• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Identity Based Networking Services (IBNS)

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Identity Based Networking Services (IBNS)

    I. Identity Based Networking Services (IBNS)

    Cisco Identity Based Networking Services (IBNS) là một giải pháp mạng tích hợp cấu thành từ những sản phẩm của Cisco để cung cấp công cụ chứng thực, điều khiển sự truy cập và chính sách người dùng để giúp ta bảo vệ các tài nguyên và kết nối của hệ thống. Với Cisco IBNS, ta có thể dễ dàng có được sự bảo vệ tốt nhất.

    Sử dụng một IBNS framework bảo mật giúp doanh nghiệp quản lý tính cơ động của nhân viên tốt hơn, giảm thiểu số vốn đầu tư cho việc truy cập mạng, và tăng tổng năng suất với chi phí vận hành tối thiểu.

    IBNS tích hợp toàn bộ khả năng của IEEE 802.1x, một tiêu chuẩn chứng thực, và còn cung cấp các tính năng mở rộng giúp công nghệ 802.1x được sử dụng dễ dàng. Ngoài 802.1x, IBNS còn tập trung vào công nghệ chứng thực bổ trợ và tích hợp với các công nghệ tiên tiến khác. Quan trọng nhất, IBNS đem đến việc điều khiển truy cập hệ thống LAN.

    Nói đến IBNS, ta nói đến 3 tính chất đặc sắc nhất, từ bảo mật, chứng thực đến tính minh bạch:

    + Ngăn chặn người ngoài thâm nhập hệ thống bằg các chính sách bảo mật kèm theo việc cố gắng điều khiển các thiết bị phá hoại: giúp bảo vệ chống lại fraud (lừa gạt), theft of service (dịch vụ trộm), và loại bỏ những truy cập không chứng thực
    + Giữ hệ thống được trong sạch: một port mạng có thể đuợc chứng thực qua nhiêu lớp. Chính vì thế việc điều khiển nơi một người dùng có thể vào và những gì anh ta có thể làm trở nên thuyết phục hơn.
    + Tăng tính minh bạch, xác nhận rõ ai đang truy cập mạng: Việc này cho phép doanh nghiệp biết rõ hơn người họ đang giao dịch và cung cấp trách nhiệm cho môi trường mạng LAN trong việc xử lý chứng thực mạng hay báo cáo kết cấu cơ sở.


    Các khái niệm Identity (nhận diện) cơ bản
    IBNS cung cấp các khái niệm cơ bản thông qua người dùng và / hoặc các thiết bị chứng thực, và nó cung cấp phương tiện truyền thông độc lập LAN, bao gồm nhận dạng, xác thực và ủy quyền.

    + Nhận dạng (Identity)
    Danh tính của khách hàng được nhận diện bởi một thiết bị nhận dạng kỹ thuật số trong một domain (vùng miền) đáng tin cậy. Thiết bị nhận dạng thường được sử dụng như là một con trỏ đến một tập hợp các quyền hoặc các giới hạn và có cho phép sự khác biệt giữa các khách hàng. Thiết bị nhận diện có thể có bề ngoài trông giống như bất cứ thứ gì và tồn tại ở bất kỳ lớp mô hình OSI nào trong một môi trường mạng. Mạng sử dụng thiết bị nhận dạng chứng thực kỹ thuật số để cung cấp khả năng ủy quyền. Một danh tính là rất hữu dụng cho sự tính toán và có vai trò như một con trỏ đến một chính sách áp dụng.

    + Xác thực (Authenticate)
    Xác thực là quá trình thành lập và xác nhận danh tính của khách hàng có yêu cầu dịch vụ. Chứng thực được yêu cầu khi thiết lập ủy quyền tương ứng, và nó chỉ mạnh bằng các phương pháp xác minh đã được sử dụng.


    Hình 1. Xác thực truyền thống


    Áp dụng mô hình xác thực cho mạng máy tính ta được

    H2. Chứng thực trên mạng

    + Ủy quyền (Authorization)
    Ủy quyền được định nghĩa là quyền giữa các dịch vụ với một tên miền, và nó có thể xảy ra ở bất kì lớp nào của mô hình OSI.
    Ủy quyền mà không có chứng thực là vô nghĩa.

