‫الوحدة الثالثة‬

‫‪Authentication, Authorization, and‬‬

‫‪Accounting‬‬

‫الفصل األول ‪1438 /‬‬

‫المؤسسة العامة للتدريب التقني والمهني‬
‫الكلية التقنية بالرياض‬

‫ترجمة المدرب ‪ /‬م‪ .‬عبدهللا بن عائض القحطاني‬

 ‫المحتويات‬
3...................... ................................ ................................ ................................ ‫ مقدمة‬3.0
3........... ................................ ................................ ................................ ‫ مرحبا بكم‬3.0.1
3................................... ................................ ‫ المصادقة والتصريح والتدقيق‬:3 ‫ الفصل‬3.0.1.1
5......................................... ................................ ................................ AAA ‫ الغرض من‬3.1
5................................... ................................ ................................ ‫ نظرة عامة‬AAA 3.1.1
5.......................... ................................ ................................ AAA ‫ مصادقة بدون‬3.1.1.1
7................................ ................................ ................................ AAA ‫ مكونات‬3.1.1.2
8..................................... ................................ ................................ AAA ‫ خصائص‬3.1.2
8............................. ................................ ................................ ‫ أوضاع المصادقة‬3.1.2.1
10 ............... ................................ ................................ Authorization ‫ التصريح‬3.1.2.2
11 ..................... ................................ ................................ Accounting ‫ التدقيق‬3.1.2.3
13 .................................... ................................ AAA ‫ نشاط – التعرف على خصائص‬3.1.2.4
14 .................................. ................................ ................................ ‫ المحلية‬AAA ‫ مصادقة‬3.2
14 ............................. ................................ CLI ‫ المحلية مع سطر األوامر‬AAA ‫ تهيئة مصادقة‬3.2.1
14 ......................... Authenticating Administrative Access ‫ الوصول اإلداري للمصادقة‬3.2.1.1
16 ............................. ................................ ................................ ‫ طرق المصادقة‬3.2.1.2
18 .................................... Default and Named Methods ‫ الطرق االفتراضية والمحددة‬3.2.1.3
19 .............. Fine-Tuning the Authentication Configuration ‫ تهيئة المصادقة بشكل دقيق‬3.2.1.4
21 ............................ ................................ ‫ المحلية وإصالحها‬AAA ‫ استكشاف أخطاء مصادقة‬3.2.2
21 ..................................... ................................ debug options ‫ خيارات التصحيح‬3.2.2.1
22 ..................... ................................ ................................ AAA ‫ تصحيح مصادقة‬3.2.2.2
23 .................. ................................ ................................ (Server-Based AAA) AAA ‫ خادم‬3.3
23 .......................................... (Server-Based AAA Characteristics) AAA ‫ خصائص خادم‬3.3.1
23 ......................... ................................ AAA ‫ المحلية وتطبيق خادم‬AAA ‫ مقارنة تطبيق‬3.3.1.1
24 ............ ................................ Cisco Secure Access Control System (ACS) ‫ تقديم‬3.3.1.2
25 ........ )Server-Based AAA Communications Protocols( AAA ‫ بروتوكوالت االتصاالت خادم‬3.3.2
25 ......................................... ................................ TACACS+ and RADIUS ‫ تقديم‬3.3.2.1
26 ................. ................................ )TACACS+ Authentication( TACACS+ ‫ مصادقة‬3.3.2.2
27 ..................... ................................ )RADIUS Authentication( RADIUS ‫ مصادقة‬3.3.2.3
29 .............................. )Integration of TACACS+ and ACS( ACS ‫ مع‬TACACS+ ‫ تكامل‬3.3.2.4
31 ........ )Integration of AAA with Active Directory( Active Directory ‫ مع‬AAA ‫ تكامل‬3.3.2.5
32 ................. )Integration of AAA with Identity Service Engine( ISE ‫ مع‬AAA ‫ تكامل‬3.3.2.6
34 ...................... ................................ ‫ االتصاالت‬AAA ‫ نشاط – التعرف على بروتوكول‬3.3.2.7

1
35 .................. ................................ )Server-Based AAA Authentication( AAA ‫ مصادقة خادم‬3.4
35 ................................ (Configuring Server-Based Authentication) ‫ تهيئة خادم المصادقة‬3.4.1
Steps for Configuring Server-Based AAA ( AAA ‫ خطوات لتهيئة مصادقة خادم‬3.4.1.1
35 ................................... ................................ ................................ )Authentication
36 ...................................... )Configuring TACACS+ Servers( TACACS+ ‫ تهيئة خوادم‬3.4.1.2
37 .......................................... )Configuring RADIUS Servers( RADIUS ‫ تهيئة خوادم‬3.4.1.3
)Configure Authentication to Use the AAA Server( AAA ‫ تهيئة المصادقة لتستخدم خادم‬3.4.1.4
38 ......................... ................................ ................................ ................................
Troubleshooting Server-Based AAA ( ‫ واصالحها‬AAA ‫ اكتشاف أخطاء المصادقة لخادم‬3.4.2
40 ...................................... ................................ ................................ )Authentication
40 ................................... Monitoring Authentication Traffic ‫ مراقبة حركة المصادقة‬3.4.2.1
41 ....................... )Debugging TACACS+ and RADIUS( RADIUS ‫ و‬TACACS+ ‫ تصحيح‬3.4.2.2
Video Demonstration -( RADIUS AAA ‫ فيديو ايضاحي – تهيئة موجه سيسكو ليصل إلى خادم‬3.4.2.3
42 ........................................ )Configure a Cisco Router to Access a AAA RADIUS Server
44 ............. ................................ ................................ ‫ المعتمد على الخادم‬AAA ‫ تصريح وتدقيق‬3.5
44 ......................................... ................................ ‫ المعتمد على الخادم‬AAA ‫ تهيئة تصريح‬3.5.1
44 ................................. ................................ ‫ المعتمد على الخادم‬AAA ‫ مقدمة لتصريح‬3.5.1.1
46 ...................................... )AAA Authorization Configuration( AAA ‫ تهيئة تصريح‬3.5.1.2
47 ............ )Configuring Server-Based AAA Accounting( ‫ المعتمد على الخادم‬AAA ‫ تهيئة تدقيق‬3.5.1
)Introduction to Server-Based AAA Accounting( ‫ المعتمد على الخادم‬AAA ‫ مقدمة لتدقيق‬3.5.1.1
47 ......................... ................................ ................................ ................................
48 ............ ................................ )AAA Accounting Configuration( AAA ‫ تهيئة تدقيق‬3.5.2.2
50 ............................. ................................ )802.1X Authentication( 802.1X ‫ مصادقة‬3.5.3
Security Using 802.1X Port-Based ( ‫ المعتمد على المنفذ‬802.1X ‫ األمن باستخدام مصادقة‬3.5.3.1
50 ................................... ................................ ................................ )Authentication
52 .............................. )802.1X Port Authorization State( 802.1X ‫ حالة مصادقة منفذ‬3.5.3.2
53 ............................... ................................ )configuring 802.1X( 802.1X ‫ تهيئة‬3.5.3.3
55 ................................ ................................ ................................ )Summary( ‫ الخالصة‬3.6
55 ......................... ................................ ................................ )Conclusion( ‫ الخاتمة‬3.6.1
Lab – Securing Administrative ( RADIUS ‫ و‬AAA ‫ معمل – الوصول اإلداري اآلمن باستخدام‬3.6.1.1
55 ............. ................................ ................................ )Access Using AAA and RADIUS
Packet Tracer – Configure ( ‫ على موجهات سيسكو‬AAA ‫ – تهيئة مصادقة‬Packet Tracer 3.6.1.2
56 ................................... ................................ )AAA Authentication on Cisco Routers
57 ........ )Authentication, Authorization, and Accounting( ‫ التدقيق‬،‫ المصادقة والتصريح‬3.6.1.3

2
 ‫الفصل ‪ :3‬المصادقة والتصريح‪ ،‬التدقيق‬

‫‪ 3.0‬مقدمة‬
‫‪ 3.0.1‬مرحبا بكم‬
‫‪ 3.0.1.1‬الفصل ‪ :3‬المصادقة والتصريح والتدقيق‬

‫الفصل ‪ :3‬المصادقة والتصريح والتدقيق‬

‫الشبكة يتم تصميمها لكي تتحكم بكيفية‬

‫الوصول لها واالتصال بها من قبل‬
‫األشخاص المصرح لهم بذلك وتحديد ما‬
‫يسمح لهم القيام به‪ .‬مواصفات التصميم تلك‬
‫تم تحديدها في خطة أمن الشبكة تحدد الخطة‬
‫آلية الوصول الى مصادر الشبكة لكل من‬
‫مدراء الشبكة‪ ،‬المستخدمين من الشركة‬
‫والمستخدمين عن بعد‪ ،‬وشركاء األعمال‪،‬‬
‫والعمالء‪ .‬خطة أمن الشبكة تستطيع أيضا‬
‫إلزام نظام التدقيق بتنفيذ عملية التتبع لكل من قام بتسجيل الدخول ومتى وماذا فعلوا أثناء تسجيل‬
‫الدخول‪.‬‬

‫إلدارة الوصول للشبكة يتم استخدام أوامر كلمات المرور في وضع المستخدم أو وضع االمتيازات‬
‫والتي تكون محدودة وال تقاس بشكل جيد‪ .‬بروتوكول المصادقة‪ ،‬التصريح‪ ،‬والتدقيق (‪)AAA‬‬
‫يوفر إطار العمل الضروري للحصول على وصول آمن متوسع‪.‬‬

‫نظام تشغيل المحوالت والموجهات الخاصة بسيسكو (‪ )IOS‬يمكن أن يتم تهيئته ليقوم باستخدام‬
‫بروتوكول ‪ AAA‬وذلك للوصول الى أسماء المستخدمين وكلمات المرور والموجودة في قاعدة‬
‫البيانات المحلية‪ .‬استخدام قاعدة البيانات المحلية ألسماء المستخدمين وكلمات المرور يوفر أمان‬
‫أفضل من كلمات المرور البسيطة‪ .‬وهي أيضا وسيلة تتميز بتكلفة أقل وبحلول أمنية سهلة التنفيذ‬
‫للمنظمات صغيرة الحجم‪.‬‬

‫المنظمات كبيرة الحجم تتطلب حلول مصادقة أكثر توسعا‪ .‬نظام تشغيل المحوالت والموجهات‬
‫الخاصة بسيسكو (‪ )IOS‬يمكن أن يتم تهيئته ليقوم باستخدام بروتوكول ‪ AAA‬ليصادق ضد نظام‬
‫التحكم بالوصول اآلمن من سيسكو (‪ .)ACS‬استخدام ‪ Cisco ACS‬منتشر بشكل كبير بسبب أن‬

‫‪3‬‬
‫جميع أجهزة البنية التحتية تتصل بالخادم المركزي‪ .‬باإلضافة الى أن استخدام ‪Cisco Secure‬‬
‫‪ ACS‬هو حل قادر على احتمال األخطاء بسبب أنه يمكن تهيئة عدة خوادم لتقدم الخدمة‪.‬‬

‫شركة سيسكو تقوم بتوفير )‪ Cisco Identify Services Engine (ISE‬للتأكد من أن األشخاص‬
‫المناسبين فقط‪ ،‬مع األجهزة المناسبة هم من يملكون الحق بالوصول الى خدمات الشركة‪ISE .‬‬
‫يوفر الرؤية الواضحة عن المستخدمين واألجهزة الذين يستطيعون الوصول للشبكة‪ .‬الجيل الجديد‬
‫من الحلول ال يوفر فقط بروتوكول ‪ AAA‬ولكن أيضا يفرض سياسات األمن والوصول على‬
‫األجهزة الطرفية المتصلة بمحوالت وموجهات المنظمة‪ .‬هي أيضا تقوم بتبسيط إدارة األجهزة‬
‫المختلفة كما توفر العديد من المميزات مثل تعريف األجهزة‪ ،‬وتقييم الموقف‪ ،‬وإدارة الضيف‪،‬‬
‫والوصول إلى الشبكة على أساس الهوية‪.‬‬

‫للوصول الى الشبكة المحلية ‪ LAN‬التي يمكن تأمينها يتم باستخدام ‪ IEEE 802.1X. 802.1X‬وهو‬
‫بروتوكول المصادقة والتحكم بالوصول القائم على المنفذ والذي يستخدم للحد من اتصال محطات‬
‫العمل الغير مصرح لها بالشبكة المحلية ‪ LAN‬من خالل منافذ التحويل العامة‬

‫‪4‬‬
 ‫‪ 3.1‬الغرض من ‪AAA‬‬
‫‪ AAA 3.1.1‬نظرة عامة‬
‫‪ 3.1.1.1‬مصادقة بدون ‪AAA‬‬

‫المصادقة بدون ‪AAA‬‬

‫قراصنة الشبكة يحتمل أن يستطيعوا الوصول الى أجهزة وخدمات الشبكة‪ .‬التحكم بالوصول يحدد‬
‫من يستطيع استخدام الموارد المخصصة للشبكة ولماذا‪ .‬كما أنه يحدد الخدمات أو الخيارات‬
‫المتوفرة بعد منح اذن الوصول‪ .‬هناك العديد من أنواع المصادقة التي يمكن أن تقوم بها أجهزة‬
‫سيسكو حيث يقدم كل نوع مستويات متفاوتة من األمن‪.‬‬

‫الطريقة األبسط من لمصادقة الوصول عن‬

‫بعد هي بأن يتم اعداد تسجيل الدخول وكلمة‬
‫مرور لكل من وحدة التحكم‪ ،‬خطوط ‪،vty‬‬
‫ومنافذ ‪ AUX‬كما في الصورة رقم ‪ .1‬هذه‬
‫الطريقة هي األسهل في التنفيذ‪ ،‬ولكنها أيضا‬
‫األضعف واألقل أمانا‪ .‬هذه الطريقة ال توفر‬
‫أي مسؤولية حيث يمكن ألي شخص لديه‬
‫كلمة المرور الدخول الى الجهاز ويغير‬
‫االعدادات‪.‬‬

