلمات المرور ( ،)5PAPباستخدام عملية معقدة نوعا ما والتي تحتوي على طريقة التشفير
.6MD5بينما يتم ارسال بقية الحزمة في نص عادي.
بروتوكول RADIUSيجمع بين التوثيق والتصريح في عملية واحدة .عندما تتم المصادقة على
المستخدم ،فإن المستخدم أيضا يحصل على التصريح .بروتوكول RADIUSيستخدم منفذ UDP
رقم 1645أو رقم 1812للمصادقة ومنفذ UDPرقم 1646أو رقم 1813للتدقيق.
بروتوكول RADIUSيستخدم بشكل واسع من قبل مزودي خدمة الصوت عبر بروتوكول
االنترنت .VoIPكما يقوم بروتوكول RADIUSبتصريح تسجيل الدخول من نقطة انتهاء بروتكول
بدء الجلسة ،7SIPمثل الهاتف ذو النطاق العريض ،الى مسجل SIPباستخدام مصادقة التشفير
الكلي ،ومن ثم الى خادم RADIUSباستخدام بروتوكول .RADIUSبروتوكول RADIUSهو
أيضا بروتوكول المصادقة المشترك الذي يتم استخدامه وفق المعيار األمني 802.1X
27
الشكل التالي يوضح عملية مصادقة RADIUS
28
3.3.2.4تكامل TACACS+مع )Integration of TACACS+ and ACS( ACS
النسخة 5.6من Cisco Secure ACSهي منصة للتحكم بالوصول تعتمد على سياسة متطورة
للغاية .وفيما يلي بعض من خصائصها:
تمتلك أسلوب بناء موزع خاص بالمنظمات متوسطة الحجم وكبيرة الحجم
تمتلك واجهة مستخدم رسومية GUIتعتمد على تقنية الويب ،web-basedيمكن
الوصول اليها من قبل عميل IPv4وعميل .IPv6
تمتلك نظام متقدم ومتطور قادر على المراقبة ،واإلبالغ ،وحل المشاكل من أجل الحصول
على رؤية واضحة وتحكم ممتاز .يتم ذلك باستخدام رسائل 8SNMPللتأكد من حالة
.Cisco Secure ACS
29
تمتلك إدارة لألجهزة مرنة ودقيقة سواء في شبكات IPv4أو ،IPv6تأتي مع مقدرة عالية
على التدقيق الكامل واالبالغ على النحو المطلوب لالمتثال للمعايير.
30
3.3.2.5تكامل AAAمع )Integration of AAA with Active Directory( Active Directory
الدليل النشط من مايكروسوفت ) Microsoft Active Directory (ADهو خدمة الدليل لشبكات
مجال ،Windowsوهو جزء من معظم أنظمة التشغيل لخوادم ويندوز (.)Windows Server
وحدة التحكم بالمجال ADيتم استخدامها لفرض سياسات األمان من خالل المصادقة والتصريح
للمستخدمين عند تسجيل الدخول الى مجال .Windowsمايكروسوفت ADيمكن أن يتم
استخدامها أيضا للتعامل مع المصادقة والتصريح على نظام التشغيل IOSالخاص بأجهزة سيسكو
31
3.3.2.6تكامل AAAمع )Integration of AAA with Identity Service Engine( ISE
محرك خدمات الهوية من سيسكو ( )ISEهو منصة سياسة لتحديد (الهوية) والتحكم بالوصول التي
تمكن الشركات من فرض التوافق ،تحسين أمان البنية التحتية ،وتبسيط عمليات الخدمة .أسلوب
بناء Cisco ISEيسمح للشركات بجمع المعلومات الوقت الحقيقي عن الشبكات ،المستخدمين،
واألجهزة .بعد ذلك ،يستطيع المدير استخدام تلك المعلومات لصنع قرارات تنظيمية فاعلة من
خالل ربط الهوية بعناصر الشبكة المختلفة .عناصر الشبكة تلك تتضمن محوالت الوصول ،وحدة
التحكم بالشبكات المحلية الالسلكية ( ،)9WLCsالشبكات االفتراضية الخاصة (،)10VPNs
البوابات ( ،)gatewaysومحوالت مركز البيانات.
