• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Thảo luận IEEE 802.1X

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Thảo luận IEEE 802.1X

    Chào tất cả,

    Mình thấy diễn đàn có nhiều bài viết về an toàn trong WLAN rất hay. Mình muốn cùng các bạn thảo luận về IEEE 802.1X, bắt đầu bằng bài viết sau.


    Triển vọng của IEEE 802.1x

    IEEE 802.1x là một chuẩn IEEE để ”điều khiển truy cập mạng dựa trên port”. Nó cho phép quyết định cho hay không truy cập mạng được thực hiện tại port. Trừ khi port đã được xác thực, nó chỉ có thể được sử dụng để chuyển lưu lượng được kết hợp với quá trình xác thực. Xác thực có thể dựa trên người dùng và được quản lý tại máy chủ xác thực tập trung. Ngoài ra, 802.1x cung cấp các tuỳ chọn để phân phối khoá.
    Với khả năng quản lý tập trung, quản lý người dùng thay vì thiết bị, bảo vệ mạng và phân phối khóa, 802.1X dường như là sự thay thế hợp lý cho WEP.

    Sử dụng 802.1X

    Giao thức 802.1X sử dụng EAP (Extensible Authentication Protocol) để mang các thông tin xác thực. Như tên đã ngụ ý “khả năng mở rộng”, EAP có thể mang nhiều giao thức xác thực thực sự.
    Một ví dụ của phương pháp xác thực EAP là EAP-TLS. Giao thức này đóng gói TLS (Transport Layer Security), một giao thức được phát triển dựa trên SSL (Secure Socket Layer) được sử dụng trong duyệt web an toàn, trên đỉnh cấu trúc dữ liệu EAP. Một ví dụ khác là EAP-OTP sử dụng “mật khẩu một lần”. Để xác thực thành công, thiết bị yêu cầu truy cập mạng và kiến trúc mạng phải cùng hỗ trợ giao thức EAP.

    Đáp ứng của thị trường

    IEEE 802.1X xác định một giao thức mới – EAP Over LAN (EAPOL) - để mang EAP giữa thiết bị yêu cầu kết nối (supplicant) và access point được bảo vệ đến mạng (thiết bị xác thực). Tuy nhiên, nó không xác định cách để mang EAP từ thiết bị xác thực đến máy chủ xác thực.
    Trong cấu hình tối ưu, máy chủ này được tập trung và dùng chung. Remote Authentication Dial In User Service (RADIUS) là một lựa chọn tự nhiên ở đây. Nhiều hạ tầng mạng cũng đã có máy chủ RADIUS để xác thực người dùng quay số vào. Cho phép chúng xác thực nhiều hình thức mạng khác nhau, bao gồm cả wireless, là khả năng dùng chung tự nhiên của tài nguyên đã được tập trung. Trong khi IEEE chỉ đề nghị sử dụng RADIUS, nó nhanh chóng trở thành máy chủ xác thực chuẩn de facto được sử dụng trong 802.1x.
    Phần phân phối khóa của 802.1x không được mô tả hoàn toàn trong chuẩn. Trong khi rõ ràng EAPOL có khả năng mang các khóa trong các thông điệp EAPOL-Key của nó. Chi tiết về cách các khóa được tạo ra, khi nào những khóa này được gởi, và cách thiết lập các khóa được đồng bộ giữa các thiết bị chưa được xác định.

    Thị trường làm mọi việc dễ dàng hơn

    Người ta nói rằng “Ở đâu cần có một chuẩn, sẽ có tối thiểu hai cái được tạo ra”. Trong trường hợp không có chuẩn rõ ràng về cách sử dụng 802.1X với 802.11, nhiều nhà sản xuất đã thực hiện theo cách của riêng họ. Microsoft thực hiện 802.1x trong hệ điều hành Windows XP sử dụng EAP-TLS là phương pháp EAP và RADIUS là giao thức đến máy chủ. Cisco System cũng chọn RADIUS là giao thức liên lạc giữa thiết bị xác thực và máy chủ xác thực, nhưng phát triển giao thức EAP của riêng họ: EAP-Cisco wireless hay LightweightEAP (LEAP).

