Tweet
MAC Authentication Bypass (MAB) trên Cisco Switch – Khi Thiết Bị Không Hỗ Trợ 802.1X
802.1X là một trong những cơ chế bảo mật quan trọng nhất trong mạng doanh nghiệp hiện đại. Nó cho phép switch xác thực thiết bị trước khi cho phép truy cập mạng. Tuy nhiên trong thực tế, không phải mọi endpoint đều hỗ trợ 802.1X.
Ví dụ:
Trong các tình huống này, Cisco cung cấp một cơ chế gọi là MAC Authentication Bypass (MAB).
MAB Là Gì?
MAB là cơ chế cho phép switch sử dụng địa chỉ MAC của thiết bị như thông tin định danh để xác thực với máy chủ AAA/RADIUS.
Khi bật MAB trên switchport:
Tài liệu mô tả rằng switch sẽ drop toàn bộ frame ngoại trừ frame đầu tiên dùng để học MAC address. Sau khi học được MAC, switch sẽ gửi yêu cầu tới RADIUS để kiểm tra quyền truy cập.
MAB Không Phải Là Xác Thực Mạnh
Điểm rất quan trọng:
MAB không xác thực người dùng hay chứng chỉ số như 802.1X.
Nó chỉ xác thực dựa trên:
Và MAC address thì hoàn toàn có thể spoof.
Tài liệu cũng nhấn mạnh:
Do đó:
Hai Chế Độ Triển Khai MAB
1. Standalone MAB
Chỉ dùng MAB để xác thực.
Flow:
Endpoint → MAC learned → RADIUS check → Permit/Deny
2. Fallback MAB
Đây là mô hình phổ biến nhất trong doanh nghiệp.
Flow:
Switch thử 802.1X trước
↓
Nếu endpoint không hỗ trợ
↓
Fallback sang MAB
Mô hình này rất thường gặp trong Cisco ISE deployments.
Các Host Mode Trong MAB
Tài liệu trình bày khá hay phần host-mode. Đây là phần nhiều engineer dễ bỏ sót.
1. Single-Host Mode
Chỉ cho phép:
Nếu phát hiện MAC thứ hai:
Đây là default mode.
2. Multi-Domain Authentication Mode (MDA)
Cho phép:
Rất phổ biến với:
Ví dụ:
PC <---> IP Phone <---> Switch
3. Multi-Authentication Host Mode
Cho phép:
Phù hợp:
4. Multi-Host Mode
Cho phép nhiều MAC nhưng:
Đây là mode có mức độ bảo mật thấp hơn.
Topology Lab
Trong bài lab:
Mô hình sử dụng subnet:
H1 --- SW1 --- RADIUS
192.168.1.0/24
192.168.2.0/24
Cấu Hình FreeRADIUS
clients.conf
client CISCO {
ipaddr = 0.0.0.0/0
secret = CISCO
}
users
Ví dụ MAC của endpoint:
001da18b36d8 Cleartext-Password := "001da18b36d8"
Ở đây:
Cấu Hình Cisco IOS Cho MAB
1. Bật AAA
aaa new-model
2. Khai báo authentication method
aaa authentication dot1x default group radius
3. Khai báo RADIUS Server
radius server FREERADIUS
address ipv4 192.168.2.200 auth-port 1812
key CISCO
Cấu Hình Switchport
Access Port
interface GigabitEthernet0/1
switchport mode access
Port-Control
authentication port-control auto
Ý nghĩa:
Bật MAB
mab
Đây là lệnh kích hoạt MAC Authentication Bypass trên interface.
Verification Và Troubleshooting
Kiểm Tra Interface
show interfaces gigabitEthernet0/1 | include line protocol
Kiểm Tra MAB
show mab all
Kết quả:
Mac-Auth-Bypass = Enabled
Kiểm Tra Authentication Sessions
show authentication sessions
Output sẽ hiển thị:
Ví dụ:
Method: mab
Status: Authz Success
Xem Chi Tiết Session
show authentication sessions interface gi0/1
Output cho biết:
Tài liệu cho thấy trạng thái:
Status: Authz Success
Oper host mode: single-host
Authorized By: Authentication Server
Một Điểm Thực Tế Rất Quan Trọng
MAB thường không đứng một mình trong enterprise network.
