بخش چهل‌و‌پنجم
آموزش رایگان سکیوریتی پلاس؛ فرآیند احراز هویت کاربران چگونه انجام می‌شود
هنگامی که کاربر به سیستم یا شبکه وارد می‌شود، یک توکن دسترسی برای او ایجاد می‌شود که در واقع مجوزی است که برای دسترسی به یک منبع یا انجام یک کار در سیستم عامل دریافت کرده است.

shabake-mag.jpg

برای مطالعه بخش قبل روی این آدرس کلیک کنید. 

این توکن منطقی تمام اطلاعات مورد نیاز برای اعتبارسنجی منابع را به همراه اطلاعات زیر شامل می‌شود:

■  شناسه امنیتیSID : شماره منحصر به فردی است که به کاربر اختصاص داده شده است. SID همان چیزی است که ویندوز برای شناسایی کاربر به جای نام کاربری واقعی از آن استفاده می‌کند. ما باب را به عنوان حساب کاربری bsmith می‌شناسیم، اما ویندوز باب را به عنوان SID خود می‌شناسد که چیزی شبیه به مقدار زیر است:

 S-1-5-21-2752813485-788270693-1974236881-116

شناسه امنیتی گروه: نشانه دسترسی حاوی فهرستی از هر گروهی است که کاربر عضو آن است. این شناسه اهمیت زیادی دارد، زیرا منبع به‌طور معمول با مجوزهای اختصاص داده شده به گروه‌ها پیکربندی می‌شود. ویندوز بررسی می‌کند که کاربر در کدام گروه‌ها از طریق نشانه دسترسی عضو است و سپس بررسی می‌کند که آیا یکی از آن گروه‌ها مجوز دسترسی به منبع را دارد یا خیر. اگر گروهی که در نشانه دسترسی برای آن موجود است اجازه دسترسی به منبع را داشته باشد، کاربر قادر است به منبع دسترسی پیدا کند.

مجوزهای دسترسی: در طول فرآیند ورود به سیستم، ویندوز مجوزهای کاربر را به همراه سطح دسترسی به منابع مختلف تا نگه‌داری می‌کند.  به عنوان مثال، اگر مجوز تغییر زمان سیستم را داشته باشید، این اطلاعات در طول فرآیند ورود به سیستم در نشانه دسترسی ذخیره می‌شود. اگر بخواهید زمان را در کامپیوتری تغییر دهید، توکن دسترسی شما برای این مسئله بررسی می‌شود. اگر مجوز مربوطه در توکن ثبت شده باشد، مجاز به تغییر زمان سیستم هستید.

توجه به این نکته ضروری است که توکن دسترسی تنها در هنگام ورود به سیستم ایجاد می‌شود، بنابراین اگر کاربر را به یک گروه جدید اضافه کنید، کاربر باید از سیستم خارج شده و دوباره وارد سیستم شود تا توکن دسترسی که شامل عضویت در گروه جدید است اعمال شود. پس از ورود مجدد، کاربر باید بتواند به منابع گروه جدید دسترسی داشته باشد، زیرا توکنی که در اختیار دارد با اطلاعات جدید به‌روز شده‌اند.

الزامات ابر (Cloud) در مقابل سازمانی (On-Premise)

هنگامی که ما به طرح‌های احراز هویت برای محیط‌های سازمانی نگاه می‌کنیم یعنی سرورهایی که روی شبکه محلی یا شبکه گسترده‌ای قرار دارد که هر روز به آن‌ها دسترسی دارید، اغلب این سیستم‌ها از شما می‌خواهند ابتدا فرآیند احراز هویت در شبکه را انجام دهید. برای شبکه‌های معمولی معمولاً فقط یک نام کاربری و رمز عبور برای ورود به سیستم درخواست می‌شود، اما برای شبکه‌های بسیار امن از نوعی احراز هویت چند عاملی (MFA) استفاده می‌شود.

برای محیط‌های مبتنی بر ابر یا هر وب‌سایتی که استفاده می‌کنید و نیاز به احراز هویت دارد، باید به دنبال پیاده‌سازی MFA باشید. اکثر سرویس‌های ابری به کاربر اجازه می‌دهند یک دستگاه تلفن همراه را با حساب کاربری خود هماهنگ کند تا وقتی وارد سیستم می‌شود، کدی که برای تلفن او ارسال شده را در فیلد مربوطه وارد کند تا ثابت کند همان فردی است که ادعا می‌کند. رویکرد فوق تضمین می‌کند که اگر هکری موفق شود به هر شکلی نام کاربری و رمز عبور فردی را پیدا کند، بازهم قادر نخواهد بود به وب‌سایت یا سرویس ابری وارد شود.