    Trả lời của các tổ chức chuẩn

    IEEE 802.11 có một nhóm TGi phụ trách về an toàn, đang phát triển 802.11i. Những yêu điểm an toàn của WEP buộc TGi phải phát hành một mô hình khác thích hợp hơn. Họ phân vân giữa một giải pháp trọn vẹn yêu cầu sử dụng các thiết bị phần cứng khác, và một giải pháp tạm thời đủ an toàn nhưng không vứt bỏ các thiết bị hiện tại. Trong lúc đó, giải pháp của Cisco và Microsoft cũng như các hãng khác, đã được chấp nhận nhanh chóng. Với những yếu điểm của WEP, các tập đoàn và các viện nghiên cứu tìm kiếm phương pháp an toàn và vẫn cung cấp sự linh động cho truy cập không dây.

    Các phương pháp khác

    Có những phương pháp an toàn khác không sử dụng 802.1x. Intel và Colubris đề nghị sử dụng các kỹ thuật VPN như IPSec trên 802.11. Symbol đề nghị sử dụng Kerberos. Những giao thức này được xem là khá an toàn nhưng phải trả giá trong việc sử dụng, ví dụ chi phí triển khai, gáng nặng tính toán, và tăng lưu lượng. Các giải pháp VPN thường mã hóa chỉ tại lớp IP, và do đó các lưu lượng không phải IP sẽ không an toàn. Ngoài ra, Các điểm cuối của giao tiếp VPN thường mở rộng qua các access point làm tăng thêm gánh nặng cho hạ tầng mạng.

  • #2


    Mọi người tham khảo chuẩn 802.1x dùng trên Cisco.

    ĐứcNM

    Comment


    • #3
      Re: Thảo luận IEEE 802.1X

      Những thành phần trong 802.1X

      Thiết bị yêu cầu (Supplicant): một thiết bị đầu cuối yêu cầu truy cập đến mạng được bảo vệ bằng 802.1X . Laptop, PDA,… là một số các thiết bị yêu cầu thông dụng. Thiết bị yêu cầu phải hoàn tất trao đổi một cách suôn sẽ với thiết bị xác thực trong EAPOL để được truy cập mạng. Do đó, Supplicant phải chứa giao thức EAPOL, các máy trạng thái của supplicant và tối thiểu một phương pháp xác thực EAP cụ thể mà thiết bị xác thực và máy chủ xác thực hỗ trợ. Nếu phương pháp EAP hỗ trợ nó, Supplicant có thể liên lạc với máy chủ xác thực, tạo “khóa phiên làm việc” sẽ được sử dụng để mã hóa những khóa mã hóa được gởi đến nó.

      Thiết bị xác thực (Authenticator): thường được thực hiện trên access point, switch hay router. Thành phần này giao tiếp với Supplicant bằng EAPOL. Liên lạc giữa Authenticator với máy chủ xác thực thường được thực hiện bằng RADIUS. Do đó, Authenticator bao gồm giao thức EAPOL, các máy trạng thái của Authenticator và bất kỳ giao thức nào cần thiết để giao tiếp với máy chủ xác thực, thường là Radius.Từ khi Supplicant yêu cầu đến khi quá trình xác thực thành công, công việc của Authenticator là chuyển các gói EAP giữa Supplicant (EAPOL) và máy chủ xác thực (thường là Radius). Trong khi Authenticator mang tất cả các dữ liệu giữa Supplicant và máy chủ xác thực, nó không biết mật khẩu riêng hay chứng chỉ được sử dụng để tạo khóa phiên làm việc. Sau khi xác thực thành công, Authenticator nhận khóa phiên làm việc từ máy chủ xác thực và phân phồi (hay tạo ra) các khóa mã hóa cho unicast và broadcast.

      Máy chủ xác thực: thông thường là máy chủ Radius xác thực người dùng. Nó tạo khóa phiên làm việc để giao tiếp với Supplicant, và sau khi xác thực thành công, phân phối khóa đó đến Authenticator. Miễn là máy chủ RADIUS hỗ trợ mở rộng RFC2869 cho EAP, và phương pháp xác thực EAP được yêu cầu, không cần thêm thành phần nào ở đây để thực hiện 802.1X.

