التحكم في الوصول إلى الشبكة (NAC)

Questions and Answers

أي من التالي يمثل وصفًا دقيقًا لـ (NAC)؟

• مصطلح شامل لإدارة الوصول إلى الشبكة، وتحديد البيانات والإجراءات المسموح بها للمستخدمين. (correct)
• عملية التحقق من هوية المستخدمين عن طريق المقاييس الحيوية.
• بروتوكول تشفير يستخدم لتأمين الشبكات اللاسلكية.
• جدار حماية شخصي يقوم بحماية جهاز المستخدم فقط.

ما هي الوظيفة الأساسية لخادم السياسات (Policy Server) في نظام NAC؟

• تحديد ما إذا كان الجهاز يحتاج إلى تصحيح أمني.
• تحديد الوصولات التي سيتم منحها للمستخدمين والأجهزة. (correct)
• تشفير البيانات المرسلة عبر الشبكة.
• إدارة عناوين IP للأجهزة المتصلة بالشبكة.

ما هو الدور الأساسي لخادم الوصول إلى الشبكة NAS في نظام NAC؟

• نقطة تحكم في الوصول للمستخدمين في المواقع البعيدة المتصلة بالشبكة الداخلية للمؤسسة. (correct)
• تحديد سياسات الوصول للمستخدمين المحليين فقط.
• تخزين بيانات المستخدمين بشكل آمن.
• توزيع التحديثات الأمنية على الأجهزة.

أي من التالي يمثل ميزة لاستخدام شبكات VLANS لتأمين الوصول إلى الشبكة؟

تقسيم الشبكة منطقياً لزيادة الأمان والتحكم في الوصول. (B)

ما هي الوظيفة الرئيسية لبروتوكول DHCP في سياق التحكم في الوصول إلى الشبكة NAC؟

تخصيص عناوين IP بشكل ديناميكي للأجهزة على الشبكة. (A)

ما هو الدور الذي يلعبه جدار الحماية (Firewall) في تنفيذ NAC؟

السماح أو منع حركة المرور بين مضيف المؤسسة والمستخدم الخارجي. (D)

في سياق EAP، ما هي أهمية حقل 'النوع' (Type) في رسائل EAPOL؟

الإشارة إلى بداية أو مصادقة أو تسجيل خروج. (B)

ما هو الغرض الأساسي من بروتوكول EAP-TLS؟

استخدام بروتوكول المصافحة في TLS للمصادقة المتبادلة بين العميل والخادم. (A)

ما هي السمة المميزة لبروتوكول EAP-TTLS مقارنة بـ EAP-TLS؟

الخادم فقط يحتاج إلى شهادة للمصادقة على نفسه أولاً. (D)

ما الذي يمثله مصطلح 'Access Requester - AR' في سياق NAC؟

عقدة تحاول الوصول إلى الشبكة وتخضع لإدارة NAC. (C)

ما هي إحدى الطرق التي يمكن بها تنفيذ NAC؟

عن طريق تطبيق سياسات جدار الحماية. (B)

أي من الآتية هي إحدى وظائف Authenticator في IEEE 802.1X؟

تسهيل عملية المصادقة للكيانات المتصلة بالشبكة. (D)

ما هي وظيفة EAPOL-EAP في سياق أنواع إطارات EAPOL؟

تحتوي على حزمة EAP مغلفة. (C)

ما هي فائدة استخدام EAP-GPSK للمصادقة؟

يوفر طريقة مصادقة متبادلة فعالة من حيث الحساب وتدفق الرسائل. (B)

ما هو الأساس الذي يعتمد عليه بروتوكول EAP-IKEv2؟

بروتوكول تبادل المفاتيح عبر الإنترنت الإصدار 2 IKEv2. (A)

ماذا يشير مصطلح Supplicant في سياق IEEE 802.1X؟

كيان يسعى للمصادقة من قبل المصادق. (B)

ماذا يمثل الحقل المسمى Data في رسائل EAP؟

معلومات متعلقة بالمصادقة. (A)