( 11BYODاحضر جهازك معك) أصبح أكثر شيوعا وحتى ضروريا في العديد من المؤسسات.
تقوم Cisco ISEبتعريف سياسات الوصول العادل وتقوم بفرض االمتثال على جميع األجهزة
الطرفية بما في ذلك .BYOD
يعتبر سيسكو ISEهو مكون السياسة األمنية الرئيسي لسيسكو TrustSecويعتبر أيضا تقنية
سيسكو التي تحمي األصول مثل البيانات ،التطبيقات ،واألجهزة المتنقلة من الوصول الغير مصرح
به (الغير معتمد) .سيسكو ISEيجمع بين تعريف السياسة األمنية ،التحكم بتطبيقها ،واعداد التقارير
عن الجهاز الواحد .تعمل ISEمع البنية التحتية للشبكة الحالية لتزود مدراء الشبكة بالمعلومات
عن األجهزة الطرفية (تعرف أيضا نقاط النهاية) التي ترتبط بالشبكة.
ملف تعريف الجهاز – Device profilingيمكن أن يستخدم لتحديد ما إذا كان الجهاز
شخصي أو للشركة.
تقييم الموقف – Posture assessmentيتم تحديد ما إذا كان الجهاز نظيف من
الفيروسات والتطبيقات المشبوهة قبل الدخول إلى الشبكة .تقييم الموقف يقوم أيضا بالتأكد
من أن برامج مكافحة الفيروسات تم تحديثه.
32
إدارة الضيوف – Guest managementيتم منح وفرض الوصول المؤقت
للمستخدمين الضيوف.
- AAAيجمع بين المصادقة ،التصريح ،والتدقيق ،في جهاز واحد مع ملف تعريف
الجهاز ،تقييم الموقف ،والقدرة على إدارة الضيافة.
المهمة األساسية لسيسكو ISEهي الوصول الى الشبكة على أساس الهوية ISE .يوفر إدارة الهوية
عبر سياق معلوم:
تحديد ما إذا كان المستخدمون يستطيعون الوصول للشبكة عبر جهاز معتمد ومتوافق مع
السياسة األمنية.
إنشاء هوية ،الموقع ،وتاريخ الوصول للمستخدم ،والتي يمكن استخدامها للتوافق وانشاء
التقارير.
تعيين الخدمات للمستخدم استنادا إلى دور المسند للمستخدم ،المجموعة ،والسياسات
المرتبطة بها (الدور الوظيفي ،الموقع ،نوع الجهاز ،وما إلى ذلك).
منح المستخدمين المصادق عليهم الوصول إلى قطاعات محددة من الشبكة ،أو تطبيقات
وخدمات محددة ،أو كليهما ،وذلك بناء على نتائج المصادقة.
33
3.3.2.7نشاط – التعرف على بروتوكول AAAاالتصاالت
34
3.4مصادقة خادم )Server-Based AAA Authentication( AAA
3.4.1تهيئة خادم المصادقة )(Configuring Server-Based Authentication
3.4.1.1خطوات لتهيئة مصادقة خادم Steps for Configuring Server-Based AAA ( AAA
)Authentication
على خالف مصادقة AAAالمحلية ،خادم AAAيجب أن يقوم بتحديد خوادم TACACS+و
RADIUSالتي يجب أن يتم التعامل معها من قبل خدمة AAAعند المصادقة على المستخدمين
ومنحهم التصاريح.
هناك أربع خطوات أساسية لتهيئة خادم المصادقة كما هو موضح في الصورة:
الخطوة .1بشكل عام ،تمكين AAA
ليسمح باستخدام كل عناصر .AAA
هذه الخطوة شرط أساسي لكل أوامر
AAAاألخرى.
الخطوة .3تهيئة مفتاح التشفير الالزم لتشفير البيانات المنقولة بين خادم الوصول للشبكة
وبين .Cisco Secure ACS
الخطوة .4تهيئة قائمة طريقة مصادقة AAAلتشير الى خوادم TACACS+أو .RADIUS
للتكرار ،من الممكن أن يتم تهيئة أكثر من خادم واحد.
