Tweet
Lọc Địa Chỉ MAC Trong Mạng Có Dây và Không Dây với MAC Authentication Bypass (MAB)
Bảo Mật Cơ Sở Hạ Tầng Cho Điểm Truy Cập (Access Point - AP)
Để đảm bảo chỉ các thiết bị được ủy quyền như Access Point (AP) có thể kết nối vào mạng, một trong những phương pháp hiệu quả là kiểm soát ngay từ lớp hạ tầng mạng. Mục tiêu là ngăn chặn hoàn toàn việc truyền dữ liệu nếu thiết bị kết nối không phải là thiết bị hợp lệ.
Phương Pháp Truyền Thống: Switchport Security
Một cách đơn giản là sử dụng tính năng Switchport Security trên thiết bị chuyển mạch, cho phép giới hạn số lượng địa chỉ MAC trên mỗi cổng hoặc chỉ định cụ thể địa chỉ MAC nào được phép. Tuy nhiên, phương pháp này không linh hoạt khi cần thay thế hoặc di chuyển AP, vì phải cấu hình thủ công trên từng switch. Giải Pháp Tập Trung: MAC Authentication Bypass (MAB)
MAB là phương pháp xác thực địa chỉ MAC tập trung thông qua máy chủ RADIUS. Ban đầu, MAB ra đời nhằm "bỏ qua" xác thực 802.1X cho các thiết bị không hỗ trợ giao thức này, nhưng hiện nay đã trở thành một kỹ thuật độc lập.
Cách Thức Hoạt Động
Switch(config)# dot1x system-auth-control Switch(config)# aaa new-model Switch(config)# ip device tracking Switch(config)# interface Gig0/1 Switch(config-if)# authentication port-control auto Switch(config-if)# mab Switch(config-if)# authentication order mab
Bạn cần định nghĩa phương thức xác thực AAA và thông tin máy chủ RADIUS:
Switch(config)# aaa authentication dot1x default group radius Switch(config)# radius host <Địa chỉ IP> key <Shared Secret>
Ưu Điểm Của MAB
Bảo Mật Cơ Sở Hạ Tầng Cho Điểm Truy Cập (Access Point - AP)
Để đảm bảo chỉ các thiết bị được ủy quyền như Access Point (AP) có thể kết nối vào mạng, một trong những phương pháp hiệu quả là kiểm soát ngay từ lớp hạ tầng mạng. Mục tiêu là ngăn chặn hoàn toàn việc truyền dữ liệu nếu thiết bị kết nối không phải là thiết bị hợp lệ.
Phương Pháp Truyền Thống: Switchport Security
Một cách đơn giản là sử dụng tính năng Switchport Security trên thiết bị chuyển mạch, cho phép giới hạn số lượng địa chỉ MAC trên mỗi cổng hoặc chỉ định cụ thể địa chỉ MAC nào được phép. Tuy nhiên, phương pháp này không linh hoạt khi cần thay thế hoặc di chuyển AP, vì phải cấu hình thủ công trên từng switch. Giải Pháp Tập Trung: MAC Authentication Bypass (MAB)
MAB là phương pháp xác thực địa chỉ MAC tập trung thông qua máy chủ RADIUS. Ban đầu, MAB ra đời nhằm "bỏ qua" xác thực 802.1X cho các thiết bị không hỗ trợ giao thức này, nhưng hiện nay đã trở thành một kỹ thuật độc lập.
Cách Thức Hoạt Động
- Khi thiết bị (ví dụ: AP) kết nối vào cổng switch được cấu hình MAB, cổng đó sẽ không cho phép truyền dữ liệu cho đến khi địa chỉ MAC của thiết bị được xác thực thành công qua máy chủ RADIUS.
- Switch sẽ gửi yêu cầu xác thực địa chỉ MAC đến RADIUS. Nếu địa chỉ MAC nằm trong danh sách cho phép, cổng sẽ mở và áp dụng các chính sách tương ứng (VLAN, ACL...).
Switch(config)# dot1x system-auth-control Switch(config)# aaa new-model Switch(config)# ip device tracking Switch(config)# interface Gig0/1 Switch(config-if)# authentication port-control auto Switch(config-if)# mab Switch(config-if)# authentication order mab
- authentication port-control auto: Kích hoạt chế độ yêu cầu xác thực trên cổng.
- mab: Bật tính năng MAB.
- authentication order mab: Ưu tiên phương pháp MAB (trong trường hợp dùng nhiều phương pháp xác thực).
Bạn cần định nghĩa phương thức xác thực AAA và thông tin máy chủ RADIUS:
Switch(config)# aaa authentication dot1x default group radius Switch(config)# radius host <Địa chỉ IP> key <Shared Secret>
Ưu Điểm Của MAB
- Quản lý tập trung: Dễ dàng kiểm soát và xác thực nhiều AP trên toàn mạng.
- Linh hoạt: AP có thể di chuyển giữa các cổng mà không cần thay đổi cấu hình trên switch.
- Tích hợp chính sách: Máy chủ RADIUS có thể trả về các thuộc tính như VLAN, ACL áp dụng cho AP.
- Chỉ áp dụng MAB trên các thiết bị chuyển mạch được quản lý và đã cấu hình RADIUS đúng cách.
- Với chế độ FlexConnect Local Switching, vì các địa chỉ MAC của client sẽ xuất hiện trên cổng switch, nên MAB không được khuyến nghị.
- Cần đảm bảo tất cả địa chỉ MAC của AP đã được khai báo trên RADIUS.