Tweet
🔐 MAB Authentication, Profiling & Trusted Devices – Bạn đã làm đúng cách?
Khi triển khai kiểm soát truy cập mạng (NAC), rất nhiều hệ thống trong doanh nghiệp vẫn còn phụ thuộc vào các thiết bị không hỗ trợ 802.1X – ví dụ: máy in, camera, điện thoại IP hoặc thiết bị IoT. Lúc này, ta cần đến một kỹ thuật gọi là MAB (MAC Authentication Bypass) – tức xác thực theo địa chỉ MAC. Tuy nhiên, nếu chỉ dựa vào MAC thì cực kỳ rủi ro. Vì vậy, Cisco cung cấp cơ chế Device Profiling để tăng mức độ tin cậy. 🎯 MAB Authentication & Profiling: Không chỉ là MAC
Trong Cisco ISE (hoặc các giải pháp NAC tương tự), để xác thực MAB hiệu quả, bạn phải thu thập nhiều thuộc tính (attributes) nhằm xác định chính xác loại thiết bị đang truy cập.
✅ Trường hợp ngoại lệ: Nếu MAC được gán tĩnh cho một endpoint group (ví dụ: bạn đã phân loại MAC đó là máy in cố định), thì không cần profile động.
✅ Yêu cầu tối thiểu khi profiling:
Ví dụ thực tế:
🔍 Các probe được sử dụng để thu thập dữ liệu profiling:
Mỗi probe như trên sẽ thu thập thông tin từ thiết bị kết nối vào mạng để xây dựng hồ sơ thiết bị (device profile), từ đó xác định endpoint thuộc loại nào (Windows/Linux/Cisco/IoT...).
🧠 Profiling – Giải quyết bài toán TCAM khi áp ACL
Khi triển khai dACL (downloadable ACLs) hoặc redirect ACLs để kiểm soát lưu lượng theo người dùng, chúng ta gặp giới hạn nghiêm ngặt về kích thước:
Nếu ta áp cùng một ACL cho tất cả loại thiết bị, dung lượng ACL sẽ “nổ tung” vì phải chứa đủ luật phù hợp cho mọi loại thiết bị khác nhau. Đây là nguyên nhân gây “cháy TCAM” – vùng bộ nhớ phần cứng trên switch để xử lý ACLs.
📌 Giải pháp: Sử dụng profiling để phân loại thiết bị, từ đó áp ACL riêng cho từng loại endpoint:
Cách này giúp:
✅ Posture & Trusted Device: Thế nào là thiết bị đáng tin?
Không chỉ xác định thiết bị là gì, hệ thống NAC còn đánh giá posture – trạng thái bảo mật của thiết bị. Đây là tiêu chí rất quan trọng để xác định xem thiết bị có nên được cấp quyền truy cập mạng không. Một thiết bị “trusted” cần đạt các tiêu chí:
💡 Khi bạn bật tính năng Posture trên Cisco ISE (kết hợp với AnyConnect Secure Client), hệ thống sẽ quét và đánh giá thiết bị theo các tiêu chí trên. Chỉ khi thiết bị được đánh giá “trusted”, hệ thống mới cấp full access – nếu không thì chuyển vào VLAN cách ly hoặc Portal Remediation.
📌 Tổng kết
Nếu bạn đang triển khai Cisco ISE hoặc đang vận hành mạng LAN bảo mật, hãy đảm bảo bạn hiểu rõ vai trò của MAB + Profiling + Posture. Đây là ba trụ cột cốt lõi trong Zero Trust Network Access (ZTNA) dành cho hạ tầng truyền thống.
Khi triển khai kiểm soát truy cập mạng (NAC), rất nhiều hệ thống trong doanh nghiệp vẫn còn phụ thuộc vào các thiết bị không hỗ trợ 802.1X – ví dụ: máy in, camera, điện thoại IP hoặc thiết bị IoT. Lúc này, ta cần đến một kỹ thuật gọi là MAB (MAC Authentication Bypass) – tức xác thực theo địa chỉ MAC. Tuy nhiên, nếu chỉ dựa vào MAC thì cực kỳ rủi ro. Vì vậy, Cisco cung cấp cơ chế Device Profiling để tăng mức độ tin cậy. 🎯 MAB Authentication & Profiling: Không chỉ là MAC
Trong Cisco ISE (hoặc các giải pháp NAC tương tự), để xác thực MAB hiệu quả, bạn phải thu thập nhiều thuộc tính (attributes) nhằm xác định chính xác loại thiết bị đang truy cập.
