پروتكل RADIUS برگرفته شده از (Remote Authentication Dial-In User Service) ، استانداردی برای طراحی و پياده سازی سرويس دهندگانی است كه مسئوليت تائيد و مديريت كاربران را برعهده خواهند گرفت.مشخصات و نحوه عملكرد پروتكل RADIUS در RFC 2865 و RFC 2866 تعريف شده است. پروتكل RADIUS از يك معماری سرويس گيرنده - سرويس دهنده برای تائيد و accounting استفاده می نمايد . پروتكل فوق اطلاعات accounting ، پيكربندی ، تائيد و مجوزها را بين يك سرويس گيرنده RADIUS و يك سرويس دهنده RADIUS حمل می نمايد . سرويس گيرنده RADIUS می تواند يك سرويس دهنده دستيابی شبكه ( NAS ، برگرفته شده از network access server ) و يا هر نوع دستگاه مشابه ديگری باشد كه نيازمند تائيد و accounting است.
همانگونه كه اشاره گرديد NAS به عنوان يك سرويس گيرنده RADIUS عمل می نمايد . سرويس گيرنده مسئول ارسال اطلاعات كاربر برای سرويس دهنده RADIUS است تا بر اساس نتايج برگردانده شده توسط سرويس دهنده ، در خصوص كاربر تعيين تكليف گردد . سرويس دهندگان RADIUS مسئول دريافت درخواست ارتباط كاربر ، تائيد وی و ارسال اطلاعات پيكربندی مورد نياز برای سرويس گيرنده به منظور عرضه سرويس به كاربر می باشند . يك سرويس دهنده RADIUS می تواند به عنوان يك سرويس گيرنده پراكسی به ساير سرويس دهندگانRADIUS و يا ساير سرويس دهندگان تائيد نيز عمل نمايد. سرويس گيرندگان RADIUS از طريق پورت های 1812 و 1813 پروتكل حمل UDP برگرفته شده از (User Datagram Protocol ) با يك سرويس دهنده RADIUS ارتباط برقرار می نمايند . در نسخه های اوليه پروتكل RADIUS از پورت های 1646 و 1645 پروتكل UDP استفاده می گرديد . پروتكل RADIUS از پروتكل حمل TCP برگرفته شده از (Transmission Control Protocol ) حمايت نمی نمايد. پس از اینکه یک کاربر اعتبار لازم جهت ایجاد یک ارتباط دسترسی از راه دور را فراهم نمود، این ارتباط باید توسط یک سرور، ویندوز سرور 2008 که اجرا کننده سرویس Network Policy Server) NPS) باشد تصویب شود، و یا توسط یک سرویس احراز هویت و تصدیق هویت دیگری مثل Remote Authentication Dial-In User Service (RADIUS) تصویب شود. مجوز دسترسی از راه دور شامل دو مرحله می باشد:
پیاده سازی یک سرور RADIUS یک NPS می باشد . از یک سرور RADIUS به منظور متمرکز سازی عملیات احراز هویت (authentication) ، تصدیق هویت (authorization) و ورود کاربر استفاده نمایید. زمانی که شما یک سرورRADIUS را پیاده سازی می کنید ، چندین کامپیوتر اجرا کننده سرویس RRAS می توانند درخواستهای در دسترس خود را به سرور RADIUS ارسال نمایند. و سپس سرور RADIUS برای انجام فرایند تصدیق و اعمال NPS به درخواستهای ارتباط با دامین کنترلر تماس گرفته و برای آن درخواست ارسال می کند.مفاهیم احراز هویت و تصدیق هویت اغلب مورد اشتباه قرار می گیرند. احراز هویت فرآیندی است که ارزیابی می کند موجودیت یا شیء خاصی نسبت به آنچه ادعا می کند چیست و یا کیست .مثال ها شامل تطابق منبع اطلاعات و تمامیت و درستی اطلاعات می باشد مثل ارزیابی یک امضای دیجیتالی یا ارزیابی شناسه یک کاربر یا یک کامپیوتر ، تصدیق هویت فرآیندی است که مشخص می کند یک کاربر بر روی شبکه یا یک سیستم کامپیوتری چه کاری را اجازه دارد انجام دهد. بطور طبیعی ، فرآیند تصدیق هویت پس از انجام موفقیت آمیزفرایند احراز هویت رخ می دهد. به علاوه اغلب سیستم های دسترسی از راه دور شامل یک بخش بررسی نیز می باشد که دسترسی به منابع را Log می کند. به طور خلاصه :