35
3.4.1.2تهيئة خوادم )Configuring TACACS+ Servers( TACACS+
بعد ذلك ،يستخدم األمر single-connectionلتحسين أداء بروتوكول TCPمن خالل صيانة
اتصال TCPاألحادي في مدة الجلسة .من ناحية أخرى ،وبشكل افتراضي ،يتم فتح اتصال TCP
وانهاءه لكل جلسة .إذا لزم األمر ،فإن خوادم TACACS+المتعددة يمكن أن يتم تحديدها عن
طريق ادخال عناوين IPv4الخاصة بها وذلك باستخدام األمر .tacacs server name
األمر key keyيتم استخدامه لتهيئة المفاتح السري المشترك لتشفير البيانات المنقولة بين خادم
TACACS+وجهاز التوجيه الذي يفعل .AAAهذا المفتاح يجب أن تتم تهيئته تماما بنفس الطريقة
على كل من الموجه وخادم .TACACS+
36
3.4.1.3تهيئة خوادم )Configuring RADIUS Servers( RADIUS
لتهيئة خادم ،RADIUSيستخدم األمر .radius server nameهذا األمر يضع المستخدم داخل
وضع تهيئة خادم .RADIUS
ألن RADIUSيستخدم بروتوكول ،UDPفإنه ال يوجد هناك ما يعادل الكلمة الرئيسة single-
.connectionإذا لزم األمر ،فإن خوادم RADIUSالمتعددة يمكن يتم تحديدها عن طريق ادخال
ألمر .radius server name
في وضع تهيئة خادم ،RADIUSتتم تهيئة عنوان IPv4الخاص بخادم RADIUSباستخدام األمر
.address ipv4 ipv4-address
افتراضيا ،موجات سيسكو تستخدم المنفذ 1645للمصادقة والمنفذ 1646للتدقيق .ولكن منظمة
IANAقامت بحجز المنفذ 1812لمصادقة RADIUSوالمنفذ 1813لتدقيق .RADIUSومن
المهم جدا أن يتم التأكد من تلك المنافذ متطابقة بين موجهات سيسكو وبين خادم .RADIUS
لتهيئة المفاتح السري المشترك لتشفير كلمات المرور ،يستخدم األمر .keyهذا المفتاح يجب أن
تتم تهيئته تماما بنفس الطريقة على كل من الموجه وخادم .RADIUS
37
3.4.1.4تهيئة المصادقة لتستخدم خادم )Configure Authentication to Use the AAA Server( AAA
يستخدم مدقق بناء الجملة كما في الشكل رقم 3ليقوم بمصادقة AAAالمعتمدة على الخادم على
الموجه . R1مع العلم أن قاعدة بيانات أسماء المستخدمين المحلية تم القيام بتهيئتها على الشبكة
مثل ما تم تطبيق خادم TACACS+وخادم RADIUSعلى الشبكة أيضا.
38
39
3.4.2اكتشاف أخطاء المصادقة لخادم AAAواصالحها ( Troubleshooting Server-Based
)AAA Authentication
3.4.2.1مراقبة حركة المصادقة Monitoring Authentication Traffic
عندما يتم تمكين ،AAAفإنه عادة ما يكون من الضروري مراقبة حركة المصادقة واكتشاف
أخطاء التهيئة واصالحها.
40
3.4.2.2تصحيح TACACS+و )Debugging TACACS+ and RADIUS( RADIUS
األمران اآلخران المستخدمان الستكشاف أخطاء خادم AAAواصالحها والمفيدان جدا تشمل
األمر debug radiusواألمر debug tacacsكما هو مبين في الشكلين رقم 1ورقم 2على
التوالي .هذه األوامر يمكن أن يتم استخدامهما لتوفر معلومات تفصيلية حول تصحيح .AAA
لتعطيل مخرجات التصحيح ،يتم استخدام الشكل noمع تلك األوامر.