✅ Trường hợp ngoại lệ: Nếu MAC được gán tĩnh cho một endpoint group (ví dụ: bạn đã phân loại MAC đó là máy in cố định), thì không cần profile động.
✅ Yêu cầu tối thiểu khi profiling:
- Phải có ít nhất một thuộc tính "đáng tin cậy" (trusted attribute).
- Và thêm một hoặc nhiều thuộc tính có mức độ tin cậy cao (high confidence).
Ví dụ thực tế:
- Với thiết bị họp trực tuyến Cisco TP, CDP có thể chỉ ra loại thiết bị và Cisco OUI giúp xác định nhà sản xuất – được xem là “trusted attributes”.
🔍 Các probe được sử dụng để thu thập dữ liệu profiling:
- DNS
- DHCP
- HTTP
- NMAP (phải chạy thủ công)
- RADIUS
- SNMP Query
Mỗi probe như trên sẽ thu thập thông tin từ thiết bị kết nối vào mạng để xây dựng hồ sơ thiết bị (device profile), từ đó xác định endpoint thuộc loại nào (Windows/Linux/Cisco/IoT...).
🧠 Profiling – Giải quyết bài toán TCAM khi áp ACL
Khi triển khai dACL (downloadable ACLs) hoặc redirect ACLs để kiểm soát lưu lượng theo người dùng, chúng ta gặp giới hạn nghiêm ngặt về kích thước:
- Giống như ACL gán theo người dùng (per-user ACL)
- Giới hạn chỉ 4000 ký tự ASCII
Nếu ta áp cùng một ACL cho tất cả loại thiết bị, dung lượng ACL sẽ “nổ tung” vì phải chứa đủ luật phù hợp cho mọi loại thiết bị khác nhau. Đây là nguyên nhân gây “cháy TCAM” – vùng bộ nhớ phần cứng trên switch để xử lý ACLs.
📌 Giải pháp: Sử dụng profiling để phân loại thiết bị, từ đó áp ACL riêng cho từng loại endpoint:
- ACL riêng cho thiết bị Windows
- ACL riêng cho thiết bị Linux
- ACL riêng cho thiết bị Cisco
- ACL riêng cho thiết bị lạ hoặc IoT
Cách này giúp:
- Tối ưu hóa dung lượng TCAM
- Áp đúng chính sách phù hợp với từng loại thiết bị
- Tăng bảo mật và hiệu quả kiểm soát truy cập
✅ Posture & Trusted Device: Thế nào là thiết bị đáng tin?
Không chỉ xác định thiết bị là gì, hệ thống NAC còn đánh giá posture – trạng thái bảo mật của thiết bị. Đây là tiêu chí rất quan trọng để xác định xem thiết bị có nên được cấp quyền truy cập mạng không. Một thiết bị “trusted” cần đạt các tiêu chí:
- Đã đăng ký (Device Registration) – nằm trong danh sách quản lý.
- Có phần mềm chống mã độc (Anti-Malware) đang hoạt động.
- Mã hóa dữ liệu (Encryption) theo chính sách Cisco.
- Đang chạy OS tối thiểu (Minimum OS).
- Đã cập nhật bản vá (Patching) mới nhất.
- Hỗ trợ xóa dữ liệu từ xa (Remote Wipe) – với thiết bị di động.
- Có thiết lập khóa màn hình hoặc mật khẩu.
- Hiển thị thông tin phần cứng/phần mềm (Inventory).
- Không bị root (với thiết bị di động) – phát hiện thiết bị root hoặc jailbreak.
💡 Khi bạn bật tính năng Posture trên Cisco ISE (kết hợp với AnyConnect Secure Client), hệ thống sẽ quét và đánh giá thiết bị theo các tiêu chí trên. Chỉ khi thiết bị được đánh giá “trusted”, hệ thống mới cấp full access – nếu không thì chuyển vào VLAN cách ly hoặc Portal Remediation.
📌 Tổng kết
- MAC không phải là tất cả: Dùng MAB thì phải profile!
- Đừng lãng phí TCAM: Dùng profiling để phân loại và áp ACL riêng.
- Posture mới là bảo mật thực sự: Không “trusted” thì không nên được vào mạng nội bộ.
Nếu bạn đang triển khai Cisco ISE hoặc đang vận hành mạng LAN bảo mật, hãy đảm bảo bạn hiểu rõ vai trò của MAB + Profiling + Posture. Đây là ba trụ cột cốt lõi trong Zero Trust Network Access (ZTNA) dành cho hạ tầng truyền thống.
Attached Files