ما هي إحدى الميزات التي يوفرها IEEE 802.1X في إدارة الشبكات؟

توفير طبقة أمان إضافية عن طريق التحكم في الوصول على مستوى المنفذ. (D)

في سياق تبادل رسائل EAP، ما هو دور EAP peer؟

جهاز الكمبيوتر العميل الذي يحاول الوصول إلى الشبكة. (B)

ما هو الغرض الرئيسي من Authentication transport في سياق IEEE 802.1X؟

نقل جلسة البيانات التي تنقل بنشاط تبادل المصادقة بين نظامين. (D)

ما هي إحدى فوائد استخدام VLANs كطريقة لفرض سياسات NAC؟

عزل حركة المرور وتقليل سطح الهجوم. (C)

أي من الآتية يمثل وصفا دقيقيا لمصطلح 'Edge port' في IEEE 802. 1X؟

منفذ جسر متصل بشبكة LAN ولا يوجد عليه جسور أخرى متصلة. (C)

أي من الجمل التالية تصف بشكل صحيح عملية Authentication exchange؟

المحادثة المتبادلة بين نظامين لتنفيذ عملية المصادقة. (D)

ما هي الوظيفة الرئيسية لـ 'EAPOL-Start' في IEEE 802.1X؟

بدء عملية التفاوض على الاتصال. (B)

ما الهدف من استخدام بروتوكولEAPOL-Logoff في شبكات IEEE 802.1X؟

لإعادة تعيين حالة المنفذ إلى غير مصرح بعد انتهاء العميل من استخدام الشبكة. (A)

Flashcards

NAC (التحكم في الوصول إلى الشبكة)

مصطلح شامل لإدارة الوصول إلى شبكة.

طالب الوصول (Access Requester)

عقدة تحاول الوصول إلى الشبكة.

خادم السياسات (Policy Server)

يحدد مستوى الوصول الممنوح

خادم الوصول إلى الشبكة (Network Access Server)

يعمل كنقطة تحكم في الوصول للمواقع البعيدة.

طرق تنفيذ الوصول إلى الشبكة

إجراءات لتنظيم الوصول إلى شبكة مؤسسية.

IEEE 802.1X

هو بروتوكول طبقة الرابط الذي يفرض التفويض قبل IP.

الشبكات المحلية الافتراضية (VLANs)

تقسيم الشبكة إلى عدة شبكات فرعية منطقياً.

جدار الحماية (Firewall)

يسمح أو يمنع حركة المرور بين مضيف ومستخدم.

إدارة DHCP

بروتوكول إنترنت للتوزيع الديناميكي لعناوين IP.

بروتوكول المصادقة القابل للتوسيع (EAP)

بروتوكول يوفر إطار عمل لتأمين الوصول إلى الشيكة.

طرق EAP

يستخدم لنقل معلومات المصادقة

EAP-TLS

يقوم العميل والخادم بالمصادقة بالشهادات الرقمية

EAP-TTLS

له شهادة للخادم للمصادقة على نفسه

EAP-GPSK

يعتمد على مفتاح مشترك مسبق.

EAP-IKEv2

يستند إلى بروتوكول تبادل المفاتيح عبر الإنترنت

EAP Peer

كمبيوتر عميل يحاول الوصول إلى الشبكة

EAP المصادق

يطلب التأكيد من نظير الـ EAP

خادم المصادقة (Authentication Server)

خادم يتحقق من بيانات اعتماد، EAP.

رمز (Code)

يحدد نوع رسالة EAP

المعرّف (Identifier)

يستخدم لمطابقة الاستجابات مع الطلبات.

الطول (Length)

يشير إلى طول رسالة EAP

البيانات (Data)

يحتوي على معلومات للمصادقة

المصادق (Authenticator)

كيان يسهل المصادقة عبر الشبكة.

خادم المصادقة (Authentication Server)

مصادقة من المضيف للوصول إلى خدمات الشبكة.

المستخدِم (Supplicant)

كيان يسعى للتحقق من هويته على الشبكة.