پروتکل‌های احراز هویت

هنگامی که کاربران اعتبارنامه‌هایی مانند نام کاربری و رمز عبور را ارائه می‌دهند، اطلاعات آن‌ها از طریق یک پروتکل احراز هویت برای سرور احراز هویت انتقال داده می‌شود. پروتکل احراز هویت نحوه ارسال اطلاعات احراز هویت از کلاینت به سرور را تعیین می‌کند. در ادامه با چند مورد از پروتکل‌های مختلف احراز هویت آشنا می‌شویم.

پروتکل‌های احراز هویت ویندوز

اولین نوع از پروتکل‌های احراز هویت که می‌خواهم به آن اشاره کنم، پروتکل‌های احراز هویت ویندوز هستند. این پروتکل‌های احراز هویت در محصولات مایکروسافت مانند خدمات اطلاعات اینترنتی (IIS) و Exchange Server یافت می‌شوند. از روش‌های احراز هویت مورد استفاده در دنیای مایکروسافت به موارد زیر باید اشاره کرد:

■   احراز هویت ناشناس (Anonymous authentication): در این روش لازم نیست به سرور وارد شوید. ویندوز از یک حساب کاربری در ارتباط با یک سرویس واقعی استفاده می‌کند و شما اطلاعات را از طریق این حساب ارسال می‌کنید. در روش فوق، مجوزهای دسترسی به منابع نیز بر مبنای همین حساب کاربری تخصیص داده می‌شوند. مکانیزم فوق یک روش احراز هویت محبوب برای وب‌سایت‌ها و سرورهای FTP است.

■   احراز هویت پایه (Basic authentication): باید وارد سیستم شوید و نام کاربری و رمز عبور را به صورت متن واضح به سرور ارسال کنید. به عبارت دقیق‌تر، اگر شخصی بین شما و سرور یک ابزار شنود بسته داشته باشد، آن شخص می‌تواند رمز عبور شما را بگیرد و آن‌را مشاهده کند، زیرا رمزگذاری نشده است.

■   احراز هویت یکپارچه ویندوز (Integrated Windows authentication): شما باید به سرور وارد شوید، اما نام کاربری و رمز عبور شما در قالب رمزگذاری شده به سرور ارسال می‌شود. اگر کاربران ملزم به ورود به سیستم باشند، این روش احراز هویت از احراز هویت اولیه ایمن‌تر است.

■   کربروس (Kerberos): یک پروتکل احراز هویت متقابل محبوب که به‌طور پیش‌فرض با محیط‌های اکتیو دایرکتوری ویندوز استفاده می‌شود. اکتیو دایرکتوری از استاندارد پروتکل دسترسی پوشه سبک‌وزن (LDAP)  سرنام Lightweight Directory Access Protocol  پیروی می‌کند که پروتکل اینترنتی برای دسترسی و پرس‌و‌جو به دایرکتوری است. Kerberos از یک سرور مرکز توزیع کلید (KDC) استفاده می‌کند که مسئول صدور تکیت‌ها است. این تیکت‌ها توسط کلاینت‌ها برای ارسال درخواست دسترسی به یک سرویس که روی سروری در شبکه میزبانی می‌شود استفاده می‌شود پردازه Kerberos زمانی شروع می‌شود که کلاینت به شبکه وارد می‌شود. KDC دارای مؤلفه‌ای است که به عنوان سرور احراز هویت (AS) شناخته می‌شود، که به کلاینت یک تیکت مجوز (TGT) سرنام ticket-granting service  می‌دهد و به کلاینت اجازه می‌دهد تا یک تیکت خدمات درخواست کند. هنگامی که کلاینت می‌خواهد به سرور خاصی در شبکه متصل شود، باید از سرویس اعطای تیکت (TGS) که یکی دیگر از مولفه‌های KDC است، درخواست تیکت کند. TGS تیکت را به کلاینت می‌دهد تا کلاینت بتواند به سرور مورد نیاز در شبکه دسترسی پیدا کند.

پروتکل‌های احراز هویت مشترک (Common Authentication Protocols)

روش‌های احراز هویت قبلی کاملا مایکروسافت محور هستند، از این‌رو، کارشناسان شبکه از پروتکل‌های استاندارد برای انجام احراز هویت استفاده می‌کنند. این پروتکل‌های احراز هویت استاندارد توسط سرویس‌های مختلف شبکه مانند سرویس دسترسی از راه دور (RAS) و شبکه خصوصی مجازی (VPN) استفاده می‌شوند.