‫‪ SSH‬هو الطريقة األكثر أمانا من الوصل عن بعد‪ SSH .‬يتطلب توفير اسم مستخدم وكلمة مرور‪،‬‬
‫حيث يتم تشفير كالهما أثناء عملية االرسال‪ .‬طريقة قاعدة البيانات المحلية توفر أمان اضافي‬
‫وذلك ألن المهاجم يحتاج لمعرفة اسم المستخدم وكلمة المرور‪ .‬أيضا ‪ SSH‬يوفر مسؤولية عالية‬
‫ألن اسم المستخدم يتم تسجيله عندما يقوم المستخدم بتسجيل الدخول‪ .‬على الرغم من أن ‪Telnet‬‬
‫يمكن أن يتم تهيئته باستخدام اسم المستخدم وكلمة مرور بحيث كالهما يتم ارساله في كنص عادي‬
‫مما يجعله معرضا للهجوم وبالتالي االستيالء عليه واستغالله‪.‬‬

‫‪5‬‬
 ‫طريقة قاعدة البيانات المحلية لديها بعض‬
‫القيود‪ .‬حسابات المستخدمين يجب أن يتم‬
‫تهيئتها محليا على كل جهاز‪ ،‬الصورة رقم‬
‫‪ 2‬توضح اعدادات ‪ .SSH‬في بيئة الشركات‬
‫الكبيرة التي لديها العديد من أجهزة التوجيه‬
‫والتحويل إلداراتها‪ ،‬قد يستغرق تنفيذ وتغيير‬
‫قواعد البيانات المحلية على كل جهاز وقتا‬
‫طويال‪ .‬باإلضافة الى ذلك‪ ،‬تهيئة قواعد‬
‫البيانات المحلية ال توفر طريقة للتراجع عن‬
‫المصادقة‪ .‬على سبيل المثال‪ ،‬ماذا لو مدير النظام لم يتذكر اسم المستخدم وكلمة المرور لذلك‬
‫الجهاز؟ مع عدم توفر طريقة للنسخ االحتياطي خاصة بالمصادقة‪ ،‬يصبح استعادة كلمة المرور‬
‫هو الخيار الوحيد‪.‬‬

‫الحل األفضل هو أن تكون جميع األجهزة تشير إلى نفس قاعدة البيانات من أسماء المستخدمين‬
‫وكلمات المرور من الخادم المركزي‪ .‬هذه الوحدة سوف تستكشف الطرق المختلفة لتأمين الوصول‬
‫للشبكة باستخدام بروتوكول المصادقة والتصريح والتدقيق (‪ )AAA‬لتأمين أجهزة توجيه سيسكو‪.‬‬

‫‪6‬‬
 ‫‪ 3.1.1.2‬مكونات ‪AAA‬‬

‫مكونات ‪AAA‬‬

‫خدمات أمن الشبكات ‪ AAA‬توفر إطار العمل األولي لضبط التحكم بالوصول الى جهاز الشبكة‪.‬‬
‫‪ AAA‬هو وسيلة للتحكم بمن يتم السماح له بالوصول الى الشبكة (مصادقة)‪ ،‬وما الذي يستطيعون‬
‫القيام به أثناء وجودهم داخل الشبكة (اإلذن)‪ ،‬ولتدقيق ومراجعة اإلجراءات التي يؤدونها أثناء‬
‫الوصول إلى الشبكة (التدقيق)‬

‫بروتوكول األمن ‪ AAA‬االداري والشبكة في بيئة سيسكو تملك ثالثة عناصر وظيفية‪:‬‬
‫‪ ‬المصادقة ‪ – Authentication‬المستخدمون والمدراء يجب أن يثبتوا بأنهم هم‬
‫األشخاص الذين يريدون الوصول للشبكة وليسوا آخرين‪ .‬المصادقة يمكن أن تبدأ باستخدام‬
‫مزيج من اسم المستخدم وكلمة المرور‪ ،‬أسئلة التحدي واالستجابة‪ ،‬بطاقات الرموز‪،‬‬
‫وطرق أخرى‪ .‬على سبيل المثال‪" :‬انا المستخدم ’‪ ‘student‬وأنا اعرف كلمة المرور‬
‫التي تثبت ذلك"‪.‬‬
‫‪ ‬التصريح ‪ – Authorization‬بعد أن تتم المصادقة‪ ،‬خدمات التصريح تحدد ما هي‬
‫الموارد التي يستطيع المستخدم الوصول لها وما هي العمليات المسموح للمستخدم بعملها‪.‬‬
‫كمثال على ذلك "المستخدم ’‪ ‘student‬يستطيع الوصول للمضيف ‪serverXYZ‬‬
‫باستخدام ‪ SSH‬فقط"‪.‬‬
‫‪ ‬التدقيق والمراجعة ‪ – Accounting and auditing‬التدقيق يسجل ما يقوم به‬
‫المستخدم‪ ،‬بما في ذلك ما تم الوصول إليه‪ ،‬مقدار الوقت للوصول الى المورد‪ ،‬وماهي‬
‫التغيرات التي تم عملها‪ ،‬التدقيق يقوم بتتبع كيف يتم استخدام مصادر الشبكة‪ .‬وكمثال‬
‫على ذلك " المستخدم '‪ 'student‬قام بالدخول على المضيف ‪ serverXYZ‬باستخدام‬
‫‪ SSH‬لمدة ‪ 15‬دقيقة"‪.‬‬

‫هذا المفهوم هو مشابه الستخدام بطاقة‬

‫االئتمان كما يتضح من الشكل‪ .‬بطاقة‬
‫االئتمان تحدد من الذي يمكنه استخدام‬
‫البطاقة‪ ،‬ما هو مقدار الصرف الذي يستطيع‬
‫المستخدم أن يصرفه‪ ،‬ويقوم بتدقيق ما هي‬
‫العناصر أو الخدمات التي تم شراؤها من قبل‬
‫المستخدم‪.‬‬

‫‪7‬‬
 ‫‪ 3.1.2‬خصائص ‪AAA‬‬
‫‪ 3.1.2.1‬أوضاع المصادقة‬

‫أوضاع المصادقة‬

‫مصادقة ‪ AAA‬يمكن استخدامها لمصادقة الوصول االداري للمستخدمين أو يمكن استخدامها‬

‫لمصادقة وصول المستخدمين الى الشبكة البعيدة‪ .‬سيسكو توفر طريقتين شائعتين لتنفيذ خدمات‬
‫‪ AAA‬هما‪:‬‬
‫‪ ‬مصادقة ‪ AAA‬المحلية ‪ AAA – Local AAA Authentication‬المحلية تستخدم‬
‫قاعدة بيانات محلية للمصادقة‪ .‬هذه الطريقة تعرف أحيانا باسم المصادقة المضمنة ذاتيا‬
‫‪ .self-contained authentication‬في هذا المقرر‪ ،‬سيتم اإلشارة اليه بمصادقة‬
‫‪ AAA‬المحلية‪ .‬هذه الطريقة تخزن‬
‫أسماء المستخدمين وكلمات المرور‬
‫محليا في موجه سيسكو‪ ،‬وستتم‬
‫مصادقة المستخدمين عن طريق‬
‫مقارنتها بقاعدة البيانات المحلية‪،‬‬
‫كما هو موضح في الشكل ‪ .1‬قاعدة‬
‫البيانات هذه هي نفسها المطلوبة من‬
‫أجل بدء سطر األوامر ‪Role-‬‬
‫‪ AAA .Based CLI‬المحلية هي‬
‫الطريقة المثالية للشبكات الصغيرة‪.‬‬
‫‪ ‬المصادقة عبر خادم ‪ – (Server-Based AAA Authentication) AAA‬مع‬
‫الطريقة المعتمدة على الخادم‪ ،‬الموجه يصل الى خادم ‪ AAA‬المركزي‪ ،‬مثل نظام التحكم‬
‫بالوصول اآلمن من سيسكو (‪ )ASC‬لنظام التشغيل ويندوز ‪ ،Windows‬كما هو موضح‬
‫في الشكل ‪ .2‬خادم ‪ AAA‬المركزي يحتوي على أسماء المستخدمين وكلمات المرور‬
‫لجميع المستخدمين‪ .‬الموجه يستخدم‬
‫إما بروتوكول ‪ 1RADIUS‬أو‬
‫بروتوكول ‪ 2TACACS+‬لالتصال‬
‫بخادم ‪ .AAA‬عندما يكون هناك‬
‫العديد من الموجهات والمحوالت‪،‬‬
‫فإن خادم ‪ AAA‬هي الطريقة األكثر‬
‫مالءمة‪.‬‬

‫‪Remote Authentication Dial-In User Service 1‬‬

‫‪Terminal Access Controller Access Control System 2‬‬

‫‪8‬‬
‫مالحظة‪ :‬في هذا المقرر‪ ،‬التركيز سوف يكون على تطبيق أمن الشبكات مع ‪ IPv4‬على أجهزة‬
‫سيسكو من موجهات ‪ ،routers‬محوالت ‪ ،switches‬وأجهزة األمن ‪Adaptive Security‬‬
‫‪ .Appliances‬في بعض األحيان‪ ،‬ستتم اإلشارة إلى تقنيات وبروتوكوالت معينة من اإلصدار‬
‫‪IPv6‬‬

‫‪9‬‬
 ‫‪ 3.1.2.2‬التصريح ‪Authorization‬‬

‫التصريح ‪Authorization‬‬

‫بعد أن تتم المصادقة بنجاح على المستخدمين‬

‫مقارنة بمصدر بيانات ‪ AAA‬المختار‪ ،‬سواء‬
‫كان محلي ‪ local‬أو معتمد على الخادم‬
‫‪ ،server-based‬فإنه يتم تحديد أذونات‬
‫المستخدمين لموارد الشبكة المحددة‪ ،‬كما هو‬
‫موضح في الشكل‪ .‬التصريح في األساس هو‬
‫ماذا يمكن للمستخدمين عمله داخل الشبكة‬
‫وما ال يسمح لهم وذلك بعد أن تمم المصادقة‬
‫عليهم‪ .‬هذا مشابه لعمل مستويات االمتياز‬
‫ولسطر األوامر المستند على المهمة ‪ role-based CLI‬الذي يعطي المستخدمين حقوق وامتيازات‬
‫معينة ألوامر محددة على الموجه‬

‫التصريح عادة يتم تطبيقه باستخدام طريقة الحل ‪ AAA‬المستند لخادم (‪.)AAA server-based‬‬
‫التصريح يستخدم مجموعة من العناصر التي تصف وصول المستخدمين للشبكة‪ .‬هذه العناصر‬
‫تتم مقارنتها مع المعلومات المخزنة في قاعدة بيانات ‪ ،AAA‬ومع القيود المحددة لهذا المستخدم‬
‫والتي عملت من أجل الموجه المحلي الذي يتصل به المستخدم‪.‬‬

‫التصريح يكون تلقائي كما ال يتطلب من المستخدمين أي خطوات اضافية بعد المصادقة‪ .‬يتم‬
‫تطبيق التصريح مباشرة بعد المصادقة على المستخدم‬

‫‪10‬‬
 ‫‪ 3.1.2.3‬التدقيق ‪Accounting‬‬

‫التدقيق ‪Accounting‬‬

‫التدقيق ‪ AAA‬يقوم بجمع البيانات المستخدمة وإنشاء تقرير عنها‪ .‬هذه البيانات يمكن أن تستخدم‬
‫ألغراض عدة مثل تدقيق الحسابات أو اصدار الفواتير‪ .‬البيانات المجمعة قد تتضمن بداية ونهاية‬
‫االتصال‪ ،‬األوامر المنفذة‪ ،‬عدد حزم البيانات‪ ،‬وعدد البايتات‪.‬‬

‫التدقيق يتم تطبيقه باستخدام طريقة الحل ‪ AAA‬المستند لخادم (‪ .)AAA server-based‬هذه‬
‫الخدمة تقدم تقريرا عن احصائيات االستخدام بالرجوع الى خادم ‪ .AAA‬تلك االحصائيات يتم‬
‫استخراجها إلنشاء تقارير مفصلة حول تهيئة وإعدادات الشبكة‪.‬‬

‫احدى استخدامات التدقيق المنتشرة على‬

‫نطاق واسع هي الجمع بين التدقيق وبين‬
‫مصادقة ‪ .AAA‬هذا يساعد على ادارة‬
‫الوصول الى األجهزة الخاصة بالشبكة من‬
‫قبل الموظفين االداريين للشبكة‪ .‬التدقيق يوفر‬
‫المزيد من األمن أكثر من المصادقة فقط‪.‬‬
‫خوادم ‪ AAA‬تحتفظ بسجالت تفصيلية تسجل‬
‫بالضبط ماذا يعمل المستخدم الذي تمت‬
‫المصادقة عليه في الجهاز‪ ،‬كما هو موضح‬
‫في الشكل ‪ .1‬هذا يتضمن جميع أوامر ‪ EXEC‬وأوامر التهيئة الصادرة من قبل المستخدم‪ .‬السجل‬
‫يتضمن العديد من حقول البيانات بما في ذلك اسم المستخدم‪ ،‬التاريخ والوقت‪ ،‬واألوامر المدخلة‬
‫من قبل المستخدم‪ .‬هذه المعلومات مفيدة جدا في الكشف عن اخطاء األجهزة‪ .‬وهي أيضا توفر‬
‫النفوذ لمعرفة األفراد الذين يقومون بعمليات خبيثة‪.‬‬

‫هناك أنواع مختلفة من معلومات التدقيق التي يمكن جمعها‬

‫‪ ‬تدقيق الشبكة ‪ – Network Accounting‬تدقيق الشبكة يلتقط المعلومات لكافة جلسات‬

‫العمل لبروتوكول نقطة إلى نقطة (‪ ،)PPP‬بما في ذلك عدد الحزم والبايت‪.‬‬

‫‪ ‬تدقيق االتصال ‪ – Connection Accounting‬تدقيق االتصال يلتقط المعلومات حول‬

‫كل االتصاالت الصادرة والتي قام بها عميل ‪ ،AAA‬مثل ‪ Telnet‬أو ‪.SSH‬‬

‫‪11‬‬
‫‪ ‬تدقيق ‪ – EXEC‬تدقيق ‪ EXEC‬يلتقط المعلومات حول جلسات عمل محطة ‪ EXEC‬الخاصة‬
‫بالمستخدم (‪ (user shells‬على خادم الوصول الى الشبكة بما في ذلك اسم المستخدم‪،‬‬
‫التاريخ‪ ،‬وقت البدء واالنتهاء‪ ،‬وعنوان ‪ IP‬الخاص بخادم الوصول‪.‬‬