Study Notes

التحكم في الوصول إلى الشبكة (NAC)

• NAC هو مصطلح شامل لإدارة الوصول إلى الشبكة.
• تتحقق NAC من هوية المستخدمين الذين يسجلون الدخول إلى الشبكة، وتحدد البيانات التي يمكنهم الوصول إليها والإجراءات التي يمكنهم تنفيذها.
• يفحص NAC أيضًا صحة أجهزة الكمبيوتر أو الأجهزة المحمولة الخاصة بالمستخدم.

مكونات أنظمة NAC

• تتعامل أنظمة NAC مع ثلاث فئات من المكونات: طالب الوصول ونظام خادم السياسة وخادم الوصول للشبكة
• طالب الوصول (AR) هو العقدة التي تحاول الوصول إلى الشبكة، وقد يكون أي جهاز يديره نظام NAC
• قد يشمل ذلك محطات العمل والخوادم والطابعات والكاميرات والأجهزة المدعومة بـ IP
• يحدد خادم السياسة الوصولات التي سيتم منحها ويعتمد غالبًا على الأنظمة الخلفية.
• يسمى ايضا خادم الوسائط ، خادم الوصول البعيد (RAS), أو خادم السياسات
• يعمل خادم الوصول إلى الشبكة (NAS) كنقطة تحكم في الوصول للمستخدمين في المواقع البعيدة المتصلة بشبكة المؤسسة.
• قد يشمل خادم الوصول إلى الشبكة خدمات مصادقة خاصة به أو يعتمد على خدمة مصادقة منفصلة من خادم السياسة.

مخطط وصول شبكة عام

• الشك 5.1 هو رسم تخطيطي وصول شبكة عام

طرق تطبيق الوصول إلى الشبكة

• الإجراءات التي يتم تطبيقها على ARs لتنظيم الوصول إلى الشبكة المؤسسية
• يدعم العديد من الموردين طرق فرض متعددة في نفس الوقت، مما يسمح للعميل بتخصيص التكوين باستخدام طريقة واحدة أو مزيج من الطرق.
• تشمل طرق فرض NAC الشائعة (IEEE 802.1X) والشبكات المحلية الظاهرية (VLANs) وجدار الحماية وإدارة DHCP
• IEEE 802.1X هو بروتوكول لطبقة الربط يعمل علي تحديد تفويض للمنفذ قبل تخصيص عنوان IP.
• يستخدم بروتوكول مصادقة IEEE 802.1X القابل للامتداد (EAP) في عملية المصادقة.
• تغطي الأقسام 5.2 و 5.3 بروتوكول المصادقة القابل للامتداد و(IEEE 802.1X) على التوالي.
• الشبكات المحلية الظاهرية (VLANs): في هذا النهج، يتم تقسيم الشبكة المؤسسية، التي تتكون من مجموعة من الشبكات المحلية المتصلة ببعضها البعض، منطقيًا إلى عدة شبكات افتراضية.
• يقرر نظام NAC إلى أي من شبكات VLAN في الشبكة سيوجه جهاز الوصول استنادًا إلى ما إذا كان الجهاز يحتاج إلى تصحيح أمني أو الوصول إلى الإنترنت فقط أو بعض مستويات الوصول إلى موارد الشبكة.
• يمكن إنشاء شبكات VLAN ديناميكيًا وقد تتداخل عضوية VLAN لكلاً من الخوادم المؤسسية وأجهزة الوصول
• قد ينتمي خادم المؤسسة أو جهاز AR إلى أكثر من شبكة VLAN واحدة
• توفر جدران الحماية شكلاً من أشكال NAC من خلال السماح أو رفض حركة مرور الشبكة بين مضيف المؤسسة والمستخدم الخارجي.
• سيتم مناقشة جدران الحماية في الفصل 12
• بروتوكول التكوين الديناميكي للمضيف (DHCP) هو بروتوكول للإنترنت يتيح التخصيص الديناميكي لعناوين IP للمضيفين
• يعترض خادم DHCP طلبات DHCP ويعين بدلاً من ذلك عناوين IP
• يحدث تطبيق NAC في طبقة IP استنادًا إلى الشبكة الفرعية وتعيين IP
• من السهل تثبيت خادم DCHP وتكوينه، ولكنه عرضة للعديد من أشكال التحايل, مما يوفر أمانًا محدودًا.

