Tweet
Biểu đồ so sánh cửa hàng nhận dạng loại xác thực EAP
Việc chọn loại EAP phù hợp phụ thuộc vào hệ điều hành, thay thế 802.1X và cơ sở dữ liệu thông tin xác thực phụ trợ hoặc kho lưu trữ nhận dạng. Bảng 2-4 phác thảo so sánh các cửa hàng nhận dạng loại xác thực EAP.
Not Everything Has a (Configured) Supplicant
Với 802.1X, người thay thế và người xác thực sẽ trao đổi tin nhắn EAP và nếu điểm cuối được kết nối với trình xác thực (công tắc) không có thay thế, thông báo yêu cầu nhận dạng EAP sẽ không được trả lời. Điều này sẽ dẫn đến thời gian chờ xác thực và với khái niệm ban đầu về mạng nhận dạng và 802.1X, điểm cuối sẽ bị từ chối truy cập vào mạng công ty. Nói cách khác, chỉ những thiết bị có thể xác thực và đã xác thực với mạng mới được phép trên mạng.
Khi thiết kế một giải pháp truy cập mạng an toàn, có xu hướng chỉ xem xét các máy tính để bàn, máy tính xách tay được quản lý và (gần đây hơn) các thiết bị loại máy tính bảng khi nghĩ về xác thực mạng. Tuy nhiên, các tổ chức có xu hướng sở hữu rất nhiều thiết bị ngoài những thiết bị đó. Hãy suy nghĩ về các máy in, camera IP, điện thoại IP, thiết bị đầu cuối của khách hàng mỏng, tự động hóa tòa nhà và các thiết bị không đầu khác của Cameron tồn tại trong một mạng hiện đại.
Hãy xem xét điện thoại IP của Cisco, ví dụ. Các thiết bị này có một chất thay thế có thể được cấu hình riêng lẻ tại bàn phím, không có khả năng mở rộng rất tốt (hãy tưởng tượng phải định cấu hình một chất thay thế trên mỗi điện thoại trong một tổ chức có hàng trăm nghìn điện thoại). Các chất thay thế Điện thoại IP của Cisco cũng có thể được định cấu hình tập trung từ Máy chủ Điều khiển Cuộc gọi (trước đây có tên là Cuộc gọi của Cisco Giám đốc). Còn các thiết bị khác thì sao? Họ cũng có một nền tảng quản lý trung tâm có khả năng cấu hình từng thiết bị thay thế trên một số lượng lớn thiết bị được triển khai ở quy mô không?
Một trong những giải pháp ban đầu của LINE để đối phó với các thiết bị không xác thực này là không định cấu hình 802.1X trên các cổng chuyển đổi riêng lẻ nơi điểm cuối không xác thực sẽ được cắm vào mạng. Hãy dành một chút thời gian và suy nghĩ về điều đó trong một hoặc hai phút, vì nó sẽ cho phép bất cứ ai chỉ cần rút phích cắm điểm cuối không xác thực và cắm máy tính xách tay của họ vào cổng và voila! Thiết bị có quyền truy cập mạng đầy đủ mà không có bất kỳ thách thức nào.
Còn khi thiết bị (như máy in) cần được di chuyển thì sao? Điều đó có thể yêu cầu nhóm mạng phải tham gia vào việc di chuyển đó và kích hoạt 802.1X trên cổng chuyển đổi cũ, đồng thời vô hiệu hóa 802.1X trên cổng chuyển đổi mới, điều này gây ra gánh nặng quản lý đáng kể cho bộ phận CNTT. Nó không chỉ là một mô hình kinh doanh bền vững.
Tiếp theo, điều gì xảy ra khi một nhân viên nên có quyền truy cập mạng có cấu hình thay thế được xác định sai hoặc thông tin xác thực đã hết hạn hoặc đang sử dụng thiết bị tạm thời? Còn người dùng khách chỉ cần truy cập Internet thì sao?
Tất cả các biến thể này đòi hỏi một loạt các Band Band-Aids, để giải quyết chúng một cách bền vững (nếu có thể).