‫‪ ‬تدقيق النظام ‪ – System Accounting‬تدقيق النظام يلتقط المعلومات حول جميع‬

‫األحداث على مستوى النظام (على سبيل المثال‪ ،‬عند إعادة تشغيل النظام أو عند تشغيل‬
‫الحساب أو إيقاف تشغيله)‪.‬‬

‫‪ ‬تدقيق األوامر ‪ – Command Accounting‬تدقيق األوامر يلتقط المعلومات حول‬

‫أوامر الشل ‪ EXEC‬الخاصة بمستوى امتياز محدد الذي يتم تنفيذه على خادم الوصول‬
‫للشبكة‪ .‬كل سجل لتدقيق األوامر يتضمن قائمة األوامر المنفذة لمستوى االمتياز الحالي‪،‬‬
‫وكذلك تاريخ ووقت تنفيذ كل أمر‪ ،‬والمستخدم الذي قام بتنفيذه‪.‬‬

‫‪ ‬تدقيق الموارد ‪ – Recourse Accounting‬تدقيق ‪ AAA‬المطبق في سيسكو يلتقط‬

‫"بداية" و "نهاية" سجل الدعم الخاص للمكالمات التي تم تمريرها بعد مصادقة المستخدم‪.‬‬
‫هناك دعم أيضا للخاصية االضافية لتوليد سجالت التوقف لالتصاالت التي فشلت في‬
‫المصادقة كجزء من مصادقة المستخدم‪ .‬أيضا السجالت ضرورية للمستخدمين الذين‬
‫يقومون بتوظيفها إلدارة ومراقبة شبكاتهم‪.‬‬

‫‪12‬‬
 ‫‪ 3.1.2.4‬نشاط – التعرف على خصائص ‪AAA‬‬

‫‪13‬‬
 ‫‪ 3.2‬مصادقة ‪ AAA‬المحلية‬
‫‪ 3.2.1‬تهيئة مصادقة ‪ AAA‬المحلية مع سطر األوامر ‪CLI‬‬
‫‪ 3.2.1.1‬الوصول اإلداري للمصادقة ‪Authenticating Administrative Access‬‬

‫الوصول اإلداري للمصادقة ‪Authenticating Administrative Access‬‬

‫مصادقة ‪ AAA‬المحلية يجب أن يتم تهيئتها لتكون شبكات أصغر‪ .‬هذه الشبكات األصغر حجما‬
‫هي تلك الشبكات التي تملك واحد أو اثنين من أجهزة التوجيه التي توفر الوصول لعدد محدود من‬
‫المستخدمين‪ .‬هذه الطريقة تستخدم أسماء المستخدمين وكلمات المرور المحلية المخزنة في‬
‫الموجه‪ .‬مدير النظام مسؤول عن تعبئة قاعدة بيانات األمان المحلية باستخدام الملفات الشخصية‬
‫لكل مستخدم (تحتوي على اسم المستخدم وكلمة المرور) ممكن أي يسجل الدخول على الموجه‪.‬‬

‫طريقة مصادقة ‪ AAA‬المحلية تشبه استخدام األمر ‪ login local‬مع استثناء واحد‪ AAA .‬يوفر‬
‫أيضا وسيلة لتهيئة طرق نسخ احتياطية للمصادقة‪.‬‬

‫تهيئة خدمات ‪ AAA‬المحلية لمصادقة وصول المدير تتطلب القيام ببضع الخطوات األساسية‪:‬‬

‫الخطوة رقم ‪ .1‬إضافة أسماء المستخدمين‬

‫وكلمات المرور لقاعدة بيانات الموجه‬
‫المحلي للمستخدمين الذين يحتاجون إلى‬
‫الوصول اإلداري إلى جهاز التوجيه‪.‬‬
‫الخطوة رقم ‪ .2‬تفعيل ‪ AAA‬العام على جهاز‬
‫التوجيه‪.‬‬
‫الخطوة رقم ‪ .3‬اعداد معامالت ‪ AAA‬على‬
‫جهاز التوجيه‪.‬‬
‫الخطوة رقم ‪ .4‬التأكد من اعدادات ‪ AAA‬واكتشاف األخطاء واصالحها‪.‬‬

‫األمر ‪ aaa authentication login‬في الشكل المرفق يسمح للمستخدم ‪ ADMIN‬والمستخدم‬

‫‪ JR-ADMIN‬بتسجيل الدخول إلى الموجه عن طريق وحدة التحكم أو خطوط محطة ‪ .vty‬الكلمة‬
‫االفتراضية ‪ default‬تعني أن أسلوب المصادقة سيتم تطبيقها على جميع الخطوط‪ ،‬باستثناء تلك‬
‫التي يكون فيها تهيئة خط معين يتجاوز االعداد االفتراضي‪ .‬المصادقة هي حساسة لحالة األحرف‪،‬‬

‫‪14‬‬
‫يشار اليها بالكلمة ‪ local-case‬وهو ما يعني أن كال من كلمة المرور واسم المستخدم سيكون‬
‫حساسا لحالة األحرف‪.‬‬

‫‪15‬‬
 ‫‪ 3.2.1.2‬طرق المصادقة‬

‫طرق المصادقة‬

‫لتمكين ‪ ،AAA‬يجب أوال أن يتم اعداد أمر تهيئة عام ‪ .aaa new-model‬لتعطيل ‪ ،AAA‬يتم‬
‫استخدام الشكل ‪ no‬من أشكال هذا األمر‪.‬‬

‫مالحظة‪ :‬ال تتوفر أوامر ‪ AAA‬أخرى حتى يتم إدخال هذا األمر‪.‬‬

‫مالحظة‪ :‬من المهم معرفة أنه عندما تم ادخال ‪ aaa new-model‬ألول مرة‪ ،‬أن المصادقة‬
‫االفتراضية "‪ "default‬باستخدام قاعدة البيانات المحلية سيتم تطبيقها تلقائيا على جميع الخطوط‬
‫باستثناء وحدة التحكم‪ .‬لهذا السبب‪ ،‬دائما يتم تهيئة مدخالت قاعدة البيانات المحلية قبل تمكين‬
‫‪.AAA‬‬

‫‪aaa authentication‬‬ ‫يستخدم األمر‬

‫‪ login‬كما هو موضح في الشكل رقم ‪1‬‬
‫لتمكين المصادقة على وحدة التحكم‪،aux ،‬‬
‫وخطوط ‪ .vty‬الكلمة االفتراضية ‪default‬‬
‫تطبق المصادقة على جميع الخطوط‪ .‬بدال من‬
‫ذلك‪ ،‬يمكن استخدام ‪ list-name‬لتهيئة‬
‫أسلوب المصادقة المخصص‪.‬‬

‫الجزء األخير من األمر يحدد نوع الطريقة‬

‫التي سيتم االستعالم بها عن مصادقة‬
‫المستخدمين‪ .‬ويمكن تعريف ما يصل إلى‬
‫أربع طرق‪ ،‬تقوم بتوفير طرق احتياطية‬
‫حيث أن طريقة واحدة ال ينبغي أن تكون‬
‫متاحة‪ .‬الشكل ‪ 2‬يعرض الطرق الشائعة التي‬
‫يمكن أن يتم تحديدها‪ .‬عندما يحاول المستخدم‬
‫تسجيل الدخول‪ ،‬سيتم استخدام أول طريقة في‬
‫القائمة‪ .‬يحاول نظام ‪ IOS‬الخاص بسيسكو‬
‫القيام بالمصادقة مع طريقة المصادقة التالية في القائمة فقط عندما ال تكون هناك استجابة يحدث‬
‫خطأ من الطريقة السابقة‪ .‬إذا تم رفض وصول المستخدم من قبل طريقة المصادقة‪ ،‬فإن عملية‬
‫المصادقة ستتوقف ولن يتم تطبيق أي طريقة مصادقة أخرى‪.‬‬

‫‪16‬‬
‫لتمكين المصادقة المحلية باستخدام قاعدة بيانات محلية معدة مسبقا‪ ،‬تستخدم الطريقة ‪ local‬أو‬
‫‪ .local-case‬الفرق بين الخيارين هو أن الخيار ‪ local‬يقبل اسم المستخدم بغض النظر عن حالة‬
‫األحرف‪ ،‬في حين أن الخيار ‪ local-case‬حساس لحالة األحرف‪ .‬على سبيل المثال‪ ،‬إذا تمت‬
‫تهيئة مدخالت قاعدة البيانات المحلية مع اسم المستخدم ‪ ،ADMIN‬فإن الطريقة ‪ local‬سوف تقبل‬
‫المدخالت ‪ ،Admin ،ADMIN‬أو حتى ‪ .admin‬لمن إذا تم تحديد الطريقة ‪ ،local-case‬فإن‬
‫كلمة ‪ ADMIN‬هي المقبولة فقط‪.‬‬

‫تستخدم الكلمة ‪ enable‬لتحديد آلية المصادقة على المستخدم بتمكين كلمة المرور‪ .‬لضمان أن‬
‫المصادقة ستنجح حتى لو كانت كل الطرق ترجع رسالة خطأ‪ ،‬يتم تحديد ‪ none‬كآخر طريقة‪.‬‬

‫مالحظة‪ :‬ألغراض أمنية‪ ،‬تستخدم كلمة ‪ none‬فقط أثناء اختبار تهيئة ‪ .AAA‬وال ينبغي أبدا أن‬
‫تطبق على الشبكة الفعلية‪.‬‬

‫‪17‬‬
 ‫‪ 3.2.1.3‬الطرق االفتراضية والمحددة ‪Default and Named Methods‬‬

‫الطرق االفتراضية والمحددة ‪Default and Named Methods‬‬

‫لمزيد من المرونة‪ ،‬هناك العديد من القوائم الطرق المختلفة التي يمكن تطبيقها على الواجهات‬
‫والخطوط المختلفة وذلك باستخدام األمر ‪.aaa authentication login list-name‬‬

‫على سبيل المثال‪ ،‬يمكن للمدير أن يقوم‬

‫بتسجيل الدخول بشكل خاص من خالل ‪SSH‬‬
‫ثم يستخدم طريقة تسجيل الدخول االفتراضية‬
‫الخاصة بخط وحدة التحكم‪ ،‬كما يظهر في‬
‫الصورة‪ .‬في هذا المثال‪ ،‬الخط ‪ vty‬سوف‬
‫يستخدم فقط قاعدة البيانات المحلية‬
‫للمصادقة‪ .‬أما الخطوط األخرى (مثل‪ ،‬وحدة‬
‫التحكم وخطوط ‪ )aux‬سوف تستخدم قاعدة‬
‫البيانات المحلية وتستخدم تمكين ‪enable‬‬
‫كلمة المرور كوسيلة للتراجع إذا لم تكن هناك بيانات مدخلة داخل قاعدة البيانات على الجهاز‪.‬‬

‫الحظ أن القائمة المحددة البد أن يتم تمكينها بشكل صريح على الخط من قبل أمر تهيئة الخط‬
‫‪ .login authentication‬إذا كان الخط يملك قائمة مخصصة بطريقة المصادقة المطبقة عليه‪،‬‬
‫فإن قائمة الطريقة تلك ستتجاوز قائمة الطريقة االفتراضية ‪ default‬لتلك الواجهة‪.‬‬

‫عندما يتم تطبيق قائمة طريقة المصادقة المخصصة على الواجهة‪ ،‬فمن الممكن أن تتم العودة إلى‬
‫قائمة الطريقة االفتراضية باستخدام األمر ‪.no authentication login‬‬

‫‪18‬‬
 ‫‪ 3.2.1.4‬تهيئة المصادقة بشكل دقيق ‪Fine-Tuning the Authentication Configuration‬‬

‫تهيئة المصادقة بشكل دقيق ‪Fine-Tuning the Authentication Configuration‬‬

‫هناك إجراءات أمنية إضافية يمكن تطبيقها‬

‫على الخط باستخدام أمر وضع التهيئة العام‬
‫‪aaa local authentication attempts‬‬
‫‪ ،max-fail‬كما في الصورة رقم ‪ .1‬هذا‬
‫األمر يقوم بتأمين حسابات مستخدم ‪ AAA‬من‬
‫خالل قفل (إيقاف) الحسابات التي قامت‬
‫بالعديد من المحاوالت الخاطئة‪.‬‬

‫على عكس األمر ‪ login delay‬الذي يستحدث التأخير بين محاوالت الدخول الفاشلة دون أن‬
‫يقفل الحساب‪ ،‬فإن األمر ‪ aaa local authentication attempts max-fail‬يقوم بقفل حساب‬
‫المستخدم إذا فشلت المصادقة‪ .‬حساب المستخدم المقفل يبقى مقفال حتى يتم مسحه يدويا من قبل‬
‫مدير النظام وذلك باستخدام األمر ‪ clear aaa local user lockout‬في وضع االمتياز ‪.EXEC‬‬

‫لعرض قائمة بجميع المستخدمين المقفلة‬

‫حساباتهم‪ ،‬يتم استخدام األمر ‪show aaa‬‬
‫‪ local user lockout‬في وضع االمتياز‬
‫‪ ،EXEC‬كما هو مبين في الشكل ‪.2‬‬

‫عندما يقوم المستخدم بتسجيل الدخول لجهاز‬

‫توجيه سيسكو مستخدما بروتوكول ‪،AAA‬‬
‫فإن معرف المستخدم ‪ ID‬الفريد سوف يتم‬
‫تعيينه للمستخدم خالل جلسة العمل الخاصة به‪ .‬خالل مدة الجلسة‪ ،‬فإنه يتم جمع العديد من‬
‫الخصائص المختلفة التي لها عالقة بالجلسة وتخزينها داخليا في قاعدة البيانات ‪ .AAA‬هذه‬
‫الخصائص تتضمن العنوان ‪ IP‬الخاص بالمستخدم‪ ،‬البروتوكول المستخدم للوصول الى الموجه‬
‫(مثل ‪ ،)PPP‬سرعة االتصال‪ ،‬وعدد الحزم أو البايتات التي تم ارسالها واستقبالها‪.‬‬

‫لعرض الخصائص التي تم جمعها خالل جلسة ‪ AAA‬واحدة‪ ،‬يستخدم األمر ‪show aaa user‬‬
‫في وضع االمتياز ‪ .EXEC‬هذا األمر ال يوفر المعلومات لكافة المستخدمين الذين قاموا بتسجيل‬
‫الدخول إلى الجهاز‪ ،‬ولكن فقط ألولئك الذين تم المصادقة عليهم أو تم اعطاؤهم التصريح باستخدام‬
‫‪ ،AAA‬أو ألولئك الذين تم فتح جلسات العمل لحساباتهم باستخدام ‪.AAA‬‬