بروتوكول المصادقة القابل للتوسيع (EAP)

• يعمل EAP المعرف في RFC 3748 كإطار عمل لبروتوكولات الوصول إلى الشبكة والمصادقة.
• توفر EAP مجموعة من رسائل البروتوكول التي يمكن أن تحتوي على طرق مصادقة متنوعة لاستخدامها بين العميل وخادم المصادقة.
• يمكن EAP العمل عبر مجموعة متنوعة من مرافق الشبكة والربط, بما في ذلك روابط نقطة إلى نقطة, والشبكات المحلية, والشبكات الأخرى, ويمكنه تلبية احتياجات المصادقة لمختلف الروابط والشبكات.
• يوضح الشكل 5.2 طبقات البروتوكول التي تشكل السياق الخاص بـ EAP
• يتيح EAP خدمة نقل عامة لتبادل معلومات المصادقة بين نظام العميل وخادم المصادقة
• خدمة نقل EAP الأساسية تم توسيعها باستخدام بروتوكول مصادقة محدد يتم تثبيته في كلٍ من عميل EAP وخادم المصادقة
• هناك طرق EAP المدعومة :
  • أمان طبقة النقل ()EAP
  • (TLS) المجزأ EAP
  • مفتاح EAP عام
  • IKEv2-EAP

طرق EAP المدعومة عادة

• يحدد EAP-TLS (RFC 5216) كيف يمكن لتشفير TLS وضعها في رسائل EAP
• يستخدم EAP-TLS بروتوكول المصافحة في TLS, وليس طريقة التشفير الخاصة به.
• يقوم العميل والخادم بمصادقة بعضهما البعض باستخدام الشهادات الرقمية
• يولد العميل مفتاح سري مسبق عن طريق تشفير رقم عشوائي باستخدام المفتاح العام للخادم ثم إرساله إلى الخادم
• يستخدم كل من العميل والخادم المفتاح المسبق لتوليد نفس المفتاح السري
• EAP-TTLS يشبه ,EAP-TLS باستثناء أن الخادم فقط لديه شهادة لتوفير المصادقة لنفسه أولاً.
• في EAP-TLS, يتم إنشاء اتصال آمن، ولكن هذا الاتصال يُستخدم لمواصلة عملية المصادقة عبر مصادقة الخادم العميل مع أي طريقة EAP أو مصادفة قديمة
• EAP-GPSK معرف في RFC 5433 هي طريقة EAP تستخدم للمصادقة المتبادلة واشتقاق كفاءة مفتاح الوحدة باستخدام مفتاح PSK
• يحدد هذا برتوكول مصادقة EAP باستخدام مفاتيح مشتتركة مع حماية خوارزميات التشفير
• وبالتالي, فإن هذه الطريقة فعالة من حيث تدفقات الرسائل والتكاليف الحسابية, ولكنها تتطلب وجود مفاتيح مشتركة بين كل خادم ونظير
• إن إعداد هذه المفاتيح السرية جزء من تسجيل الأقران, وبالتالي يجب أن تلبي شروط النظام
• ويوفر قناة اتصال محمية عندما تنجح المصادقة المتبادلة لكلا الطرفين للمراسلة عبر الشبكات غير آمنة مثل بروتوكول IEEE 802.11
• . بروتوكول EAP-GPSK لا يتطلب أي نظام للتشفير بالمفتاح العام يتم تبادل الرسالة باستخدام الحد الأدنى لأربعة رسائل
• يعتمد EAP-IKEv2 على برتوكول تبادل المفاتيح (IKEv2), شرح في الفصل التاسع، حيث، تدعم هذه الطريقة المصادقة المتبادلة وإنشاء مفتاح جلسة باستخدام طرق متعددة