    Cùng với 802.1X, IBNS cung cấp những khái niệm cơ bản thông qua người dùng và / hoặc thiết bị chứng thực và cung cấp cho mạng LAN phương tiện truyền thông độc lập.
    Về mặt kỹ thuật, người dùng cần phải được xác thực khi truy cập vào mạng LAN nhờ phương tiện truyền thông truyền thống điểm-đến-điểm qua một switch hoặc thông qua mạng không dây. Thông thường, chỉ những máy móc hoặc người sử dụng được công nhận bởi tổ chức mới được phép truy cập.

    IBNS cũng giúp bắt đầu xác định những gì người dùng hoặc các thiết bị có thể làm khi họ được truy cập mạng thông qua các kiểm soát truy cập khác nhau. Chứng thực cũng cung cấp ngay lập tức trách nhiệm cho các mạng để biết ai đạt được quyền truy cập mạng, cùng với một số thông tin khác như ở đâu, và làm thế nào họ có thể đạt được phục vụ.


    802.1x
    Chuẩn 802.1x là chuẩn IEEE liên quan đến điều khiển truy cập hệ thống qua port. Tiêu chuẩn 802.1x cung cấp sự chứng thực và bảo mật thông tin mạnh mẽ, và đó chỉ là một phần trong framework mở rộng an toàn và đầy tiềm năng của mình.
    Một hệ thống 802.1x chỉ cần 3 thành tố chính để hoạt động, mỗi thành phần đều riêng biệt không thể tách rời:

    + Supplicant: phần mềm được cài đặt phía client với tiêu chuẩn 802.1x và hoạt động trong cả hai môi trường có dây và không dây. Supplicant được tải lên thiết bị của người dùng để gửi yêu cầu truy cập hệ thống

    + Authenticator: một thành phần nằm giữa người dùng bên ngoài, nơi cần được chứng thực và kết cấu hạ tầng dùng để thực hiện việc chứng thực. Switch và điểm truy cập mạng không dây (wireless access point) có thể dùng làm Authenticator.

    + Authentication Server: một server nhận thông tin RADIUS và dùng chúng kiểm tra chứng thực của người dùng hay thiết bị, thường dùng với chứng thực đầu cuối nơi lưu trữ thông tin như Microsoft Active Directory, LDAP, hay một loại cơ sở dữ liệu nào khác

    Các thiết bị trên đều dùng các khái niệm danh tính cơ bản. Supplicant cần kết nối với mạng. Trách nhiệm của một Authenticator là cung cấp những truy cập đã được xác thực và bảo đảm việc thực thi các chính sách. Sau đó, một Authentication Server sẽ xác minh các thông tin mà Supplicant đã xác định và hướng dẫn Authenticator cung cấp một dịch vụ ban đầu.

    802.1X xác định một khuôn khổ giao thức nhằm xác thực thiết bị được kết nối với cảng. Khi một host kết nối vào cổng LAN trên một switch, tính xác thực của host được xác định bởi các cổng chuyển đổi đã xác định trong giao thức 802.1X. Giả sử rằng điều này được thực hiện trước khi bất kỳ dịch vụ nào khác được cung cấp bởi switch được phép vận hành trên cổng đó, thì cho đến khi quá trình chứng thực hoàn tất, chỉ có khung kiểm soát EAPOL có thể được xử lý trên một cổng. Không có dữ liệu giao thông bình thường nào được thông qua cho đến khi cổng đó được thẩm định xong. Để minh họa ta có mô hình này.


    H3. Kiểm soát truy cập dựa vào cổng với 802.1X

    Hình trên cho thấy hoạt động của kiểm soát truy cập dựa trên cổng và hiệu quả của việc tạo ra hai điểm truy cập khác biệt vào một điểm của tin đính kèm vào mạng LAN của Authenticator.