‫‪19‬‬
 ‫األمر ‪ show aaa sessions‬يستخدم‬
‫لعرض معرف المستخدمين الفريدة الخاصة‬
‫بالجلسة الحالية‪ ،‬كما هو موضح في الشكل رقم ‪3‬‬

‫‪20‬‬
 ‫‪ 3.2.2‬استكشاف أخطاء مصادقة ‪ AAA‬المحلية وإصالحها‬
‫‪ 3.2.2.1‬خيارات التصحيح ‪debug options‬‬

‫خيارات التصحيح ‪debug options‬‬

‫أجهزة التوجيه من سيسكو تتضمن أوامر‬

‫‪ debug‬وهي أوامر مفيدة الكتشاف أخطاء‬
‫المصادقة وإصالحها‪ .‬وكما في الشكل‬
‫المرفق‪ ،‬األمر ‪ debug aaa‬تتضمن العديد‬
‫من الكلمات الرئيسة التي يمكن استخدامها‬
‫لهذا الغرض مع مالحظة أن األمر ‪debug‬‬
‫‪ aaa authentication‬له أهمية خاصة‪.‬‬

‫من المهام تحليل مخرجات أمر التصحيح ‪ debug‬عندما يكون كل شيء يعمل بشكل صحيح‪.‬‬
‫معرفة كيف يتم عرض مخرجات أمر التصحيح ‪ debug‬عندما يكون كل شيء يعمل بشكل‬
‫صحيح يساعد على تحديد المشاكل عندما ال تعمل األشياء بشكل صحيح‪ .‬يجب توخي الحذر عند‬
‫استخدام أي من أوامر التصحيح ‪ debug‬في بيئة اإلنتاج بسبب أن هذه األوامر سيتم تفسيرها‬
‫باستخدام مستوى التحكم؛ وبالتالي‪ ،‬فإنها تضع حمل ملحوظ على موارد الموجهات ويمكن أن‬
‫تؤثر سلبا على أداء الشبكة‪.‬‬

‫‪21‬‬
 ‫‪ 3.2.2.2‬تصحيح مصادقة ‪AAA‬‬

‫تصحيح مصادقة ‪AAA‬‬

‫األمر ‪debug aaa authentication‬‬

‫يعتبر فعاال الكتشاف مشاكل ‪ ،AAA‬كما هو‬
‫مبين في الشكل ‪.1‬‬

‫يتم التركيز على وجه التحديد على رسائل‬

‫الحالة ‪ GETUSER‬و ‪ .GETUSER‬هذه‬
‫الرسائل قد تكون مفيدة عند تحديد القائمة‬
‫للطريقة التي سوف يتم الرجوع اليها‪ .‬في هذا‬
‫المثال‪ ،‬تم استخدام طريقة قاعدة البيانات المحلية‪ .‬حالة تسجيل الدخول تتم االشارة اليها باستخدام‬
‫رسالة ‪ ،PASS‬وهذا يعني أن تسجيل الدخول تم بنجاح‬

‫مالحظة‪ :‬لتعطيل هذا األمر‪ ،‬يستخدم األمر‬

‫‪ no debug aaa authentication‬أو‬
‫األمر ‪.undebug all‬‬

‫يستخدم مدقق بناء الجملة في الشكل ‪ 2‬لتهيئة‬

‫اعدادات مصادقة ‪ AAA‬المحلية والتحقق‬
‫منها على ‪.R1‬‬

‫‪22‬‬
 ‫‪ 3.3‬خادم ‪(Server-Based AAA) AAA‬‬
‫‪ 3.3.1‬خصائص خادم ‪(Server-Based AAA Characteristics) AAA‬‬
‫‪ 3.3.1.1‬مقارنة تطبيق ‪ AAA‬المحلية وتطبيق خادم ‪AAA‬‬

‫مقارنة تطبيق ‪ AAA‬المحلية وتطبيق خادم ‪AAA‬‬

‫التطبيقات المحلية من ‪ AAA‬مقبولة في الشبكات الصغيرة جدا‪ .‬ومع ذلك‪ ،‬المصادقة المحلية ال‬
‫تعد مقياس جيد‪.‬‬

‫معظم بيئات الشركات لديها موجهات‪ ،‬محوالت‪ ،‬وأجهزة البنية التحتية األخرى من سيسكو‪ .‬كم‬
‫يوجد لديها العديد من مدراء التوجيه‪ ،‬ومئات أو آالف من المستخدمين الذين يحتاجون إلى الوصول‬
‫إلى الشبكة المحلية للشركة‪ .‬الحفاظ على قاعدة البيانات المحلية على كل جهاز لهذا الحجم من‬
‫الشبكة ليس عمليا‪.‬‬

‫لمواجهة هذا التحدي‪ ،‬خادم أو أكثر من‬

‫خوادم ‪ ،AAA‬مثل ‪،Cisco Secure ACS‬‬
‫يمكن أن يستخدم إلدارة احتياجات‬
‫المستخدمين والوصول اإلداري لشبكة‬
‫الشركة بأكملها‪ .‬خادم ‪Cisco Secure ACS‬‬
‫يستطيع انشاء مستخدم مركزي وقاعدة‬
‫بيانات الوصول اإلداري لتحديد كل األجهزة‬
‫في الشبكة التي يمكن الرجوع اليها‪ .‬وهو‬
‫أيضا يستطيع العمل مع قواعد بيانات‬
‫خارجية‪ ،‬بما في ذلك الدليل النشط ‪ Active Directory‬باإلضافة الى ‪Lightweight‬‬
‫)‪ .Directory Access Protocol (LDAP‬قواعد البيانات هذه تخزن حسابات المستخدمين‬
‫وكلمات المرور الخاصة بهم‪ ،‬كما تسمح باإلدارة المركزية لحسابات المستخدمين‪ .‬ولزيادة‬
‫التكرار‪ ،‬يمكن تطبيق العديد من الخوادم كما يوضح الشكل‪.‬‬

‫‪23‬‬
 ‫‪ 3.3.1.2‬تقديم )‪Cisco Secure Access Control System (ACS‬‬

‫تقديم )‪Cisco Secure Access Control System (ACS‬‬

‫نظام التحكم في الوصول اآلمن من سيسكو (‪ )ACS‬هو الحل المركزي الذي يقوم بربط سياسة‬
‫الوصول للشبكة الخاص بالمؤسسة واستراتيجية مطابقة الهوية‪.‬‬

‫عائلة ‪ Cisco ACS‬من المنتجات تشمل تدرجية عالية‪ ،‬خوادم تحكم بالوصول عالية األداء‪ .‬تلك‬
‫الخوادم يمكن االستعانة بها لمراقبة وصول المدير واعدادات التهيئة لجميع أجهزة الشبكة في‬
‫الشبكة التي تدعم ‪ RADIUS‬أو ‪ TACACS+‬أو كليهما‪.‬‬

‫تدعم ‪ Cisco Secure ACS‬كال من‬

‫وبروتوكول‬ ‫‪TACACS+‬‬ ‫بروتوكول‬
‫‪ ،RADIUS‬كما هو موضح في الشكل‪.‬‬
‫وبروتوكول‬ ‫‪TACACS+‬‬ ‫بروتوكول‬
‫‪ RADIUS‬هما أكثر البروتوكوالت السائدة‬
‫والتي تستخدم من قبل أجهزة أمان وموجهات‬
‫ومحوالت سيسكو ليتم تطبيق ‪.AAA‬‬

‫‪24‬‬
 ‫‪ 3.3.2‬بروتوكوالت االتصاالت خادم ‪)Server-Based AAA Communications Protocols( AAA‬‬
‫‪ 3.3.2.1‬تقديم ‪TACACS+ and RADIUS‬‬

‫تقديم ‪TACACS+ and RADIUS‬‬

‫وبروتوكول‬ ‫‪TACACS+‬‬ ‫بروتوكول‬

‫‪ RADIUS‬كالهما بروتوكوالت المصادقة‬
‫التي تستخدم لالتصال مع خوادم ‪ .AAA‬كما‬
‫هو مبين في الشكل‪ ،‬كل واحد منهما يدعم‬
‫قدرات ووظائف مختلفة‪ .‬يتم اختيار‬
‫‪ TACACS+‬أو ‪ RADIUS‬بالتصريح على‬
‫احتياجات المنظمة‪ .‬على سبيل المثال‪ ،‬مزود‬
‫خدمة االنترنت )‪ (ISP‬الكبير يمكن أن يختار‬
‫بروتوكول ‪ RADIUS‬وذلك ألنه يدعم التدقيق التفصيلي الالزم إلصدار فواتير المستخدمين‪.‬‬
‫والمنظمة التي تملك مجموعات مختلفة من المستخدمين يمكن أن تختار بروتوكول ‪TACACS+‬‬
‫ألنه يتطلب سياسات اعتماد يتم تطبيقها كقاعدة لكل مستخدم أو لكل مجموعة‪.‬‬

‫من المهم جدا فهم االختالفات العديدة بين بروتوكول ‪ TACACS+‬وبروتوكول ‪RADIUS‬‬
‫‪ ‬هنالك ثالثة عوامل حاسمة لبروتوكول ‪ TACACS+‬وهي‪:‬‬
‫‪ ‬فصل المصادقة عن التصريح‪.‬‬
‫‪ ‬تشفير جميع االتصاالت‪.‬‬
‫‪ ‬استخدام منفذ ‪ TCP‬رقم ‪.49‬‬

‫‪ ‬بينما هنالك أربعة عوامل حاسمة لبروتوكول ‪ RADIUS‬وهي‪:‬‬

‫‪ ‬الجمع بين المصادقة والتصريح كعملية واحدة‪.‬‬
‫‪ ‬تشفير فقط كلمة المرور‪.‬‬
‫‪ ‬استخدام ‪.UTP‬‬
‫‪ ‬دعم كل من تقنيات الوصول عن بعد‪ ،802.1X ،‬وبروتوكول بدء الجلسة )‪.(SIP‬‬

‫بينما كال البروتوكولين ممكن استخدامهما للقيام بعملية االتصال بين الموجه وخوادم ‪ ،AAA‬فإن‬
‫بروتوكول ‪ TACACS+‬يعد األكثر أمانا‪ .‬وذلك ألنه يتم تشفير كل عمليات التبادل لبروتوكول‬
‫‪ .TACACS+‬بروتوكول ‪ RADIUS‬ال يشفر أسماء المستخدمين‪ ،‬معلومات الحساب‪ ،‬أو أي‬
‫معلومات أخرى تم نقلها في رسالة ‪.RADIUS‬‬

‫‪25‬‬
 ‫‪ 3.3.2.2‬مصادقة ‪)TACACS+ Authentication( TACACS+‬‬

‫مصادقة ‪)TACACS+ Authentication( TACACS+‬‬

‫بروتوكول ‪ TACACS+‬هو تحسين من سيسكو لبروتوكول ‪ TACACS‬األصلي‪ .‬بالرغم من أن‬

‫لهما نفس االسم‪ ،‬إال أن بروتوكول ‪ TACACS+‬هو بروتوكول جديد تماما وغير متوافق مع أي‬
‫نسخة سابقة من بروتوكول ‪ .TACACS‬يتم دعم بروتوكول ‪ TACACS+‬من قبل عائلة سيسكو من‬
‫الموجهات وخوادم الوصول‪.‬‬

‫بروتوكول ‪ TACACS+‬يوفر خدمات ‪ AAA‬بشكل منفصل‪ .‬هذا الفصل للخدمات يوفر المرونة في‬
‫التطبيق وذلك ألنه من المحتمل أن يتم استخدام بروتوكول ‪ TACACS+‬للمصادقة والتدقيق بينما‬
‫يتم استخدام وسيلة أخرى للتصاريح‪.‬‬

‫ملحقات بروتوكول ‪ TACACS+‬توفر أنواع من طلبات المصادقة ومن رموز االستجابة أكثر من‬
‫مواصفات بروتوكول ‪ TACACS‬األصلي‪ .‬بروتوكول ‪ TACACS+‬يقدم الدعم للعديد من‬
‫البروتوكوالت‪ ،‬مثل بروتوكول االنترنت ‪ IP‬وبروتوكول ‪ AppleTalk‬القديم‪ .‬العملية العادية‬
‫لبروتوكول ‪ TACACS+‬هي تشفير كل محتويات الحزمة للحصول على اتصاالت آمنة‪ ،‬واستخدام‬
‫منفذ ‪ TCP‬رقم ‪ .49‬الشكل التالي يوضح عملية مصادقة ‪TACACS+‬‬

‫‪26‬‬
 ‫‪ 3.3.2.3‬مصادقة ‪)RADIUS Authentication( RADIUS‬‬

‫مصادقة ‪RADIUS‬‬

‫بروتوكول ‪ ،RADIUS‬الذي طور من قبل شركة ‪ ،Livingston‬هو بروتوكول ‪ AAA‬القياسي‬

‫المفتوح المصدر من ‪ 3IETF‬يستخدم للتطبيقات مثل الوصول الى الشبكة أو بروتوكول االنترنت‬
‫‪ IP‬المتنقل‪ .‬بروتوكول ‪ RADIUS‬يعمل في الوضع المحلي ووضع الوصول عن بعد ويستخدم‬
‫‪4‬‬
‫عادة لألغراض المحاسبية‪ .‬ويتم تعريف بروتوكول ‪ RADIUS‬بواسطة طلب التعليقات ‪RFCs‬‬
‫رقم ‪ ،3162 ،2868 ،2867 ،2866 ،2865‬و ‪.6911‬‬

‫بروتوكول ‪ RADIUS‬يقوم بإخفاء كلمات المرور خالل عملية النقل‪ ،‬حتى مع وجود بروتوكول‬
‫مصادقة كلمات المرور (‪ ،)5PAP‬باستخدام عملية معقدة نوعا ما والتي تحتوي على طريقة التشفير‬
‫‪ .6MD5‬بينما يتم ارسال بقية الحزمة في نص عادي‪.‬‬

