- بواسطة x32x01 ||
ليه لازم جهازك يتفحص قبل ما يدخل الشبكة؟ السر هو 802.1X 👮♂️🔐
هنا بقى بييجي دور بروتوكول 802.1X، وده ببساطة "البوّاب" اللي واقف عند كل بورت في السويتش، ومش بيفتح لحد غير لما يتأكد مين ده بالظبط. 👮♂️
الموضوع عامل زي عمارة فيها بواب شديد…
كل بورت = باب
ومش هيتفتح غير لما الجهاز يتعرّف ويتأكدوا إنه مسموح له يدخل الشبكة… غير كده؟ برا 👋😅
هو اللي بيعمل سياسة الدخول والتأكيد.
1️⃣ الجهاز يوصل الكابل
2️⃣ السويتش يسأله: "مين حضرتك؟"
3️⃣ الجهاز يبعث بياناته (Username/Password أو Certificate)
4️⃣ السويتش يبعتها لسيرفر الـRADIUS
5️⃣ السيرفر يقرر:
✔️ Accept: البورت يتفتح
❌ Reject: البورت يفضل مقفول
6️⃣ الجهاز يا يدخل الشبكة يا يفضّل واقف برا زي المعلّق 😅
الكود فوق هو الأساس اللي بيمشي عليه أي مهندس عشان يفعّل 802.1X على البورتات.
اللي بيشتغل في شبكات شركات كبيرة، أو جامعات، أو بنوك… مستحيل يستغنى عنه.
إيه اللي ممكن يحصل لو مش مفعّل 802.1X؟ 👇
لكن مع 802.1X:
✔️ كل Device متسجل
✔️ كل Session متراقب
✔️ Access محكوم
✔️ VLAN Protected
✔️ ومن الآخر: شبكة محترمة 👌
وده مثال لإعداد RADIUS في Windows:
ده هيخلي السويتش يتأكد من الجهاز عن طريق Domain Users أو Machine Authentication.
من غير 802.1X: يخش الشبكة ويشفط ترافيك
مع 802.1X: ✋ مش هيدخل
🎯 مثال 2: هاكر شبّك جهاز Malicious
من غير 802.1X: يزرع Hub ويعمل ARP Poisoning
مع 802.1X: السويتش يقفش الجهاز ويتجاهل الترافيك
🎯 مثال 3: جهاز ضيف
802.1X ينقله تلقائي للـ Guest VLAN
من غير ما يمسّ شبكة الشركة الأساسية
❌ نسيان تفعيل الـ RADIUS Key
❌ استخدام Multi-Host بدون مايفهم خطورته
❌ عدم ربط الأجهزة بالـAD
❌ نسيان Critical VLAN
❌ تفعيل 802.1X قبل ما تجرب على بورت واحد
✔️ اعمل Backup للـConfig
✔️ سيب Guest VLAN شغالة
✔️ راقب Logs كويس
✔️ خلي ال-RADIUS سريع ومؤمن
ده نظام أمان الشبكات رقم 1 في الشركات الكبيرة.
بيحميك من الأجهزة المجهولة، بيقفل باب الاختراقات، وبيخلي شبكتك ماشية بصراحة زي الفل 🌟
السؤال ليك بقى:
هل شبكتك واقفة على 802.1X؟
ولا لسه أي حد يدخل يشبّك كابل ويعيش؟ 😅👇
يعني إيه 802.1X وبيعمل إيه بالظبط؟
بص يا باشا… زمان كنا في أي شركة نشبّك الكابل في الجهاز وخلاص، والسويتش كان سايبها عالبحر. لكن في الشركات الكبيرة دلوقتي الموضوع بقى جد شوية لأن الشبكة بقت هدف لأي حد عايز يخِش يسرق داتا أو يعمل اختراق.هنا بقى بييجي دور بروتوكول 802.1X، وده ببساطة "البوّاب" اللي واقف عند كل بورت في السويتش، ومش بيفتح لحد غير لما يتأكد مين ده بالظبط. 👮♂️
الموضوع عامل زي عمارة فيها بواب شديد…
كل بورت = باب
ومش هيتفتح غير لما الجهاز يتعرّف ويتأكدوا إنه مسموح له يدخل الشبكة… غير كده؟ برا 👋😅
802.1X بيتكوّن من 3 شخصيات أساسية
عشان نفهم الصورة كاملة، لازم نعرف التلات أطراف اللي بيشتركوا في اللعبة دي:1️⃣ الـ Supplicant
ده الجهاز اللي بيحاول يدخل الشبكة… سواء Laptop أو PC أو حتى IP Phone.2️⃣ الـ Authenticator
وده السويتش، أو زي ما نقول "البوّاب الرسمي" اللي ماسك كشف الأسماء.3️⃣ الـ Authentication Server (RADIUS)
وده السيرفر اللي بيقرر الجهاز ده مسموح ولا لأ.هو اللي بيعمل سياسة الدخول والتأكيد.