    802.1X bắt đầu với một cổng của một Authenticator không cho phép truy cập mạng ở cấp độ của cổng đó. Một EAP đã trao đổi ban đầu (được định nghĩa bởi RFC 3748) sau đó được khởi động giữa Supplicant và Authenticator. Phương pháp EAP này sẽ thương lượng hoặc được sử dụng trực tiếp giữa Supplicant và Authentication Server cho việc chứng thực thực tế. Thông điệp EAP đi qua 802.1X ở lớp liên kết để cho phép Supplicant và Authenticator liên lạc với nhau.

    Thông thường, RADIUS được sử dụng ở lớp ứng dụng để cho phép Authenticator giao tiếp với Authentication Server. Tuy nhiên, các cuộc hội thoại chứng thực thực tế là diễn ra giữa Supplicant và Authentication Server thông qua EAP. Authenticator là điển hình của một ống dẫn EAP và, cuối cùng, nó thực thi chính sách mạng, như hình dưới cho thấy.

    H4. EAP với 802.1X và RADIUS

    Như hình trên đã minh hoạ, RADIUS hoạt động như thiết bị vận chuyển EAP từ Authenticator đến Authentication Server. (RFC 3579 cung cấp một hướng dẫn sử dụng về làm thế nào cho RADIUS phải hỗ trợ EAP giữa các thiết bị này)


    RADIUS cũng mang về cho Authenticator bất kỳ chỉ dẫn chính sách nào ở dạng các cặp thuộc tính-giá trị. (RFC 3580 cung cấp hướng dẫn tại sao các 802.1X Authenticator phải sử dụng RADIUS.)


    Một chú thích nhỏ: Remote Authentication Dial In User Service (RADIUS) là một giao thức mạng cung cấp cách quản lý tập trung xác thực, ủy quyền, và kế toán (AAA) cho các máy tính để kết nối và sử dụng dịch vụ mạng. RADIUS được phát triển bởi Doanh nghiệp Livingston, Inc, vào năm 1991 như là một máy chủ xác thực truy cập và giao thức kế toán và sau đó được đưa vào tiêu chuẩn Internet Engineering Task Force (IETF).

    802.1X và EAP
    Tiêu chuẩn 802.1x kết hợp với những phương pháp EAP mạnh mẽ đầy tiềm năng như EAP-Tunneled Transport Layer Security (TTLS) hay EAP-Protected Extensible Authentication Protocol (PEAP). Cả EAP-TTLS và EAP-PEAP cung cấp lớp phủ EAP an toàn dùng bao phủ các phương pháp non-tunneled EAP hay những giao thức xác thực khác mang các thông tin mạng và dữ liệu khác có liên quan. Bằng cách sử dụng các phương pháp EAP tunneled, doanh nghiệp có thể yên tâm rằng các thông tin của họ có đầy đủ mạng lưới bảo vệ và rằng sự riêng tư của dữ liệu đang được đạt được và duy trì. Ngoài ra, với kiểm soát truy cập mạng, cần phải bao gồm nhiều thông tin hơn với các giao thức xác thực từ người dùng và thiết bị của họ, chẳng hạn như an ninh đầu cuối và xác nhận tư thế. Điều này đòi hỏi tính bảo mật mở rộng và khả năng chứng thực từ các loại EAP tunneled.

    EAP
    Port-based network access control (điều khiển truy cập mạng dựa trên port) sử dụng các đặc điểm truy cập vật lý của cơ sở hạ tầng mạng LAN IEEE 802. Những cơ sở hạ tầng này tận dụng Extensible Authentication Protocol (EAP) (phương thức chứng thực mở rộng) để chứa đựng các thông tin chứng thực tùy ý, chứ không chứa các phương pháp chứng thực. EAP là một giao thức đóng gói không phụ thuộc vào IP, và nó có thể chạy trên bất kỳ lớp liên kết nào, bao gồm cả phương tiện truyền thông IEEE 802. EAP vận chuyển thông tin chứng thực dưới hình thức trọng tải EAP. EAP cũng thiết lập và quản lý các kết nối chứng thực, và nó cho phép chứng thực bằng cách đóng gói các loại hình trao đổi chứng thực khác nhau. EAP trên mạng LAN (EAPOL) là giao thức trong IEEE 802.1X. Hình dưới cho ta thấy khung định dạng này.