RAS یک فناوری دسترسی از راه دور است که از اتصالات نقطه به نقطه با استفاده از پروتکل نقطه به نقطه (PPP) به عنوان پروتکل دسترسی از راه دور برای یک برنامه تلفنی (برای dial-up) برای اتصال به سرور RAS پشتیبانی می‌کند. VPN با استفاده از یک کانال امن از طریق یک شبکه نامعتبر مانند اینترنت به یک سرور راه دور (سرور VPN) متصل ‌ی شود. صرف نظر از اینکه از یک مکانیزم ارتباطی شماره‌گیری با RAS یا یک اتصال VPN ایمن استفاده می‌شود، هر دو RAS و VPN از پروتکل‌های احراز هویت زیر پشتیبانی می‌کنند:

■   پروتکل تأیید اعتبار گذرواژه (PAP) سرنام Password Authentication Protocol : پروتکل تأیید اعتبار گذرواژه، اطلاعات هویتی کاربر را به صورت متنی ساده ارسال می‌کند و کاملا غیر ایمن است، زیرا تحلیل و تفسیر ترافیک ورود به سیستم برای هر فردی ساده است. این پروتکل احراز هویت است که توسط روش احراز هویت پایه (basic authentication) که قبلا ذکر شد استفاده می‌شود.

■   Challenge Handshake Authentication Protocol  با پروتکل Challenge Handshake Authentication Protocol: سرور درخواستی را برای کلاینت ارسال می‌کند که در فرآیند احراز هویت استفاده می‌شود. مراحل زیر توسط CHAP انجام می‌شود:

  1. سرور یک پیام (کلید) را برای کلاینت ارسال می‌کند.
  2.  سپس کلاینت پیام را با رمز عبور ترکیب می‌کند. هم رمز عبور کاربر و هم پیام از طریق الگوریتم هش MD5 ترکیب می‌شوند تا یک مقدار هش (یک پاسخ ریاضی) ایجاد شود. مقدار هش برای احراز هویت به سرور ارسال می‌شود.
  3. سرور از همان کلید برای ایجاد یک مقدار هش با رمز عبور ذخیره شده در سرور استفاده می‌کند و سپس مقدار حاصل را با مقدار هش ارسال شده توسط کلاینت مقایسه می‌کند. اگر دو مقدار هش یکسان باشند، کلاینت رمز عبور صحیح را ارائه کرده است. مزیت روش فوق این است که اعتبار کاربر به هیچ وجه به شکل ساده در سراسر شبکه در معرض دید قرار نمی‌گیرد.

■   Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) MS-CHAP نسخه‌ای ویژه از CHAP است که از MD4 به‌عنوان الگوریتم هش استفاده می‌کند که در مقابل MD5 است که توسط CHAP استفاده می‌شود. MS-CHAP همچنین از پروتکل مایکروسافت MPPE سرنام Point-to-Point Encryption  برای رمزگذاری تمام ترافیک از کلاینت به سرور استفاده می‌کند.

■   MS-CHAPv2 با MS-CHAP نسخه ۲: روش گسترش‌یافته احراز هویت کلاینت و سرور است. MS-CHAPv2 از کلیدهای رمزگذاری قوی‌تری نسبت به CHAP و MS-CHAP استفاده می‌کند.

■   پروتکل احراز هویت توسعه‌یافته (EAP) سرنام Extensible Authentication Protocol : پروتکل تأیید اعتبار توسعه‌پذیر از روش‌های مختلف ورود به سیستم مثل کارت هوشمند، گواهی‌ها، Kerberos و احراز هویت با کلید عمومی پشتیبانی می‌کند. EAP اغلب با RADIUS استفاده می‌شود که یک سرویس احراز هویت مرکزی است که می‌تواند توسط راه‌حل‌های RAS، وایرلس و VPN استفاده شود.

RADIUS

RADIUS سرنام Remote Authentication Dial-In User Service  یک سرویس احراز هویت مرکزی است که سال‌های متمادی است که از آن استفاده می‌شود. همان‌طور که از نام آن پیدا است، این سرویس در ارتباط برای سرویس‌های Dialup استفاده می‌شود. در مکانیزم فوق، کامپیوتر کلاینت که نیاز به دسترسی به شبکه دارد برای اتصال از مکانیزم شماره‌گیری برای اتصال به سرور RAS یا برقراری اتصال با سرور VPN استفاده می‌کند. سرور RAS یا VPN در این مورد به عنوان کلاینت RADIUS شناخته می‌شود، زیرا درخواست احراز هویت را به سرور RADIUS که در پس زمینه اجرا می‌شود ارسال می‌کند. این سرور RADIUS اعتبارنامه‌ها را تأیید می‌کند و پاسخی در مورد این‌که آیا به کلاینت شبکه باید مجوز دسترسی داده شود یا اجازه دسترسی داده نشود ارسال می‌‌کند. شکل زیر عملکرد پروتکل فوق را نشان می‌دهد.