Thực tế triển khai thường là:
802.1X + MAB fallback
Điều này giúp:
Đây là design cực kỳ phổ biến trong:
Best Practices Khi Triển Khai MAB
Không dùng MAB cho thiết bị quan trọng
Vì MAC spoofing khá dễ thực hiện.
Kết hợp với:
Tách VLAN cho IoT
Ví dụ:
Camera VLAN
Printer VLAN
IoT VLAN
Giảm blast radius nếu endpoint bị compromise.
Kết hợp profiling
Trong Cisco ISE:
để xác định loại thiết bị chính xác hơn thay vì chỉ dựa vào MAC.
Góc Nhìn Security
MAB là ví dụ điển hình của:
Security vs Compatibility Tradeoff
802.1X:
MAB:
Do đó engineer phải cân bằng giữa:
Kết Luận
MAC Authentication Bypass (MAB) là cơ chế cực kỳ quan trọng trong mạng enterprise khi triển khai NAC/802.1X thực tế.
Nó cho phép:
Tuy nhiên:
Trong môi trường hiện đại:
802.1X = Primary Authentication
MAB = Compatibility Mechanism
Đây mới là cách triển khai đúng trong kiến trúc Enterprise Security hiện nay.
802.1X là một trong những cơ chế bảo mật quan trọng nhất trong mạng doanh nghiệp hiện đại. Nó cho phép switch xác thực thiết bị trước khi cho phép truy cập mạng. Tuy nhiên trong thực tế, không phải mọi endpoint đều hỗ trợ 802.1X.
Ví dụ:
- Máy in mạng
- Camera IP
- Điện thoại VoIP cũ
- Thiết bị IoT
- Một số thiết bị công nghiệp
Trong các tình huống này, Cisco cung cấp một cơ chế gọi là MAC Authentication Bypass (MAB).
MAB Là Gì?
MAB là cơ chế cho phép switch sử dụng địa chỉ MAC của thiết bị như thông tin định danh để xác thực với máy chủ AAA/RADIUS.
Khi bật MAB trên switchport:
- Switch chặn hầu hết frame ban đầu
- Học địa chỉ MAC source của thiết bị
- Gửi MAC đó tới RADIUS server
- RADIUS quyết định:
- Cho phép hay từ chối
- Gán VLAN động
- Áp ACL động
- Policy khác
Tài liệu mô tả rằng switch sẽ drop toàn bộ frame ngoại trừ frame đầu tiên dùng để học MAC address. Sau khi học được MAC, switch sẽ gửi yêu cầu tới RADIUS để kiểm tra quyền truy cập.
MAB Không Phải Là Xác Thực Mạnh
Điểm rất quan trọng:
MAB không xác thực người dùng hay chứng chỉ số như 802.1X.
Nó chỉ xác thực dựa trên:
- MAC address
Và MAC address thì hoàn toàn có thể spoof.
Tài liệu cũng nhấn mạnh:
“MAB can’t check anything else besides MAC addresses.”
Do đó:
- MAB chỉ nên dùng cho thiết bị không hỗ trợ 802.1X
- Không nên xem MAB là giải pháp Zero Trust hoàn chỉnh
Hai Chế Độ Triển Khai MAB
1. Standalone MAB
Chỉ dùng MAB để xác thực.
Flow:
Endpoint → MAC learned → RADIUS check → Permit/Deny
2. Fallback MAB
Đây là mô hình phổ biến nhất trong doanh nghiệp.
Flow:
Switch thử 802.1X trước
↓
Nếu endpoint không hỗ trợ
↓
Fallback sang MAB
Mô hình này rất thường gặp trong Cisco ISE deployments.
Các Host Mode Trong MAB
Tài liệu trình bày khá hay phần host-mode. Đây là phần nhiều engineer dễ bỏ sót.
1. Single-Host Mode
Chỉ cho phép:
- Một MAC address trên switchport
Nếu phát hiện MAC thứ hai:
- Security violation
Đây là default mode.
2. Multi-Domain Authentication Mode (MDA)
Cho phép:
- Một MAC trong Voice VLAN
- Một MAC trong Data VLAN
Rất phổ biến với:
- IP Phone + PC phía sau phone
Ví dụ:
PC <---> IP Phone <---> Switch
3. Multi-Authentication Host Mode
Cho phép:
- Nhiều MAC
- Mỗi MAC được authenticate riêng
Phù hợp:
- Uplink tới downstream switch nhỏ
- Shared environments
4. Multi-Host Mode
Cho phép nhiều MAC nhưng:
- Chỉ MAC đầu tiên được authenticate
- Các MAC còn lại tự động được permit
Đây là mode có mức độ bảo mật thấp hơn.