    H5. Khung định dạng EAPOL


    Các Extensible Authentication Protocol (EAP) là một phương pháp tiến hành xác thực cuộc trò chuyện giữa một người sử dụng và một máy chủ xác thực. Các thiết bị trung gian chẳng hạn như các điểm truy cập và máy chủ proxy không tham gia vào cuộc đàm thoại.
    vai trò của họ là để trung chuyển các tin nhắn EAP giữa các bên thực hiện chứng thực. 802.1X sử dụng công nghệ Extensible Authentication Protocol (EAP) như một framework chứng thực
    Extensible Authentication Protocol, hay EAP, là một khuôn khổ xác thực thường xuyên được sử dụng trong các mạng không dây và kết nối Point-to-Point.
    EAP là một khuôn khổ xác thực cung cấp để vận chuyển và sử dụng vật liệu then chốt và các thông số được tạo ra bởi các phương pháp EAP. Có rất nhiều phương pháp được định nghĩa bởi RFC và thêm một số các phương pháp cụ thể và đề xuất mới tồn tại. EAP không phải là giao thức không dây, thay vào đó nó chỉ định nghĩa các định dạng tin nhắn. Mỗi giao thức sử dụng EAP định nghĩa một cách để tóm lược các tin nhắn trong vòng tin nhắn EAP đó.
    EAP là một khuôn khổ xác thực, không phải là một cơ chế xác thực cụ thể. Nó cung cấp một số chức năng phổ biến và thương thảo các phương pháp xác thực được gọi là phương pháp EAP.
    Một số phương pháp đó là:

    + Extensible Authentication Protocol Over LAN (EAPOL):
    802.1X xác định một tiêu chuẩn để đóng gói các tin nhắn Extensible Authentication Protocol (EAP) để chúng có thể được xử lý trực tiếp bởi dịch vụ LAN MAC. Dạng
    đóng gói EAP frame này được biết đến như EAPOL. Ngoài nhiệm vụ mang các gói EAP
    , EAPOL cũng cung cấp các chức năng kiểm soát như start, logoff, và phân phối chính.

    + LEAP
    The Lightweight Extensible Authentication Protocol (LEAP)là một phương pháp EAP độc quyền được phát triển bởi Cisco Systems trước cả sự phê chuẩn IEEE của tiêu chuẩn bảo mật 802.11i. Cisco phân phối giao thức này thông qua các CCX (Cisco Certified Extensions) như là một phần của việc chấp nhận 802.1X và dynamic WEP vào ngành công nghiệp khi chưa có một tiêu chuẩn rõ ràng. Không có hỗ trợ cho LEAP trong bất kỳ hệ điều hành Windows nào, nhưng nó được hỗ trợ rộng rãi bởi các phần mềm client bên thứ ba phổ biến nhất bao gồm cả các thiết bị WLAN (LAN không dây). Do việc áp dụng rộng của LEAP trong ngành công nghiệp mạng, nhiều nhà cung cấp mạng WLAN khác đã hỗ trợ cho LEAP.

    LEAP sử dụng một phiên bản có sửa đổi của MS-CHAP, một giao thức xác thực trong đó các thông tin người dùng không được bảo vệ mạnh mẽ và vì thế dễ dàng bị xâm nhập. Từ đó, một công cụ khai thác gọi là ASLEAP đã được phát hành vào đầu năm 2004 bởi Joshua Wright. Cisco khuyến cáo khách hàng phải sử dụng LEAP với các mật khẩu đủ phức tạp, mặc dù các mật khẩu phức tạp rất khó để quản lý và thực thi. Hiện nay, Cisco đề nghị khách hàng sử dụng các giao thức EAP mới hơn và mạnh mẽ hơn như EAP-FAST, PEAP, hay EAP-TLS.

    + EAP-FAST
    EAP-FAST (Flexible Authentication via Secure Tunneling) (sự xác thực linh hoạt thông qua Secure Tunneling) là một giao thức đề nghị của Cisco Systems như là một thay thế cho LEAP. Giao thức này được thiết kế để giải quyết các điểm yếu của LEAP trong khi bảo toàn tính chất “lightweight” “nhẹ cân”. Việc sử dụng chứng chỉ của máy chủ là tùy chọn trong EAP-FAST. EAP-FAST sử dụng một Protected Access Credential (PAC) để thiết lập một đường hầm TLS trong đó các thông tin của khách hàng được xác minh.

