Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • MAB – "Giải pháp tình thế" nhưng vẫn không thể thiếu trong mạng doanh nghiệp

    MAB – "Giải pháp tình thế" nhưng vẫn không thể thiếu trong mạng doanh nghiệp


    Khi nhắc đến Network Access Control (NAC), nhiều người sẽ nghĩ ngay đến 802.1X. Tuy nhiên, thực tế luôn tồn tại một nhóm thiết bị không thể chạy Supplicant hoặc không hỗ trợ 802.1X.

    Đó có thể là:
    • Máy in.
    • Camera IP.
    • Điện thoại IP đời cũ.
    • Máy quét mã vạch.
    • Thiết bị IoT.
    • Cảm biến công nghiệp.
    • Bộ điều khiển trong nhà máy.

    Nếu bắt buộc các thiết bị này phải dùng 802.1X, chúng sẽ không thể kết nối mạng.

    Đó là lý do MAC Authentication Bypass (MAB) ra đời.

    Thay vì xác thực người dùng bằng username, mật khẩu hoặc chứng chỉ số, MAB sử dụng địa chỉ MAC của thiết bị làm thông tin định danh.
    MAB mang lại những lợi ích gì?

    Biết chính xác thiết bị nào đang kết nối


    Dù mức bảo mật không cao bằng 802.1X, MAB vẫn giúp doanh nghiệp có cái nhìn rõ ràng về hệ thống mạng.

    Cisco ISE có thể liên kết:
    • Địa chỉ MAC.
    • Địa chỉ IP.
    • Switch.
    • Cổng kết nối.

    Thông tin này rất hữu ích cho kiểm toán, điều tra sự cố và quản lý tài sản CNTT.
    Vẫn áp dụng được các chính sách động


    Một ưu điểm lớn của MAB là không chỉ "cho vào hay từ chối".

    Sau khi xác thực MAC thành công, Cisco ISE vẫn có thể gửi các chính sách như:
    • Dynamic VLAN.
    • Downloadable ACL (dACL).
    • Security Group Tag (SGT).

    Điều đó có nghĩa là một camera IP và một máy in đều dùng MAB nhưng vẫn có thể nhận các quyền truy cập hoàn toàn khác nhau.
    Giải pháp lý tưởng cho thiết bị IoT


    Đây là kịch bản phổ biến nhất của MAB.

    Các thiết bị như:
    • Camera.
    • Máy in.
    • Máy chấm công.
    • Cảm biến.
    • Thiết bị y tế.

    thường không hỗ trợ 802.1X. Với MAB, chúng vẫn có thể được nhận diện và cấp quyền truy cập phù hợp mà không cần cài đặt thêm phần mềm.
    Hoạt động như "phương án B"


    Trong nhiều doanh nghiệp, MAB không thay thế 802.1X mà đóng vai trò Fallback.

    Quy trình thường diễn ra như sau:
    1. Switch thử xác thực bằng 802.1X.
    2. Nếu thiết bị không phản hồi hoặc không hỗ trợ, switch sẽ tự động chuyển sang MAB.
    3. Cisco ISE kiểm tra địa chỉ MAC và quyết định có cấp quyền truy cập hay không.

    Nhờ đó, doanh nghiệp vẫn triển khai được NAC ngay cả khi hạ tầng còn tồn tại nhiều thiết bị cũ.
    Vì sao MAB không thể thay thế 802.1X?


    MAB rất hữu ích, nhưng nó cũng có những hạn chế mà kỹ sư mạng cần lưu ý. Phải duy trì cơ sở dữ liệu MAC


    Cisco ISE chỉ có thể xác thực nếu biết trước địa chỉ MAC của thiết bị.

    Điều này đồng nghĩa với việc đội ngũ IT phải xây dựng và cập nhật liên tục danh sách MAC được phép truy cập. Khi số lượng thiết bị lên đến hàng nghìn, công việc quản lý sẽ trở nên khá phức tạp.
    Có thể làm chậm quá trình kết nối


    Nếu MAB được cấu hình là cơ chế dự phòng, switch sẽ chờ 802.1X timeout trước khi chuyển sang xác thực MAC.

    Khoảng thời gian này có thể khiến thiết bị mất vài giây mới truy cập được mạng, đặc biệt với điện thoại IP hoặc camera cần khởi động nhanh.
    Chỉ xác thực thiết bị, không xác thực người dùng


    Đây là điểm khác biệt lớn nhất giữa MAB và 802.1X.

    Nếu hai người cùng sử dụng một laptop đã được xác thực bằng MAB, hệ thống sẽ không phân biệt được họ là ai. Mọi người dùng trên thiết bị đó đều nhận cùng một quyền truy cập.
    MAC Address có thể bị giả mạo


    Đây cũng là nhược điểm lớn nhất của MAB.

    Địa chỉ MAC hoàn toàn có thể bị thay đổi bằng phần mềm. Nếu kẻ tấn công biết MAC của một thiết bị hợp lệ, họ có thể MAC Spoofing để vượt qua cơ chế xác thực.

    Vì vậy, MAB không được xem là một phương thức xác thực mạnh, mà chủ yếu là giải pháp dành cho các thiết bị không thể triển khai 802.1X.
    Kết luận


    MAB không được thiết kế để thay thế 802.1X mà để lấp khoảng trống cho những thiết bị không hỗ trợ cơ chế xác thực hiện đại. Dù vẫn cho phép áp dụng các chính sách động như Dynamic VLAN, dACLSGT, MAB chỉ xác thực thiết bị dựa trên địa chỉ MAC nên mức độ bảo mật thấp hơn và có nguy cơ bị MAC Spoofing. Trong thực tế, mô hình được khuyến nghị là 802.1X cho người dùng và thiết bị có Supplicant, MAB cho máy in, camera, điện thoại IP, cảm biến và các thiết bị IoT. Sự kết hợp này giúp doanh nghiệp cân bằng giữa bảo mật, khả năng tương thíchtính liên tục trong vận hành.​
    Attached Files
    Đặng Quang Minh, CCIE#11897 (Enterprise Infrastructure, Wireless, Automation, AI), CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/
Working...
X