مشخصات شماره گیری (dial-in) ، که به طور مستقیم به هر ارتباط VPN و dial-up اعمال می شود. از طریق برگه dial-in مربوط به properties حساب کاربری قابل تنظیم است . اگر کاربری اقدام به برقراری تماس با دامنه ای نماید،نام کاربری ارسال شده برای ارتباط dial-up باید در دامنه موجود باشد و با آن مطابقت داشته باشد. مسخصات شماره گیری مربوط به این حساب کاربری همچنین می تواند در کنسول Active Directory Users and Computers نیز تنظیم شوند. اگر کاربر اقدام به شماره گیری به یک سرور stand-alone نماید ،باید یک حساب کاربری درون پایگاه داده Security Accounts manager (SAM) مربوط به سرور پاسخگو وجود داشته باشد. SAM یک سرویس ویندوز است که در مدت فرآیند ورود مورد استفاده قرار می گیرد. SAM اطلاعات مربوط به حساب کاربری را نگهداری می کند که حتی شامل گروهی که کاربر عضو آن است نیز می شود. مشخصات مربوط به شماره گیری این حساب کاربری نیز می تواند در کنسول Local Users And Groups در Computer Management تنظیم شود . درویندوز 2008 گزینه Control access through NPS Network Policy به صورت پیش فرض فعال شده است .شما می توانید اجازه دسترسی از راه دور را برای حسابهای کاربری در یکی از سه سطح زیر تنظیم نمایید:
اگر گزینه Verify Caller- ID انتخاب شده باشد، سرور شما هر تلفن تماس گیرنده را ارزیابی می کند. اگر شماره تلفن با شماره تلفن تنظیم شده مطابقت نداشته باشد،تلاش برای برقراری ارتباط با شکست روبرو می شود. توجه داشته باشید که تماس گیرنده ،سیستم تلفنی بین تماس گیرنده و سرور و نیز سرور دسترسی از راه دور باید از تکنولوژی callrr ID پشتیبانی نمایند. بر روی یک کامپیوتر اجرا کننده سرویس RRAS ، پشتیبانی از caller ID شامل تجهیزات call answering (پاسخگوی تماس) می باشد، که اطلاعات مربوط به شناسه تماس گیرنده و نیز درایور ویندوز متناسب جهت گذر اطلاعات به سمت سرویس RRAS را فراهم می کند. اگر شما شماره تلفن یک تماس گیرنده را برای یک کاربر تنظیم می کنید ولی شما از گذر اطلاعات caller ID از تماس گیرنده به سمت سرویس RRAS پشتیبانی نکنید،تلاش برای برقراری ارتباط با شکست روبرو می شود.به صورت پیش فرض، Callback Options به صورت No Callback تنظیم شده است ، اگر گزینه Set by Caller انتخاب شده باشد،سرور یا تماس گیرنده با شماره مشخص شده توسط تماس گیرنده تماس می گیرد. اگر گزینه Always Callback to : انتخاب شده باشد، مدیر شبکه باید شماره ای را مشخص کند که سرور در مدت فرآیند Callback همیشه از آن استفاده نماید. به علاوه ، شما می توانید برای این کار یک و یا چند آدرس IP ثابت را پیکربندی کنید برای هر زمانی که کاربر به یک سرور دسترسی از راه دور متصل می شود.