    EAP-FAST có ba giai đoạn. Giai đoạn 0 là một giai đoạn tùy chọn trong đó các PAC có thể được cung cấp bằng tay hoặc tự động, nhưng là ngoài phạm vi của EAP-FAST được quy định tại RFC4851. Việc cung ứng PAC vẫn còn chính thức trong tiến trình, mặc dù còn có những triển khai khác. Việc cung PAC thường chỉ cần làm một lần cho một cặp máy chủ RADIUS và khách hàng. Trong giai đoạn 1, khách hàng và máy chủ AAA sử dụng PAC để thiết lập đường hầm TLS. Trong giai đoạn 2, các thông tin của khách hàng được trao đổi bên trong đường hầm được mã hóa.

    Khi việc tự động cung cấp PAC được kích hoạt, EAP-FAST có một lỗ hổng bảo mật nhẹ nơi mà kẻ tấn công có thể chặn PAC và sau đó sử dụng nó để thỏa hiệp các thông tin người dùng. Lỗ hổng này được giảm nhẹ nhờ hướng dẫn sử dụng cung cấp PAC hoặc bằng cách sử dụng chứng chỉ máy chủ cho các giai đoạn cung cấp PAC.
    Đáng chú ý là file PAC được ban hành trên cơ sở mỗi người sử dụng. Đây là một yêu cầu trong RFC 4851 phần 7.4.4 vì vậy nếu một người dùng mới vào mạng từ một thiết bị, anh ta cần được cung cấp một tập tin PAC mới trước. Đây là một trong những lý do tại sao lại khó khăn để không chạy EAP-FAST trong chế độ nặc danh không an toàn. Cách khác là sử dụng mật khẩu thiết bị để thay thế, nhưng đó không phải là người dùng đã được xác nhận trên mạng.
    EAP-FAST có thể được sử dụng mà không có file PAC, quay trở lại TLS bình thường.
    EAP-FAST hỗ trợ hệ điều hành Apple X 10.4.8 và mới hơn. Cisco cung cấp một mô-đun EAP-FAST cho Windows Vista và các hệ điều hành sau này có kiến trúc EAPHost mở rộng cho phương pháp xác thực mới và supplicants.

    + PEAP
    Protected Extensible Authentication Protocol, cũng gọi là Protected EAP hoặc đơn giản chỉ là PEAP, là một giao thức EAP gói gọn trong khả năng mã hóa và xác thực đường hầm Transport Layer Security (TLS). Mục đích của nó là để sửa chữa thiếu sót trong EAP; EAP giả định một kênh truyền thông bảo mật, như cung cấp một bảo mật vật lý, nên các cơ sở để bảo vệ các cuộc hội thoại EAP không được cung cấp.
    PEAP được phát triển chung bởi Cisco Systems, Microsoft, và RSA Security. PEAPv0 là phiên bản bao gồm Microsoft Windows XP và đã được định nghĩa trong draft-kamath-pppext-peapv0-00. PEAPv1 và PEAPv2 đã được định nghĩa trong các phiên bản khác nhau của draft-josefsson-pppext-eap-tls-eap. PEAPv1 được định nghĩa trong draft-josefsson-pppext-EAP-TLS-eap-00 thông qua draft-josefsson-pppext-EAP-TLS-eap-05, và PEAPv2 định nghĩa trong các phiên bản bắt đầu với draft-josefsson-pppext-EAP-TLS- eap-06.
    Giao thức này chỉ xác định xâu chuỗi nhiều cơ chế EAP và không phải bất kỳ phương pháp nào cụ thể. Tuy nhiên, việc sử dụng EAP-MSCHAPv2 và EAP-GTC là những phương pháp được hỗ trợ phổ biến nhất