‫بروتوكول ‪ RADIUS‬يجمع بين التوثيق والتصريح في عملية واحدة‪ .‬عندما تتم المصادقة على‬
‫المستخدم‪ ،‬فإن المستخدم أيضا يحصل على التصريح‪ .‬بروتوكول ‪ RADIUS‬يستخدم منفذ ‪UDP‬‬
‫رقم ‪ 1645‬أو رقم ‪ 1812‬للمصادقة ومنفذ ‪ UDP‬رقم ‪ 1646‬أو رقم ‪ 1813‬للتدقيق‪.‬‬

‫بروتوكول ‪ RADIUS‬يستخدم بشكل واسع من قبل مزودي خدمة الصوت عبر بروتوكول‬
‫االنترنت ‪ .VoIP‬كما يقوم بروتوكول ‪ RADIUS‬بتصريح تسجيل الدخول من نقطة انتهاء بروتكول‬
‫بدء الجلسة ‪ ،7SIP‬مثل الهاتف ذو النطاق العريض‪ ،‬الى مسجل ‪ SIP‬باستخدام مصادقة التشفير‬
‫الكلي‪ ،‬ومن ثم الى خادم ‪ RADIUS‬باستخدام بروتوكول ‪ .RADIUS‬بروتوكول ‪ RADIUS‬هو‬
‫أيضا بروتوكول المصادقة المشترك الذي يتم استخدامه وفق المعيار األمني ‪802.1X‬‬

‫مالحظة‪ :‬بديل بروتوكول ‪ RADIUS‬من الجيل القادم لبروتوكول ‪ AAA‬هو بروتوكول‬

‫‪ DIAMETER‬من نوع ‪ .AAA‬بروتوكول ‪ DIAMETER‬هو بروتوكول قياسي من ‪ IETF‬الذي‬
‫يستخدم بروتوكول النقل الجديد والمسمى بروتوكول النقل للتحكم بالتيار ‪ SCTP‬وبروتوكول ‪TCP‬‬
‫عوضا عن برتوكول ‪ .UDP‬للحصول عل المزيد من المعلومات حول االختالفات بين ‪RADIUS‬‬
‫وبين ‪ ،DIAMETER‬اضغط هنا‬

‫‪Internet Engineering Task Force 3‬‬

‫‪Request for comments 4‬‬
‫‪Password Authentication Protocol 5‬‬
‫‪Message Digest 5 6‬‬
‫‪Session Initiation Protocol 7‬‬

‫‪27‬‬
 ‫الشكل التالي يوضح عملية مصادقة ‪RADIUS‬‬

‫‪28‬‬
 ‫‪ 3.3.2.4‬تكامل ‪ TACACS+‬مع ‪)Integration of TACACS+ and ACS( ACS‬‬

‫تكامل ‪ TACACS+‬مع ‪ACS‬‬

‫العديد من خوادم المصادقة على مستوى‬

‫المؤسسة موجودة في األسواق اليوم‪ ،‬لكنها‬
‫تفتقر للقدرة على دمج كل من بروتوكول‬
‫‪ TACACS+‬وبروتوكول ‪ RADIUS‬في حل‬
‫واحد‪ .‬ولحسن الحظ فإن نظام التحكم في‬
‫الوصول اآلمن من سيسكو (‪)ACS‬‬
‫والمخصص لخادم ويندوز ( ‪Cisco‬‬
‫‪)Secure ACS for Windows Server‬‬
‫هو الحل الوحيد الذي يوفر بروتوكول ‪AAA‬‬
‫لكل من ‪ TACACS+‬و ‪ RADIUS‬كما يوضح الشكل المرفق‬

‫النسخة ‪ 5.6‬من ‪ Cisco Secure ACS‬هي منصة للتحكم بالوصول تعتمد على سياسة متطورة‬
‫للغاية‪ .‬وفيما يلي بعض من خصائصها‪:‬‬

‫تمتلك أسلوب بناء موزع خاص بالمنظمات متوسطة الحجم وكبيرة الحجم‬ ‫‪‬‬

‫تمتلك واجهة مستخدم رسومية ‪ GUI‬تعتمد على تقنية الويب ‪ ،web-based‬يمكن‬ ‫‪‬‬
‫الوصول اليها من قبل عميل ‪ IPv4‬وعميل ‪.IPv6‬‬

‫تمتلك مصادقة المدير من خالل ‪ Microsoft Active Directory‬أو ‪Lightweight‬‬ ‫‪‬‬

‫)‪.Directory Access Protocol (LDAP‬‬

‫تمتلك تقارير مجدولة (آلية) ترسل من خالل البريد االلكتروني‬ ‫‪‬‬

‫تمتلك نظام متقدم ومتطور قادر على المراقبة‪ ،‬واإلبالغ‪ ،‬وحل المشاكل من أجل الحصول‬ ‫‪‬‬
‫على رؤية واضحة وتحكم ممتاز‪ .‬يتم ذلك باستخدام رسائل ‪ 8SNMP‬للتأكد من حالة‬
‫‪.Cisco Secure ACS‬‬

‫تمتلك سجالت نظام (‪ )syslogs‬مشفرة (آمنة)‪.‬‬ ‫‪‬‬

‫‪ 8‬بروتوكول إدارة الشبكة البسيط ‪Simple Network Management Protocol‬‬

‫‪29‬‬
‫تمتلك إدارة لألجهزة مرنة ودقيقة سواء في شبكات ‪ IPv4‬أو ‪ ،IPv6‬تأتي مع مقدرة عالية‬ ‫‪‬‬
‫على التدقيق الكامل واالبالغ على النحو المطلوب لالمتثال للمعايير‪.‬‬

‫‪30‬‬
 ‫‪ 3.3.2.5‬تكامل ‪ AAA‬مع ‪)Integration of AAA with Active Directory( Active Directory‬‬

‫تكامل ‪ AAA‬مع ‪Active Directory‬‬

‫الدليل النشط من مايكروسوفت )‪ Microsoft Active Directory (AD‬هو خدمة الدليل لشبكات‬
‫مجال ‪ ،Windows‬وهو جزء من معظم أنظمة التشغيل لخوادم ويندوز (‪.)Windows Server‬‬
‫وحدة التحكم بالمجال ‪ AD‬يتم استخدامها لفرض سياسات األمان من خالل المصادقة والتصريح‬
‫للمستخدمين عند تسجيل الدخول الى مجال ‪ .Windows‬مايكروسوفت ‪ AD‬يمكن أن يتم‬
‫استخدامها أيضا للتعامل مع المصادقة والتصريح على نظام التشغيل ‪ IOS‬الخاص بأجهزة سيسكو‬

‫بالرغم من أن ‪ Cisco Secure ACS‬يمكن أن تكون متكاملة مع ‪ AD‬لكي تستفيد من خدمات‬

‫‪ ،AD‬فإنه يمكن أيضا تهيئة خادم ‪ Microsoft Windows‬ليعمل كخادم ‪ .AAA‬يتم تطبيق‬
‫‪ Microsoft‬كخادم ‪ AAA‬باستخدام بروتوكول ‪ RADIUS‬وهو ما يعرف بالمصطلح خدمة‬
‫مصادقة االنترنت )‪ .Internet Authentication Service (IAS‬ومع ذلك‪ ،‬فإنه ابتداء من‬
‫ويندوز سيرفر ‪ ،2008‬تم إعادة تسمية ‪ IAS‬الى خادم سياسة الشبكة ‪Network Policy Server‬‬
‫)‪.(NPS‬‬

‫التهيئة لنظام التشغيل ‪ Cisco IOS‬هو مشابه‬

‫لالتصال مع أي خادم ‪ .RADIUS‬الفرق‬
‫الوحيد بينهما هو استخدام وحدة تحكم ‪AD‬‬
‫الخاص بخادم مايكروسوفت للقيام بأداء‬
‫خدمات المصادقة والتصريح‪ .‬سيتم تغطية‬
‫تهيئة كل من ‪ RADIUS‬و ‪ TACACS+‬الحقا‬
‫في هذه الوحدة‪.‬‬

‫‪31‬‬
 ‫‪ 3.3.2.6‬تكامل ‪ AAA‬مع ‪)Integration of AAA with Identity Service Engine( ISE‬‬

‫تكامل ‪ AAA‬مع )‪Identity Service Engine (ISE‬‬

‫محرك خدمات الهوية من سيسكو (‪ )ISE‬هو منصة سياسة لتحديد (الهوية) والتحكم بالوصول التي‬
‫تمكن الشركات من فرض التوافق‪ ،‬تحسين أمان البنية التحتية‪ ،‬وتبسيط عمليات الخدمة‪ .‬أسلوب‬
‫بناء ‪ Cisco ISE‬يسمح للشركات بجمع المعلومات الوقت الحقيقي عن الشبكات‪ ،‬المستخدمين‪،‬‬
‫واألجهزة‪ .‬بعد ذلك‪ ،‬يستطيع المدير استخدام تلك المعلومات لصنع قرارات تنظيمية فاعلة من‬
‫خالل ربط الهوية بعناصر الشبكة المختلفة‪ .‬عناصر الشبكة تلك تتضمن محوالت الوصول‪ ،‬وحدة‬
‫التحكم بالشبكات المحلية الالسلكية (‪ ،)9WLCs‬الشبكات االفتراضية الخاصة (‪،)10VPNs‬‬
‫البوابات (‪ ،)gateways‬ومحوالت مركز البيانات‪.‬‬

‫‪( 11BYOD‬احضر جهازك معك) أصبح أكثر شيوعا وحتى ضروريا في العديد من المؤسسات‪.‬‬
‫تقوم ‪ Cisco ISE‬بتعريف سياسات الوصول العادل وتقوم بفرض االمتثال على جميع األجهزة‬
‫الطرفية بما في ذلك ‪.BYOD‬‬

‫يعتبر سيسكو ‪ ISE‬هو مكون السياسة األمنية الرئيسي لسيسكو ‪ TrustSec‬ويعتبر أيضا تقنية‬
‫سيسكو التي تحمي األصول مثل البيانات‪ ،‬التطبيقات‪ ،‬واألجهزة المتنقلة من الوصول الغير مصرح‬
‫به (الغير معتمد)‪ .‬سيسكو ‪ ISE‬يجمع بين تعريف السياسة األمنية‪ ،‬التحكم بتطبيقها‪ ،‬واعداد التقارير‬
‫عن الجهاز الواحد‪ .‬تعمل ‪ ISE‬مع البنية التحتية للشبكة الحالية لتزود مدراء الشبكة بالمعلومات‬
‫عن األجهزة الطرفية (تعرف أيضا نقاط النهاية) التي ترتبط بالشبكة‪.‬‬

‫هناك أربع خصائص لمجموعة أدوات ‪ ISE‬وهي‪:‬‬

‫ملف تعريف الجهاز ‪ – Device profiling‬يمكن أن يستخدم لتحديد ما إذا كان الجهاز‬ ‫‪‬‬
‫شخصي أو للشركة‪.‬‬

‫تقييم الموقف ‪ – Posture assessment‬يتم تحديد ما إذا كان الجهاز نظيف من‬ ‫‪‬‬
‫الفيروسات والتطبيقات المشبوهة قبل الدخول إلى الشبكة‪ .‬تقييم الموقف يقوم أيضا بالتأكد‬
‫من أن برامج مكافحة الفيروسات تم تحديثه‪.‬‬

‫‪wireless LAN controllers 9‬‬

‫‪Virtual Private Network 10‬‬
‫‪Bring Your Own Device 11‬‬

‫‪32‬‬
‫إدارة الضيوف ‪ – Guest management‬يتم منح وفرض الوصول المؤقت‬ ‫‪‬‬
‫للمستخدمين الضيوف‪.‬‬

‫‪ - AAA‬يجمع بين المصادقة‪ ،‬التصريح‪ ،‬والتدقيق‪ ،‬في جهاز واحد مع ملف تعريف‬ ‫‪‬‬
‫الجهاز‪ ،‬تقييم الموقف‪ ،‬والقدرة على إدارة الضيافة‪.‬‬

‫المهمة األساسية لسيسكو ‪ ISE‬هي الوصول الى الشبكة على أساس الهوية‪ ISE .‬يوفر إدارة الهوية‬
‫عبر سياق معلوم‪:‬‬
‫تحديد ما إذا كان المستخدمون يستطيعون الوصول للشبكة عبر جهاز معتمد ومتوافق مع‬ ‫‪‬‬
‫السياسة األمنية‪.‬‬

‫إنشاء هوية‪ ،‬الموقع‪ ،‬وتاريخ الوصول للمستخدم‪ ،‬والتي يمكن استخدامها للتوافق وانشاء‬ ‫‪‬‬
‫التقارير‪.‬‬

‫تعيين الخدمات للمستخدم استنادا إلى دور المسند للمستخدم‪ ،‬المجموعة‪ ،‬والسياسات‬ ‫‪‬‬
‫المرتبطة بها (الدور الوظيفي‪ ،‬الموقع‪ ،‬نوع الجهاز‪ ،‬وما إلى ذلك)‪.‬‬

‫منح المستخدمين المصادق عليهم الوصول إلى قطاعات محددة من الشبكة‪ ،‬أو تطبيقات‬ ‫‪‬‬
‫وخدمات محددة‪ ،‬أو كليهما‪ ،‬وذلك بناء على نتائج المصادقة‪.‬‬

‫اضغط زر التشغيل على الشكل المرفق‬

‫لعرض الفيديو الذي يشرح أساسيات ‪Cisco‬‬
‫‪.ISE‬‬

‫اضغط الرابط لقراءة النسخة النصية من‬

‫الفيديو المرفق‬

‫‪33‬‬
 ‫‪ 3.3.2.7‬نشاط – التعرف على بروتوكول ‪ AAA‬االتصاالت‬

‫نشاط – التعرف على بروتوكول ‪ AAA‬االتصاالت‬

‫‪34‬‬
 ‫‪ 3.4‬مصادقة خادم ‪)Server-Based AAA Authentication( AAA‬‬
‫‪ 3.4.1‬تهيئة خادم المصادقة )‪(Configuring Server-Based Authentication‬‬
‫‪ 3.4.1.1‬خطوات لتهيئة مصادقة خادم ‪Steps for Configuring Server-Based AAA ( AAA‬‬
‫‪)Authentication‬‬