یک سیاست شبکه NPS مجموعه ای از مجوزها و محدودیت ها است که توسط یک سرور تصدیق دسترسی از راه دور خوانده شده و به اطلاعات دسترسی از راه دور اعمال می شود. مجوزهای دسترسی از راه دور به آسانی قابل درک می باشند و در ویندور NT4.0 و ویندوز NT 3.51 پیاده سازی شده اند. مجوزهای دسترسی از راه دور به صورت مستقیم به حسابهای مربوط به کاربران و از طریق ابزارهای User Manager و یا Remote Access Administration اعطا می شود، که این امری ساده و آسان می باشد و البته در صورتی که هر چه تعداد کاربران نیازمند اعطای کمتر باشد، ایده آل تر کار خواهد کرد. در ویندوز سرور 2008 ، ویندوز سرور 2003 و ویندوز 2000 سرور تصدیق هویت از راه دور پیچیده تر می باشد و در نتیجه تلاش بیشتری را برای درک آن نیازمند است . به هر حال ، قدرتمند تر بوده و نیازهای امنیتی بیشتری را برای سازمان های کوچک و بزرگ فراهم می کند.
همانطور که پیش از این ذکر شد، تصدیق هویت توسط ترکیب مشخصات شماره گیری مربوط به حساب کاربری و نیز گروه ها، زمان ،نوع ارتباط درخواست شده و دیگر متغیرها ، تصویب می شود و یا با شکست مواجه می شود. با استفاده از NPST ، یک کامپیوتر ویندوز سرور 2008 می تواند به عنوان یک سرور RADIUS عمل کند و عملیات احراز هویت ، تصدیق هویت و accounting را برای دستیابی به منابع شبکه ای انجام دهد.
یک سیاست شبکه ای NPS ، که در حقیقت قانونی برای ارزیابی ارتباطات راه دور می باشد دارای سه بخش می باشد: Conditions (شرایط) ، Constrains (محدودیت ها) و Settings ( تنظیمات) . شما می توانید در مورد یک سیاست شبکه NPS به عنوان یک قانون برای اجازه یا عدم اجازه دسترسی از راه دور فکر کنید: ویندوز سرور 2008 هر گونه تلاش برای برقراری ارتباط با قوانین پیکربندی شده درون هر سیاست شبکه ای NPS را مقایسه می کند. اگر شرایط و محدودیت های تعریف شده توسط ارتباط درخواستی با موارد تنظیم شده در سیاست شبکه ای مطابقت داشته باشد سرور دسترسی از راه دور به برقراری ارتباط اجازه می دهد یا اجازه نمی دهد و سپس تنظیمات اضافی دیگری را همان گونه که توسط سیاست تعریف شده است نیز پیکربندی می کند. هر کدام از سیاست های دسترسی از راه دور دارای تنظیمات مرتبط به مجوزهای دسترسی (Access permission) می باشند که مشخص می کند آیا ارتباط منطبق با سیاست اجازه داده شود یا خیر.زمانی که کاربری اقدام به اتصال به یک سرور دسترسی از راه دور می کند، فرآیند زیر که در شکل توضیح داده شده است اتفاق می افتد:
سیاست شبکه ای NPS بر روی هر سرور دسترسی از راه دور تدارک دیده می شود و هر سیاست از بالا به پایین ارزیابی می شود. قرار دادن سیاست ها به ترتیب درست ، از اهمیت خاصی برخوردار است ، چرا که به محض اینکه سرور RRAS یک هماهنگی را پیدا کند، فرآیند پردازش دیگر سیاست ها را متوقف می سازد. برای مثال، اگر شما یک سیاست شبکه NPS را به این صورت داشته باشید که << تمامی ارتباط ها بین ساعات 8 صبح تا 5 بعداز ظهر نادیده گرفته شوند>> و به عنوان اولین سیاست تنظیم شده باشد، آنگاه سرور RRAS تمامی ارتباطات در مدت زمان مشخص شده را نادیده می گیرد، حتی اگر شما سیاست مهمتری در پایین لیست داشته باشید. به عنوان بهترین کار، سیاست های شبکه NPS باید طوری مرتب شوند که سیاست های خاص تر در بالای لیست قرار بگیرند و سیاست های غیرخاص در پایین لیست قرار بگیرد و به این ترتیب سیاست ها به صورت صحیح پردازش می شوند.