    + EAP-MD5
    EAP-MD5, được định nghĩa trong RFC 3748, là tiêu chuẩn IETF duy nhất dùng phương pháp EAP dựa vào Track. Nó cung cấp bảo mật tối thiểu; hash function MD5 dễ bị dictionary attack, và không hỗ trợ các thế hệ quan trọng, làm cho nó không phù hợp để sử dụng với dynamic WEP, hoặc doanh nghiệp WPA/WPA2. EAP-MD5 khác với phương pháp EAP khác ở chỗ nó chỉ cung cấp chứng thực của EAP peer đến máy chủ EAP nhưng không phải xác thực ngầm. Bởi việc không cung cấp chứng thực máy chủ EAP, phương pháp này dễ bị tấn công bởi người-chính-giữa. Hỗ trợ EAP-MD5 lần đầu tiên được tích hợp trong Windows 2000 và phản đối trong Windows Vista.

    + EAP-TTLS
    EAP-Tunneled Transport Layer Security (EAP-TTLS) là một giao thức EAP mở rộng TLS. Nó được đồng phát triển bởi Funk Software và Certicom. Nó được hỗ trợ rộng rãi trên các nền tảng, mặc dù không có hệ điều hành hỗ trợ cho giao thức EAP trong Microsoft Windows, nó đòi hỏi việc lắp đặt thêm các chương trình nhỏ như SecureW2.
    EAP-TTLS cung cấp bảo mật rất tốt. Các khách hàng có thể nhưng không cần được xác thực thông qua một CA-giấy chứng nhận PKI đã ký đến máy chủ. Điều này giúp đơn giản hoá các thủ tục thiết lập ví dụ như một chứng chỉ không cần phải được cài đặt trong từng khách hàng.

    Sau khi máy chủ được chứng thực là an toàn cho khách hàng thông qua giấy chứng nhận CA của nó, và tùy chọn của khách hàng đến máy chủ, máy chủ sau đó có thể sử dụng kết nối thiết lập an toàn (“đường hầm”) để xác thực khách hàng. Nó có thể sử dụng một cơ chế mật khẩu tích hợp hiện có đã được triển khai rộng rãi với giao thức xác thực và cơ sở hạ tầng, cơ sở dữ liệu xác thực, trong khi các đường hầm an toàn cung cấp bảo vệ từ nghe trộm và tấn công bởi người-chính-giữa. Lưu ý rằng tên của người dùng không bao giờ được truyền tải ở dạng cleartext không được mã hóa, nhờ đó cải thiện sự riêng tư.
    Hai phiên bản khác nhau của EAP-TTLS tồn tại: EAP-TTLS bản gốc (còn được gọi là EAP-TTLSv0) và EAP-TTLSv1. EAP-TTLSv0 được mô tả trong RFC 5281, EAP-TTLSv1 có sẵn như là một bản nháp trên Internet.

    Một số yếu tố ảnh hưởng đến sự lựa chọn một phương pháp EAP:
    • Sự hỗ trợ của các phương pháp EAP với khách hàng và máy chủ.
    • Chính sách bảo mật mạng, chẳng hạn như tự chứng thực lẫn nhau.
    • Hỗ trợ cơ sở hạ tầng thư mục phụ trợ. Không phải store nhận dạng nào cũng hỗ trợ tất cả các loại EAP
    Sự lựa chọn một loại EAP đẩy các thành phần của một giải pháp kiểm soát truy cập dựa trên mạng lưới cảng và mọi thứ khác vào chung trong một cơ sở hạ tầng chứng thực.

    Dưới đây là bảng tóm tắt về các phương pháp EAP phổ biến:


Phương pháp Ủy nhiệm khách hàng Mã hóa cơ bản Lợi ích chính
EAP-TLS Giấy chứng nhận khách hàng Không cần thiết Khá bảo mật
PEAP Tên đăng nhập và mật khẩu Máy chủ chứng thực bằng đường hầm TLS Không cần giấy chứng nhận khách hàng
EAP-FAST PAC Máy chủ PAC Không cần bất cứ chứng nhận nào


B1. Các phương pháp EAP phổ biến

Tính bảo mật của 802.1X
802.1x cung cấp tính năng bảo mật bằng việc tạo ra những phương thức chứng thực (AP) ảo đặt ở từng cổng mạng nội bộ, bao gồm cổng kiểm soát (controlled port) và cổng không kiểm soát (uncontrolled port):
  • Controlled port chỉ cung cấp một đường dẫn cho máy bay dữ liệu truy cập sau một thiết bị xác nhận.Máy bay dữ liệu đại diện cho mạng lưới giao thông tiêu biểu
  • Uncontrolled port cung cấp một đường dẫn cho lưu lượng truy cập xác thực thực sự.