41
3.4.2.3فيديو ايضاحي – تهيئة موجه سيسكو ليصل إلى خادم Video Demonstration -( RADIUS AAA
)Configure a Cisco Router to Access a AAA RADIUS Server
فيديو ايضاحي – تهيئة موجه سيسكو ليصل إلى خادم RADIUS AAA
هذا الفيديو يوضح كيف يمكن تهيئة موجه سيسكو ليصل الى خادم AAA RADIUSمن خالل
اكمال الخطوات التالية:
خطوة .1انشئ مستخدمين على خادم .RADIUS
خطوة .5قم بإعداد مستخدم محلي على الموجه في حالة فشل خادم .RADIUS
خطوة .9تهيئة سطر وحدة التحكم وتحديد قائمة طريقة مصادقة دخول AAAلالستخدام.
42
خطوة .10تهيئة خطوط vtyألجل SSHوتحديد قائمة طريقة مصادقة دخول AAA
لالستخدام.
43
3.5تصريح وتدقيق AAAالمعتمد على الخادم
3.5.1تهيئة تصريح AAAالمعتمد على الخادم
3.5.1.1مقدمة لتصريح AAAالمعتمد على الخادم
في حين أن المصادقة تعني وجوب التأكد بأن يكون الجهاز أو المستخدم النهائي شرعي ،فإن
التصريح يهتم بالسماح أو بعدم السماح للمستخدمين المصادق عليهم للوصول الى مناطق وبرامج
محددة على الشبكة.
بروتوكول TACACS+يسمح بالفصل بين المصادقة والتصريح .يمكن أن تتم تهيئة الموجه لتقييد
المستخدم بأداء وظائف محددة بعد أن تتم المصادقة عليه بنجاح .ضع في االعتبار أن بروتوكول
RADIUSال يقوم بفصل المصادقة من عملية التصريح.
جانب آخر مهم من التصريح هو القدرة على التحكم بوصول المستخدم الى أجهزة محددة .التحكم
بالوصول الى أوامر التهيئة يسهل بشكل كبير أمن البنية التحتية في شبكات المؤسسات الكبيرة.
لكل مستخدم أذونات على Cisco Secure ACSتسهل تهيئة جهاز الشبكة.
في الشكل المصاحب JR-ADMINقام بإنشاء جلسة SSHبشكل ناجح مع الموجه وتمت المصادقة
عليه من خادم .TACACS+ AAA ACSالشكل يوضح الفصل بين المصادقة والتصريح.
44
في الشكل المصاحب ،تم السماح للمستخدم JR-ADMINبالوصول الى أمر ،show version
ولكن ال يستطيع الوصول الى أمر .configure terminalالموجه يقوم باالستعالم عن األذونات
من ACSوذلك لتنفيذ األوامر نيابة عن المستخدم .عندما يقوم المستخدم بإنشاء األمر show
،versionفإن ACSيرسل رسالة رد بالموافقة .ACCEPTأما إذا قام المستخدم بإنشاء أمر
،configure terminalفإن ACSيرسل رسالة رد بالرفض .REJECT
بشكل افتراضي TACACS+ ،يبدأ بإنشاء جلسة TCPجديدة لكل طلب تصريح ،والتي يمكن أن
تؤدي الى التأخير عند ادخال المستخدمين لألوامر .لتحسين األداء Cisco Secure ACS ،تدعم
جلسات بروتوكول TCPالمستمرة التي يتم تهيئتها بأمر وضع تهيئة خادم single- tacacs
.connection
45
3.5.1.2تهيئة تصريح )AAA Authorization Configuration( AAA
الشبكة – networkمخصص
لخدمات الشبكة مثل .PPP
46
3.5.1تهيئة تدقيق AAAالمعتمد على الخادم ()Configuring Server-Based AAA Accounting
3.5.1.1مقدمة لتدقيق AAAالمعتمد على الخادم ()Introduction to Server-Based AAA Accounting
الشركات غالبا ما تحتاج للحفاظ على المسار الذي تستخدمه موارد األفراد أو المجموعات .تدقيق
AAAيفعل استخدام المتابعة (المسارات) .من األمثلة على استخدام المتابعة عندما يقوم قسم واحد
بالتحكم في وصول قسم آخر ،أو عندما تقوم شركة واحدة بتوفير الدعم الداخلي لشركة أخرى.
