الإيجارات والسلاسل الخاصة بتقييد الوصول إلى الجهاز

المقدمة

يصف هذا المستند مشكلة تمت مصادفتها مع "تقييد الوصول إلى الجهاز" (MAR)، ويقدم حلا للمشكلة.

ومع نمو الأجهزة التي يملكها الأفراد، من المهم أكثر من أي وقت مضى أن يوفر مسؤولو النظام طريقة لتقييد الوصول إلى أجزاء معينة من الشبكة على الأصول المملوكة للشركات فقط. تتعلق المشكلة الموضحة في هذا المستند بكيفية التعرف بشكل آمن على هذه المناطق ذات الاهتمام والتحقق منها دون مقاطعة اتصال المستخدم.

المتطلبات الأساسية

المتطلبات

cisco يوصي أن يتلقى أنت معرفة من 802.1x in order to فهمت هذا وثيقة بالكامل. يفترض هذا المستند وجود إلمام بمصادقة المستخدم 802.1x، ويبرز المشاكل والمزايا المرتبطة باستخدام مصادقة الجهاز MAR، وبشكل أعم مصادقة الجهاز.

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

المشكلة

يحاول MAR بشكل أساسي حل مشكلة مشتركة كامنة في معظم طرق بروتوكول المصادقة المتوسع (EAP) الحالية والشائعة، وبالتحديد أن مصادقة الجهاز ومصادقة المستخدم عمليتان منفصلتان وغير مرتبطتان.

مصادقة المستخدم هي طريقة مصادقة 802.1x مألوفة لمعظم مسؤولي النظام. تتمثل الفكرة في إعطاء بيانات الاعتماد (اسم المستخدم/كلمة المرور) لكل مستخدم، وتمثل هذه المجموعة من بيانات الاعتماد شخصا ماديا (يمكن مشاركتها بين عدة أشخاص أيضا). لذلك، يمكن للمستخدم تسجيل الدخول من أي مكان في الشبكة باستخدام بيانات الاعتماد هذه.

مصادقة الجهاز هي نفسها من الناحية التقنية، ولكن لا يطلب من المستخدم عادة إدخال بيانات الاعتماد (أو الشهادة)، ويقوم الكمبيوتر أو الجهاز بذلك من تلقاء نفسه. يتطلب هذا أن يكون لدى الجهاز بيانات اعتماد مخزنة بالفعل. اسم المستخدم الذي تم إرساله هو host/<MyPCHostname>، شريطة تعيين <MyPCHostname> على اسم المضيف. بمعنى آخر، فإنها ترسل المضيف/ يتبعه اسم المضيف.

وعلى الرغم من أن هذه العملية غير مرتبطة مباشرة بنظامي التشغيل Microsoft Windows و Cisco Active Directory، إلا أنه يتم تقديمها بسهولة أكبر في حالة انضمام الجهاز إلى خدمة Active Directory بسبب إضافة اسم مضيف الكمبيوتر إلى قاعدة بيانات المجال، ويتم التفاوض مع بيانات الاعتماد (وتجديدها كل 30 يوما بشكل افتراضي) وتخزينها على الجهاز. وهذا يعني أن مصادقة الجهاز ممكنة من أي نوع من الأجهزة، ولكن يتم تقديمها بسهولة وشفافية أكبر بكثير إذا تم انضمام الجهاز إلى Active Directory، وتظل بيانات الاعتماد مخفية عن المستخدم.

مار كحل

من السهل القول إن الحل متروك لنظام التحكم في الوصول من Cisco (ACS) أو محرك خدمات الهوية (ISE) من Cisco لإكمال تصحيح الأخطاء (MAR)، ولكن هناك مزايا ومساوئ يجب مراعاتها قبل تنفيذ هذا الأمر. أفضل وصف لكيفية تنفيذ هذا في أدلة المستخدم الخاصة ب ACS أو ISE، لذلك يصف هذا المستند ببساطة ما إذا كان سيتم أخذه في الاعتبار أم لا، وبعض الحواجز المحتملة.

الايجابيات

تم أختراع MAR لأن مصادقة المستخدم والآلة منفصلة تماما. لذلك، لا يمكن لخادم RADIUS فرض التحقق حيث يجب على المستخدمين تسجيل الدخول من الأجهزة التي تمتلكها الشركة. مع MAR، يفرض خادم RADIUS (ACS أو ISE، على جانب Cisco)، بالنسبة لمصادقة مستخدم معينة، أنه يجب أن تكون هناك مصادقة جهاز صالحة في ساعات X (عادة 8 ساعات، ولكن هذه قابلة للتكوين) التي تسبق مصادقة المستخدم لنفس نقطة النهاية.