العملية بتمشي إزاااي؟ (خطوة بخطوة ببساطة)
خلينه نمشيها كأننا بنتفرج على فيلم أكشن صغير 🔥1️⃣ الجهاز يوصل الكابل
2️⃣ السويتش يسأله: "مين حضرتك؟"
3️⃣ الجهاز يبعث بياناته (Username/Password أو Certificate)
4️⃣ السويتش يبعتها لسيرفر الـRADIUS
5️⃣ السيرفر يقرر:
✔️ Accept: البورت يتفتح
❌ Reject: البورت يفضل مقفول
6️⃣ الجهاز يا يدخل الشبكة يا يفضّل واقف برا زي المعلّق 😅
ليه الشركات بتستخدم بروتوكول 802.1X أصلاً؟
لأن الموضوع مش رفاهية… ده أمان شبكات بجد 👇- يمنع أي حد يشبّك Device غريب
- يحمي الـ VLANs
- يمنع الأجهزة اللي بتيجي من برّه زي الـ Rogue Devices
- يعطيك Tracking لكل جهاز داخل الشبكة
- تمنع الضيوف والناس اللي ملهاش صلاحية
- تحكم كامل + أمان أعلى
- يناسب شركات بتشتغل في الـ Cybersecurity, Networking, والـ IT Infrastructure
أوضاع التشغيل الخاصة بـ 802.1X (Modes)
هقولها لك بطريقة بسيطة وسهلة، عشان تبقى فاهم وبتشرحها لغيرك كمان:🔸 Single-Host Mode
جهاز واحد بس على البورت… أول ما يتوثّق خلاص البورت شغال ليه.🔸 Multi-Host Mode
أكتر من جهاز بعد ما الأول يتوثّق… وده مناسب للمكاتب اللي فيها أجهزة كتير.🔸 Guest VLAN
لو الجهاز فشل في الدخول… يتحط في VLAN مخصوصة للضيوف.🔸 Critical VLAN
لو سيرفر الـRADIUS وقع، مش هتوقف الشبكة… لكن هتفتح مع قيود معينة.مثال عملي لأوامر Cisco (علشان الموضوع يبقى عملي لأي مهندس شبكات) 💻
الكود ده هيسهّل عليك تفعيل 802.1X على السويتش: Code:
aaa new-model
aaa authentication dot1x default group radius
interface fa0/1
switchport mode access
authentication port-control auto
dot1x pae authenticator
radius-server host 192.168.1.10 key SECRET802.1X في حياتك العملية كمهندس شبكات
في الواقع… 802.1X مش مجرد بروتوكول، ده نظام أمان كامل.اللي بيشتغل في شبكات شركات كبيرة، أو جامعات، أو بنوك… مستحيل يستغنى عنه.
إيه اللي ممكن يحصل لو مش مفعّل 802.1X؟ 👇
- أي حد يدخل الشبكة بجهازه
- أي هاكر يشبّك لابتوب وي sniff الترافيك
- يخترق VLAN ويعمل Pivoting
- يسرق سيشنات Active Directory
- يدخل على السيرفرات الداخلية!
لكن مع 802.1X:
✔️ كل Device متسجل
✔️ كل Session متراقب
✔️ Access محكوم
✔️ VLAN Protected
✔️ ومن الآخر: شبكة محترمة 👌
ازاي تستخدم 802.1X مع Active Directory؟
أغلب الشركات بتربط الـ802.1X بسياسات الـAD باستخدام NPS Server.وده مثال لإعداد RADIUS في Windows:
Bash:
# إضافة RADIUS Client
netsh nps add client name="Switch01" address=192.168.1.5 sharedsecret="SECRETKEY"
# تفعيل 802.1X مع EAP
netsh nps set policy name="WiredAuth" state=enableسيناريوهات حقيقية هتفهمك أهمية 802.1X
🎯 مثال 1: موظف جاب لاب شخصيمن غير 802.1X: يخش الشبكة ويشفط ترافيك
مع 802.1X: ✋ مش هيدخل
🎯 مثال 2: هاكر شبّك جهاز Malicious
من غير 802.1X: يزرع Hub ويعمل ARP Poisoning
مع 802.1X: السويتش يقفش الجهاز ويتجاهل الترافيك
🎯 مثال 3: جهاز ضيف
802.1X ينقله تلقائي للـ Guest VLAN
من غير ما يمسّ شبكة الشركة الأساسية
الأخطاء اللي مهندسين كتير بيقعوا فيها
ركز هنا لو هتطبّق 802.1X 👇❌ نسيان تفعيل الـ RADIUS Key
❌ استخدام Multi-Host بدون مايفهم خطورته
❌ عدم ربط الأجهزة بالـAD
❌ نسيان Critical VLAN
❌ تفعيل 802.1X قبل ما تجرب على بورت واحد
النصايح اللي هتخليك ملك 802.1X 👑
✔️ اختبر الأول على بورت واحد✔️ اعمل Backup للـConfig
✔️ سيب Guest VLAN شغالة
✔️ راقب Logs كويس
✔️ خلي ال-RADIUS سريع ومؤمن
الخلاصة
802.1X مش رفاهية…ده نظام أمان الشبكات رقم 1 في الشركات الكبيرة.
بيحميك من الأجهزة المجهولة، بيقفل باب الاختراقات، وبيخلي شبكتك ماشية بصراحة زي الفل 🌟
السؤال ليك بقى:
هل شبكتك واقفة على 802.1X؟
ولا لسه أي حد يدخل يشبّك كابل ويعيش؟ 😅👇