على الرغم من أن التدقيق يعتبر بشكل عام من إدارة الشبكة أو مسائل اإلدارة المالية ،اال أنه ستتم
مناقشته هنا بشكل مختصر ألنه مرتبط بشكل وثيق مع األمن .واحدة من المسائل األمنية التي يتم
تناولها بالتدقيق هي انشاء قائمة من المستخدمين والوقت الذي قاموا فيه بتسجيل الدخول على
النظام .على سبيل المثال ،إذا كان المدير يعرف العامل الذي قام بالدخول للنظام في منتصف
الليل ،فإن هذه المعلومة يمكن استخدامها للتحقيق في الغرض من الدخول.
سبب آخر لتطبيق التدقيق هو انشاء قائمة بالتغييرات التي حدثت على الشبكة ،المستخدم الذ صنع
هذه التغييرات ،وطبيعة التغييرات .معرفة هذه المعلومات يساعد عملية اكتشاف األخطاء
واصالحها إذا كانت التغييرات تسببت في الحصول على نتائج غير متوقعة.
مثل قوائم طريقة المصادقة والتصريح ،فإن قوائم الطريقة الخاصة بالتدقيق تحدد طريقة عمل
التدقيق والتسلسل الذي سيتم به تطبيق هذه الطرق .بعد أن يتم تمكينها ،فإنه سيتم تطبيق قائمة
طريقة التدقيق االفتراضية بشكل آلي على كل الواجهات ،ما عدا تلك الواجهات المعرفة من قبل
المستخدم ،أو الواجهات المخصصة ،قائمة طريقة التدقيق التي تم تعريفها بشكل واضح.
47
3.5.2.2تهيئة تدقيق )AAA Accounting Configuration( AAA
الشبكة – networkتشغل التدقيق لكل طلبات الخدمة المتعلقة بالشبكة ،بما في ذلك
.PPP
– start-stop ترسل بداية " "startاشعار التدقيق في بداية العملية وترسل ايقاف
" "stopاشعار التدقيق في نهاية العملية.
– stop-only ترسل ايقاف " "stopسجالت التدقيق لكل الحاالت بما في ذلك فشل
المصادقة.
48
– none تعرض خدمات التدقيق على الخط أو على الواجهة.
49
3.5.3مصادقة )802.1X Authentication( 802.1X
3.5.3.1األمن باستخدام مصادقة 802.1Xالمعتمد على المنفذ ( Security Using 802.1X Port-Based
)Authentication
معيار IEEE 802.1Xيحدد التحكم بالوصول المعتمد على المنفذ وبروتوكول المصادقة الذي تقيد
محطات العمل الغير مصرح لها من االتصال بالشبكة المحلية LANمن خالل منافذ التحويل
المفتوحة للعامة .خادم المصادقة يقوم بمصادقة كل محطة عمل المتصلة بمنفذ التحويل قبل اتاحة
أي من الخدمات المقدمة من قبل المحول أو الشبكة المحلية.
( Authentication server خادم المصادقة) – يقوم بتنفيذ المصادقة الفعلية للعميل.
خادم المصادقة يتحقق من هوية العميل ويشعر المحول ما إذا كان العميل مصرح له
بالوصول الى الشبكة المحلية وخدمات المحول .وألن المحول يعمل كوسيط (،)proxy
فإن خدمة المصادقة تكون واضحة للعميل .خادم المصادقة الذي يدعم تلك العمليات هو
نظام األمان RADIUSمع بروتوكول EAPالموسع فقط.
50
الى أن تتم مصادقة محطة العمل ،فإن التحكم بوصول 802.1Xيمكن فقط بروتوكول المصادقة
الموسع خالل الشبكة المحلية ( )13EAPOLمن التحرك عبر المنفذ الى محطة العمل المتصلة .بعد
أن تتم المصادقة بنجاح ،يمكن لحركة المرور الطبيعية المرور من خالل المنفذ.