همان‌گونه که اشاره شد، RADIUS یک سرویس احراز هویت مرکزی برای خدمات و دستگاه‌ها است. با این‌حال، نکته‌ای که باید به آن دقت کنید این است که RADIUS یک پروتکل AAA است که از پروتکل UDP سرنام User Datagram  به عنوان پروتکل لایه انتقال و از پورت‌های UDP زیر استفاده می‌کند:

■   درگاه UDP 1812 برای خدمات احراز هویت و مجوزدهی.

■   درگاه UDP 1813 برای خدمات حساب‌رسی.

اگر به خاطر داشته باشید به شما گفتیم که 802.1X یک پروتکل احراز هویت رایج است که کنترل می‌کند چه کسی به یک شبکه سیمی یا بی‌سیم دسترسی پیدا ‌کند و برای احراز هویت کلاینت در پایگاه داده از سرور RADIUS استفاده می‌کند. سرپرستان شبکه می‌توانند از 802.1X برای کنترل دسترسی به شبکه‌های بی‌سیم و سوئیچ‌هایی که از احراز هویت مبتنی بر پروتکل فوق پشتیبانی می‌کنند استفاده کنند. رویکرد فوق روشی برای اجرای کنترل دسترسی به شبکه (NAC) است که در آن کنترل می‌کنید چه کسی می‌تواند به شبکه متصل شود.

DIAMETER

DIAMETER یک پروتکل AAA جدیدتر است که به‌عنوان جایگزینی برای RADIUS طراحی شده است. DIAMETER ارتباط قابل اعتمادتری را نسبت به RADIUS فراهم می‌کند، زیرا مبتنی بر TCP است. DIAMETER با ارائه یک پروتکل امن‌تر و مقیاس‌پذیرتر، خدمات ارائه شده از طریق RADIUS را بهبود بخشیده است.

TACACS و XTACACS

TACACS مخفف Terminal Access Controller Access Control System است و به عنوان یک سرویس احراز هویت که روی سیستم‌های یونیکس اجرا می‌شد، شناخته می‌شود. سرویس‌های TACACS روی پورت 49 پروتکل‌های TCP و UDP اجرا می‌شوند.

چند سال پس از عرضه TACACS، سیسکو سرویس احراز هویت اختصاصی خود را به نام XTACACS سرنام  Extended TACACS  ایجاد کرد که به عنوان یک سرویس احراز هویت مرکزی برای دستگاه‌های سیسکو کار می‌کند.

+TACACS

پروتکل ترمینال +TACACS سرنام  +Access Controller Access Control System پروتکل AAA است که توسط شبکه‌های سیسکو استفاده می‌شود و جایگزین پروتکل‌های اصلی TACACS و XTACACS شده است. +TACACS از پروتکل کنترل انتقال (TCP) برای ارتباط و توپولوژی RADIUS استفاده می‌کند. به این معنا که کلاینت سعی می‌کند به شبکه متصل شود و دستگاه شبکه (که مشتری TACACS است) درخواست احراز هویت را به سرور TACACS ارسال می‌کند.

TACACS+ از نظر امنیتی نسبت به RADIUS امن‌تر است، زیرا تمام اطلاعات بین کلاینت TACACS و سرور TACACS را رمزگذاری می‌کند، در حالی که RADIUS فقط رمز عبور را بین کلاینت RADIUS و سرور RADIUS رمزگذاری می‌کند.

سایر پروتکل‌های احراز هویت

پروتکل‌ها یا روش‌های احراز هویت دیگری نیز وجود دارند که توسط سیستم‌ها و برنامه‌ها برای احراز هویت کاربران در یک محیط تحت شبکه استفاده می‌شوند. در زیر برخی از فناوری‌های احراز هویت وجود دارند که برای آزمون سکیوریتی‌پلاس باید در مورد آن‌ها اطلاعات داشته باشید.

■  LDAP سرنام  Lightweight Directory Access Protocol  یک پروتکل اینترنتی است که برای دسترسی به یک سرویس دایرکتوری از طریق پورت TCP 389 طراحی شده است و به برنامه‌هایی که از LDAP پشتیبانی می‌کنند اجازه می‌دهد از طریق فهرستی مطمئن احراز هویت را انجام دهند و سپس اطلاعات مربوط به اشیاء ذخیره شده در فهرست را بازیابی کنند.

