کنترل دسترسی شبکه

0 351

سطح مطلب: نیمه‌تخصصی//

یکی از موضوعات اساسی امنیت که توسط اکثر شرکت‌‌ها و سازمان‌ها به آن پرداخته شده، کنترل و مدیریت دسترسی به شبکه است. راه‌کارهای کنترل دسترسی به شبکه (Network Access Control) به متخصصان امنیت کمک می‌کند در زمینه امنیت سایبری، دو موضوع را مدیریت کنند: محدود کردن دسترسی به شبکه برای اشخاص احراز هویت شده و اطمینان از این‌که سیستم‌هایی که به شبکه سازمان دسترسی خواهند داشت، دارای حداقل پیشنیازهای امنیتی هستند.

استاندارد عمومی که برای NAC مورد استفاده قرار می¬گیرد، ۸۰۲٫۱x است. زمانی که یک دیوایس جدید قصد برقراری ارتباط با شبکه را دارد – چه از طریق اکسسپوینت وایرلس و یا اتصال کابلی به یکی از پورتهای شبکه -، چالشی که در شبکه وجود خواهد داشت، احراز هویت آن دیوایس از طریق پروتکل ۸۰۲٫۱x است.

بخش خاصی از یک نرمافزار به‌نام “supplicant” مسئول رساندن درخواست دیوایس برای اتصال به شبکه است. “supplicant” برای ارسال درخواست، با سرویسی به‌نام “authenticator” که بر روی اکسسپوینت وایرلس و یا سوئیچ شبکه اجرا میشود، ارتباط برقرار میکند. ار آنجایی که “authenticator” اطلاعات لازم برای بررسی اعتبار یوزر را در خود ندارد، بنابراین درخواست دسترسی را به سمت “authentication server” ای که از پروتکل “RADIUS” استفاده می‌کند، انتقال میدهد. اگر یوزر بدرستی تائید اعتبار شود و مجوز لازم برای دسترسی به شبکه اخذ نماید، در ادامه سوئیچ و یا اکسس‌پوینت یوزر را به شبکه ارتباط خواهند داد. در غیر اینصورت؛ یعنی اگر فرآیند تائید اعتبار تکمیل نشود، دیوایس از دسترسی به شبکه منع شده و یا ممکن است برای بازبینی مجدد به بخش قرنطینهای که از پیش تعبیه شده، منتقل شود. شکل زیر فرآیند احراز هویت از طریق پروتکل ۸۰۲٫۱x را نشان میدهد.

 

در شکل بالا، یک سیستم ۸۰۲٫۱x، تلاش می‌کند تا به شبکه‌ای که بر روی آن یک “NAC ” وجود دارد، ارتباط برقرار کند. بنابراین “supplicant” با “authenticator” ای که بر روی سوئیچ و یا اکسس‌پوینت وایرلس قرار دارد، مذاکره و پس از نیز، متعاقبا “authenticator” با استفاده از “RADIUS” با “authentication server” ارتباط برقرار خواهد کرد.

از بُعد تجاری، را‌کارهای NAC بسیاری در بازار وجود دارد که از دو راه می‌توان آن‌ها را از یکدیگر تفکیک نمود:

Agent-Based در مقابل Agentless: در راه‌کارهای Agent-Based، مانند ۸۰۲٫۱x، نیاز است تا بر روی دیوایس، نرم‌افزار خاصی اجرا شود تا بتواند با ارتباط‌گیری با سرویس NAC، درخواست دسترسی خود را ارائه کند.  در مقابل NAC های Agentless ها، درخواست‌های دسترسی را به مرورگر وب منتقل کرده و به نرم‌افزار خاصی نیاز ندارند.