وبالتالي، تنجح مصادقة الجهاز إذا كانت بيانات اعتماد الجهاز معروفة بواسطة خادم RADIUS، وعادة ما يتم انضمام الجهاز إلى المجال، ويتحقق خادم RADIUS من ذلك باستخدام اتصال بالمجال. يعود الأمر بالكامل لمسؤول الشبكة لتحديد ما إذا كانت مصادقة الجهاز الناجحة توفر وصولا كاملا إلى الشبكة، أو وصول مقيد فقط، وعادة ما يؤدي ذلك على الأقل إلى فتح الاتصال بين العميل وخدمة Active Directory حتى يتمكن العميل من تنفيذ إجراءات مثل تجديد كلمة مرور المستخدم أو تنزيل كائنات نهج المجموعة (GPOs).

إذا جاءت مصادقة المستخدم من جهاز لم تتم فيه مصادقة الجهاز في الساعتين السابقتين، يتم رفض المستخدم حتى إذا كان المستخدم صالح عادة.

لا يتم منح حق الوصول الكامل إلا لمستخدم إذا كانت المصادقة صالحة وتم إكمالها من نقطة نهاية حيث تم إجراء مصادقة للجهاز في الساعات القليلة الماضية.

السلبيات

يصف هذا القسم سلبيات إستخدام MAR. 

MAR و Microsoft Windows Request

تتمثل الفكرة وراء MAR في أنه لكي يتم الحصول على مصادقة المستخدم، لا يجب أن يكون لدى المستخدم بيانات اعتماد صالحة فحسب، بل يجب تسجيل مصادقة جهاز ناجحة من ذلك العميل أيضا. في حالة وجود أي مشكلة مع ذلك، يتعذر على المستخدم المصادقة. المشكلة التي تنشأ هي أن هذه الميزة يمكن في بعض الأحيان أن تمنع عميلا شرعيا عن غير قصد، وهو ما يفرض على العميل إعادة التمهيد من أجل إستعادة الوصول إلى الشبكة.

يقوم Microsoft Windows بإجراء مصادقة الجهاز فقط في وقت التمهيد (عندما تظهر شاشة تسجيل الدخول)، وبمجرد إدخال المستخدم لبيانات اعتماد المستخدم، يتم إجراء مصادقة المستخدم. أيضا، إذا سجل المستخدم الخروج (يرجع إلى شاشة تسجيل الدخول)، يتم إجراء مصادقة جهاز جديدة.

هنا مثال سيناريو يوضح لماذا يسبب MAR أحيانا المشاكل:

كان المستخدم X يعمل طوال اليوم على جهاز الكمبيوتر المحمول الذي بحوزته والذي كان متصلا عبر اتصال لاسلكي. وفي نهاية اليوم، يغلق الكمبيوتر المحمول ويترك العمل. وهذا يضع الكمبيوتر المحمول في حالة سبات. وفي اليوم التالي، عاد إلى المكتب وفتح حاسوبه المحمول. أما الآن فهو غير قادر على تأسيس اتصال لاسلكي.

عندما يقوم نظام التشغيل Microsoft Windows بتسجيل الإسبات، فإنه يأخذ لقطة للنظام في حالته الحالية، والتي تتضمن سياق من قام بتسجيل الدخول. بين عشية وضحاها، ينتهي إدخال الكمبيوتر المحمول المستخدم الذي تم تخزينه مؤقتا والذي تم إزالته. ومع ذلك، عند تشغيل الكمبيوتر المحمول، فإنه لا يقوم بإجراء مصادقة الجهاز. بدلا من ذلك تذهب مباشرة إلى مصادقة المستخدم، بما أن ذلك كان ما سجله الإسبات. تتمثل الطريقة الوحيدة لحل هذه المشكلة في تسجيل خروج المستخدم، أو إعادة تشغيل الكمبيوتر.