‫خطوات لتهيئة مصادقة خادم ‪AAA‬‬

‫على خالف مصادقة ‪ AAA‬المحلية‪ ،‬خادم ‪ AAA‬يجب أن يقوم بتحديد خوادم ‪ TACACS+‬و‬
‫‪ RADIUS‬التي يجب أن يتم التعامل معها من قبل خدمة ‪ AAA‬عند المصادقة على المستخدمين‬
‫ومنحهم التصاريح‪.‬‬

‫هناك أربع خطوات أساسية لتهيئة خادم المصادقة كما هو موضح في الصورة‪:‬‬
‫‪ ‬الخطوة ‪ .1‬بشكل عام‪ ،‬تمكين ‪AAA‬‬
‫ليسمح باستخدام كل عناصر ‪.AAA‬‬
‫هذه الخطوة شرط أساسي لكل أوامر‬
‫‪ AAA‬األخرى‪.‬‬

‫‪ ‬الخطوة ‪ .2‬تحديد ‪Cisco Secure‬‬

‫‪ ACS‬التي ستوفر خدمات ‪AAA‬‬
‫للموجه‪ .‬هذا يمكن أن يكون خادم‬
‫‪ TACACS+‬أو ‪.RADIUS‬‬

‫‪ ‬الخطوة ‪ .3‬تهيئة مفتاح التشفير الالزم لتشفير البيانات المنقولة بين خادم الوصول للشبكة‬
‫وبين ‪.Cisco Secure ACS‬‬

‫‪ ‬الخطوة ‪ .4‬تهيئة قائمة طريقة مصادقة ‪ AAA‬لتشير الى خوادم ‪ TACACS+‬أو ‪.RADIUS‬‬
‫للتكرار‪ ،‬من الممكن أن يتم تهيئة أكثر من خادم واحد‪.‬‬

‫‪35‬‬
 ‫‪ 3.4.1.2‬تهيئة خوادم ‪)Configuring TACACS+ Servers( TACACS+‬‬

‫تهيئة خوادم ‪TACACS+‬‬

‫بروتوكوالت ‪ TACACS+‬و ‪RADIUS‬‬

‫تستخدم للتواصل بين العمالء وبين خوادم‬
‫األمان ‪ .AAA‬الصورة رقم ‪ 1‬تعرض بنية‬
‫مرجع ‪ AAA‬لهذا الموضوع‪.‬‬

‫لتهيئة خادم ‪ ،TACACS+‬بشكل عام‪ ،‬يتم‬

‫تمكين ‪ AAA‬باستخدام األمر ‪aaa new-‬‬
‫‪ .model‬بعد ذلك‪ ،‬يتم استخدام األمر‬
‫‪ .tacacs server name‬في وضع التهيئة لخادم ‪ ،TACACS+‬تتم تهيئة عنوان ‪ IPv4‬الخاص‬
‫بخادم ‪ TACACS+‬باستخدام األمر ‪ .address ipv4‬هذا األمر يسمح بخيار تعديل منفذ المصادقة‬
‫ومنفذ التدقيق‪.‬‬

‫بعد ذلك‪ ،‬يستخدم األمر ‪ single-connection‬لتحسين أداء بروتوكول ‪ TCP‬من خالل صيانة‬
‫اتصال ‪ TCP‬األحادي في مدة الجلسة‪ .‬من ناحية أخرى‪ ،‬وبشكل افتراضي‪ ،‬يتم فتح اتصال ‪TCP‬‬
‫وانهاءه لكل جلسة‪ .‬إذا لزم األمر‪ ،‬فإن خوادم ‪ TACACS+‬المتعددة يمكن أن يتم تحديدها عن‬
‫طريق ادخال عناوين ‪ IPv4‬الخاصة بها وذلك باستخدام األمر ‪.tacacs server name‬‬

‫األمر ‪ key key‬يتم استخدامه لتهيئة المفاتح السري المشترك لتشفير البيانات المنقولة بين خادم‬
‫‪ TACACS+‬وجهاز التوجيه الذي يفعل ‪ .AAA‬هذا المفتاح يجب أن تتم تهيئته تماما بنفس الطريقة‬
‫على كل من الموجه وخادم ‪.TACACS+‬‬

‫الصورة رقم ‪ 2‬تعرض نموذج تهيئة خادم‬

‫‪.TACACS+‬‬

‫‪36‬‬
 ‫‪ 3.4.1.3‬تهيئة خوادم ‪)Configuring RADIUS Servers( RADIUS‬‬

‫تهيئة خوادم ‪RADIUS‬‬

‫لتهيئة خادم ‪ ،RADIUS‬يستخدم األمر ‪ .radius server name‬هذا األمر يضع المستخدم داخل‬
‫وضع تهيئة خادم ‪.RADIUS‬‬

‫ألن ‪ RADIUS‬يستخدم بروتوكول ‪ ،UDP‬فإنه ال يوجد هناك ما يعادل الكلمة الرئيسة ‪single-‬‬
‫‪ .connection‬إذا لزم األمر‪ ،‬فإن خوادم ‪ RADIUS‬المتعددة يمكن يتم تحديدها عن طريق ادخال‬
‫ألمر ‪.radius server name‬‬

‫في وضع تهيئة خادم ‪ ،RADIUS‬تتم تهيئة عنوان ‪ IPv4‬الخاص بخادم ‪ RADIUS‬باستخدام األمر‬
‫‪.address ipv4 ipv4-address‬‬

‫افتراضيا‪ ،‬موجات سيسكو تستخدم المنفذ ‪ 1645‬للمصادقة والمنفذ ‪ 1646‬للتدقيق‪ .‬ولكن منظمة‬
‫‪ IANA‬قامت بحجز المنفذ ‪ 1812‬لمصادقة ‪ RADIUS‬والمنفذ ‪ 1813‬لتدقيق ‪ .RADIUS‬ومن‬
‫المهم جدا أن يتم التأكد من تلك المنافذ متطابقة بين موجهات سيسكو وبين خادم ‪.RADIUS‬‬

‫لتهيئة المفاتح السري المشترك لتشفير كلمات المرور‪ ،‬يستخدم األمر ‪ .key‬هذا المفتاح يجب أن‬
‫تتم تهيئته تماما بنفس الطريقة على كل من الموجه وخادم ‪.RADIUS‬‬

‫الصورة التالية تعرض نموذج تهيئة خادم‬

‫‪.RADIUS‬‬

‫‪37‬‬
‫‪ 3.4.1.4‬تهيئة المصادقة لتستخدم خادم ‪)Configure Authentication to Use the AAA Server( AAA‬‬

‫تهيئة المصادقة لتستخدم خادم ‪AAA‬‬

‫عندما يتم التعرف على خوادم األمان ‪،AAA‬‬

‫فإن الخوادم يجب أن يتم تضمينها في قائمة‬
‫الطريقة لألمر ‪aaa authentication‬‬
‫‪ .login‬خوادم ‪ AAA‬يتم تحديدها باستخدام‬
‫الكلمات الرئيسة ‪ group tacacs+‬أو‬
‫‪ .group radius‬بالرجوع الى الشكل رقم‬
‫‪ 1‬يمكن مشاهدة خيارات بناء جملة األمر‬
‫‪ aaa authentication login‬المتوفرة‪.‬‬

‫لكي يتم تهيئة قائمة طريقة تسجيل الدخول‬

‫االفتراضي إلتمام عملية التحقق باستخدام‬
‫خادم ‪ TACACS+‬أوال‪ ،‬وثانيا مع خادم‬
‫‪ ،RADIUS‬وأخيرا مع قاعدة بيانات أسماء‬
‫المستخدمين المحلية‪ ،‬فإنه يتم تحديد الترتيب‬
‫باألمر ‪aaa authentication login‬‬
‫‪ ،default‬كما هو مبين في الصورة رقم ‪.2‬‬
‫من المهم إدراك أن الموجه ‪ R1‬سوف يحاول‬
‫القيام بالمصادقة باستخدام خادم ‪RADIUS‬‬
‫إذا تعذر الوصول الى خادم ‪ .TACACS+‬وبالمثل‪ ،‬فإن الموجه ‪ R1‬سوف يحاول القيام بالمصادقة‬
‫باستخدام قاعدة البيانات المحلية إذا كانت خوادم ‪ TACACS+‬و ‪ RADIUS‬غير متوفرة‪.‬‬

‫يستخدم مدقق بناء الجملة كما في الشكل رقم ‪ 3‬ليقوم بمصادقة ‪ AAA‬المعتمدة على الخادم على‬
‫الموجه ‪ . R1‬مع العلم أن قاعدة بيانات أسماء المستخدمين المحلية تم القيام بتهيئتها على الشبكة‬
‫مثل ما تم تطبيق خادم ‪ TACACS+‬وخادم ‪ RADIUS‬على الشبكة أيضا‪.‬‬

‫‪38‬‬
39
 ‫‪ 3.4.2‬اكتشاف أخطاء المصادقة لخادم ‪ AAA‬واصالحها ( ‪Troubleshooting Server-Based‬‬
‫‪)AAA Authentication‬‬
‫‪ 3.4.2.1‬مراقبة حركة المصادقة ‪Monitoring Authentication Traffic‬‬

‫مراقبة حركة المصادقة ‪Monitoring Authentication Traffic‬‬

‫عندما يتم تمكين ‪ ،AAA‬فإنه عادة ما يكون من الضروري مراقبة حركة المصادقة واكتشاف‬
‫أخطاء التهيئة واصالحها‪.‬‬

‫األمر ‪ debug aaa authentication‬هو‬

‫أمر مفيد جدا الكتشاف أخطاء ‪ AAA‬ألنه‬
‫يوفر عرض ذو مستوى عالي لحركة عملية‬
‫تسجيل الدخول كما تبين الصورة‪.‬‬

‫هذا األمر يضع حالة الرسالة "‪ "PASS‬عندما‬

‫تكون محاولة دخول ‪ TACACS+‬ناجحة‪ .‬أما‬
‫إذا كانت حالة الرسالة التي تم ارجاعها‬
‫"‪ ،"FAIL‬فإنه يتم التحقق من المفتاح السري ويتم إصالحه إذا كان ضروريا‪.‬‬

‫‪40‬‬
 ‫‪ 3.4.2.2‬تصحيح ‪ TACACS+‬و ‪)Debugging TACACS+ and RADIUS( RADIUS‬‬

‫تصحيح ‪ TACACS+‬و ‪RADIUS‬‬

‫األمران اآلخران المستخدمان الستكشاف أخطاء خادم ‪ AAA‬واصالحها والمفيدان جدا تشمل‬
‫األمر ‪ debug radius‬واألمر ‪ debug tacacs‬كما هو مبين في الشكلين رقم ‪ 1‬ورقم ‪ 2‬على‬
‫التوالي‪ .‬هذه األوامر يمكن أن يتم استخدامهما لتوفر معلومات تفصيلية حول تصحيح ‪.AAA‬‬
‫لتعطيل مخرجات التصحيح‪ ،‬يتم استخدام الشكل ‪ no‬مع تلك األوامر‪.‬‬

‫بطريقة مشابهة لألمر ‪ debug aaa authentication‬األمر ‪ debug tacacs‬يشير أيضا‬

‫لحالة الرسائل سواء كانت ‪ PASS‬أو ‪ ،FAIL‬كما هو مبين في الشكلين رقم ‪ 1‬ورقم ‪ 2‬على التوالي‪.‬‬

‫لمشاهدة جميع رسائل ‪ ،TACACS+‬يستخدم األمر ‪ .debug tacacs‬ولتضييق النتائج وعرض‬

‫معلومات حسب عملية المساعد ‪ ،TACACS+‬يستخدم األمر ‪ debug tacacs events‬في وضع‬
‫االمتياز ‪ .EXEC‬األمر ‪ debug tacacs events‬يعرض عملية فتح واغالق اتصال ‪ TCP‬بخادم‬
‫‪ ،TACACS+‬البايتات المقروءة والمكتوبة عبر االتصال‪ ،‬وحالة اتصال ‪ .TCP‬يتم استخدام األمر‬
‫‪ debug tacacs events‬بحذر وذلك ألنه قد ينتج قدرا كبيرا من المخرجات‪ .‬لتعطيل مخرجات‬
‫التصحيح‪ ،‬يتم استخدام الشكل ‪ no‬مع تلك األوامر‪.‬‬

‫‪41‬‬
‫‪ 3.4.2.3‬فيديو ايضاحي – تهيئة موجه سيسكو ليصل إلى خادم ‪Video Demonstration -( RADIUS AAA‬‬
‫‪)Configure a Cisco Router to Access a AAA RADIUS Server‬‬

‫فيديو ايضاحي – تهيئة موجه سيسكو ليصل إلى خادم ‪RADIUS AAA‬‬

‫هذا الفيديو يوضح كيف يمكن تهيئة موجه سيسكو ليصل الى خادم ‪ AAA RADIUS‬من خالل‬
‫اكمال الخطوات التالية‪:‬‬
‫‪ ‬خطوة ‪ .1‬انشئ مستخدمين على خادم ‪.RADIUS‬‬

‫‪ ‬خطوة ‪ .2‬ضع كلمة سر على خادم ‪.RADIUS‬‬

‫‪ ‬خطوة ‪ .3‬تحقق من أن منفذ ‪ 1812‬منفذ مصادقة ‪ RADIUS‬ومن أن منفذ ‪ 1813‬هو‬

‫منفذ تدقيق ‪.RADIUS‬‬

‫‪ ‬خطوة ‪ .4‬قم بإعداد ‪ SSH‬على الموجه للوصول عن بعد‪.‬‬

‫‪ ‬خطوة ‪ .5‬قم بإعداد مستخدم محلي على الموجه في حالة فشل خادم ‪.RADIUS‬‬

‫‪ ‬خطوة ‪ .6‬تمكين مصادقة ‪ AAA‬على الموجه‪.‬‬

‫‪ ‬خطوة ‪ .7‬ضع قائمة طريقة دخول مصادقة ‪.AAA‬‬

‫‪ ‬خطوة ‪ .8‬تمكين الموجه من استخدام خادم ‪ RADIUS‬للمصادقة من خالل تهيئة الموجه‬

‫بما يلي‪:‬‬

‫‪ )a‬اسم خادم ‪.RADIUS‬‬

‫‪ )b‬عنوان ‪ IP‬الخاص بخادم ‪ ،RADIUS‬منفذ المصادقة ‪ ،1812‬ومنفذ التدقيق‬

‫‪.1813‬‬

‫‪ )c‬المفتاح السري للمشترك‪.‬‬

‫‪ ‬خطوة ‪ .9‬تهيئة سطر وحدة التحكم وتحديد قائمة طريقة مصادقة دخول ‪ AAA‬لالستخدام‪.‬‬