حالة منفذ الم حول تحدد ما إذا كان العميل قد سمح له بالوصول الى الشبكة .عند تهيئة مصادقة
802.1Xالمعتمد على المنفذ ،المنفذ يبدأ العمل وهو في حالة الغير مصرح له .بينما هو في هذه
الحالة ،المنفذ يمنع كل حزم حركات المرور من الدخول والخروج ما عدا حزم بروتوكول
،802.1Xولكن عندما تتم مصادقة العميل بنجاح ،فإن المنفذ يتحول الى حالة المصرح له ،بحيث
يسمح لكل حزم العميل بالتدفق بشكل طبيعي .إذا المحول طلب هوية العميل (بدء عمل المصادِق
)authenticatorوالعميل ال يدعم ،802.1Xفإن المنفذ يبقى في حالة الغير مصرح له ،والعميل
ال يسمح له بالوصول الى الشبكة.
في المقابل ،عندما يتصل عميل 802.1Xالذي تم تمكينه بالمنفذ والعميل يبدأ بإنشاء عملية
المصادقة (بدء عمل )supplicantمن خالل ارسال إطار البدء لبروتوكول EAPOLالى المنفذ
الذي ال يفعل بروتوكول ،802.1Xفإنه ال يتم استقبال أي رد ،والعميل سوف يبدأ بأرسال
اإلطارات كما لو كان المنفذ في حالة المصرح له.
بين المصادِق وخادم المصادقة ( Between the authenticator and the
– )authentication serverبيانات EAPيتم فك تغليفها باستخدام .RADIUS
13
Extensible Authentication Protocol over LAN
51
3.5.3.2حالة مصادقة منفذ )802.1X Port Authorization State( 802.1X
إذا تمت المصادقة على العميل بنجاح (تم استقبال إطار " " acceptمن خادم المصادقة) ،فإن
حالة المنفذ تتغير الى مصرح له ،ويمكن لجميع اإلطارات من العميل المصادق عليه المرور من
خالل المنفذ.
إذا فشلت المصادقة ،المنفذ يبقى في حالة الغير مصرح له ،ولكن يمكن أن تتم إعادة محاولة
المصادقة .إذا لم يمكن الوصول الى خادم المصادقة ،فإن المحول قد يعيد ارسال الطلب .إذا لم
يتم الحصول على رد من الخادم بعدد عدد معين من المحاوالت ،فإن المصادقة ستفشل ،ولن يتم
منح الوصول الى الشبكة.
عندما يقوم العميل بتسجيل الخروج ،فإنه يرسل رسالة EAPOLللخروج ،مما يؤدي الى تحول
منفذ المحول الى حالة الغير مصرح له.
إذا تغيرت حالة الربط الخاصة بالمنفذ من upالى downأو إذا تم استقبال إطار EAPOL-
،logoffفإن المنفذ يرجع الى حالة الغير مصرح له.
52
3.5.3.3تهيئة )configuring 802.1X( 802.1X
تهيئة 802.1X
الخطوة .2انشاء قائمة طريقة مصادقة 802.1Xالمعتمد على المنفذ باستخدام األمر aaa
.authentication dot1x
الخطوة .3تمكين مصادقة 802.1المعتمد على المنفذ بشكل عام وذلك باستخدام األمر dot1x
.system-auth-control
الخطوة .4تمكين المصادقة المعتمدة على المنفذ على الواجهة باستخدام األمر
authentication port-control auto
يستخدم مدقق بناء الجملة كما في الشكل 2و 3لتهيئة مصادقة منفذ 802.1Xعلى المحول
.2960
53
54
3.6الخالصة ()Summary
3.6.1الخاتمة ()Conclusion
3.6.1.1معمل – الوصول اإلداري اآلمن باستخدام AAAو Lab – Securing ( RADIUS
)Administrative Access Using AAA and RADIUS
55
– Packet Tracer 3.6.1.2تهيئة مصادقة AAAعلى موجهات سيسكو ( Packet Tracer – Configure
)AAA Authentication on Cisco Routers
56
3.6.1.3المصادقة والتصريح ،التدقيق ()Authentication, Authorization, and Accounting
بروتوكول ( AAAالمصادقة ،التصريح ،والتدقيق) يوفر إطار عمل قابل للقياس لتمكين الوصول
اإلداري AAA .تحدد من هم األشخاص الذين يسمح لهم باالتصال بالشبكة ،وما يسمح لهم القيام
به ،وتتبع السجالت الخاصة بما تم القيام به.
57