      So sánh xác thực trong các phương pháp EAP khác nhauXem xét chi tiết vài giao thức EAP trong thực hiện 802.1x sẽ làm rõ các ưu điểm và yếu điểm của chúng.

      Công việc chính cơ bản của xác thực 802.1XBất kể phương pháp EAP nào, tất cả các phiên xác thực 802.1x đều theo cùng cấu trúc chung. Supplicant gởi một gói EAPOL-Start để chỉ rằng nó mong muốn được xác thực. Authenticator sau đó gởi một EAP-Request/Identity để xác định người dùng nào muốn truy cập. Authenticator có thể gởi thông điệp này ngay khi phát hiện Supplicant mà không cần nhận EAPOL-Start. Điều này xảy ra khi port được tích cực, hay khi xác thực và kết hợp lớp 802.11 kết thúc. Supplicant tự giới thiệu nó bằng một trả lời EAP-Response/Identity. Authenticator đặt trả lời vào RADIUS Access-Request gởi đến máy chủ.
      Tại thời điểm này, một chuỗi các EAP-Request và EAP-Response tùy thuộc vào giao thức EAP đảm bảo:
      - từ máy chủ đến Authenticator bằng Radius
      - từ Authenticator đến Supplicant bằng EAPOL
      - từ Supplicant đến Authenticator bằng EAPOL
      - từ Authenticator đến máy chủ xác thực bằng Radius.
      Nếu xác thực thành công, máy chủ Radius phát Access-Accept đến Authenticator, và Authenticator gởi EAP-Success đến Supplicant. Nếu khóa phiên làm việc được tạo ra tùy vào phương pháp EAP, nó thường được phân phối với Access-Accept như một thuộc tính tùy nhà sản xuất Microsoft hay Cisco. Nếu xác thực hỏng, máy chủ xác thực phát một Acees-Reject đến Authenticator, sau đó thành phần này sẽ gởi một EAP-Failure đến Supplicant.

      EAP-MD5
      Đầu tiên chúng ta hãy xem xét EAP-MD5. Sự đơn giản của nó sẽ giúp mọi người dẽ hiểu hơn quá trình hoạt động như thế nào, mặc dù nó không thích hợp trong hệ thống không dây bởi vì nó không phát khóa phiên làm việc và do đó không an toàn trong việc phân phối các cập nhật khóa.
      Challenge-Response đơn giản giống như CHAP và RFC 1994, với MD5 và RFC 1321.
      Chú ý: sau khi yêu cầu và trả lời Danh định (Identity) ban đầu, chỉ có một yêu cầu (challenge từ máy chủ xác thực) và một trả lời từ Supplicant trước khi quyết định cho phép truy cập được gởi đến Supplicant.

      EAP-TLS
      EAP-TLS là lựa chọn của Microsoft hỗ trợ 802.1x trong Windows XP. TLS là một giao thức an toàn đã được kiểm tra kỹ, thường được sử dụng cho các giao dịch dựa trên Web. Nó yêu cầu các chứng nhận và một hạ tầng tương đối mạnh để tạo, triển khai, và kiểm chứng những chứng nhận này. Ở mức tối thiểu, các chứng nhận người dùng phải được cung cấp cho Supplicant để Supplicant có thể chứng tỏ rằng chúng thật sự được xác thực để được truy cập mạng. Các chứng nhận máy chủ cũng có thể được sử dụng để tận dụng xác thực tương hỗ sẵn có, và ngăn ngừa “rogue access point” lừa các Supplicant truy cập vào mạng khác.
      Phiên làm việc EAP-TLS phức tạp hơn EAP-MD5, và các chi tiết không trình bày rõ ở đây. Nó bắt đầu như tất cả các giao thức 802.1X EAP khác, sau đó là các thông điệp khởi động và chào hỏi TLS. Các chứng nhận sau đó được trao đổi và kiểm chứng, giải thuật mã hóa được thưng lượng, và cuối cùng truy cập được cấp quyền, với khóa phiên làm việc được gởi đến Authenticator như một thuộc tính MS-MPPE. Trong trường hợp chung, khi khóa phiên làm việc đã có sẵn, các thông điệp khóa EAPOL được phân phát từ Authenticator đến Supplicant. Khóa multicast được tạo ra từ access point từ các số ngẫu nhiên và được mã hóa bởi khóa phiên làm việc. Khóa unicast điển hình là một thông điệp khóa EAPOL không có khóa kèm theo, để chỉ rằng chính khóa phiên làm việc sẽ được sử dụng làm khóa WEP cho các dữ liệu unicast.