Topology Lab
Trong bài lab:
- H1 = endpoint cần authenticate
- SW1 = Cisco switch bật MAB
- S1 = FreeRADIUS server
Mô hình sử dụng subnet:
H1 --- SW1 --- RADIUS
192.168.1.0/24
192.168.2.0/24
Cấu Hình FreeRADIUS
clients.conf
client CISCO {
ipaddr = 0.0.0.0/0
secret = CISCO
}
users
Ví dụ MAC của endpoint:
001da18b36d8 Cleartext-Password := "001da18b36d8"
Ở đây:
- Username = MAC
- Password = MAC
Cấu Hình Cisco IOS Cho MAB
1. Bật AAA
aaa new-model
2. Khai báo authentication method
aaa authentication dot1x default group radius
3. Khai báo RADIUS Server
radius server FREERADIUS
address ipv4 192.168.2.200 auth-port 1812
key CISCO
Cấu Hình Switchport
Access Port
interface GigabitEthernet0/1
switchport mode access
Port-Control
authentication port-control auto
Ý nghĩa:
- Port mặc định unauthorized
- Chỉ authorized sau khi authenticate thành công
Bật MAB
mab
Đây là lệnh kích hoạt MAC Authentication Bypass trên interface.
Verification Và Troubleshooting
Kiểm Tra Interface
show interfaces gigabitEthernet0/1 | include line protocol
Kiểm Tra MAB
show mab all
Kết quả:
Mac-Auth-Bypass = Enabled
Kiểm Tra Authentication Sessions
show authentication sessions
Output sẽ hiển thị:
- MAC Address
- Auth method
- Status
- Session ID
Ví dụ:
Method: mab
Status: Authz Success
Xem Chi Tiết Session
show authentication sessions interface gi0/1
Output cho biết:
- MAC address
- User-name
- Authorized by Authentication Server
- Oper host mode
- VLAN policy
- Runtime method list
Tài liệu cho thấy trạng thái:
Status: Authz Success
Oper host mode: single-host
Authorized By: Authentication Server
Một Điểm Thực Tế Rất Quan Trọng
MAB thường không đứng một mình trong enterprise network.
Thực tế triển khai thường là:
802.1X + MAB fallback
Điều này giúp:
- Laptop/domain device dùng 802.1X
- Printer/camera/IoT dùng MAB
Đây là design cực kỳ phổ biến trong:
- Cisco ISE
- Cisco Catalyst Access
- Campus Enterprise Network
Best Practices Khi Triển Khai MAB
Không dùng MAB cho thiết bị quan trọng
Vì MAC spoofing khá dễ thực hiện.
Kết hợp với:
- DHCP Snooping
- Dynamic ARP Inspection
- IP Source Guard
- Port Security
Tách VLAN cho IoT
Ví dụ:
Camera VLAN
Printer VLAN
IoT VLAN
Giảm blast radius nếu endpoint bị compromise.
Kết hợp profiling
Trong Cisco ISE:
- CDP
- LLDP
- DHCP fingerprint
- HTTP User-Agent
để xác định loại thiết bị chính xác hơn thay vì chỉ dựa vào MAC.
Góc Nhìn Security
MAB là ví dụ điển hình của:
Security vs Compatibility Tradeoff
802.1X:
- Bảo mật cao
- Nhưng endpoint phải hỗ trợ supplicant
MAB:
- Tương thích tốt
- Nhưng security yếu hơn
Do đó engineer phải cân bằng giữa:
- Operational reality
- Security posture
- Endpoint capability
Kết Luận
MAC Authentication Bypass (MAB) là cơ chế cực kỳ quan trọng trong mạng enterprise khi triển khai NAC/802.1X thực tế.
Nó cho phép:
- Authenticate thiết bị không hỗ trợ 802.1X
- Áp policy động từ RADIUS
- Tăng mức độ kiểm soát truy cập mạng
Tuy nhiên:
- MAB không phải giải pháp xác thực mạnh
- Dễ bị MAC spoofing
- Cần kết hợp thêm nhiều lớp bảo vệ khác
Trong môi trường hiện đại:
802.1X = Primary Authentication
MAB = Compatibility Mechanism
Đây mới là cách triển khai đúng trong kiến trúc Enterprise Security hiện nay.
Attached Files