Cuối cùng, nếu supplicant được chứng thực một cách thích hợp, thông thường một thẩm định sẽ đưa ra sự truy cập vào cổng kiểm soát của nó với trạng thái đã được thẩm quyền. Hình dưới minh hoạ cổng kiểm soát / không kiểm soát được của 802.1X.

H6. Controlled/Uncontrolled Port của 802.1X


Một điểm truy cập cho phép trao đổi những đơn vị giao thức dữ liệu (PDU) không được kiểm soát giữa các hệ thống và các hệ thống khác trên mạng LAN, không phụ thuộc vào trạng thái uỷ quyền. Đây là cổng không kiểm soát.
Điểm truy cập khác cho phép việc trao đổi các PDUs chỉ khi trạng thái hiện hành của cổng đã được ủy quyền. Đây là cổng kiểm soát. Các cổng không được kiểm soát và kiểm soát được coi là một phần của cùng một điểm vật lý (hoặc cổng) trong mạng LAN.
Bất kỳ hệ thống nào đã nhận trên cổng vật lý đều có thể thực hiện ở cả hai cổng kiểm soát và không kiểm soát được. Tuy nhiên, việc truy cập vào cổng kiểm soát hiện đang là vấn đề liên quan đến trạng thái ủy quyền của hệ thống. Trong hình, khái niệm về kiểm soát truy cập đã đạt được bằng cách làm cho chứng thực của supplicants - cái gắn vào cổng kiểm soát của hệ thống- có hiệu lực, dựa trên kết quả của quá trình xác thực. Điều này cho phép hệ thống để xác định xem supplicant đã được phép truy cập các dịch vụ trên cổng kiểm soát hay chưa.
Nếu một supplicant không có đủ quyền để truy cập, hệ thống xác thực của hệ thống sẽ đặt trạng thái của cổng kiểm soát ở trạng thái trái phép. Với trạng thái này, việc sử dụng các cổng kiểm soát thường bị hạn chế để ngăn ngừa việc truyền các dữ liệu không được phép giữa một thiết bị thuộc mạng LAN và các dịch vụ được cung cấp bởi hệ thống xác thực.
Dữ liệu plane có trách nhiệm truyền dữ liệu. kiểm soát 802.1X plane có thể thiết lập các dữ liệu plane "phân khúc" cho một thiết bị thuộc mạng. 802.1X chính nó là một giao thức điều khiển plane. Tuy nhiên, tính năng bảo mật khác có thể được kích hoạt để thay đổi mặc định truy cập mạng hoặc các quy định cấu hình trên mặt phẳng dữ liệu. Tích hợp các thành phần của máy bay các thành phần dữ liệu đó (như là xem xét trong các chương khác của cuốn sách này) có liên quan đến cuộc thảo luận này.

(Ví dụ, xem Chương 2, "Đánh bại của một quá trình chuyển tiếp cầu học tập," để xem lại các cuộc tấn công dựa trên MAC 802.1X.) Cung cấp một cách bổ sung để ngăn chặn các cuộc tấn công
Một thẩm định tác động việc kiểm soát đối với một cổng ảo trong cả hai hướng, được biết đến như là một cổng kiểm soát hai hướng. Một cổng kiểm soát hai hướng có nghĩa là EAPOL chỉ nên đi vào hoặc đi ra khỏi cổng cho đến khi chứng thực. Đây là một cơ sở hạ tầng trực tiếp, cơ chế bảo vệ cho bất kỳ môi trường mạng
Last edited by lamvantu; 11-11-2011, 06:40 AM.
Lâm Văn Tú
Email :
cntt08520610@gmail.com
Viet Professionals Co. Ltd. (VnPro)
149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
Tel: (08) 35124257 (5 lines)
Fax (08) 35124314
Tập tành bước đi....


Tags:

Working...
X