‫‪42‬‬
‫‪ ‬خطوة ‪ .10‬تهيئة خطوط ‪ vty‬ألجل ‪ SSH‬وتحديد قائمة طريقة مصادقة دخول ‪AAA‬‬
‫لالستخدام‪.‬‬

‫‪ ‬خطوة ‪ .11‬اختبر وتحقق‪.‬‬

‫اضغط هنا لقراءة النسخة النصية من الفيديو المرفق‪.‬‬

‫‪43‬‬
 ‫‪ 3.5‬تصريح وتدقيق ‪ AAA‬المعتمد على الخادم‬
‫‪ 3.5.1‬تهيئة تصريح ‪ AAA‬المعتمد على الخادم‬
‫‪ 3.5.1.1‬مقدمة لتصريح ‪ AAA‬المعتمد على الخادم‬

‫مقدمة لتصريح ‪ AAA‬المعتمد على الخادم‬

‫في حين أن المصادقة تعني وجوب التأكد بأن يكون الجهاز أو المستخدم النهائي شرعي‪ ،‬فإن‬
‫التصريح يهتم بالسماح أو بعدم السماح للمستخدمين المصادق عليهم للوصول الى مناطق وبرامج‬
‫محددة على الشبكة‪.‬‬

‫بروتوكول ‪ TACACS+‬يسمح بالفصل بين المصادقة والتصريح‪ .‬يمكن أن تتم تهيئة الموجه لتقييد‬
‫المستخدم بأداء وظائف محددة بعد أن تتم المصادقة عليه بنجاح‪ .‬ضع في االعتبار أن بروتوكول‬
‫‪ RADIUS‬ال يقوم بفصل المصادقة من عملية التصريح‪.‬‬

‫جانب آخر مهم من التصريح هو القدرة على التحكم بوصول المستخدم الى أجهزة محددة‪ .‬التحكم‬
‫بالوصول الى أوامر التهيئة يسهل بشكل كبير أمن البنية التحتية في شبكات المؤسسات الكبيرة‪.‬‬
‫لكل مستخدم أذونات على ‪ Cisco Secure ACS‬تسهل تهيئة جهاز الشبكة‪.‬‬

‫في الشكل المصاحب ‪ JR-ADMIN‬قام بإنشاء جلسة ‪ SSH‬بشكل ناجح مع الموجه وتمت المصادقة‬
‫عليه من خادم ‪ .TACACS+ AAA ACS‬الشكل يوضح الفصل بين المصادقة والتصريح‪.‬‬

‫‪44‬‬
‫في الشكل المصاحب‪ ،‬تم السماح للمستخدم ‪ JR-ADMIN‬بالوصول الى أمر ‪،show version‬‬
‫ولكن ال يستطيع الوصول الى أمر ‪ .configure terminal‬الموجه يقوم باالستعالم عن األذونات‬
‫من ‪ ACS‬وذلك لتنفيذ األوامر نيابة عن المستخدم‪ .‬عندما يقوم المستخدم بإنشاء األمر ‪show‬‬
‫‪ ،version‬فإن ‪ ACS‬يرسل رسالة رد بالموافقة ‪ .ACCEPT‬أما إذا قام المستخدم بإنشاء أمر‬
‫‪ ،configure terminal‬فإن ‪ ACS‬يرسل رسالة رد بالرفض ‪.REJECT‬‬

‫بشكل افتراضي‪ TACACS+ ،‬يبدأ بإنشاء جلسة ‪ TCP‬جديدة لكل طلب تصريح‪ ،‬والتي يمكن أن‬
‫تؤدي الى التأخير عند ادخال المستخدمين لألوامر‪ .‬لتحسين األداء‪ Cisco Secure ACS ،‬تدعم‬
‫جلسات بروتوكول ‪ TCP‬المستمرة التي يتم تهيئتها بأمر وضع تهيئة خادم ‪single- tacacs‬‬
‫‪.connection‬‬

‫‪45‬‬
 ‫‪ 3.5.1.2‬تهيئة تصريح ‪)AAA Authorization Configuration( AAA‬‬

‫تهيئة تصريح ‪AAA‬‬

‫لتهيئة أمر التصريح‪ ،‬يستخدم األمر ‪aaa‬‬

‫‪ ،authorization‬كما هو موضح في‬
‫الشكل رقم ‪ 1‬ورقم ‪ .2‬نوع الخدمة يمكن أن‬
‫يسهل أنواع األوامر أو الخدمات‪:‬‬

‫‪ ‬الشبكة ‪ – network‬مخصص‬
‫لخدمات الشبكة مثل ‪.PPP‬‬

‫‪ – Exec ‬مخصص لبدء ‪exec‬‬

‫)‪ ،(shell‬انظر لشكل رقم ‪.2‬‬

‫‪ ‬مستوى األوامر ‪commands‬‬

‫‪ – level‬مخصص ألوامر ‪exec‬‬
‫)‪.(shell‬‬

‫عندما ال يتم تفعيل تصريح ‪ ،AAA‬فإنه يتم‬

‫السماح لجميع المستخدمين بالوصول‬
‫الكامل‪ .‬بعد بدء المصادقة‪ ،‬فإن االعدادات‬
‫االفتراضية تتغير الى السماح بعدم الوصول‪.‬‬
‫هذا يعني أن مدير النظام يجب أن يقوم‬
‫بإنشاء مستخدم ويعطيه حقوق الوصول‬
‫الكاملة قبل أن يتم تفعيل التصريح‪ ،‬كما في‬
‫الشكل رقم ‪ .3‬الفشل في القيام بذلك يؤدي‬
‫الى ايقاف حساب المدير فورا واجباره على‬
‫الخروج من النظام لحظة ادخال األمر ‪ .aaa authorization‬الوسيلة الوحيدة للتراجع عن هذه‬
‫الحالة هو بإعادة تشغيل الموجه‪ .‬إذا كان هذا الموجه هو موجه اإلنتاج‪ ،‬فإن إعادة التشغيل قد ال‬
‫تكون مقبولة‪ .‬يجب التأكد دائما من أن مستخدم واحد على األقل يملك الحقوق الكاملة‪.‬‬

‫‪46‬‬
‫‪ 3.5.1‬تهيئة تدقيق ‪ AAA‬المعتمد على الخادم (‪)Configuring Server-Based AAA Accounting‬‬
‫‪ 3.5.1.1‬مقدمة لتدقيق ‪ AAA‬المعتمد على الخادم (‪)Introduction to Server-Based AAA Accounting‬‬

‫مقدمة لتدقيق ‪ AAA‬المعتمد على الخادم‬

‫الشركات غالبا ما تحتاج للحفاظ على المسار الذي تستخدمه موارد األفراد أو المجموعات‪ .‬تدقيق‬
‫‪ AAA‬يفعل استخدام المتابعة (المسارات)‪ .‬من األمثلة على استخدام المتابعة عندما يقوم قسم واحد‬
‫بالتحكم في وصول قسم آخر‪ ،‬أو عندما تقوم شركة واحدة بتوفير الدعم الداخلي لشركة أخرى‪.‬‬

‫على الرغم من أن التدقيق يعتبر بشكل عام من إدارة الشبكة أو مسائل اإلدارة المالية‪ ،‬اال أنه ستتم‬
‫مناقشته هنا بشكل مختصر ألنه مرتبط بشكل وثيق مع األمن‪ .‬واحدة من المسائل األمنية التي يتم‬
‫تناولها بالتدقيق هي انشاء قائمة من المستخدمين والوقت الذي قاموا فيه بتسجيل الدخول على‬
‫النظام‪ .‬على سبيل المثال‪ ،‬إذا كان المدير يعرف العامل الذي قام بالدخول للنظام في منتصف‬
‫الليل‪ ،‬فإن هذه المعلومة يمكن استخدامها للتحقيق في الغرض من الدخول‪.‬‬

‫سبب آخر لتطبيق التدقيق هو انشاء قائمة بالتغييرات التي حدثت على الشبكة‪ ،‬المستخدم الذ صنع‬
‫هذه التغييرات‪ ،‬وطبيعة التغييرات‪ .‬معرفة هذه المعلومات يساعد عملية اكتشاف األخطاء‬
‫واصالحها إذا كانت التغييرات تسببت في الحصول على نتائج غير متوقعة‪.‬‬

‫‪ Cisco Secure ACS‬تقدم كمستودع مركزي‬

‫لمعلومات التدقيق‪ .‬فهي تتبع األحداث التي تحدث في‬
‫الشبكة‪ ،‬بنفس الطريقة التي يتم فيها تتبع العملية‬
‫المالية لحساب بطاقة االئتمان‪ .‬كل جلسة تم انشاؤها‬
‫من خالل ‪ Cisco Secure ACS‬يمكن أن يتم تدقيقها‬
‫وتخزينها في الخادم‪ .‬هذه المعلومات المخزنة يمكن‬
‫أن تكون مفيدة بشكل كبير لإلدارة‪ ،‬لتدقيق حسابات‬
‫األمان‪ ،‬القدرة على التخطيط‪ ،‬واعداد فواتير استخدام‬
‫الشبكة‪.‬‬

‫مثل قوائم طريقة المصادقة والتصريح‪ ،‬فإن قوائم الطريقة الخاصة بالتدقيق تحدد طريقة عمل‬
‫التدقيق والتسلسل الذي سيتم به تطبيق هذه الطرق‪ .‬بعد أن يتم تمكينها‪ ،‬فإنه سيتم تطبيق قائمة‬
‫طريقة التدقيق االفتراضية بشكل آلي على كل الواجهات‪ ،‬ما عدا تلك الواجهات المعرفة من قبل‬
‫المستخدم‪ ،‬أو الواجهات المخصصة‪ ،‬قائمة طريقة التدقيق التي تم تعريفها بشكل واضح‪.‬‬

‫‪47‬‬
 ‫‪ 3.5.2.2‬تهيئة تدقيق ‪)AAA Accounting Configuration( AAA‬‬

‫تهيئة تدقيق ‪AAA‬‬

‫‪aaa‬‬ ‫لتهيئة تدقيق ‪ ،AAA‬يستخدم األمر‬

‫‪ ،accounting‬كما في الشكل رقم ‪.1‬‬

‫المعامالت الثالثة التالية هي األكثر استخداما‬

‫ككلمات رئيسة مع األمر ‪aaa‬‬
‫‪ accounting‬وهي‪:‬‬

‫‪ ‬الشبكة ‪ – network‬تشغل التدقيق لكل طلبات الخدمة المتعلقة بالشبكة‪ ،‬بما في ذلك‬
‫‪.PPP‬‬

‫‪ – Exec ‬تشغل التدقيق لجلسة )‪.EXEC (shell‬‬

‫‪ ‬االتصال ‪ – connection‬تشغل التدقيق على كل االتصاالت الصادرة مثل ‪ SSH‬و‬

‫‪.Telnet‬‬

‫كما هو الحال مع مصادقة ‪ ،AAA‬فإنه يمكن‬

‫استخدام الكلمات الرئيسة ‪ default‬و ‪list-‬‬
‫‪.name‬‬

‫بعد ذلك‪ ،‬نوع السجل أو المسبب (‪)trigger‬‬

‫يتم تهيئتها‪ Trigger .‬تحدد ما هي األحداث‬
‫التي تؤدي الى تحديث سجالت التدقيق‪.‬‬
‫المسببات (‪ )triggers‬المحتملة تشمل‪:‬‬

‫‪ – start-stop ‬ترسل بداية "‪ "start‬اشعار التدقيق في بداية العملية وترسل ايقاف‬
‫"‪ "stop‬اشعار التدقيق في نهاية العملية‪.‬‬

‫‪ – stop-only ‬ترسل ايقاف "‪ "stop‬سجالت التدقيق لكل الحاالت بما في ذلك فشل‬
‫المصادقة‪.‬‬

‫‪48‬‬
‫‪ – none ‬تعرض خدمات التدقيق على الخط أو على الواجهة‪.‬‬

‫الشكل رقم ‪ 2‬يعرض قوائم طريقة التدقيق المتوفرة‪.‬‬

‫الشكل رقم ‪ 3‬يوفر مثال على التدقيق لتسجيل‬

‫استخدام أوامر ‪ EXEC‬واتصاالت الشبكة‪.‬‬

‫يستخدم مدقق بناء الجملة في الشكل رقم ‪4‬‬

‫لتهيئة تصريح وتدقيق ‪ AAA‬المعتمد على‬
‫الخادم في الموجه ‪ .R1‬تم أيضا تهيئة قاعدة‬
‫بيانات اسماء المستخدمين المحلية‪ ،‬تمكين‬
‫‪ ،AAA‬تهيئة مصادقة ‪ ،AAA‬وتطبيق خوادم‬
‫‪ TACACS+‬و ‪ RADIUS‬على الشبكة‪.‬‬

‫‪49‬‬
 ‫‪ 3.5.3‬مصادقة ‪)802.1X Authentication( 802.1X‬‬
‫‪ 3.5.3.1‬األمن باستخدام مصادقة ‪ 802.1X‬المعتمد على المنفذ ( ‪Security Using 802.1X Port-Based‬‬
‫‪)Authentication‬‬

‫األمن باستخدام مصادقة ‪ 802.1X‬المعتمد على المنفذ‬

‫معيار ‪ IEEE 802.1X‬يحدد التحكم بالوصول المعتمد على المنفذ وبروتوكول المصادقة الذي تقيد‬
‫محطات العمل الغير مصرح لها من االتصال بالشبكة المحلية ‪ LAN‬من خالل منافذ التحويل‬
‫المفتوحة للعامة‪ .‬خادم المصادقة يقوم بمصادقة كل محطة عمل المتصلة بمنفذ التحويل قبل اتاحة‬
‫أي من الخدمات المقدمة من قبل المحول أو الشبكة المحلية‪.‬‬

‫الشكل رقم ‪ 1‬يوضح مصادقة ‪802.1X‬‬

‫المعتمدة على المنفذ‪ ،‬األجهزة الموجودة في‬
‫الشبكة تملك وظائف محددة‪:‬‬
‫‪( Supplicant (Client) ‬صاحب‬
‫الطلب) – الجهاز (محطة العمل)‬
‫الذي يطلب الوصول الى الشبكة‬
‫المحلية وخدمات المحول ومن ثم‬
‫يستجيب لطلبات المحول‪ .‬محطة‬
‫العمل يجب أن تقوم بتشغيل برنامج العميل ‪ 802.1X-compliant‬المتوافق‪( .‬المنفذ الذي‬
‫يتصل به العميل هو يكون صاحب الطلب (العميل) في مواصفات ‪)IEEE 802.1X‬‬