Việc chọn loại EAP phù hợp phụ thuộc vào hệ điều hành, thay thế 802.1X và cơ sở dữ liệu thông tin xác thực phụ trợ hoặc kho lưu trữ nhận dạng. Bảng 2-4 phác thảo so sánh các cửa hàng nhận dạng loại xác thực EAP.
Not Everything Has a (Configured) Supplicant
Với 802.1X, người thay thế và người xác thực sẽ trao đổi tin nhắn EAP và nếu điểm cuối được kết nối với trình xác thực (công tắc) không có thay thế, thông báo yêu cầu nhận dạng EAP sẽ không được trả lời. Điều này sẽ dẫn đến thời gian chờ xác thực và với khái niệm ban đầu về mạng nhận dạng và 802.1X, điểm cuối sẽ bị từ chối truy cập vào mạng công ty. Nói cách khác, chỉ những thiết bị có thể xác thực và đã xác thực với mạng mới được phép trên mạng.
Khi thiết kế một giải pháp truy cập mạng an toàn, có xu hướng chỉ xem xét các máy tính để bàn, máy tính xách tay được quản lý và (gần đây hơn) các thiết bị loại máy tính bảng khi nghĩ về xác thực mạng. Tuy nhiên, các tổ chức có xu hướng sở hữu rất nhiều thiết bị ngoài những thiết bị đó. Hãy suy nghĩ về các máy in, camera IP, điện thoại IP, thiết bị đầu cuối của khách hàng mỏng, tự động hóa tòa nhà và các thiết bị không đầu khác của Cameron tồn tại trong một mạng hiện đại.
Hãy xem xét điện thoại IP của Cisco, ví dụ. Các thiết bị này có một chất thay thế có thể được cấu hình riêng lẻ tại bàn phím, không có khả năng mở rộng rất tốt (hãy tưởng tượng phải định cấu hình một chất thay thế trên mỗi điện thoại trong một tổ chức có hàng trăm nghìn điện thoại). Các chất thay thế Điện thoại IP của Cisco cũng có thể được định cấu hình tập trung từ Máy chủ Điều khiển Cuộc gọi (trước đây có tên là Cuộc gọi của Cisco Giám đốc). Còn các thiết bị khác thì sao? Họ cũng có một nền tảng quản lý trung tâm có khả năng cấu hình từng thiết bị thay thế trên một số lượng lớn thiết bị được triển khai ở quy mô không?
Một trong những giải pháp ban đầu của LINE để đối phó với các thiết bị không xác thực này là không định cấu hình 802.1X trên các cổng chuyển đổi riêng lẻ nơi điểm cuối không xác thực sẽ được cắm vào mạng. Hãy dành một chút thời gian và suy nghĩ về điều đó trong một hoặc hai phút, vì nó sẽ cho phép bất cứ ai chỉ cần rút phích cắm điểm cuối không xác thực và cắm máy tính xách tay của họ vào cổng và voila! Thiết bị có quyền truy cập mạng đầy đủ mà không có bất kỳ thách thức nào.
Còn khi thiết bị (như máy in) cần được di chuyển thì sao? Điều đó có thể yêu cầu nhóm mạng phải tham gia vào việc di chuyển đó và kích hoạt 802.1X trên cổng chuyển đổi cũ, đồng thời vô hiệu hóa 802.1X trên cổng chuyển đổi mới, điều này gây ra gánh nặng quản lý đáng kể cho bộ phận CNTT. Nó không chỉ là một mô hình kinh doanh bền vững.
Tiếp theo, điều gì xảy ra khi một nhân viên nên có quyền truy cập mạng có cấu hình thay thế được xác định sai hoặc thông tin xác thực đã hết hạn hoặc đang sử dụng thiết bị tạm thời? Còn người dùng khách chỉ cần truy cập Internet thì sao?
Tất cả các biến thể này đòi hỏi một loạt các Band Band-Aids, để giải quyết chúng một cách bền vững (nếu có thể).