تبادلات EAP

• يوضح الشكل 5.3 تخطيطًا نموذجيًا حيث يتم استخدامEAP
• تتضمن المكونات التالية:
• نظير EAP: كمبيوتر يحاول الوصول إلى شبكة
• مصادق EAP:- نقطة وصول أو NAS الذي يتطلب مصادقة EAP قبل منح الوصول إلى الشبكة
• خادم المصادقة: خادم كمبيوتر الذي يتفاوض على استخدام طريقة EAP محددة مع نظير EAP, يتحقق من بيانات اعتماد نظير EAP, ويسمح بوصول إلى الشبكة. عادةً, يكون خادم المصادقة هو خادم خدمة الوصول عن بعد

رسائل EAP

• تتضمن رسائل EAP الحقول التالية:
  • الرمز: يحدد الرمز نوع رسالة EAP.
  • المعّرف: يُستخدم لتعيين استجابات مع طلبات .
  • الطول: يشير إلى الطول, بالبايتات, لرسالة EAP, بما في ذلك الرموز, المعّرف ,الطول, وحقول البيانات.
  • البيانات: تتضمن معلومات متعلقة بالمصادقة. عادةً,يتكون حقل البيانات من حقل النوع, الذي يشير إلى نوع البيانات المنقولة, وحقل بيانات النوع

مصطلحات ‎IEEE 802.1X

• جهة مصدقة: كيان في نهاية مقطع LAN, من نقطة إلى نقطة يسهل مصادقة الكيان إلى النهاية الأخرى من الرابط تبادل المصادقة: محادثة الطرفين بين النظامين الذين يجريان عملية المصادقة عملية المصادقة: عمليات التشفير وإطارات البيانات الداعمة التي تنفذ المصادقة الفعلية خادم المصادقة: كيان يوفر خدمة المصادقة للمصادق.
• تحدد هذه الخدمة بناءً على البيانات المقدمة من, ما إذا كان المتسول مصرّحًا له دخولًا إلى الخدمات الذي يقدمه نظام المصادقة التابع له
• بروتوكول نقل المصادقة : جلسة سجل البيانات التي تنشط وبشكل فعّال تبادل المصادقة بين النظامين منفذ الجسر : منفذ 802.1Q IEEE أو‎ 802.1D Bridge منفذ طرفي: جهاز تحويل متصل بشبكة LAN, ولا توجد عليه جسور أخرى متصلة منفذ الدخول الشبكي: ‎نقطة وصول نظام إلى شبكة LAN
• ‎ ويمكن أن يكون نقطة وصل, مثل LAN MAC فردي يربط مقطع ‎LAN أو منفذ منطقي, على سبيل المثال‎, ‎ارتباط IEEE ‎(802.11) بين محطة الوصول
• كيان وصول المنفذ (PAE): الكيان البروتوكولي المرتبط بالمنفذ يمكن أن يدعم وظيفة البروتوكول المتعلقة بالمصدِّق أو المتسول أو كليهما
• طرف الدخول: كيان في نهاية قطعة LAN من نقطة إلى نقطة يسعى المصادق بمقطع الوصل الآخر إلى مصادقته

أنواع إطارات EAPOL الشائعة

• EAPOL-EAP‎ تحمل حزمة ‎EAP مغلقة
• EAPOL-Start‎ مصدر يجوز أن ترسل هذه الحزمة بدلًا من أن يتم تحديها من جهة الدخول
• EAPOL-Logoff المستخدمة لإنهاء حالة البوابة إلى غير معتمد وذلك عند إتمام المصدر استخدام الشبكة
• يستخدمEAPOL-Key ‎ لتبادل شفرات ترميز معلومات‬

تتضمن الحقوق التالية تنسيق مجموعة EAPOL:

• إصدار البروتوكول: إصدار EAPOL
• نموذج المجموعة: يُبين البدء EAP, key, تسجيل الخروج وأكثر‎
• طول مجموعة الجسم : إذا كانت المجموعة تتضمن جسمًا, فهذا الحقل يُشير إلى طول الجسم.
• جسم المجموعة : حمولة إطارات EAPOL‎- هذا مثالٌ لإطار EAP