‫‪( Authenticator (Switch) ‬المصادق) – يتحكم بالوصول الفيزيائي الى الشبكة‬

‫معتمدا على حالة المصادقة للعميل‪ .‬المحول يعمل كوسيط (‪ )proxy‬بين العميل (صاحب‬
‫الطلب) وبين خادم المصادقة‪ ،‬يطلب تحديد المعلومات من العميل‪ ،‬يتحقق من المعلومات‬
‫بواسطة خادم المصادقة‪ ،‬ويرحل الرد الى العميل‪ .‬المحول يستخدم وكيل برنامج‬
‫‪ ،RADIUS‬المسؤول عن تغليف وفك تغليف إطارات بروتوكول ‪( 12EAP‬بروتوكول‬
‫المصادقة الموسع) والتفاعل مع خادم المصادقة‪.‬‬

‫‪( Authentication server ‬خادم المصادقة) – يقوم بتنفيذ المصادقة الفعلية للعميل‪.‬‬
‫خادم المصادقة يتحقق من هوية العميل ويشعر المحول ما إذا كان العميل مصرح له‬
‫بالوصول الى الشبكة المحلية وخدمات المحول‪ .‬وألن المحول يعمل كوسيط (‪،)proxy‬‬
‫فإن خدمة المصادقة تكون واضحة للعميل‪ .‬خادم المصادقة الذي يدعم تلك العمليات هو‬
‫نظام األمان ‪ RADIUS‬مع بروتوكول ‪ EAP‬الموسع فقط‪.‬‬

‫‪Extensible Authentication Protocol 12‬‬

‫‪50‬‬
‫الى أن تتم مصادقة محطة العمل‪ ،‬فإن التحكم بوصول ‪ 802.1X‬يمكن فقط بروتوكول المصادقة‬
‫الموسع خالل الشبكة المحلية (‪ )13EAPOL‬من التحرك عبر المنفذ الى محطة العمل المتصلة‪ .‬بعد‬
‫أن تتم المصادقة بنجاح‪ ،‬يمكن لحركة المرور الطبيعية المرور من خالل المنفذ‪.‬‬

‫حالة منفذ الم حول تحدد ما إذا كان العميل قد سمح له بالوصول الى الشبكة‪ .‬عند تهيئة مصادقة‬
‫‪ 802.1X‬المعتمد على المنفذ‪ ،‬المنفذ يبدأ العمل وهو في حالة الغير مصرح له‪ .‬بينما هو في هذه‬
‫الحالة‪ ،‬المنفذ يمنع كل حزم حركات المرور من الدخول والخروج ما عدا حزم بروتوكول‬
‫‪ ،802.1X‬ولكن عندما تتم مصادقة العميل بنجاح‪ ،‬فإن المنفذ يتحول الى حالة المصرح له‪ ،‬بحيث‬
‫يسمح لكل حزم العميل بالتدفق بشكل طبيعي‪ .‬إذا المحول طلب هوية العميل (بدء عمل المصادِق‬
‫‪ )authenticator‬والعميل ال يدعم ‪ ،802.1X‬فإن المنفذ يبقى في حالة الغير مصرح له‪ ،‬والعميل‬
‫ال يسمح له بالوصول الى الشبكة‪.‬‬

‫في المقابل‪ ،‬عندما يتصل عميل ‪ 802.1X‬الذي تم تمكينه بالمنفذ والعميل يبدأ بإنشاء عملية‬
‫المصادقة (بدء عمل ‪ )supplicant‬من خالل ارسال إطار البدء لبروتوكول ‪ EAPOL‬الى المنفذ‬
‫الذي ال يفعل بروتوكول ‪ ،802.1X‬فإنه ال يتم استقبال أي رد‪ ،‬والعميل سوف يبدأ بأرسال‬
‫اإلطارات كما لو كان المنفذ في حالة المصرح له‪.‬‬

‫الشكل رقم ‪ 2‬يوضح جميع الرسائل المتبادلة‬

‫بين صاحب الطلب ‪ ،supplicant‬المصادِق‬
‫‪ ،authenticator‬وخادم المصادقة‪.‬‬
‫التغليف يحدث كما يلي‪:‬‬

‫بين صاحب الطلب والمصادِق‬ ‫‪‬‬

‫( ‪Between the supplicant‬‬
‫‪– )and the authenticator‬‬
‫بينات ‪ EAP‬يتم تغلفيها في إطار ‪.EAPOL‬‬

‫بين المصادِق وخادم المصادقة ( ‪Between the authenticator and the‬‬ ‫‪‬‬
‫‪ – )authentication server‬بيانات ‪ EAP‬يتم فك تغليفها باستخدام ‪.RADIUS‬‬

‫‪13‬‬
‫‪Extensible Authentication Protocol over LAN‬‬

‫‪51‬‬
 ‫‪ 3.5.3.2‬حالة مصادقة منفذ ‪)802.1X Port Authorization State( 802.1X‬‬

‫حالة مصادقة منفذ ‪802.1X‬‬

‫إذا تمت المصادقة على العميل بنجاح (تم استقبال إطار "‪ " accept‬من خادم المصادقة)‪ ،‬فإن‬
‫حالة المنفذ تتغير الى مصرح له‪ ،‬ويمكن لجميع اإلطارات من العميل المصادق عليه المرور من‬
‫خالل المنفذ‪.‬‬

‫إذا فشلت المصادقة‪ ،‬المنفذ يبقى في حالة الغير مصرح له‪ ،‬ولكن يمكن أن تتم إعادة محاولة‬
‫المصادقة‪ .‬إذا لم يمكن الوصول الى خادم المصادقة‪ ،‬فإن المحول قد يعيد ارسال الطلب‪ .‬إذا لم‬
‫يتم الحصول على رد من الخادم بعدد عدد معين من المحاوالت‪ ،‬فإن المصادقة ستفشل‪ ،‬ولن يتم‬
‫منح الوصول الى الشبكة‪.‬‬

‫عندما يقوم العميل بتسجيل الخروج‪ ،‬فإنه يرسل رسالة ‪ EAPOL‬للخروج‪ ،‬مما يؤدي الى تحول‬
‫منفذ المحول الى حالة الغير مصرح له‪.‬‬

‫يستخدم األمر ‪authentication port-‬‬

‫‪ control‬للتحكم بحالة المصادقة‪ .‬البناء‬
‫التركيبي لألمر ووصف المعامالت الخاصة‬
‫به تظهر في الشكل المرافق‪ .‬افتراضيا‪،‬‬
‫المنفذ في حالة ‪ force-authorized‬وهذا‬
‫يعني أن المنفذ يستطيع ارسال واستقبال‬
‫الحزم بدون مصادقة ‪8021.X‬‬

‫الكلمة الرئيسة ‪ auto‬يجب أن يتم إدخالها لتمكين مصادقة ‪802.1X‬‬

‫إذا تغيرت حالة الربط الخاصة بالمنفذ من ‪ up‬الى ‪ down‬أو إذا تم استقبال إطار ‪EAPOL-‬‬
‫‪ ،logoff‬فإن المنفذ يرجع الى حالة الغير مصرح له‪.‬‬

‫‪52‬‬
 ‫‪ 3.5.3.3‬تهيئة ‪)configuring 802.1X( 802.1X‬‬

‫تهيئة ‪802.1X‬‬

‫الشكل ‪ 1‬يبين أن الجهاز ‪ PC‬يتصل بالمحول‬

‫عبر المنفذ ‪ F0/1‬وهو أيضا يحصل على‬
‫المصادقة من خالل ‪ 802.1X‬مع خادم‬
‫‪ .RASIUS‬تهيئة ‪ 802.1X‬تتطلب بعض‬
‫الخطوات األساسية وهي‪:‬‬

‫الخطوة ‪ .1‬تمكين ‪ AAA‬باستخدام األمر‬

‫‪ aaa new-model‬وتهيئة خادم‬
‫‪.RADIUS‬‬

‫الخطوة ‪ .2‬انشاء قائمة طريقة مصادقة ‪ 802.1X‬المعتمد على المنفذ باستخدام األمر ‪aaa‬‬
‫‪.authentication dot1x‬‬

‫الخطوة ‪ .3‬تمكين مصادقة ‪ 802.1‬المعتمد على المنفذ بشكل عام وذلك باستخدام األمر ‪dot1x‬‬
‫‪.system-auth-control‬‬

‫الخطوة ‪ .4‬تمكين المصادقة المعتمدة على المنفذ على الواجهة باستخدام األمر‬
‫‪authentication port-control auto‬‬

‫الخطوة ‪ .5‬تمكين مصادقة ‪ 802.1X‬على الواجهة باستخدام األمر ‪ .dot1x pae‬خيارات‬

‫المصادِق ‪ authenticator‬تحدد نوع وحدة وصول المنفذ (‪ )14PAE‬لذلك الواجهة تعمل فقط‬
‫كمصادِق وسوف لن يقوم بالرد على أي رسائل يكون المقصود بها صاحب الطلب ‪.supplicant‬‬

‫يستخدم مدقق بناء الجملة كما في الشكل ‪ 2‬و ‪ 3‬لتهيئة مصادقة منفذ ‪ 802.1X‬على المحول‬
‫‪.2960‬‬

‫‪Port Access Entity 14‬‬

‫‪53‬‬
54
 ‫‪ 3.6‬الخالصة (‪)Summary‬‬
‫‪ 3.6.1‬الخاتمة (‪)Conclusion‬‬
‫‪ 3.6.1.1‬معمل – الوصول اإلداري اآلمن باستخدام ‪ AAA‬و ‪Lab – Securing ( RADIUS‬‬
‫‪)Administrative Access Using AAA and RADIUS‬‬

‫معمل – الوصول اإلداري اآلمن باستخدام ‪ AAA‬و ‪RADIUS‬‬

‫في هذا المعمل‪ ،‬أنت سوف تكمل األهداف التالية‪:‬‬

‫تهيئة اعدادات الجهاز الرئيسة‪.‬‬ ‫‪‬‬
‫تهيئة المصادقة المحلية‪.‬‬ ‫‪‬‬
‫تهيئة المصادقة المحلية باستخدام ‪.AAA‬‬ ‫‪‬‬
‫تهيئة المصادقة المركزية باستخدام ‪ AAA‬و ‪.RADIUS‬‬ ‫‪‬‬

‫معمل – الوصول اإلداري اآلمن باستخدام ‪ AAA‬و ‪RADIUS‬‬

‫‪55‬‬
 ‫‪ – Packet Tracer 3.6.1.2‬تهيئة مصادقة ‪ AAA‬على موجهات سيسكو ( ‪Packet Tracer – Configure‬‬
‫‪)AAA Authentication on Cisco Routers‬‬

‫‪ – Packet Tracer‬تهيئة مصادقة ‪ AAA‬على موجهات سيسكو‬

‫في ‪ Packet Tracer‬هذا‪ ،‬أنت سوف تكمل األهداف التالية‪:‬‬

‫تهيئة حساب المستخدم المحلي على ‪ R1‬وتهيئة المصادقة على وحدة التحكم وخطوط ‪vty‬‬ ‫‪‬‬
‫باستخدام ‪ AAA‬المحلية‪.‬‬
‫التحقق من مصادقة ‪ AAA‬المحلية من وحدة تحكم ‪ R1‬ومن العميل ‪.PC-A‬‬ ‫‪‬‬
‫تهيئة مصادقة ‪ AAA‬المعتمدة على الخادم باستخدام ‪.TACACS+‬‬ ‫‪‬‬
‫التحقق من مصادقة ‪ AAA‬المعتمدة على الخادم من العميل ‪.PC-B‬‬ ‫‪‬‬
‫تهيئة مصادقة ‪ AAA‬المعتمدة على الخادم باستخدام ‪.RADIUS‬‬ ‫‪‬‬
‫التحقق من مصادقة ‪ AAA‬المعتمدة على الخادم من العميل ‪.PC-C‬‬ ‫‪‬‬

‫‪ – Packet Tracer‬تهيئة مصادقة ‪ AAA‬على موجهات سيسكو – التعليمات‬

‫‪ – Packet Tracer‬تهيئة مصادقة ‪ AAA‬على موجهات سيسكو – ‪PKA‬‬

‫‪56‬‬
 ‫‪ 3.6.1.3‬المصادقة والتصريح‪ ،‬التدقيق (‪)Authentication, Authorization, and Accounting‬‬

‫المصادقة والتصريح‪ ،‬التدقيق‬

‫بروتوكول ‪( AAA‬المصادقة‪ ،‬التصريح‪ ،‬والتدقيق) يوفر إطار عمل قابل للقياس لتمكين الوصول‬
‫اإلداري‪ AAA .‬تحدد من هم األشخاص الذين يسمح لهم باالتصال بالشبكة‪ ،‬وما يسمح لهم القيام‬
‫به‪ ،‬وتتبع السجالت الخاصة بما تم القيام به‪.‬‬

‫في الشبكات الصغيرة أو البسيطة‪ ،‬مصادقة‬

‫‪ AAA‬يمكن أن يتم تطبيقها باستخدام قاعدة‬
‫البيانات المحلية‪ .‬بينما‪ ،‬في الشركات الكبيرة‬
‫أو المعقدة‪ ،‬مصادقة ‪ AAA‬يجب أن يتم‬
‫تطبيقها باستخدام ‪ AAA‬المعتمد على الخادم‪.‬‬
‫خوادم ‪ AAA‬ممكن أن تستخدم بروتوكول‬
‫‪ RADIUS‬أو ببروتوكول ‪TACACS+‬‬
‫للتواصل مع موجهات العميل‪ .‬يستخدم نظام‬
‫سيسكو للتحكم بالوصول (‪ )ACS‬لتوفير‬
‫خدمات خادم ‪ ،AAA‬أو لمزيد من وظائف )‪ .Cisco Identity Services Engine (ISE‬أيضا‬
‫يمكن استخدام ‪ 802.1X‬للمصادقة المعتمدة على المنفذ‪.‬‬

‫‪57‬‬