In-Band در مقابل Out-Band: راه‌کارهای In-Band ( یا inline) در NAC، از تجهیزات اختصاصی استفاده می‌کنند که از لحاظ موقعیت، بین دیوایس‌ها و منابع شبکه‌ای که درخواست اتصال به آن‌ها را دارند، قرار می‌گیرند. آن‌ها دسترسی شبکه‌ای دیوایس‌هایی را که نتوانستند تائیدیه فرآیند احراز هویت را کسب کنند، محدود و یا منع می‌کنند. این نوع را‌هکار معمولا در هتل‌ها بشکل یک پورتال برای احراز هویت مهمان صورت می‌‌پذیرد؛ بدین صورت که تمام ارتباطات وبی، تا زمانی که مهمان شماره اتاق به همراه کلمه عبور تعیین شده را وارد نکند، به آن پورتال تغییر مسیر خواهد داد. در مقابل، Out-Band ها تجهیزاتی هستند که ترافیک شبکه را از موقعیتی خارج از مسیر اصلی شبکه رصد می‌کنند. آن‌ها از هر ترافیکی که بسمت شبکه می‌رود، یک کپی برداشته و سپس آن‌ها را بصورت آفلاین، تحلیل می‌کنند. در نهایت با تحلیل ترافیک، تغییراتی را که لازم است به “authenticate server” ابلاغ می‌کنند و نتیجه آن خواهد شد که پس از آن ترافیک‌هایی که از لحاظ Out-Band NAC لازم به محدودیت دسترسی باشند، در ورود و دسترسی به منابع شبکه، با محدودیت روبرو خواهند شد. ضعف این نوع NAC ها در اینست که به علت آن که از هر ترافیکی کپی برداری می‌کنند، سرعت انتقال ترافیک در شبکه را پایین می‌آورند.

راه‌کارNAC  معمولا برای  ایجاد محدودیت دسترسی برای کاربرانی که هویت آن‌ها با موفقیت تائید شده است، استفاده می‌شود. در اینصورت فقط تائید هویت کاربران، ملاکی برای دسترسی آن‌ها نخواهد بود؛ بلکه پارامترهایی دیگر نیز وجود خواهند داشت که دسترسی و یا عدم دسترسی کاربران را مشخص خواهد کرد. برخی از این پارامترها که توسط NAC استفاده می‌شوند، عبارتند از:

محدودیت زمانی در روز: نحوه گزینش کاربران برای دسترسی به شبکه، ممکن است فقط براساس بازه زمانی مشخصی در روز صورت پذیرد؛ مانند ساعات اداری.

نقش و سِمت: دسترسی کاربران به بخش‌های خاصی از شبکه، ممکن است بر اساس نقش و وظیفه‌ای که بر عهده دارند، باشد. برای مثال، در یک دانشکده، بسته به آن‌که دانشجو، استاد و یا پرسنل باشید، دسترسی‌های شما به بخش‌های مختلف شبکه کل دانشکده ‌می‌تواند متفاوت باشد.

 موقعیت مکانی: موقعیت مکانی نیز یکی از عواملی است که می‌تواند باعث اجازه دسترسی و یا منع دسترسی شود. مثلا دسترسی به دیتاسنتر یک شبکه، فقط محدود به سیستم‌هایی می‌شود که بصورت فیزیکی در دیتاسنتر قرار دارند.

امنیت سیستم: agent هایی که از طرف NACها بر روی دیوایس‌ها اجرا می‌شوند، ممکن است اطلاعات ساختاری آن‌ها را نیز جمع آوری کرده و به NAC ارسال کنند. در این صورت دیوایس‌هایی که حداقل استانداردهای امنیتی را – مانند پیکربندی نادرست فایروال، آنتی‌ویروس‌ آپدیت نشده یا عدم وجود برخی patchهای امنیتی – را درخود نداشته باشند، ممکن است از دسترسی به شبکه بطور کامل منع شده و یا آنکه در شبکه‌‌ای مجزا بصورت قرنطینه قرار می‌گیرند که در اینصورت دسترسی محدودی به شبکه خواهند داشت.

رول‌هایی که در NAC تعریف و ایجاد می‌گردد، ممکن است بر حسب ضرورت، ترکیبی از همه و یا بخشی از پارامترهای گفته شده باشند. NAC ها بطور ذاتی برای تعریف و ساختاربندی شبکه بر اساس چنین رول‌هایی، انعطاف لازم را دارند.

مانا باشید
احسان امجدی / کارشناس و مدرس دوره‌های تحلیل امنیت

“اگر بر این باورید که با نقض قانون کپیرایت، وضعیتی بهتر در انتظارمان خواهد بود، بدون ذکر نامِ نویسنده و منبع، مجاز به انتشار مطالب هستید. “

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.