      Comment


      • #4
        Re: Thảo luận IEEE 802.1X

        LEAP

        LEAP là phương pháp EAP của riêng Cisco. Ký tự “L” trong LEAP có nghĩa tải nhẹ (lightweight). Trong khi cung cấp xác thực tương hỗ và phát khóa phiên làm việc (thích hợp cho wireless), nó không yêu cầu chứng nhận và hạ tầng mạng lớn. Thay vào dó, LEAP xác thực bằng mật khẩu. LEAP là phương pháp xác thực sử dụng challenge và trả lời “đối xứng”. Thiết bị yêu cầu và sau đó máy chủ xác thực phát một challenge và kiểm tra trả lời lẫn nhau. Một khóa phiên làm việc được tạo ra bằng cách kết hợp những challenge này, các trả lời và mật khẩu.
        Trong khi LEAP dường như cung cấp tất cả các thuận lợi của việc không sử dụng chứng nhận, nó cũng có những yếu điểm. LEAP là giao thức của Cisco và không được sử dụng rộng rãi. Chuẩn 802.1X định nghĩa máy trạng thái được thiết kế chỉ để chuyển các yêu cầu từ máy chủ xác thực và trả lời từ thiết bị yêu cầu, và kết quả là không thích hợp với sự đối xứng của LEAP. Ngoài ra, Cisco sử dụng thuật ngữ LEAP để áp dụng không chỉ cho phương pháp xác thực EAP, mà còn những thay đổi trong các giá trị xác thực của riêng 802.11b. Do đó, thực hiện LEAP có thể yêu cầu điều khiển thêm đến phần cứng thực hiện 802.11b bên dưới ngoài các phương pháp EAP khác.

        EAP-TTLS và EAP

        Hai phương pháp xác thực đang nổi lên gần đây kết hợp khả năng an toàn của EAP-TLS và sự đơn giản của LEAP. Cả hai EAP-TTLS (Tunneled TLS) và PEAP (Protected EAP) sử dụng TLS. Nhưng chúng chỉ sử dụng TLS với các chứng chỉ máy chủ để thiết lập một kênh an toàn, và để thiết bị yêu cầu kiểm chứng nó không kết hợp với một rogue access point. Khi các chứng chỉ máy chủ TLS thiết lập “đường hầm”, cả hai EAP-TTLS và PEAP chạy một giải thuật xác thực “bên trong” đường hầm đó. Trong EAP-TTLS, giải thuật bên trong có thể là bất kỳ loại nào: PAP, CHAP,…Trong PEAP, giải thuật bên trong phải là phương pháp EAP. Cả hai phương pháp này đang chờ được chuẩn hóa.

        Yếu điểm của 802.1X ?

        Tháng 2/2002, một bài báo được xuất bản từ trường Đại học Maryland đề cập đến các yếu điểm của 802.1X. Bài báo này đã gây được nhiều sự chú ý do 802.1X được xem là có thể giải quyết những yếu điểm về an toàn của 802.11b nhưng đã bộc lộ những khuyết điểm của nó. May mắn là những kỹ thuật tấn công mô tả trong bài báo có thể ngăn chặn bằng cách sử dụng 802.1X một cách phù hợp. Các kỹ thuật tấn công được mô tả không cho phép các truy cập không mong muốn đến mạng hay nghe lén các dữ liệu đã được mã hóa. Chúng chỉ cho phép tấn công từ chối dịch vụ DoS và gây nhiễu các truy cập mạng hợp lệ. IEEE 802.11i đang giải quyết nhiều vấn đề để kết hợp 802.11b và 802.1x lại với nhau.


        Source: IEEE 802.1X in Secure Wireless Networking - Wind River

        Comment

        Working...
        X