وعلى الرغم من أن MAR ميزة جيدة، فإنها تنطوي على إمكانية التسبب في انقطاع الشبكة. هذه الاضطرابات يصعب حلها حتى تفهم طريقة عمل MAR، ومن المهم عند تطبيق MAR تثقيف المستخدمين النهائيين حول كيفية إيقاف تشغيل أجهزة الكمبيوتر بشكل صحيح وتسجيل الخروج من كل جهاز في نهاية كل يوم.

خوادم MAR المختلفة وتقنية RADIUS

من الشائع وجود العديد من خوادم RADIUS في الشبكة لأغراض موازنة الأحمال والتكرار. ومع ذلك، لا تدعم جميع خوادم RADIUS ذاكرة تخزين مؤقت لجلسة عمل MAR المشتركة. لا يدعم مزامنة ذاكرة التخزين المؤقت ل MAR بين العقد إلا إصدارات ACS 5.4 والإصدارات الأحدث، و ISE الإصدار 2.3 والإصدارات الأحدث. قبل هذه الإصدارات، لا يمكن إجراء مصادقة جهاز مقابل خادم ACS/ISE واحد، وإجراء مصادقة مستخدم مقابل آخر، نظرا لأنها لا تتطابق مع بعضها البعض.

تقنية MAR والتحويل اللاسلكي السلكي

يعتمد ذاكرة التخزين المؤقت ل MAR للعديد من خوادم RADIUS على عنوان MAC. إنه عبارة عن جدول به عنوان MAC لأجهزة الكمبيوتر المحمولة والطابع الزمني لآخر مصادقة ناجحة للأجهزة الخاصة بها. بهذه الطريقة، يمكن أن يعرف الخادم ما إذا كان العميل قد تمت مصادقته في آخر X ساعة.

ومع ذلك، ماذا يحدث إذا قمت بتمهيد الكمبيوتر المحمول لديك باستخدام اتصال سلكي (وبالتالي إجراء مصادقة الجهاز من جهاز MAC سلكي) ثم التبديل إلى اتصال لاسلكي أثناء اليوم؟ ليس لدى خادم RADIUS أية وسيلة لربط عنوان MAC اللاسلكي الخاص بك بعنوان MAC السلكي ولمعرفة أنه تمت مصادقة جهازك في الساعات X الماضية. الطريقة الوحيدة هي تسجيل الخروج وجعل Microsoft Windows يقوم بإجراء مصادقة جهاز أخرى عبر الاتصال اللاسلكي.

الحل

من بين العديد من الميزات الأخرى، يتمتع Cisco AnyConnect بميزة التوصيفات المكونة مسبقا التي تعمل على تشغيل مصادقة الجهاز والمستخدم. ومع ذلك، فقد تمت مواجهة نفس القيود التي ظهرت مع ملتمس Microsoft Windows، فيما يتعلق بمصادقة الجهاز التي تحدث فقط عند تسجيل الخروج أو إعادة التشغيل.

كما يمكن إجراء EAP-FAST مع توصيل AnyConnect بالإصدارات 3.1 والإصدارات الأحدث، باستخدام توصيل EAP. هذه في الأساس مصادقة واحدة، حيث تقوم بإرسال زوجين من بيانات الاعتماد، اسم المستخدم/كلمة المرور للجهاز واسم المستخدم/كلمة المرور، في نفس الوقت. لذلك يتحقق ال‍ ISE بسهولة أكثر من نجاحهما كليهما. مع عدم إستخدام ذاكرة تخزين مؤقت وعدم الحاجة إلى إسترداد جلسة عمل سابقة، فإن ذلك يقدم موثوقية أكبر.

عند تمهيد الكمبيوتر الشخصي، يرسل AnyConnect مصادقة الجهاز فقط، نظرا لعدم توفر معلومات مستخدم. ومع ذلك، عند تسجيل دخول المستخدم، يرسل AnyConnect كلا من الجهاز والمستخدم المحدث في نفس الوقت. أيضا، إذا أصبحت غير متصل أو غير متصل/رد الكبل، فإن كلا من مسوغات الجهاز والمستخدم يتم إرسالها مرة أخرى في مصادقة EAP-FAST واحدة، والتي تختلف عن الإصدارات السابقة من AnyConnect دون توصيل EAP.

EAP-TEAP هو أفضل حل طويل الأجل حيث أنه مصمم خصيصا لدعم هذا النوع من المصادقة، لكن EAP-TEAP لا يزال غير مدعوم في المطلوب الأصلي للعديد من نظم التشغيل اعتبارا من هذا اليوم