برای مثال ، شما ممکن است دو سیاست را به صورت زیر داشته باشید:
در این سناریو، یک عضو گروه Remote Consultant قادر به برقراری ارتباط در ساعت 10 صبح روز شنبه خواهد بود . چرا که با سیاست شماره یک مطابقت دارد و قبل از سیاست شماره دو پردازش می شود. اگر کاربری عضو گروه مذکور نباشد ، با سیاست شماره یک هماهنگی نخواهد داشت و سیاست شماره تأثیرگذار می باشد.در ویندوز سرور 2008 به صورت پیش فرض دو سیاست شبکه NPS پیکربندی شده است. اولین سیاست پیش فرض، مربوط به ارتباطات Routing and Remote Access Server مایکروسافت می باشد، و برای هماهنگی تمامی ارتباط های دسترسی از راه دور با سرویس RRAS پیکربندی شده است . زمانی که RRAS این سیاست را مطالعه می کند، سیاست به صورت طبیعی با هرگونه ارتباط ورودی تطابق پیدا می کند. اگر یک سرور RADIUS و یا یک مکانیزم احراز هویت Third – party (سوم شخص تصدیق کننده) دیگری این سیاست را مطالعه کند دسترسی شبکه ممکن است توسط یک سازنده غیرمایکروسافتی تدارک دیده شود. در نتیجه این سیاست با آن ارتباطات مطابقت نخواهد داشت.
دومین سیاست پیش فرض مربوط به ارتباطات دیگر سرورهای دسترسی از راه دور می باشد این سیاست برای تطابق و هماهنگی هرگونه ارتباط ورودی بدون توجه به نوع سرور دسترسی به شبکه ، پیکربندی شده است به دلیل اینکه اولین سیاست با تمامی ارتباطات ارسالی به سرور RRAS هماهنگی دارد، این سیاست تنها زمانی موثر است که ارتباط ورودی توسط یک سرور RADIUS یا مکانیزم احراز هویت دیگری، تصدیق شده باشد.
هر سیاست شبکه NPS براساس شرایط سیاستی می باشد که مشخص می کند چه زمانی سیاست باید اعمال شود . برای مثال ، یک سیاست ممکن است حاوی شرطی معین براین باشد که Windows Groups با WINGTIPTOYS\\Telecommuters هماهنگ باشد . این سیاست سپس ممکن است با یک ارتباط مربوط به کاربری عضو گروه امنیتی Telecommuters هماهنگی و مطابقت کند.با کلیک کردن بر روی دکمه Add درون کادر محاوره ای select Attribute از برگه conditions، شما می توانید یک گروه جدید برای یک شرط سیاست دسترسی از راه دور، اضافه نمایید.
یک پروفایل سیاست شبکه NPS حاوی مجموعه ای از تنظیمات و مشخصات است که می توانند به یک ارتباط اعمال شوند. شما می توانید یک پروفایل NPS را از طریق کلیک کردن بر روی برگه Settings در صفحه Properties سیاست ، پیکربندی نمایید. نمونه ای از تنظیمات سیاست NPS حاوی مشخصات IP است که رفتار تخصیص آدرس IP را مشخص می کند. شما دارای گزینه های زیر می باشید:
به علاوه شما می توانید مشخصات مربوط به multilink را نیز تنظیم کنید که یک ارتباط دسترسی از راه دور را قادر می سازد تا از چندین مودم برای تنها یک ارتباط استفاده کند و حداکثر تعداد پورت هایی(مودم) را که یک ارتباط multilink می تواند استفاده کند را مشخص می کند،همچنین می توانید سیاستهای مربوط به Bandwidth Allocation Protocol(BAP) را نیز تنظیم کنید که کاربرد و استفاده از BAP و اینکه چه زمانی خطوط BAP اضافه یا حذف شوند را مشخص می کند. تمامی مشخصات مرتبط با multilink و BAP در سرویس RRAS مشخص شده است. به صورت پیش فرض BAP وmultilink به صورت غیرفعال می باشند. سرویس RRAS به منظور اجرای ویژگیهای مربوط به پروفایل multilink باید این دو کاربرد را فعال کند.در نهایت چهار روش رمزنگاری در برگه Encryption در دسترس می باشد:
برای احراز هویت یا تصدیق کردن اعتبار ارائه شده توسط ارتباطات dial-up ابتدا سرور دسترسی از راه دور باید با کاربران طبق یک پروتکل احراز هویت رایج مذاکراتی را انجام دهد. اغلب پروتکل های احراز هویت برخی معیارهای امنیتی را در نظر می گیرند که اعتبارات کاربر می تواند در آنها نفوذ کند. پروتکل های احراز هویت به کاربران در سرورهای تحت سیستم عامل ویندوز اولویتی بر اساس سطح امنیتی تخصیص می دهند.در زیر لیست کاملی از تمامی پروتکل های احراز هویت ( به ترتیب از امن ترین تا کم ترین امنیت لیست شده اند)، که توسط سرویس RRAS در ویندوز سرور 2008 پشتیبانی می شوند آمده است :
به صورت پیش فرض ،تمامی تلاش های دسترسی از راه دور درون یک فایل متنی در مسیر C:\\Windows\\system32\\LogFiles ذخیره می شود، اما شما می توانید برای گزارش دهی و همبستگی رخدادها به صورت بهینه تر و بهتر آنها را درون یک پایگاه داده SQL ذخیره و ثبت نماید.
علاوه بر چالش های دسترسی از راه دور به شبکه سازمانی شما، پیشرفت های اخیر در تکنولوژی های سیار نیاز جدیدی را مبتنی بر تأمین امنیت دیگر انواع دسترسی ها به شبکه ایجاد نموده است .موضوع نگران کننده تأمین امنیت دسترسی های بی سیم از استفاده های غیرمجاز و یا جلوگیری از اتصال بازدید کننده ها و مشاورین به یک شبکه غیر ایمن در یک اتاق کنفرانس برای استفاده از منابع حساس می باشد ، که نیاز به داشتن دسترسی ایمن به شبکه سازمان حتی با وجود نام کاربری و کلمه عبور و فرآیندهای محافظتی احراز هویت که در قبل کافی بوده است، احساس می شود.
برای کمک به تأمین امنیت دسترسی های شبکه چه در ارتباطات سیمی و چه در ارتباطات بی سیم انجمن IEEE اقدام به ایجاد استاندارد 802.1X برای کنترل دسترسی به شبکه نموده است. 802.1X مبتنی بر پورت می باشد، یعنی اینکه می توان دسترسی را براساس یک پورت فیزیکی اجازه داد یا نادیده گرفت ، مثل اینکه شخصی فقط به یک پایه wall jack با استفاده از یک کابل اترنت متصل شود و یا براساس یک پورت منطقی مثل اینکه شخصی به یک Access Point بی سیم با استفاده از کارت های WIFI در یک یا چندین کامپیوتر همراه یا وسیله دستی متصل شود.802.1X امنیت مبتنی بر پورت را با استفاده از سه بخش زیر برقرار می کند:
زمانی که یک پورت سیمی یا بی سیم با وجودد802.1X امنیت لازم را داشته باشد، قبل از هر گونه اعطای مجوز دسترسی به شبکه ، فرآیند زیر صورت می گیرد:
1- authenticator (پورت سوئیچ یا WAP) یک تلاش برای دسترسی را از سمت یک Supplicant جدید شناسایی می کند(یک کاربر بی سیم یا یک کاربر متصل شده به یک پورت فیزیکی).
2- authenticator سپس پورت را (خواه فیزیکی یا منطقی)به عنوان unauthorized (غیرمجاز) تنظیم می کند که تنها ترافیک 802.1X قادر به عبور از آن می باشد.
برای پیکربندی یک ویندوز سرور 2008 برای داشتن دسترسی های بی سیم شما نیازمند انجام موارد زیر می باشید:
3. یک سرور NPS ویندوز سرور 2008 را بعنوان یک سرور RADIUS پیکربندی کنید که این شامل سه مرحله زیر میشود:
نویسنده :
منبع:جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود