Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Các Giao Thức Xác Thực Trong Cisco ISE và IEEE 802.1X

    Các Giao Thức Xác Thực Trong Cisco ISE và IEEE 802.1X

    Authentication Server Quyết Định Giao Thức Xác Thực


    Trong mô hình IEEE 802.1X, Authentication Server (thường là Cisco Identity Services Engine – Cisco ISE) đóng vai trò quyết định những giao thức xác thực (Authentication Protocols) nào được phép sử dụng trong quá trình xác thực người dùng hoặc thiết bị.

    Cisco ISE cung cấp Allowed Protocols List, cho phép quản trị viên xác định chính xác các phương thức xác thực được chấp nhận trong hệ thống.

    Điều này đặc biệt quan trọng đối với các tổ chức phải tuân thủ các tiêu chuẩn bảo mật như PCI DSS, HIPAA, ISO 27001, NIST hoặc các yêu cầu nội bộ về an toàn thông tin. Quản trị viên có thể vô hiệu hóa các giao thức yếu và chỉ cho phép các phương thức xác thực mạnh, đáp ứng yêu cầu về bảo mật và tuân thủ (Compliance).
    Các Giao Thức Xác Thực Hỗ Trợ Trong Cisco ISE

    1. PAP (Password Authentication Protocol / ASCII)


    PAP là giao thức xác thực đơn giản nhất.

    Đặc điểm:
    • Username và Password được truyền dưới dạng plaintext.
    • Không sử dụng cơ chế mã hóa hay bảo vệ thông tin xác thực.
    • Rất dễ bị đánh cắp thông tin nếu lưu lượng bị nghe lén (Sniffing).

    Ngày nay, PAP gần như không còn được khuyến nghị sử dụng trong các môi trường doanh nghiệp do mức độ bảo mật rất thấp.
    2. CHAP, MS-CHAPv1 và MS-CHAPv2


    Các giao thức này cải thiện bảo mật so với PAP bằng cơ chế Challenge-Response Authentication.

    Đặc điểm:
    • Username vẫn được gửi dưới dạng plaintext.
    • Password không được truyền trực tiếp mà được băm (Hash) kết hợp với chuỗi Challenge ngẫu nhiên.
    • Giảm nguy cơ lộ mật khẩu khi truyền trên mạng.

    Trong đó:
    • CHAP là chuẩn chung.
    • MS-CHAPv1 là phiên bản của Microsoft, hiện đã lỗi thời.
    • MS-CHAPv2 cải thiện bảo mật đáng kể và vẫn được sử dụng rộng rãi, đặc biệt trong PEAP.

    3. EAP (Extensible Authentication Protocol)


    EAP không phải là một giao thức xác thực cụ thể mà là một framework cho phép triển khai nhiều phương thức xác thực khác nhau.

    EAP hoạt động như một "vỏ bọc" (Framework) để truyền tải các phương thức xác thực như:
    • EAP-TLS
    • PEAP
    • EAP-FAST
    • TEAP
    • EAP-MD5

    Bản thân EAP không quy định cách bảo vệ thông tin xác thực; mức độ bảo mật phụ thuộc vào phương thức EAP được sử dụng.
    4. EAP-MD5


    Đây là một trong những phương thức EAP đơn giản nhất.

    Đặc điểm:
    • Username được truyền dưới dạng plaintext.
    • Password được bảo vệ bằng cơ chế Challenge và hàm băm MD5.
    • Hỗ trợ trao đổi bổ sung giữa Supplicant và Authentication Server, ví dụ như thay đổi mật khẩu khi cần.

    Tuy nhiên, EAP-MD5 không hỗ trợ xác thực lẫn nhau (Mutual Authentication)không tạo kênh TLS mã hóa, vì vậy hiện nay hầu như không còn được triển khai trong môi trường doanh nghiệp.
    5. EAP-TLS – Tiêu Chuẩn Vàng Cho 802.1X


    EAP-TLS (Extensible Authentication Protocol – Transport Layer Security) được xem là phương thức xác thực an toàn nhất trong các triển khai 802.1X.

    Quy trình hoạt động:
    1. Thiết bị người dùng (Supplicant) xác minh chứng chỉ số (Certificate) của máy chủ.
    2. Sau khi xác minh thành công, thiết bị gửi chứng chỉ số của mình để xác thực.
    3. Hai bên thực hiện xác thực lẫn nhau (Mutual Authentication).
    4. Thiết lập kênh TLS được mã hóa để bảo vệ toàn bộ quá trình xác thực.

    Ưu điểm:
    • Không sử dụng mật khẩu.
    • Chống giả mạo máy chủ.
    • Chống tấn công Man-in-the-Middle (MITM).
    • Mức độ bảo mật rất cao.

    Nhược điểm:
    • Yêu cầu hạ tầng PKI (Public Key Infrastructure).
    • Cần triển khai và quản lý chứng chỉ số cho máy chủ và thiết bị đầu cuối.

    6. PEAP (Protected Extensible Authentication Protocol)


    PEAP là phương thức được triển khai rất phổ biến trong các hệ thống mạng doanh nghiệp.

    Cơ chế hoạt động:
    1. Thiết bị xác minh chứng chỉ của máy chủ.
    2. Thiết lập một đường hầm TLS được mã hóa.
    3. Thông tin xác thực của người dùng được truyền bên trong đường hầm TLS.

    Sau khi đường hầm được thiết lập, PEAP thường sử dụng một trong hai phương thức xác thực bên trong:
    • EAP-MS-CHAPv2
    • EAP-TLS

    Ưu điểm:
    • Không để lộ thông tin xác thực trên mạng.
    • Không bắt buộc triển khai chứng chỉ số cho máy người dùng (khi sử dụng PEAP-MSCHAPv2).
    • Dễ triển khai hơn EAP-TLS.

    7. EAP-FAST


    EAP-FAST (Extensible Authentication Protocol – Flexible Authentication via Secure Tunneling) được Cisco phát triển nhằm thay thế LEAP và giảm sự phụ thuộc vào hạ tầng PKI.

    Thay vì sử dụng chứng chỉ phía máy khách, EAP-FAST sử dụng Protected Access Credential (PAC).

    Đặc điểm nổi bật:
    • Hỗ trợ PAC được cấp trước hoặc cấp động.
    • Thiết lập đường hầm TLS an toàn.
    • Bảo vệ thông tin xác thực bằng kênh mã hóa.
    • Hỗ trợ xác thực hai chiều (Mutual Authentication).
    • Hỗ trợ tái xác thực nhanh (Fast Re-authentication).
    • Có thể hoạt động mà không cần chứng chỉ phía máy khách.

    EAP-FAST đặc biệt phù hợp với các tổ chức muốn tăng cường bảo mật nhưng chưa triển khai đầy đủ PKI.
    8. TEAP (Tunneled Extensible Authentication Protocol)


    TEAP là thế hệ mới của các giao thức xác thực dựa trên TLS, được thiết kế để mang lại tính linh hoạt cao hơn so với PEAP.

    Các tính năng nổi bật: Chained Authentication


    TEAP cho phép xác thực đồng thời cả thiết bị và người dùng trong cùng một phiên làm việc.

    Ví dụ:
    • Máy tính phải được xác thực trước.
    • Sau đó người dùng đăng nhập và được xác thực tiếp.
    • Chỉ khi cả hai đều hợp lệ, quyền truy cập mới được cấp.

    Điều này đặc biệt hữu ích trong các mô hình Zero Trust. Credential Transition


    TEAP hỗ trợ chuyển đổi dần từ xác thực bằng mật khẩu sang xác thực bằng chứng chỉ số mà không cần thay đổi cấu hình hệ thống.

    Điều này giúp doanh nghiệp triển khai PKI theo từng giai đoạn, giảm gián đoạn trong quá trình nâng cấp. Enhanced Security


    So với PEAP, TEAP mang lại:
    • Linh hoạt hơn trong lựa chọn phương thức xác thực.
    • Bảo vệ thông tin xác thực tốt hơn.
    • Hỗ trợ nhiều cơ chế xác thực trong cùng một đường hầm TLS.
    • Phù hợp với các kiến trúc Zero Trust và môi trường doanh nghiệp hiện đại.

    Góc Nhìn Thực Tế


    Trong các hệ thống Enterprise hiện nay:
    • EAP-TLS được xem là lựa chọn ưu tiên nhờ mức độ bảo mật cao nhất, đặc biệt khi tổ chức đã triển khai hạ tầng PKI.
    • PEAP (EAP-MS-CHAPv2) vẫn rất phổ biến vì dễ triển khai và không yêu cầu chứng chỉ trên máy người dùng.
    • TEAP đang dần được các tổ chức lớn áp dụng nhờ khả năng xác thực đồng thời thiết bị và người dùng, đáp ứng tốt các yêu cầu của mô hình Zero Trust.
    • EAP-FAST vẫn xuất hiện trong một số môi trường Cisco truyền thống.
    • PAP, CHAP, MS-CHAPv1EAP-MD5 chỉ nên duy trì khi cần tương thích với các hệ thống cũ và không còn được khuyến nghị cho các triển khai mới do hạn chế về bảo mật.
    Attached Files
    Đặng Quang Minh, CCIE#11897 (Enterprise Infrastructure, Wireless, Automation, AI), CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/
Working...
X