■    Secure LDAP: پروتکل دسترسی سبک‌وزن به دایرکتوری از لایه سوکت‌های امن (SSL) روی پورت TCP 636 برای رمزگذاری ارتباط بین کلاینت و سیستم LDAP استفاده می‌کند.

■    Security Assertion Markup Language:  یک استاندارد XML است که به سیستم‌ها اجازه می‌دهد اطلاعات احراز هویت و مجوز را به شکل ایمن مبادله کنند. این پروتکل اغلب با استانداردهای federation و احراز هویت مبتنی بر ادعا (claims-based authentication) استفاده می‌شود.

■   انکار ضمنی (Implicit deny): یک مفهوم امنیتی است که به احراز هویت مربوط می‌شود و از طریق ممانعت از دسترسی هر کسی به یک سیستم تا زمانی که احراز هویت کامل شود، مرتبط است.

■   Trusted OS: اصطلاحی است که برای شناسایی سیستمی استفاده می‌شود که چندین لایه امنیتی مانند احراز هویت و مجوز را پیاده‌سازی می‌کند تا مشخص کند چه کسی می‌تواند به یک سیستم دسترسی داشته باشد و چه کاری می‌تواند انجام دهد.

■   OAuth: یک پروتکل استاندارد صنعتی برای اجازه دادن به برنامه‌ها برای دسترسی به اطلاعات کاربر بدون افشای اطلاعات حساس مانند گذرواژه‌ها است.

■   OpenID Connect: پروتکل احراز هویتی است که با پروتکل مجوز OAuth کار می‌کند. OpenID Connect به برنامه‌ها اجازه می‌دهد اطلاعات مربوط به جلسه احراز هویت را بازیابی کنند.

■   Shibboleth: پیاده‌سازی نرم‌افزاری است که از توکن‌های SAML و سرویس‌های federation  در ارتباط با برنامه‌های SSO استفاده می‌کند.

■   Secure Token: یک توکن سخت‌افزاری است که کاربر برای دسترسی به منابع شبکه از آن استفاده می‌کند. توکن ایمن می‌تواند به شکل کارت هوشمند یا کلید fob استفاده شود.

■   NTLM NT LAN Manager : یک پروتکل امنیتی است که در شبکه‌های قدیمی مایکروسافت استفاده می‌شد و خدمات احراز هویت را به شبکه ارائه می‌کند. امروزه NTLM با Kerberos جایگزین شده است.

پیاده‌سازی احراز هویت

در شماره‌های قبل با عوامل مختلف تاثیرگذار بر احراز هویت مانند چیزی که می‌دانید، چیزی که دارید و چیزی که هستید آشنا شدید. همچنین یاد گرفتید که بسیاری از طرح‌های احراز هویت این عوامل را برای ایجاد یک طرح احراز هویت دو مرحله‌ای یا سه مرحله‌ای ترکیب می‌کنند. در این شماره و شماره آینده با روش‌های رایجی مانند حساب‌های کاربری، توکن‌های دسترسی و بیومتریک که برای اجرای احراز هویت استفاده می‌شوند آشنا می‌شوید.

حساب‌های کاربری

رایج‌ترین شکل احراز هویت این است که اطمینان حاصل شود که هر کارمند یک نام کاربری و رمز عبور منحصر به فرد برای دسترسی به شبکه دارد. هنگام استفاده از یک حساب کاربری برای احراز هویت در شبکه، هر کارمند هویت خود را با تایپ نام کاربری به سیستم معرفی می‌کند، اما از طریق وارد کردن رمز عبور احراز هویت کامل می‌شود. نمونه‌های دیگر در این زمینه شناسه کاربری، شماره حساب و شماره کارمندی است. هنگامی که کاربر نام کاربری و رمز عبور را تایپ کرد، اطلاعات حساب به یک سرور احراز هویت ارسال می‌شود تا صحت اطلاعات تأیید شود. هنگامی‌که سرور احراز هویت اطلاعات را تأیید کرد، یک توکن دسترسی برای کاربر ایجاد می‌کند.

 

برای مطالعه تمام قسمت‌های آموزش سکوریتی پلاس اینجا کلیک کنید.


معرفی آموزشگاه شبکه و امنیت

تهران: آموزشگاه عصر رایان شبکه

مهندس اطلاعات 

تلفن: 02188549150           کانال: Asrehshabakeh@


تبلیغات لینکی: 

سایت استخدام

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